Implementierung ADFS und KDS

d-line
Goto Top
Liebe Forenmitglieder

Ich bin was den Umgang mit ADFS betrifft noch ziemlich unerfahren. Ich möchte ADFS in mein bestehendes Active Directory mit 3 Domain Controllern integrieren, hauptsächlich für Azure AD Connect.

Bei der Einrichtung von ADFS kommt irgendwann der Punkt mit KDS-Stammschlüsseln und gMSA. Ich hätte dazu zwei simple Noob-Fragen:

1. Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?

2. Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD? Aktuell besteht noch kein Root Key und der KDS Dienst läuft auch nicht. Leider habe ich zu wenig Infos über KDS und die Auswirkungen auf die AD gefunden; weiss also nur wozu die Root-Key benötigt werden.

Für eure Inputs danke ich euch schon im Voraus.

Gruss, Cedy

Content-Key: 2874096251

Url: https://administrator.de/contentid/2874096251

Ausgedruckt am: 02.07.2022 um 16:07 Uhr

Mitglied: Dani
Dani 23.05.2022 um 11:39:59 Uhr
Goto Top
Moin,
hauptsächlich für Azure AD Connect.
Ich hoffe dir ist klar, dass jedes Mal wenn der AD FS Server nicht verfügbar ist, die Kollegen sich an den Azure Services nicht anmelden können.

Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?
wenn du dich bisher bei allen Themen die (in)direkt mit Active Directory zu tun hatten, an Best Practice von Microsoft gehalten hast, ist das Risiko gering.

Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD?
Nein,Wichtig ist hierbei dass die Replikation der DCs untereinander fehlerfrei funktioniert.


Gruß,
Dani
Mitglied: D-Line
D-Line 23.05.2022 um 11:50:37 Uhr
Goto Top
Zitat von @Dani:

Moin,
hauptsächlich für Azure AD Connect.
Ich hoffe dir ist klar, dass jedes Mal wenn der AD FS Server nicht verfügbar ist, die Kollegen sich an den Azure Services nicht anmelden können.

Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?
wenn du dich bisher bei allen Themen die (in)direkt mit Active Directory zu tun hatten, an Best Practice von Microsoft gehalten hast, ist das Risiko gering.

Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD?
Nein,Wichtig ist hierbei dass die Replikation der DCs untereinander fehlerfrei funktioniert.


Gruß,
Dani


Hi Dani

Danke für deine Antwort. Aktuell läuft Azure AD-Connect mit Kennwort-Hash-Sync. Dies müsste meiner Information nach auch mit ADFS noch funktionieren, wodurch dann keine Probleme entstehen wenn ADFS mal nicht verfügbar ist. Es geht dabei darum, für die on-premise User und den Exchange die Azure MFA verwenden zu können. Natürlich hätte ich schon vorgehabt zwei ADFS Server aufzusetzen fürs Failover. Es geht jetzt aber nur mal darum zu schauen was für Möglichkeiten wir haben, und ich möchte auf den Web Application Proxy verwenden.

Best practise kann ich nicht 100%ig garantieren, da ich beim Aufbau dieser AD nicht dabei war. Wir haben aber die Server vor zwei Jahren von 2008 R2 auf 2019 und das lief Problemlos, wie auch die Migration von Exchange 2010 auf 2016. Aus meiner Sicht sind hier keine ungewöhnlichen Arbeiten vorgenommen worden, aber man weiss ja nie... Solange die Installation aber keinen Einfluss auf die vorhandenen User- und Computer-Accounts hat sollte alles gut gehen.

Die DC Replikationan laufen sauber.
Mitglied: Dani
Dani 23.05.2022 aktualisiert um 11:55:37 Uhr
Goto Top
Moin,
Dies müsste meiner Information nach auch mit ADFS noch funktionieren, wodurch dann keine Probleme entstehen wenn ADFS mal nicht verfügbar ist.
Ich meine das geht nicht. Entweder Hash oder AD FS. Aber ich bin auch nicht der Azure Spezialist. Da können sicherlich die Kolleginnen und Kollegen im Forum besser/verlässliche eine Antwort geben.

