Kategorie: 
Translate EN
In diesem Artikel möchte ich nun endlich mit der technischen Betrachtung von Azure Active Directory Connect beginnen und die einzelnen Komponenten, die Voraussetzungen für die Installation sowie die Variante der Express-Installation beleuchten.
Als erstes stellt sich allerdings mal wieder heraus, dass nichts so alt ist wie die Information von gestern. Warum? Die von mir getroffene Aussage in dem Artikel „Azure Active Directory: Tools zur Synchronisation“ , dass es sich bei AAD Connect noch um eine Preview Version handelt, ist nicht mehr korrekt. Inzwischen hat Azure Active Directory Connect den GA-Status erreicht und ist im Download Center unter dem folgenden Link (http://www.microsoft.com/en-us/download/details.aspx?id=47594) verfügbar.
Komponenten
Wie bereits im letzten Artikel erwähnt, wird Azure Active Directory Connect die bisher von Microsoft bereitgestellten Tools wie DirSync, Azure AD Sync und FIM mit dem Azure AD Connector für die Synchronisation in Richtung Azure Active Directory (Office 365) ablösen. Microsoft möchte hierbei den Weg für die Implementierung und Integration möglichst einfach gestalten und stattet hierfür das Active Directory Connect mit einer Wizard-gestützten Installationsroutine aus, die unterschiedliche Implementierungsoptionen abbilden kann. So kann während der Installation nicht nur die reine Konfiguration des AAD Connect durchgeführt werden, wie zum Beispiel die Einstellungen zur Passwortsynchronisation oder die Definition einer Alternate Login ID, sondern auch die Implementierung einer kompletten Single-Sign-On-Umgebung inklusive der Installation der Active Directory Federation Services und Web Application Proxys und deren Konfiguration kann durch die Installationsroutine automatisiert werden. Hierdurch verliert auch die Einrichtung der „Federated Identity“ an Schrecken.
Technisch gesehen besteht das Azure AD Connect aus einer Hauptkomponente und zwei optionalen Komponenten. Bei der Hauptkomponente handelt es sich um die Sync Services, welche für die Synchronisation von Active-Directory-Objekten ins Azure Active Directory verantwortlich sind und somit die bisherigen Synchronisationstools ersetzen. Als erste optionale Komponente können die Active Directory Federation Services (ADFS) angesehen werden, die wie bisher für die Implementierung der „Federated Identity“ genutzt werden können und somit für Single-Sign-On Szenarien die richtige Wahl darstellen. Zusätzlich stellt Microsoft nun eine weitere Komponente bereit, die eine Überwachung der ADFS ermöglichen. Hierzu wird auf den zu überwachenden ADFS-Servern ein Agent installiert, welcher die Überprüfung der Federation Services (ADFS- und Web-Application-Proxy-Dienste) übernimmt. Dieser Agent liefert die gesammelten Informationen direkt an das Azure AD Connect Health Portal, in dem die Daten mittels eines Dashboards ausgewertet werden können. Sollten Warnungen oder Fehler auftreten, so können diese mittels E-Mail-Benachrichtigungen an den Administrator versendet werden. Ebenfalls werden Leistungsdaten mit der Auslastung der Systeme aufgezeichnet, welche für eine genaue Lastauswertung verwendet werden können.
Eine Übersicht der einzelnen Komponenten ist in der nachfolgenden Grafik nochmals dargestellt.
Installation
Die Installation des Azure Active Directory Connect kann in zwei Varianten durchgeführt werden. Entweder man entscheidet sich für die Express oder Custom-Settings. Bei der Auswahl der Express Settings wird die Abfrage von Informationen auf ein Minimum begrenzt und die Installation ist mit wenigen Klicks durchgeführt. Bei der Custom-Variante hat man eine Vielzahl von Optionen, welche ich in einem gesonderten Blogpost erläutern werde.
Voraussetzungen
Software
Für die Verwendung des Azure Active Directory Connect sind weitere Softwarekomponenten erforderlich. Glücklicherweise hat Microsoft sich bei diesem Produkt entschieden, alle notwendigen Komponenten direkt mitzuliefern, welches die Installation weiter vereinfacht. Der Übersichtlichkeit halber möchte ich trotzdem mitteilen, welche Softwarekomponenten nach der Installation auf dem System zu finden sind. Bei den Komponenten handelt es sich um:
- Microsoft Azure AD Connect
- Microsoft Azure AD Connect Azure AD Connector
- Microsoft Azure AD Connect synchronization services
- Microsoft SQL Server 2012 Command Line Utilities
- Microsoft SQL Server 2012 Native Client
- Microsoft SQL Server 2012 Express LocalDB
- Azure Active Directory Module for Windows PowerShell
- Microsoft Online Services Sign-In Assistant
- Microsoft Visual C++ 2013 Redistribution Package
Wird bei der Installation ein dedizierter SQL Server angegeben, so wird natürlich keine SQL Komponente auf dem Server installiert.
Berechtigungen
Für eine erfolgreiche Installation ist es notwendig, dass die verwendeten Benutzerkonten über die entsprechenden Berechtigungen verfügen. So ist darauf zu achten, dass das verwendete Benutzerkonto über Enterprise-Administrator-Berechtigungen innerhalb der Active-Directory-Gesamtstruktur verfügt. Bei der notwendigen Angabe eines Azure-Active-Directory-Kontos muss das Konto über Global-Administrator-Berechtigungen innerhalb des Azure Active Directory Tenants verfügen.
Infrastruktur
Die Installation des Azure Active Directory Connect kann auf einem Server mit Windows Server 2008 oder neuer erfolgen. Auch die Installation auf einem Domänencontroller ist möglich, allerdings bevorzuge ich die Installation auf einem Mitgliedsserver, um die bereitgestellten Dienste auf einem Domänencontroller möglichst gering zu halten.
Hardware
Die verwendete Hardware für den Azure-Active-Directory-Connect-Server muss je nach Anzahl der Active-Directory-Objekte innerhalb der AD-Gesamtstruktur entsprechend dimensioniert werden.
Die nachfolgende Tabelle listet die empfohlene Ausstattung des Systems auf.
|
Anzahl der AD-Objekte |
CPU |
RAM |
HDD |
|
Weniger als 10.000 |
1.6 GHz |
4 GB |
70 GB |
|
10.000 – 50.000 |
1.6 GHz |
4 GB |
70 GB |
|
50.000 – 100.000 |
1.6 GHz |
16 GB |
100 GB |
|
Bei mehr als 100.000 AD Objekten ist die Verwendung eines dedizierten SQL Servers zwingend erforderlich |
|||
|
100.000 – 300.000 |
1.6 GHz |
32 GB |
300 GB |
|
300.000 – 600.000 |
1.6 GHz |
32 GB |
450 GB |
|
Mehr als 600.000 |
1.6 GHz |
32 GB |
500 GB |
Express Installation
Die folgende Beschreibung zeigt die Express Installation des Azure Active Directory Connect. Hierbei wird sehr schnell ersichtlich, dass die Installation während einer etwas längeren Kaffeepause ohne Probleme und viel Nachdenken durchgeführt werden kann. Also, los geht’s …
Als erstes wird der Download des Microsoft Azure Active Directory Connect aus dem Download Center durchgeführt. Hierzu kann der folgende Link (http://www.microsoft.com/en-us/download/details.aspx?id=47594) verwendet werden.
Nach Abschluss des Downloads starten wir die Installationsroutine mit dem Aufruf des AzureADConnect Installers.
Nach dem Aufruf müssen wir noch zwei Mal die UAC bestätigen, damit wir mit der Installation des Azure AD Connect fortfahren können. Danach erscheint der Microsoft Azure Active Directory Connect Wizard.
Wie bereits oben erwähnt, werde ich die Custom Settings in einem gesonderten Blogpost erläutern und nun mit den Express Settings fortfahren.
