Azure AD Connect: Entwurfskonzepte In diesem Artikel Der Zweck dieses Themas besteht darin, Bereiche zu beschreiben, die während des Implementierungsentwurfs von Azure AD Connect durchdacht werden müssen. Dieses Thema ist ein tiefer Tauchgang auf bestimmten Gebieten und diese Konzepte werden auch in anderen Themen kurz beschrieben. SourceAnchor Das sourceAnchor-Attribut ist als Attribut definiert, das während der Laufzeit eines Objekts unveränderlich ist. Es identifiziert ein Objekt eindeutig als das gleiche Objekt vor Ort und in Azure AD. Das Attribut wird auch als immutableId bezeichnet und die beiden Namen werden austauschbar verwendet. Das Wort "unveränderlich", das man nicht ändern kann, ist wichtig für dieses Thema. Da dieser Attributwert nicht geändert werden kann, nachdem er festgelegt wurde, ist es wichtig, ein Design auszuwählen, das Ihr Szenario unterstützt. Das Attribut wird für die folgenden Szenarios verwendet: Wenn ein neuer Sync-Engine-Server erstellt oder nach einem Disaster-Recovery-Szenario neu erstellt wird, verknüpft dieses Attribut vorhandene Objekte in Azure AD mit Objekten vor Ort. Wenn Sie von einer Cloud-only-Identität zu einem synchronisierten Identitätsmodell wechseln, ermöglicht dieses Attribut, dass Objekte in Azure AD mit vorhandenen Objekten übereinstimmen, um vorhandene Objekte zu quothardieren. Wenn Sie föderation verwenden, wird dieses Attribut zusammen mit dem userPrincipalName in dem Anspruch verwendet, einen Benutzer eindeutig zu identifizieren. Dieses Thema spricht nur über sourceAnchor, da es sich auf Benutzer bezieht. Die gleichen Regeln gelten für alle Objekttypen, aber es ist nur für Benutzer dieses Problem ist in der Regel ein Anliegen. Auswählen eines guten sourceAnchor-Attributs Der Attributwert muss den folgenden Regeln entsprechen: Weniger als 60 Zeichen Länge Zeichen, die nicht a-z, A-Z oder 0-9 sind, werden codiert und als 3 Zeichen gezählt Kein spezielles Zeichen enthalten: 92. amp /. 96 lt gt () 39. Muss Muss global eindeutig sein Muss entweder ein String, ein Integer oder ein Binär sein. Sollte nicht auf user39s-Name basieren, sollten diese Änderungen nicht zwischen Groß - und Kleinschreibung unterscheiden und Werte vermeiden, die von Fall zu Fall variieren sollten, wenn das Objekt erstellt wird SourceAnchor ist nicht vom Typ string, dann Azure AD Connect Base64Encode den Attributwert, um sicherzustellen, dass keine Sonderzeichen erscheinen. Wenn Sie einen anderen Verbundserver als ADFS verwenden, stellen Sie sicher, dass Ihr Server Base64Encode auch für das Attribut verwenden kann. Beim sourceAnchor-Attribut wird zwischen Groß - und Kleinschreibung unterschieden. Ein Wert von JohnDoe ist nicht das gleiche wie johndoe. Aber Sie sollten nicht zwei verschiedene Objekte mit nur einem Unterschied im Fall haben. Wenn Sie einen einzelnen Wald vor Ort haben, dann ist das Attribut, das Sie verwenden sollten, objectGUID. Dies ist auch das Attribut, das verwendet wird, wenn Sie Express-Einstellungen in Azure AD Connect und auch das von DirSync verwendete Attribut verwenden. Wenn Sie mehrere Wälder haben und Benutzer zwischen Wäldern und Domänen nicht verschieben, ist objectGUID auch in diesem Fall ein gutes Attribut. Wenn Sie Benutzer zwischen Wäldern und Domänen verschieben, müssen Sie ein Attribut finden, das sich nicht verändert oder mit den Benutzern während der Verschiebung verschoben werden kann. Ein empfohlener Ansatz ist die Einführung eines synthetischen Attributs. Ein Attribut, das etwas halten könnte, das wie eine GUID aussieht, wäre geeignet. Während der Objekterstellung wird eine neue GUID erstellt und auf den Benutzer gestempelt. Im Sync Engine-Server kann eine eigene Synchronisierungsregel erstellt werden, um diesen Wert basierend auf der objectGUID zu erstellen und das ausgewählte Attribut in ADDS zu aktualisieren. Wenn Sie das Objekt verschieben, müssen Sie auch den Inhalt dieses Werts kopieren. Eine andere Lösung ist, ein bestehendes