(0) exportieren Drucken
Alle erweitern

Vorbereiten der Verzeichnissynchronisierung

Veröffentlicht: Juni 2012

Letzte Aktualisierung: November 2014

Betrifft: Azure, Office 365, Windows Intune

noteHinweis
Dieses Thema gilt ggf. nicht vollständig für Benutzer von Microsoft Azure in China. Weitere Informationen zum Azure-Dienst in China finden Sie unter windowsazure.cn.

Als Administrator müssen Sie einige Vorbereitungsmaßnahmen treffen, bevor Sie Ihr lokales Active Directory mit Microsoft Azure Active Directory (Microsoft Azure AD) synchronisieren.

Wenn Sie einmaliges Anmelden bereitstellen, wird empfohlen, zuerst das einmalige Anmelden und dann die Verzeichnissynchronisierung einzurichten.

Prüfen Sie nach der Einrichtung des einmaligen Anmeldens, ob folgende Aussagen zutreffen:

  • Sie verfügen über die erforderliche Software.

  • Sie haben die richtigen Berechtigungen eingerichtet.

  • Die Aspekte rund um die Leistung der Verzeichnissynchronisierung sind Ihnen bekannt.

Die Aktivierung der Verzeichnissynchronisierung sollte als langfristige Entscheidung angesehen werden. Nachdem Sie die Verzeichnissynchronisierung aktiviert haben, können Sie synchronisierte Objekte ausschließlich mithilfe Ihrer lokalen Active Directory-Verwaltungstools bearbeiten. Weitere Informationen finden Sie unter Verzeichnissynchronisierung und Autoritätsquelle.

Für alle Kunden, die Azure Active Directory und Office 365 nutzen, gilt ein Standardgrenzwert von 50.000 E-Mail-aktivierten Objekten (Benutzer, E-Mail-aktivierte Kontakte und Gruppen).
Dieser Grenzwert bestimmt, wie viele Objekte Sie als Mandant erstellen können.
Objekte können mit DirSync, PowerShell oder der GRAPH-API erstellt werden.

Bei der Überprüfung Ihrer ersten Domäne wird diese Objektgrenze automatisch auf 300.000 Objekte erhöht.
Jedem Mandanten wird nur eine Erhöhung gewährt.

ImportantWichtig
Wenn Sie eine Domänenüberprüfung ausgeführt haben und mehr als 300.000 Objekte synchronisieren müssen ODER keine zu überprüfende Domäne besitzen und mehr als 50.000 E-Mail-aktivierte Objekte synchronisieren müssen, fordern Sie beim Azure Active Directory-Support eine Erhöhung der Objektkontingentgrenze an.

Wenn Ihr lokales Active Directory weniger als E-Mail-aktivierte 50.000 Objekte aufweist, können Sie die Verzeichnissynchronisierung mit Microsoft SQL Server 2008 Express bereitstellen.
Wenn das lokale Active Directory jedoch mehr als 50.000 E-Mail-aktivierte Objekte enthält, müssen Sie die Verzeichnissynchronisierung mit einer vollständigen Instanz von SQL Server bereitstellen. Die erforderlichen vollständigen Instanzen von SQL Server sind Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2008 R2 oder Microsoft SQL Server 2012. Weitere Informationen zum Bereitstellen der Synchronisierung für eine eigenständige Version von SQL Server finden Sie unter Installieren des Verzeichnissynchronisierungstools für SQL Server.

In diesem Abschnitt werden die Computeranforderungen beschrieben, die zum Ausführen des Verzeichnissynchronisierungstools erforderlich sind. Das Verzeichnissynchronisierungstool kommuniziert mit Ihren Domänencontrollerservern. In der Standardinstallation des Verzeichnissynchronisierungstools ist eine Version von Microsoft SQL Server 2012 Express SP1 enthalten.

