philzip
Goto Top

Nachträgliche Implementierung von Azure AD Connect

Guten Morgen zusammen,

bei mir steht eine nachträgliche Implementierung von Azure AD Connect an. Es gibt bereits ein lokales AD Verzeichnis und einen "gepflegten" 365 Tenant - ohne Sync.

Nun möchte gerne aufgrund der offensichtlichen Vorteile einen Sync einrichten - und das am besten, ohne alle PSTs sichern und wieder einspielen zu müssen.

Nach meinem Verständnis kann ich die lokalen Konten mit den Cloud-Konten über die primäre SMTP-Adresse matchen:

https://support.microsoft.com/en-us/topic/how-to-use-smtp-matching-to-ma ...

Ich hab das leider noch nie gemacht und frage daher lieber einmal zu viel nach, als zu wenig :D

Sehe ich das richtig, dass ich bei den lokalen Benutzern einfach nur jeweils das AD-Attribut "proxyAddresses" mit der jeweiligen primären E-Mail-Adresse aus O365 füllen muss und danach beim Sync die O365 Benutzer automatisch zu gesyncten Nutzern werden und das Postfach dabei unverändert erhalten bleibt?

Edit: Ergänzende Frage - eine Neueinrichtung der Outlook-Profile sollte damit dann auch nicht nötig sein, korrekt?

Vielleicht hat hier ja jemand einen Tipp für mich - bin auch gerne für andere Hinweise über mögliche Stolperfallen bei diesem Vorhaben offen :D

Vielen Dank

Content-ID: 6474223762

Url: https://administrator.de/forum/nachtraegliche-implementierung-von-azure-ad-connect-6474223762.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

lcer00
lcer00 23.03.2023 um 11:50:23 Uhr
Goto Top
Hallo,

das mit dem Matchen sollte funktionieren. Beim Einrichten von AD Connect kann man die Synchronisierung auf eine OU oder Gruppe beschränkten. Dass solltest Du zu Testzwecken machen und zunächst nur einen/ein paar User synchronisieren.

Grüße

lcer
Mr-Gustav
Mr-Gustav 23.03.2023 um 11:59:41 Uhr
Goto Top
Stichworte für dich ist Exchange Hybrid Config bzw. das die Proxyadresses passen.

Hybrid nur wenn du Mailboxen verschieben willst.
Philzip
Philzip 23.03.2023 um 13:09:26 Uhr
Goto Top
Zitat von @Mr-Gustav:

Stichworte für dich ist Exchange Hybrid Config bzw. das die Proxyadresses passen.

Hybrid nur wenn du Mailboxen verschieben willst.

Mailboxen verschieben ist kein Thema, die Postfächer liegen ja bereits bei O365. Bloß den Sync mit der lokalen AD gibt es noch nicht. Also ist es mit Proxyadressen einrichten bevor ich den Sync installiere getan?
Philzip
Lösung Philzip 24.03.2023 um 11:42:09 Uhr
Goto Top
Kleines Update: Wollte mal einen Test durchführen, dieser ist leider direkt fehlgeschlagen.

Habe bei einem User, der sowohl ein O365 Postfach als auch ein lokales AD-Konto hat, folgendes unternommen:

- Email-Adressen aus O365 in das AD-Attribut "proxyAddresses" übernommen und die entsprechende Haupt-Adresse definiert
- UPN des lokalen AD-Benutzers angepasst, sodass er dem O365 Anmeldenamen übereinstimmt
- Sync gestartet (nicht für alle - nur für eine temporäre OU, in der sich ausschließlich der Testuser befindet)

Ergebis: Der bestehende O365 User wurde nicht zum lokal synchronisierten User umgewandelt, sondern es wurde ein zweiter User stellt, bei dem hinter den Benutzernahmen noch eine zufällige Zahlenfolge gesetzt wurde.

unbenannt
Philzip
Lösung Philzip 24.03.2023 um 12:15:09 Uhr
Goto Top
Nachtrag #2: Nachdem ich nochmal kontrolliert habe, ob SMTP-Adressen und UPN wirklich korrekt waren (was der Fall war), bin ich auf ein weiteres Thema gestoßen: https://www.orbid365.be/manually-match-on-premise-ad-user-to-existing-of ...

Damit scheint es funktioniert zu haben. Seit dem letzten Test habe ich unternommen:

- Löschen des Duplikats im O365
- die lokale GUID des Testusers mit LDIFDE im O365-kompatiblen Format ausgeben lassen
- manuelles Eintragen besagter GUID als ImmutableID des zum Testuser zugehörigen Postfachs im O365
- Sync erneut laufen lassen

... und siehe da, das "alte" O365-Postfach hat nun nicht mehr den "Cloud"-Status, sondern "von lokal synchronisiert". Thema scheint damit erledigt zu sein - schauen wir mal, ob das bei den restlichen Benutzern auch so klappt.

unbenannt2
Mr-Gustav
Mr-Gustav 24.03.2023 um 13:37:02 Uhr
Goto Top
Hast du den Login Namen angepasst sprich ein neues UPN Suffix hinzugefügt.
Im AD unter Konto muss dann stehen Mitarbeiter@domain.DE
Es darf da kein .local oder Phantasie Name drinne stehen. Die Domain muss
ereichbar bzw. per DNS Routbar sein
Philzip
Philzip 31.03.2023 um 08:57:28 Uhr
Goto Top
Ja, das habe ich aber auch bereits beschrieben.