{"id":1320,"date":"2017-08-08T16:05:41","date_gmt":"2017-08-08T14:05:41","guid":{"rendered":"https:\/\/itblogwildi.wordpress.com\/?p=336"},"modified":"2017-08-08T16:05:41","modified_gmt":"2017-08-08T14:05:41","slug":"einrichten-und-erste-schritte-mit-azure-ad-connect","status":"publish","type":"post","link":"https:\/\/itblog.wildi.dk\/?p=1320","title":{"rendered":"Einrichten und erste Schritte mit Azure AD Connect"},"content":{"rendered":"<p>Installation gem\u00e4ss <a href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/active-directory\/connect\/active-directory-aadconnect\" target=\"_blank\" rel=\"noopener\">dieser<\/a> Anleitung.<\/p>\n<p><span style=\"color:#ff0000;\">Update 07.02.2018: Achtung Warnung: in einem Falle startete sich der Server nach dem Setup neu!<\/span><\/p>\n<p>Update 21.03.2018: W\u00e4hrend dem Setup muss f\u00fcr unser normales Setup (Single Sign On),\u00a0&#171;Passthrough-Authentifizierung&#187; und &#171;Einmaliges Anmelden aktivieren&#187; aktiviert sein.<\/p>\n<p>Ich habe f\u00fcr meine (spezielle) Umgebung die Option &#171;Custom Setting&#187; gew\u00e4hlt. Ich hatte zwei AD Dom\u00e4nen, welche aber von einem Server aus abgefragt werden konnten.<\/p>\n<p>Dazu habe ich im O365 einen Benutzer &#171;<del>svc_ADConnect_KUNDE<\/del>&#187; erstellt, welcher die Rolle &#171;Globaler Administrator&#187; besitzt.<\/p>\n<p>In beiden AD&#8217;s habe ich je einen Benutzer &#171;<del>svc_AzureADConnect<\/del>&#187; erstellt, welcher jeweils Organisations- und Dom\u00e4nenadministrator ist.<\/p>\n<p>Edit:\u00a0Im Laufe der Zeit stellte sich diese Namensgebung als nicht ideal dar. Ich habe mich deshalb f\u00fcr folgende neue Namensgebung entschieden (AADC = AzureADConnect):<br \/>\nLokaler AD-Benutzer: &#171;svc_AADC_local_KUNDE@DOMAIN.TLD&#187;<br \/>\nO365 Benutzer: &#171;svc_AADC_O365_KUNDE@DOMAIN.TLD&#187;<\/p>\n<p>Ich musste unsere &#171;non-routable Domains&#187; beide jeweils mit dem \u00f6ffentlichen Domainnamen erweitern\/ersetzen. Dies ist <a href=\"https:\/\/support.office.com\/en-us\/article\/How-to-prepare-a-non-routable-domain-such-as-local-domain-for-directory-synchronization-e7968303-c234-46c4-b8b0-b5c93c6d57a7\" target=\"_blank\" rel=\"noopener\">hier<\/a> beschrieben.<\/p>\n<p>Ich musste das AD zuerst bereinigen, da die Benutzer teils falsche, teils gar keine Attribute gesetzt hatten:<\/p>\n<pre>Get-ADUser -Filter * -SearchBase \"OU=OU1,DC=DOMAIN,DC=intern\" -Properties * |\nForEach-Object {\n Set-ADUser -Identity $_ -DisplayName (\"$($_.Surname) $($_.GivenName)\")\n}\n\nGet-ADUser -Filter * -SearchBase \"OU=OU1,DC=DOMAIN,DC=intern\" -Properties * |\nForEach-Object {\n Rename-ADObject -Identity $_ -NewName (\"$($_.Surname) $($_.GivenName)\")\n}\n\nGet-ADUser -Filter * -SearchBase \"OU=OU1,DC=DOMAIN,DC=intern\" -Properties * |\nForEach-Object {\n Set-ADUser -Identity $_ -UserPrincipalName (\"$($_.GivenName).$($_.Surname)@domain.ch\")\n}\n\nGet-ADUser -Filter * -SearchBase \"OU=OU1,DC=DOMAIN,DC=intern\" -Properties * |\nForEach-Object {\n Set-ADUser -Identity $_ -SamAccountName (\"$($_.GivenName).$($_.Surname)\")\n}<\/pre>\n<p>Mit folgendem Befehl kann die AD Sync forciert werden:<\/p>\n<p><span style=\"background-color:#f3f6f8;font-family:Monaco, Consolas, 'Andale Mono', 'DejaVu Sans Mono', 'Courier 10 Pitch', Courier, monospace;\">Start-ADSyncSyncCycle -PolicyType Initial<\/span><\/p>\n<p>Erg\u00e4nzung 9. August 2017:<\/p>\n<p>Bei den weiteren Tests stellte sich heraus, dass die Benutzer aus O365 mit der &#171;onmicrosoft.com&#187;-Adresse Mails versenden (also diese als prim\u00e4re Adresse hinterlegt haben). Dies kann nicht in O365\/Azure ge\u00e4ndert werden, sondern muss im on-premise AD erg\u00e4nzt werden:<\/p>\n<pre>Get-ADUser -Filter * -SearchBase \"OU=OU1,DC=DOMAIN,DC=intern\" -Properties * |\nForEach-Object {\n Set-ADUser -Identity $_ -Add @{'ProxyAddresses'=@(\"SMTP:$($_.GivenName).$($_.Surname)@DOMAIN.ch\",\"smtp:$($_.GivenName).$($_.Surname)@DOMAINCH.onmicrosoft.com\")}\n}<\/pre>\n<p>Siehe auch Artikel:\u00a0<a href=\"https:\/\/itblogwildi.wordpress.com\/2017\/09\/12\/office-365-azure-ad-sync\/\" target=\"_blank\" rel=\"noopener\">Office 365 Azure AD Sync<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Installation gem\u00e4ss dieser Anleitung. Update 07.02.2018: Achtung Warnung: in einem Falle startete sich der Server nach dem Setup neu! Update&#8230; <a class=\"read-more\" href=\"https:\/\/itblog.wildi.dk\/?p=1320\">Read more<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,5,8,24,29],"tags":[],"class_list":["post-1320","post","type-post","status-publish","format-standard","hentry","category-active-directory","category-allgemein","category-azure","category-o365","category-powershell"],"_links":{"self":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/posts\/1320","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1320"}],"version-history":[{"count":0,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/posts\/1320\/revisions"}],"wp:attachment":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1320"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1320"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1320"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}