Lokales Active Directory mit Office 365 synchronisieren

[UPDATE] Dieser Artikel bezieht sich auf das Directory Synchronization Tool (DirSync), das jetzt eingestellt und durch Azure AD Connect (ADD Connect) ersetzt wurde. In diesem Blogbeitrag erfahren Sie, wie Sie Verzeichnisse mit Azure AD Connect synchronisieren.

Ein Umzug auf Office 365 heißt nicht zwingend, dass man der bisherigen On-Premises-Umgebung gleich den Stecker zieht. Es ist nämlich durchweg üblich, dass die alte Struktur erhalten bleibt. Mal passiert es, weil sich der Migrationsprozess deutlich in die Länge zieht, mal, weil das Unternehmen auf Hybridszenario setzt, in dem beide Umgebungen verwendet werden.

Aus welchem Grund auch immer: Ein bedeutender Aspekt beim Set-up der Koexistenz ist die Synchronisation des Active Directory zwischen dem lokalen Exchange und seinem Pendant in der Cloud. Die nachfolgende Anleitung erläutert den Vorgang Schritt für Schritt.

Directory Synchronization Tool

Um das lokale AD mit seinem Gegenstück in Office 365 zu synchronisieren, bedarf es des sog. Directory Synchronization Tool (Dirsync). Sie können es von der Microsoft-Webseite herunterladen: http://go.microsoft.com/fwlink/?LinkID=278924. Das Tool ist allerdings nur in 64-Bit-Version verfügbar.

Das Programm gleicht alle Accounts, zusammen mit deren Zugangspasswort, mit Office 365 ab. Es bietet kein Single Sign-On (SSO). Für das SSO müssen die AD Federation Services (ADFS) konfiguriert werden.

Microsoft empfiehlt Installation des Dirsync auf einem Server innerhalb der Domäne, mit Ausnahme von Domain Controller. Für eine detaillierte Übersicht der Anforderungen besuchen Sie diese Microsoft-Technet-Website: http://technet.microsoft.com/de-de/library/jj151831.aspx#BKMK_ComputerRequirements.

Installation

WICHTIG: Der nachstehend beschriebene Vorgang wird in einer Office 365-Testumgebung ausgeführt.

Die Installation des Tools sieht aus wie folgt:

  1. Loggen Sie sich zu Office 365 mit Zugangsdaten des Administrators ein.
  2. Gehen Sie auf Users und auf Active Users.
  3. Klicken Sie auf den Link Active Directory synchronization Set up über der Userliste.
  4. Unter Punkt „3” klicken Sie auf den Button Activate. Eine Meldung informiert darüber, dass die Synchronisation aktiv ist:
1
  1. Unter „4” klicken Sie auf Download, um das Tool Dirsync herunterzuladen:
2
  1. Die Maschine, auf der das Tool installiert wird, muss mit den Bibliotheken .net 3.5 sp1 und .net 4.0 ausgestattet sein. Andernfalls wird beim Set-up des Tools folgende Fehlermeldung angezeigt:
3

In Windows Server 2008 R2 SP1 kann die Bibliothek .net 3.5 SP1 über die Anwendung Server Manager, Tab Features installiert werden. .net 4.0 kann hier heruntergeladen werden: http://www.microsoft.com/de-de/download/details.aspx?id=17718. In Windows Server 2012 und 2012 R2 lassen sich beide Bibliotheken über die Konsole Server Manager installieren.

