Vollständiges Tutorial für Azure AD Connect und Microsoft Entra Connect

Azure AD Connect (jetzt Microsoft Enter Connect) Es ist der Schlüssel zur Verbindung Ihres lokalen Active Directory mit der Microsoft-Cloud: Azure AD und Microsoft 365. Dank dieses Tools können sich Ihre Benutzer sowohl lokal als auch in Cloud-Diensten mit demselben Benutzernamen und Passwort anmelden, wodurch doppelte Konten vermieden und der Aufwand für die IT-Abteilung reduziert wird.

Im Laufe dieses Tutorials Sie werden den gesamten Zyklus im Detail kennenlernen: von der Vorbereitung der lokalen Umgebung über die Erstellung der Domäne und der Active Directory-Gesamtstruktur bis hin zur Konfiguration von Microsoft Entra ID, der Installation und Konfiguration von Azure AD Connect, Authentifizierungsmethoden, Objektfilterung und erweiterten Funktionen wie Kennworthash-Synchronisierung, Write-Back oder der Verwendung von Microsoft Entra Connect Health zur Überwachung der Infrastruktur.

Was ist Azure AD Connect und wofür wird es verwendet?

Azure AD Connect ist das offizielle Microsoft-Dienstprogramm. Es fungiert als „Brücke“ zwischen Ihrem lokalen Active Directory und Azure Active Directory und integriert außerdem Microsoft 365. Es ermöglicht die Synchronisierung der bereits in Ihrer lokalen Domäne vorhandenen Identitäten mit der Cloud, sodass der Benutzer in beiden Welten dieselben Anmeldeinformationen verwendet und, falls gewünscht, Single Sign-On (SSO) nutzen kann.

Der Azure AD Connect-Client ist auf einem Mitgliedsserver installiert. Der Server befindet sich in der Domäne und kann zwar technisch auf einem Domänencontroller installiert werden, Microsoft empfiehlt dies jedoch aus Sicherheitsgründen und zur Gewährleistung der Dienstisolation zu vermeiden. Dieser Server ist für die regelmäßige Synchronisierung von Benutzern, Gruppen und anderen Objekten aus Ihrem Active Directory mit Azure AD zuständig.

Nach der Konfiguration kann Azure AD Connect Es unterstützt verschiedene Authentifizierungsmodelle: Kennworthash-Synchronisierung (PHS), Pass-Through-Authentifizierung (PTA), Verbundauthentifizierung mit AD FS oder Verbundauthentifizierung mit Anbietern wie PingFederate. Zudem bietet es Optionen wie Single Sign-On (SSO), Filterung nach Organisationseinheiten oder Gruppen, Schutz vor Massenlöschungen und automatische Produktaktualisierungen.

In Szenarien, in denen Sie bereits mit Microsoft 365 arbeiten Und falls Sie „nur in der Cloud“ arbeitende Benutzer haben, ermöglicht Ihnen Azure AD Connect die Vereinheitlichung der Identitäten: Wenn der UPN und die E-Mail-Adresse eines lokalen Benutzers mit denen des Benutzers in der Cloud übereinstimmen, wird dieser Benutzer nach der Synchronisierung nicht mehr als „nur in der Cloud“ gelten, sondern zu einem synchronisierten Benutzer aus AD, wodurch die Attributverwaltung in Ihrem lokalen Verzeichnis zentralisiert wird.

Vorbereiten der lokalen Active Directory-Umgebung

Bevor Sie irgendetwas mit Azure synchronisieren,Sie benötigen eine funktionsfähige Active Directory-Umgebung. Falls Sie bereits eine Unternehmensdomäne im Produktivbetrieb haben, können Sie diese verwenden; andernfalls können Sie eine Testumgebung von Grund auf einrichten, um alle Szenarien hybrider Identitätsverwaltung zu testen, ohne Ihre Produktivumgebung zu beeinträchtigen.

Die Idee hinter diesem Labor ist die Erstellung eines Servers. Dieser Server fungiert als Domänencontroller (DC) und hostet Active Directory-Verwaltungssysteme (AD DS), DNS und Verwaltungstools. Die Einrichtung erfolgt auf einer virtuellen Hyper-V-Maschine unter Windows Server mithilfe von PowerShell-Skripten, die einen Großteil der Arbeit automatisieren.

