12
Neue lokale AD mit vorhandenem M365 Tenant
Hallo,
ich werde demnächst eine neue AD-Struktur auf einem neuen Windows Server 2022 erstellen dürfen. Es existiert bereits ein M365 Tenant mit M365 Business Premium Lizenzen, so das ich auf dem neuen lokalen Win Serv 2022 auch einen Azure AD Connect mit installieren wollte.
Jetzt mache ich mir gerade noch gedanken darum wie ich hier am sinnvollsten die lokale AD benennen werde.
Auch zwecks Single-Sign on etc.
Evtl. identisch mit dem M365 Tenant? (firma-123.tld) ? Oder könnte das sich irgendwann irgendwo beißen?
ich werde demnächst eine neue AD-Struktur auf einem neuen Windows Server 2022 erstellen dürfen. Es existiert bereits ein M365 Tenant mit M365 Business Premium Lizenzen, so das ich auf dem neuen lokalen Win Serv 2022 auch einen Azure AD Connect mit installieren wollte.
Jetzt mache ich mir gerade noch gedanken darum wie ich hier am sinnvollsten die lokale AD benennen werde.
Auch zwecks Single-Sign on etc.
Evtl. identisch mit dem M365 Tenant? (firma-123.tld) ? Oder könnte das sich irgendwann irgendwo beißen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6285582854
Url: https://administrator.de/contentid/6285582854
Printed on: April 27, 2024 at 21:04 o'clock
12 Comments
Latest comment
Eigentlich egal.
Ich mach gerne dc.firma-123.tld
identisch mit dem M365 Tenant?
Das ist prinzipiell die best practise. firma.de ebenfalls auch als Domäne zu nehmen. Die Frage ist wie du nachher die Konten "verheiratest". Bei kleineren Firmen (~5 User) habe ich das O365 immer leergefegt und via AD-AAD-Sync wieder mit Leben befüllt.Aber wie gesagt, man kann die Benutzer auch irgendwie verheiraten ...
Bei einem Kunden habe ich lokal die Domäne ad.firma.de angelegt, ärgere ich mich bis heute drübber.
sind so ca. 10 User, welche eben auch schon Mail, Kalender etc. nutzen. Die würde ich eben tatsächlich gerne irgendwie mit dem lokalen AD dann syncen ...
... wenn ich das M365 leer fege ... muss ich ja da wieder anfangen ... Postfächer etc. sichern usw. ... oder wie hast du das gemacht?
Bei kleineren Firmen (~5 User) habe ich das O365 immer leergefegt und via AD-AAD-Sync wieder mit Leben befüllt.
... wenn ich das M365 leer fege ... muss ich ja da wieder anfangen ... Postfächer etc. sichern usw. ... oder wie hast du das gemacht?
Genau genau auf den harten Weg, exportieren, alle Benutzer löschen (geteilte Postfächer können bestehen bleiben), Benutzer aus der AAD wirklich endgültig löschen. AD-Sync einrichten, Benutzer syncen, Daten wieder importieren.
Outlook und OneDrive geht ja noch. Aber wenn Teams als Datenablage missbraucht wurde, wird es lustig.
Outlook und OneDrive geht ja noch. Aber wenn Teams als Datenablage missbraucht wurde, wird es lustig.
Hallo,
bei 10 Usern würde ich wie folgt vorgehen:
Vorallem der Punkt Exchange ist wichtig. Wenn du ein lokales AD einsetzt wird dieses im Verbund authorativ und Exchange Online kann nicht via Azure AD die E-Mail Attribute in die lokalen User zurückschreiben. Daher wirst du ein Exchange Online Hybrid aufbauen müssen. Du kannst den Exchange on-prem praktisch ganz klein sizen, der wird nur für die Schemaerweiterung benötigt. Die Verwaltung kannst Du dann entweder via on-prem ECP oder dem PowerShell Modul vornehmen.
bei 10 Usern würde ich wie folgt vorgehen:
- 2x AD-VMs (Primary / Secondary)
- Split-Brain DNS und Forest domain.tld
- Die User 1:1 im AD anlegen (UPN muss identisch sein)
- Exchange 2016 / 2019 on-prem installieren (Brauchst Du, wenn du ein lokales AD im AD-Connect mit Azure AD betreibst)
- AD-Connect installieren
- Sync starten -> Dank identischer UPNs werden die bestehenden Cloud-User automatisch mit den bestehenden on-prem Usern gematcht.