  1. Befolgen Sie die Anweisungen des Installationsassistenten. Der Prozess kann u.U. einige Minuten dauern.
  2. Nach der Installation gehen Sie auf Start Configuration Wizard now und klicken Sie auf Finish.
8
  1. In dem Konfigurationsassistenten geben Sie Zugangsdaten des Office 365-Administrators an. Das Tool speichert die Zugangsdaten – werden sie geändert (z.B. durch Änderung des Passworts), muss das Programm neu konfiguriert werden.
9
  1. Im nachfolgenden Schritt geben Sie Zugangsdaten des On-Premises-AD-Administrators an. Im Gegensatz zu Schritt 9 werden die Zugangsdaten nicht gespeichert, d.h. das Programm muss nicht neu konfiguriert werden, im Fall, dass das Passwort geändert wird o.Ä.
  2. Weiter werden die Einstellungen des Exchange für Hybridinstallation angezeigt. Lassen Sie sie ausgecheckt, da sie in diesem Artikel nicht weiter behandelt werden. Klicken Sie auf Next.
  3. Als Nächstes aktivieren Sie die Checkbox Enable Password Sync und klicken auf Next.
11
  1. Warten Sie, bis die Konfiguration abgeschlossen ist. Anschließend klicken Sie auf den Button Finish. Lassen Sie die Option Synchronize your directories now eingecheckt:
12

Synchronisationsprüfung

Nach der Installation von Dirsync muss geprüft werden, ob der Prozess erwartungsgemäß funktioniert. Hierfür benutzen Sie die Konsole Synchronization Service Manager:

  1. Gehen Sie zu: C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell.
  2. Führen Sie die Anwendung miisclient.exe aus. Unter Umständen kann die Anwendung direkt nach der Installation von Dirsync nicht gestartet werden. In diesem Fall loggen Sie sich aus und wieder ein.
  3. Mit dem Programm überprüfen Sie den Synchronisationsstand:
13


Im oberen Bereich des Fensters werden alle aktuellen Synchronisationszyklen angezeigt. Im unteren Bereich links werden alle Änderungen in dem AD dargestellt.

  1. Loggen Sie sich wieder zu Office 365 ein.
  2. Im Berech Users, unter Active Users kann geprüft werden, welche Konten bereits synchronisiert wurden:
14

Dirsync – Anpassung nach der Installation

Änderung des Intervalls für Synchronisationszyklen

Standardmäßig startet alle 3 Stunden ein neuer Synchronisationsvorgang. Zum Verringern des Zeitabstands (z.B. für Testzwecke) tun Sie Folgendes:

  1. Auf dem Server mit Dirsync öffnen Sie den Ordner C:\Program Files\Windows Azure Active Directory Sync.
  2. Mit Notepad öffnen Sie die Datei Microsoft.Online.DirSync.Scheduler.exe.
  3. Finden Sie die Zeile: <add key=”SyncTimeInterval” value=”3:0:0″ /> und ändern Sie den Wert “3:0:0” in “0:5:0” o.Ä. Dadurch ändert sich das Synchronisationsintervall von 3 Stunden in 5 Minuten.
  4. Speichern Sie die Änderung und starten Sie den Windows Azure Active Directory Sync Service neu.

Einschränkung der Anzahl von synchronisierten Elementen

Im Fall, dass die On-Premises-Umgebung groß ist und nur ausgewählte User Office 365 verwenden, empfiehlt es sich, die Synchronisation auf einzelne Organisationseinheiten (OU) zu beschränken.

  1. Auf dem Server mit Dirsync gehen Sie zu C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell.
  2. Über die Datei miisclient.exe starten Sie die Konsole Synchronization Service Manager.
  3. Öffnen Sie den Tab Management Agents:
15
  1. Mit der rechten Maustaste klicken Sie auf Active Directory Connector und gehen Sie auf Properties.
  2. Wechseln Sie zu Configure Directory Partitions und klicken auf den Button Containers:
16
  1. Im nachfolgenden Fenster geben Sie Zugangsdaten des AD-Administrators an:
17
  1. Wählen Sie den OU-Container aus und bestätigen Sie mit OK:
18
  1. Klicken Sie nochmal auf OK, um zu dem Hauptfenster zu gelangen (Tab Management Agents).
  2. Mit der rechten Maustaste klicken Sie den Agent Active Directory Connector an und gehen Sie auf Run:
19
  1. Klicken Sie auf Full Import Full Sync und auf OK:
20
  1. Die Änderungen sollten bereits im Programmhauptfenster unter Operations sichtbar sein:
21

Das war’s schon – Ihr AD ist nun vollständig mit Office 365 synchronisiert. Jede Änderung in dem Active Directory wird auch in der Cloud reflektiert.