Erstellen der virtuellen Maschine für den Domänencontroller

Der erste Schritt besteht darin, eine virtuelle Maschine zu erstellen. Diese VM fungiert als lokaler Active Directory-Server. Dazu können Sie PowerShell ISE als Administrator auf dem Hyper-V-Host öffnen und ein Skript ausführen, das den VM-Namen, den Netzwerk-Switch, den VHDX-Pfad, die Festplattengröße und das Installationsmedium (Windows Server ISO) definiert.

Dieses Skript erstellt eine VM der zweiten Generation.Bei festem Arbeitsspeicher wird eine neue virtuelle Festplatte erstellt und ein virtuelles DVD-Laufwerk, das auf die ISO-Datei des Betriebssystems verweist, eingebunden. Die Firmware des Rechners wird anschließend so konfiguriert, dass er initial von der DVD bootet, sodass Sie die Systeminstallation interaktiv durchführen können.

Sobald die virtuelle Maschine erstellt wurdeStarten Sie den Server über den Hyper-V-Manager, verbinden Sie sich mit der Konsole und führen Sie eine Standardinstallation von Windows Server durch: Wählen Sie Ihre Sprache, geben Sie den Produktschlüssel ein, akzeptieren Sie die Lizenzbedingungen, wählen Sie eine benutzerdefinierte Installation und verwenden Sie die neu erstellte Festplatte. Starten Sie den Server nach Abschluss der Installation neu, melden Sie sich an und installieren Sie alle verfügbaren Updates.

Erstkonfiguration des Windows Servers

Das Betriebssystem ist bereits installiert.Der Server muss für die Übernahme der Active Directory-Domänendienste-Rolle vorbereitet werden. Dies umfasst die Vergabe eines einheitlichen Namens (z. B. DC1), die Konfiguration einer statischen IP-Adresse, die Definition der DNS-Einstellungen und das Hinzufügen der erforderlichen Verwaltungstools mithilfe von Windows-Funktionen.

Verwendung eines anderen PowerShell-Skripts Diese Aufgaben können Sie automatisieren: Festlegen der IP-Adresse, der Maske, des Gateways und der DNS-Server (in der Regel der Server selbst und, als sekundärer, ein öffentlicher DNS-Server wie z. B. 8.8.8.8), Umbenennen des Computers und Installieren der Active Directory RSATs, Aufzeichnung aller Vorgänge in einer Protokolldatei zur Überprüfung.

Nach Anwendung dieser Änderungen Der Server wird neu gestartet und ist dann bereit, in einer neuen Gesamtstruktur zum Domänencontroller hochgestuft zu werden, sodass Ihre lokale AD-Umgebung für Tests oder die tatsächliche Integration mit der Cloud betriebsbereit ist.

Erstellen der Active Directory-Gesamtstruktur und -Domäne

Der nächste Schritt ist die Installation von AD DS.Installieren Sie DNS und die Gruppenrichtlinienverwaltungskonsole (GPMC) und erstellen Sie anschließend eine neue Active Directory-Gesamtstruktur. PowerShell ermöglicht es Ihnen, diesen Vorgang zu beschleunigen, indem Sie die erforderlichen Funktionen installieren und das Cmdlet „Install-ADDSForest“ mit allen benötigten Parametern ausführen.

In der Gesamtstrukturdefinition geben Sie den Domänennamen an. (z. B. contoso.com), der NetBIOS-Name, die Pfade zur Active Directory-Datenbank (NTDS), zu Protokollen und zu SYSVOL sowie die Domänen- und Gesamtstrukturfunktionsebenen. Das für Wiederherstellungsaufgaben unerlässliche Kennwort für den Verzeichnisdienstwiederherstellungsmodus (DSRM) wird ebenfalls definiert.

