Tags: Azure, Active Directory, Synchronisierung
Azure Active Directory Connect wird in der Regel auf einem einzelnen Server installiert. Fällt dieser aus, dann kann dies zu Problemen führen, je nachdem wie abhängig ein Unternehmen von Microsoft 365 ist. Wenn man die Einstellungen des primären Servers exportiert, kann man damit einen Standby-Server einrichten.
Grundsätzlich lässt sich ein AAD Connect Server auch mit einem Backup sichern, aber Microsoft sieht daneben auch Bordmittel vor, um einen Sync-Server aus den exportierten Einstellungen zu installieren. Die Importfunktion ist erst ab der Version 1.5.42.0 vorhanden.
Beim Thema Ausfallsicherheit von AAD Connect ist es wichtig zu wissen, dass es nur einen aktiven Server geben darf, welcher die Verzeichnisse synchronisiert. Der in dieser Anleitung eingerichtete Ersatz-Server muss daher im Staging-Modus betrieben werden.
Daten exportieren
Jedes Mal, wenn man über den Assistenten von AAD Connect Änderungen vornimmt, dann wird eine JSON-Datei mit einem Zeitstempel in das Programmverzeichnis des Servers geschrieben.
Diese Dateien enthalten jedoch keine Einstellungen, welche man per PowerShell, Rules Editor oder im Synchronisationseditor konfiguriert hat. Diese müssen daher per Hand exportiert werden.
Regeln und Konnektoren exportieren
Beim Editor für die Sync-Regeln markiert man dazu die gewünschten Einträge und startet dann die Exportfunktion über den Export-Button am unter Abschnitt des Fensters.
Im Synchronization Service Manager verhält es sich ähnlich, dort führt man den Exportbefehl aus dem Kontextmenü der betreffenden Connectors aus.
Anstelle dieser getrennten Aktionen wären ein globaler Export und später ein globaler Import natürlich schöner.
Daten in neuen AAD Connect Server übernehmen
Für den Import muss man bei der Installation auf der Willkommensseite den Modus Anpassung wählen. Anschließend hakt man bei Erforderliche Komponenten installieren die Option Synchronisierungseinstellungen importieren an und teilt dem Assistenten den Speicherort der exportierten Einstellungen mit.
Gleich nach dem Start der Installation fordert der Wizard einige Daten an, beispielsweise welches Verfahren man für die Benutzeranmeldung einsetzen möchte.
Unter Verzeichnis verbinden möchte AAD Connect nun neue Konten anlegen. Hier würde es sich anbieten, die bereits zuvor erstellten Accounts zu nehmen, anstatt wieder neue erstellen zu lassen. Besser wäre es, wenn der Importvorgang die vorhandenen Daten und Konten der alten Konfiguration übernehmen könnte.
Hinweis: Beim Eingeben der Anmeldeinformationen der Domain nullpe.com fiel mir auf, dass die Anmeldung mit dem User in der Form "Domäne\Benutzername" nicht klappte, bei der Domäne smartsocke.com dagegen schon. Hier hilft dann meist die Anmeldung mit dem UPN, also zum Beispiel administrator@nullpe.com.
Zum Abschluss der Konfiguration wird nun auch nach dem Staging-Modus gefragt.
Wie bereits eingangs erwähnt, darf immer nur eine Instanz von AAD Connect die Objekte zwischen den Verzeichnissen abgleichen, so dass der neue Server nur als Standby fungieren kann und wir daher den Staging-Modus aktivieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Geräte über Hybrid Join in Azure AD registrieren
- Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Azure AD Connect einrichten
- SSO für lokale Active Directory-Konten beim Zugriff auf die Microsoft-Cloud konfigurieren
Weitere Links