Azure AD Connect und Azure AD Connect Cloud Sync

Um Anmeldedaten zwischen Active Directory und Azure Active Directory zu synchronisieren, verwenden viele Administratoren Azure AD Connect. Wir haben im Beitrag „Azure AD Connect installieren“ bereits beschrieben, wie Sie lokale Active Directory-Umgebungen mit Azure AD synchronisieren, zum Beispiel für Single-Sign-On-Szenarien zwischen lokalen Netzwerken und Azure.

Zusätzlich zu Azure AD Connect bietet Microsoft noch Azure AD Connect Cloud Sync an. Dabei handelt es sich um unterschiedliche Dienste für ähnliche Funktionen. In Deutschland ist die Namensumgebung der beiden Dienste deutlicher. Hier ist die deutsche Übersetzung für Azure AD Connect Cloud Sync die Bezeichnung „Azure AD-Cloudsynchronisierung“.

Azure AD-Cloudsynchronisierung im Vergleich Azure AD Connect nutzen 

Neben der Möglichkeit auf Azure AD Connect zu setzen, bietet Microsoft parallel noch den Dienst „Azure AD-Cloudsynchronisierung“. Dabei handelt es sich um eine weitere Möglichkeit, um Benutzer und Gruppen zwischen Active Directory und Azure AD zu synchronisieren. Azure AD-Cloudsynchronisierung steht ebenfalls im Azure Active Directory Admin Center zur Verfügung. Das Azure AD Admin Center erreichen Sie über die URL https://aad.portal.azure.com. Die Einstellungen von Azure AD Connect und von Azure AD-Cloudsynchronisierung sind über den Menüpunkt „Azure Active Directory\Azure AD Connect“ zu finden.

Mit Azure AD Connect Cloud Sync benötigen Sie im Netzwerk auf einem Server ebenfalls eine Agenten-Software, die als Brücke zwischen Azure AD und AD fungiert. Die Bereitstellungskonfiguration wird in Azure AD gespeichert und als Teil des Dienstes verwaltet. Im Gegensatz zu Azure AD Connect übernimmt nicht der Agent auf dem Server alle Aktionen, sondern alle Aufgaben werden in der Cloud gespeichert und durchgeführt. Der Agent auf dem Server dient lediglich der Anbindung von Active Directory an Azure AD. Dabei ist es hilfreich zu wissen, dass Azure AD Connect Cloud Sync und Azure AD Connect parallel eingesetzt werden können.

Azure AD Connect Cloud Sync vs Azure AD Connect Sync

Azure AD Connect Cloud Sync und Azure AD Connect Sync funktionieren ähnlich. Allerdings kann nur Azure AD Connect Cloud Sync mit einem kleineren Agenten betrieben werden. Dazu kommt die Möglichkeit, mehrere aktive Agenten für eine hochverfügbare Umgebung zu installieren. Sollen aber auch benutzerdefinierte Attribute synchronisiert werden, ist Azure AD Connect (noch) der bessere Weg, denn Azure AD Connect Cloud Sync ist dazu (noch) nicht in der Lage. Auch Passthrough-Authentication ist beim Einsatz von Azure AD Connect möglich.

Azure AD Connect Cloud Sync ist auch der bessere Weg, wenn es darum geht, mehrere AD-Gesamtstrukturen mit einem Azure-Abonnement zu synchronisieren. Vor allem, wenn die Gesamtstrukturen nicht mit Azure verbunden sind. Azure AD-Cloudsynchronisierung unterstützt die Installation auf mehreren Servern im Netzwerk, die eine Verbindung mit Azure AD aufbauen können. Damit erreichen Sie eine Hochverfügbarkeit des Dienstes. Für den Betrieb des Agenten wird ein Dienstkonto angelegt, das natürlich über Rechte in Active Directory verfügen muss.

Managed Service Accounts nutzen

Group Managed Service Accounts (gMSA) anlegen

Damit die Installation auf mehreren Servern problemloser umgesetzt werden kann, können Sie hier auch Group Managed Service Accounts (gMSA) verwenden. In diesem Fall verwenden Sie ein Benutzerkonto für jede installierte Instanz von Azure AD-Cloudsynchronisierung.

Das Konto kann durch den Dienst selbst verwaltet werden, inklusive der Änderung der Kennwörter. Der Assistent zum Einrichten des Agenten kann einen gruppierten Managed Service Account anlegen. Hier besteht auch die Möglichkeit, selbst so einen Account anzulegen und diesen hier auszuwählen. Verwaltete Dienstkonten sind Benutzerkonten in Active Directory, die zur Verwendung von lokalen Diensten verwendet werden. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch Active Directory geändert. Administratoren können solche Änderungen manuell anstoßen.

Der Vorteil ist, dass die Systemdienste, welche diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen.

Verwaltete Dienstkonten anlegen

Sie legen die Dienstkonten über die PowerShell, genauer gesagt über das Active Directory-Modul der PowerShell mit dem Cmdlet New-ADServiceAccount -name -Enabled $true an, zum Beispiel mit New-ADServiceAccount „AzureADConnect“ -Enabled $true -DNSHostName „AzureADConnect.joos.int“

Standardmäßig legt das Cmdlet in Windows Server 2019 ein neues gruppiertes, verwaltetes Dienstkonto an. Bevor Sie gruppierte Konten anlegen, müssen Sie zunächst einen neuen Masterschlüssel für die Domäne erstellen:

Standardmäßig dauert es ab diesem Moment 10 Stunden, bis Sie verwaltete Dienstkonten anlegen können. In Testumgebungen können Sie den Zeitraum mit dem folgenden Befehl umgehen:

Mit der Freeware Managed Service Accounts GUI legen Sie wesentlich einfacher verwaltete Dienstkonten in Windows Server 2019 an.

Azure AD-Cloudsynchronisierung installieren

Die Azure AD-Cloudsynchronisierung richten Sie über das Azure Active Directory Admin Center ein. Klicken Sie dazu im Admin Center (https://aad.portal.azure.com) auf „Azure Active Directory\Azure AD Connect“ und dann bei „Azure AD-Cloudsynchronisierung“ auf „Azure AD-Cloudsynchronisierung verwalten“. Im Fenster können Sie mit „Agent herunterladen“ die Software herunterladen. Hier sehen Sie auch den Status der verschiedenen Agents, die bereits angebunden sind.

Nach dem Download installieren Sie den Agenten zunächst auf einem Server, mit dem Sie eine Verbindung zu Azure AD aufbauen wollen. Nach der ersten Einrichtung ist es generell sinnvoll, auf einem weiteren Server ebenfalls den Agenten zu installieren, damit die Synchronisierung immer funktioniert.

Für die weitere Anbindung von Active Directory an Azure AD muss noch eine Authentifizierung an Azure AD erfolgen. Hier unterstützt der Installationsassistent auch die Multifaktor-Authentifizierung in Azure AD. Danach wählen Sie aus, ob der Assistent ein verwaltetes Dienstkonto anlegen soll, oder ob Sie ein vorhandenes Konto verwenden wollen.

Im Anschluss wählen Sie die Active Directory-Domäne aus, die mit Azure AD synchronisiert werden soll. Auch hier muss eine Anmeldung erfolgen. Im letzten Schritt erhalten Sie eine Zusammenfassung und der Agent beginnt mit der Einrichtung. Sollte bei der Einrichtung etwas schief gehen, finden Sie die Protokolldateien des Dienstes im Verzeichnis „C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace“

Nach der erfolgreichen Einrichtung ist im Azure Active Directory Admin Center bei „Azure Active Directory\Azure AD Connect“ und dann bei „Azure AD-Cloudsynchronisierung“ über „Azure AD Cloudsynchronisierung verwalten“ die Verbindung zu sehen, wenn Sie auf „Alle Agents überprüfen klicken“.

Funktioniert die Synchronisierung nicht, überprüfen Sie, ob der Systemdienst „Microsoft Azure AD Connect Provisioning Agent“ gestartet ist. Auch der Systemdienst „Microsoft Azure AD Connect Agent Updater“ muss gestartet sein.

Sobald der Agent seine Verbindung zu Azure AD aufgenommen hat, können Sie in der Verwaltungsoberfläche von Azure AD Connect Cloud Sync mit „Neue Konfiguration“ starten. Hier können Sie aus den Domänen die Synchronisierung auswählen, die mit Agenten verbunden sind. Danach speichern Sie die Synchronisierung.