5
Erfahrungen mit AAD DS - Kann Migration so funktionieren?
Guten Morgen zusammen,
erst einmal kurz zur Ausgangslage: Ich arbeite als Administrator an einer Schule. Dort gibt es einen einzelnen DC (Azure-VM) mit der Domain schule.local (bitte nicht schlagen, habe ich so übernommen) sowie einen ehemaligen Fileserver, auch in Azure. Auf diesem sind alle Mitarbeiter angelegt. Diese werden mittels AAD Connect ins Azure AD gesynct. Die Schüler, soweit sie einen Account haben, sind cloud-only im Azure AD angelegt. Die überwiegende Anzahl der Geräte ist mittlerweile AzureAD-gejoint und werden mittels Writeback auf den DC zurückgespiegelt. Sie werden mittels Intune verwaltet. Über entsprechende Lizenzen für das Intune-Management verfügen alle User (Business Standard + EMS E3 bzw. M365 A3). Die Verwaltung mittels Intune reicht für unsere Zwecke auch vollkommen aus - was darüber nicht möglich ist, kann man notfalls mittels PS-Script umsetzen. Sonstige großartige On-Prem-Serverdienste (WSUS, Printserver etc.) gibt es gegenwärtig nicht.
Aus unterschiedlichen Gründen würde ich gern von der .local-TLD wegkommen und habe mich da mal etwas schlau gemacht. Zudem fehlt es an DC-Redundanz, aber ich halte es für Quatsch, das jetzt noch mit der nicht routebaren .local-Domain einzurichten.
Ich könnte:
Wenn ich das richtig verstehe, verändert sich bei AAD DS nichts großartiges, außer dass Microsoft automatisch zwei DCs in Azure deployt und so Geschichten wie das Patch-Management usw. übernimmt, d.h. dass die beiden DCs dann unter MS-Kontrolle stehen. Der Gedanke ist, dass ich die verbliebenen noch vorhandenen Geräte in der schule.local-Domain stattdessen ans AzureAD anbinde, was für die User an sich mit keiner großen Umstellung verbunden sein dürfte.
Ich richte den Passwort-Hash-Sync im AAD Connect ein - dass die cloud-only-Schüler dann erst später nach Passwortänderungen im AAD DS auftauchen, ist zu verschmerzen. In einem dritten Schritt knipse ich den AAD Connect aus, womit dann alles "cloud-only" wäre, und richte AAD DS (unter Zuhilfenahme unseres Systemhauses) mit einem neuen routebaren Domain-Namen ein. Endzustand wäre dann, dass alle User und Geräte im AzureAD verwaltet werden, da der Sync zu AAD DS ja nur in eine Richtung geht, aber die beiden DS-DCs dann z.B. für Kerberos-Authentifizierung zur Verfügung stehen. Die Endgeräte der User tauchen dann nur im AzureAD auf, was aber m.E. auch kein Problem darstellt, weil Intune uns vollkommen ausreicht. Da wir keine riesigen Nutzerbestände haben, reicht uns der Standard-Plan auch aus, sodass wir nach dem Abschalten der beiden bisherigen Azure-VMs preislich etwa an dem gleichen Punkt stehen.
erst einmal kurz zur Ausgangslage: Ich arbeite als Administrator an einer Schule. Dort gibt es einen einzelnen DC (Azure-VM) mit der Domain schule.local (bitte nicht schlagen, habe ich so übernommen) sowie einen ehemaligen Fileserver, auch in Azure. Auf diesem sind alle Mitarbeiter angelegt. Diese werden mittels AAD Connect ins Azure AD gesynct. Die Schüler, soweit sie einen Account haben, sind cloud-only im Azure AD angelegt. Die überwiegende Anzahl der Geräte ist mittlerweile AzureAD-gejoint und werden mittels Writeback auf den DC zurückgespiegelt. Sie werden mittels Intune verwaltet. Über entsprechende Lizenzen für das Intune-Management verfügen alle User (Business Standard + EMS E3 bzw. M365 A3). Die Verwaltung mittels Intune reicht für unsere Zwecke auch vollkommen aus - was darüber nicht möglich ist, kann man notfalls mittels PS-Script umsetzen. Sonstige großartige On-Prem-Serverdienste (WSUS, Printserver etc.) gibt es gegenwärtig nicht.
Aus unterschiedlichen Gründen würde ich gern von der .local-TLD wegkommen und habe mich da mal etwas schlau gemacht. Zudem fehlt es an DC-Redundanz, aber ich halte es für Quatsch, das jetzt noch mit der nicht routebaren .local-Domain einzurichten.
Ich könnte:
- den bisherigen ungenutzten Fileserver zum DC einer neuen Domain umbauen und die User mittels ADMT migrieren
- Azure AD Domain Services nutzen - mein Favorit
Wenn ich das richtig verstehe, verändert sich bei AAD DS nichts großartiges, außer dass Microsoft automatisch zwei DCs in Azure deployt und so Geschichten wie das Patch-Management usw. übernimmt, d.h. dass die beiden DCs dann unter MS-Kontrolle stehen. Der Gedanke ist, dass ich die verbliebenen noch vorhandenen Geräte in der schule.local-Domain stattdessen ans AzureAD anbinde, was für die User an sich mit keiner großen Umstellung verbunden sein dürfte.
Ich richte den Passwort-Hash-Sync im AAD Connect ein - dass die cloud-only-Schüler dann erst später nach Passwortänderungen im AAD DS auftauchen, ist zu verschmerzen. In einem dritten Schritt knipse ich den AAD Connect aus, womit dann alles "cloud-only" wäre, und richte AAD DS (unter Zuhilfenahme unseres Systemhauses) mit einem neuen routebaren Domain-Namen ein. Endzustand wäre dann, dass alle User und Geräte im AzureAD verwaltet werden, da der Sync zu AAD DS ja nur in eine Richtung geht, aber die beiden DS-DCs dann z.B. für Kerberos-Authentifizierung zur Verfügung stehen. Die Endgeräte der User tauchen dann nur im AzureAD auf, was aber m.E. auch kein Problem darstellt, weil Intune uns vollkommen ausreicht. Da wir keine riesigen Nutzerbestände haben, reicht uns der Standard-Plan auch aus, sodass wir nach dem Abschalten der beiden bisherigen Azure-VMs preislich etwa an dem gleichen Punkt stehen.
- Kann das so funktionieren wie angedacht? Habe ich etwas übersehen?
- Welche Erfahrungen habt ihr mit AAD DS gemacht, wenn ihr es einsetzt? V.a. hinsichtlich Zuverlässigkeit der DCs?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4611219613
Url: https://administrator.de/contentid/4611219613
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Azure AD Domain Services nutzen - mein Favorit
je nach Bundesland (z.B. BW), in der die Schule ist, begibtst du dich auf einen Feuerstuhl. Da sind nämlich Microsoft M365 und Azure Teufelswerkzeug und wirst dich unbeqeuemen Fragen stellen müssen. Mach dich am Besten, wenn noch nicht geschehen ist, schlau was das zuständige Kultusministerium/Regierungspräsidum und Schulamt möglich machen/erlaubt bzw. verboten ist. Weil schlussendlich wird die Schulleitung dafür im Rampenlicht stehen.Gruß,
Dani
Danke für den Hinweis - mir geht es eigentlich mehr um die technische Seite. Vonseiten unseres Bundeslandes gibt es da bislang keine eindeutigen Verlautbarungen, zumal wir ein freier Träger sind - und die Daten der Schüler befinden sich im Moment eh schon im AzureAD (zumindest rudimentär zwecks Zugängen). Bei deren Geräten fahre ich sowieso eine BYOD-Policy, die werden also nicht vollumfänglich eingebunden. Wenn es zu einem späteren Zeitpunkt mal nötig wird, ein LMS aufzusetzen oder sich dem unseres Bundeslandes anzuschließen, dann ist es eben so.
Hi,
Bei deinen Ausführungen und Anforderungen habe ich nicht verstanden wozu ihr überhaupt die DC in Azure benötigt? Das ist doch gar nicht notwendig, kann doch alles Cloud only.
Mit freundlichen Grüßen
Bei deinen Ausführungen und Anforderungen habe ich nicht verstanden wozu ihr überhaupt die DC in Azure benötigt? Das ist doch gar nicht notwendig, kann doch alles Cloud only.
Mit freundlichen Grüßen
Moin,
z.B. für Radius-Authentifzierung am WLAN - läuft als Freeradius auf Synology-NAS. Freeradius lässt sich aber nicht mit AzureAD verheiraten (bzw. gibt es ein Modul, aber nur für PAP-Authentifizierung - und ich möchte die Benutzerdaten ungern unverschlüsselt in der Gegend rumfliegen haben).
z.B. für Radius-Authentifzierung am WLAN - läuft als Freeradius auf Synology-NAS. Freeradius lässt sich aber nicht mit AzureAD verheiraten (bzw. gibt es ein Modul, aber nur für PAP-Authentifizierung - und ich möchte die Benutzerdaten ungern unverschlüsselt in der Gegend rumfliegen haben).