Wenn der Server nach der Beförderung neu gestartet wirdSie verfügen bereits über eine Windows Server AD-Umgebung mit einer betriebsbereiten Domäne, integriertem DNS und allen notwendigen Tools zur Verwaltung von Benutzern, Gruppen, Organisationseinheiten und Gruppenrichtlinien.

Erstellen von Testbenutzern in Active Directory

Nachdem der Wald eingerichtet und in Betrieb genommen wurde, ist es hilfreich, Testkonten zur Verfügung zu haben. Um die Synchronisierung mit Azure AD zu überprüfen, können Sie beispielsweise ein PowerShell-Skript verwenden, um den Benutzer „Allie McCray“ mit einem Anmeldenamen (samAccountName), einem anfänglichen Kennwort, einem Anzeigenamen und der Option, das Ablaufen des Kennworts zu verhindern, zu erstellen.

Das Skript kann den Benutzer auch markieren. Diese Funktion verhindert, dass Benutzer ihr Passwort beim nächsten Anmelden ändern müssen, und platziert sie im entsprechenden Containerpfad (z. B. CN=Users,DC=contoso,DC=com). Anschließend werden diese Benutzer über Azure AD Connect mit ihren Microsoft Entra-IDs synchronisiert.

Vorbereitung der lokalen Domäne für die Synchronisierung

Vor der Bereitstellung von Azure AD Connect empfiehlt es sich, Ihr Active Directory zu überprüfen. Um sicherzustellen, dass die Anforderungen von Microsoft erfüllt werden – korrekt konfigurierte Domänen, korrekte UPN-Suffixe, konsistente E-Mail-Attribute und keine Datenkonflikte –, bietet Microsoft das Tool IdFix an, das bei der Erkennung problematischer Objekte hilft.

In vielen Umgebungen gibt es eine lokale Domäne vom Typ mydomain.local und andererseits eine öffentliche E-Mail-Domäne, beispielsweise mydomain.com, die in Microsoft 365 verwendet wird. Für eine reibungslose Synchronisierung wird empfohlen, das UPN-Suffix der öffentlichen E-Mail-Domäne zum lokalen Active Directory hinzuzufügen.

Aus „Active Directory-Domänen und -Vertrauensstellungen“ Sie können die Eigenschaften öffnen und das neue UPN-Suffix hinzufügen (z. B. meinedomäne.com). Ändern Sie anschließend in den Benutzerkontoeigenschaften auf der Registerkarte „Konto“ den UPN des Benutzers von benutzer@meinedomäne.lokal in benutzer@meinedomäne.com, um ihn an die E-Mail-Adresse in Microsoft 365 anzupassen.

Obwohl eine Änderung des UPN dringend empfohlen wird Um nachfolgende Anmeldungen und schließlich SSO zu erleichtern, ändert diese Änderung nichts an der klassischen Anmeldemethode DOMAIN\user (vor Windows 2000), sodass Anwendungen oder Skripte, die dieses Format weiterhin verwenden, nicht betroffen sind.

Es ist außerdem wichtig, das E-Mail-Attribut korrekt auszufüllen. Die Benutzerkonten werden mit ihrer primären E-Mail-Adresse verknüpft. Falls Sie bereits Benutzer direkt in der Cloud erstellt haben, ermöglicht die Kombination aus UPN und übereinstimmender E-Mail-Adresse zwischen lokalem System und Microsoft 365 nach der Synchronisierung die Zusammenführung dieser Konten und die Synchronisierung des Cloud-Benutzers zu einer synchronisierten Identität aus Active Directory.

Einrichtung und Konfiguration von Microsoft Entra ID (Azure AD)

Damit das lokale Verzeichnis synchronisiert werden kann Sie benötigen einen Microsoft Entra ID-Mandanten. Dieser Mandant ist das Cloud-Verzeichnis, in dem Replikate Ihrer Benutzer, Gruppen und Geräte aus der lokalen Umgebung erstellt werden.

Falls Sie noch keinen Mieter habenSie können es über das Microsoft Admin Center erstellen. Melden Sie sich mit einem Konto an, das über das entsprechende Abonnement verfügt. Wählen Sie im Abschnitt „Übersicht“ die Option „Mandanten verwalten“ und erstellen Sie anschließend einen neuen Mandanten. Geben Sie einen Namen für die Organisation und eine anfängliche Domäne an (z. B. etwas.aufmicrosoft.com).

