Eines der ersten Aufgaben bei Hybrid Szenarien ist die Einrichtung von AzureAD Connect, um die Domänenidentitäten für Cloud Produkte bereitzustellen und Single-Sign-On zu ermöglichen.
In diesem kleinen HowTo möchte ich die Einrichtung anhand eines Gatewayservers erläutern, der zwischen dem eigentlichem DC und AzureAD die Identitäten synchronisiert.
Für AzureAD Connect sind in diesem HowTo zwei Vorarbeiten notwendig. Zum einen legen wir einen Managed Service Account vor der Installation im AD an, um diesen während der Installation anzugeben. Zum anderen benötigen wir einen AAD-User der über Leserechte im AD verfügt. Für diesen Zweck kann der MSA leider noch nicht verwendet werden.
Einige Fragen sich nun sicherlich, wofür ist der der MSA überhaupt notwendig? Aus Security Gründen, um einen getrennten vom AD verwalteten Account zu nutzen, dessen Passwort vom AD verwaltet wird und auf dem Server als weiterer, dedizierte Dienst eingerichtet ist.
Contents
Anlegen eines Managed Service Accounts
Zunächst loggen wir uns auf unserem DC ein oder verbinden uns dorthin via Powershell Remote. Anschließend erstellen wir uns einen Managed Service Account (MSA) über folgende Befehle:
Importiert das entsprechende AD-Modul in die Powershell Sitzung
Import-Module ActiveDirectory
Der nachfolgende Befehl erzeugt einen neuen MSA-Account mit dem angegeben Namen. Wichtig ist die Angabe des Servers, der diesen verwenden soll.
New-ADServiceAccount -Name ADSyncSvc-Enable $true -DNSHostName ServeraufdemADConnectinstalliertwird
Anschließend geben wir die Server an, die den MSA nutzen können.
Set-ADServiceAccount -Identity AADSyncSvc -PrincipalsAllowedToRetrieveManagedPassword Servername$
Da der MSA Account im AD angelegt und der entsprechende Server berechtigt ist, müssen wir das dem entsprechenden Server noch mitteilen.
Auf dem entsprechendem Server starten wir ebenfalls eine Powershell mit Administrativen Rechten.
Gegebenenfalls ist das AD-Powershell Modul noch zu installieren.
Enable-WindowsOptionalFeature -FeatureName ActiveDirectory-Powershell -Online -All
Das AD-Powershell Modul erneut importieren
Import-Module ActiveDirectory
Abschließend den MSA-Account auf dem Server, unter Angabe des Accountnamens, installieren.
Install-ADServiceAccount ADSyncSvc
Konfiguration eines AD Service Accounts
Während des Setups von AAD Connect wird ein User abgefragt, der über Leserechte im Active Directory verfügt. Dieser Account wird
Installation AzureAD Connect
Zur Installation von AzureAD Connect laden wir uns das entsprechende MSI herunter und starten anschließend die Installation.
Um einen Service Account anzugeben, wählen wir die Express Settings aus.
Im anschließenden Fenster lässt sich der MSA-Account angeben. Wichtig ist das $ hinter dem Namen des MSA-Accounts.
Anschließend wird die Installation durchgeführt. Während der Installation wird eine lokale SQL Server Express DB installiert.
Konfiguration von Azure AD Connect
Für die Konfiguration der Userobjekte bestehen mehrere Auswahlmöglichkeiten:
- Password Synchronization
- Dieses Feature synchronisiert die lokalen Passwort-Hashes des DC als Hash-Wert in die Cloud. Somit können sich User mit dem gleichen Passwort On-Premise und an Cloud Diensten (Office 365) anmelden. Passwort wird alle 2 min synchronisiert.
- Pass-trough Authentication
- Dieses Feature ermöglicht, ähnlich wie Password Synchronization, ein Single-Sign-On Experience bei Cloud Diensten. Der wesentliche Unterschied ist der, dass die lokalen Passwörter nicht in der Cloud gespeichert werden. Die Authentifizierung der User läuft über einen standalone Authentication Agent, der auf einem separatem Windows Server installiert wird, ab.
- Federation with AD FS
- Mit AD FS sind komplexe Szenarien möglich. Z.B. besteht die Möglichkeit, dass die komplette Anmeldeabwicklung an Cloud Services über AD FS On-Premise abgewickelt wird und Azure AD nur ein Relay zum AD FS Service darstellt.
Anschließend werden die Angaben zu einem Azure Account abgefragt, der über Globale Adminstratorrechte verfügt. Diese sind an dieser Stelle notwendig, da AAD Connect darüber einen eigenen Sync Account anlegt und diesen mit notwendigen Rechten versieht.
Im anschließenden Screen ist die Angabe des Forest und des Directory Type notwendig. Diese werden von AAD Connect automatisch ermittelt.
Über den Button “Add Directory” gelangen wir zu einer Abfrage nach einem Account, der bestimmte Rechte im lokalen AD braucht, damit die Synchronisation einwandfrei funktioniert. Dieser kann durch das Setup automatisch angelegt werden. Sollten Sicherheitsbedenken dagegen sprechen, lässt sich dieser auch manuell im Vorfeld anlegen. Die Rechte, die dieser Account benötigt, sind unter Azure AD Connect Accounts and permissions dokumentiert.
Nachfolgend ist zu konfigurieren, welcher Suffix für die Anmeldung an der Domäne und an Clouddiensten verwendet werden soll. Im folgenden Beispiel ist dies der lokale Domänensuffix ad.cloudmechanic.de. Da dieser im AzureAD noch nicht bekannt ist, kann eine Anmeldung über UPN nicht erfolgen. Darauf weist die Fehlermeldung am unteren Rand hin.
Wir können diesen hinzufügen, in dem wir das Portal aufrufen, dort zum Punkt Azure Active Directory navigieren das Feld “Azure AD Connect” auswählen und dort unter User Sign-in auf Federation wechseln. Nun befinden wir uns im Tab “Custom domain names”.
Hier fügen wir zunächst den DNS-Namen hinzu und nachdem diese verifziert wurde, den darauf basierenden Domän-Suffix. Dieser wird sofort als verifiziert angezeigt.
Anschließend wechseln wir wieder zum AAD Connect Setup und aktualisieren den Status über das Kreissymbol. Kurzer Augenblick später, wird der Status mit “Verified” angezeigt und eine Anmeldung der User über den UPN ist möglich.
Im Wizard lässt sich nun auswählen, welche Objekte des lokalen AD mit AzureAD synchronisiert werden. Dies lässt sich an dieser Stelle nur OU-Basierend auswählen. Weitere Einschränkungen sind hier nicht möglich.
Im nächsten Schritt erfolgt die Abfrage, ob die User nur in einem oder mehreren lokalen Verzeichnisdiensten gepflegt werden. Sollte letzteres der Fall sein, ist die Anmeldeidendität für das konfigurierte AD anzugeben. Im Normalfall sind hier keine Änderungen vorzunehmen.
Zur Filterung der zu synchronisierten Objekte, bestand im vorherigen Schritt die Möglichkeit eine oder mehrere OU`s zur Synchronisation auszuwählen. In diesem Teil lässt sich die Synchronisierung noch weiter auf Gruppenebene herunterbrechen. Z.B. lässt sich hier auswählen, das nur User die der Gruppe “AADSyncUser” angehören synchronisiert werden.
Abschließend lassen sich weitere “Optionale Features” zur Konfiguration auswählen. Da eine spätere Anpassung jederzeit möglich ist, lasse ich diese Features erstmal außen vor.
Für die Aktivierung der Single Sign-On Funktionalität ist im letzten Schritt die Angaben eines Domänenadministrators notwendig. Dieser Account wird dazu genutzt, um das AD entsprechend zu konfigurieren, so dass User beim Aufruf von Azure/O365 Services auf den lokalen Devices keine Credentials angeben müssen.
Nun beginnt der Setup Wizard die vorher definierten Konfigurationen umzusetzen. Kurze Zeit später, wird uns das Ergebniss übersichtlich angezeigt. Bereits bei der Anzeige der Ergebnisse werden die User im Hintergrund mit AzureAD synchronisiert.
Für Single Sign-On sind weitere Konfigurationsschritte erforderlich, ein hilfreicher Beitrag ist dazu bei Terminal Works zu finden.
Ausblick
Einer der nächsten Beiträge wird sich mit der Attribut Filterung beschäftigen. Bedeutet wie ich via gesetzten Attributen im lokalen AD Objekte von einer Synchronisierung auschließe oder einbinde, obwohl sich die Objekte in der gleichen OU befinden.