Attribut zu wählen, das Sie nicht ändern. Häufig verwendete Attribute sind employeeID. Wenn Sie ein Attribut betrachten, das Buchstaben enthält, stellen Sie sicher, dass keine Chance besteht, dass sich der Fall (Groß - / Kleinschreibung) für den Wert attribute39s ändern kann. Schlechte Attribute, die nicht verwendet werden sollten, umfassen die Attribute mit dem Namen des Benutzers. Bei einer Ehe oder Scheidung wird erwartet, dass sich der Name ändert, was für dieses Attribut nicht zulässig ist. Dies ist auch ein Grund, warum Attribute wie userPrincipalName. Mail. Und targetAddress sind nicht einmal im Azure AD Connect-Installationsassistenten wählbar. Diese Attribute enthalten auch das Quotequot-Zeichen, das im sourceAnchor nicht zulässig ist. Ändern des sourceAnchor-Attributs Der sourceAnchor-Attributwert kann nicht geändert werden, nachdem das Objekt in Azure AD erstellt und die Identität synchronisiert wurde. Aus diesem Grund gelten für Azure AD Connect folgende Einschränkungen: Das sourceAnchor-Attribut kann nur bei der Erstinstallation festgelegt werden. Wenn Sie den Installationsassistenten erneut ausführen, ist diese Option schreibgeschützt. Wenn Sie diese Einstellung ändern müssen, müssen Sie sie deinstallieren und neu installieren. Wenn Sie einen anderen Azure AD Connect-Server installieren, müssen Sie dasselbe sourceAnchor-Attribut wie zuvor verwendet auswählen. Wenn Sie zuvor mit DirSync und zu Azure AD Connect verschoben haben, müssen Sie objectGUID verwenden, da das das von DirSync verwendete Attribut ist. Wenn der Wert für sourceAnchor geändert wird, nachdem das Objekt in Azure AD exportiert wurde, wirft Azure AD Connect sync einen Fehler und lässt keine weiteren Änderungen an diesem Objekt zu, bevor das Problem behoben wurde und der sourceAnchor in der Quelle geändert wurde Verzeichnis. Azure AD-Anmeldung Bei der Integration Ihres lokalen Verzeichnisses mit Azure AD ist es wichtig zu verstehen, wie sich die Synchronisierungseinstellungen auf die Authentifizierung der Benutzer auswirken können. Azure AD verwendet UserPrincipalName (UPN), um den Benutzer zu authentifizieren. Wenn Sie jedoch Ihre Benutzer synchronisieren, müssen Sie das Attribut auswählen, das für den Wert von userPrincipalName sorgfältig verwendet werden soll. Auswählen des Attributs für userPrincipalName Wenn Sie das Attribut für die Bereitstellung des UPN-Werts für die Verwendung in Azure auswählen, sollten Sie sicherstellen, dass die Attributwerte mit der UPN-Syntax (RFC 822) übereinstimmen, dh, sie sollte vom Format usernamedomain sein Entsprechen die Werte einer der verifizierten benutzerdefinierten Domänen in Azure AD In den Express-Einstellungen ist die angenommene Auswahl für das Attribut userPrincipalName. Wenn das userPrincipalName-Attribut nicht den Wert enthält, den Ihre Benutzer bei Azure anmelden möchten, müssen Sie die Benutzerdefinierte Installation auswählen. Benutzerdefinierter Domänenstatus und UPN Es ist wichtig, sicherzustellen, dass eine verifizierte Domäne für das UPN-Suffix vorhanden ist. John ist ein Benutzer in contoso. Sie möchten, dass John das lokale UPN johncontoso verwendet, um sich bei Azure anzumelden, nachdem Sie Benutzer mit Ihrem Azure AD-Verzeichnis contoso. onmicrosoft synchronisiert haben. Um dies zu tun, müssen Sie contoso als benutzerdefinierte Domäne in Azure AD hinzufügen und überprüfen, bevor Sie die Synchronisierung der Benutzer starten können. Wenn das UPN-Suffix von John, z. B. contoso, nicht mit einer verifizierten Domäne in Azure AD übereinstimmt, ersetzt Azure AD das UPN-Suffix mit contoso. onmicrosoft. Nicht routbare Vor-Ort-Domänen und UPN für Azure AD Einige Organisationen verfügen über nicht routbare Domänen wie contoso. local oder einfache Einzel-Label-Domänen wie contoso. Sie können eine nicht routbare Domäne in Azure AD nicht überprüfen. Azure AD Connect kann nur mit einer verifizierten Domäne in Azure AD synchronisiert werden. Wenn Sie ein Azure AD-Verzeichnis