Die Integration Ihrer lokalen Active Directory-Domänendienste (AD) mit Azure AD erfolgt über die Synchronization Service Manager-GUI oder über PowerShell.
Es gibt zwei Möglichkeiten, Azure AD lokal zu verwenden – die Durchleitung der Authentifizierung (sendet die Authentifizierungsanfrage direkt an Azure AD) oder die Verzeichnissynchronisierung, die Passworthashes zwischen dem lokalen AD und Azure AD synchronisiert. In diesem Blog-Beitrag zeigen wir, wie Sie die Software Azure Active Directory Connect einrichten, um Passworthashes zu synchronisieren.
Wir zeigen Ihnen, wie Sie eine regelmäßige Synchronisierung einrichten und wie Sie Azure AD Connect verwenden, um eine Passworthash-Synchronisierung zu erzwingen.
Kurz gesagt, um Azure AD mit PowerShell zur Synchronisierung zu zwingen, sind folgende Schritte erforderlich:
- Installieren Sie Azure Active Directory Connect
- Importieren Sie das ADSync-PowerShell-Modul
- Führen Sie das Cmdlet
Start-AdSyncScheduleaus, das Passworthashes eines Domänencontrollers liest und mit Azure AD synchronisiert.
Wenn Sie lieber über Videos lernen, schauen Sie sich dieses informative TechSnips-Video an.
Installieren Sie Azure AD Connect
Um die lokale Active Directory mit einem Azure AD-Mandanten zu synchronisieren, müssen Sie zunächst die Azure AD Connect-Software herunterladen und installieren. Dazu haben Sie zwei Möglichkeiten. Sie können sie entweder aus dem Azure-Portal herunterladen oder direkt vom Softwarepaket.
Herunterladen aus dem Azure-Portal
Wenn Sie sich dazu entschieden haben, das Paket nicht von der Microsoft-Website herunterzuladen, müssen Sie es aus dem Azure-Portal beziehen.
Suchen Sie im Portal nach „Azure Active Directory“. Im Abschnitt Azure Active Directory klicken Sie auf Azure AD Connect. Hier finden Sie einen Abschnitt Synchronisierungsstatus mit einem Link zum Herunterladen von Azure AD Connect.
Synchronisierungstools
Wenn Sie Azure AD Connect installieren, werden zwei Hauptwerkzeuge installiert, mit denen Sie eine Synchronisierung planen oder erzwingen können.
- Das ADSync PowerShell-Modul
- Der Synchronisierungsdienst-Manager
Mit diesen beiden Tools können Sie eine wiederkehrende (geplante) Synchronisierung einrichten, um regelmäßig eine Azure AD-Synchronisierung durchzuführen. Oder Sie können sie verwenden, um eine Synchronisierung ad hoc zu erzwingen. Beide Tools verhalten sich gleich. Der einzige Unterschied besteht darin, dass das eine über die Befehlszeile (PowerShell) und das andere über eine GUI-Anwendung erfolgt.
Einrichten des ADSync PowerShell-Moduls
Bei der Installation von Azure AD Connect wird ein PowerShell-Modul namens ADSync installiert. Dieses Modul enthält Befehle, mit denen Sie den Synchronisierungsprozess mithilfe von PowerShell verwalten können.
Beachten Sie, dass in diesem Artikel Windows PowerShell 5.1 verwendet wird. Ihre Erfahrungen können variieren, wenn Sie eine ältere Version verwenden.
Wie bei allen PowerShell-Modulen ist der Import des Moduls unkompliziert. Das Modul befindet sich jedoch nicht im bekannten Ordner für Windows PowerShell-Module. Die Installation platziert das PowerShell-Modul im Ordner C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Um das Modul zu importieren, öffnen Sie eine PowerShell-Konsole und geben Sie Folgendes ein:
Um zu überprüfen, ob das Modul importiert wurde, verwenden Sie Get-Module. Sie sollten das Modul ADSync aufgelistet sehen.
Standardmäßiger Azure AD Sync-Zeitplan
Standardmäßig erstellt Azure AD Connect eine geplante Aufgabe, die alle 30 Minuten eine Delta-Synchronisation (nur Objekte mit Unterschieden) durchführt. Sie können den Zeitplan in der Aufgabenplanung finden. Sie sollten eine geplante Aufgabe unter Microsoft –> Windows namens Azure AD Sync Scheduler bemerken.
Sie können diesen Zeitplan ändern, beachten Sie jedoch, dass 30 Minuten das kürzeste unterstützte Intervall ist. Das Ziel ist es, das Synchronisierungsintervall so festzulegen, dass es häufig genug erfolgt, um Änderungen zu erfassen. Ist die Synchronisation zu kurz, besteht die Gefahr, Ihr Netzwerk zu überlasten.
Der Scheduler erledigt zwei Aufgaben:
- Synchronisationszyklus – Der Prozess zum Importieren, Synchronisieren und Exportieren von Änderungen.
- Wartungsaufgaben – Erneuert Schlüssel und Zertifikate für Passwortzurücksetzungen und den Geräteregistrierungsdienst (DRS). Es löscht auch alte Einträge im Betriebsprotokoll.
Der Scheduler selbst läuft immer, kann jedoch so konfiguriert werden, dass nur eine oder keine dieser Aufgaben ausgeführt wird.
Erzwingen einer Azure AD Connect-Synchronisierung
Es kann Zeiten geben, in denen Sie die Synchronisierung Ihrer Objekte erzwingen müssen. Wenn Sie beispielsweise Ihren eigenen Synchronisierungszyklusprozess haben möchten, können Sie diese Aufgabe im Scheduler deaktivieren, aber den Wartungsvorgang dennoch ausführen.
Verwenden Sie Azure Active Directory Connect, um eine Kennwortsynchronisierung und andere Informationen zu erzwingen. Sie können entweder den Synchronisierungsdienst-Manager oder PowerShell verwenden.
Erzwingen einer Synchronisierung mit dem Synchronisierungsdienst-Manager
Auf einem Server mit installiertem Azure AD Connect wechseln Sie zum Startmenü und wählen AD Connect, dann Synchronisierungsdienst.
Auf den ersten Blick wirkt es überwältigend, aber Sie interessieren sich nur für den Verbindungen-Tab und das Auswahlfenster auf der rechten Seite. In der rechten Fensterbereich sehen Sie Optionen zum Stoppen (Stopp) und Starten (Ausführen) der Synchronisierung.
Beachten Sie, dass während eines Synchronisationszyklus keine Konfigurationsänderungen vorgenommen werden können. Das Stoppen des aktuellen Zyklus ist nicht schädlich und ausstehende Änderungen werden beim nächsten Durchlauf verarbeitet.
Erhalten des Synchronisierungsstatus mit PowerShell
Bevor Sie eine Synchronisierung erzwingen, ist es eine gute Idee, den Status des aktuellen Synchronisierungszyklus abzurufen. Wenn Sie eine Synchronisierung während eines laufenden Zyklus erzwingen, könnten Sie später auf einige Probleme stoßen.
Um die aktuellen Einstellungen anzuzeigen, öffnen Sie eine PowerShell-Konsole auf dem Server, auf dem Azure Active Directory Connect installiert ist, und führen Sie den Befehl Get-ADSyncScheduler aus. Sie sehen einige Eigenschaften, die nützliche Informationen liefern.
Get-AdSyncSchedulerEs gibt eine ganze Menge an Informationen zu durchsuchen. Gehen wir sie Zeile für Zeile durch:
AllowedSyncCycleInterval– Dies ist die kürzeste Zeit zwischen den Synchronisierungen. Standardmäßig ist sie auf 30 Minuten festgelegt, die kürzeste erlaubte Zeit.CurrentlyEffectiveSyncCycleInterval– Derzeit geltender Zeitplan. Er hat den gleichen Wert wieCustomizedSyncInterval(falls festgelegt), wenn er nicht häufiger alsAllowedSyncIntervalist. Wenn Sie eine Version vor 1.1.281 verwenden und SieCustomizedSyncCycleIntervaländern, tritt diese Änderung nach dem nächsten Synchronisierungszyklus in Kraft. Ab Version 1.1.281 tritt die Änderung sofort in Kraft.CustomizedSyncCycleInterval– Dies wird festgelegt, wenn Sie den Zeitplan so einstellen möchten, dass er nicht alle 30 Minuten ausgeführt wird (Standard).NextSyncCyclePolicyType– Dieser Parameter definiert, was der nächste Lauf verarbeiten soll. Wenn der nächste Lauf eine vollständige Synchronisation ist, wird dies zuerst angezeigt.NextSyncCycleStartTimeInUTC– Dies ist die Zeit, zu der der Scheduler den nächsten Synchronisationszyklus startet.PurgeRunHistoryInterval– Legen Sie fest, wie lange die Betriebsprotokolle aufbewahrt werden sollen. Die Standardeinstellung ist, die Protokolle 7 Tage lang aufzubewahren.SyncCycleEnabled– Gibt an, ob der Scheduler die Import-, Synchronisations- und Exportvorgänge als Teil seines Betriebs ausführt.MaintenanceEnabled– Die Wartung aktiviert die Aktualisierung von Zertifikaten/Keys und löscht das Betriebsprotokoll.StagingModeEnabled– Wenn aktiviert, unterdrückt es das Ausführen der Exporte. Synchronisation.SchedulerSuspended– Auf „gesperrt“ setzen, um den Scheduler vorübergehend am Laufen zu hindern.
Erzwingen einer Synchronisation mit PowerShell
Finden Sie ausgelaufene und unsichere Passwörter in Ihrer Active Directory, indem Sie diese mit der NCSC-Passwortliste abgleichen.
Sie haben einige Optionen, wenn Sie eine Synchronisation erzwingen. Sie können entweder eine vollständige Synchronisation oder eine Delta-Synchronisation erzwingen. Eine vollständige Synchronisation überprüft alle Objekte in AD. Eine Delta-Synchronisation überprüft und synchronisiert nur Änderungen seit dem letzten Lauf.
Um eine vollständige Synchronisierung zu starten, können Sie das Start-AdSyncSyncCycle-Cmdlet verwenden. Verwenden Sie den PolicyType-Parameter, um je nach gewünschter Synchronisierung entweder Full oder Delta auszuwählen. Beide Methoden erzwingen eine AD-Synchronisierung für Office 365, Benutzeridentitätskonten und alle anderen Attribute.
Das Stoppen einer Synchronisierung
Wenn Sie eine laufende Synchronisierung stoppen möchten, können Sie ebenfalls das Stop-ADSyncSyncCycle-Cmdlet verwenden.
Zusammenfassung
Ob Sie die GUI oder PowerShell verwenden, Sie sollten nun verschiedene Möglichkeiten kennen, das Azure Active Directory Connect-Tool zu verwenden, um eine Synchronisierung mit Ihrer lokalen Active Directory-Umgebung mit Azure AD zu planen oder zu erzwingen.