Natürlich hätte ich schon vorgehabt zwei ADFS Server aufzusetzen fürs Failover.
Setzt einen Load Balancer und eine zentralen Datenbank (am Besten als HA) voraus.

und ich möchte auf den Web Application Proxy verwenden.
Du musst sogar den WAP dafür nutzen.


Gruß,
Dani
Mitglied: emeriks
emeriks 23.05.2022 um 16:37:03 Uhr
Goto Top
Zitat von @Dani:
Ich meine das geht nicht. Entweder Hash oder AD FS.
Ja, stimme zu. Ent oder weder.
Und man muss noch beachten: Wenn man von Hash auf ADFS umstellt, dann bleiben die Hash trotzdem im Azure gespeichert, werden nur nicht mehr synchronisiert.
Meines Wissens.
Setzt einen Load Balancer und eine zentralen Datenbank (am Besten als HA) voraus.
Erstens das und zweitens sollte man - wenn man mehrere Standorte hat - an mindestens 2 davon je einen ADFS über eine jeweils standortlokale Anbindung veröffentlichen.
Mitglied: 7Gizmo7
7Gizmo7 23.05.2022 um 19:45:04 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Dani:
Ich meine das geht nicht. Entweder Hash oder AD FS.
Ja, stimme zu. Ent oder weder.

Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.

Onpremise Excgange und Azure MFA geht aber nicht , außer wenn du den Azure AD Application Proxy nutzt , dann macht ADFS onprem aber kein Sinn.
Mitglied: Dani
Dani 23.05.2022 um 19:55:03 Uhr
Goto Top
Moin,
Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.
Haste Recht, siehe hier: Setting up PHS as backup for AD FS in Azure AD Connect

Onpremise Excgange und Azure MFA geht aber nicht , außer wenn du den Azure AD Application Proxy nutzt , dann macht ADFS onprem aber kein Sinn.
Sicher? Weil Configure Azure MFA as authentication provider with AD FS beschreibt eigentlich genau diesen Anwendungsfall.


Gruß,
Dani
Mitglied: 7Gizmo7
7Gizmo7 23.05.2022 um 20:24:35 Uhr
Goto Top
Zitat von @Dani:

Onpremise Excgange und Azure MFA geht aber nicht , außer wenn du den Azure AD Application Proxy nutzt , dann macht ADFS onprem aber kein Sinn.
Sicher? Weil Configure Azure MFA as authentication provider with AD FS beschreibt eigentlich genau diesen Anwendungsfall.


Gruß,
Dani

Stimmt da gab es mal Verbesserungen zwischen 2012 und 2016 ADFS , früher brauchte man ne lokalen MFA Server der dann abgekündigt wurde ..

Mit freundlichen Grüßen
Mitglied: emeriks
emeriks 24.05.2022 um 08:07:46 Uhr
Goto Top
Zitat von @7Gizmo7:
Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.
OK. Danke für die Info!
Mitglied: D-Line
D-Line 24.05.2022 um 11:19:27 Uhr
Goto Top
Hi Zusammen

Vielen Dank für die hilfreichen Antworten.

Ich frage dann mal ganz anders: Was würdet ihr empfehlen um onPrem Exchange Active Sync mit MFA zu sichern? OWA und ECP sind von extern sowieso nicht erreichbar. Es geht lediglich um Active Sync. Zudem weiss ich noch nicht, ob Benutzer für Azure MFA überhaupt eine Lizenz benötigen oder ob es reicht wenn man sie ins Azure AD synced.

Gruss, Cedy
Mitglied: 7Gizmo7
7Gizmo7 24.05.2022 aktualisiert um 17:15:14 Uhr
Goto Top
Hi, für Azure MFA benötigst du mindestens Azure Ad p1. , Basic reicht nicht .

Was hast du denn für ein Abo /Lizenzen?

Mfg
Mitglied: Dani
Dani 24.05.2022 um 19:07:04 Uhr
Goto Top
Moin,
Was würdet ihr empfehlen um onPrem Exchange Active Sync mit MFA zu sichern?
ist die Kombi überhaupt für MFA supportet?!


Gruß,
Dani