Azure AD Connect: Powershell-Befehle zur Einrichtung

Bei weiteren Azure AD Connect Einrichtungen stiess ich auf folgende, nützliche Befehle:

Export aller aktuellen UPN Anmeldenamen, und Proxy-Adressen:

Get-ADUser -Filter {Enabled -eq $true} -SearchBase "OU=Users,DC=DOMAIN,DC=local" -Properties * | Where {$_.proxyAddresses} | select SAMAccountname,UserPrincipalName, @{L='ProxyAddress_1'; E={$_.proxyaddresses[0]}},@{L='ProxyAddress_2';E={$_.ProxyAddresses[1]}},@{L='ProxyAddress_3';E={$_.ProxyAddresses[2]}},@{L='ProxyAddress_4';E={$_.ProxyAddresses[3]}},@{L='ProxyAddress_5';E={$_.ProxyAddresses[4]}},@{L='ProxyAddress_6';E={$_.ProxyAddresses[5]}} | export-csv C:\Temp\ExportV1.csv

 

Anpassen sämtlicher UPN Anmeldenamen:

Import-Module ActiveDirectory
$oldSuffix = "DOMAIN.local"
$newSuffix = "URI.ch"
$ou = "OU=Users,DC=DOMAIN,DC=local"
$server = "SERVER"
Get-ADUser -SearchBase $ou -filter * | ForEach-Object {
$newUpn = $_.UserPrincipalName.Replace($oldSuffix,$newSuffix)
$_ | Set-ADUser -server $server -UserPrincipalName $newUpn
}

 

Advertisements

Installation Azure AD Connect schlägt fehl

Eine frische Installation des Azure AD Connect Clients schlägt mit dem Fehler „Synchronization Service kann nicht installiert werden“ fehl.

Im Anwendungs-Eventlog ID 906

 "Error installing msi package 'Synchronization Service.msi'.
Full log is available at 'C:\ProgramData\AADConnect\Synchronization Service_Install-DATE-TIME.log'
. Extracted error message: ActionStart(Name=ProcessMachineDcomPermission,,)

Folgende Schritte (danke flyppdevportal.com) verhalfen zur Lösung:

  1. Login to the server
  2. Go into Component Services > Computers > My Computer
  3. Right click and select Properties.
  4. Click on COM Security tab.
  5. Under Access Permissions, select Edit Limits, don’t make any change, click OK to close.
  6. Under Launch and Activation Permissions, select Edit Limits, don’t make any change, click OK to close.
  7. Under Launch and Activation Permissions, select Edit Defaults, don’t make any change, click OK to close.
  8. Then click OK to close My Computer Properties.

Danach konnte der Wizard erfolgreich abgeschlossen werden.

Office 365 Azure AD Sync

Im Beitrag Einrichten und erste Schritte mit Azure AD Connect habe ich darüber berichtet, wie ich den ersten Azure AD Sync eingerichtet habe. Inzwischen sind einige Tage und Nerven vergangen, und ich möchte in diesem Beitrag einige Erkenntnisse festhalten:

  • ein Benutzer sollte im AD gleich von Beginn an mit dem öffentlichen Benutzeranmeldename (benutzer@domain.ch) erfasst werden
  • dem Benutzer sollte im AD gleich zu Beginn das Attribut „proxyAddresses“ mit der externen/öffentlichen Mailadresse definiert werden (SMTP:benutzer@domain.ch)

Normalerweise ist der Benutzeranmeldename identisch mit der Proxy-Mailadresse.

Die Benutzer erhalten dann als Benutzername und Primäre Emailadresse die öffentliche Mailadresse, und als zusätzlicher EMail-Alias die @onmicrosoft.com-Adresse:

O365_Aliase

Siehe auch Artikel Azure AD Connect: Powershell-Befehle zur Einrichtung

Einrichten und erste Schritte mit Azure AD Connect

Installation gemäss dieser Anleitung.

Update 07.02.2018: Achtung Warnung: in einem Falle startete sich der Server nach dem Setup neu!

Update 21.03.2018: Während dem Setup muss für unser normales Setup (Single Sign On), „Passthrough-Authentifizierung“ und „Einmaliges Anmelden aktivieren“ aktiviert sein.

Ich habe für meine (spezielle) Umgebung die Option „Custom Setting“ gewählt. Ich hatte zwei AD Domänen, welche aber von einem Server aus abgefragt werden konnten.

Dazu habe ich im O365 einen Benutzer „svc_ADConnect_KUNDE“ erstellt, welcher die Rolle „Globaler Administrator“ besitzt.

In beiden AD’s habe ich je einen Benutzer „svc_AzureADConnect“ erstellt, welcher jeweils Organisations- und Domänenadministrator ist.

Edit: Im Laufe der Zeit stellte sich diese Namensgebung als nicht ideal dar. Ich habe mich deshalb für folgende neue Namensgebung entschieden (AADC = AzureADConnect):
Lokaler AD-Benutzer: „svc_AADC_local_KUNDE@DOMAIN.TLD“
O365 Benutzer: „svc_AADC_O365_KUNDE@DOMAIN.TLD“

Ich musste unsere „non-routable Domains“ beide jeweils mit dem öffentlichen Domainnamen erweitern/ersetzen. Dies ist hier beschrieben.

Ich musste das AD zuerst bereinigen, da die Benutzer teils falsche, teils gar keine Attribute gesetzt hatten:

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -DisplayName ("$($_.Surname) $($_.GivenName)")
}

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Rename-ADObject -Identity $_ -NewName ("$($_.Surname) $($_.GivenName)")
}

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -UserPrincipalName ("$($_.GivenName).$($_.Surname)@domain.ch")
}

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -SamAccountName ("$($_.GivenName).$($_.Surname)")
}

Mit folgendem Befehl kann die AD Sync forciert werden:

Start-ADSyncSyncCycle -PolicyType Initial

Ergänzung 9. August 2017:

Bei den weiteren Tests stellte sich heraus, dass die Benutzer aus O365 mit der „onmicrosoft.com“-Adresse Mails versenden (also diese als primäre Adresse hinterlegt haben). Dies kann nicht in O365/Azure geändert werden, sondern muss im on-premise AD ergänzt werden:

Get-ADUser -Filter * -SearchBase "OU=OU1,DC=DOMAIN,DC=intern" -Properties * |
ForEach-Object {
 Set-ADUser -Identity $_ -Add @{'ProxyAddresses'=@("SMTP:$($_.GivenName).$($_.Surname)@DOMAIN.ch","smtp:$($_.GivenName).$($_.Surname)@DOMAINCH.onmicrosoft.com")}
}

Siehe auch Artikel: Office 365 Azure AD Sync