Installation Azure AD Connect – Prerequisite für Project Online
Wer Project Online im Unternehmen nutzen möchte, kommt auch an dem Thema Infratruktur nicht vorbei. Hier stellt sich oft die Frage, welche Authentifizierungsmöglichkeiten habe ich eigentlich bei Project Online? Nun – Project Online ist ein Bestandteil von Office 365 und somit von Azure. Microsoft bietet Ihnen hier drei Optionen an. Die erste Möglichkeit ist Cloud-Only. Hierbei werden die Benutzer einmal in Ihrem AD-DS gepflegt und autark hierzu in Office 365. Nachteil, Sie müssen immer die ganze Organisation im Auge behalten. Verlässt ein User das Unternehmen, müssen Sie nicht nur den AD-DS Account sperren, sondern auch den Office 365 Account. Etwas vorteilhafter ist da die Verwendung von Azure AD Connect. Hierzu wird ein Programm auf einen Server installiert, welches die Benutzer Synchronisation in Hinsicht der kompletten Identität des Users und die Synchronisation automatisch durchführt. Die letzte Ausbaustufe ist der Verbundsdienst mit AD-FS, welche Reihe ich hier auch schon auf meinem Blog angefangen habe. Aber – Azure AD Connect benötigen Sie auch im Verbund mit AD-FS aus diesem Grund dient der Artikel auch als Erweiterung meiner AD-FS Reihe. In diesem Beitrag werden wir nun die Domäne für den Einsatz von Azure AD Connect vorbereiten.
Hinweis: Um dieses Szenario nachzustellen, benötigen Sie ein Office 365 Tenant (Demo). In diesem Tenant muss schon Ihre Domäne hinterlegt sein. In meinem Beispiel office365-project.de Bitte beachten Sie, dass in der Standardkonfiguration der Azure AD maximal 50.000 Objekte unterstützt werden. Sollten Sie in Ihrem Tenant schon Ihre Top-Level-Domäne integriert haben, wird der Wert auf 300.000 Objekte erhöht. Sollten Sie mehr Objekte besitzen, benötigen Sie Azure AD Basic, Azure AD Premium oder die Enterprise Mobility Security Lizenz.
Als erstes werden wir den AD-DS auf Kompatibilität überprüfen, ob die AD-Struktur eine Verwendung von Azure AD Connect zulässt. Hierzu gib es ein Tool von Microsoft (IdFix). Dieses Tool können Sie hier (https://www.microsoft.com/en-us/download/details.aspx?id=36832) herunterladen. IdFix kann auf einen beliebigen Computer in Ihrer Domäne installiert werden. Als Mindestvoraussetzung zählt; 4 GB RAM (Minimum) und 2 GB freier Festplattenspeicher. Sollten Sie das Programm auf einem Windows Server2008 oder 2012 installieren wollen, so ist das .NET Framework 4.0 wahrscheinlich installiert. Sollte dem nicht so sein, so können Sie dies hier (https://www.microsoft.com/de-de/download/details.aspx?id=17851) herunterladen. Installieren Sie das .Net -Framework auf Ihrem Server. Bitte achten Sie darauf, sollte Ihr Account kein Administratoren Account sein, so muss der User mit dem Sie IdFix ausführen Lese/ bzw. Schreibzugriffe im AD besitzen.
In meinem Beispiel werde ich IdFix auf meinem Azure AD Connect Server ausführen. Bei IdFix handelt es sich um ein Programm welches ohne Installation ausgeführt werden kann. Entpacken Sie die Zip-Datei und starten Sie die EXE. Datei. Drücken Sie auf den Button „Qurey“.
Wie wir schon erkennen können, haben wir ein Problem mit der Toplevel-Domäne. Das ist auch richtig, schließlich haben wir den Fall, dass ich in meinem AD-DS nur meine lokale Domäne habe (routbaren Domäne) nicht aber meine Top-Level Domäne (office365-project.de) somit ist auch noch der UPN (User Pricipal Name auf meine lokale Domäne gesetzt. Hier muss jeder User aber, die Top-Level Domäne (office365-project.net) besitzen, bevor wir die Accounts synchronisieren können.
Vorbereitung des AD-DS
Im nächsten Schritt werden wir die Top-Level-Domäne (Nicht-Routbar) unserm AD-DS hinzufügen. Melden Sie sich hierfür am AD-DS an. Klicken auf Start. Öffnen Sie das Programm “Active Directory Vertrauensstellungen und Domänen”. Klicken Sie im oberen Bereich auf „Aktionen“ und wählen Sie dort im Kontextmenü die Option „Eigenschaften“
Fügen Sie jetzt Ihre Domäne hinzu. In meinem Fall „office365-project.de“. Klicken Sie anschließend auf „Hinzufügen“. Schließen Sie das Fenster mit „OK“ und schließen Sie danach ebenfalls das Fenster „Active Directory Domänen und Vertrauensstellungen.
Hinzufügen des richtigen User-Principal Name
Nun haben wir die Top-Level-Domäne hinzugefügt, müssen aber ebenfalls den UPN bei den Usern ändern. Dieser steht im Moment noch auf der lokalen Domäne (motu.erk) . Hierzu können Sie einmal die PowerShell oder die GUI nutzen. Öffnen Sie auf dem Domänen-Controller „Active Directory Benutzer und Computer“. Öffnen Sie die Eigenschaften eines Benutzers. In meinem Beispiel „adm.torbla“. Klicken Sie auf die Registerkarte „Konto“. Ändern Sie dort den UPN auf die Top-Level Domäne (office365-project.net). Speichern Sie dann die Einstellungen ab.
Wechseln Sie wieder auf den AD-FS-Server und führen Sie die Query erneut aus. Sie sollten nun keine Anzeige mehr erhalten.
Hinweis: In meinem Demo-Lab gab es nur einen User, was in einer Produktiv-Umgebung meistens nicht der Fall ist. Um ein Update auf alle User durchzuführen, können Sie in der PowerShell die CMDlets Get-ADUser und Set-ADUser verwenden. Dadurch können Sie allen Usern relativ einfach den entsprechenden UPN zuweisen. Um sich betroffene User anzusehen, führen Sie bitte den folgenden Befehl aus (ändern Sie den lokalen Domänennamen auf ihren).
Get-ADUser -Filter {UserPrincipalName -like ‚*motul.erk} -Properties userPrincipalName -ResultSetSize $null
Um den UPN zu ändern, geben Sie bitte die folgenden Befehle ein. Passen Sie dabei bitte wieder die Domänen an Ihre Gegebenheiten an.
$LocalUsers = Get-ADUser -Filter {UserPrincipalName -like ‚*domäne.local‘} -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(„domäne.local“,“office365-project.de“); $_ | Set-ADUser -UserPrincipalName $newUpn}
Das war’s, sollten Sie noch einmal den obigen Befehl ausführen, werden keine Accounts mehr angezeigt. Alternativ können Sie die Überprüfung aber noch einmal über IDFix durchführen.