Office 365 und OnPremise mit Federation und DirSync
Diesmal möchte ich mich dem Thema Office 365 und OnPremise mit Federation und DirSync widmen.
Funktionsweise und typische Fragen sollen dabei im Vordergrund stehen.
Das nachfolgende Bild zeigt die Architektur einer Office 365 Umgebung.
Diese ist über eine Federation und eine Directory Synchronisation (DirSync) mit einer On-Premise Umgebung verbunden.
1. Benutzerverwaltung zwischen Office 365 und On-Premise Umgebungen
Wie werden neue Konten angelegt?
Wie können Telefon- und Adressinformationen gepflegt werden?
Wie können Passwörter zurückgesetzt werden?
Benötige ich noch einen On-Premise Exchange Server?
Was passiert, wenn ich meinen letzten On-Premise Exchange Server deinstalliere?
3. Federation zwischen Office 365 und On-Premise
Was passiert, wenn der Federation Server ausfällt?
Wie kann die Federation wieder aufgehoben werden?
Architekturbild: Office 365 und On-Premise parallel betreiben
Benutzerverwaltung zwischen Office 365 und On-Premise Umgebung
Wie werden neue Konten angelegt?
Aufgrund der Federation zwischen Office 365 und On-Premise Umgebung verbleibt die Benutzerverwaltung in der On-Premise Umgebung. DirSync synchronisiert neue Benutzerkonten automatisch in die Office 365 Umgebung. Sofern das Attribute “mail” bei dem neuen Benutzerkonto gefüllt wird, kann diesem über die Office 365 Verwaltung eine Exchange Lizenz zugeordnet werden. Somit erhält das Konto eine funktionsfähige Mailbox.
Nach dem Anlegen des Kontos in der On-Premise Umgebung muss der nächste DirSync abgewartet werden.
→ Danach taucht das Konto auch in der Office 365 Umgebung auf.
Wie können Telefon- und Adressinformationen gepflegt werden?
DirSync synchronisiert nicht nur Informationen zu neu angelegten Konten, sondern auch Änderungen, die in der On-Premise Umgebung durchgeführt werden. Adress- und Telefoninformationen werden einfach in der On-Premise vorgenommen und über den DirSync in die Office 365 Umgebung synchronisiert.
→ Die Änderungen erscheinen automatisch im Outlook Adressbuch.
Wie können Passwörter zurückgesetzt werden?
Passwörter werden in der On-Premise Umgebung verwaltet und müssen somit auch hier zurückgesetzt werden. Mit der Federation der Office 365 und On-Premise Welten gibt es keine Passwort Synchronisation. Eine Passwortänderung oder das Zurücksetzen der Passwörter muss in der Umgebung stattfinden, in der die Kennwörter gespeichert sind.
→ Im Active Directory der On-Premise Umgebung
On-Premise Exchange Server
Wird ein On-Premise Exchange Server überhaupt noch benötigt? Falls nein: Was ist zu beachten, wenn man alle On-Premise Exchange Server deinstalliert?
Benötige ich noch einen On-Premise Exchange Server?
Gemäß der Microsoft Empfehlung sollte vor Ort noch mindestens ein Exchange Server verbleiben. Exchange-spezifische Eigenschaften der Benutzerkonten können so weiter gepflegt werden. Mit der Deinstallation des letzten Exchange Servers muss man sehr (!) vorsichtig umgehen. Durch die Deinstallation verschwinden nämlich auch die Exchange Attribute der Benutzerkonten. Dies hätte zur Folge, dass auch die Postfächer in der Office 365 Umgebung entfernt würden, was sicher nicht gewünscht wäre! Hierzu finden sie weitere Informationen im nächsten Abschnitt.
Was passiert, wenn ich meinen letzten On-Premise Exchange Server deinstalliere?
Mit der Integration des DirSync werden Attribute zwischen On-Premise und Office 365 synchronisiert. Es werden dabei sowohl Änderungen als auch Löschungen synchronisiert. Wenn der letzte On-Premise Exchange Server deinstalliert wird, werden auch die Exchange Attribute gelöscht. Die Löschungen werden in die Office 365 Umgebung synchronisiert und die Postfächer werden letztlich entfernt.
Sie möchten Ihre Postfächer nicht verlieren? Dann haben Sie jetzt mehrere Möglichkeiten:
- Mindestens einen Exchange Server in der On-Premise Welt belassen
- Eine AD Benutzerverwaltung integrieren, mit welcher auch Exchange Attribute verwaltet werden können. (z.B. FirstWare IDM-Portal)
- Den letzten Exchange Server nicht deinstallieren, sondern herunterfahren
Federation zwischen Office 365 und On-Premise
On-Premise und Office 365 sind nun federiert. Doch was, wenn der Federation Server nicht mehr läuft? Diese Frage und was beachtet werden muss, wenn man die Federation aufheben möchte, sind Themen des letzten Abschnitts.
Was passiert, wenn der Federation Server ausfällt?
Sobald der Federation Server ausfällt, ist keine Anmeldung an Office 365 mehr möglich. Sie müssen die Federation Umgebung schnell wieder herstellen, damit ihre Anwender wieder zugreifen können. Sie sollten sich daher über die Architektur und die Ausfallszenarien im Klaren sein, bevor sie in die Office 365 Umgebung migrieren.
Wie kann die Federation wieder aufgehoben werden?
Die Federation kann über die Verwaltungsoberfläche von Office 365 deaktiviert werden. Dies hat zur Folge, dass die Kennwörter aller Accounts in der Office 365 Umgebung zurückgesetzt werden. Die neuen Kennwörter werden in einer Datei gespeichert und müssen den Anwendern individuell mitgeteilt werden. Damit die Benutzer mit ihren vorherigen Kennwörtern weiter arbeiten können, muss die DirSync Konfiguration angepasst werden. Die Passwort-Synchronisation muss ebenfalls aktiviert werden.
Nach dem nächsten Durchgang werden somit auch die Kennwörter aus der On-Premise Umgebung in die Office 365 Umgebung synchronisiert und die Anwender können wieder wie gewohnt zugreifen. Der Passwort-Sync wird ab diesem Zeitpunkt ebenfalls regelmäßig durchgeführt, so dass sich Kennwortänderungen auch in die Office 365 Umgebung auswirken. Dafür muss allerdings jeweils der nächste DirSync-Durchlauf abgewartet werden.
Quelle: Microsoft
1 Comment
Leave your reply.