AAD Connect: AD-Objekte mit Azure Active Directory synchronisieren

AAD Connect transferiert optional die Kennwörter alle 2 Minuten sicher in Form von Hashes (genauer: Hashes der lokalen Hashes), damit diese nicht rekonstruiert werden können. Dies ermöglicht Usern des Windows Active Directory, sich anschließend mit ihren bisherigen Zugangs­daten am Azure AD für Cloud-Apps anzumelden.

Dabei unterstützt Azure AD auch die Multifaktor-Authenti­fizierung (MFA). Dieses und andere Features habe ich bereits in vorange­gangenen Artikeln ange­sprochen, unter anderem in den Grundlagen von Azure AD und einem Beitrag über die Benutzerverwaltung im Azure Portal.

Voraussetzungen und Verfügbarkeit

Das AAD Connect Sync-Tool kann vom Microsoft Download Center herunter­geladen werden und liegt aktuell in Version 1.1.281.0 vor, welche auch die deutsche Azure Cloud unterstützt. Die 75 MB große AzureADConnect.msi führt man dann auf einem Windows Server 2008 (R2) oder 2012 (R2) aus. Microsoft unterstützt auch eine Installation in einer Azure-VM.

In meinem Labor kommt das Tool unter Windows Server 2016 zum Einsatz, jedoch ist der Support für dieses OS mit o.g. Versions­nummer noch nicht ausgewiesen. Es kann in der Express-Variante wahlweise direkt auf einem Domänen Controller oder Member Server installiert werden.

Persönlich würde ich mich je nach Unternehmens­größe für den Member Server entscheiden, um die essentiellen Domänen­dienste nicht durch zusätzliche Services zu belasten.

Da AAD Connect Daten in einer Datenbank speichert, benötigt es einen lokalen SQL Server ab 2008 SP4 oder den im Paket enthaltenen SQL Server Express in der Light-Version. Bedenken sollte man jedoch dann das Datenbanklimit des SQL Express von 10 GB.

Zusätzlich ist ein globaler Administrator-Account aus Azure AD erforderlich sowie ein Enterprise Administrator im lokalen Verzeichnis. Die Liste der Firewall-Ports kann abhängig von der gewählten Topologie hilfreich sein.

Werden zwischen 10.000 und 50.000 AD-Objekte synchronisiert, liegen die minimalen Anforderungen an den AAD Connect Server bei einer 1.6 GHz CPU, 4 GB RAM und 70 GB HDD. Auch sollte die routingfähige Domäne unterhalb von Domänen im Azure Active Directory hinzugefügt und auf Eigentum hin überprüft worden sein. Alle Suffixe für UPNs (User Principal Name), die beispielsweise auf local enden, werden nach onmicrosoft.com synchronisiert.

Express-Installation

Die Installations­routine in der Express-Variante von Azure Active Directory Connect verlangt nur elementare Eingaben hinsicht­lich der Konfiguration und kann die erste Wahl für kleinere On-Prem Domänen darstellen. Der Willkommens­bildschirm weist auf die Installation der Synchronisierungs­dienst­kompo­nenten hin, welche auf dem entsprechenden Server platziert werden.

Neben dem Hauptdienst AAD Connect Sync kommen zusätzlich ein AAD Connect Health Agent zum Einsatz und bei Verwendung des SQL Server 2012 Express dessen LocalDB. Mit dem Klick auf Weiter entscheidet man sich dann für die Express-Einstellungen inklusive Kennwort­synchroni­sierung. Alternativ wird im unteren Bereich über Anpassen die benutzer­definierte Variante gestartet.

In unserem Beispiel entscheiden wir uns für die Express-Einstellungen und wählen diese aus. Wie bereits erwähnt, sind anschließend die Zugangs­daten eines globalen Azure-AD-Admini­strators nötig, sowie ein Enterprise Admin zum Verbinden mit dem lokalen Verzeichnis.

Der Klick auf Weiter konfiguriert dann den Connector oder weist zuvor auf ungeprüfte Domänen hin, welche gegebenen­falls auch nicht routingfähig sind. Die Verzeichnissynchronisierung im AAD Verzeichnis wird unterhalb der Verzeichnisintegration automatisch aktiviert. Ein erster Synchroni­sierungs­vorgang passiert unmittelbar nach der Installation.

Azure Portal und Benutzerverwaltung

Öffnet man nun das Azure Portal samt Azure AD und schaltet sich auf die Benutzer, dann erkennt man sofort, wo der User seinen Ursprung hat. Die Labor-Domäne endet in diesem Fall auf local und wird wie in der Abbildung dargestellt nach onmicrosoft.com gewandelt.

Eine überprüfte Domäne vom Typ .de oder .com würde hier durchgängig repliziert und User loggen sich anschließend mit einem Account für Azure Cloud Apps ein.

Der Start des AAD-Connect-Tools über die Verknüpfung am Server erlaubt eine detaillierte Anpassung im Nachgang. So lassen sich unter anderem gezielt OUs filtern und synchronisieren. Zusätzlich bietet der mitgelieferte Synchronization Service Manager, erreichbar vom Startmenü aus, ein Journal über erfolgreiche Connector Operationen und Export Statistiken. Eine Delta Synchronisation erfolgt alle 30 Minuten und kann auch manuell ausgelöst werden.