Exportieren (0) Drucken
Alle erweitern

Verzeichnissynchronisierung und Autoritätsquelle

Veröffentlicht: November 2012

Letzte Aktualisierung: Juni 2015

Betrifft: Azure, Office 365, Windows Intune

In einer Microsoft Azure Active Directory (Microsoft Azure AD)-Umgebung bezeichnet Autoritätsquelle den Speicherort, an dem Active Directory-Objekte, etwa Benutzer und Gruppen, in einer standortübergreifenden Bereitstellung modelliert werden (eine Originalquelle, durch die Kopien eines Objekts definiert sind). Azure AD erfordert für jedes Objekt eine einzelne Autoritätsquelle. Hierdurch wird die Wahrscheinlichkeit verringert, dass Verzeichnisdaten versehentlich überschrieben werden. Standardmäßig werden Azure AD-Verzeichnisobjekte in der Cloud modelliert, d. h., sie müssen mithilfe cloudbasierter Tools bearbeitet werden.

Daher modellieren Sie Objekte in der Cloud, wenn Sie Objekte entweder mit dem entsprechenden Windows PowerShell-Cmdlet oder mit Kontoportaltools wie dem Office 365-Portal erstellen. Alle späteren Änderungen an diesen Objekten werden ebenfalls mit denselben Tools vorgenommen. In diesem Szenario befindet sich die Autoritätsquelle in der Cloud. Weitere Informationen zu den verschiedenen Tools, die Sie verwenden können, um Objekte in Azure AD zu erstellen und zu verwalten, finden Sie unter Verwalten Ihres Azure AD-Verzeichnisses.

Alternativ modellieren Sie, wenn Sie Active Directory-Synchronisierung ausführen, Objekte über Ihr lokales Active Directory. Sobald diese Verzeichnissynchronisierung aktiviert wurde, und nachdem der erste Synchronisierungszyklus abgeschlossen ist, wird die Autoritätsquelle aus der Cloud in das lokale Active Directory übertragen. In diesem Szenario werden Benutzer, Kontakte und Gruppen lokal erstellt und dann in der Cloud synchronisiert. Alle späteren Änderungen an den Cloudobjekten (mit Ausnahme der Lizenzierung) werden über die lokalen Active Directory-Tools modelliert. Die entsprechenden Cloudobjekte sind schreibgeschützt. Administratoren können Cloudobjekte nicht bearbeiten, wenn die Autoritätsquelle lokal ist.

Es gibt drei Szenarios, in denen Sie die Autoritätsquelle eines Objekts möglicherweise ändern: Sie aktivieren, deaktivieren oder reaktivieren Verzeichnissynchronisierung aus einem beliebigen Kontoportal oder mit Windows PowerShell. Die Autoritätsquelle wird übertragen, nachdem Sie die erste Synchronisierung ausgeführt haben.

  • Aktivieren: Wenn Sie die Verzeichnissynchronisierung aktivieren und dann Verzeichnisse synchronisieren, wird die Autoritätsquelle für ein beliebiges Cloudobjekt, das einem lokalen Objekt entspricht, aus der Cloud in Ihr lokales Active Directory übertragen.

    Die Aktivierung der Verzeichnissynchronisierung ist Voraussetzung für folgende Szenarios: Exchange-Hybridbereitstellung, Active Directory-Verbunddienste 2.0 (AD FS 2.0)/einmaliges Anmelden (SSO) und mehrstufige Exchange-Migration.

  • Deaktivieren: Wenn Sie die Verzeichnissynchronisierung deaktivieren, wird die Autoritätsquelle aus dem lokalen Active Directory in die Cloud übertragen.

    Die Deaktivierung der Verzeichnissynchronisierung ist erforderlich, wenn Sie die gesamte Benutzer-, Gruppen-, Kontakt- und Postfachverwaltung mithilfe von Windows PowerShell und Kontoportaltools in die Cloud übertragen möchten. Beispielsweise können Organisationen, die ihre Postfächer mithilfe der Tools für eine mehrstufige Exchange-Migration in die Cloud verschoben haben und nun keine Objekte mehr lokal verwalten möchten, die Verzeichnissynchronisierung deaktivieren.

  • Reaktivieren: Wenn Sie die Verzeichnissynchronisierung reaktivieren, wird die Autoritätsquelle aus der Cloud wieder in Ihr lokales Active Directory übertragen (wo sie zuvor bereits vorhanden war).

Es ist wichtig, die Auswirkungen einer Reaktivierung der Verzeichnissynchronisierung in diesem Szenario zu verstehen. Wenn die Autoritätsquelle aus der Cloud in Ihre lokale Organisation rückübertragen wird, kann es zu Verlust von Verzeichnisdaten kommen.

Nehmen Sie beispielsweise eine Organisation an, die die Verzeichnissynchronisierung im Januar aktiviert und dann synchronisierte Benutzer in der Cloud erstellt hat. Im Juli hat die Organisation die Verzeichnissynchronisierung deaktiviert. Hierdurch wurde die Autoritätsquelle in die Cloud übertragen, in der das Unternehmen die Objekte ab dann bearbeitet hat. Im September hat das Unternehmen beschlossen, AD FS 2.0/SSO bereitzustellen. Es hat dazu die Verzeichnissynchronisierung reaktiviert, damit die Autoritätsquelle in das lokale Active Directory rückübertragen wird.

In diesem Beispiel würden, wenn die Verzeichnissynchronisierung reaktiviert und ausgeführt wird, alle zwischen Juli und September an Cloudobjekten vorgenommenen Änderungen überschrieben und gingen verloren.

Die folgenden Variablen haben Einfluss darauf, ob es in diesem Beispiel dazu kommt, dass Daten für Cloudobjekte verloren gehen:

  • Die SMTP- (Simple Mail Transfer Protocol) und GUID-Abgleichsfunktionalität, die von der Verzeichnissynchronisierung im Reaktivierungsszenario verwendet wird

  • Der Unterschied zwischen den Benutzereigenschaftsdaten und den beiden einander entsprechenden Objekten in deren jeweiligen Verzeichnissen (Ihr lokales Active Directory und das Cloudverzeichnis)

Sie müssen diese Variablen verstanden haben, damit Sie Ihre Umgebung für die Übertragung der Autoritätsquelle vorbereiten können. Auf diese Weise können Sie den Verlust von Verzeichnisdaten minimieren. Insbesondere können bei Datenverlust im Zusammenhang mit E-Mail-Proxyadressen Probleme mit dem E-Mail-Fluss und der Anmeldung für Benutzer entstehen. Daher sollte der Schwerpunkt Ihrer Vorbereitung auf der Auswertung liegen, wie Sie Ihre Proxyadressen für das E-Mail-Routing in Ihrer aktuellen Messagingimplementierung verwenden.

  • Abgleichsfunktionalität 1: GUID-Abgleichslogik. Wenn Sie die Verzeichnissynchronisierung reaktivieren, werden Objekte im lokalen Active Directory mit Objekten in der Cloud entsprechend der vorherigen Verzeichnissynchronisierungs-GUID (objectGUID) der Cloudobjekte abgeglichen. Wird eine Übereinstimmung gefunden, wird vom Verzeichnissynchronisierungsprozess ein GUID-Abgleich vorgenommen, und die Zielobjektdaten in den Cloudobjekten werden mit den Daten der entsprechenden lokalen Objekte überschrieben.

  • Abgleichsfunktionalität 2: SMTP-Abgleichslogik. Wird von der Verzeichnissynchronisierung keine GUID-Übereinstimmung in der Cloud gefunden, wird ein als SMTP-Abgleich bezeichneter Vorgang verwendet. Bei diesem Vorgang gleicht die Verzeichnissynchronisierung einander entsprechende Objekte gemäß der primären SMTP-Adresse ab. Wenn die primäre SMTP-Adresse eines Zielobjekts (Cloudobjekt) mit der primären SMTP-Adresse eines Objekts in der lokalen Organisation übereinstimmt, werden die Daten des Cloudobjekts mit den Daten des lokalen Objekts überschrieben.

Wenn weder ein GUID- noch ein SMTP-Abgleich vorgenommen werden kann, wird durch den Verzeichnissynchronisierungsvorgang ein neues Objekt in der Cloud erstellt, das über das lokale Active Directory modelliert wird.

  • Unterschiede bei den Benutzereigenschaften. Umfang und Wesen der Unterschiede zwischen einander entsprechenden Benutzerobjekten in den lokalen und den Cloudverzeichnissen sind wichtige Aspekte.

ImportantWichtig
Wenn Sie während des Zeitraums, in dem sich die Autoritätsquelle in der Cloud befand, keine oder nur geringfügige Änderungen an den Benutzerobjekten vorgenommen haben, ist das Risiko von Problemen beim E-Mail-Fluss gering. Wenn Sie hingegen Änderungen an SMTP-Adressen (primäre, sekundäre, Proxy-, Zieladresse usw.) vorgenommen haben, um standortübergreifendes Routing zu ermöglichen, dann müssen Sie sicherstellen, dass der E-Mail-Fluss durch die Reaktivierung der Verzeichnissynchronisierung nicht unterbrochen wird.

Bevor Sie die Verzeichnissynchronisierung reaktivieren, sollten Sie unbedingt die vorhandenen Cloudobjektdaten sichern und dann auswerten, wie Sie die SMTP-Adressierung in der Cloud konfiguriert haben.

Bevor Sie die Verzeichnissynchronisierung reaktivieren, empfiehlt es sich, Ihre Cloudbenutzerobjektdaten zu sichern. Sie sollten eine Sicherung auch dann erstellen, wenn Sie seit dem letzten Deaktivieren der Verzeichnissynchronisierung nur geringfügige Änderungen an Benutzerobjekten vorgenommen haben.

So erstellen Sie eine Sicherungskopie der Cloudbenutzerobjektdaten

  1. Stellen Sie aus Windows PowerShell für Exchange eine Verbindung mit der Cloud her. Weitere Informationen zum Installieren von und Herstellen einer Remoteverbindung mit Windows PowerShell finden Sie unter Verwenden der Windows PowerShell in Exchange Online.

  2. Nachdem Sie die Verbindung mit der Cloud hergestellt haben, führen Sie das folgende Cmdlet aus:

    Get-Mailbox |select emailaddresses, name, userprincipalname, identity|export-csv -path C:\export\userlist.csv

    Mit diesem Cmdlet werden alle Benutzerdaten in die Datei Userlist.csv extrahiert. Diese Datei befindet sich im Verzeichnis Export.

Wenn Sie einen Rollback der Reaktivierung ausführen möchten, können Sie den aktuellen Zustand der Benutzerobjekte mithilfe von Userlist.csv wiederherstellen. Ein Rollback einer Reaktivierung ist ein manuell auszuführender Vorgang, der sehr zeitaufwändig sein kann. Sie werden Unterstützung durch den Support benötigen.

Wenn Sie Office 365 in einer standortübergreifenden Organisation bereitgestellt und den E-Mail-Fluss zwischen Ihrer lokalen Exchange-Organisation und der Cloud konfiguriert haben, sind die Benutzerobjekte wahrscheinlich mit Proxyadressen konfiguriert, um den standortübergreifenden E-Mail-Fluss zu ermöglichen.

Damit sichergestellt ist, dass der E-Mail-Fluss nach der Reaktivierung der Verzeichnissynchronisierung funktioniert, kopieren Sie vor der Reaktivierung alle relevanten Proxyadressen von den Cloudbenutzerobjekten in deren entsprechende lokale Objekte.

Sie können die (für Ihre Sicherung erstellte) Datei Userlist.csv verwenden, um Ihren SMTP-Adressierungsplan zu überprüfen. Außerdem sollten Sie, wenn Sie die Verzeichnissynchronisierung reaktivieren, um eine Exchange-Hybridbereitstellung zu ermöglichen, den Empfehlungen zur SMTP-Adressierung folgen, die Sie im Bereitstellungs-Assistenten von Exchange Server für Ihre Organisation finden. Auf diese Weise wird sichergestellt, dass die Verzeichnissynchronisierung die Cloudobjekte mit den richtigen SMTP-Adressen aktualisiert.

Informationen zum erstmaligen Aktivieren der Verzeichnissynchronisierung finden Sie unter Aktivieren der Verzeichnissynchronisierung. Informationen zum Reaktivieren oder Deaktivieren der Verzeichnissynchronisierung über ein Kontoportal finden Sie unter Deaktivieren der Verzeichnissynchronisierung.

AD FS 2.0/einmaliges Anmelden (Single Sign On, SSO) in einer Umgebung mit standortübergreifendem Cloud-Dienst erfordert Verzeichnissynchronisierung. Wenn Sie AD FS 2.0/SSO in Ihrer Umgebung aktiviert und konfiguriert haben, werden Benutzerobjekte, die lokal modelliert werden, automatisch mit einem Partnerkonto in der Cloud bereitgestellt.

Wenn Sie die Autoritätsquelle durch Deaktivierung der Verzeichnissynchronisierung in die Cloud übertragen, werden neue Benutzer nicht automatisch für AD FS 2.0/SSO bereitgestellt.

Ein Deaktivieren der Verzeichnissynchronisierung wirkt sich nicht auf vorhandene Partnerbenutzer in der Cloud aus. Sie werden weiterhin als Partner behandelt, nachdem Sie die Verzeichnissynchronisierung deaktiviert haben.

Durch ein Übertragen der Autoritätsquelle werden die folgenden E-Mail-Migrationsszenarios ermöglicht:

  • Aktivieren von AD FS 2.0/SSO in einer vorhandenen, auf die Cloud beschränkten Office 365-Messagingumgebung

  • Entkoppeln des lokalen Active Directory von einer Umgebung für mehrstufige Exchange-Migration

Aktivieren von AD FS 2.0/SSO in einer vorhandenen, auf die Cloud beschränkten Office 365-Messagingumgebung

Für ein Aktivieren von AD FS 2.0/SSO ist Verzeichnissynchronisierung erforderlich. Allerdings kann die vorherige Version von Microsoft Azure Active Directory-Synchronisierungstool nicht mehr ausgeführt werden, nachdem einige der Exchange-Migrationstools bereits ausgeführt wurden. Insbesondere bei einer Exchange-Übernahmemigration werden Benutzer und Postfächer in die Cloud migriert, indem zunächst basierend auf den SMTP-Adressen Benutzerkonten erstellt werden.

In der vorherigen Version der Verzeichnissynchronisierung wird kein neuer Cloudbenutzer erstellt, wenn das in der Cloud vorhandene Benutzerobjekt dieselbe primäre SMTP-Adresse hat wie der entsprechende lokale Benutzer. In der aktuellen Version der Verzeichnissynchronisierung wird die (weiter oben in diesem Thema beschriebene) SMTP-Abgleichsfunktionalität verwendet, um lokale und Cloudbenutzer abzugleichen.

Denken Sie daran, dass Benutzerdaten, die mit abgeglichenen Cloudbenutzerobjekten verknüpft sind, durch die entsprechenden lokalen Benutzerdaten überschrieben werden. Dies ist insbesondere im Fall von Proxyadressen für komplexe E-Mail-Routingszenarios zu beachten. Bevor Sie die Autoritätsquelle aus der Cloud auf Ihr lokales Active Directory übertragen, müssen Sie (wie weiter oben in diesem Abschnitt beschrieben) sicherstellen, dass alle relevanten Proxyadressen aus den Cloudbenutzerobjekten in deren entsprechende lokale Objekte kopiert wurden.

Details zur Implementierung finden Sie unter Exchange-Übernahmemigration und einmaliges Anmelden.

Entkoppeln des lokalen Active Directory von einer Umgebung für mehrstufige Exchange-Migration

Für ein Ausführen des Tools für mehrstufige Exchange-Migration ist Aktivieren und Ausführen der Verzeichnissynchronisierung erforderlich. Bei einigen Organisationen ist die E-Mail-Migration eine Phase einer vollständigen Migration in die Cloud. Bei einer Organisation, die ihre Cloudumgebung vollständig von ihrer lokalen Umgebung entkoppeln oder ihr lokales Active Directory außer Betrieb nehmen möchte, ist die Übertragung der Autoritätsquelle in die Cloud wahrscheinlich der letzte Schritt im Migrationsplan.

In einigen Szenarios müssen Sie möglicherweise die Autoritätsquelle für ein Benutzerkonto übertragen, das ursprünglich mithilfe von cloudbasierten Verwaltungstools, etwa und Kontoportale, erstellt wurde. Sie können die Autoritätsquelle übertragen, damit das Konto durch Verwenden der Verzeichnissynchronisierung über ein lokales Benutzerkonto für Active Directory-Domänendienste verwaltet werden kann.

Weitere Informationen hierzu finden Sie unter So verwenden Sie SMTP-Abgleich, um für Verzeichnissynchronisierung lokale Benutzerkonten mit Cloudkonten abzugleichen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft