Azure AD Connect einrichten


    Tags: , , ,

    AD DS und Azure AD synchronisieren mit AAD ConnectIst ein benutzerdefinierter Domänenname für die lokale Domäne im Azure AD eingetragen, können Sie Azure AD Connect in Ihrer lokalen Domäne installieren. Das Tool bietet mehrere Optionen zum Synchronisieren lokaler Konten. Dieser Beitrag demonstriert das Verfahren, bei dem auch die Passwort-Hashes übertragen werden.

    Wir werden das Tool hier der Einfachheit halber direkt auf einem Domänen-Controller installieren. Voraus­setzung dafür ist, dass es sich um genau den DC handelt, dessen öffentlichen Domänennamen Sie zuvor im Azure AD registriert haben. In produktiven Umgebungen wird man stattdessen einen Member-Server für diesen Zweck verwenden.

    Wenn Sie an ihrem On-Premise-Standort nur einen lokalen Domänen­namen verwenden, dann müssen Sie in Active Directory-Domänen und Vertrauensstellungen ggf. zusätzliche verwendbare öffentliche Domain-Suffixe bei Benutzerprinzipalnamen-Suffixe eintragen. Dies setzt voraus, dass Sie die angegeben Domänen auch besitzen.

    Benutzerdefinierte Suffixe hinzufügen

    Danach können Sie Azure AD Connect von Microsoft kostenlos herunterladen. Alternativ öffnen Sie auf Ihrem Member-Server oder DC einfach das Azure-Portal, suchen nach dem Dienst Azure AD und klicken auf der Übersichtseite auf Azure AD Connect und dort auf den Link Azure AD Connect herunterladen.

    Azure AD Connect aus dem Azure-Portal herunterladen

    Methoden zur Synchronisierung

    Schon hier ist zu erkennen, dass es im Prinzip vier Möglichkeiten gibt, ihre lokalen Entitäten zu synchronisieren:

    • Azure AD-Cloud­synchronisierung
    • Azure AD Connect Kennwort-Hash­synchronisierung
    • Passthrough-Authentifizierung
    • Verbund (ADFS)

    Eine differenzierte Betrachtung der einzelnen Methoden einschließlich deren Vor- und Nachteile sprengt den Rahmen dieses Beitrags. Wir zeigen hier das am einfachsten verwendbare Verfahren, nämlich Kennwort­hash­synchronisierung, die Microsoft auch als Default vorsieht.

    Dies ist außerdem der einzige Modus, bei dem Sie nicht dauerhaft von einer Internet-Verbindung oder der Verfügbarkeit Ihres Domain-Controllers abhängig sind, weil nicht nur die Benutzer­identitäten in die Cloud synchronisiert werden, sondern auch deren Passwort-Hashes.

    Letzteres ist aber für viele Unternehmen auch das k.o-Kriterium, weil unternehmens­eigene oder gesetzliche Richtlinien verbieten, dass Benutzer-Passwörter - und seien es auch nur deren Hashes - in der Cloud gespeichert werden. Das unten­stehende Schaubild von Microsoft verdeutlicht die Arbeitsweise dieses Verfahrens.

    Funktionsweise der Kennworthashsynchronisierung

    Voraussetzungen für AAD Connect

    Zum erfolgreichen Einrichten von AAD Connect benötigen Sie ein Azure-AD-Konto mit der Berechtigung Globaler Administrator. Sie sollten dazu nicht ihren regulären AAD-Admin-Account verwenden, zumal ein solcher in der Regel mit MFA verknüpft ist, sondern ein separates Konto wie syncaadmin anlegen.

    Für die ADDS-Seite benötigen Sie einen Benutzer mit Enterprise-Berechtigung. Ferner sollten Sie für einen Proof-of-Concept eine separate OU anlegen, in der Sie einen einzigen Benutzer oder eine Gruppe aufnehmen, die später für einen ersten Test synchronisiert werden.

    Für erste Tests empfiehlt es sich, erstmal nur eine spezifische OU zu synchronisieren.

    Azure AD Connect installieren

    Nun können Sie den Installations­assistenten von Azure AD Connect starten. Unter Express-Einstellungen entscheiden Sie sich unbedingt für eine benutzerdefinierte Konfiguration, indem Sie auf Anpassen klicken.

    Das ist schon deshalb wichtig, damit Sie ausschließlich Ihre oben erstelle OU synchronisieren können. Andernfalls würden alle Benutzer aus dem ADDS übertragen, was die Gefahr birgt, dass unnötiger­weise auch privilegierte Konten in die Cloud gelangen.

    Die Umgehung der Express-Installation erlaubt mehr Kontrolle

    Bei Erforderliche Komponenten installieren klicken Sie auf Weiter, um im Schritt Benutzer­anmeldung die gewünschte Anmeldemethode wählen zu können. Übernehmen Sie den Vorschlag Kennwort-Hashsynchronisierung und aktivieren ganz unten zusätzlich Einmaliges Anmelden aktivieren.

    Die Kennwort-Hashsynchronisierung ist am einfachsten konfigurierbar.

    Im nächsten Abschnitt Mit Azure AD verbinden brauchen Sie dann den oben erwähnten Azure-AD-Account mit der Rolle Globaler Administrator.

    Zunächst braucht man ein administratives AzureAD-Connect-Konto

    Im Dialog Verzeichnis verbinden wählen Sie dann die gewünschte Gesamtstruktur und klicken auf Verzeichnis hinzufügen.

    Die zu synchronisierende Gesamtstruktur auswählen

    Hier muss nun ein neues AD-Konto erstellt werden. Der Assistent kann das automatisch erledigen, braucht dazu aber dazu ein gültiges Konto vom Typ Unternehmensadministrator.

    Zum Anlegen des lokalen Sync-Accounts braucht man einen Enterprise-Administrator.

    Im Abschnitt Azure AD-Anmeldungskonfiguration müssen Sie sicherstellen, dass das angegebene Active Directory-UPN-Suffix von der Azure AD-Domäne überprüft wurde, andernfalls wird zwar die eigentliche Synchronisation, nicht aber Single-Sign-on funktionieren. Das lokale Attribut für die Verwendung als Azure-AD-Benutzername sollten Sie auf userPrinzipalName belassen.

    Das lokale Attribut ist per Default der userPrincipalName

    Im nächsten Schritt Domänen-/OE-Filterung können Sie dann für den erwähnten Proof-of-Concept ausschließlich die gewünschte OU auswählen.

    Der OU-Filter verhindert, dass privilegierte Konten in die Cloud synchronisiert werden.

    Im Dialog Ihre Benutzer werden eindeutig identifiziert belassen wir für dieses Beispiel-Setup alle Einstellungen für die Existenz eines Benutzers in mehreren Verzeichnissen sowie den Quellanker auf den Vorgabewerten.

    Wenn Benutzeridentitäten in mehreren Verzeichnissen existieren, sind weitere Konfigurationsmaßnamen erforderlich.

    Ferner verzichten wir im Abschnitt Benutzer und Geräte filtern neben dem OU-Filter auf eine weitere Filterung und klicken auf Weiter. Im vorletzten Dialog Optionale Features können Sie dann ggf. noch weitere Funktionen aktivieren, wie etwa Kennwort­zurück­schreiben oder Geräte­zurück­schreiben.

    Das Kennwortzurückschreiben erlaubt ein bidirektionales Synchronisieren, so dass in der Cloud geänderte Kennwörter zurück zu den

    Zum Abschluss finden Sie eine Zusammenfassung sämtlicher getätigter Einstellungen und können entscheiden, die Synchronisation sofort im Anschluss zu starten. Alternativ können Sie nur den Stagingmodus aktiveren, falls Sie ein Active/Standby-Setup für AzureAD-Connect planen. Ist alles OK, klicken Sie auf Installieren.

    Mit Klick auf Installieren leiten Sie im Normalfall auch die erste Synchronisation ein.

    Nun wird zunächst das oben erwähnte Synchronisationskonto im ADDS erstellt.

    Zuerst wird stets das AAD-Synchronisationskonto erstellt.

    Es ist übrigens auch das erste, welches ins AAD synchronisiert wird, was Sie dort sofort überprüfen können.

    Das Synchronisationskonto wird als erstes vom lokalen AD in das Azure AD übertragen.

    Die Benutzer der synchronisierten OU tauchen dann auch in der User-Verwaltung des Azure AD auf, und auf der Übersichtseite von Azure AD hat Azure AD Connect nun den Status Aktiviert.

    Azure AD Connect scheint im Azure AD als 'Aktiviert' auf.

    Schließlich sollten Sie noch unbedingt daran denken, den ADDS-Papierkorb zu aktivieren.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Wir haben einen zusätzlichen öffentliche Domain-Suffix bei Benutzerprinzipalnamen-Suffixe eintragen.
    Bei der Überprüfung der "Azure AD-Anmeldungskonfiguration" wird die lokale Domain als "nicht hinzugefügt" und die öffentliche Domain als "überprüft" dargestellt.
    Hier müssten wir "Ohne Abgleich aller UPN-Suffixe.." weitermachen.
    Leider würde am Schluss bei der Zusammenfassung die öffentliche Domain dann in xxxxx.onmicrosoft.com umgewandelt.
    Beim Punkt "Verzeichnis verbinden" funktioniert nur die lokale Domain.
    Was fehlt hier? Danke!