Bei den Express Settings werden folgende Einstellungen getroffen:
- Passwortsynchronisation zwischen dem lokalen AD und Azure AD
- Synchronisation aller unterstützen Active Directory Attribute
- Durchführung einer initialen Synchronisation nach Abschluss der Installation (kann noch später deaktiviert werden)
Nach dem Bestätigen der Express-Einstellungen werden wir aufgefordert, ein Benutzerkonto für die Verbindung an das Azure Active Directory einzugeben. Hierbei ist darauf zu achten, dass das Konto über die geforderten Berechtigungen (globaler Administrator) verfügt. Nach der Eingabe und Bestätigen des Fensters mit Next wird geprüft, ob die eingegebenen Informationen korrekt sind und ob das Konto über die Berechtigungen verfügt.
Als nächstes müssen wir das Benutzerkonto für die Konfiguration des lokalen Active Directory eingeben. Hierbei ist es wichtig, dass das Konto über Enterprise Administrator Berechtigungen verfügt.
Als nachstes erhält man noch einmal eine Übersicht über die Schritte, die während der Installation durchgeführt werden. Ebenfalls hat man hier nochmals die Möglichkeit die initiale Synchronisation nach der Installation zu deaktivieren und das Exchange hybrid deployment (hierzu mehr im nächsten Blogpost) zu aktivieren.
Nach dem Klick auf Install beginnt die eigentliche Durchführung der Konfiguration ….
Nach Abschluss der Konfiguration erscheint noch die Abschlussinformation des Wizards. Ab diesem Zeitpunkt werden die Active Directory Objekte in das Azure Active Directory übertragen.
Überprüfen der Konfiguration
Änderungen der Konfiguration oder eine Prüfung der gewählten Optionen können einfach durch das erneute Aufrufen des Wizards „Azure AD Connect“ (Link auf dem Desktop) durchgeführt werden. Nach dem Aufrufen des Wizards und Bestätigung der UAC erscheinen die möglichen Optionen.
So können zum Beispiel die getroffenen Settings durch das Anklicken „View current configuration“ und Bestätigung mit Next erneut geprüft werden.
In der Übersicht ist dann zum Beispiel ersichtlich, welche Verzeichnisse mit dem Azure AD synchronisiert werden, welcher AD Account für die Synchronisation verwendet wird, etc.
Ebenfalls ist ersichtlich, welche Optionen bei der Synchronisation gewählt wurden. Genauere Informationen zu den einzelnen Punkten werden bei der Beschreibung der Custom Installation geliefert.
Fazit
Microsoft stellt mit dem Azure Active Directory Connect jedem Administrator ein Tool zur Verfügung, mit dem er die Synchronisation zwischen dem lokalen Active Directory und dem Azure Active Directory ohne viel Mühe einrichten kann. Insbesondere bei der Verwendung der Express Settings sind keine weitreichenden Kenntnisse zur Einrichtung erforderlich, was die Nutzung von Microsoft-Cloud-Diensten auch für kleinere Unternehmen noch einfacher gestaltet.
Für Unternehmen, die spezielle Anforderungen bei der Synchronisation haben, bietet das Tool die Custom Settings. Hierbei bietet das Tool wizard-gestützt die Möglichkeit auch komplexe Implementierungen, die den organisatorischen und infrastrukturellen Gegebenheiten entsprechen, durchzuführen. Hierzu gehört zum Beispiel auch die automatische Installation einer „Federated Identity“ Lösung auf Basis der Active Directory Federation Services. Die Möglichkeit diese Single-Sign-On-Infrastruktur mit dem neuen Azure-Dienst Azure Active Directory Connect Health zu monitoren, zielt auf größere und komplexere Infrastrukturen ab. In dem nächsten Blogartikel werde ich mich dann voll und ganz um die Custom Settings kümmern und die Vielzahl der Möglichkeiten erläutern.
http://faq-o-matic.net/?p=6827
