Mehrere Active Directory-Forests zu einem Microsoft-365-Tenant migrieren

Roland Eich, 30.07.2020
Tags: Azure, Active Directory, Synchronisierung, Microsoft 365

Mehrere AD-Gesamtstrukturen auf einen Microsoft-365-Tenant synchronisieren Manchmal kommt es vor, dass nicht nur eine lokale AD-Gesamtstruktur zu einem Microsoft-365-Mandanten übertragen werden soll, sondern gleich mehrere. Azure Active Directory Connect (AAD Connect) ist hierfür die passende Lösung. Dabei sollte man die Synchronisierung redundanter Konten vermeiden.

Vorab ist es wichtig zu klären, wo später gearbeitet werden soll. Möchte man die beiden Domänen parallel weiterverwenden und in der Cloud zum Beispiel nur Exchange Online oder andere M365-Dienste nutzen? Oder will man eine Domäne migrieren und eine Gesamtstruktur danach auflösen?

Im ersten Schritt muss man beide Forests in AAD Connect einrichten. Dies geschieht unter Synchronisierungsoptionen.

Dort wechselt man zu Verzeichnisse verbinden.

Der neue Domänenname, den man hinzufügen möchte, muss in das Feld bei Gesamtstruktur eingetragen werden. Trotz AD-Vertrauensstellung scheinen die Domänen, denen vertraut wird, hier nicht auf.

Es bietet sich bei dieser Gelegenheit an, für die Synchronisation ein eigenes Konto anlegen zu lassen. Zu diesem Zweck muss man ein administratives Konto aus der jeweiligen Domäne angeben.

Beim anschließenden Beenden fragt AAD Connect, ob bereits eine erste Synchronisation erfolgen soll. Diese würde sich auf die Organisationseinheiten beschränken, welche im Sync-Tool angegeben wurden.

Sollten über den Rules-Editor Regeln angelegt worden sein, zum Beispiel für die Synchronisierung der Password-Hashes oder dass nur User mit bestimmten Attributen übertragen werden sollen, dann muss man diese Regeln auch für die neu hinzugefügte Domäne erstellen.

Im Synchronization Service Manager sollte nun ein neuer Connector zu sehen sein.

Forest mit IdDix prüfen

An dieser Stelle sei noch empfohlen, IdFix einmal über die jeweilige Gesamtstruktur laufen zu lassen, bevor man damit beginnt, Benutzer mit AAD Connect zu synchronisieren.

Dieses Tool dient dazu, die Benutzerdaten zu validieren. Identifizierte Probleme bereitet IdFix grafisch auf und können direkt im Programm behoben werden. Wenn IdFix Attribute als fehlerhaft auswirft, aber diese später ohnehin nicht synchronisiert werden sollen, dann braucht man diese erst einmal auch nicht zu reparieren.

Zudem sollte das Tool so eingeschränkt werden, dass es wirklich nur Benutzer aus dem AD ausliest, welche später auch in der Cloud arbeiten sollen. Ansonsten könnte die generierte Übersicht besonders in größeren Gesamtstrukturen zu umfangreich werden.

Dubletten vermeiden

Des Weiteren sollte man bei der Migration redundante Objekte vermeiden. Hat man zum Beispiel einen Benutzer mit ADMT von einer Gesamtstruktur an die andere migiriert, dann sollte man nur einen der beiden nach Microsoft 365 übertragen, ansonsten kommt es zu Synchronisationsfehlern.

Wenn ein Benutzer von einer Gesamtstruktur in die andere wechselt, findet das Matching der Benutzer anhand des User Principal Name (UPN) statt. Dabei muss das Konto in Domäne A von der Synchronisation ausgeschlossen und der migrierte User in Domäne B in diese aufgenommen werden.

Hat man zudem verknüpfte Postfächer eingerichtet, dann wird der Benutzer in der Gesamtstruktur, in der sich das verknüpfte Postfach befindet, nicht nach Microsoft 365 synchronisiert.

Microsoft beschreibt auf dieser Seite weitere Szenarien für die Migration unterschiedlicher Topologien mit AAD Connect.

Täglich Know-how für IT-Pros mit unserem Newsletter

Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).

// Kontakt: E-Mail //