opc123
14.12.2021
view4898
view17
0
Goto Top

Azure AD trennen, was passiert mit den Usern?

FrageMicrosoftWindows Server
Hallo zusammen,

ich würde gern wissen, wenn man ein Azure AD verbunden hat mit seiner Domäne und die User alle gesynct wurden.
Was passiert, wenn ich die Verbindung trenne?

Bleiben die Benutzer im 365 bestehen und können sich mit dem letzten Kennwort was gesynct wurde einloggen?

Das soll das Ziel sein, weil sich noch mal der Forest ändert und später ein anderer DC mit Azure verbunden werden soll.
Im Exchange Online liegen dann bereits Emails in den user Konnten.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1619318270

Url: https://administrator.de/contentid/1619318270

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
SlainteMhath
SlainteMhath 14.12.2021 um 14:36:51 Uhr
Goto Top
Moin,

https://docs.microsoft.com/de-de/microsoft-365/enterprise/turn-off-direc ...
?

lg,
Slainte
Ex0r2k16
Ex0r2k16 14.12.2021 um 14:42:16 Uhr
Goto Top
Habt ihr ADFS?
opc123
opc123 14.12.2021 um 14:57:47 Uhr
Goto Top
nein, normaler Kennwort Hash Sync
opc123
opc123 14.12.2021 um 14:59:21 Uhr
Goto Top
Kann man danach den O365 Azure AD mit einem neuen Forest Verbinden und Syncen lassen?
Domäne wir die gleiche sein.
Nur der Forest heißt anders.
Ex0r2k16
Ex0r2k16 14.12.2021 um 15:25:55 Uhr
Goto Top
Ich denke mal, wenn der Sync ausbleibt, dass alles erst mal so bleibt. Achtung: Getestet habe ich das nicht. Wenn der Sync durchläuft und Objekte nicht mehr dabei sind, wandern die bei mir jeddenfalls in den Papierkorb, AdSync supportet 2 Forests:
https://www.msxfaq.de/cloud/identity/o365multiforestdirsync.htm
opc123
opc123 14.12.2021 um 15:38:47 Uhr
Goto Top
Dann teste ich das mal bei einem Testaufbau vorher.

Wenn ich das richtlig lese, lässt sich der Sync nur noch über Powershell beenden.

Wenn ich das Azure Ad auf dem Server als Test einfach deinstalliere, reicht das nicht?

Als zweite Frage: wenn die Konten dann lokal im 365 sind und ich ein neues azure Ad verbindebmit neuer Domäne.
Ist es nicht möglich die Kenmwörter auch andersrum zu überschreiben?
opc123
opc123 15.12.2021 um 23:54:08 Uhr
Goto Top
Ein Problem habe ich noch:
User wird gesynct, Postfach liegt noch lokal.
Jetzt verbindet das Outlook sich mit einem leeren O365 Postfach.

Sollte O365 nicht checken, dass es ein Postfach Lokal gibt? Aad läuft ohne fehler.
Nachrichten Routen auch soweit außer in dem fall.

Kommt das Problem, weil der User online bereits angelegt war vor dem Sync?
Da hats sicher ein Postfach online bereits angelegt...
Ex0r2k16
Ex0r2k16 16.12.2021 aktualisiert um 07:56:43 Uhr
Goto Top
Zitat von @opc123:

Dann teste ich das mal bei einem Testaufbau vorher.

Wenn ich das richtlig lese, lässt sich der Sync nur noch über Powershell beenden.


gut möglich. Ich stoße den Sync ja auch über die Powershell an, wenn es mal schneller als 30min gehen soll ;)

Wenn ich das Azure Ad auf dem Server als Test einfach deinstalliere, reicht das nicht?

Azure AD deinstallieren? Wat? Meinst du das DirSync? Stoppen sollte reichen. Aber gucken, dass es nicht von selbst wieder anläuft.

Als zweite Frage: wenn die Konten dann lokal im 365 sind und ich ein neues azure Ad verbindebmit neuer Domäne.
Ist es nicht möglich die Kenmwörter auch andersrum zu überschreiben?

Die Frage verstehe ich nicht ganz. Die Azure Objekte sind doch immer nur eine Kopie deines ADs. Es gibt wohl eine Möglichkeit, dass man in der Wolke die die Objekte ändern kann und diese ins AD schreibt. Davon würde ich aber die Finger lassen. Betreibe dein AD als primäre Quelle und gut ist.


Zitat von @opc123:

Ein Problem habe ich noch:
User wird gesynct, Postfach liegt noch lokal.

ach moment du hast noch einen on Prem Exchange? Oh ups.

Jetzt verbindet das Outlook sich mit einem leeren O365 Postfach.

Dann liegt im Exchange Online ein Konfigurationsfehler vor. Outlook muss vom Exchange Online wissen, dass du einen Onprem Betreibst und das Postfach dort liegt. Auch muss die Lizenz beim User passen. Müsste Exchange Online Plan XY sein. Nicht Business Basic, Standard etc.


Sollte O365 nicht checken, dass es ein Postfach Lokal gibt? Aad läuft ohne fehler.

Nein tut es nicht. Google => Hybridstellung Exchange Online / On Prem.

Nachrichten Routen auch soweit außer in dem fall.

Kommt das Problem, weil der User online bereits angelegt war vor dem Sync?
Da hats sicher ein Postfach online bereits angelegt...

Exchange online legt in der Standardkonfig ohne Hybrid immer ein neues Postfach an, sobald er eine Lizenz zugewiesen kriegt. Wie gesagt, die Wolke weiß ja nichts von deinem On Prem.

Schau mal hier: https://www.msxfaq.de/cloud/exchangeonline/hybrid_verbindungen.htm
opc123
opc123 16.12.2021 um 13:24:59 Uhr
Goto Top
Moin,
Die Business Standart beinhaltet auch Exchange.

Die Wolke weiß schon, dass ein Exchange da ist. Doppel Konten entstehen aber, wenn ein User vor dem AD Sync dort ein Postfach hatte.
Dann verbindet es sich auch falsch.

Ich habe probleme, dass oft vorhande Benutzer nicht überschrieben werden sondern neu angelegt werden. Wenn ich die alten in T
lösche, finde ich in teams stattvdie neuen nur die alten user.
Kann man Teams da irgendwie online anstoßen das mal neu abzugleichen?
Ex0r2k16
Ex0r2k16 16.12.2021 um 13:33:55 Uhr
Goto Top
irgendwie würfelst du da einiges durcheinander. Woher weiß O365 denn nun, dass es einen Onprem gibt? Wurde Adsync korrekt eingestellt? Stimmt der interne Autodiscover Eintrag? Stimmt der MX?

Kernfrage: Wo legst du User an?
opc123
opc123 16.12.2021 um 14:20:27 Uhr
Goto Top
Na durch den ad sync inkl Exchange Hybrid Option weis er das.
Im ad natürlich.
Aber es gibt im o365 bestehende User durch die Nutzung von Teams etc.
Es müssen praktisch bereits vorhandene User überschrieben werden
opc123
opc123 16.12.2021 um 14:38:38 Uhr
Goto Top
Was leider garnicht funktioniert, ist der Vollzugriff zwischen O365 PF auf ein Onpr. Postfach.
Muss von dem Onpr. Postfach das AD Objekt dafür gesynct sein?
Ex0r2k16
Ex0r2k16 16.12.2021 um 15:32:24 Uhr
Goto Top
Zitat von @opc123:

Was leider garnicht funktioniert, ist der Vollzugriff zwischen O365 PF auf ein Onpr. Postfach.
Muss von dem Onpr. Postfach das AD Objekt dafür gesynct sein?

Genau das sagt mir, dass deine Hybridstellung nicht passt. Ich selbst fahre kein Hybrid mehr, aber wenn ich mich richtig erinner muss dein O365 an deinen Exchange on prem gekoppelt werden. Nur dann "weiß" dann O365, dass das Userpostfach von Horst noch auf dem on prem liegt. Wenn diese Verbindung fehlt, hast du solche Phänomene.


Zitat von @opc123:

Na durch den ad sync inkl Exchange Hybrid Option weis er das.
Im ad natürlich.

Falsch. Ad Sync macht nichts anderes(!) als deine AD Objekte ins Azure zu kopieren und auf Fehler zu prüfen. Mehr nicht! Das ist wichtig!

Aber es gibt im o365 bestehende User durch die Nutzung von Teams etc.
Es müssen praktisch bereits vorhandene User überschrieben werden

Ja dann habt ihr bereits den ersten Fehler gemacht und online User für Teams angelegt obwohl ihr on Prem nutzt. Das führt natürlich zu einem User Chaos. Klingt für mich nach einer nicht vorhandenen Hybridstellung bzw. Konfig Fehlern.

Wollt ihr den Exchange denn abschalten? Dann würde ich mir an eurer Stelle mal ein Migrationskonzept überlegen und die Sache sauber angehen.
opc123
opc123 16.12.2021 um 16:24:24 Uhr
Goto Top
Natürlich sind beide gekoppelt.
Es spuckt auch keine Fehler aus....

Wieso fehler? Es gab damals einfach nur nicht Plan für Hybrid.
Teams wurde ja viel früher benutzt....

Die Hybrid ist nur als Übergang zur Migration. Danach kommt der Lokale Exchange weg.
Ex0r2k16
Ex0r2k16 17.12.2021 um 08:59:35 Uhr
Goto Top
Sorry aber wir drehen uns hier im Kreis ;) Wenn dein O365 nichts von deinen On Prem Postfächern weiß und du doppelte User/Mailboxen hast, stimmt da grundsätzlich etwas nicht. Da würde ich dir empfehlen einen Consultant ranzuholen, der da mal genauer drüber guckt, da das Thema hierfür zu komplex ist.

Eine Frage aber noch: Klappt die Mailbox Migration vom on Prem in die Cloud denn ohne Probleme? Was passiert, wenn ihr den Exchange runter fährt?
opc123
opc123 17.12.2021 um 09:28:54 Uhr
Goto Top
Hä,
Irgendwie verstehst du da was falsch.
Ist doch normal mit den doppelten Postfächern....

Noch keine Hybrid
User A im o365 erstellt für Teams etc
User A hat Lizenz mit Mail... Mailbox wird erstellt.

Postfächer werden da aber noch lokal am Exchange erstellt und genutzt.

Hybrid wird eingerichtet opla 2 Postfächer fur User A...
Ist doch ein normales verhalten.

Das werde ich sicher noch nicht tun., da alle Postfächer darauf noch produktiv sind rund um die uhr.

Ja die Migration klappt fehlerfrei in beide Richtungen.

Was ich nur noch wissen wollte:

User im O365 will vollzugriff auf ein PF im Lokalen Exchange.

Was muss dafür alles erfüllt sein?
Muss dazu das ad objekt ins 365 aad gesynct sein?
Ex0r2k16
Ex0r2k16 17.12.2021 um 09:41:12 Uhr
Goto Top
Zitat von @opc123:

Hä,
Irgendwie verstehst du da was falsch.

vielleicht?
Ist doch normal mit den doppelten Postfächern....

äh - nein? Also klar kann man sowas verbasteln, aber wer will sowas?

Noch keine Hybrid

achsooooo! Dein Satz: "Natürlich sind beide gekoppelt." klang für mich eher nach Hybrid. Ok jetzt wird nen Schuh draus.

User A im o365 erstellt für Teams etc
User A hat Lizenz mit Mail... Mailbox wird erstellt.

Postfächer werden da aber noch lokal am Exchange erstellt und genutzt.


Ok. Also Cloud Postfach wird erstellt mit Lizenz und lokal händisch. Check

Hybrid wird eingerichtet opla 2 Postfächer fur User A...

was?

Ist doch ein normales verhalten.

das klingt für mich absolut nicht normal :D

Das werde ich sicher noch nicht tun., da alle Postfächer darauf noch produktiv sind rund um die uhr.

was wirst du nicht tun? Du machst mich wahnsinnig. Nutz doch mal die Zitat Funktion.

Ja die Migration klappt fehlerfrei in beide Richtungen.

Obwohl keine richtige Hybrid Stellung konfiguriert ist? Was macht ihr da? Kann es sein, dass ihr einfach den Tenant aufgesetzt habt, AD Sync angeworfen und gehofft dass das so richtig is? Wohin zeigt euer MX Record. Auf den internen exchange?


Was ich nur noch wissen wollte:

User im O365 will vollzugriff auf ein PF im Lokalen Exchange.

Postfach auf O365 migrieren da der Cloud User nichts mit dem AD User zu tun hat. Das ist eben das Problem, wenn man so einen User händisch anlegt. Würde ich absolut immer vermeiden und nicht so betreiben. Gibt Mailbox, Adressbuch und Namenschaos.


Was muss dafür alles erfüllt sein?
Siehe oben.
Muss dazu das ad objekt ins 365 aad gesynct sein?
Du kannst einen Cloud User nicht lokal bei dir ins AD migrieren. Wenn, dann müsstest du Azure als primäres AD nutzen. Da ihr aber Dir Sync nutzt, wird nur anders herum ein Schuh draus, was aber auch der richtige weg ist. Ihr wollt die Mailboxen ja in die Cloud migrieren.
FrageMicrosoftWindows Server
Mehr von opc123opc123Excel Kundendatenbankopc123 - 30 Kommentareopc123Windows 10 nach Veeam Recovery Problemeopc123 - 5 Kommentareopc123Synology NAS Sichern zu anderem Synologyopc123 - 20 Kommentareopc123Hardware für Firewallopc123 - 31 Kommentare
Heiß diskutiert
SeekuhrittyOPNSense im Unternehmen (2024)Seekuhritty - 59 KommentareMysticFoxDESERVER 2025 - HARDWAREANFORDERUNGEN - Ich habe da einige FragenMysticFoxDE - 41 KommentareNordicMikeDefender soll eine SMB Freigabe scannenNordicMike - 37 Kommentareopc123Excel Kundendatenbankopc123 - 30 KommentareDumpfbackeFirewall ersetzenDumpfbacke - 29 KommentareUeba3baI7 12700K vs Xeon Gold 6246Ueba3ba - 25 KommentareYan2021PDF-Dokument - Meldung für PflichtfelderYan2021 - 23 Kommentaremabue88Kurzzeitige Netzwerkaussetzer bei VM, wenn ESX-Host redundant am Netz hängtmabue88 - 22 KommentarekpunktSmartphones Außendienst (Freitagsfrage)kpunkt - 19 KommentareElmerAcmeeeSQL Restore ohne jeglichen Verlust möglich?ElmerAcmeee - 17 Kommentareonel01Frage: managed Switch und Inbetriebnahmeonel01 - 16 KommentareDjDomXOPNsense mit Azure verbinden IPsecDjDomX - 16 Kommentare