Exchange Hybrid – Installation von AADC mit AD FS


Exchange Hybrid - Installation von AADC mit AD FSDie Installation von AADC mit AD FS ähnelt der Bereitstellung ohne Verbundserver. Trotzdem gibt es immer noch signifikante Unterschiede und sie haben mich dazu gebracht, diesen Artikel zu schreiben.… Außerdem hatte ich großes Glück und stieß während der Testbereitstellungen auf eine Vielzahl sehr unterschiedlicher Fehler und Schwierigkeiten. Infolgedessen wurden aus dem halbstündigen Prozess viele Tage lang Versuche, mehr und mehr Fehler zu debuggen.


Wenn Sie sich für das Thema Cloud-Technologien interessieren, empfehle ich, in meinem Blog auf das Cloud-Tag zu verweisen.


Installieren von AADC mit AD FS

Im Folgenden werde ich versuchen, den AADC-Bereitstellungsprozess auf der Grundlage persönlicher Erfahrungen genauer zu betrachten. Ihre Infrastruktur kann (und wird) sich stark von meiner unterscheiden, und für Sie kann sich der Aktionsalgorithmus als etwas anders herausstellen. Aus diesem Grund empfehle ich Ihnen dringend, sich mit der offiziellen Dokumentation vertraut zu machen (Benutzerdefinierte Installation von Azure AD Connect), das die meisten Szenarien vollständig abdeckt (obwohl nichts über mögliche Fehler erwähnt wird).

Ausbildung

Vor der Bereitstellung von Azure AD Connect müssen Sie sicherstellen, dass Ihre Infrastruktur eine beeindruckende Liste von Anforderungen vollständig erfüllt. … Darüber hinaus müssen Sie auch Ihre Azure-Umgebung vorbereiten. Ich habe diese beiden Prozesse in langjährigen Artikeln betrachtet, die dennoch relevant sind:

In dem in diesem Artikel beschriebenen Szenario plane ich, AADC zusammen mit AD FS bereitzustellen. Daher sollten der Verbundserver und der WAP-Proxy zu diesem Zeitpunkt ebenfalls vollständig konfiguriert sein. Ich habe den Prozess der Konfiguration dieser Server in einem meiner letzten Artikel betrachtet:

Sobald alle in den Artikeln beschriebenen Schritte abgeschlossen sind, können Sie fortfahren.

Installation

Laden Sie zunächst die neueste Version von Azure AD Connect von der offiziellen Website herunter … Fahren Sie danach mit der Installation fort.

Gruß

Aktivieren Sie auf der Begrüßungsseite das Kontrollkästchen, um den Lizenzvereinbarungen zuzustimmen, und klicken Sie auf Vorgehen::

Exchange Hybrid - Installieren von AADC mit AD FS 001

Als nächstes benötigen Sie benutzerdefinierte Optionen, keine schnellen:

Exchange Hybrid - Installieren von AADC mit AD FS 002

Geben Sie bei Bedarf eine separate Instanz von MS SQL, ein benutzerdefiniertes Installationsverzeichnis oder andere Parameter an, die die endgültige Funktionalität nicht beeinflussen.

Grundeinstellungen

Im Abschnitt Grundeinstellungen müssen Sie auswählen Föderation mit AD FS, weil dies das Szenario ist, dem wir folgen wollen:

Exchange Hybrid - Installieren von AADC mit AD FS 003

Hinweis: Das Aktivieren von “Single Sign-On aktivieren” funktioniert nicht. Und das müssen Sie nicht, denn AD FS bietet diese Funktionalität sofort.

Als Nächstes geben wir die Anmeldeinformationen des globalen Azure AD-Administrators an, die Sie während des Einrichtungsschritts für die Azure-Umgebung erstellt haben:

Exchange Hybrid - Installieren von AADC mit AD FS 004

Fahren Sie mit dem nächsten Abschnitt fort.

Synchronisation

Wir verbinden Verzeichnisse: Wählen Sie das Verzeichnis und die AD-Gesamtstruktur aus und klicken Sie auf Katalog hinzufügen::

Exchange Hybrid - Installieren von AADC mit AD FS 005

Daraufhin wird ein Dialogfeld zum Eingeben von Anmeldeinformationen mit Unternehmensadministratorrechten geöffnet:

Exchange Hybrid - Installieren von AADC mit AD FS 006

Hinweis: Bitte beachten Sie, dass diese Version von AADC einen Fehler aufweist – das Passworteingabefeld ist unten ausgeblendet und es gibt keinen Schieberegler zum Scrollen nach unten. Wir müssen die Registerkarten wechseln und das Passwort blind eingeben.