erstellen, wird eine routbare Domäne erstellt, die zur Standarddomäne für Ihre Azure AD z. B. contoso. onmicrosoft wird. Daher wird es notwendig, jede andere routbare Domäne in einem solchen Szenario zu überprüfen, falls Sie nicht auf die standardmäßige onmicrosoft Domäne synchronisieren möchten. Azure AD Connect erkennt, ob Sie in einer nicht routbaren Domänenumgebung ausgeführt werden, und würde Sie vor einer Weitergabe mit den Express-Einstellungen entsprechend warnen. Wenn Sie in einer nicht routbaren Domäne arbeiten, ist es wahrscheinlich, dass die UPN der Benutzer auch nicht routbare Suffixe besitzen. Wenn Sie z. B. unter contoso. local ausgeführt werden, empfiehlt Azure AD Connect, benutzerdefinierte Einstellungen zu verwenden, anstatt Express-Einstellungen zu verwenden. Mit benutzerdefinierten Einstellungen können Sie das Attribut angeben, das als UPN für die Anmeldung in Azure verwendet werden soll, nachdem die Benutzer mit Azure AD synchronisiert wurden. Nächste SchritteKundenspezifische Installation von Azure AD Connect In diesem Artikel Azure AD Connect Benutzerdefinierte Einstellungen werden verwendet, wenn Sie weitere Optionen für die Installation wünschen. Es wird verwendet, wenn Sie mehrere Wälder haben oder wenn Sie optionale Funktionen konfigurieren möchten, die nicht in der Expressinstallation abgedeckt sind. Er wird in allen Fällen verwendet, in denen die Expressinstallationsoption Ihre Bereitstellung oder Topologie nicht erfüllt. Bevor Sie mit der Installation von Azure AD Connect beginnen, müssen Sie Azure AD Connect herunterladen und die erforderlichen Voraussetzungen für Azure AD Connect: Hardware und Voraussetzungen erfüllen. Stellen Sie außerdem sicher, dass erforderliche Konten verfügbar sind, wie in Azure AD Connect-Konten und Berechtigungen beschrieben. Wenn die angepassten Einstellungen nicht mit Ihrer Topologie übereinstimmen, z. B. zum Aktualisieren von DirSync, siehe entsprechende Dokumentation für andere Szenarien. Benutzerdefinierte Installation der Azure AD Connect Express-Einstellungen Klicken Sie auf dieser Seite auf Anpassen, um eine benutzerdefinierte Installationsinstallation zu starten. Installieren der erforderlichen Komponenten Wenn Sie die Synchronisierungsdienste installieren, können Sie den optionalen Konfigurationsabschnitt unkontrolliert lassen und Azure AD Connect richtet alles automatisch ein. Es richtet eine SQL Server 2012 Express LocalDB-Instanz ein, erstellt die entsprechenden Gruppen und weist Berechtigungen zu. Wenn Sie die Standardwerte ändern möchten, können Sie anhand der folgenden Tabelle die verfügbaren optionalen Konfigurationsoptionen verstehen. Exchange Hybrid-Bereitstellung Die Exchange Hybrid-Bereitstellungsfunktion ermöglicht die gemeinsame Existenz von Exchange-Postfächern sowohl vor Ort als auch in Office 365. Azure AD Connect synchronisiert einen bestimmten Satz von Attributen von Azure AD wieder in Ihr lokales Verzeichnis. Azure AD App und Attributfilterung Durch Aktivieren der Azure AD App und der Attributfilterung kann der Satz von synchronisierten Attributen maßgeschneidert werden. Diese Option fügt dem Assistenten zwei weitere Konfigurationsseiten hinzu. Weitere Informationen finden Sie unter Azure AD App und Attributfilterung. Wenn Sie Föderation als Anmelde-Lösung ausgewählt haben, können Sie diese Option aktivieren. Die Passwortsynchronisation kann dann als Backup-Option verwendet werden. Weitere Informationen finden Sie unter Kennwortsynchronisierung. Wenn Sie die Passthrough-Authentifizierung ausgewählt haben, ist diese Option standardmäßig aktiviert, um die Unterstützung für Legacy-Clients und als Backup-Option zu gewährleisten. Weitere Informationen finden Sie unter Kennwortsynchronisierung. Durch das Aktivieren des Passwort-Rückschreibens werden Kennwortänderungen, die aus Azure AD stammen, in Ihr lokales Verzeichnis zurückgeschrieben. Weitere Informationen finden Sie unter Erste Schritte mit der Passwortverwaltung. Wenn