Sobald der Assistent abgeschlossen ist, wird das Verzeichnis erstellt. Sie können dies über das Portal verwalten. Später können Sie benutzerdefinierte Domänen (wie contoso.com) zuordnen und deren Verwendung als primäre Domänen in den UPNs Ihrer Benutzer, die aus Active Directory synchronisiert werden, bestätigen.

Erstellung eines hybriden Identitätsadministratorkontos

Im Microsoft Entra-Tenant wird empfohlen, Folgendes zu erstellen: Für die Verwaltung der Hybridkomponente wird ein dediziertes Konto verwendet. Dieses Konto dient beispielsweise der Erstkonfiguration von Azure AD Connect und Aufgaben im Zusammenhang mit der Identitätsverwaltung.

Aus dem Benutzerbereich Sie erstellen einen neuen Benutzer, weisen ihm einen Namen und einen Benutzernamen (UPN) zu und ändern seine Rolle in „Hybrid Identity Administrator“. Während der Erstellung können Sie das ihm zugewiesene temporäre Passwort anzeigen und kopieren.

Nach der Erstellung dieses Kontos empfiehlt es sich, sich einzuloggen. Rufen Sie myapps.microsoft.com mit diesem Benutzernamen und dem temporären Passwort auf und erzwingen Sie eine Passwortänderung in ein dauerhaftes Passwort. Dies ist die Administratoridentität, die Sie in mehreren Schritten der Hybrid-Einrichtung verwenden werden.

Azure AD Connect (Microsoft Entra Connect) Installation

Nachdem die lokale Umgebung eingerichtet und der Cloud-Tenant vorbereitet ist,Sie können Azure AD Connect jetzt auf einem lokalen Domänenmitgliedsserver installieren. Microsoft rät von der Verwendung eines Domänencontrollers ab, um Sicherheits- und Verfügbarkeitsrisiken zu minimieren.

Azure AD Connect herunterladen Es ist im Azure Active Directory-Portal im Bereich „Azure AD Connect“ oder direkt im Microsoft Download Center verfügbar. Nach dem Herunterladen führen Sie das Installationsprogramm auf dem vorgesehenen Server aus.

Die Lizenzbedingungen werden während des Installationsassistenten akzeptiert. Sie haben zwei Möglichkeiten: Schnellkonfiguration oder benutzerdefinierte Konfiguration. Die Schnellkonfiguration richtet standardmäßig die vollständige Active Directory-Synchronisierung mithilfe der Kennworthash-Synchronisierung ein, während die benutzerdefinierte Konfiguration deutlich mehr Kontrolle über Attribute, Domänen, Organisationseinheiten, Authentifizierungsmethoden und zusätzliche Funktionen ermöglicht.

In typischen Installationen ist es in der Regel interessanter. Wählen Sie den benutzerdefinierten Pfad, insbesondere wenn Sie einschränken müssen, welche Organisationseinheiten synchronisiert werden, verschiedene Anmeldemethoden evaluieren möchten oder Multi-Forest-Topologien haben.

Konfigurieren der Anmeldemethode

Einer der wichtigsten Punkte im Assistenten Es handelt sich um die Wahl der Authentifizierungsmethode, die Ihre Benutzer beim Zugriff auf Cloud-Ressourcen verwenden. Azure AD Connect bietet mehrere integrierte Optionen, jede mit ihren eigenen Vorteilen und Anforderungen.

1. Passwort-Hash-Synchronisierung (PHS)Diese Methode synchronisiert sich mit Azure AD. zusätzlicher Passwort-Hash Die Daten werden in Ihrem lokalen Active Directory gespeichert. Der Benutzer meldet sich direkt mit Azure AD in der Cloud an und verwendet dabei dasselbe Passwort wie in der lokalen Umgebung, das jedoch ausschließlich in AD verwaltet wird. Dies ist das einfachste und am weitesten verbreitete Modell.

