Office 365, Azure AD Connect und das leidige Exchange-On-Prem-Problem
Hallo Liebe Community,
ich weiß, das Thema hat einen Bart bis unter die Erde, aber ich komme einfach nicht weiter.
Ich habe ein AD (Win Server 2012 R2 Datacenter), in welchem früher ein Exchange 2013 betrieben wurde. Das hat soweit auch funktioniert.
Nun sind wir mit den Postfächern nach Office 365 umgezogen. Migration hat soweit auch gepasst, Hybridbereitstellung war einwandfrei.
Meine Aufgabe ist, nun den Exchange zu eliminieren. Gesagt, getan. Nun kann man aber nur den von Microsoft unsupporteten Weg mit ADSI-Edit, Powershell-cmdlets oder ADUC zur Verwaltung gehen (Verwaltung in O365 geht ja nicht, verweigert ja alles).
Lösche ich den AD-Connect (deinstallieren und Über MSOL Set-MsolDirSyncEnabled deaktivieren), kann ich selbstverständlich die User in O365 verwalten.
Sobald ich aber den AD Connect wiederherstelle, geht das eben nicht mehr. Microsoft sagt ja: Zur Verwaltung (damit es supportet ist) muss ein on-premise Exhcange betrieben werden.
Auf der anderen Seite sagt ein Techniker im Technet, dass man den AD Connect auch ohne die Exchange Attribute erstellen kann (manuelle Einrichtung) und man somit einen Sync hätte aber die User auch in O365 verwalten kann. Ich hab nur noch nicht herausgefunden, wie das gehen soll (hab schon so vieles probiert bei der AD-Sync Config).
Eigentlich reicht uns die normale PW-Hash-Synchronisierung, damit die Passwörter halt gleich sind und die Kennwortrückschreibung, damit der User, der sein Passwort online ändert, sich auch wieder in der Domäne am Rechner anmelden kann, mehr brauchts erstmal nicht.
Wie kann ich einen entsprechenden Connect hinbekommen, sodass PWs gesynced werden, ich die O365 User aber vollständig online verwalten kann?
(Verteiler)Gruppenmitgliedschaften reichen auch, wenn die rein online zu managen sind. Die AD Gruppen werden on-prem gemacht.
Muss man evtl. das AD-Schema on-prem wieder "zurückbauen", sodass die ExchangeAttribute gar nicht mehr exisitieren und somit nicht mehr gesynced werden?
Oder hat man einfach gar keine Möglichkeit, weil Azure bzw O365 automatisch sämtliche Verwaltung online blockiert, sobald ein AAD Connect existiert (egal in welcher Form)?
Ich hoffe, ihr könnt mir ein paar Tipps geben.
Grüße
Ketanest
ich weiß, das Thema hat einen Bart bis unter die Erde, aber ich komme einfach nicht weiter.
Ich habe ein AD (Win Server 2012 R2 Datacenter), in welchem früher ein Exchange 2013 betrieben wurde. Das hat soweit auch funktioniert.
Nun sind wir mit den Postfächern nach Office 365 umgezogen. Migration hat soweit auch gepasst, Hybridbereitstellung war einwandfrei.
Meine Aufgabe ist, nun den Exchange zu eliminieren. Gesagt, getan. Nun kann man aber nur den von Microsoft unsupporteten Weg mit ADSI-Edit, Powershell-cmdlets oder ADUC zur Verwaltung gehen (Verwaltung in O365 geht ja nicht, verweigert ja alles).
Lösche ich den AD-Connect (deinstallieren und Über MSOL Set-MsolDirSyncEnabled deaktivieren), kann ich selbstverständlich die User in O365 verwalten.
Sobald ich aber den AD Connect wiederherstelle, geht das eben nicht mehr. Microsoft sagt ja: Zur Verwaltung (damit es supportet ist) muss ein on-premise Exhcange betrieben werden.
Auf der anderen Seite sagt ein Techniker im Technet, dass man den AD Connect auch ohne die Exchange Attribute erstellen kann (manuelle Einrichtung) und man somit einen Sync hätte aber die User auch in O365 verwalten kann. Ich hab nur noch nicht herausgefunden, wie das gehen soll (hab schon so vieles probiert bei der AD-Sync Config).
Eigentlich reicht uns die normale PW-Hash-Synchronisierung, damit die Passwörter halt gleich sind und die Kennwortrückschreibung, damit der User, der sein Passwort online ändert, sich auch wieder in der Domäne am Rechner anmelden kann, mehr brauchts erstmal nicht.
Wie kann ich einen entsprechenden Connect hinbekommen, sodass PWs gesynced werden, ich die O365 User aber vollständig online verwalten kann?
(Verteiler)Gruppenmitgliedschaften reichen auch, wenn die rein online zu managen sind. Die AD Gruppen werden on-prem gemacht.
Muss man evtl. das AD-Schema on-prem wieder "zurückbauen", sodass die ExchangeAttribute gar nicht mehr exisitieren und somit nicht mehr gesynced werden?
Oder hat man einfach gar keine Möglichkeit, weil Azure bzw O365 automatisch sämtliche Verwaltung online blockiert, sobald ein AAD Connect existiert (egal in welcher Form)?
Ich hoffe, ihr könnt mir ein paar Tipps geben.
Grüße
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 454929
Url: https://administrator.de/contentid/454929
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
2 Kommentare
Neuester Kommentar
Was was was?
Du brauchst doch dein ADConnect fürs Dirsync! Warum abbreissen? Hä? Wo läuft dein ADConnect? Testen kannst du die ganze Nummer doch einfach durch die Deaktivierung der Konnectoren im O365. Ja du musst natürlich ohne Exchange dann bei neuen Usern AD Attribute pflegen. Z.B. proxyAdresses und Mail (wichtig!).
MX Records drehen nicht vergessen.
/Edit: Tippfehler
Du brauchst doch dein ADConnect fürs Dirsync! Warum abbreissen? Hä? Wo läuft dein ADConnect? Testen kannst du die ganze Nummer doch einfach durch die Deaktivierung der Konnectoren im O365. Ja du musst natürlich ohne Exchange dann bei neuen Usern AD Attribute pflegen. Z.B. proxyAdresses und Mail (wichtig!).
MX Records drehen nicht vergessen.
/Edit: Tippfehler
Hallo,
Ohne Exchange kann man die Attribute manuell pflegen, was nicht supportet ist.
Man editiert also z.B. per GUI unter AD-Benutzer-und Computer - Eigenschaften - Attributeditor das Attribut ProxyAddresses des Benutzers. ADConnect synchronisiert die Änderungen und im Exchange online tauchen sie wieder auf.
Klappt bei uns, aber die eigentliche Empfehlung ist wohl, den Exchange zusätzlich lokal zu belassen zwechs Pflege der Attribute.
gar nicht.
Grüße
lcer
Ohne Exchange kann man die Attribute manuell pflegen, was nicht supportet ist.
Man editiert also z.B. per GUI unter AD-Benutzer-und Computer - Eigenschaften - Attributeditor das Attribut ProxyAddresses des Benutzers. ADConnect synchronisiert die Änderungen und im Exchange online tauchen sie wieder auf.
Klappt bei uns, aber die eigentliche Empfehlung ist wohl, den Exchange zusätzlich lokal zu belassen zwechs Pflege der Attribute.
Zitat von @ketanest112:
Wie kann ich einen entsprechenden Connect hinbekommen, sodass PWs gesynced werden, ich die O365 User aber vollständig online verwalten kann?
Wie kann ich einen entsprechenden Connect hinbekommen, sodass PWs gesynced werden, ich die O365 User aber vollständig online verwalten kann?
gar nicht.
Grüße
lcer