Sie die Office 365-Gruppenfunktion verwenden, können Sie diese Gruppen in Ihrem lokalen Active Directory anzeigen lassen. Diese Option ist nur verfügbar, wenn Exchange in Ihrem lokalen Active Directory vorhanden ist. Weitere Informationen finden Sie unter Group writeback. Ermöglicht das Zurückschreiben von Geräteobjekten in Azure AD zu Ihrem lokalen Active Directory für Bedingungszugriffsszenarien. Weitere Informationen finden Sie unter Aktivieren von Geräterückmeldungen in Azure AD Connect. Verzeichniserweiterungs-Attribut-Synchronisierung Durch Aktivieren der Dateierweiterungen-Attributsynchronisierung werden die angegebenen Attribute mit Azure AD synchronisiert. Weitere Informationen finden Sie unter Verzeichniserweiterungen. Aktivieren von Single Sign On (SSO) Konfigurieren von Single Sign-On für die Verwendung von Password Synchronization oder Passthrough-Authentifizierung ist ein einfacher Prozess, den Sie nur einmal für jede Gesamtstruktur, die mit der Azure AD synchronisiert wird, ausführen müssen. Die Konfiguration umfasst zwei Schritte: Erstellen des erforderlichen Computerkontos in Ihrem lokalen Active Directory. Konfigurieren der Intranetzone der Client-Computer, um Single Sign-On zu unterstützen. Erstellen des Computerkontos in Active Directory Für jede Gesamtstruktur, die über das AAD Connect-Tool hinzugefügt wurde, müssen Sie Domänenadministrator-Anmeldeinformationen angeben, damit das Computerkonto in jeder Gesamtstruktur erstellt werden kann. Die Berechtigung wird nur für die Erstellung des Kontos verwendet und nicht gespeichert oder für eine andere Operation verwendet. Fügen Sie einfach die Anmeldeinformationen auf dem Assistenten für die Aktivierung von Einzelzeichen auf der Seite des Assistenten für die AAD-Verbindung wie folgt hinzu: Sie können wählen, eine bestimmte Gesamtstruktur zu überspringen, wenn Sie nicht mit dieser Gesamtstruktur ein einziges Zeichen verwenden möchten. Konfigurieren der Intranetzone für Client-Computer Um sicherzustellen, dass sich der Client automatisch in der Intranetzone anmeldet, müssen Sie sicherstellen, dass URLs Teil der Intranetzone sind. Dadurch wird sichergestellt, dass die mit dem Desktop verbundene Domäne automatisch ein Kerberos-Ticket sendet, wenn sie mit dem Unternehmensnetzwerk verbunden sind. Auf einem Computer mit den Gruppenrichtlinienverwaltungstools. Öffnen Sie die Gruppenrichtlinienverwaltungstools Bearbeiten Sie die Gruppenrichtlinie, die auf alle Benutzer angewendet wird. Beispielsweise die Standarddomänenrichtlinie. Navigieren Sie zu Current UserAdministrative VorlagenWindows ComponentsInternet ExplorerInternet Control PanelSecurity Seite und wählen Sie Site to Zone Assignment Liste für das folgende Bild aus. Aktivieren Sie die Richtlinie, und geben Sie die folgenden zwei Elemente in dem Dialogfeld ein. Azure AD-App und Attributfilterung Wenn Sie die zu synchronisierenden Attribute auf Azure AD beschränken möchten, müssen Sie zunächst auswählen, welche Dienste Sie verwenden. Wenn Sie auf dieser Seite Konfigurationsänderungen vornehmen, muss ein neuer Dienst explizit durch erneutes Ausführen des Installationsassistenten ausgewählt werden. Basierend auf den im vorherigen Schritt ausgewählten Diensten werden auf dieser Seite alle Attribute angezeigt, die synchronisiert werden. Diese Liste ist eine Kombination aller Objekttypen, die synchronisiert werden. Wenn es einige spezielle Attribute gibt, die Sie nicht synchronisieren müssen, können Sie diese Auswahl aufheben. Das Entfernen von Attributen kann sich auf die Funktionalität auswirken. Best Practices und Empfehlungen finden Sie unter Attribute synchronisiert. Verzeichnis-Erweiterungsattribut-Synchronisierung Sie können das Schema in Azure AD mit benutzerdefinierten Attributen erweitern, die von Ihrer Organisation oder anderen Attributen in Active Directory hinzugefügt wurden. Um diese Funktion zu verwenden, wählen Sie auf der Seite Optionale Features die Option Verzeichniserweiterung-Attribut-Synchronisierung. Sie können auf dieser Seite weitere Attribute auswählen, die synchronisiert werden sollen. Konfigurieren von Verbänden mit AD FS Konfigurieren von AD FS mit Azure AD Connect ist mit wenigen Mausklicks einfach. Vor der Konfiguration ist erforderlich. Ein Windows Server 2012 R2-Server für den Verbundserver mit Remoteverwaltung aktiviert Ein Windows Server 2012 R2-Server für den Webanwendungsproxyserver mit Remoteverwaltung aktiviert Ein SSL-Zertifikat für den Verbunddienstnamen, den Sie verwenden möchten (z. B. sts. contoso) AD Voraussetzungen für die FS-Konfiguration Um Ihre AD FS-Farm mit Azure AD Connect zu konfigurieren, stellen Sie sicher, dass WinRM auf den Remoteservern aktiviert ist. Darüber hinaus gehen Sie durch die Ports Anforderung in Tabelle 3 - Azure AD Connect und Federation Server / WAP. Erstellen einer neuen AD FS-Farm oder Verwenden einer vorhandenen AD FS-Farm Sie können eine vorhandene AD FS-Farm verwenden oder eine neue AD FS-Farm erstellen. Wenn Sie sich dafür entscheiden, ein neues zu erstellen, müssen Sie das SSL-Zertifikat angeben. Wenn das SSL-Zertifikat durch ein Kennwort geschützt ist, werden Sie aufgefordert, das Kennwort einzugeben. Wenn Sie eine vorhandene AD FS-Farm verwenden, werden Sie direkt zur Konfiguration der Vertrauensstellung zwischen dem AD FS und dem Azure AD-Bildschirm geleitet. Festlegen der AD FS-Server Geben Sie die Server ein, auf denen AD FS installiert werden soll. Sie können einen oder mehrere Server auf der Grundlage Ihrer Kapazitätsplanung hinzufügen. Verbinden Sie alle Server zu Active Directory, bevor Sie diese Konfiguration durchführen. Microsoft empfiehlt, einen einzelnen AD FS-Server für Test - und Pilot-Bereitstellungen zu installieren. Fügen Sie dann weitere Server hinzu, um Ihre Skalierungsanforderungen zu erfüllen, indem Sie Azure AD Connect nach der ersten Konfiguration erneut ausführen. Stellen Sie sicher, dass alle Ihre Server mit einer AD-Domäne verbunden sind, bevor Sie diese Konfiguration durchführen. Geben Sie die Webanwendungsproxyserver an. Geben Sie die Server ein, die als Webanwendungsproxyserver verwendet werden sollen. Der Web Application Proxy Server wird in Ihrer DMZ (Extranetfront) bereitgestellt und unterstützt Authentifizierungsanforderungen aus dem Extranet. Sie können einen oder mehrere Server auf der Grundlage Ihrer Kapazitätsplanung hinzufügen. Microsoft empfiehlt, einen einzelnen Webanwendungsproxyserver für Test - und Pilot-Bereitstellungen zu installieren. Fügen Sie dann weitere Server hinzu, um Ihre Skalierungsanforderungen zu erfüllen, indem Sie Azure AD Connect nach der ersten Konfiguration erneut ausführen. Wir empfehlen eine gleichwertige Anzahl von Proxy-Servern, um die Authentifizierung aus dem Intranet zu gewährleisten. Wenn das verwendete Konto kein lokaler Administrator auf den AD FS-Servern ist, werden Sie zur Eingabe von Admin-Anmeldeinformationen aufgefordert. Stellen Sie sicher, dass HTTP / HTTPS-Konnektivität zwischen dem Azure AD Connect-Server und dem Web Application Proxy-Server vorhanden ist, bevor Sie diesen Schritt ausführen. Stellen Sie sicher, dass HTTP / HTTPS-Konnektivität zwischen dem Web Application Server und dem AD FS-Server vorhanden ist, damit Authentifizierungsanforderungen fließen können. Sie werden aufgefordert, Anmeldeinformationen einzugeben, damit der Webanwendungsserver eine sichere Verbindung zum AD FS-Server herstellen kann. Diese Anmeldeinformationen müssen ein lokaler Administrator auf dem AD FS-Server sein. Geben Sie das Dienstkonto für den AD FS-Dienst an Der AD FS-Dienst benötigt ein Domänendienstkonto, um Benutzer zu authentifizieren und Benutzerinformationen in Active Directory zu durchsuchen. Es kann zwei Arten von Dienstkonten unterstützen: Gruppenverwaltetes Dienstkonto - in Active Directory-Domänendiensten mit Windows Server 2012 eingeführt. Diese Art von Konto stellt Dienste wie AD FS ein einzelnes Konto bereit, ohne