2. Pass-Through-Authentifizierung (PTA)In diesem Fall werden Passwörter nicht in Azure AD gespeichert. Bei einem Anmeldeversuch wird die Validierung über lokale Agents durchgeführt, die die Anmeldeinformationen mit dem lokalen Active Directory abgleichen. Dadurch können Sie lokale Zugriffsbeschränkungen, Zeitpläne usw. anwenden und gleichzeitig die Authentifizierungskontrolle innerhalb Ihrer Infrastruktur beibehalten.

3. Föderation mit AD FSAzure AD delegiert die Authentifizierung an ein Verbundsystem auf Basis von Active Directory Federation Services (AD FS). Dies erfordert die Bereitstellung von AD FS-Servern und in der Regel eines Webanwendungsproxys. Die Wartung ist komplexer, bietet aber maximale Kontrolle und Kompatibilität mit anspruchsvollen Szenarien.

4. Federation mit PingFederate: ähnlich wie im vorherigen Fall, jedoch wird PingFederate anstelle von AD FS als Verbundlösung verwendet, für Organisationen, die bereits über diese Identitätsinfrastruktur verfügen.

5. Anmeldemethode nicht konfigurieren: Konzipiert für den Fall, dass Sie bereits eine Drittanbieter-Federationslösung verwenden und Azure AD Connect in diesem Bereich keine Automatisierung vornehmen soll.

Zusätzlich können Sie Single Sign-On (SSO) aktivieren. In Kombination mit PHS oder PTA. Bei aktiviertem SSO und über eine Gruppenrichtlinie (GPO) können sich in die Domäne eingebundene Computer mit dem UPN des Benutzers anmelden, der in der Regel mit seiner E-Mail-Adresse identisch ist. Dadurch entfällt die wiederholte Eingabe der Anmeldeinformationen beim Zugriff auf Dienste wie das Microsoft 365-Portal.

Verbindung zu Microsoft 365 und dem lokalen Active Directory herstellen

Im Azure AD Connect-Assistenten müssen Sie Folgendes angeben: Zunächst benötigen Sie die Anmeldeinformationen eines Microsoft Entra-Mandantenadministrators (z. B. das zuvor erstellte Hybrididentitätsadministratorkonto). Dadurch kann das Tool die Cloud-Komponente konfigurieren und den Server als Synchronisierungsquelle registrieren.

Anschließend werden Anmeldeinformationen von einem Konto mit Berechtigungen im lokalen Active Directory angefordert. Um die Synchronisierungsverbindung mit der lokalen Gesamtstruktur herzustellen, wird nach der Validierung das lokale Verzeichnis der Liste der Datenquellen für die Synchronisierung hinzugefügt.

Im nächsten Schritt wählen Sie das Attribut aus, das als primärer Benutzername verwendet werden soll. Bei Cloud-Konten wird üblicherweise der Benutzerprinzipalname (UserPrincipalName) verwendet. In bestimmten Fällen kann jedoch auch das E-Mail-Feld genutzt werden, sofern es konsistent und korrekt konfiguriert ist. Sie können außerdem angeben, ob Sie fortfahren möchten, ohne dass alle UPN-Domänen in Azure AD verifiziert sind (nützlich bei privaten AD-Domänen).

Auswahl von Organisationseinheiten und Objektfilterung

Azure AD Connect ermöglicht es Ihnen, die gewünschte Teilmenge zu definieren. Ihre Active Directory-Gesamtstruktur wird mit der Cloud synchronisiert. Sie können ganze Domänen, bestimmte Organisationseinheiten auswählen oder sogar nach Attributen filtern, um den Umfang einzugrenzen.

In der Praxis ist es in der Regel eine gute Idee. Beginnen Sie mit der Synchronisierung nur der Organisationseinheiten (OUs), in denen sich die am Pilotprojekt teilnehmenden Benutzer befinden, oder verwenden Sie eine spezifische Sicherheitsgruppe, deren Mitglieder in Azure AD repliziert werden. Dadurch wird das Risiko verringert, Dienstkonten, veraltete Objekte oder Informationen zu synchronisieren, die die lokale Umgebung nicht verlassen sollten.