- Exchange Hybrid aufbauen
Vorallem der Punkt Exchange ist wichtig. Wenn du ein lokales AD einsetzt wird dieses im Verbund authorativ und Exchange Online kann nicht via Azure AD die E-Mail Attribute in die lokalen User zurückschreiben. Daher wirst du ein Exchange Online Hybrid aufbauen müssen. Du kannst den Exchange on-prem praktisch ganz klein sizen, der wird nur für die Schemaerweiterung benötigt. Die Verwaltung kannst Du dann entweder via on-prem ECP oder dem PowerShell Modul vornehmen.
Die Schema-Erweiterungen kann man auch erhalten ohne einen Exchange zu installieren. Für eine handvoll Attribute reicht auch Adsi-Edit.
ok, war mir nicht bekannt.
Erfahrungsgemäß sind die meisten aber mit der Bearbeitung via ASDI Edit überfordert.
Warum wird überhaupt ein lokales AD benötigt?
Erfahrungsgemäß sind die meisten aber mit der Bearbeitung via ASDI Edit überfordert.
Warum wird überhaupt ein lokales AD benötigt?
Weil es bequem ist und sich gut lokal wie in der Cloud automatisieren lässt?
Hallo
Einfach ein AD aufsetzten.
z.B ads.Firma.de
(Active Directory Services)
Azure AD Sync installieren und einrichten, am besten nicht auf dem DC ist aber Lizenztechnisch manchmal nicht anderes möglich.
(Man braucht keinen lokalen Exchange)
Nur die Exchange Erweiterungen (Schemaerweiterung) mit dem Azure AD mitinstallieren und die Attribute stehen zur Verfügung.
Deine Domain im 365 Portal hast du ja bereits konfiguriert, aber ohne die lokale AD Subdomain ads.
Daher legst du einen zusätzlichen UPN Firma.de im lokalen AD an.
Siehe hier:
https://scarymachines.de/zusaetzlichen-user-principal-name-upn-im-active ...
Dann die User analog der Cloud anlegen.
Sprich Benutzername sollte übereinstimmen.
Auch musst du alle Attribute wie Dienststelle, Rufnummer Position im AD anlegen da diese Werte im Azure durch die im lokalen überschrieben werden.
Und das AzureAD ist so schlau und verknüpft diese mit den bestehenden Usern. Kein Mailboxverlust usw.
Kannst es ja erstmal an einem User testen.
Sollen die User noch E-Mails Aliases haben dies in den Ad Attributen "ProxyAdresse" pflegen. Großes SMTP:vorname.nachname@firma.de und dann smtp:alias@firma.de
https://blog.netwrix.de/2020/04/13/so-fuegen-sie-mit-active-directory-ei ...
Nur beim Passwort ändert sich etwas beim User, da diese aus dem lokalen AD ins AzureAD gesynct werden muss, sonst geht der SSO nicht. Sprich die User verlieren ihr Passwort aus der Cloud gegen ihr lokales AD Passwort beim ersten Sync.
Kannst natürlich Passwordwriteback konfigurieren - ist aber Geschmacksache.
Mit freundlichen Grüßen Nemesis
PS: was verstehst du unter lokaler Windows 2022 Server ? Du betreibst dann auf z.B. einem Hyper-V zwei oder mehr virtuelle Server oder willst du das alles nur auf dem "Blech" installieren?
Einfach ein AD aufsetzten.
z.B ads.Firma.de
(Active Directory Services)
Azure AD Sync installieren und einrichten, am besten nicht auf dem DC ist aber Lizenztechnisch manchmal nicht anderes möglich.
