AzureAD Connect + Classic Hybrid Exchange

Schnell und einfach durchgeklickert.

Zielstellung

Wir wollen ein SSO / Kennword-Sync zwischen lokalem AD und AzureAD erstellen. Sämtliche Konten werden lokal gemanaged. Ein Exchange ist schon installiert.

Lokale Domain ist „tino-ruge.de“ – und diese ist auch schon in MS365 hinterlegt.

Vorbereitung

Filtern der Gruppen nach Sicherheitsgruppe, OU, oder Domäne möglich. Wir nehmen die Sicherheitsgruppe.

Erstellen „Sync_to_Azure“, und Zuweisen meines Benuters zu diesem.

Exchange Server ist von extern über Port 80 oder 443 erreichbar; dies kann auch über einen Reverse Proxy geschehen.

Konfiguration MS Azure Active Directory Connect

Herunterladen von Microsoft Azure Active Directory Connect von Microsoft. Installation auf einem Server (in meinem Fall dem Mail-Server).

Der Installer läuft nur durch, es passiert nichts weiter spannendes. Im Anschluss startet Azure AD Connect. Lizenz haben wir natürlich gelesen.

Hier wollen wir NICHT Express nutzen, weil wir nur eine Sicherheitsgruppe syncen wollen. Also anpassen:

(Habe nicht schnell genug geschaltet und den Screenshot vergessen – aber es kam nur ein Ladebalken dazu). Hier einfach „Installieren“:

Im Anschluss wählen wir die „Kennwort-Hashsynchronisierung“:

Hier geben wir nun unsere Microsoft 365-Admindaten ein:

Anschließend wollen wir ein Verzeichnis hinzufügen. Dazu wählen wir unsere Gesamtstuktur/Domäne aus, und klicken rechts auf „Verzeichnis hinzufügen“.

Wir sagen, dass AADC sich selber einen neuen Benutzer erstellen soll, mit dem es aus dem Verzeichnis liest, und geben dafür die Logindaten eines vorhandenen Administrators ein:

Er meldet uns, dass das passt. Also können wir weiter:

Jetzt lädt er noch mal kurz ein bisschen, dann meldet er uns, dass im AzureAD bereits die Domäne „tino-ruge.de“ verifiziert ist und das passt. Unten kann man noch mal angeben, was statt des UPNs im AzureAD als Benutzername eingegeben werden soll – aber das lassen wir lieber auf Standard:

Den lassen wir so:

Und den auch:

Wenn wir, wie ich, filtern wollen, was im Azure landet, geben wir nun den Namen der Gruppe ein:

Klick auf „Auflösen“ löst dann auch auf. Wir können also entspannt „Weiter“.

Einen hybriden Exchange plane ich spontan nicht, aber haben ist besser als brauchen:

Und „Installieren“:

Mir wurde nun noch vorgeschlagen, den AD-Papierkorb zu aktivieren. Das überlege ich mir noch mal. Aber ansonsten ist alles sauber durchgelaufen:

Das wars. Wir sehen nun im Dashboard unseres Microsoft 365 Admin-Centers, wie die Synchronisation so läuft, und können uns darüber freuen, überall immer das selbe Kennwort zu haben.

Wir sehen bei den Benutzern die aktuellen Benutzer, die synchronisiert werden, anhand des Telefonbuches in der Spalte „Synchronisierungsstatus“. Ist dahinter eine Wolke, ist das ein Konto, das nur im AzureAD liegt:

Und im Azure AD können wir unter https://aad.portal.azure.com/#blade/… den aktuellen Synchronisationsstatus einsehen.

Randnotiz: der Dialog lässt sich immer wieder durchklickern und doch noch was verändern. Das schluckt das Synchronisationstool ohne Probleme.

Randnotiz: Erzwingen der Synchronisation

Geänderte Daten werden alle 30 Minuten in die Cloud geschupst. Um das zu erzwingen, Powershell als Admin auf dem Rechner, von dem aus wir syncen, und:

Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Delta

Braucht man selten. Aber ich habe Anfangs immer den Wizard oben durchgeklickert, es geht halt einfacher.

Hybrider Exchange

Die ersten Screenshots hier sind aus Chrome. Das funktioniert in Chrome allerdings nicht, man braucht Edge. Wer den Hybrid Wizard auf einem Server nutzt, kann sich den Edge Installer hier von der offiziellen Microsoft-Seite herunterladen.

Schön und gut, dass nun Kennwörter syncen. Aber wir wollen auch hybrid. ECP > Hybrid > Konfigurieren. Dann „Bei Office 365 anmelden“ anklicken:

Typischer MS365 Login prompt im selben Browserfenster. Dann das hier:

Ich habe einfach auf „hier“ gedrückt und eine Microsoft.Online.CSE.Hybrid.Client.application zum Download bekommen. Die per Doppelklick ausführen. Sicherheitswarnung, Download, Sicherheitswarnung, blablabla, dann das:

Im Anschluss:

„Anmelden“ klingt gut:

Darauf folgt ein langweiliger MS365-Prompt und wir landen wieder bei:

Er lädt, bis:

Keine halben Sachen, wir machen vollständig:

Klassisch auswählen:

Klicken auf „Eingeben“

Und geben AD-Adminlogindaten ein:

Sieht es so aus, sieht es gut aus. Weiter:

Lassen wir so:

Dann wählen wir unseren Exchange-Server noch einmal aus:

Und noch einmal:

Und das Zertifikat, mit dem der Email-Transport Exchange Online <-> OnPremise-Exchange abgesichert wird:

Hier geben wir die Domäne ein; in meinem Fall tino-ruge.de

Und wählen „aktualisieren“:

Auf Wunsch können wir Feedback geben:

Und der Link steht.

Prüfen auf Funktionalität

Loggen wir uns lokal im ECP ein, sehen wir nun, dass wir Office 365-Benutzerpostfächer erstellen können:

Wir sehen ebenfalls den Sendeconnector:

Im Exchange Online Admin-Center sehen wir ebenfalls zwei neue Connectoren:

Das wars. Sollte alles laufen 🙂

Kategorien:Active DirectoryExchangeMicrosoft 365