Azure Active Directory Synchronisation

Heute morgen konnte ich schlecht schlafen und habe die Zeit genutzt, in meiner Testumgebung die Synchronisation meines lokalen ADs mit einem Azure Active Directory (AAD) einzurichten. Man möchte meinen, dass die Einrichtung relativ einfach sein sollte, tatsächlich gab es so ein paar Stolperfallen, die einen eigenen Blogartikel begründen.

Voraussetzungen

Voraussetzungen für die Einrichtung der Installation sind:

  • Ein eingerichtetes AAD
  • Ein eingerichtetes OnPremise AD
  • Vollen Administrative Zugriff auf beide Directories
  • Das Softwarepaket Azure Active Directory Connect (Download hier)
  • Bei mehr als 100.000 zu synchronisierende Objekte: SQL Server 2008 SP4 oder höher
  • Mindestens Windows Server 2008
  • AAD Connect kann auf einem DC oder einem Domain Member Server installiert werden. Empfohlen ist letzteres.

Servicekonten

Um die Synchronisation einzurichten, legen Sie einen Account im AAD an. Es muss sich um einen normalen Benutzer handeln.

01

Der Name kann beliebig gefüllt werden. Wählen Sie als Rolle „Globaler Administrator“ und vergeben eine gültige Alternative E-Mail Adressen. Nutzen Sie keine Multi-Faktor Authentifizierung für den Account.

02

Notieren Sie den vollen Benutzernamen mit dem Postfix *onmicrosoft.com“ (Dieser ist später für die Einrichtung des AAD-Connect Tools notwendig. Fahren Sie dann mit dem Wizard fort und vergeben Sie ein Kennwort.

03

Erstellen Sie im Anschluss ein Service-Account in Ihrem On-Premise Active Directory. Dieses Konto muss Mitglied der Gruppe „Enterprise Admins“ sein.

Wird ein Proxy Server im Unternehmen verwendet, muss dieser noch für das Konto eingerichtet werden, da es Stand 2015-10-09 nicht möglich ist, den Proxy Server explizit im AAD-Connect Tool einzutragen. Es wird immer der Proxy verwendet, der für den User eingetragen ist. Melden Sie sich daher mit dem Service user an dem System an dem AAD-Connect Tool laufen soll einmal an und konfigurieren den Proxy Server.

Hinweis: Es funktioniert nicht, inetcpl.clp über runas mit den Credentials des Service-Accounts aufzurufen und den Proxy zu konfigurieren. Auch das Eintragen des Proxy Server in die machine.config im Pfad, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config funktioniert nicht.

Achten Sie darauf, dass das User Profil nicht automatisch nach einiger Zeit via GPO oder Job gelöscht wird (siehe auch hier).

Da es sich um einen Service-Account handelt, ist es empfohlen, dem Konto über Group Policies die lokale und Remote Anmeldung im Anschluss zu verbieten.

Installation

Nachdem beide Konten angelegt wurden, kann die Installation des AAD-Connect Tools beginnen.

Wählen Sie im ersten Dialog die Option „Customize“ um die Einstellungen für die Installation anzupassen. Dies ist speziell auch notwendig, wenn statt einer LocalDB ein dedizierter SQL Server verwendet werden soll.

05

Passen Sie im folgenden Fenster die Einstellungen für den SQL Server und den Service-Account nach Bedarf an.

04

Ist die Installation erfolgreich durchgeführt, startet der Wizard erneut und fordert zur Eingabe der Konfigurationsdaten für die Synchronisation auf. Wählen Sie auch hier wieder „Customize“.

2015-10-09 09_18_08-Microsoft Azure Active Directory Connect

Wählen Sie die Password Synchronisation aus…

2015-10-09 09_18_22-Microsoft Azure Active Directory Connect

…geben das oben notierte Azure Konto mit dem Postfix „*onmicrosoft.com“ an…

07

…geben alle Details für den Zugriff auf Ihre On-Premise Domain an…

2015-10-09 09_19_05-Microsoft Azure Active Directory Connect

…und fügen Sie diese über „Add Directory“ hinzu. Nun wird die „Next“ Schaltfläche freigeschaltet.

2015-10-09 09_19_11-Microsoft Azure Active Directory Connect

Nun können die Einstellungen für die Identifikation der Assoziation der On-Premise und Azure Benutzerkonten gewählt werden. Soll nur eine Domäne synchronisiert werden, können die Standardeinstellungen übernommen werden.

2015-10-09 09_19_19-Microsoft Azure Active Directory Connect

Nun kann entschieden werden, ob die gesamte Domain oder nur ein Teil synchronisiert werden soll. Soll die Synchronisation nur für selektierte Objekte stattfinden, kann hier der Name einer AD-Gruppe angegeben werden, in der sich die Objekte befinden müssen.

2015-10-09 09_19_31-Microsoft Azure Active Directory Connect

Wählen Sie die folgenden Einstellungen je nach Bedarf. Hinter jeder Einstellung kann die Bedeutung über das „?“ Symbol eingesehen werden.

2015-10-09 09_20_13-Microsoft Azure Active Directory Connect

Nach Durchführung des Setup kann es zu einem Fehler bei der Synchronisation kommen. Die Ursache dafür liegt i.d.R. bei der Verwendung eines Proxy-Servers (siehe oben) oder bei inkorrekten Einrichtung der Servicekonten. Wenn Sie Anschluss den Synchronisation Service Manager starten wollen, kann es passieren, dass es zu der Fehlermeldung kommt dass, entweder der Dienst nicht läuft, oder aber Ihr Benutzerkonto keine Berechtigungen hat.

Benutzer die den Sync Service Manager aufrufen wollen, müssen Mitglied der Gruppe „ADSyncAdmins“ sein, die während des Setup angelegt wird. Melden Sie sich einmal von dem System ab und wieder an. Danach wird die Gruppenmitgliedschaft erkannt und der Sync Service Manager startet.

06

Weitere Informationen:

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s