Azure AD Connect Cloud Provisioning

In den letzten Jahren hat Microsoft den Aktionsradius von Azure AD Connect erweitert. So sorgt zwischenzeitlich neben dem reinen Synchronisationsdienst ein separater Agent auf dem Server für die PTA-Authentifizierung (Passthrough Authentication). Ein Mechanismus, mit dem bei der Anmeldung am AAD über das Internet das lokale AD kontaktiert wird, um die eingegebenen Benutzer-Credentials gegen lokale Domänencontroller zu validieren. Interessant ist dies für Umgebungen, in denen Administratoren sich dagegen entschieden haben, die Passwort-Hashes mit dem AAD zu synchronisieren, und sie den Anwender trotzdem von einer erneuten Passworteingabe verschonen möchten.

Azure AD Connect ist ein verlässlicher Dienst, der im Hintergrund seine Arbeit verrichtet und kaum Administration erfordert. Vielleicht ab und zu ein Problem bei der Synchronisation, doppelte E-Mailadressen oder wenn Microsoft mehrmals im Jahr ein Update veröffentlicht, benötigt er Aufmerksamkeit. Die administrativen Schnittstellen sind gering. Bei allem Lob zeigen sich aber durchaus auch Schwachstellen.

Stolperfallen von Azure AD Connect

Potenzial zum Grübeln wird bei der Planung sichtbar: Zum Beispiel, wenn es um das Thema Hochverfügbarkeit geht. Dies sieht die Architektur des Dienstes nicht vor und ein zentrales Farm-Setup, wie es beispielsweise von ADFS her bekannt ist, sucht der Administrator vergebens. Das heißt nichts anderes, als dass jeder Azure-AD-Connect-Server seine eigene, nur für ihn geltende Konfiguration besitzt.

Was auf den ersten Blick kein Problem darstellt – zumindest in Infrastrukturen, in denen ein einzelner Azure-AD-Connect-Server läuft. Haben Sie mehrere Synchronisationsserver und verwenden Sie das Konzept des Staging-Servers quasi als Mittel für Redundanz und Hochverfügbarkeit, ist die Synchronisation bei Ausfall des aktiven Synchronisationsservers schnell wieder intakt, da der

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.