none
Azure AD Connect - Verständnissfrage

    Frage

  • Hallo zusammen,

     

    Ich habe mir jetzt schon diverse Anleitungen von Microsoft durchgelesen aber noch ein Verständnissproblem. 

    Folgende Situation: Wir besitzen aktuell eine kleinere lokale AD-Infrastruktur die ich seit Oktober betreue. Da wir sowieso schon über einen Office 365 Plan verfügen möchte ich auch gerne die Vorteile der Azure DS für uns nutzen, wie z.B. die Connectoren für SSO für diverse Plattformen wie Salesforce oder auch Atlassian. Mein Vorhaben ist nun erst einmal einen saubere Synchronisation zwischen den lokalen AD-Benutzern und den schon existierenden Benutzern in der Azure bzw. Office 365 herzustellen. 

     

    Ich habe Azure AD Connect installiert, mir eine Test OU mit meinem Benutzer angelegt und bin dann erstmal in den Fehler gelaufen das mein lokaler Benutzer nicht den gleichen UPN wie der Benutzer in der Cloud hatte. Sprich vorname.nachname@xxx.local anstatt vorname.nachname@yyy.de und hatte dann doppelte Benutzer. 

    Soweit so gut, Sync beendet, meinen UPN lokal auf vorname.nachname@yyy.de angepasst und das Ganze nochmal von vorne. 

    Nun meldet die Azure mir aber einen Sync Fehler aufgrund eines doppelten Attributes? Und zwar das die ProxyAdresse gleich lautet. Ich dachte er bezieht sich auf den UPN ?

    Ich benötige den Wert des Email Feldes aber im lokalen AD für eine andere Anwendung. 

    Wie kann ich den Fehler beheben ,bzw. das die Benutzer trotzdem über einen Softmatch zusammen geführt werden

    Mein endgültiges Ziel ist es, das sich alle Benutzer nur mit ihrer Emailadresse (UPN) vorname.nachname@yyy.de bei allen Diensten und auch im Windows anmelden können. 

    Wäre es eine Lösung das Attribut proxyadresses aus dem Sync zu nehmen, da der UPN ja dann sowieso schon gleich der Emailadresse ist? 

    Dienstag, 13. Februar 2018 10:11

Antworten

  • So ich glaube ich habe den Fehler gefunden, dein Hinweis mit den gelöschten Benutzern war Gold wert. Ich hatte ganz vergessen das ich aus einer vorausgegangen Test Synchronisierung noch meinen Benutzer im Papierkorb hatte. Deswegen hat er sich ständig über das doppelte Attribut beschwert. *kopfauftischhau*

    Gern :) Und lass den Tisch ganz :D

    

    Ich habe den Papierkorb geleert und nach einem erneuten Sync hat er jetzt meinen Benutzer als "Windows Server AD" markiert. Kennwort wird bei Änderung auch synchronisiert. 

    In Office 365 steht bei mir "Mit Active Directory synchronisert" , vielleicht unterscheidet sich das auch von OS bzw AAD Connect Version zur nächsten.

    Womit er jetzt synchronisiert hat , UPN und Email Feld im lokalen AD gleich des Benutzernamens im Office bzw. Azure Portal. Proxyaddresses ist leer.

    Ist das jetzt der korrekte Weg?

    Der UPN ist der Anmeldename des Benutzers, das E-Mail-Feld hat damit nichts zu tun.

    Für die meisten Anwendungsfälle ist das "der korrekte Weg". Schau dir auch mal diesen Link an:

    https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-design-concepts#sourceanchor

    Solltet Ihr irgendwann zu Exchange Online wechseln wird das Attribut proxyAddresses sicherlich schnell interessant. Für den einfachen User-Sync kannst Du es so lassen. Es werden aber auch noch mehr Attribute zu O365 synchronisiert, wenn ausgefüllt, und du kannst auch weitere CustomAttributes festlegen wenn benötigt.



    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365
    Microsoft 365




    • Als Antwort markiert exchangekoala Dienstag, 13. Februar 2018 15:09
    Dienstag, 13. Februar 2018 14:42

Alle Antworten

  • Hallöchen,

    das Attribut proxyAddresses wird genutzt um den O365 Nutzern E-Mail-Aliase für die Exchange Postfächer zuzuweisen.

    Ich nehme an im Attribut "mail" steht das gleiche wie in proxyAddresses nur mit einem SMTP: davor und weiteren smtp:-Einträgen drin?

    Es kann auch sein, das eine der Adressen im proxyAddresses Attribut für ein anderes Benutzerkonto (auch in gelöschte Benutzer nachsehen) verwendet wird. Das findest Du ganz leicht über PowerShell heraus mit

    Get-Recipient


    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365
    Microsoft 365




    Dienstag, 13. Februar 2018 11:49
  • Hallo Sandro,

    Danke für deine Rückmeldung. 

    Ich habe gerade noch einmal nachgeschaut, standardmäßig sind bei uns nur die "Email" Felder ausgefüllt und das Feld proxyaddresses leer.  Auf das Emailfeld bin ich aber angewiesen.

    Wir verwenden aktuell weder lokal einen Exchange, noch ist ein Umzug in den Online Exchange geplant. Hoffentlich aber in der Zukunft, da wir aktuell noch mit der Gsuite *würg* unterwegs sind.

    Das Problem ist, das die Outlook 365 Konten in der Vergangenheit unabhängig vom Active Directory angelegt wurden. Bis letzte Woche liefen die Konten noch auf xxx.onmicrosoft.com. Ich habe nun unsere Domain verifiziert und die Domäne der Benutzerkonten auf unsere richtige Emaildomain angepasst.

    Nun beschwert sich AAD das er das Konto nicht synchronisieren kann, da die Emailadresse bereits vorhanden ist, anstatt diese miteinander zu verknüpfen. Obowohl diese genau gleich lauten

    Ich hatte nun auch schon versucht das Emailfeld lokal zu leeren und nur die Proxyadresse zu verwenden. Leider ohne Erfolg. 

    Das Objekt kann nicht aktualisiert werden, weil die folgenden dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: "ProxyAddresses SMTP:jonny.XXX@YYYYY.de;UserPrincipalName jonny.XXX@YYYY.de;". Korrigieren oder entfernen Sie die doppelt vorhandenen Werte in Ihrem lokalen Verzeichnis.

    Foto kann ich leider noch nicht hochladen, da mein Account noch nicht verifiziert ist.



    Dienstag, 13. Februar 2018 13:39
  • Das ist kein Problem von Managed auf Federated umzustellen.

    Was zeigt Dir ein Get-MsolDomain an? Ist Deine AD-Domain im Status Federated?

    Trag im Feld proxyAddresses mal bitte alle E-Mailadressen ein, die der Nutzer auch online hat (ausgenommen der Tenant-Domain)

    Die primäre Adresse muss dabei mit SMTP: beginnen und alle Aliase mit smtp:

    Gibt es in Deinem AD Dopplungen in den mail bzw proxyAddresses Attributen unter den Nutzern? Also hat Nutzer A ggf. den selben Wert in den genannten Attributen wir Nutzer B?


    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365
    Microsoft 365





    Dienstag, 13. Februar 2018 13:43
  • 

    Get-MsolDomain gibt mir alle Domains als "Verified" & "Managed" aus.

    So ich glaube ich habe den Fehler gefunden, dein Hinweis mit den gelöschten Benutzern war Gold wert. Ich hatte ganz vergessen das ich aus einer vorausgegangen Test Synchronisierung noch meinen Benutzer im Papierkorb hatte. Deswegen hat er sich ständig über das doppelte Attribut beschwert. *kopfauftischhau*

    Ich habe den Papierkorb geleert und nach einem erneuten Sync hat er jetzt meinen Benutzer als "Windows Server AD" markiert. Kennwort wird bei Änderung auch synchronisiert. 

    Womit er jetzt synchronisiert hat , UPN und Email Feld im lokalen AD gleich des Benutzernamens im Office bzw. Azure Portal. Proxyaddresses ist leer.

    Ist das jetzt der korrekte Weg?


    Dienstag, 13. Februar 2018 14:30
  • So ich glaube ich habe den Fehler gefunden, dein Hinweis mit den gelöschten Benutzern war Gold wert. Ich hatte ganz vergessen das ich aus einer vorausgegangen Test Synchronisierung noch meinen Benutzer im Papierkorb hatte. Deswegen hat er sich ständig über das doppelte Attribut beschwert. *kopfauftischhau*

    Gern :) Und lass den Tisch ganz :D

    

    Ich habe den Papierkorb geleert und nach einem erneuten Sync hat er jetzt meinen Benutzer als "Windows Server AD" markiert. Kennwort wird bei Änderung auch synchronisiert. 

    In Office 365 steht bei mir "Mit Active Directory synchronisert" , vielleicht unterscheidet sich das auch von OS bzw AAD Connect Version zur nächsten.

    Womit er jetzt synchronisiert hat , UPN und Email Feld im lokalen AD gleich des Benutzernamens im Office bzw. Azure Portal. Proxyaddresses ist leer.

    Ist das jetzt der korrekte Weg?

    Der UPN ist der Anmeldename des Benutzers, das E-Mail-Feld hat damit nichts zu tun.

    Für die meisten Anwendungsfälle ist das "der korrekte Weg". Schau dir auch mal diesen Link an:

    https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-design-concepts#sourceanchor

    Solltet Ihr irgendwann zu Exchange Online wechseln wird das Attribut proxyAddresses sicherlich schnell interessant. Für den einfachen User-Sync kannst Du es so lassen. Es werden aber auch noch mehr Attribute zu O365 synchronisiert, wenn ausgefüllt, und du kannst auch weitere CustomAttributes festlegen wenn benötigt.



    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365
    Microsoft 365




    • Als Antwort markiert exchangekoala Dienstag, 13. Februar 2018 15:09
    Dienstag, 13. Februar 2018 14:42
  • Habe gerade nochmal im Office 365 Portal nachgeschaut, dort steht jetzt auch "Mit Active Directory synchronisert". Ich hatte eben zuerst im Azure Portal nachgeschaut.

    Ok, also sollte ich das Attribut proxyadresses im besten Fall schon mal gleich setzen mit der richtigen Email? Bezüglich des Source Anchors habe ich die msDS-ConsistencyGuid ausgewählt. Scheint ja auch definitiv der bessere Weg für die Zukunft zu sein.

    Vielen Dank schon einmal für deine Unterstützung! =)


    Dienstag, 13. Februar 2018 15:02
  • Ok, also sollte ich das Attribut proxyadresses im besten Fall schon mal gleich setzen mit der richtigen Email?

    Das kannst du machen, wird aber erst interessant wenn Ihr tatsächlich Mails über O365 abwickelt. Das ist mal eine Aufgabe wenn man mal gerade Luft hat und das nicht bei einer Migration noch mit erledigen will - da gibt es ja bekanntermaßen genug zu tun.

    Wenn dir meine Antworten weitergeholfen haben, freue ich mich über einen Klick auf "Als Antwort markieren" oder "Als hilfreich markieren".


    Freundliche Grüße

    Sandro Reiter
    Consultant Cloud Infrastructure

    Microsoft Azure
    Office 365
    Microsoft 365





    Dienstag, 13. Februar 2018 15:05