So laden Sie Azure AD Connect V2 herunter, installieren und konfigurieren

Tutorials

In diesem Leitfaden werde ich Informationen bereitstellen, wo Sie Azure Active Directory (kürzlich in Microsoft Entra ID umbenannt) Connect V2 herunterladen können und Sie durch die Installation und Konfiguration führen.

Microsoft gibt an, dass die häufigste Topologie eine einzelne lokale Domäne mit einem oder mehreren Domains und einem einzelnen Azure AD-Mandanten ist. Mein Leitfaden wird dieser Topologie folgen, wobei ein neuer Windows Server 2019-Forest und Domain, ein Azure AD-Mandant mit einer Premium P2-Testlizenz und eine überprüfte benutzerdefinierte Domain verwendet werden.

Azure AD Connect herunterladen und konfigurieren

Bevor wir in die Details eintauchen, hier sind die 6 Schritte auf hohem Niveau, die erforderlich sind, um Azure AD Connect V2 einzurichten und zum Laufen zu bringen:

  1. Azure AD Connect herunterladen
  2. Den Installer ausführen
  3. Benutzeranmeldung konfigurieren
  4. Ihre Verzeichnisse verbinden
  5. Erweiterte Optionen konfigurieren
  6. Die Verzeichnissynchronisierung starten

Was ist Azure AD Connect?

Einfach ausgedrückt ermöglicht es Ihnen Azure AD Connect, Ihr Active Directory (AD) mit Azure AD zu synchronisieren. Auf diese Weise erweitern Sie Ihr altmodisches, aber immer noch kritisch wichtiges Windows Server Active Directory auf Microsofts cloudbasiertes Azure AD und erreichen Ihr Ziel, eine hybride Identität zu schaffen.

Wenn Sie mit diesen Begriffen nicht vertraut sind oder eine Auffrischung benötigen, ist das in Ordnung. Wir empfehlen, sich die Zeit zu nehmen, um unseren Vergleich von Active Directory und Azure Active Directory anzusehen, bevor Sie weitermachen.

Azure AD Connect enthält Funktionen wie die Synchronisierung von Passworthash (PHS), die Authentifizierung durch weiterleitung (PTA) und die Integration mit Active Directory Federation Services (AD FS). Diese und weitere Funktionen werden auf der Microsoft-Supportseite Was ist Azure AD Connect erläutert.

Bitte beachten Sie, dass Azure Active Directory-Domänendienste (Azure AD DS) ein anderes Angebot von Microsoft sind und nicht in diesem Leitfaden behandelt werden.

Neuigkeiten in Azure AD Connect V2

Azure AD Connect 2 bringt einige signifikante Änderungen:

  • SQL Server 2019 LocalDB
  • MSAL-Authentifizierungsbibliothek
  • Visual C++ Redist 14
  • TLS 1.2 (1.0 und 1.1 werden nicht mehr unterstützt)
  • Alle Binärdateien sind mit SHA2 signiert
  • Windows Server 2012 und Windows Server 2012 R2 werden nicht mehr unterstützt
  • PowerShell 5.0

Microsoft hat bereits angekündigt, dass alle Azure AD Connect V1-Versionen am 31. August 2022 außer Betrieb genommen werden. Dies allein sollte ein guter Anreiz sein, auf Azure AD Connect V2 zu aktualisieren.

Bitte lesen Sie den Artikel von Petri’s Russel Smith über die Neuerungen in Azure AD Connect V2, um weitere Informationen über die größten Änderungen in Azure AD Connect V2 zu erhalten. Außerdem enthält die Supportseite von Microsoft Azure AD Connect: Versionsverlauf weitere wichtige Details zu neuen Funktionen und Funktionalitäten.

Voraussetzungen für Azure AD Connect V2

Bevor wir Azure AD Connect V2 installieren können, gibt es einige Dinge, die wir benötigen:

  • Einen Azure AD-Mandanten, der kostenlos oder Premium (kostenpflichtig) sein kann
  • Einen lokalen oder in der Cloud gehosteten (auf einer Infrastructure as a Service-Virtualmaschine) Windows Server, der als AD Domänencontroller fungiert (ältere Versionen von Windows Server funktionieren, aber einige Funktionen wie das Passwort-Writeback erfordern 2016 oder neuer)
  • Ihr Domänencontroller muss beschreibbar sein, schreibgeschützte Domänencontroller (RODC) werden nicht unterstützt.
  • Ideal sollte Azure AD Connect auf einem dedizierten, einer Domäne beigetretenen Server installiert werden, aber es ist auch möglich, es auf Ihrem Domänencontroller zu installieren (Windows Server 2016 oder neuer mit Desktop Experience ist für Azure AD Connect V2 erforderlich)
  • . Verwenden Sie AD– und AADKonten für Ihren Azure AD Connect-Server. Microsoft unterscheidet zwischen Konten, die zum Betrieb von Azure AD Connect verwendet werden, und denen, die für dessen Installation und Konfiguration verwendet werden.

In dieser Anleitung verwenden wir einfach ein Globaler Administrator-Konto für das Azure AD-Mandanten und ein Mitglied der AD-Enterprise-Administratoren-Gruppe für die AD-Konnektivität. Stellen Sie in Ihren Produktionsumgebungen sicher, dass Sie dedizierte Konten verwenden, die nur die für Ihre Situation erforderlichen minimalen Berechtigungen abdecken, und halten Sie Ihr Passwort sicher. Sehen Sie sich die Support-Seite von Microsoft zu Azure AD Connect: Konten und Berechtigungen für vollständige Details an.

Installation und Konfiguration von Azure AD Connect V2

Das Erste, was wir tun müssen, ist den Azure AD Connect Installer herunterzuladen. Hier ist, wie es weitergeht.

Azure AD Connect herunterladen

  • Melden Sie sich bei Ihrem Azure-Portal an
  • Wechseln Sie zu Azure Active Directory
  • Wählen Sie im Bereich Verwalten Azure AD Connect und klicken Sie auf den Azure AD Connect herunterladen.
Download Azure AD Connect (Image Credit: Michael Taschler)

Den Azure AD Connect Installer ausführen

Nachdem Sie ihn heruntergeladen haben, führen wir diesen Installer (AzureADConnect.msi) auf unserem Azure AD Connect Server (Domänencontroller oder dedizierter Server) aus. Für dies sind erhöhte Rechte erforderlich, also stellen Sie sicher, dass Sie Ja wählen, wenn Sie dazu aufgefordert werden.

Sobald der Installer geladen ist, werden Sie vom Willkommen bei Azure AD Connect Bildschirm begrüßt. Nachdem Sie die Lizenzbedingungen und die Datenschutzbestimmungen akzeptiert haben, klicken Sie auf Fortsetzen.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

Benutzerdefinierte Einstellungen auswählen

Auf dem Bildschirm Express-Einstellungen müssen Sie unten auf der Seite Anpassen auswählen. Die Express-Einstellungen sind möglicherweise für viele Umgebungen geeignet, aber bestimmte Einstellungen können nur mit der Installation von benutzerdefinierten Einstellungen vorgenommen werden.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

Auf dem Bildschirm Erforderliche Komponenten installieren können Sie Einstellungen anpassen, die Azure AD Connect betreffen:

  • Benutzerdefinierten Installationsort angeben
  • Vorhandenen SQL Server verwenden (für größere Umgebungen und Hochverfügbarkeitsanforderungen)
  • Vorhandenes Dienstkonto verwenden (möglicherweise müssen Sie ein bereits erstelltes Konto in Ihrer Umgebung verwenden)
  • Benutzerdefinierte Synchronisierungsgruppen angeben (ermöglicht die Verwendung eigener lokaler Sicherheitsgruppen anstelle der Standardgruppen)
  • Synchronisierungseinstellungen importieren (die von einer anderen Installation von Azure AD Connect exportiert wurden)

Nach Abschluss Ihrer Auswahl klicken Sie auf Installieren. Der Installer installiert die erforderlichen Komponenten wie den Synchronisierungsdienst.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

Benutzeranmeldung konfigurieren

Nach einigen Momenten wird der Bildschirm Benutzeranmeldung angezeigt. Sie können eine der folgenden Optionen auswählen:

  • Passwort-Hash-Synchronisierung (Standardauswahl)
  • Weiterleitung der Authentifizierung
  • Föderation mit AD FS
  • Föderation mit PingFederate
  • Nicht konfigurieren

Sie können auch für Ihre Benutzer das Single Sign-On aktivieren. Wählen Sie Ihre gewünschte Methode aus (für diese Anleitung verwenden wir die Passwort-Hash-Synchronisierung) und klicken Sie auf Weiter.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

Auf dem Bildschirm Verbindung mit Azure AD herstellen geben Sie Ihre Azure AD Kontozugangsdaten ein (siehe Voraussetzungen im vorherigen Abschnitt). Möglicherweise werden Sie aufgefordert, Ihr Passwort zu ändern, wenn Sie sich noch nicht mit diesem Konto angemeldet haben. Außerdem, wenn die MFA für Ihr Konto aktiviert ist, könnten Sie aufgefordert werden, die Anforderungen zu erfüllen, die Ihre Organisation festgelegt hat.

Klicken Sie auf Weiter, um fortzufahren.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

Verbinden Sie Ihre Verzeichnisse

Auf dem Bildschirm Verbinden Sie Ihre Verzeichnisse, unter FOREST, wählen Sie Ihr Verzeichnis aus und klicken Sie auf Verzeichnis hinzufügen.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

In einem Popup-Fenster werden Sie aufgefordert, entweder Ein neues Konto erstellen oder Bestehendes Konto verwenden auszuwählen. Dieses Konto wird für die Verzeichnissynchronisierung verwendet.

Wenn Sie bereits ein Konto dafür erstellt haben, stellen Sie sicher, dass es NICHT Mitglied der Gruppen Enterprise-Admins oder Domänen-Admins ist. Für diese Anleitung erstellen wir ein neues Konto.

Ihr hinzugefügtes Verzeichnis wird unter KONFIGURIERTE VERZEICHNISSE aufgeführt. Sie haben auch die Möglichkeit, eines oder mehrere hinzugefügte Verzeichnisse zu entfernen, falls sich Ihre Anforderungen oder Umstände geändert haben.

Nach Abschluss klicken Sie auf Weiter.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Wählen Sie aus, wie Ihre Benutzer in Azure AD identifiziert werden sollen

Auf dem Bildschirm zur Azure AD-Anmeldekonfiguration sehen Sie das Aktive Verzeichnis-UPN-Suffix und den entsprechenden Azure AD-Domänenstatus für alle hinzugefügten Verzeichnisse. Wenn eine Ihrer Domänen nicht verifiziert oder hinzugefügt ist, können Sie dies beheben und diesen Bildschirm unter Verwendung des Aktualisierungssymbols unterhalb der Tabelle aktualisieren.

Auf derselben Seite haben Sie auch die Möglichkeit, Ihren Benutzerprinzipalnamen (UPN) anzupassen, das Attribut vor Ort, das als Azure AD-Benutzername verwendet wird.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

Sie müssen eine kritische Entscheidung treffen, wie Ihre Benutzer in Azure AD identifiziert werden. Anders als im Active Directory erlaubt Azure AD keine Duplikate.

Streng genommen erlaubt auch AD keine Duplikate, aber es setzt dies nicht wirklich durch. Sie könnten doppelte UPNs in Ihrem AD haben und damit durchkommen, während Azure AD nur das erste Konto synchronisieren wird und alle nachfolgenden ignoriert. Sie könnten auch dieselben Benutzernamen in mehreren Verzeichnissen haben, und die gleiche Beschränkung würde gelten.

Wenn Sie befürchten, dass dies auf Sie zutrifft, können Sie Ihr AD mithilfe von idFix überprüfen, bevor Sie das Azure AD Connect-Setup starten. Weitere Informationen finden Sie auf der Microsoft GitHub-Seite zu idFix.

Normalerweise können Sie diesen Wert auf den Standardwert userPrincipalName belassen, aber Ihre spezifischen Umstände können abweichen. Nicht routbare Domainnamen (übliche Beispiele sind .local oder .internal) sind ebenfalls ein guter Grund, Ihren UPN zu ändern, dies kann jedoch auch durch Hinzufügen eines alternativen (und routbaren) UPN-Suffixes über Active Directory-Domänen und -Vertrauen behoben werden.

Klicken Sie auf Weiter, um fortzufahren.

Wählen Sie die Domänen und OUs aus, die Sie synchronisieren möchten

Auf der Domänen- und OU-Filterung Seite können Sie entweder alle Domänen und Organisationseinheiten (OUs) synchronisieren oder anpassen, welche synchronisiert werden sollen. Microsoft gibt an, dass bestimmte OUs für die Funktionalität unerlässlich sind und Sie diese ausgewählt lassen sollten. Microsofts Filterung basierend auf Organisationseinheiten enthält weitere Informationen zu diesen OUs.

Klicken Sie auf Weiter, um fortzufahren.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

Auf dem Bildschirm „Benutzer eindeutig identifizieren“ wählen Sie die Optionen aus, die am besten zu Ihrer Infrastruktur passen. Wie im vorherigen Abschnitt ist es entscheidend, dies richtig zu machen.

Obwohl die Standardwerte für viele Organisationen geeignet sein können, könnte es sein, dass Ihre Umgebung erfordert, dass Sie etwas Zeit und Mühe darauf verwenden, die für Sie besten Werte zu identifizieren. Sehen Sie sich die Supportseite von Microsoft zur eindeutigen Identifizierung Ihrer Benutzer hier für weitere Informationen an.

Wenn Sie bereit sind, klicken Sie auf Weiter, um fortzufahren.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

Wählen Sie aus, welche Benutzer und Geräte mit Azure AD synchronisiert werden sollen

Auf dem Bildschirm „Benutzer und Geräte filtern“ können Sie festlegen, welche Benutzer und Geräte mit Azure AD synchronisiert werden, indem Sie eine einzelne Gruppe angeben. Dies ist ein praktischer Weg, um Ihre erste Pilotbereitstellung einzuschränken.

Diese Einstellungen können nach Abschluss Ihres Pilotprojekts und der Behebung aller Probleme bei Ihrer Bereitstellung geändert werden, falls Sie auf Probleme stoßen. Wenn Sie dies verwenden möchten, geben Sie einfach den Namen Ihrer Pilotgruppe ein und klicken Sie auf die Schaltfläche Auflösen.

Beachten Sie, dass Microsoft davor warnt, dass diese Funktion nicht für eine Produktionsbereitstellung gedacht ist, also stellen Sie sicher, dass Sie dies ändern, bevor Sie live gehen.

Für diesen Leitfaden habe ich eine Gruppe namens HybridUsers erstellt und all meine Testbenutzer hinzugefügt.

Klicken Sie auf Weiter, um fortzufahren.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

Wählen Sie die optionalen Funktionen aus, die Ihre Organisation benötigt

Auf dem Bildschirm Optionale Funktionen können Sie zusätzliche Einstellungen festlegen, die den Anforderungen Ihrer Organisation entsprechen:

  • Exchange-Hybridbereitstellung (für Koexistenz mit Exchange lokal und Exchange Online)
  • Exchange Mail-Öffentliche Ordner (zur Synchronisierung von mailfähigen öffentlichen Ordnerobjekten aus Ihrer lokalen Active Directory-Instanz mit dem Azure AD)
  • Azure AD-App und Attributfilterung (um festzulegen, welche Attribute mit dem Azure AD synchronisiert werden sollen)
  • Password-Hash-Synchronisierung
  • Password-Writeback (um Ihren Benutzern die eigenständige Zurücksetzung ihres Kennworts zu ermöglichen und damit die Anzahl der Helpdesk-Anrufe zu reduzieren)
  • Gruppen-Writeback (um bestimmte Azure AD-Gruppen wieder in Ihr AD zu schreiben)
  • Geräte-Writeback (um Azure AD-registrierte Geräte wieder in Ihr AD zu schreiben)
  • Directory-Erweiterungsattribut-Synchronisierung (um benutzerdefinierte AD-Attribute mit Ihrem Azure AD zu synchronisieren)

Für diese Anleitung werde ich die Standardwerte beibehalten. Stellen Sie sicher, dass Sie für Ihre Umgebung die geeignetsten Einstellungen auswählen und beachten Sie, dass einige spezifische Anforderungen haben. Microsoft hat weitere Informationen auf seiner Optional Features Support-Seite.

Klicken Sie auf Weiter, um fortzufahren.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

Wählen Sie Ihre Optionen, bevor Sie den Synchronisierungsprozess starten

Wir sind nun auf dem Bildschirm Bereit zur Konfiguration angekommen, der Ihnen einen selektiven Überblick über Ihre Entscheidungen bietet. Es ermöglicht Ihnen auch, die folgenden zwei Optionen festzulegen:

  • Starten Sie den Synchronisierungsprozess, wenn die Konfiguration abgeschlossen ist (Wenn Sie dies abwählen, wird der Start des Synchronisierungsprozesses verschoben)
  • Aktivieren des Staging-Modus: Wenn ausgewählt, exportiert die Synchronisierung keine Daten nach AD oder Azure AD (diese Azure AD Connect-Instanz importiert jedoch weiterhin Einstellungen)

Es könnte hilfreich sein, einen zweiten Azure AD Connect-Server einsatzbereit zu haben, um Ihre Daten aufzunehmen, falls Ihr primärer Server nicht verfügbar ist. Dies ermöglicht es Ihnen, den zweiten Server (manuell) in den aktiven Synchronisierungsmodus zu versetzen, ohne den gesamten Installationsprozess durchlaufen zu müssen oder aus einem Backup wiederherstellen zu müssen. Sie sind die beste Person, um zu entscheiden, wie Sie Ihren/die Azure AD Connect-Server am besten einrichten.

Klicken Sie auf Installieren, sobald Sie bestätigt haben, dass alle Einstellungen korrekt sind.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

Nun wird Azure AD Connect Ihre Einstellungen bereitstellen, verschiedene Komponenten installieren und dann die erste Synchronisierung zwischen Ihrem AD und Ihrem Azure AD starten. Dies kann je nach Größe Ihres ADs eine Weile dauern.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

Überprüfen, ob Azure AD Connect ordnungsgemäß funktioniert

Was Sie jetzt sehen werden, hängt von Ihren Auswahlmöglichkeiten während der Installation ab. Wenn Sie meinen Anweisungen gefolgt sind, sollte Ihre Umgebung ähnlich aussehen.

In Ihrem Azure-Portal navigieren Sie zu Azure Active Directory und wählen im Bereich Verwalten Azure AD Connect aus. Sie werden feststellen, dass die Werte für den SynchronisierungsstatusLetzte Synchronisierung und Passwort-Hash-Synchronisierung sich geändert haben und anzeigen, dass der Dienst aktiviert wurde.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

Weiterhin im Azure Active Directory wählen Sie im Bereich Verwalten Benutzer aus. Sie finden alle ausgewählten lokalen (AD) Benutzer, die mit Azure AD synchronisiert wurden. Beachten Sie die Spalte Synchronisiertes Verzeichnis, die es Ihnen ermöglicht, einfach festzustellen, ob ein Konto aus Ihrem lokalen AD synchronisiert wurde oder im Browser (Azure AD) erstellt wurde.

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

Neukonfiguration von Azure AD Connect und weiteren Tools

Sie finden eine neue Verknüpfung (Azure AD Connect) auf Ihrem Desktop, die es Ihnen ermöglicht, einige der Einstellungen von Azure AD Connect neu zu konfigurieren. Je nach Ihren ursprünglichen Installationsentscheidungen sehen Sie möglicherweise eine andere Auswahl an Optionen.

Zusätzlich erlaubt die Aufgabe Aktuelle Konfiguration anzeigen oder exportieren Ihnen bequem ein Backup Ihrer Azure AD Connect-Einstellungen zu erstellen, was auch einige Ihrer Dokumentationsanforderungen erfüllen könnte. Problembehandlung ermöglicht es Ihnen, das Azure AD Connect Troubleshooting Tool zu starten, das in einem PowerShell-Fenster geöffnet wird.

Der Synchronisierungsdienstplaner wird ausgesetzt, während der Assistent ausgeführt wird, auch wenn Sie keine Änderungen vornehmen, also achten Sie darauf, dass Sie ihn nicht versehentlich geöffnet lassen.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

Azure AD Connect installiert und aktiviert weitere Tools und Portale, die Ihnen helfen werden, das Beste aus Ihrem hybriden Identitätssetup herauszuholen:

  • Azure AD Connect Health (ein Portal, das es Ihnen ermöglicht, Warnungen, Leistungsüberwachung, Nutzungsanalytik und andere Informationen anzusehen)
  • Synchronisierungsdienst-Manager (um fortgeschrittenere Aspekte des Sync-Engines zu konfigurieren und die operativen Aspekte des Dienstes zu sehen)
  • Synchronisierungsregel-Editor (zum Anzeigen, Erstellen und Bearbeiten von Synchronisierungsregeln)
  • Connector für Web-Services (um mit verschiedenen Systemen wie SAP ECC, Oracle PeopleSoft und eBusiness zu verbinden)

Nun, da wir Azure AD Connect V2 installiert haben und überprüft haben, dass die beiden Verzeichnisse miteinander synchronisiert sind, könnte es an der Zeit sein, einige der fortgeschritteneren Anwendungsfälle zu überprüfen, wie z.B. die Aktivierung der Einmalanmeldung (SSO) und die Durchleitung der Authentifizierung. Außerdem müssen Sie auf dem neuesten Stand bleiben, was die neuen Versionen von Azure AD Connect betrifft, da Microsoft gerne neue Funktionen veröffentlicht und gelegentlich einige entfernt, die Sie in Ihrer Umgebung verwenden könnten.

Zugehöriger Artikel:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/