Der für die Verzeichnissynchronisierung verwendete Computer muss folgende Anforderungen erfüllen:

  • Er muss unter dem Betriebssystem Windows Server ausgeführt werden. Die folgenden Betriebssystemversionen von Windows Server werden unterstützt:

    • 64-Bit-Edition von Windows Server 2008 Standard, Enterprise oder Datacenter Edition mit SP1 oder höher

    • Windows Server 2008 R2 Standard, Enterprise oder Datacenter Edition mit SP1 oder höher

    • Windows Server 2012 Standard oder Datacenter

    • Windows Server 2012 R2 Standard oder Datacenter

  • Er muss Active Directory angehören. Der Computer muss der Active Directory-Gesamtstruktur angehören, die synchronisiert werden soll. Bei einem erweiterten Koexistenzszenario muss diese Anforderung erfüllt werden, da DirSync-Server explizit eine Verbindung mit allen Domänencontrollern in der Gesamtstruktur herstellt und diese auflistet, um Rückschreibeberechtigungen festzulegen. Dies trifft nicht zu, wenn keine Hybridbereitstellung aktiviert ist.
    Der Computer muss zudem in der Lage sein, für alle Domänen in der Gesamtstruktur eine Verbindung mit allen anderen Domänencontrollern herzustellen. Eine Gesamtstruktur umfasst eine oder mehrere Active Directory-Domänen mit identischen Klassen- und Attributdefinitionen, Website- und Replikationsinformationen sowie Suchfunktionen für die vollständige Gesamtstruktur.

  • Auf dem Computer muss Microsoft .NET Framework 3.5 SP1 und Microsoft .NET Framework 4.5.1 ausgeführt werden. Bei Verwendung von Windows Server 2008 ist .NET Framework bereits installiert. Andernfalls können Sie es an den folgenden Orten herunterladen:

  • Auf dem Computer muss Windows PowerShell ausgeführt werden. Bei Verwendung von Windows Server 2003 müssen Sie Windows PowerShell herunterladen. Bei Verwendung von Windows Server 2008 müssen Sie Windows PowerShell aktivieren. Weitere Informationen finden Sie unter Installieren von Windows PowerShell auf dem Verzeichnissynchronisierungscomputer.

  • Der Computer muss sich in einer Umgebung mit Zugriffssteuerung befinden. Der Zugriff auf den Computer, auf dem das Verzeichnissynchronisierungstool ausgeführt wird, muss auf Benutzer beschränkt sein, die Zugriffsrechte für die Active Directory-Domänencontroller und andere vertrauliche Netzwerkkomponenten besitzen. Nur Benutzer oder Administratoren, die über die notwendigen Berechtigungen verfügen, um Änderungen an Domänencontrollern in Active Directory vorzunehmen, sollten Zugriff auf diesen Computer haben.

noteHinweis
Auf dem Server, auf dem das Verzeichnissynchronisierungstool ausgeführt wird, wird jetzt Windows Server 2012 unterstützt.

ImportantWichtig
Sie können nur einen Computer installieren, auf dem das Verzeichnissynchronisierungstool zwischen einem lokalen Active Directory und einem Office 365-Mandanten ausgeführt wird.

In der folgenden Tabelle sind die Anforderungen für Domänencontroller aufgeführt, die in der bzw. den Active Directory-Gesamtstrukturen bereitgestellt werden, die mit der Office 365-Umgebung kommunizieren.

 

Komponente Anforderungen

Active Directory-Gesamtstruktur

  • Windows Server 2003 oder höher im Gesamtstrukturfunktionsmodus

Domänencontroller

  • Windows Server 2003 Standard Edition oder Enterprise Edition mit Service Pack 1 (SP1) in der 32-Bit- oder 64-Bit-Version

  • Windows Server 2008 Standard oder Enterprise, Windows Server 2008 R2 Standard oder Enterprise oder Windows Server 2008 Datacenter oder Windows Server 2008 R2 Datacenter in der 32-Bit- oder 64-Bit-Version.

  • Windows Server 2012 Standard oder Datacenter.

ImportantWichtig
In jeder Active Directory-Website, in der Exchange 2010 SP2-Hybridserver installiert werden sollen, muss mindestens ein globaler Katalogserver konfiguriert sein.

Wenn Sie das Verzeichnissynchronisierungstool installieren, wird vom Konfigurations-Assistenten ein Dienstkonto zum Lesen im lokalen Active Directory und zum Schreiben in Azure AD erstellt. Der Assistent erstellt dieses Konto unter Verwendung Ihrer lokalen Active Directory-Administratorberechtigungen und Ihrer Cloudadministratorberechtigungen, die Sie im Setup angegeben haben.

Um das Verzeichnissynchronisierungstool auszuführen, benötigen Sie Administratorberechtigungen für:

  • Den Computer, auf dem das Verzeichnissynchronisierungstool ausgeführt wird.

  • Das lokale Active Directory Ihres Unternehmens.

  • Das unternehmenseigene Administratorkonto für den Microsoft-Cloud-Dienst (siehe Azure AD-Anmeldeinformationen).

