Erfahrungen mit AAD DS - Kann Migration so funktionieren?
Guten Morgen zusammen,
erst einmal kurz zur Ausgangslage: Ich arbeite als Administrator an einer Schule. Dort gibt es einen einzelnen DC (Azure-VM) mit der Domain schule.local (bitte nicht schlagen, habe ich so übernommen) sowie einen ehemaligen Fileserver, auch in Azure. Auf diesem sind alle Mitarbeiter angelegt. Diese werden mittels AAD Connect ins Azure AD gesynct. Die Schüler, soweit sie einen Account haben, sind cloud-only im Azure AD angelegt. Die überwiegende Anzahl der Geräte ist mittlerweile AzureAD-gejoint und werden mittels Writeback auf den DC zurückgespiegelt. Sie werden mittels Intune verwaltet. Über entsprechende Lizenzen für das Intune-Management verfügen alle User (Business Standard + EMS E3 bzw. M365 A3). Die Verwaltung mittels Intune reicht für unsere Zwecke auch vollkommen aus - was darüber nicht möglich ist, kann man notfalls mittels PS-Script umsetzen. Sonstige großartige On-Prem-Serverdienste (WSUS, Printserver etc.) gibt es gegenwärtig nicht.
Aus unterschiedlichen Gründen würde ich gern von der .local-TLD wegkommen und habe mich da mal etwas schlau gemacht. Zudem fehlt es an DC-Redundanz, aber ich halte es für Quatsch, das jetzt noch mit der nicht routebaren .local-Domain einzurichten.
Ich könnte:
Wenn ich das richtig verstehe, verändert sich bei AAD DS nichts großartiges, außer dass Microsoft automatisch zwei DCs in Azure deployt und so Geschichten wie das Patch-Management usw. übernimmt, d.h. dass die beiden DCs dann unter MS-Kontrolle stehen. Der Gedanke ist, dass ich die verbliebenen noch vorhandenen Geräte in der schule.local-Domain stattdessen ans AzureAD anbinde, was für die User an sich mit keiner großen Umstellung verbunden sein dürfte.
Ich richte den Passwort-Hash-Sync im AAD Connect ein - dass die cloud-only-Schüler dann erst später nach Passwortänderungen im AAD DS auftauchen, ist zu verschmerzen. In einem dritten Schritt knipse ich den AAD Connect aus, womit dann alles "cloud-only" wäre, und richte AAD DS (unter Zuhilfenahme unseres Systemhauses) mit einem neuen routebaren Domain-Namen ein. Endzustand wäre dann, dass alle User und Geräte im AzureAD verwaltet werden, da der Sync zu AAD DS ja nur in eine Richtung geht, aber die beiden DS-DCs dann z.B. für Kerberos-Authentifizierung zur Verfügung stehen. Die Endgeräte der User tauchen dann nur im AzureAD auf, was aber m.E. auch kein Problem darstellt, weil Intune uns vollkommen ausreicht. Da wir keine riesigen Nutzerbestände haben, reicht uns der Standard-Plan auch aus, sodass wir nach dem Abschalten der beiden bisherigen Azure-VMs preislich etwa an dem gleichen Punkt stehen.
erst einmal kurz zur Ausgangslage: Ich arbeite als Administrator an einer Schule. Dort gibt es einen einzelnen DC (Azure-VM) mit der Domain schule.local (bitte nicht schlagen, habe ich so übernommen) sowie einen ehemaligen Fileserver, auch in Azure. Auf diesem sind alle Mitarbeiter angelegt. Diese werden mittels AAD Connect ins Azure AD gesynct. Die Schüler, soweit sie einen Account haben, sind cloud-only im Azure AD angelegt. Die überwiegende Anzahl der Geräte ist mittlerweile AzureAD-gejoint und werden mittels Writeback auf den DC zurückgespiegelt. Sie werden mittels Intune verwaltet. Über entsprechende Lizenzen für das Intune-Management verfügen alle User (Business Standard + EMS E3 bzw. M365 A3). Die Verwaltung mittels Intune reicht für unsere Zwecke auch vollkommen aus - was darüber nicht möglich ist, kann man notfalls mittels PS-Script umsetzen. Sonstige großartige On-Prem-Serverdienste (WSUS, Printserver etc.) gibt es gegenwärtig nicht.
Aus unterschiedlichen Gründen würde ich gern von der .local-TLD wegkommen und habe mich da mal etwas schlau gemacht. Zudem fehlt es an DC-Redundanz, aber ich halte es für Quatsch, das jetzt noch mit der nicht routebaren .local-Domain einzurichten.
Ich könnte:
- den bisherigen ungenutzten Fileserver zum DC einer neuen Domain umbauen und die User mittels ADMT migrieren
- Azure AD Domain Services nutzen - mein Favorit
Wenn ich das richtig verstehe, verändert sich bei AAD DS nichts großartiges, außer dass Microsoft automatisch zwei DCs in Azure deployt und so Geschichten wie das Patch-Management usw. übernimmt, d.h. dass die beiden DCs dann unter MS-Kontrolle stehen. Der Gedanke ist, dass ich die verbliebenen noch vorhandenen Geräte in der schule.local-Domain stattdessen ans AzureAD anbinde, was für die User an sich mit keiner großen Umstellung verbunden sein dürfte.
Ich richte den Passwort-Hash-Sync im AAD Connect ein - dass die cloud-only-Schüler dann erst später nach Passwortänderungen im AAD DS auftauchen, ist zu verschmerzen. In einem dritten Schritt knipse ich den AAD Connect aus, womit dann alles "cloud-only" wäre, und richte AAD DS (unter Zuhilfenahme unseres Systemhauses) mit einem neuen routebaren Domain-Namen ein. Endzustand wäre dann, dass alle User und Geräte im AzureAD verwaltet werden, da der Sync zu AAD DS ja nur in eine Richtung geht, aber die beiden DS-DCs dann z.B. für Kerberos-Authentifizierung zur Verfügung stehen. Die Endgeräte der User tauchen dann nur im AzureAD auf, was aber m.E. auch kein Problem darstellt, weil Intune uns vollkommen ausreicht. Da wir keine riesigen Nutzerbestände haben, reicht uns der Standard-Plan auch aus, sodass wir nach dem Abschalten der beiden bisherigen Azure-VMs preislich etwa an dem gleichen Punkt stehen.
- Kann das so funktionieren wie angedacht? Habe ich etwas übersehen?
- Welche Erfahrungen habt ihr mit AAD DS gemacht, wenn ihr es einsetzt? V.a. hinsichtlich Zuverlässigkeit der DCs?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4611219613
Url: https://administrator.de/forum/erfahrungen-mit-aad-ds-kann-migration-so-funktionieren-4611219613.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Azure AD Domain Services nutzen - mein Favorit
je nach Bundesland (z.B. BW), in der die Schule ist, begibtst du dich auf einen Feuerstuhl. Da sind nämlich Microsoft M365 und Azure Teufelswerkzeug und wirst dich unbeqeuemen Fragen stellen müssen. Mach dich am Besten, wenn noch nicht geschehen ist, schlau was das zuständige Kultusministerium/Regierungspräsidum und Schulamt möglich machen/erlaubt bzw. verboten ist. Weil schlussendlich wird die Schulleitung dafür im Rampenlicht stehen.Gruß,
Dani