Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA: Office 365 – 70-346 (Teil 4) – Identitätsverwaltung mit Azure Active Directory Synchronization

Active Directory-Synchronisation vorbereiten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich in diesem Video mit den einzelnen Schritten vertraut, die Sie durchführen müssen, um die Active Directory-Synchronisation grundlegend vorzubereiten.
10:42

Transkript

Welche Vorbereitungen getroffen werden müssen für die Active Directory Synchronisation, ist das Thema in diesem Video. Dazu habe ich einen Microsoft Azure Dokumentationsartikel vorbereitet, welcher sehr schön beschreibt, was alles vorgängig berücksichtigt werden muss. Es steht hier: "Voraussetzungen für Azure AD Connect", und dann steht hier: "Vor der Installation von Azure AD Connect". Und dann wird immer eigentlich auf Azure AD referenziert. Das ist kein Problem. Es geht nicht direkt um das Azure AD, sondern es geht bei uns um das Office 365-Portal. Ist aber im Hintergrund aufbauend auf Azure AD. Also lassen Sie sich da nicht verwirren. Es geht um das Office 365-Portal, welches im Hintergrund Azure AD braucht. Die Vorbereitungen, welche getroffen werden müssen, sind aber in diesem Artikel wirklich perfekt beschrieben. Der erste Punkt: Ein Azure-Abonnement oder ein Azure-Testabonnement, das brauchen Sie nicht. Wir haben Office 365 und wir können das Office 365-Portal verwenden, weil wie bereits erwähnt, im Hintergrund Office 365, Azure AD einsetzt. Das sehen auch hier, das wird entsprechend beschrieben. Der nächste Punkt ist: "Fügen Sie die Domäne hinzu". Sie müssen in Ihrem Office 365-Portal eine Domäne Hinzufügen, welche im Internet verfügbar ist. Wenn Sie das nicht machen, dann sehen Sie hier werden die Konten, dann mit der entsprechenden Standarddomäne konfiguriert. Ich habe das bereits vorbereitet. Ich habe in meinen Office 365-Portal eine Domäne hinzugefügt. Diese Domäne heißt "videotrainer.ch" und die ist nun "Standard". Sind die lokalen AD-Objekte richtig vorbereitet, dann werden sämtliche Konten mit dieser Domäne erstellt. Das ist ein wichtiger Punkt. Der nächste Punkt ist, dass Sie wissen müssen, dass wenn Sie keine Domäne hinzugefügt haben im Office 365-Portal, dann lassen sich standardmäßig nur "50.000" Objekte synchronisieren. Haben Sie eine Domäne hinzugefügt, welche auch so konfiguriert ist, dass sie verifiziert wurde, wie in meinem Fall, dann ist die Beschränkung irgendwo bei 300.000 Objekten. Müssen Sie noch mehr entsprechend synchronisieren, dann empfiehlt es sich mit Microsoft Rücksprache zu halten. Sie haben aber hier die entsprechenden Informationen. Sie sehen auch hier, es benötigt eine spezielle Lizenz, wenn Sie zum Beispiel da 500.000 Objekte synchronisieren möchten. Dann "Vorbereiten Ihrer lokalen Daten". Sie müssen überprüfen, dass die lokale AD-Umgebung vorbereitet ist, damit Sie die Synchronisation durchführen können. Haben wir bereits besprochen. Der nächste Punkt ist: Die AD-Schemaversion und die Funktionsebene der Gesamtstruktur müssen Windows Server 2003 oder höher entsprechen. Das können Sie verifizieren, indem Sie in den Server-Manager navigieren. Sie starten das Tool "Active Directory-Verwaltungscenter", und dann haben Sie die Möglichkeit auf der Domäne mit einem Rechtsklick "Eigenschaften" auszuwählen, oder Sie können hier sehen: "Gesamtstrukturfunktionsebene heraufstufen". Und Sie sehen bereits hier, die "Gesamtstrukturfunktionsebene" ist Windows Server 2012 R2. Passt wunderbar. Die nächste Voraussetzung ist, dass Sie, wenn Sie die Kennwortrückschreiben-Funktion einsetzen wollen, dann müssen Sie Azure AD Connect das Tool auf einen Server installieren, welcher mindestens 2008-Version hat mit dem neuesten Service Pack. Sie sehen auch hier, falls Ihr Domaincontroller unter 2008 (vor R2) ausgeführt werden, müssen Sie einen entsprechenden Hotfix anwenden. Dann, der von Azure AD verwendete Domänencontroller darf nicht schreibgeschützt sein. Also ein RODC wird nicht unterstützt. Azure AD Connect kann nicht auf dem Small Business Server oder Windows Server Essentials installiert werden. Auch das müssen Sie berücksichtigen. Dann, Azure AD Connect muss unter Windows Server 2008 oder höher installiert werden. Dieser Server kann bei der Verwendung der Expressinstallation ein Domänencontroller oder ein Mitgliedsserver sein. Ich empfehle Ihnen, wenn Sie die Möglichkeit haben erstellen Sie einen separaten Server, welcher Mitglied der Domäne ist, und installieren Sie dann das Azure AD Connect-Tool auf diesem Server. Verwenden Sie keinen Domänencontroller. Wenn Sie das Tool auf einem Domänencontroller installieren, und Sie den Domänencontroller einmal später migrieren müssen oder updaten, dann besteht die Gefahr, dass das Tool dann nicht mehr eingesetzt werden kann. Darum, meine Empfehlung, nehmen Sie ein dezidiertes System für Azure AD Connect, wenn das in Ihrer Situation möglich ist. Der nächste Punkt: Wenn Sie Azure AD Connect unter Windows Server 2008 installieren, achten Sie darauf, die neuesten Hotfixes über Windows Updates anzuwenden. Die Installation kann mit einem nicht gepatchten Server nicht gestartet werden. Ganz wichtig. Hier wieder, wenn Sie die Kennwortsynchronisierung verwenden möchten, muss der Azure AD Connect Server mindestens unter Windows Server 2008 R2 SP1 oder höher ausgeführt werden. Dann braucht das Azure AD Connect-Tool, beziehungsweise der Server .NET Framework 4.5.1 oder höher, und Microsoft PowerShell 3.0. Wenn Sie einen Server im Einsatz haben, 2012 R2, ist das eh kein Problem. Dann, wenn Active Directory-Verbunddienste bereitgestellt werden, müssen die Server, auf denen Active Directory-Verbunddienste oder Webanwendungsproxy installiert werden, Windows Server 2012 R2 oder höher ausführen. Wenn Sie Verbunddienste einsetzen, braucht es SSL-Zertifikate. Wenn Sie Verbunddienste einsetzen, muss die Namensauflösung richtig konfiguriert werden. Und jetzt kommt noch ein wichtiger Punkt. Azure AD Connect erfordert eine SQL Server-Datenbank, zum speichern von Identitätsdaten. Standardmäßig wird eine SQL Express Instance eingerichtet. Eine sogenannte "WID", Windows Internal Database. Das ist absolut in Ordnung, in einer kleineren Umgebung. "Kleiner". Sie sehen hier, diese Datenbank reicht für 100.000 Objekte. Wenn Sie eine höhere Anzahl von Verzeichnisobjekten verwalten möchten, müssen Sie die Installations-Assistenten auf eine andere Version von SQL verweisen. Und Sie erhalten gleich hier, welche SQL-Versionen Sie einsetzen müssen. Ganz wichtig, wenn Sie also mehr Objekte als 100.000 synchronisieren müssen, brauchen Sie zwingend eine separate SQL Server Instance, damit das funktioniert. Und Sie sehen hier die entsprechenden Anforderungen an diese SQL Server. Was weiter ganz wichtig ist: Wenn Sie die Synchronisation konfigurieren wollen, dann brauchen Sie ein Konto aus dem Office 365-Portal, welches der globale Administrator ist. Hier steht ein globales Azure AD-Administratorkonto. Ich sage es nochmals explizit. Sie brauchen aus dem Office 365-Portal ein Konto, welches die Rechte hat vom globalen Administrator. Sonst gehts nicht. Wenn Sie die Expresseinstellungen verwenden, Sie sehen hier, ein Enterprise-Administratorkonto für Ihr lokales Active Directory, wenn Sie Expresseinstellungen verwenden. Ich werde das Azure AD Connect-Tool mit der Express-Variante installieren. Das bedeutet, ich brauche das sogenannte Organisations-Administratorkonto. Und genau da gibt es vielfach Probleme. Sie haben ein Konto, ein Domänen-Administratorkonto, Sie verfügen aber nicht über das Organisations- Administratorenkonto, dann können Sie die Expresseinstellung nicht verwenden. Sie müssen also mit Ihrem Team, welches verantwortlich ist für das AD, ein Konto zur Verfügung haben, welches über Organisations- Admin-Rechte verfügt. Ein weiterer Tipp: Ich würde Ihnen empfehlen, in einer Produktiven Umgebung, erstellen Sie ein separates Konto im Office 365-Portal, welches nur für die Synchronisation verwendet wird, und die globalen Administrator-Rechte dann entsprechend konfiguriert hat. Erstellen Sie im lokalen Active Directory ein Konto, welches Organisations- Administratoren-Rechte hat, damit Sie dieses Konto für die Expresseinstellung verwenden können. Wenn Sie die Konfiguration abgeschlossen haben, muss dieses lokale Konto im Active Directory nicht zwingend in der Organisations- Administratorenkonto-Gruppe abgelegt sein. Das Konto muss nur in dieser Gruppe abgelegt sein, wenn Sie später Anpassungen an Azure AD Connect, am Tool, als solches, an den sogenannten Konnektoren, eine Änderung durchführen müssen, oder wenn Sie eine neue, zum Beispiel Organisationseinheit, synchronisieren wollen, müssen Sie die entsprechende Anpassung machen. Dann muss das Konto wieder in der Organisations- Administratoren-Gruppe abgelegt sein, damit Sie diese entsprechende Anpassung durchführen können. Für den normalen Gebrauch, für die tägliche Synchronisation, muss das Konto nicht in dieser Gruppe konfiguriert sein. Und dann brauchen Sie noch Konten in Active Directory, wenn Sie den Installationspfad für benutzerdefinierte Einstellungen verwenden. Sie sehen also, die Vorbereitungen, die Voraussetzungen, damit Sie das Tool, das Werkzeug Azure AD Connect installieren können, braucht eine wirklich seriöse Planung, damit Sie erfolgreich das Tool später auch installieren und Einsätzen können. Wir haben uns in diesem Video die Vorbereitungen angeschaut, welche getroffen werden müssen, damit Sie das Tool Azure AD Connect erfolgreich auf einem Server installieren können.

MCSA: Office 365 – 70-346 (Teil 4) – Identitätsverwaltung mit Azure Active Directory Synchronization

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-346 vor und erlernen Sie umfassende Kenntnisse zur Verwaltung von Office 365.

1 Std. 32 min (17 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:07.12.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!