das Kontopasswort regelmäßig aktualisieren zu müssen. Verwenden Sie diese Option, wenn Sie bereits über Windows Server 2012-Domänencontroller in der Domäne verfügen, zu der Ihre AD FS-Server gehören. Domänenbenutzerkonto - Diese Art von Konto erfordert, dass Sie ein Kennwort angeben und das Kennwort regelmäßig aktualisieren, wenn das Kennwort geändert oder abgelaufen ist. Verwenden Sie diese Option nur, wenn Sie nicht über Windows Server 2012-Domänencontroller in der Domäne verfügen, zu der Ihre AD FS-Server gehören. Wenn Sie Group Managed Service Account ausgewählt haben und diese Funktion noch nie in Active Directory verwendet wurde, werden Sie zur Eingabe von Enterprise Admin-Anmeldeinformationen aufgefordert. Diese Anmeldeinformationen werden verwendet, um den Schlüsselspeicher zu initiieren und die Funktion in Active Directory zu aktivieren. Wählen Sie die zu verbindende Azure AD-Domäne aus Diese Konfiguration wird zum Einrichten der Verbundbeziehung zwischen AD FS und Azure AD verwendet. Es konfiguriert AD FS, um Sicherheitstoken an Azure AD auszustellen und konfiguriert Azure AD, um die Token von dieser spezifischen AD FS-Instanz zu vertrauen. Auf dieser Seite können Sie nur eine einzelne Domäne in der Erstinstallation konfigurieren. Sie können weitere Domänen später konfigurieren, indem Sie Azure AD Connect erneut ausführen. Überprüfen der ausgewählten Azure-AD-Domäne für Verbund Wenn Sie die zu föderierende Domäne auswählen, stellt Azure AD Connect die erforderlichen Informationen bereit, um eine verifizierte Domäne zu überprüfen. Weitere Informationen finden Sie unter Hinzufügen und Überprüfen der Domäne für die Verwendung dieser Informationen. AD Connect versucht, die Domäne während der Konfigurationsstufe zu überprüfen. Wenn Sie mit dem Konfigurieren fortfahren, ohne die erforderlichen DNS-Datensätze hinzuzufügen, kann der Assistent die Konfiguration nicht abschließen. Seiten konfigurieren und überprüfen Die Konfiguration erfolgt auf dieser Seite. Bevor Sie die Installation fortsetzen und wenn Sie föderation konfiguriert haben, stellen Sie sicher, dass Sie die Namensauflösung für Verbundserver konfiguriert haben. Staging-Modus Es ist möglich, einen neuen Sync-Server parallel zum Staging-Modus einzurichten. Es wird nur unterstützt, wenn ein Sync-Server in ein Verzeichnis in der Cloud exportiert wird. Wenn Sie jedoch von einem anderen Server wechseln möchten, z. B. mit DirSync, können Sie Azure AD Connect im Staging-Modus aktivieren. Wenn diese Option aktiviert ist, importiert und synchronisiert die Sync-Engine die Daten normal, führt aber nichts zu Azure AD oder AD. Die Funktionen Passwort-Synchronisierung und Passwort-Rückmeldung sind deaktiviert, während im Staging-Modus. Während im Staging-Modus ist es möglich, erforderliche Änderungen an der Sync-Engine vorzunehmen und zu überprüfen, was zu exportieren ist. Wenn die Konfiguration gut aussieht, führen Sie den Installationsassistenten erneut aus und deaktivieren den Staging-Modus. Daten werden nun von diesem Server an Azure AD exportiert. Stellen Sie sicher, dass der andere Server zur gleichen Zeit deaktiviert wird, so dass nur ein Server aktiv exportiert wird. Weitere Informationen finden Sie unter Staging-Modus. Überprüfen Sie Ihre Verbundkonfiguration Azure AD Connect überprüft die DNS-Einstellungen für Sie, wenn Sie auf die Schaltfläche Überprüfen klicken. Führen Sie außerdem die folgenden Überprüfungsschritte aus: Überprüfen Sie, dass Sie sich von einem Browser aus einer Domäne, die dem Computer im Intranet zugeordnet ist, anmelden können: Stellen Sie eine Verbindung zu myapps. microsoft her und überprüfen Sie die Anmeldung mit Ihrem angemeldeten Konto. Das eingebaute AD DS-Administratorkonto ist nicht synchronisiert und kann nicht für die Überprüfung verwendet werden. Überprüfen Sie, ob Sie sich von einem Gerät aus dem Extranet anmelden können. Stellen Sie auf einem Heimcomputer oder einem mobilen Gerät eine Verbindung zu myapps. microsoft her und stellen Sie Ihre Anmeldeinformationen bereit. Überprüfen Sie Rich-Client-Anmeldung. Stellen Sie eine Verbindung zu testconnectivity. microsoft her. Wählen Sie die Registerkarte Office 365 und wählen Sie den Office 365 Single Sign-On Test. Nächste Schritte Nachdem die Installation abgeschlossen ist, melden Sie sich ab und melden Sie sich erneut bei Windows an, bevor Sie den Synchronisierungsdienstmanager oder den Synchronisationsregel-Editor verwenden. Erfahren Sie mehr über diese Funktionen, die mit der Installation aktiviert wurden: Verhindern Sie versehentliche Löschungen und Azure AD Connect Health. Zugehörige DokumentationManagement-Agent Fehlercodes ausführen Der Verwaltungsagent kann das Wasserzeichen bei einem vollständigen Import nicht lesen. Dieser Fehler wird nur für den Verwaltungsagent für Sun ONE Directory Server 5.1 (früher iPlanet Directory Server) erwartet, wenn die Konfiguration des ursprünglichen Verwaltungsagenten abgeschlossen ist und das verbundene Verzeichnis das Änderungsprotokoll aktiviert hat. Später, wenn das verbundene Verzeichnis-Änderungsprotokoll deaktiviert ist, wird die Warnung, wenn die Verwaltung-Agent-Konfiguration nicht aktualisiert wird, wenn ein vollständiger Import durchgeführt wird. Die ursprünglich für diesen Verwaltungsagenten konfigurierte LDAP-Partition existiert nicht mehr. Dieser Fehler wird zurückgegeben, wenn die Partition gelöscht wurde oder die Partition gelöscht und mit demselben Namen neu erstellt wurde. Im letzteren Fall hat sich die Fehler-Partitions-GUID geändert, obwohl der Name identisch ist. Discovery-Fehler Dieser Fehler tritt auf, wenn eine in Synchronization Service Manager konfigurierte Import - oder Exportattributflussregel versucht, ein Attribut mit mehreren Werten zu einem Einzelwertattribut zu fließen. Dieser Fehler wird nur für die in Synchronization Service Manager konfigurierten Direktflussregeln zurückgegeben. Wenn die Durchflussregel eine Regelerweiterung verwendet, die mehrere Werte zu einem Einzelwertattribut fließt, wird die TooManyValuesException-Ausnahme ausgelöst. Dieser Fehler tritt auf, wenn der Typ des importierten Attributs nicht mit dem im Management Agent-Schema angegebenen Attributtyp übereinstimmt. Eine Ursache für diesen Fehler könnte sein, dass das gespeicherte verbundene Datenquellenschema mit dem tatsächlichen Schema der verbundenen Datenquelle veraltet ist. Aktualisieren Sie das Schema mithilfe von Synchronization Service Manager, um das gespeicherte verbundene Datenquellenschema up-to-date zu bringen. Dieser Fehler tritt auf, wenn der Datenquellen-Attributwert, der zum Verbinden eines Metaverse-Objekts über eine Verknüpfungsregel verwendet wird, die in den Eigenschaften eines Verwaltungsagenten in Synchronization Service Manager angegeben wird, mehr als einen Wert enthält. Der in der Joinregel verwendete Datenquellenattributwert kann nur einen einzelnen Wert enthalten. Dieser Fehler tritt auf, wenn der Distinguished-Name-Komponenten-Indexwert, der in einem Importattributfluss verwendet wird, der in den Eigenschaften eines Verwaltungsagenten in Synchronization Service Manager konfiguriert ist, größer ist als die Anzahl der Komponenten im definierten Namen des Quellobjekts. Dieser Fehler tritt auf, wenn Sie eine Hinzufügungs - oder Umbenennungsbereitstellungsoperation oder einen Exportattributfluss durchführen und wenn ein Connectorobjekt infolge einer Connector-Filter-Konfiguration ein gefiltertes Trennungsobjekt wird. Dieser Wert tritt nicht auf expliziten Connectorobjekten auf. Der Verwaltungsagent versucht, ein Containerobjekt während der Deprovisionierung zu löschen. FIM-Verwaltungsagenten können Containerobjekte mit untergeordneten Objekten nicht löschen. Dieser Fehler tritt auf, wenn Sie mehrere Connectors unter dem Quellverwaltungsagenten mit dem Metaverse-Objekt verbunden haben und eine deklarative Importattributflussregel definiert ist. Um Attribute über einen Verwaltungsagenten