Einrichten und erste Schritte mit Azure AD Connect

Installation gemäss dieser Anleitung.

Update 07.02.2018: Achtung Warnung: in einem Falle startete sich der Server nach dem Setup neu!

Update 21.03.2018: Während dem Setup muss für unser normales Setup (Single Sign On), „Passthrough-Authentifizierung“ und „Einmaliges Anmelden aktivieren“ aktiviert sein.

Ich habe für meine (spezielle) Umgebung die Option „Custom Setting“ gewählt. Ich hatte zwei AD Domänen, welche aber von einem Server aus abgefragt werden konnten.

Dazu habe ich im O365 einen Benutzer „svc_ADConnect_KUNDE“ erstellt, welcher die Rolle „Globaler Administrator“ besitzt.

In beiden AD’s habe ich je einen Benutzer „svc_AzureADConnect“ erstellt, welcher jeweils Organisations- und Domänenadministrator ist.

Edit: Im Laufe der Zeit stellte sich diese Namensgebung als nicht ideal dar. Ich habe mich deshalb für folgende neue Namensgebung entschieden (AADC = AzureADConnect):
Lokaler AD-Benutzer: „svc_AADC_local_KUNDE@DOMAIN.TLD“
O365 Benutzer: „svc_AADC_O365_KUNDE@DOMAIN.TLD“

Ich musste unsere „non-routable Domains“ beide jeweils mit dem öffentlichen Domainnamen erweitern/ersetzen. Dies ist hier beschrieben.

Ich musste das AD zuerst bereinigen, da die Benutzer teils falsche, teils gar keine Attribute gesetzt hatten:

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -DisplayName ("$($_.Surname) $($_.GivenName)")
}

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Rename-ADObject -Identity $_ -NewName ("$($_.Surname) $($_.GivenName)")
}

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -UserPrincipalName ("$($_.GivenName).$($_.Surname)@domain.ch")
}

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -SamAccountName ("$($_.GivenName).$($_.Surname)")
}

Mit folgendem Befehl kann die AD Sync forciert werden:

Start-ADSyncSyncCycle -PolicyType Initial

Ergänzung 9. August 2017:

Bei den weiteren Tests stellte sich heraus, dass die Benutzer aus O365 mit der „onmicrosoft.com“-Adresse Mails versenden (also diese als primäre Adresse hinterlegt haben). Dies kann nicht in O365/Azure geändert werden, sondern muss im on-premise AD ergänzt werden:

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -Add @{'ProxyAddresses'=@("SMTP:$($_.GivenName).$($_.Surname)@DOMAIN.ch","smtp:$($_.GivenName).$($_.Surname)@DOMAINCH.onmicrosoft.com")}
}

Siehe auch Artikel: Office 365 Azure AD Sync

Advertisements

Autor: Martin Wildi

Ich arbeite bei IN4OUT AG (www.in4out.ch), als System Engineer. Beim täglichen First- und Second-Level Support erfahre und erarbeite ich einiges :).

Ein Gedanke zu „Einrichten und erste Schritte mit Azure AD Connect“

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s