Passwort-Hashes mit Azure Active Directory Connect synchronisieren

    Azure AD ConnectWenn Unter­nehmen bei einer hybriden Konfi­guration bestehend aus einem lokalem AD und Azure AD die Passwort-Hashes nicht in die Cloud über­tragen möchten, dann können sie für die Authenti­fizierung ADFS dazwischen­schalten. Ein Kompromiss wäre, nur die Kenn­wörter be­stimmter User mit AAD Connect abzu­gleichen.

    Ein Anwendungsfall für ein gemischtes Active Directory ist eine hybride Installation von Exchange. Sie setzt die Synchro­nisierung von Konten zwischen on-Prem und der Cloud voraus. Für die Authen­tifizierung bietet Microsoft mit der Kennwort-Hash-Synchronisierung eine Option, die in vielen Fällen die Installation der komplexen ADFS ersetzen kann.

    Hash-Synchronisierung abhängig von AD-Attribut

    In diesem Beitrag geht es darum, den Passwort-Hash bestimmter Benutzer oder Benutzer­gruppen mit der Microsoft-365-Cloud zu synchronisieren. Dabei bedienen wir uns der Attributfilterung. In unserem Beispiel synchronisieren wir alle Benutzer, welche den Wert AAD im extensionAttribut3 enthalten haben.

    Wir werden dabei zwei benutzer­definierte Regeln im Synchronization Rules Editor erstellen. Die erste repliziert Benutzer mit und die zweite ohne Passwort-Hash. Zudem deaktivieren wir die Standard­regel für den Passwort-Hash, da wir diese nicht mehr benötigen.

    Bevor wir die neuen Regeln konfigurieren, schalten wir die Password-Hash-Synchronisierung im AAD Connector ab.

    Vor der Definition von Regeln für die Synchronisierung der Passwort-Hashes sollte man Letztere deaktivieren.

    Kopie der Standardregel als Basis für neue Regel

    Im Editor für die Synchronisierungs­regeln suchen wir nun nach der Standard­kennwort­synchronisations­regel.

    Standardregel für die Password-Synchronisierung im Rules Editor öffnen

    Wir erzeugen eine Kopie dieser Regel, indem wir sie markieren und auf Edit klicken. Anschließend wird uns angeboten, eine Kopie dieser Regel anzulegen.

    Kopie der Standardregel für die Synchronisierung von Kennwort-Hashes erstellen

    Regel zum Synchronisieren ohne Hashes

    Zuerst erstellen wir die Regel ohne den Passwort-Hash. Ein entsprechender Name sollte ihren Zweck widerspiegeln, damit sie später für Änderungen leichter gefunden werden kann. Zudem muss man die Priorität ändern, zum Beispiel auf den Wert 90. Dies ist notwendig, da die von uns erstellten Regeln vor den Standardregeln ausgeführt werden sollen, welche ab der Priorität 100 anfangen.

    Die Kontroll­kästchen Enable Password Sync und Disabled werden nicht angehakt und bleiben somit leer.

    Regel für jene Konten erstellen, deren Passwort-Hash nicht in die Cloud synchronisiert werden sollen.

    Unter Scoping filter fügen wir nun einen weiteren Filter hinzu, bei dem wir unser extension-Attribut als Kriterium nutzen können.

    Der Filter soll prüfen, ob im extensionAttribute3 die Zeichenkette 'AAD' nicht enthalten ist.

    Mehr müssen wir an dieser Regel nicht anpassen. Der Editor kann nun über die Schaltfläche Speichern geschlossen werden.

    Regel zum Synchronisieren der Hashes

    Nach dem gleichen Muster legen wir nun die Regel an, welche wir zum Synchronisieren der Passwort-Hashes brauchen, allerding mit einigen Änderungen.

    Die Priorität liegt nun bei 89, da diese Regel vor der eben erstellten Regel laufen soll. Zudem haken wir das Kästchen bei Enable Password Sync dieses Mal an.

    Regel für jene Konten erstellen, deren Passwort-Hash in die Cloud synchronisiert werden sollen.

    Im Bereich Scoping filter wird aus dem NOTEQUAL ein EQUAL, da die Bedingung jetzt ja zutreffen soll, wenn der Wert AAD im Attribut enthalten ist.

    Über den Filter werden alle Konten ausgewählt, deren extensionAttribute3 den Wert 'AAD' enthält

    Auch diese Regel kann nun mit Speichern geschlossen werden. Dabei kommt immer ein kleines Fenster mit einem Hinweis hoch, welches man mit Ok bestätigt.

    Anschließend sollte man über PowerShell einmal eine vollständige Synchronisierung mit folgendem Befehl anschieben:

    Start-ADSyncSyncCycle -PolicyType Initial

    Initiale Synchronisierung über das Cmdlet Start-ADSyncSyncCycle anstoßen

    Der Vorgang kann jetzt gut im Synchronization Service Manager beobachtet werden.

    Synchronisierung der Password-Hashes im Synchronization Service Manager überwachen

    Zum Schluss aktivieren wir wieder die Kennwort-Hash-Synchronisierung über den AAD Connector.

    Wenn ein Benutzer sein Kennwort in der lokalen Domäne ändern sollte, dann kann es bis zu fünf Minuten dauern, bis es auch in Microsoft 365 auf dem neuesten Stand ist.

    Für das Troubleshooting hilft die Ereignisanzeige auf dem AAD-Connect-Server im Bereich Anwendung weiter. Dort sollte man sich die Ereignisse mit der ID 656 und 657 näher anschauen.

    Für die Fehlersuche sollte man nach Einträgen mit der ID 656 und 657 im Eventlog suchen.

    Um die Passwort­synchronisierung per PowerShell zu prüfen, kann das Cmdlet Invoke-ADSyncDiagnostics verwenden, das in AAD Connect ab Version 1.1.524.0 enthalten ist:

    Invoke-ADSyncDiagnostics -PasswordSync

    Um Fehlern bei der Synchronisierung auf die Schliche zu kommen, gibt es das Cmdlet Invoke-ADSyncDiagnostics als weiteres Tool.

    Die komplette Troubleshooting-Beschreibung von Microsoft ist hier zu finden.

    Keine Kommentare