Es ist erwähnenswert, dass nachfolgende Änderungen Änderungen an der OU-Struktur (Umbenennung, Verschieben von Containern usw.) können die Filterung beeinflussen. Eine gängige Strategie besteht darin, die gesamte Domäne zu synchronisieren, die Filterung jedoch auf Basis der Gruppenzugehörigkeit einzuschränken, um eine zu starke Abhängigkeit von der Organisationsstruktur zu vermeiden.

Zusätzliche Konfigurationsoptionen

Die letzten Bildschirme des Assistenten bieten Zu den weiteren Funktionen gehören das Zurückschreiben von Passwörtern, das Überschreiben von Geräten, die hybride Exchange-Integration und der Schutz vor Massenlöschungen.

Verzögerte Passwortausgabe Es ermöglicht Benutzern, ihr Passwort über die Cloud (z. B. über das Self-Service-Portal) zu ändern oder zurückzusetzen, und diese Änderung wird anschließend auch im lokalen Active Directory gemäß der Passwortrichtlinie des Unternehmens übernommen. Für viele Unternehmen ist dies ein erheblicher Vorteil im Supportbereich.

Geräteüberschreibung Es ermöglicht das Zurückspielen von Geräten, die in Microsoft Entra ID registriert sind, in das lokale Active Directory, was Szenarien mit bedingtem Zugriff erleichtert, in denen Sie die Geräte auf beiden Seiten verfolgen müssen.

Die Funktion zum Schutz vor versehentlichem Löschen Diese Funktion ist standardmäßig aktiviert und begrenzt die Anzahl der Objekte, die in einem einzelnen Synchronisierungslauf gelöscht werden können (z. B. auf 500). Wird dieser Schwellenwert überschritten, wird die Synchronisierung blockiert, um versehentliche Massenlöschungen zu verhindern. Dies ist insbesondere in großen Umgebungen von entscheidender Bedeutung.

Und schließlich automatische Updates Bei Installationen mit Schnellinstallation ist diese Funktion standardmäßig aktiviert und hält Azure AD Connect auf dem neuesten Stand, behebt Fehler und fügt Kompatibilitäten hinzu, ohne dass Sie jeden Server manuell aktualisieren müssen.

Überprüfung der Synchronisierung und des täglichen Betriebs

Nach Abschluss der Installation und des InstallationsassistentenAzure AD Connect kann, falls angegeben, sofort eine vollständige Synchronisierung starten. Der Assistent bietet die Option, nach Abschluss einen ersten Zyklus auszuführen. Dies wird empfohlen, um die korrekte Funktion zu überprüfen.

Auf dem Server, auf dem Sie Azure AD Connect installiert haben Sie können die Konsole des „Synchronisierungsdienstes“ über das Startmenü öffnen. Dort sehen Sie den Ausführungsverlauf, einschließlich der anfänglichen Synchronisierung, etwaiger Fehler sowie Details zum Import, zur Synchronisierung und zum Export von Objekten.

Im Microsoft 365-Portal oder im Microsoft-Anmeldeportal Sie können in der Benutzerliste überprüfen, ob die Benutzer als „Mit Active Directory synchronisiert“ und nicht als „Nur Cloud“ angezeigt werden. Ab diesem Zeitpunkt werden die Hauptattribute (Vorname, Nachname, E-Mail-Adresse usw.) vom lokalen Active Directory verwaltet.

Azure AD Connect führt einen Standardzyklus aus. Die Synchronisierung erfolgt alle 30 Minuten. Sie können jedoch jederzeit eine manuelle Synchronisierung mit PowerShell erzwingen, falls eine Änderung sofort wirksam werden soll. Es empfiehlt sich, dieses Verhalten zu dokumentieren, damit das Support-Team weiß, was es erwarten kann.

Erweiterte Szenarien: mehrere Wälder und zusätzliche Server

In komplexeren Organisationen Möglicherweise stoßen Sie auf mehrere Active Directory-Gesamtstrukturen, jede mit eigener Domäne und eigenen Benutzern. Es kann auch Ressourcengesamtstrukturen geben, in denen verknüpfte Postfächer oder andere Dienste untergebracht sind.

