11
Implementierung ADFS und KDS
Liebe Forenmitglieder
Ich bin was den Umgang mit ADFS betrifft noch ziemlich unerfahren. Ich möchte ADFS in mein bestehendes Active Directory mit 3 Domain Controllern integrieren, hauptsächlich für Azure AD Connect.
Bei der Einrichtung von ADFS kommt irgendwann der Punkt mit KDS-Stammschlüsseln und gMSA. Ich hätte dazu zwei simple Noob-Fragen:
1. Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?
2. Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD? Aktuell besteht noch kein Root Key und der KDS Dienst läuft auch nicht. Leider habe ich zu wenig Infos über KDS und die Auswirkungen auf die AD gefunden; weiss also nur wozu die Root-Key benötigt werden.
Für eure Inputs danke ich euch schon im Voraus.
Gruss, Cedy
Ich bin was den Umgang mit ADFS betrifft noch ziemlich unerfahren. Ich möchte ADFS in mein bestehendes Active Directory mit 3 Domain Controllern integrieren, hauptsächlich für Azure AD Connect.
Bei der Einrichtung von ADFS kommt irgendwann der Punkt mit KDS-Stammschlüsseln und gMSA. Ich hätte dazu zwei simple Noob-Fragen:
1. Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?
2. Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD? Aktuell besteht noch kein Root Key und der KDS Dienst läuft auch nicht. Leider habe ich zu wenig Infos über KDS und die Auswirkungen auf die AD gefunden; weiss also nur wozu die Root-Key benötigt werden.
Für eure Inputs danke ich euch schon im Voraus.
Gruss, Cedy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2874096251
Url: https://administrator.de/contentid/2874096251
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
hauptsächlich für Azure AD Connect.
Ich hoffe dir ist klar, dass jedes Mal wenn der AD FS Server nicht verfügbar ist, die Kollegen sich an den Azure Services nicht anmelden können.Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?
wenn du dich bisher bei allen Themen die (in)direkt mit Active Directory zu tun hatten, an Best Practice von Microsoft gehalten hast, ist das Risiko gering.Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD?
Nein,Wichtig ist hierbei dass die Replikation der DCs untereinander fehlerfrei funktioniert.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
hauptsächlich für Azure AD Connect.
Ich hoffe dir ist klar, dass jedes Mal wenn der AD FS Server nicht verfügbar ist, die Kollegen sich an den Azure Services nicht anmelden können.Sind durch die Installation von ADFS in der bestehenden Active Directory Infrastruktur irgendwelche Auswirkungen auf die bestehenden Benutzer-Accounts zu erwarten, oder ist diese Implementierung ungefährlich?
wenn du dich bisher bei allen Themen die (in)direkt mit Active Directory zu tun hatten, an Best Practice von Microsoft gehalten hast, ist das Risiko gering.Werden durch Aktivierung von KDS für die Group Managed Service Accounts auf dem DC irgendwelche Änderungen durchgeführt am bestehenden AD?
Nein,Wichtig ist hierbei dass die Replikation der DCs untereinander fehlerfrei funktioniert.Gruß,
Dani
Hi Dani
Danke für deine Antwort. Aktuell läuft Azure AD-Connect mit Kennwort-Hash-Sync. Dies müsste meiner Information nach auch mit ADFS noch funktionieren, wodurch dann keine Probleme entstehen wenn ADFS mal nicht verfügbar ist. Es geht dabei darum, für die on-premise User und den Exchange die Azure MFA verwenden zu können. Natürlich hätte ich schon vorgehabt zwei ADFS Server aufzusetzen fürs Failover. Es geht jetzt aber nur mal darum zu schauen was für Möglichkeiten wir haben, und ich möchte auf den Web Application Proxy verwenden.
Best practise kann ich nicht 100%ig garantieren, da ich beim Aufbau dieser AD nicht dabei war. Wir haben aber die Server vor zwei Jahren von 2008 R2 auf 2019 und das lief Problemlos, wie auch die Migration von Exchange 2010 auf 2016. Aus meiner Sicht sind hier keine ungewöhnlichen Arbeiten vorgenommen worden, aber man weiss ja nie... Solange die Installation aber keinen Einfluss auf die vorhandenen User- und Computer-Accounts hat sollte alles gut gehen.
Die DC Replikationan laufen sauber.
