Dies ist der dritte Teil der Serie „Exchange 2016 Hybrid Modus mit Office 365”. In diesem Teil geht es um die Synchronisation der lokalen Benutzerkonten zu Office 365 bzw. Azure Active Directory.
Hier noch die Links zu den vorherigen Artikeln:
- Exchange 2016: Hybrid Modus mit Office 365 (Teil 1)
- Exchange 2016: Hybrid Modus mit Office 365 (Teil 2)
IDFix
Um vorab Probleme zu erkennen, die die erfolgreiche Synchronisation der lokalen Benutzerkonten mit Azure AD verhindern, kann das Tool IDFix verwendet werden. IDFix kann hier kostenlos runtergeladen werden:
IDFix erfordert keine Installation und kann direkt ausgeführt werden:
Mit einem Klick auf “Query” sucht IDFix Probleme und schlägt auch direkt eine Lösung vor:
In meiner frischen Testumgebung wurden keine Probleme erkannt. Falls es hier zu Problemen kommt, können diese mittels IDFix auch direkt behoben werden. Hier ist allerdings etwas Vorsicht geboten.
Azure AD Connect
Damit der Hybrid Modus genutzt werden kann, müssen die Benutzerkonten des lokalen Active Directory mit Azure Active Directory synchronisiert werden. Die Synchronisation erledigt das Tool “Azure AD Connect”. Azure AD Connect ist zwar nicht zwingend nötig, erleichtert aber die Administration deutlich.
Die aktuelle Version von Azure AD Connect kann hier runtergeladen werden:
Die Installation ist mit wenigen Klicks erledigt, danach startet der Assistent zur Konfiguration:
Ich wähle hier die “angepasste” Installation, da hier direkt einige Anpassungen durchgeführt werden können:
Die Komponenten können in diesem Fall mit den Standard-Einstellungen installiert werden, ggf. macht es Sinn den Installationsort auf eine andere Partition zu verschieben:
Nachdem auf “Installieren” geklickt wurde, erfolgt die Installation der SQL Express Datenbank und der weiteren Komponenten:
Direkt nach der Installation der Komponenten, erfolgt die Basis Konfiguration von Azure AD Connect. Damit sich Benutzer mit gleichen Benutzer/Passwort an Office 365 und an lokalen Ressourcen anmelden können, wird hier die Kennworthashsynchronisierung ausgewählt.
Der Vorteil der Kennworthashsynchronisierung ist, dass keine zusätzliche lokale Infrastruktur wie ADFS erforderlich ist, Azure AD Connect synchronisiert dazu die Passworthashes in beide Richtungen:
Im nächsten Schritt werden die Office 365 Anmeldeinformationen angegeben, damit Azure AD Connect eine Verbindung zum Azure Active Directory herstellen kann:
Da Azure AD Connect auf einem Server der Mitglied des lokalen Active Directory ist installiert wurde, ist die lokale Gesamtstruktur schon vorgeschlagen:
Unter dem Punkt “Verzeichnis hinzufügen” müssen allerdings noch die Anmeldeinformationen angegeben werden.
Bei mir war im folgenden Dialog das Kennwortfeld nicht sichtbar, wenn man aber einmal die Tab-Taste drückt, kommt man in das Feld.
Nachdem die Anmeldeinformationen angegeben wurden, ist das lokale Active Directory in der Liste der „Konfigurierten Verzeichnisse” zu sehen:
Der nächste Dialog zeigt die Azure Anmeldungskonfiguration für die Benutzer. Die Benutzer können sich in diesem Fall mit ihren UPN sowohl am lokalen AD, sowie auch an Office 365 anmelden:
Hier zeigt sich einer der Hauptgründe weshalb die “Angepasste Konfiguration” ausgewählt wurde. In diesem Schritt lassen sich gezielt OUs auswählen die mit Azure AD synchronisiert werden sollen. Auf diesem Weg lässt sich recht einfach einschränken, welche Benutzer und Gruppen mit AzureAD synchronisiert werden:
Der nächste Dialog kann mit den Standardeinstellungen fortgesetzt werden, die Identifizierung anhand der E-Mail Adresse ist meistens eindeutig, denn diese kann es nur einmal geben:
Die Filterung welche Benutzer und Geräte synchronisiert werden sollen, wurde in diesem Fall bereits aus OU-Ebene durchgeführt. Wenn die Synchronisation noch weiter eingeschränkt werden soll, kann hier zusätzlich eine AD-Gruppe genutzt werden:
Als Optionales Feature wird im nächsten Dialog “Exchange Hybridbereitstellung” ausgewählt:
Im nächsten Schritt kann die Synchronisation aktiviert werden. Nach der Konfiguration startet Azure AD Connect direkt mit der Synchronisierung der lokalen AD-Konten mit AzureAD:
Die Einrichtung und Synchronisation dauert nun etwas:
Der letzte Dialog zeigt eine Zusammenfassung:
Sobald die erste Synchronisation abgeschlossen wurde, sind die lokalen Benutzerkonten auch im Office 365 Portal zu sehen:
Im nächsten Teil geht es dann um die Exchange Konfiguration.
Der link zu Teil 2 scheint nicht mehr zu funktionieren :(
Dieser link klappt:
https://www.frankysweb.de/exchange-2016-hybrid-modus-mit-office-365-teil-2/
Hallo,
Ich habe vielleicht voreilig schon im O365 Tenant die Benutzer schon vor dem AD Sync angelegt und auch O365 Lizenzen zugewiesen. Wie ist die sinnvollste Vorgehensweise in so einem Fall?
– Die Benutzer wieder löschen? Dann können sie wahrscheinlich ihre Office Pakete für die Zeit des Sync nicht verwenden..
– Oder nur die Exchange Online Lizenz entfernen?
– Gar nichts machen, schafft das der AD Sync?
Grüße
Michael
Hallo Michael,
du kannst die AAD Benutzer mit den lokalen AD Benutzer zusammenführen. Siehe hier:
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-install-existing-tenant
Gruß,
Frank
Hallo,
wie oft synchronisiert der AD Connector eigentlich? Und wenn ich Attribute an Benutzern in meinem lokalen AD verändere, werden diese dann direkt zu O365 gesynct?
Vg
Rolf
Hallo Rolf,
das Intervall lässt sich festlegen, die Standardeinstellungen kannst du mit dem CMDLet „Get-ADSyncScheduler“ prüfen.
Gruß,
Frank
Oh ich habe Ihn gefunden :-)
Hallo Franky,
ich warte dann auch mal auf Teil4 :-) ,da bei uns Z.B Skype auch nicht mit unserem lokalen Exchange kommunizieren will….
Moin,
für die paranoiden unter uns ist Option zwei bei der Art der Benutzeranmeldung (Pass-Through Authentifizierung) interessant, da in dem Fall keine Kennworthashes in’s Azure AD synchronisiert werden (sofern nicht separat noch ausgewählt). Noch relativ neu, funktioniert aber problemlos, auch in Verbindung mit Single-Sign-On, welches ich aus Komfortgründen noch aktiviert hätte.
Im Azure AD wird eine Art Anmeldewarteschlange erzeugt, auf welche der Agent auf dem AD Connect Server zugreift und die Benutzeranmeldungen lokal abarbeitet.
Von den Agenten sollten OnPremise aus Gründen des Failovers zwei vorhanden sein. Diese können jedoch an zwei unterschiedlichen Standorten ausgeführt werden.
Gruß Alex
Hallo Bernd,
der HCW (Hybrid Configuration Wizard), auf den Franky in Teil 4 wahrscheinlich eingehen wird, konfiguriert unter anderem eine Federation zwischen O365 und dem OnPrem Exchange Server. Dadurch stehen Free/Busy sowie GAL übergreifend zur Verfügung. Zu den Kalenderproblemen kann ich nichts sagen.
Hi,
vielen Dank fuer die Anleitung, wie sieht das eigentlich mit dem GAL und den Free/Busy Optionen aus wenn User teils On Premise sind und teilweise schon bei Exchange Online. Kannst Du dazu mal schreiben? Das Adressbuch ist ja bei Exchange Online so nicht abrufbar und beim Kalender gibt es wohl auch immer wieder Probleme wenn man keinen Vollzugriff gewaehrt?
Danke.