Azure AD Connect ist für diese Topologien bereit.Dies ermöglicht es Ihnen, mehrere Gesamtstrukturen als Synchronisierungsquellen hinzuzufügen und ein deklaratives Bereitstellungsmodell anzuwenden. Das bedeutet, dass die Regeln für das Kombinieren, Transformieren und Weitergeben von Attributen deklarativ definiert und an Ihr Identitätsdesign angepasst werden können.

Für fortgeschrittenere Labore Eine zweite Gesamtstruktur (z. B. fabrikam.com) mit eigenem Domänencontroller (CP1) kann erstellt werden, indem die Schritte der VM-Erstellung, Systeminstallation, IP- und DNS-Konfiguration, Heraufstufung zum Domänencontroller und Erstellung von Testbenutzern wiederholt werden. Dies ermöglicht das Testen von Szenarien mit mehreren Gesamtstrukturen und die Cloud-Synchronisierung mit verschiedenen Domänen.

In Produktionsumgebungen wird empfohlen, Ein Azure AD Connect-Server wird in den Standby- oder Staging-Modus versetzt. Der Staging-Server verwaltet eine Kopie der Konfiguration und führt interne Import- und Synchronisierungsvorgänge durch, exportiert jedoch keine Änderungen nach Azure AD. Im Falle eines Ausfalls des primären Servers können Sie mit minimalen Auswirkungen auf den Staging-Server umschalten.

Microsoft Entra Connect Health: Überwachung und Warnmeldungen

Um die hybride Identitätsinfrastruktur unter Kontrolle zu haltenMicrosoft bietet Microsoft Entra Connect Health an, eine Premium-Lösung, die wichtige Komponenten wie Azure AD Connect (Synchronisierung), AD FS und AD DS überwacht und Warnungen, Leistungskennzahlen und Nutzungsanalysen bereitstellt.

Die Operation basiert auf Agenten. Diese Agenten werden auf Identitätsservern installiert: AD FS-Servern, Domänencontrollern und Azure AD Connect-Servern. Sie senden Integritäts- und Leistungsinformationen an den Cloud-Dienst, wo Sie diese im zugehörigen Connect Health-Portal einsehen können.

Zunächst benötigen Sie Lizenzen. Geben Sie bei Microsoft die ID P1 oder P2 (oder eine Test-ID) ein. Laden Sie anschließend die Connect Health-Agenten vom Portal herunter und installieren Sie sie auf jedem relevanten Server. Nach der Registrierung erkennt der Dienst automatisch, welche Rollen überwacht werden.

Im Connect Health-Portal finden Sie verschiedene Bedienfelder.Es gibt eine Übersicht für Synchronisierungsdienste (Azure AD Connect), eine weitere für Verbunddienste (AD FS) und eine dritte für AD DS-Gesamtstrukturen. In jeder Übersicht können Sie aktive Warnungen, den Replikationsstatus, potenzielle Zertifikatsprobleme, Authentifizierungsfehler und Nutzungstrends einsehen.

Zusätzlich zu den technischen Aspekten bietet Connect Health Optionen Hier können Sie die rollenbasierte Zugriffskontrolle (IAM) konfigurieren und optional Microsoft den Zugriff auf Diagnosedaten ausschließlich zu Supportzwecken gestatten. Diese Option ist standardmäßig deaktiviert, kann aber hilfreich sein, wenn Sie erweiterten Microsoft-Support zur Behebung komplexer Probleme benötigen.

Mit diesem gesamten eingerichteten Ökosystem – lokalem AD, Microsoft Entra ID, Azure AD Connect und Connect Health – Sie erhalten eine vollständige hybride Identitätsplattform, die Single Sign-On, zentralisierte Konto- und Passwortverwaltung, hohe Verfügbarkeit und Einblick in den Zustand der Infrastruktur bietet; eine Kombination, die das Leben für den Endbenutzer vereinfacht und Ihnen die Kontrolle gibt, die Sie für einen sicheren und flexiblen Betrieb benötigen.