8
Lokales Active Directory mit Office365 synchronisieren
Hallo,
hab mal wieder eine Frage.
Ich habe ein lokales AD (test.local)
Und ein Office365 Konto (testtest.com)
Ich habe im Menü "Active Directory-Domänen und -Vertrauensstellungen"
einen alternativen Benutzerprinzipalnamen-Suffixe hinzugefügt
und zwar testtest.com
Anschließend habe ich folgende Software heruntergeladen:
Azure AD Connect
Dann habe ich denn eingerichtet:
Vom Office365 habe ich denn Admin eingegeben
Lokales AD verbunden
Verzeichnis verbunden war erfolgreich
Hier kommt ein Hinweis das die .local Domäne nicht funktioniert, aber die andere Überprüft ist
Filter setzen
Denn Rest lasse ich auf Default
Im AD habe ich folgendes angepasst,
damit es mit dem Benutzername im Office365 übereinstimmt
Hier kann man nachsehen ob was synchronisiert wurde
admin.microsoft.com/AdminPortal/Home#/dirsyncmanagement
Es hat synchronisiert.
Aber das Passwort vom lokalen AD wurde nicht im Office365 gesetzt.
Kann mich am TerminalServer anmelden, aber nicht auf portal.office.com
Habt Ihr eine Ahnung wo der Fehler ist ?
Hab es mit zwei User getestet.
Setze ich denn Namen absichtlich falsch,
wird der User in Office365 angelegt,
setzte ich es zurück, wird er wieder gelöscht.
Somit existiert eine funktionierende Synchronisation.
Leider wird aber das Windows Passwort nicht ins Office365 synchronisiert.
Das Ziel ist ja:
Das sich der User nur ein Passwort merken muss für Windows Anmeldung und für Office365.
LG K
hab mal wieder eine Frage.
Ich habe ein lokales AD (test.local)
Und ein Office365 Konto (testtest.com)
Ich habe im Menü "Active Directory-Domänen und -Vertrauensstellungen"
einen alternativen Benutzerprinzipalnamen-Suffixe hinzugefügt
und zwar testtest.com
Anschließend habe ich folgende Software heruntergeladen:
Azure AD Connect
Dann habe ich denn eingerichtet:
Vom Office365 habe ich denn Admin eingegeben
Lokales AD verbunden
Verzeichnis verbunden war erfolgreich
Hier kommt ein Hinweis das die .local Domäne nicht funktioniert, aber die andere Überprüft ist
Filter setzen
Denn Rest lasse ich auf Default
Im AD habe ich folgendes angepasst,
damit es mit dem Benutzername im Office365 übereinstimmt
Hier kann man nachsehen ob was synchronisiert wurde
admin.microsoft.com/AdminPortal/Home#/dirsyncmanagement
Es hat synchronisiert.
Aber das Passwort vom lokalen AD wurde nicht im Office365 gesetzt.
Kann mich am TerminalServer anmelden, aber nicht auf portal.office.com
Habt Ihr eine Ahnung wo der Fehler ist ?
Hab es mit zwei User getestet.
Setze ich denn Namen absichtlich falsch,
wird der User in Office365 angelegt,
setzte ich es zurück, wird er wieder gelöscht.
Somit existiert eine funktionierende Synchronisation.
Leider wird aber das Windows Passwort nicht ins Office365 synchronisiert.
Das Ziel ist ja:
Das sich der User nur ein Passwort merken muss für Windows Anmeldung und für Office365.
LG K
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 542729
Url: https://administrator.de/contentid/542729
Printed on: April 28, 2024 at 04:04 o'clock
8 Comments
Latest comment
Wenn du dir in der office 365 admin console die synchronisierten user anzeigen lässt, was zeigt er dir als login name an? Ich kenne das so, dass man im AD die primary SMTP Adress boch auf die domain setzen muss. Dann wird diese zum login namen und du die user können sich local mit .local anmelden oder nur dem user und in Office 365 mit user@domain.tld
Hi,
In deinem Screenshot ist zu sehen, das das Passwort nicht gesynct wurde.
Für AzureAD connect gibt es Diagnose Powershells, arbeite diese mal ab.
Mit freundlichen Grüßen
In deinem Screenshot ist zu sehen, das das Passwort nicht gesynct wurde.
Für AzureAD connect gibt es Diagnose Powershells, arbeite diese mal ab.
Mit freundlichen Grüßen
Vielen Dank für die Antworten.
Werde ich morgen testen und bescheid geben.
Schönen Abend noch 🙂
Werde ich morgen testen und bescheid geben.
Schönen Abend noch 🙂
Auf einem Deiner Screenshots steht es doch: Deinem Benutzer fehlen in test.local die Rechte, um die Synchronisierung von Kennwörtern zu starten.
Hallo,
ich hab gerade eben das TroubleShooting Menü probiert:
Azure AD Connect starten > Konfigurieren (falls schon eingerichtet) > Problembehandlung > Starten (dann öffnet sich die PowerShell)
Leider hilft mir die Ausgabe nicht viel weiter.
Der Link zu MS: https://go.microsoft.com/fwlink/?linkid=847234
Leider hat mir der Link nichts gebracht.
Und hier noch die Ausgabe vom EventID:
Hab zum testen, meinem selbst angelegten Dienstkonto Admin Rechte gegeben um zu prüfen, ob es an den Rechten liegt.
Im Office365 Verzeichnissynchronisierungsstatus steht bei Verzeichnissynchronisierungs-Dienstkonto:
Sync_DC1_.......@....onmicrosoft.com
Ich sehe bei dem User unter "Benutzer" das er "Admin Center-Zgriff" hat aber nichts bei Administrator angehagt
Muss man hier eventuell noch händisch nach bessern ?
Hier noch letzte Infos:
Das ganze läuft am DomainController wovon abgeraten wird, aber eigentlich funktionieren sollte.
Azure AD Connect Version: 1.4.38.0
Vllt fällt mir morgen noch etwas ein.
Lg K
ich hab gerade eben das TroubleShooting Menü probiert:
Azure AD Connect starten > Konfigurieren (falls schon eingerichtet) > Problembehandlung > Starten (dann öffnet sich die PowerShell)
Der Link zu MS: https://go.microsoft.com/fwlink/?linkid=847234
Leider hat mir der Link nichts gebracht.
Und hier noch die Ausgabe vom EventID:
Hab zum testen, meinem selbst angelegten Dienstkonto Admin Rechte gegeben um zu prüfen, ob es an den Rechten liegt.
Im Office365 Verzeichnissynchronisierungsstatus steht bei Verzeichnissynchronisierungs-Dienstkonto:
Sync_DC1_.......@....onmicrosoft.com
Ich sehe bei dem User unter "Benutzer" das er "Admin Center-Zgriff" hat aber nichts bei Administrator angehagt
Muss man hier eventuell noch händisch nach bessern ?
Hier noch letzte Infos:
Das ganze läuft am DomainController wovon abgeraten wird, aber eigentlich funktionieren sollte.
Azure AD Connect Version: 1.4.38.0
Vllt fällt mir morgen noch etwas ein.
Lg K
Hi,
Da steht
Ab Build 1.4. ###.# wird es nicht mehr unterstützt, wenn Sie ein Unternehmens- oder ein Domänenadministratorkonto als AD DS-Connectorkonto verwenden. Wenn Sie versuchen, ein Unternehmens- oder Domänenadministratorkonto einzugeben, und dabei vorhandenes Konto verwenden nutzen, wird Ihnen eine Fehlermeldung angezeigt.
War das so ? Das AD DS Connectorkonto wird ja von AzureAD connect Setup erstellt .
Welche Rechte hat das Konto was vom Setup erstellt wurde ?
Das wird fehlen ?
Verzeichnisänderungen replizieren
Verzeichnisänderungen replizieren: Alle
Geht mal hier durch ....
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-co ...
Da steht
Ab Build 1.4. ###.# wird es nicht mehr unterstützt, wenn Sie ein Unternehmens- oder ein Domänenadministratorkonto als AD DS-Connectorkonto verwenden. Wenn Sie versuchen, ein Unternehmens- oder Domänenadministratorkonto einzugeben, und dabei vorhandenes Konto verwenden nutzen, wird Ihnen eine Fehlermeldung angezeigt.
War das so ? Das AD DS Connectorkonto wird ja von AzureAD connect Setup erstellt .
Welche Rechte hat das Konto was vom Setup erstellt wurde ?
Das wird fehlen ?
Verzeichnisänderungen replizieren
Verzeichnisänderungen replizieren: Alle
Geht mal hier durch ....
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-co ...
Ich weiß das man denn Unternehmens- oder Domänenadministrator nicht hinzufügen darf/kann.
Ja ich wollte es mit dem Admin testen und es kam der Hinweis das ich das nicht darf.
Hab dann einen ADConnect User angelegt und genutzt, hat funktioniert. (selbst im AD angelegt)
Und dieser genannte User hat temporär Admin Rechte bekommen.
Werde mal denn Link durchgehen.
Danke
Ja ich wollte es mit dem Admin testen und es kam der Hinweis das ich das nicht darf.
Hab dann einen ADConnect User angelegt und genutzt, hat funktioniert. (selbst im AD angelegt)
Und dieser genannte User hat temporär Admin Rechte bekommen.
Werde mal denn Link durchgehen.
Danke
Bei mir war folgendes Problem:
Der erstellte AD User "AD Connect" war nicht berechtigt zum synchronisieren.
Wie setzt man die richtigen Berechtigungen.
Man öffnet das "Active Directory-Benutzer und -Computer"
Ansicht > Erweiterte Features
Man markiert die Domäne > Rechte Maustaste > Eigenschaften > Sicherheit
Hier den User (der auch im AD Connect genutzt wird) eintragen (bei mir AD Connect)
Und für folgendes Berechtigen:
- Alle Verzeichnisänderungen replizieren
- Verzeichnisänderungen replizieren
Mehr wird nicht benötigt.
Ich habe das falsche berechtigt gehabt.
LG K
Der erstellte AD User "AD Connect" war nicht berechtigt zum synchronisieren.
Wie setzt man die richtigen Berechtigungen.
Man öffnet das "Active Directory-Benutzer und -Computer"
Ansicht > Erweiterte Features
Man markiert die Domäne > Rechte Maustaste > Eigenschaften > Sicherheit
Hier den User (der auch im AD Connect genutzt wird) eintragen (bei mir AD Connect)
Und für folgendes Berechtigen:
- Alle Verzeichnisänderungen replizieren
- Verzeichnisänderungen replizieren
Mehr wird nicht benötigt.
Ich habe das falsche berechtigt gehabt.
LG K
1