Beim erstmaligen Ausführen des Verzeichnissynchronisierungstools werden alle relevanten Objekte (Benutzerkonten und Sicherheitsgruppen) in Azure AD kopiert. Vor diesem Vorgang müssen Sie die Anzahl der zu kopierenden Objekte kennen, um dessen Auswirkungen auf die Netzwerkantwortzeit und die Computer einschätzen zu können, auf denen Microsoft Exchange Server ausgeführt wird.

noteHinweis
Der Azure AD-Dienst unterstützt die Synchronisierung von bis zu 50.000 E-Mail-aktivierten Objekten. Wenn Sie mehr als 50.000 E-Mail-aktivierte Objekte synchronisieren möchten, wenden Sie sich an den Support.

TipTipp
Sie verwenden Office 365? Objekte, die über den lokalen Verzeichnisdienst synchronisiert wurden, werden sofort in der globalen Adressliste (GAL) angezeigt. Es kann jedoch bis zu 24 Stunden dauern, bis diese Objekte im Offlineadressbuch (OAB) und in Lync Online angezeigt werden.

Um die Verzeichnissynchronisierung einzurichten, müssen Sie einen Computer als Verzeichnissynchronisierungscomputer bestimmen und dann das Verzeichnissynchronisierungstool auf diesem Computer installieren.

Die Leistung des Verzeichnissynchronisierungstools ist sowohl von der Größe und Komplexität der kundeneigenen Active Directory-Bereitstellung als auch von der Hardware abhängig, auf der das Verzeichnissynchronisierungstool ausgeführt wird. Wenn das Verzeichnissynchronisierungstool auf unzureichender Hardware ausgeführt wird, wird die Leistung beeinträchtigt, sodass sich die Latenz erhöht oder sogar Fehler beim Weitergeben lokaler Daten an die Cloud auftreten.

Für Active Directory-Bereitstellungen mit mehr als 50.000 E-Mail-aktivierten Objekten wird die Bereitstellung des Verzeichnissynchronisierungstools mit einer vollständigen SQL-Instanz (Bereitstellung einer anderen als einer SQL Express-SKU, z. B. SQL Server Standard, Enterprise oder DataCenter) empfohlen. Auch Kunden mit weniger als 50.000 E-Mail-aktivierten Objekten können eine vollständige SQL-Instanz verwenden. Die SQL Express-Version, die standardmäßig mit dem Verzeichnissynchronisierungstool installiert wird, ist jedoch ausreichend.

In der folgenden Tabelle sind die minimalen empfohlenen Hardwareanforderungen für den Verzeichnissynchronisierungscomputer im Verhältnis zur Anzahl der Objekte in Ihrem lokalen Active Directory aufgeführt.

 

Anzahl der Objekte im Active Directory CPU Arbeitsspeicher Festplattengröße

Weniger als 10.000

1,6 GHz

4 GB

70 GB

10,000–50,000

1,6 GHz

4 GB

70 GB

50,000–100,000

Vollständige SQL Server-Version erforderlich

1,6 GHz

16 GB

100 GB

100,000–300,000

Vollständige SQL Server-Version erforderlich

1,6 GHz

32 GB

300 GB

300,000–600,000

Vollständige SQL Server-Version erforderlich

1,6 GHz

32 GB

450 GB

Mehr als 600.000

Vollständige SQL Server-Version erforderlich

1,6 GHz

32 GB

500 GB

Verschiedene Verzeichnissynchronisierungstool-Prozesse beanspruchen Speicherplatz auf der Festplatte. Der vom Verzeichnissynchronisierungstool belegte Speicherplatz erhöht sich abhängig von mehreren Faktoren, u. a. der Größe und Komplexität der Active Directory-Infrastruktur, von der das Verzeichnissynchronisierungstool synchronisiert wird.

Bei den Festplattenkapazitäten in der Tabelle oben handelt es sich um Schätzungen des Speicherplatzes, der zur Synchronisierung einer Active Directory-Bereitstellung der angegebenen Größe insgesamt erforderlich ist.

Vom Verzeichnissynchronisierungstool wird standardmäßig Microsoft SQL Server 2008 R2 Express Edition installiert. Die Datendateien werden im selben Verzeichnis wie die Produktdateien der Microsoft Online-Verzeichnissynchronisierung gespeichert (also unter dem bei der Installation des Verzeichnissynchronisierungstools angegebenen Pfad C:\Programme\Microsoft Online Directory Sync). Der Speicherort dieser Datenbankdateien kann für SQL Server 2008 R2 Express Edition nicht konfiguriert werden.