Sobald das Verzeichnis hinzugefügt wurde, sehen Sie ungefähr Folgendes:

Exchange Hybrid - Installieren von AADC mit AD FS 007

Im nächsten Schritt wählen Sie eine Azure AD-Domäne aus. Wenn Sie zu diesem Zeitpunkt noch keine Domain hinzugefügt und die Überprüfung für mindestens eine Domain nicht bestanden haben, die als UPN-Suffix für Konten in der Gesamtstruktur angezeigt wird, müssen Sie dies jetzt tun. Und so lassen wir standardmäßig alles (es ist sehr wünschenswert, zu gehen UserPrincipalName als Attribut für die Azure-Anmeldung):

Exchange Hybrid - Installieren von AADC mit AD FS 008

Auf der nächsten Seite können Sie auswählen, welche Domänen und Organisationseinheiten mit Azure AD synchronisiert werden sollen. Die Option, die gesamte Hierarchie zu synchronisieren, passt zu mir:

Exchange Hybrid - Installieren von AADC mit AD FS 009

Es macht auch keinen Sinn, die Standardeinstellungen für die Benutzerauthentifizierung für eine einfache Active Directory-Hierarchie zu ändern:

Exchange Hybrid - Installieren von AADC mit AD FS 010

Als Nächstes können Sie zu synchronisierende Gruppen auswählen. Dies ist praktisch für Testbereitstellungen, es ist jedoch besser, diese Funktionalität nicht zu verwenden, da es schwierig sein wird, die aktuelle Zusammensetzung der Gruppen beizubehalten:

Exchange Hybrid - Installieren von AADC mit AD FS 011

Wählen Sie auf der nächsten Seite zusätzliche Optionen aus. Ich habe beschlossen, die Kennwort-Hash-Synchronisierung zu aktivieren, damit ich bei Problemen mit dem Zugriff über AD FS eine Fallback-Option habe. In Ihrem Fall kann dies ein unnötiges Unterfangen sein, insbesondere wenn anfänglich Sicherheitsanforderungen bestehen und Sie den Authentifizierungsprozess auf die lokale Infrastruktur beschränken müssen, ohne Kennwörter in die Cloud zu übertragen (in jeglicher Form, einschließlich ihrer Hashes):

Exchange Hybrid - Installieren von AADC mit AD FS 012

Als Nächstes müssen Sie die Anmeldeinformationen des Domänenadministrators eingeben:

Exchange Hybrid - Installieren von AADC mit AD FS 013

Jetzt ist es Zeit, den Verband einzurichten.

Verbundeinstellungen

Zunächst laden wir das Zertifikat hoch, das wir im Artikel (Exchange Hybrid – Verbundserver vorbereiten) erhalten haben:

Exchange Hybrid - Installieren von AADC mit AD FS 014

Als nächstes geben wir den Verbundserver an. Bisher habe ich nur eine (adfs01.bq.local):

Exchange Hybrid - Installieren von AADC mit AD FS 015

Und im nächsten Schritt der WAP-Server (in meinem Fall rpx01.bq.local):

Exchange Hybrid - Installieren von AADC mit AD FS 016

Wir geben das AD FS-Dienstkonto an (oder erstellen automatisch ein neues Konto, indem Sie die Anmeldeinformationen des Unternehmensadministrators registrieren):

Exchange Hybrid - Installieren von AADC mit AD FS 017

In der letzten Phase wählen wir eine Domain für den Verband aus:

Exchange Hybrid - Installieren von AADC mit AD FS 018

Es bleibt nur alles zu überprüfen und auszuführen.

Überprüfung und Anwendung

Wenn etwas geändert oder entfernt werden muss, ist es Zeit, dies zu tun, denn unmittelbar nach dem Drücken der Taste Installieren Das Infrastruktur-Setup wird gestartet:

Exchange Hybrid - Installieren von AADC mit AD FS 019

Wenn nach einigem Warten alles gut gegangen ist, sehen Sie eine ähnliche Seite:

Exchange Hybrid - Installieren von AADC mit AD FS 020

Die Dinge laufen jedoch nicht immer nach Plan. Wenn Sie auf Fehler stoßen, ist das folgende Kapitel speziell für Sie und die Bereitstellung von AADC ist nun abgeschlossen. Vergessen Sie nicht, regelmäßige Sicherungen Ihres neuen Servers einzurichten.

Fehlerbehebung

Der Bereitstellungsprozess für Azure AD Connect ist unkompliziert und äußerst gut dokumentiert. Trotzdem bin ich auf eine Reihe von Fehlern gestoßen und werde einige davon weiter unten analysieren.

DNS-Problem

In den letzten Phasen der Konfiguration kann ein Fehler auftreten, der auf Probleme beim Einrichten von Vertrauensstellungen mit dem Verbunddienst hinweist. Der Text lautet wie folgt:

Beim Ausführen des Befehls “Install-WebApplicationProxy” ist ein Fehler aufgetreten. Beim Versuch, eine Vertrauensbeziehung zum Verbunddienst herzustellen, ist ein Fehler aufgetreten. Fehler: Gateway-Zeitüberschreitung
Ausnahmedaten (unformatiert): Microsoft.Online.Deployment.PowerShell.PowerShellInvocationException: Beim Ausführen des Befehls “Install-WebApplicationProxy” ist ein Fehler aufgetreten. Beim Versuch, eine Vertrauensbeziehung zum Verbunddienst herzustellen, ist ein Fehler aufgetreten. Fehler: Gateway-Zeitüberschreitung -> System.Management.Automation.RemoteException: Beim Versuch, eine Vertrauensbeziehung mit dem Verbunddienst herzustellen, ist ein Fehler aufgetreten. Fehler: Gateway-Zeitüberschreitung

Und im AADC-Assistenten sieht es so aus:

Exchange Hybrid - Installieren von AADC mit AD FS 019-1

Dies liegt daran, dass der Name des Basisverbundes vom WAP-Server in die interne Adresse des AD FS-Servers aufgelöst werden muss. Ich habe dies in Exchange Hybrid – Vorbereiten von Verbundservern erwähnt.

Element ‘ma-run-data’ nicht gefunden

Der vollständige Text des Fehlers in den Protokollen sagt überhaupt nichts aus. Hier ist es jedoch:

Ausnahmedaten (unformatiert): System.Management.Automation.CmdletInvocationException: Element ‘ma-run-data’ nicht gefunden., Zeile 1, Position 2. -> Microsoft.IdentityManagement.PowerShell.ObjectModel.SynchronizationConfigurationValidationException: Element ‘ma-run- Daten ‘nicht gefunden., Zeile 1, Position 2.

Und es sieht so aus:

Exchange Hybrid - Installieren von AADC mit AD FS 019-2

In diesem Fall bleibt nichts anderes übrig, als AADC vollständig zu entfernen und von Grund auf neu zu installieren.

Synchronisation fehlgeschlagen

Objektiv ist dies nicht einmal ein Fehler, sondern eine Bedingung. Die AADC-Installation wurde erfolgreich abgeschlossen, und Sie öffnen die Liste der Azure AD-Konten, um zu überprüfen, ob synchronisierte Kopien von Konten aus Ihrer lokalen Infrastruktur vorhanden sind, diese jedoch nicht erkennen.

Der Synchronisierungsstatus sieht folgendermaßen aus:

Exchange Hybrid - Installieren von AADC mit AD FS 021

Es kann viele Gründe für diesen Zustand geben, einige davon werde ich unten beschreiben.

1. Erstens wird es nicht überflüssig sein Überprüfen Sie die Anschlüsse für falsche Anmeldeinformationen. Führen Sie dazu das Dienstprogramm mit Administratorrechten aus miisclient.exedie Sie im Verzeichnis finden können:

Klicken Sie im folgenden Fenster unten rechts auf den Status der Verbindungen. Klicken Sie darauf:

Exchange Hybrid - Installieren von AADC mit AD FS 023

Um Ihren Kontonamen / Ihr Passwort zu ändern, wechseln Sie zur Registerkarte Anschlüsse und doppelklicken Sie auf den Connector mit Typ Active Directory-Domänendienste (Ich habe es bq.local – genau mit dem Namen der Hauptdomäne). In dem sich öffnenden Fenster benötigen Sie eine Registerkarte Stellen Sie eine Verbindung zur Active Directory-Gesamtstruktur her::

Exchange Hybrid - Installieren von AADC mit AD FS 024

Geben Sie das richtige Passwort ein und übernehmen Sie die Änderungen.

2. Der zweite mögliche Grund für Probleme mit der Synchronisierung ist der Status des Microsoft-Hauptkontos, mit dem Sie die Infrastruktur ursprünglich bereitgestellt haben. Tatsache ist, dass ich mich ausschließlich aus Interesse unter diesem Konto angemeldet und festgestellt habe, dass es für das Versenden von Spam gesperrt! Wie dies mit einem Konto geschehen kann, das erst vor einem Tag erstellt wurde, ist mir immer noch nicht klar.

Hinweis: Ich spreche von diesem Grund als einem der möglichen, weil es nach dem Entsperren des Kontos nicht funktioniert hat, es erneut zu “sperren” und meine Annahmen sicher zu überprüfen, damit es keine Zweifel gibt.

Natürlich gab es nach dem Entsperren des Kontos keine neuen ähnlichen Vorfälle. Übrigens wurde anfangs ein mehr als sicheres Passwort festgelegt, ich verwende immer den komplexesten Passwortgenerator mit unterschiedlichen Groß- und Kleinschreibung und Sonderzeichen. Trotzdem passierte eine solche Geschichte. Schreiben Sie dieses Szenario niemals ab.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *