Azure AD Connect einrichten und betreiben (1)
Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im ersten Teil des Workshops gehen wir auf die Grundlagen von Azure AD Connect ein und erklären, welche Vorbereitungen Sie vor der ersten Synchronisation mit dem lokalen Directory treffen sollten.
Für Netzwerke egal welcher Größe ergibt es durchaus Sinn, den einen oder anderen Dienst in Richtung Azure oder Office 365 auszulagern. Die On-Premise-Landschaft, wie die lokale Infrastruktur im Microsoft-Jargon auch genannt wird, lässt sich dadurch erweitern. Und zumindest für diese Services sind dann die Zeiten von Hardwarebeschaffung und Ausbau des lokalen Rechenzentrums vorüber. Damit rücken aber andere Themen und Aspekte in den Fokus. Beispielsweise: Wie lassen sich in einem hybriden Szenario beide Welten verbinden? Diesbezüglich beschäftigen wir uns in diesem Beitrag mit Identitäten der Active Directory Domain Services (ADDS) und wie diese zu Office 365 gelangen, damit die Objekte in beiden Welten nutzbar sind.
Eigenes Active Directory für Office 365
Office 365 verwendet mit dem Azure Active Directory (Azure AD) einen eigenen Verzeichnisdienst, der dem lokalen Active Directory ähnelt. Jeder Benutzer, der Office 365 nutzt, benötigt ein Benutzerkonto in dem Cloud-Verzeichnisdienst. In kleineren Netzwerken ergibt es vielleicht noch Sinn, diese Benutzer von Hand anzulegen. Dies stößt aber in umfangreichen Umgebungen schnell an Grenzen. Das gilt auch dann, wenn der Administrator mehr Komfort für seine Anwender möchte. In diesem Zusammenhang tauchen immer wieder zwei Begriffe auf, die es zu unterscheiden gilt: "Same Sign-On" und "Single Sign-On".
Ersteres ist gemeint, wenn die Benutzer sich mit denselben Kontoinformationen in der Cloud anmelden wie im lokalen Netzwerk. Die Identitäten liegen dann quasi an zwei Orten. Bei Single Sign-On kommen die ADFS (Federation Services oder zu Deutsch: Verbunddienste) ins Spiel und der Zugriff der Anwender auf Office-365-Dienste vollzieht sich, bezogen auf die Authentifizierung, transparent. Egal, wie die Authentifizierung vonstattengeht, Benutzerkonten müssen immer im Azure AD vorliegen, nur so lassen sie sich lizensieren. Die Verbunddienste sind mittlerweile übrigens auch Teil des Installationspaketes von Azure AD Connect. Die sollen uns aber hier nicht weiter beschäftigen.
Automatisierung ist gefragt
Sie machen sich das Leben als Administrators deutlich leichter, wenn Sie das lokale AD mit dem Azure AD koppeln und über eine Synchronisation neu angelegte Benutzer turnusmäßig automatisch im Azure AD auftauchen. Änderungen und Löschungen werden natürlich genauso synchron gehalten. Microsoft bietet hier seit längerem ein Tool an, das bereits diverse Produktzyklen durchlaufen hat. Aktuell trägt es den Namen Azure AD Connect. Etwas verwirrend an dieser Stelle ist es, das Microsoft recht schnelle Produktwechsel vornahm beziehungsweise die Namen der Synchronisationstools häufig änderte.
Die erste Version hieß DirSync und wurde Ende 2014 durch den Nachfolger Azure AD Sync abgelöst. Knapp ein Jahr später war auch dieser wieder obsolet und Azure AD Connect war im Juni 2015 geboren, ohne das Microsoft das Rad der Synchronisation neu erfunden hat. Unter der Haube von Azure AD Connect läuft immer eine angepasste Version des Synchronisationsdienstes FIM (Forefront Identity Manager). Die Serverkomponente dürfte Ihnen bekannt vorkommen, sofern Sie in Ihrem lokalen AD Identitäten synchronisieren – zum Beispiel mit SQL-Datenbanken – oder zwischen AD-Strukturen, wenn Exchange in einem Ressource-Forest-Konstrukt zum Einsatz kommt.
Auch hierbei macht der Microsoft-Wandel nicht Halt und FIM heißt seit geraumer Zeit MIM (Microsoft Identity Manager). Bei FIM beziehungsweise MIM handelt es sich um eine ganze Produktpalette [www.microsoft.com/en-us/microsoft-365/enterprise-mobility-security]. Dies sei an dieser Stelle erwähnt, da sich in Bezug auf MIM die Synchronisation als Teil der Palette nicht wirklich geändert hat. In diversen Dokumentationen ist historisch bedingt immer noch von FIM die Rede. Diese Beschreibungen lassen sich für MIM gleichfalls umsetzen und somit in weiten Teilen auch für Azure AD Connect.
Ein Einsatzzweck, viele Varianten
Trickreich wird es für den Administrator, wenn er sowohl die MIM-Synchronisation als auch Azure AD Connect benötigt. Beide Dienste ticken unter der Haube zwar gleich, lassen sich aber nicht zusammen auf einem Server betreiben. Schade eigentlich, handelt es sich doch im Kern um die gleiche Technologie. Besitzen Sie bereits einen MIM-Server und möchten zusätzlich eine Synchronisation mit dem Azure AD einrichten, gäbe es noch die Möglichkeit, den Windows Azure AD Connector auf dem aktuellen MIM-Server zu verwenden. So sparen Sie zwar eine Serverlizenz, müssen aber bedenken, dass der Connector nicht weiterentwickelt wird. Support ist zwar noch gewährleistet, aber auf den Connector zu setzen ergibt trotzdem nicht viel Sinn.
Abgesehen davon flossen bereits die letzten neuen Funktionen nur in Azure AD Connect ein, so zum Beispiel das Zurückschreiben von Passwörtern aus Office 365 ins lokale AD. Bleibt also abzuwarten, wie Microsoft das bunte Software-Portfolio mit Synchronisationswerkzeugen weiter handhabt. Am Ende wartet hoffentlich das Ergebnis auf den Administrator, eine einzige Synchronisationslösung zu haben. Diese ist heute aber noch nicht absehbar.
Die Möglichkeiten von Azure AD Connect variieren, je nachdem welche Edition von Azure AD Sie für Office 365 abonniert haben. Hier gibt es nämlich neben der einfachen Basic-Variante auch Premium-Editionen, deren Nebeneffekt es ist, Azure AD Connect zu mehr zu befähigen als nur dem simplen Transfer von Objekten hinaus in die Cloudwelt von Microsoft. Hierzu zählt beispielsweise das Zurückschreiben von Passwörtern. Keine Sorge, in diesem Konstrukt werden nur die Hashes bewegt. Die Klartextpasswörter bleiben dort, wo sie hingehören. Das Ganze ist freilich nur ein Aspekt, wenn die Benutzer "Same Sign-On" nutzen. Umfasst das Setup eine Infrastruktur mit Verbunddiensten (ADFS), erfolgt kein Login im herkömmlichen Sinne in Office 365. Hierbei läuft die Authentifizierung in Office 365 über Claim-basierte Token, die mittels einer Verbundvertrauensstellung in der lokalen ADFS-Umgebung eingerichtet wird.
Erst aufräumen, dann synchronisieren
Damit die Synchronisation sauber funktioniert, sind einige Voraussetzungen vonnöten. Doppelte E-Mail-Adressen beispielsweise können für negative Effekte sorgen, deren Identifikation und Beseitigung später viel Zeit kosten. Damit Sie sich später nicht die Haare raufen, bietet Microsoft mit IdFix [www.microsoft.com/en-us/download/details.aspx?id=36832] ein Tool zum Download an, das den Objekten auf den Zahn fühlt. Es prüft die Identitäten im AD und weist auf mögliche Probleme hin. Diese lassen sich in der IdFix-GUI direkt korrigieren. Sollten die notwendigen Korrekturen im heimischen AD umfangreicher ausfallen, können Sie die Ergebnisse in eine CSV-Datei exportieren. Über Notepad oder Excel nehmen Sie dann im großen Stil mittels "Suchen und Ersetzen" Änderungen vor. Die letzte Spalte beinhaltet die "Action". Tragen Sie hier analog zur GUI die für das Objekt gewünschte Maßnahme (etwa "EDIT") ein. Achten Sie bei der Schreibweise darauf, dass diese der Anzeige in der GUI entspricht, ansonsten wird der Befehl ohne Fehlermeldung oder Hinweis ignoriert.
Zusätzlich enthält der Download ein Word-Dokument, das die Handhabung des Tools detailliert erörtert. Sind Sie im Besitz eines umfangreichen AD, haben Sie die Möglichkeit, über das unscheinbare Zahnradsymbol oben rechts in der Menüleiste die Suche einzugrenzen. IdFix benötigt kein aufwendiges Setup und auch keine weitreichenden Rechte, abgesehen von OU-Schreibrechten für mögliche Korrekturen. Erwähnenswert in diesem Zusammenhang ist noch ein Artikel unter [https://docs.microsoft.com/de-de/office365/enterprise/prepare-for-directory-synchronization?redirectSourcePath=%252fen-gb%252farticle%252fPrepare-to-provision-users-through-directory-synchronization-to-Office-365-01920974-9e6f-4331-a370-13aea4e82b3e]. Er beschreibt, worauf es beim "Housekeeping" vor der Synchronisation ankommt und ist eine gute Ergänzung zum mitgelieferten Word-Dokument. Unterschätzen Sie nicht, wie wichtig es ist, mit einem aufgeräumten AD zu starten. Relikte aus vergangenen Migrationen haben im Azure AD nichts zu suchen und lassen sich, einmal synchronisiert, oft nur mit hochgekrempelten Ärmeln und der PowerShell entfernen. Sehen Sie den Weg in die Cloud als gute Gelegenheit, um auszumisten.
Vielseitige Synchronisationsmöglichkeiten
Ein Server, auf dem Azure AD Connect installiert ist, sollte in Ihrem Netzwerk ausreichen. Denn Sie können dem Server eine ganze Liste an Domänen mitgeben, die er mit Office 365 synchronisiert. Wichtig an dieser Stelle ist, dass das Benutzerkonto, das Sie im Installationsassistenten für die jeweilige Domäne angeben, einen Domänencontroller (DC) finden und ansprechen kann. Dieser darf wegen des schreibenden Zugriffs kein RODC (Read Only Domain Controller) sein.
Der Synchronisationsserver muss auch nicht zwingend als Mitgliedserver in einer der Domänen laufen. Ein Standalone-Server ist genauso denkbar wie eine Installation von Azure AD Connect auf einem DC. Das wiederum dürfte durchaus für ein Setup in kleinen Umgebungen interessant sein.
Ein weiterer Aspekt ist der SQL-Server: Dieser kann auf dem Azure-AD-Connect-Server laufen. Wenn gewünscht, richtet das Setup ihn gleich fix und fertig ein. Werkelt in Ihrem Netzwerk bereits ein SQL-Server, sollten Sie diesen nutzen. Das spart Ressourcen auf dem Azure-AD-Connect-Server und operative Prozesse für SQL sind in Ihrem Haus ohnehin schon etabliert. Kümmert sich das Setup um SQL, ist die installierte Version ein Microsoft SQL Server 2012 Express LocalDB. Dieser Vorgang ist aber transparent. Mit dem SQL-Server kommen Sie aus Sicht von Azure AD Connect nicht weiter in Berührung. Wichtig in dem Zusammenhang ist übrigens, dass Sie bei Nutzung der MIM-Synchronisation den gleichen SQL-Server verwenden können, da die Datenbanken unterschiedliche Namen tragen. Das ist ein durchaus positiver Nebeneffekt.
Eine Liste mit Software- und HardwareAnforderungen für AD Connect, die auch auf die Szenarien mit unterschiedlichen Domänen und Funktionsebenen des AD eingeht, finden Sie im TechNet [https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-install-prerequisites].
Im zweiten Teil schauen wir uns das Setup des Diensts an, erklären, wie Sie Synchronisationsintervalle festlegen und diskutieren, ob Hochverfügbarkeit nötig ist. Im dritten Teil geben wir Tipps, wie Sie die Synchronisation im Auge behalten und welche Grundregeln Sie bei der Konfiguration stets beachten sollten.