Gerade mit dem neuen Windows Azure Active Directory Sync Tool ist es besonders einfach, ein lokales Active Directory nach Office 365 zu synchronisieren. Dabei kann man seit einiger Zeit auch die Kennwörter des Active Directories mitsynchronisieren, was bei vielen Unternehmen die Komplexität einer ADFS Infrastruktur nicht mehr erforderlich macht und hilft, trotz zweier Identitäten nur ein Kennwort zu haben. Damit gibt es fast ein SSO Erlebnis da sich die Benutzer mit ihrem gewohnten Kennwort anmelden können, ohne SSO zu sein.
Eine kurze Erklärung am Rande, da dies oft missverstanden wird: Es wird nicht das Kennwort aus dem AD im Klartext synchronisiert sondern nur der HASH Wert des Kennwortes, der danach noch einmal, bevor die gesicherte Datenübertragung erfolgt, mit einem SHA256 Algorithmus gehashed wird. Active Directory Domain Services speichert Kennwörter im Active Directory mit diesem doppelt gehashten Wert. Dieser kann nicht für ein Login verwendet werden und kann auch nicht in ein Kennwort “zurückgerechnet” werden, um sich anzumelden. In Windows Azure Active Directory gelten die gleichen Regeln: kein “zurückrechnen”. Das Kennwort wird zu keiner Zeit im Klartext in das Windows Azure Active Directory und damit zu Office 365 übertragen. Azure Active Directory Sync erfordert außerdem nur einen einzigen Server mit Outbound Internet Verbindung, weitere Firewall Einstellungen sind hier nicht nötig (Inbound).
Sobald WAADS installiert und konfiguriert ist, erhält ein Administrator dann während des Syncs Informationen, ob es Fehler in der Synchronisierung gibt. Diese gilt es natürlich auszubessern.
Mit IdFixIdFix steht ein Tool zur Verfügung, das Ihnen bei der Behebung genau dieser Fehler helfen kann. IdFix fragt Ihr Directory mit Ldap ab und ermittelt mögliche Fehler – und bessert diese auf Wunsch aus. Zuerst einmal laden Sie IdFix herunter und entpacken die Exe. Dann führen Sie IdFix aus – mit einem Account, welches in Ihrem AD lesen UND schreiben darf.
Sobald Sie dann auf den Punkt Query klicken, erhalten Sie nach einiger Zeit das Abfrageergebnis.
Dieses können Sie exportieren, um die Details anzusehen. Über den Punkt Action können Sie dann Korrekturen vornehmen. Hierbei haben Sie mehrere Optionen:
- EDIT: Informationen aus der Update Spalte werden verwendet, um die Attribute zu verändern, die einen Fehler verursachen. Ein neuer Wert kann ebenfalls in die Update Spalte manuell eingegeben werden.
- REMOVE: in diesem Fall wird das falsche Attribut aus dem Objekt entfernt, z.B. bei einer doppelten ProxyAddress.
- COMPLETE: Der Wert ist ok und soll nicht geändert werden. Wenn z.B. zwei Benutzer die gleiche Proxy Adresse haben, markieren Sie einen der beiden als COMPLETE und den anderen als REMOVE.
- UNDO: Dieser Wert wird nur angezeigt, wenn Sie ein bereits vorhandenes Update geladen haben. Damit können Sie den letzten Befehl rückgängig machen.
- FAIL: Dieser Wert wird nur dann angezeigt, wenn ein Wert einen Konflikt erzeugt.
Sobald Sie die gewünschten Änderungen mit APPLY durchgeführt haben, verschwinden die angezeigten Fehler nach und nach.
Sie haben ebenfalls die Möglichkeit, die Werte zuerst zu kontrollieren indem Sie einen Export in ein CSV machen. Dies passiert über den Punkt Export.
Beispiel: der Error-Eintrag Topleveldomain im Proxyaddresses Feld sagt aus, dass eine interne Domain nicht gesynct wird. Hier könnten Sie den Eintrag über REMOVE aus den Proxyaddresses entfernen.
Sie sehen, mit diesem einfachen Tool kann Ihr Active Direcory schnell für die Directory Snychronisation vorbereitet werden.