IdFix: Fehler im Active Directory finden, Sync mit Azure AD vorbereiten


    Tags: ,

    Nutzer von IdFix M365-Diensten richten in der Regel ein hybrides AD ein, um über gemein­same Identitäten für Cloud- und lokale Ressourcen zu verfügen. Dafür synchronisieren sie mittels AAD Connect Objekte des lokalen AD nach Azure Active Directory (AAD). IdFix soll AD-Probleme beheben, bevor Sie Objekte des Verzeichnisses in die Cloud übertragen.

    Im Laufe einer jahrelangen Nutzung, Verwaltung und Konfiguration von Active Directory können sich Attribute so verändern, dass es bei der Synchro­nisierung von Benutzern mit Azure Active Directory zu Problemen kommt.

    Microsofts IdFix wurde entwickelt, um solche AD-Objekte zu identifizieren und zu reparieren, damit sie erfolgreich mit Azure Active Directory synchronisiert werden können.

    IdFix ausführen

    Sie können IdFix von der Microsoft GitHub-Seite als MSI-Datei herunterladen. Es lässt sich über einen Assistenten schnell und einfach mit einem "Weiter, weiter, fertig"-Verfahren installieren.

    Die Datenschutzerklärung weist Sie darauf hin, dass IdFix Informationen aus dem Active Directory sammelt und diese abhängig von den gewählten Optionen in eine CSV- oder LDF-Datei speichert. Da sie personenbezogene Daten enthalten kann, sollte man die Datei nach Ende der IdFix-Nutzung löschen.

    Das Dienstprogramm ist sehr einfach zu bedienen. Beachten Sie, dass Sie es auf einer Arbeitsstation starten müssen, die mit der Domäne verbundenen ist, damit es Active Directory abfragen kann. Alternativ kann man Objekte aus einer CSV-Datei importieren.

    IdFix kann Daten direkt aus dem Active Directory abrufen oder von einer CSV-Datei importieren.

    IdFix warnt dann vor Attributen, die nicht für die Replizierung markiert wurden, und weist darauf hin, dass es diese nicht auf Fehler prüft.

    IdFix warnt, dass es nicht replizierte Attribute bei der Prüfung überspringt.

    Nach dem Scan zeigt IdFix die Fehler an, die es im Active Directory findet. Eine detaillierte Erklärung der vom Dienst­programm erkennbaren Fehler findet sich in der offiziellen Dokumentation.

    IdFix wirft eine Liste der gefundenen Fehler aus.

    Gefundene Fehler bearbeiten

    Sie folgende Reihe Möglichkeiten, die Fehler zu beheben:

    • Edit: Das Update-Feld enthält den Wert, den Sie auf das Objekt anwenden möchten. Admins können dessen Inhalt ändern.
    • Complete: Damit markiert man den Datensatz als abgeschlossen und man kann die Aktion für das redundante Objekt auf Entfernen setzen.
    • Remove: Sie entfernen damit den Wert des Feldes, nicht das Objekt selbst.

    Wenn Sie mit allen vom IdFix-Dienstprogramm vorgeschlagenen Änderungen einverstanden sind, dann können Sie diese über die entsprechende Schaltfläche akzeptieren. Dadurch wechselt die Spalte Action automatisch auf Edit.

     Aktionen zur Behebung von Fehlern, die im Active Directory gefunden wurden.

    Sie erhalten eine Warnung, wenn Sie alle von IdFix vorgeschlagenen Änderungen akzeptieren. Im Bestätigungdialog fragt das Utility dann nochmal nach, ob man die Änderungen übernehmen möchte.

    Änderungen am Active Directory rückgängig machen

    Was ist, wenn Sie Änderungen vornehmen und dann feststellen, dass versehentlich falsche Werte geschrieben wurden? IdFix hat dafür eine Rückgängig-Funktion, welche das automatisch gespeicherte LDF-Backup nutzt, um die ursprünglichen Daten wiederherzustellen.

    Hinweis: IdFix speichert nur eine Ebene von Änderungen. Wenn Sie das AD mit IdFix mehrmals aktualisieren, dann steht Ihnen nur die letzte Rollback-Datei zur Verfügung.

    Änderungen am Active Directory rückgängig machen

    Wenn Sie auf die Schaltfläche Undo klicken, öffnet IdFix den Datei-Browser, der auf den Standard­speicherort für LDF-Sicherungen (c:\windows\system32 zeigt) zeigt. Sobald die Undo-Datei geladen ist, klicken Sie auf Accept, überprüfen Sie die Undo-Operation und schließen Sie die Aktion mit Apply ab.

    Undo-Operation akzeptieren und anwenden

    Zusammenfassung

    IdFix erlaubt es Administratoren, Probleme mit Attributen in einem lokalen Active Directory zu beheben, bevor dessen Objekte mit Azure Active Directory über Azure AD Connect synchronisiert werden.

    Das Dienstprogramm ist einfach zu bedienen. Die Rückgängig-Funktion ist ebenfalls sehr hilfreich, um unerwünschte Änderungen an dieser kritischen Infrastruktur ungeschehen zu machen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Jedes Mal muss ich an Obelix denken. Id(e)fix!!!