mit mehreren Konnektoren zu einem Metaverse-Objekt zu importieren, verwenden Sie eine Regelnerweiterung, um die Flussregeln zu definieren, anstatt eine direkte Regel in den Eigenschaften eines Verwaltungsagenten zu konfigurieren. Dieser Fehler tritt auf, wenn die Exportflussregel, die in den Eigenschaften eines Verwaltungsagenten in Synchronization Service Manager konfiguriert ist, versucht, mehrere Werte aus einem Metaverse-Objekt in ein Einzelwertattribut zu fließen. Der Zeichenfolgenwert, der für die Suche nach einem Metaverse-Objekt in einer Verknüpfungsregel verwendet wird, die in den Eigenschaften eines Verwaltungsagenten in Synchronization Service Manager angegeben wird, befindet sich nicht im richtigen GUID-Format (Global Guid). Das GUID-Format ist, wobei n eine Hexadezimalzahl ist. Die Implementierung der IMVSynchronization. Provision - oder IMASynchronization. Deprovision-Methode versucht, ein Containerobjekt mit einem oder mehreren nicht exportierten untergeordneten Objekten umzubenennen. Dieser Fehler tritt auf, wenn der direkte Importattributfluss auftritt und der Attributwert aus dem Connectorraum die Längenbeschränkungen des Metaverse-Attributs überschreitet. Mehrere Verwaltungsagenten versuchen, das gleiche Connector-Leerzeichenobjekt zu synchronisieren. Führen Sie den Verwaltungsagenten erneut aus. Ein Benutzer setzt manuell einen eindeutigen Index für ein Attribut in einer Metaversions-Tabelle fest. Konfigurieren Sie die Metaverse-Tabellen nicht manuell. Die Verschlüsselungsschlüsselsätze fehlen auf dem Server, auf dem FIM ausgeführt wird. Dieser Fehler tritt auf, wenn das Synchronisierungsmodul versucht, eine Änderung der Metaverse (einschließlich Bereitstellung und Exportattributfluss) anzuwenden. Dieser Fehler kann nur bei Läufen auftreten, die Änderungen an der Metaverse anwenden. Überprüfen Sie das Ereignisprotokoll für weitere Informationen. Dieser Fehler tritt auf, wenn Änderungen, die zu einem Verwaltungsagenten exportiert werden, während dieses Import-Verwaltungsagentenlaufs nicht erneut bestätigt werden. Ein Benutzer oder ein Systemprozess, der außerhalb von FIM arbeitet, hat die Daten in der verbundenen Datenquelle auf eine Weise geändert, die ein Konfigurationsproblem anzeigt, bei dem die Exportattributflussregel versucht, einen Wert zu einem verbundenen Datenquellenobjekt zu fließen, aber die verbundenen Daten Setzt den Wert automatisch auf einen anderen Wert zurück, ohne einen Fehler an den Verwaltungsagent zu melden. Das Element ltchange-not-reimportedgt gibt an, welche Änderungen nicht erneut bestätigt wurden. Dieser Fehler wird von einem Management-Agenten zurückgegeben, der einen DN (LDAP-style distinguished name) - Distinguished Name (auch bekannt als DN) hat, der konfiguriert wurde, und die Synchronisierung von dem Connectorraum zu dem Metaverse ist fehlgeschlagen. Eine Distinguished-Name-Komponente kann nicht durch eine dn-Komponenten-Zuordnung analysiert werden, da sie nicht im richtigen Format für den Zielattributtyp ist. Dieser Fehler zeigt an, dass die im Laufprofil angegebene Partition nicht gefunden werden kann. Stellen Sie sicher, dass die Partition nicht gelöscht oder umbenannt wurde. Dieser Fehler wird zurückgegeben, wenn eine Änderung eines Objekts in die verbundene Datenquelle exportiert wird, das Objekt jedoch nicht in der verbundenen Datenquelle gefunden werden kann. Er wird nur für anrufbasierte Verwaltungsagenten zurückgegeben. Ursache dieses Fehlers ist, dass eine Person oder ein externer Prozess ein Objekt aus der verbundenen Datenquelle außerhalb von FIM gelöscht hat. Dieser Fehler wird zurückgegeben, wenn ein Add in die verbundene Datenquelle exportiert wird, aber das Objekt bereits in der verbundenen Datenquelle vorhanden ist. Er wird nur für aufrufbasierte Verwaltungsagenten und relationale Datenbankverwaltungsagenten zurückgegeben. Dieser Fehler wird zurückgegeben, wenn der Anker auf einem neu bereitgestellten Objekt nicht eindeutig ist. