Azure AD Connect Cloud Provisioning

Gleichstand herstellen

Seit Jahren ist Azure AD Connect das zentrale Werkzeug in einem hybriden Setup. Es synchronisiert Identitäten aus dem lokalen Active Directory mit dem Azure Active Directory. Doch AD Connect hält einige Stolperfallen bereit. Mit Cloud Provisioning bietet Microsoft jetzt eine weitere Sync-Technologie. Wir zeigen deren Einsatzgebiet und Inbetriebnahme.
Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um ... (mehr)

In den letzten Jahren hat Microsoft den Aktionsradius von Azure AD Connect erweitert. So sorgt zwischenzeitlich neben dem reinen Synchronisationsdienst ein separater Agent auf dem Server für die PTA-Authentifizierung (Passthrough Authentication). Ein Mechanismus, mit dem bei der Anmeldung am AAD über das Internet das lokale AD kontaktiert wird, um die eingegebenen Benutzer-Credentials gegen lokale Domänencontroller zu validieren. Interessant ist dies für Umgebungen, in denen Administratoren sich dagegen entschieden haben, die Passwort-Hashes mit dem AAD zu synchronisieren, und sie den Anwender trotzdem von einer erneuten Passworteingabe verschonen möchten.

Azure AD Connect ist ein verlässlicher Dienst, der im Hintergrund seine Arbeit verrichtet und kaum Administration erfordert. Vielleicht ab und zu ein Problem bei der Synchronisation, doppelte E-Mailadressen oder wenn Microsoft mehrmals im Jahr ein Update veröffentlicht, benötigt er Aufmerksamkeit. Die administrativen Schnittstellen sind gering. Bei allem Lob zeigen sich aber durchaus auch Schwachstellen.

Stolperfallen von Azure AD Connect

Potenzial zum Grübeln wird bei der Planung sichtbar: Zum Beispiel, wenn es um das Thema Hochverfügbarkeit geht. Dies sieht die Architektur des Dienstes nicht vor und ein zentrales Farm-Setup, wie es beispielsweise von ADFS her bekannt ist, sucht der Administrator vergebens. Das heißt nichts anderes, als dass jeder Azure-AD-Connect-Server seine eigene, nur für ihn geltende Konfiguration besitzt.

Was auf den ersten Blick kein Problem darstellt – zumindest in Infrastrukturen, in denen ein einzelner Azure-AD-Connect-Server läuft. Haben Sie mehrere Synchronisationsserver und verwenden Sie das Konzept des Staging-Servers quasi als Mittel für Redundanz und Hochverfügbarkeit, ist die Synchronisation bei Ausfall des aktiven Synchronisationsservers schnell wieder intakt, da der

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020