Tags: Active Directory, Synchronisierung
Nutzer von M365-Diensten richten in der Regel ein hybrides AD ein, um über gemeinsame Identitäten für Cloud- und lokale Ressourcen zu verfügen. Dafür synchronisieren sie mittels AAD Connect Objekte des lokalen AD nach Azure Active Directory (AAD). IdFix soll AD-Probleme beheben, bevor Sie Objekte des Verzeichnisses in die Cloud übertragen.
Im Laufe einer jahrelangen Nutzung, Verwaltung und Konfiguration von Active Directory können sich Attribute so verändern, dass es bei der Synchronisierung von Benutzern mit Azure Active Directory zu Problemen kommt.
Microsofts IdFix wurde entwickelt, um solche AD-Objekte zu identifizieren und zu reparieren, damit sie erfolgreich mit Azure Active Directory synchronisiert werden können.
IdFix ausführen
Sie können IdFix von der Microsoft GitHub-Seite als MSI-Datei herunterladen. Es lässt sich über einen Assistenten schnell und einfach mit einem "Weiter, weiter, fertig"-Verfahren installieren.
Die Datenschutzerklärung weist Sie darauf hin, dass IdFix Informationen aus dem Active Directory sammelt und diese abhängig von den gewählten Optionen in eine CSV- oder LDF-Datei speichert. Da sie personenbezogene Daten enthalten kann, sollte man die Datei nach Ende der IdFix-Nutzung löschen.
Das Dienstprogramm ist sehr einfach zu bedienen. Beachten Sie, dass Sie es auf einer Arbeitsstation starten müssen, die mit der Domäne verbundenen ist, damit es Active Directory abfragen kann. Alternativ kann man Objekte aus einer CSV-Datei importieren.
IdFix warnt dann vor Attributen, die nicht für die Replizierung markiert wurden, und weist darauf hin, dass es diese nicht auf Fehler prüft.
Nach dem Scan zeigt IdFix die Fehler an, die es im Active Directory findet. Eine detaillierte Erklärung der vom Dienstprogramm erkennbaren Fehler findet sich in der offiziellen Dokumentation.
Gefundene Fehler bearbeiten
Sie folgende Reihe Möglichkeiten, die Fehler zu beheben:
- Edit: Das Update-Feld enthält den Wert, den Sie auf das Objekt anwenden möchten. Admins können dessen Inhalt ändern.
- Complete: Damit markiert man den Datensatz als abgeschlossen und man kann die Aktion für das redundante Objekt auf Entfernen setzen.
- Remove: Sie entfernen damit den Wert des Feldes, nicht das Objekt selbst.
Wenn Sie mit allen vom IdFix-Dienstprogramm vorgeschlagenen Änderungen einverstanden sind, dann können Sie diese über die entsprechende Schaltfläche akzeptieren. Dadurch wechselt die Spalte Action automatisch auf Edit.
Sie erhalten eine Warnung, wenn Sie alle von IdFix vorgeschlagenen Änderungen akzeptieren. Im Bestätigungdialog fragt das Utility dann nochmal nach, ob man die Änderungen übernehmen möchte.
Änderungen am Active Directory rückgängig machen
Was ist, wenn Sie Änderungen vornehmen und dann feststellen, dass versehentlich falsche Werte geschrieben wurden? IdFix hat dafür eine Rückgängig-Funktion, welche das automatisch gespeicherte LDF-Backup nutzt, um die ursprünglichen Daten wiederherzustellen.
Hinweis: IdFix speichert nur eine Ebene von Änderungen. Wenn Sie das AD mit IdFix mehrmals aktualisieren, dann steht Ihnen nur die letzte Rollback-Datei zur Verfügung.
Wenn Sie auf die Schaltfläche Undo klicken, öffnet IdFix den Datei-Browser, der auf den Standardspeicherort für LDF-Sicherungen (c:\windows\system32 zeigt) zeigt. Sobald die Undo-Datei geladen ist, klicken Sie auf Accept, überprüfen Sie die Undo-Operation und schließen Sie die Aktion mit Apply ab.
Zusammenfassung
IdFix erlaubt es Administratoren, Probleme mit Attributen in einem lokalen Active Directory zu beheben, bevor dessen Objekte mit Azure Active Directory über Azure AD Connect synchronisiert werden.
Das Dienstprogramm ist einfach zu bedienen. Die Rückgängig-Funktion ist ebenfalls sehr hilfreich, um unerwünschte Änderungen an dieser kritischen Infrastruktur ungeschehen zu machen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Geräte über Hybrid Join in Azure AD registrieren
- Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Azure AD Connect einrichten
- Active Directory-Benutzer in reine Cloud-Konten konvertieren
Weitere Links
1 Kommentar
Jedes Mal muss ich an Obelix denken. Id(e)fix!!!