(Man braucht keinen lokalen Exchange)
Nur die Exchange Erweiterungen (Schemaerweiterung) mit dem Azure AD mitinstallieren und die Attribute stehen zur Verfügung.
Deine Domain im 365 Portal hast du ja bereits konfiguriert, aber ohne die lokale AD Subdomain ads.
Daher legst du einen zusätzlichen UPN Firma.de im lokalen AD an.
Siehe hier:
https://scarymachines.de/zusaetzlichen-user-principal-name-upn-im-active ...
Dann die User analog der Cloud anlegen.
Sprich Benutzername sollte übereinstimmen.
Auch musst du alle Attribute wie Dienststelle, Rufnummer Position im AD anlegen da diese Werte im Azure durch die im lokalen überschrieben werden.
Und das AzureAD ist so schlau und verknüpft diese mit den bestehenden Usern. Kein Mailboxverlust usw.
Kannst es ja erstmal an einem User testen.
Sollen die User noch E-Mails Aliases haben dies in den Ad Attributen "ProxyAdresse" pflegen. Großes SMTP:vorname.nachname@firma.de und dann smtp:alias@firma.de
https://blog.netwrix.de/2020/04/13/so-fuegen-sie-mit-active-directory-ei ...
Nur beim Passwort ändert sich etwas beim User, da diese aus dem lokalen AD ins AzureAD gesynct werden muss, sonst geht der SSO nicht. Sprich die User verlieren ihr Passwort aus der Cloud gegen ihr lokales AD Passwort beim ersten Sync.
Kannst natürlich Passwordwriteback konfigurieren - ist aber Geschmacksache.
Mit freundlichen Grüßen Nemesis
PS: was verstehst du unter lokaler Windows 2022 Server ? Du betreibst dann auf z.B. einem Hyper-V zwei oder mehr virtuelle Server oder willst du das alles nur auf dem "Blech" installieren?
1Zitat von @nEmEsIs:
PS: was verstehst du unter lokaler Windows 2022 Server ? Du betreibst dann auf z.B. einem Hyper-V zwei oder mehr virtuelle Server oder willst du das alles nur auf dem "Blech" installieren?
PS: was verstehst du unter lokaler Windows 2022 Server ? Du betreibst dann auf z.B. einem Hyper-V zwei oder mehr virtuelle Server oder willst du das alles nur auf dem "Blech" installieren?
Erstmal vielen Dank für die ausführliche Erklärung, so werde ich das austesten.
Unter "lokaler Windows 2022 Server" war gemeint das ein Blech als Hyper-V Host kommt, mit weiteren VMs für jeweils DC, RDS-CB, RDS-SH, etc.
Zitat von @nEmEsIs:
Azure AD Sync installieren und einrichten, am besten nicht auf dem DC ist aber Lizenztechnisch manchmal nicht anderes möglich.
(Man braucht keinen lokalen Exchange)
Nur die Exchange Erweiterungen (Schemaerweiterung) mit dem Azure AD mitinstallieren und die Attribute stehen zur Verfügung.
Azure AD Sync installieren und einrichten, am besten nicht auf dem DC ist aber Lizenztechnisch manchmal nicht anderes möglich.
(Man braucht keinen lokalen Exchange)
Nur die Exchange Erweiterungen (Schemaerweiterung) mit dem Azure AD mitinstallieren und die Attribute stehen zur Verfügung.
Interessant. Also wie gesagt, wir machen bei neuen ADs immer firma.de als Domäne, installieren den AD-Sync und der Drops ist gelutscht. Dann wird beim anlegen von Benutzern der %benutzername% direkt für die Mail-Adresse verwendet. %benutzername%@firma.de. Lizenz zuweisen und fertig ist das schon. Nur ein Kennwort für alle Logins und in Kombination mit Single-Sign-On sind die Benutzer extrem glücklich.
Wäre mir jedenfalls nicht aufgefallen, dass mir die Exchange-Attribute irgendwie fehlen würden. Die Konfiguration nimmt man eh im O365 vor?
