Exchange 2016: Hybrid Modus mit Office 365 (Teil 3)

Dies ist der dritte Teil der Serie „Exchange 2016 Hybrid Modus mit Office 365”. In diesem Teil geht es um die Synchronisation der lokalen Benutzerkonten zu Office 365 bzw. Azure Active Directory.

Hier noch die Links zu den vorherigen Artikeln:

IDFix

Um vorab Probleme zu erkennen, die die erfolgreiche Synchronisation der lokalen Benutzerkonten mit Azure AD verhindern, kann das Tool IDFix verwendet werden. IDFix kann hier kostenlos runtergeladen werden:

IDFix erfordert keine Installation und kann direkt ausgeführt werden:

IDFix

Mit einem Klick auf “Query” sucht IDFix Probleme und schlägt auch direkt eine Lösung vor:

IDFix

In meiner frischen Testumgebung wurden keine Probleme erkannt. Falls es hier zu Problemen kommt, können diese mittels IDFix auch direkt behoben werden. Hier ist allerdings etwas Vorsicht geboten.

Azure AD Connect

Damit der Hybrid Modus genutzt werden kann, müssen die Benutzerkonten des lokalen Active Directory mit Azure Active Directory synchronisiert werden. Die Synchronisation erledigt das Tool “Azure AD Connect”. Azure AD Connect ist zwar nicht zwingend nötig, erleichtert aber die Administration deutlich.

Die aktuelle Version von Azure AD Connect kann hier runtergeladen werden:

Die Installation ist mit wenigen Klicks erledigt, danach startet der Assistent zur Konfiguration:

Azure AD Connect / Hybrid / Office 365

Ich wähle hier die “angepasste” Installation, da hier direkt einige Anpassungen durchgeführt werden können:

Azure AD Connect / Hybrid / Office 365

Die Komponenten können in diesem Fall mit den Standard-Einstellungen installiert werden, ggf. macht es Sinn den Installationsort auf eine andere Partition zu verschieben:

Azure AD Connect / Hybrid / Office 365

Nachdem auf “Installieren” geklickt wurde, erfolgt die Installation der SQL Express Datenbank und der weiteren Komponenten:

Azure AD Connect / Hybrid / Office 365

Direkt nach der Installation der Komponenten, erfolgt die Basis Konfiguration von Azure AD Connect. Damit sich Benutzer mit gleichen Benutzer/Passwort an Office 365 und an lokalen Ressourcen anmelden können, wird hier die Kennworthashsynchronisierung ausgewählt.

Der Vorteil der Kennworthashsynchronisierung ist, dass keine zusätzliche lokale Infrastruktur wie ADFS erforderlich ist, Azure AD Connect synchronisiert dazu die Passworthashes in beide Richtungen:

Azure AD Connect / Hybrid / Office 365

Im nächsten Schritt werden die Office 365 Anmeldeinformationen angegeben, damit Azure AD Connect eine Verbindung zum Azure Active Directory herstellen kann:

Azure AD Connect / Hybrid / Office 365

Da Azure AD Connect auf einem Server der Mitglied des lokalen Active Directory ist installiert wurde, ist die lokale Gesamtstruktur schon vorgeschlagen:

Azure AD Connect / Hybrid / Office 365

Unter dem Punkt “Verzeichnis hinzufügen” müssen allerdings noch die Anmeldeinformationen angegeben werden.

Bei mir war im folgenden Dialog das Kennwortfeld nicht sichtbar, wenn man aber einmal die Tab-Taste drückt, kommt man in das Feld.

Azure AD Connect / Hybrid / Office 365

Nachdem die Anmeldeinformationen angegeben wurden, ist das lokale Active Directory in der Liste der „Konfigurierten Verzeichnisse” zu sehen:

Azure AD Connect / Hybrid / Office 365

Der nächste Dialog zeigt die Azure Anmeldungskonfiguration für die Benutzer. Die Benutzer können sich in diesem Fall mit ihren UPN sowohl am lokalen AD, sowie auch an Office 365 anmelden:

Azure AD Connect / Hybrid / Office 365

Hier zeigt sich einer der Hauptgründe weshalb die “Angepasste Konfiguration” ausgewählt wurde. In diesem Schritt lassen sich gezielt OUs auswählen die mit Azure AD synchronisiert werden sollen. Auf diesem Weg lässt sich recht einfach einschränken, welche Benutzer und Gruppen mit AzureAD synchronisiert werden:

Azure AD Connect / Hybrid / Office 365

Der nächste Dialog kann mit den Standardeinstellungen fortgesetzt werden, die Identifizierung anhand der E-Mail Adresse ist meistens eindeutig, denn diese kann es nur einmal geben:

Azure AD Connect / Hybrid / Office 365

Die Filterung welche Benutzer und Geräte synchronisiert werden sollen, wurde in diesem Fall bereits aus OU-Ebene durchgeführt. Wenn die Synchronisation noch weiter eingeschränkt werden soll, kann hier zusätzlich eine AD-Gruppe genutzt werden:

Azure AD Connect / Hybrid / Office 365

Als Optionales Feature wird im nächsten Dialog “Exchange Hybridbereitstellung” ausgewählt:

Azure AD Connect / Hybrid / Office 365

Im nächsten Schritt kann die Synchronisation aktiviert werden. Nach der Konfiguration startet Azure AD Connect direkt mit der Synchronisierung der lokalen AD-Konten mit AzureAD:

Azure AD Connect / Hybrid / Office 365

Die Einrichtung und Synchronisation dauert nun etwas:

Azure AD Connect / Hybrid / Office 365

Der letzte Dialog zeigt eine Zusammenfassung:

Azure AD Connect / Hybrid / Office 365

Sobald die erste Synchronisation abgeschlossen wurde, sind die lokalen Benutzerkonten auch im Office 365 Portal zu sehen:

Azure AD Connect / Hybrid / Office 365

Im nächsten Teil geht es dann um die Exchange Konfiguration.

3 Replies to “Exchange 2016: Hybrid Modus mit Office 365 (Teil 3)”

  1. Hi,

    vielen Dank fuer die Anleitung, wie sieht das eigentlich mit dem GAL und den Free/Busy Optionen aus wenn User teils On Premise sind und teilweise schon bei Exchange Online. Kannst Du dazu mal schreiben? Das Adressbuch ist ja bei Exchange Online so nicht abrufbar und beim Kalender gibt es wohl auch immer wieder Probleme wenn man keinen Vollzugriff gewaehrt?

    Danke.

  2. Hallo Bernd,

    der HCW (Hybrid Configuration Wizard), auf den Franky in Teil 4 wahrscheinlich eingehen wird, konfiguriert unter anderem eine Federation zwischen O365 und dem OnPrem Exchange Server. Dadurch stehen Free/Busy sowie GAL übergreifend zur Verfügung. Zu den Kalenderproblemen kann ich nichts sagen.

  3. Moin,

    für die paranoiden unter uns ist Option zwei bei der Art der Benutzeranmeldung (Pass-Through Authentifizierung) interessant, da in dem Fall keine Kennworthashes in’s Azure AD synchronisiert werden (sofern nicht separat noch ausgewählt). Noch relativ neu, funktioniert aber problemlos, auch in Verbindung mit Single-Sign-On, welches ich aus Komfortgründen noch aktiviert hätte.

    Im Azure AD wird eine Art Anmeldewarteschlange erzeugt, auf welche der Agent auf dem AD Connect Server zugreift und die Benutzeranmeldungen lokal abarbeitet.

    Von den Agenten sollten OnPremise aus Gründen des Failovers zwei vorhanden sein. Diese können jedoch an zwei unterschiedlichen Standorten ausgeführt werden.

    Gruß Alex

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.