Moin,
Gruß,
Dani
Dies müsste meiner Information nach auch mit ADFS noch funktionieren, wodurch dann keine Probleme entstehen wenn ADFS mal nicht verfügbar ist.
Ich meine das geht nicht. Entweder Hash oder AD FS. Aber ich bin auch nicht der Azure Spezialist. Da können sicherlich die Kolleginnen und Kollegen im Forum besser/verlässliche eine Antwort geben.Natürlich hätte ich schon vorgehabt zwei ADFS Server aufzusetzen fürs Failover.
Setzt einen Load Balancer und eine zentralen Datenbank (am Besten als HA) voraus.und ich möchte auf den Web Application Proxy verwenden.
Du musst sogar den WAP dafür nutzen.Gruß,
Dani
Ja, stimme zu. Ent oder weder.
Und man muss noch beachten: Wenn man von Hash auf ADFS umstellt, dann bleiben die Hash trotzdem im Azure gespeichert, werden nur nicht mehr synchronisiert.
Meines Wissens.
Und man muss noch beachten: Wenn man von Hash auf ADFS umstellt, dann bleiben die Hash trotzdem im Azure gespeichert, werden nur nicht mehr synchronisiert.
Meines Wissens.
Setzt einen Load Balancer und eine zentralen Datenbank (am Besten als HA) voraus.
Erstens das und zweitens sollte man - wenn man mehrere Standorte hat - an mindestens 2 davon je einen ADFS über eine jeweils standortlokale Anbindung veröffentlichen.
Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.
Onpremise Excgange und Azure MFA geht aber nicht , außer wenn du den Azure AD Application Proxy nutzt , dann macht ADFS onprem aber kein Sinn.
Moin,
Gruß,
Dani
Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.
Haste Recht, siehe hier: Setting up PHS as backup for AD FS in Azure AD Connect Onpremise Excgange und Azure MFA geht aber nicht , außer wenn du den Azure AD Application Proxy nutzt , dann macht ADFS onprem aber kein Sinn.
Sicher? Weil Configure Azure MFA as authentication provider with AD FS beschreibt eigentlich genau diesen Anwendungsfall.Gruß,
Dani
Zitat von @Dani:
Gruß,
Dani
Onpremise Excgange und Azure MFA geht aber nicht , außer wenn du den Azure AD Application Proxy nutzt , dann macht ADFS onprem aber kein Sinn.
Sicher? Weil Configure Azure MFA as authentication provider with AD FS beschreibt eigentlich genau diesen Anwendungsfall.Gruß,
Dani
Stimmt da gab es mal Verbesserungen zwischen 2012 und 2016 ADFS , früher brauchte man ne lokalen MFA Server der dann abgekündigt wurde ..
Mit freundlichen Grüßen
Zitat von @7Gizmo7:
Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.
OK. Danke für die Info!Nein !! Jahrelang im Betrieb gehabt ADFS und Passwort Sync Hash als fallback , falls mal ADFS wegfliegt.
Hi Zusammen
Vielen Dank für die hilfreichen Antworten.
Ich frage dann mal ganz anders: Was würdet ihr empfehlen um onPrem Exchange Active Sync mit MFA zu sichern? OWA und ECP sind von extern sowieso nicht erreichbar. Es geht lediglich um Active Sync. Zudem weiss ich noch nicht, ob Benutzer für Azure MFA überhaupt eine Lizenz benötigen oder ob es reicht wenn man sie ins Azure AD synced.
Gruss, Cedy
Vielen Dank für die hilfreichen Antworten.
Ich frage dann mal ganz anders: Was würdet ihr empfehlen um onPrem Exchange Active Sync mit MFA zu sichern? OWA und ECP sind von extern sowieso nicht erreichbar. Es geht lediglich um Active Sync. Zudem weiss ich noch nicht, ob Benutzer für Azure MFA überhaupt eine Lizenz benötigen oder ob es reicht wenn man sie ins Azure AD synced.
Gruss, Cedy
Hi, für Azure MFA benötigst du mindestens Azure Ad p1. , Basic reicht nicht .
Was hast du denn für ein Abo /Lizenzen?
Mfg
Was hast du denn für ein Abo /Lizenzen?
Mfg
Moin,
Gruß,
Dani
Was würdet ihr empfehlen um onPrem Exchange Active Sync mit MFA zu sichern?
ist die Kombi überhaupt für MFA supportet?!Gruß,
Dani