Der nächste Schritt ist für gewöhnlich die Migration von Postfächern. Hierfür können Sie beispielsweise ein Drittanbietertool wie CodeTwo Office 365 Migration heranziehen.


Empfohlene Artikel

Migration von Postfächern zwischen Office 365-Tenants

Migration von Postfächern zwischen Office 365-Tenants

In den vergangenen Monaten haben sogar die eher konservativen Administratoren von On-Premises Exchange Server-Systemen zumindest über eine Migration zu Office 365 (Microsoft 365) nachgedacht. Und um ehrlich zu sein, sie haben (oder hätten) sich der Mehrheit angeschlossen. Da Unternehmen in der Cloud operieren, suchen sie häufiger nach den Schritten für eine Tenant-zu-Tenant-Migration. Während diese Migrationen verschiedene Gründe haben (Fusionen und Übernahmen sind die häufigsten), haben sie alle eines gemeinsam – sie erfordern ziemlich viel Aufwand von IT-Teams.
Wie migriert man von einem IMAP-Server zu Microsoft 365?

Wie migriert man von einem IMAP-Server zu Microsoft 365?

[UPDATE]: Dieser Beitrag wurde am 15. Juni 2022 aktualisiert. Im Internet finden Sie unzählige Anleitungen über Migration von einem IMAP-Server zu Microsoft 365 (Office 365), beispielsweise von IBM Lotus Notes zu Exchange Online. Die meisten von ihnen behandeln das Thema aus der Perspektive einer nativen Lösung. Als Alternative zeige ich Ihnen, wie Sie die IMAP-Migration von Servern wie Google Workspace (G Suite), Zimbra, Kerio Connect oder Lotus zu Microsoft 365 mit einem Drittanbieter-Tool – CodeTwo Office 365 Migration – durchführen können.
E-Mail-Migration von GoDaddy zu Microsoft 365 leicht gemacht mit CodeTwo

E-Mail-Migration von GoDaddy zu Microsoft 365 leicht gemacht mit CodeTwo

GoDaddy ist eine ziemlich bekannte Marke, die sich mit Webdiensten befasst. Das Unternehmen bezeichnet sich selbst als weltweit führende Domänenregistrierungsstelle, aber GoDaddy hat viel mehr zu bieten als Domänenregistrierung, z. B.: Website-Hosting und -Design, Online-Shops, SSL-Zertifikate und (im Fokus dieses Artikels) E-Mail-Hosting. Wir haben in letzter Zeit ein steigendes Interesse am letzten Bereich beobachtet, insbesondere an der Migration von GoDaddy zu Microsoft 365 (Office 365).

Kommentare

  1. avatar
    Thomas Müller says:

    Hallo,

    wenn man alle Postfächer in Office 365 hat und man aus Gründen der Einfachheit (z.B. wegen des Passwortes) eine AD-Synchronisation einrichtet, man in jedem Fall auch einen on-premise Exchange Server benötigt, um die Exchange Online Postfächer sauber zu administrieren? Ich glaube gelesen zu haben, dass du durch die AD-Synchronisation die Exchange Online Postfächer nicht mehr in alle Punkten editierbar sind.

    Viele Grüße

    Thomas Müller

    • avatar
      Paweł Socha says:

      Hallo Thomas,
      wenn du AD mit der Cloud synchronisieren möchtest, empfiehlt Microsoft einen lokalen Exchange Server zu haben. Dies liegt daran, dass wegen der Verzeichnissynchronisierung einige Postfachattribute nicht über Exchange Online verwaltet werden können. Und ohne den lokalen Exchange ist es auch nicht möglich, alle Attribute lokal einzurichten. Um dieses Problem zu umgehen, kannst du dich die Funktion zum Zurückschreiben von Passwörtern in Azure Active Directory ansehen.

      Grüße,
      Paweł

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Sie können diese HTML-Tags und -Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Verantwortlicher für Ihre personenbezogenen Daten ist CodeTwo sp. z o.o. sp. k.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.