Bei Kunden, die eine vorhandene SQL Server-Instanz verwenden, ist für das Verzeichnissynchronisierungstool keine bestimmte Festplattenkonfiguration erforderlich oder vorgeschrieben. Computer, deren Festplattenkonfiguration für SQL optimiert ist, erzielen beim Verzeichnissynchronisierungsprozess jedoch eine höhere Gesamtleistung.

Damit sie sich bei Microsoft Online Services anmelden können, müssen Ihre Benutzer als Anmeldeinformationen eine Kombination aus einem Benutzernamen und einem Kennwort angeben.
Ein mögliches Format für einen Benutzernamen ist das lokale UPN-Attribut (User Principal Name, Benutzerprinzipalname), das auch als Benutzeranmeldename bezeichnet wird.
Wenn der lokale UPN verwendet wird, muss das UPN-Attribut eine öffentlich routbare Domäne verwenden.
Unter bestimmten Umständen ist die lokale Domäne jedoch nicht routbar.
Dies gilt z. B. für Domänen mit einer Ebene, etwa .local oder .intranet.

In diesem Fall können Sie z. B. ein alternatives UPN-Suffix zu Ihrem Active Directory-Verzeichnis hinzufügen.
Im Folgenden finden Sie Anleitungen zum Hinzufügen eines alternativen Suffixes.

Als Option können Sie auch eine alternative Anmelde-ID konfigurieren. Dies ist die empfohlene Methode.
Weitere Informationen finden Sie unter Verwenden alternativer Anmelde-IDs mit Windows Azure Active Directory.

Sie müssen ein alternatives UPN-Suffix hinzufügen, um die Unternehmensanmeldeinformationen der Benutzer mit der Office 365-Umgebung zu verknüpfen. Ein UPN-Suffix entspricht dem Teil des UPNs, der sich rechts vom @-Zeichen befindet. Für das einmalige Anmelden verwendete UPNs dürfen ausschließlich Buchstaben, Ziffern, Punkte, Bindestriche und Unterstriche enthalten.

  1. Klicken Sie auf Start, auf Verwaltung und dann auf Active Directory-Domänen und -Vertrauensstellungen.

  2. Melden Sie sich bei einem Active Directory-Domänencontroller Ihres Unternehmens an.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Eigenschaften.

  4. Wählen Sie die Registerkarte UPN-Suffixe aus, geben Sie ein alternatives UPN-Suffix für die Gesamtstruktur ein, und klicken Sie dann auf Hinzufügen.

  5. Wiederholen Sie Schritt 3, um zusätzliche alternative UPN-Suffixe hinzuzufügen.

Wenn Sie die Active Directory-Synchronisierung noch nicht eingerichtet haben, können Sie diesen Schritt überspringen und mit dem nächsten Abschnitt fortfahren.

Wenn Sie die Active Directory-Synchronisierung bereits eingerichtet haben, stimmt der Benutzer-UPN für Office 365 u. U. nicht mit dem lokalen Benutzer-UPN überein, der in Active Directory definiert wurde. Dies kann vorkommen, wenn einem Benutzer vor der Überprüfung der Domäne eine Lizenz zugewiesen wurde.

Sie beheben dieses Problem, indem Sie die Benutzer-UPNs mit Windows PowerShell aktualisieren, um sicherzustellen, dass die Office 365-UPNs der Benutzer mit deren Benutzernamen und Domäne im Unternehmen übereinstimmen.

Nachdem Sie optional das einmalige Anmelden eingerichtet und Ihren Verzeichnissynchronisierungscomputer vorbereitet haben, sind Sie bereit für den Schritt Aktivieren der Verzeichnissynchronisierung.

noteHinweis
Falls Sie Fragen zum Inhalt dieses Artikels haben oder allgemeines Feedback geben möchten, senden Sie eine Nachricht an das Azure Active Directory Discussion Forum.

Siehe auch

Konzepte

Vorbereiten des einmaligen Anmeldens
Azure AD-Anmeldeinformationen

Weitere Ressourcen

Bewährte Methoden für das Bereitstellen und Verwalten des Azure Active Directory-Synchronisierungstools
Liste der vom Azure Active Directory-Synchronisierungstool synchronisierten Attribute

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft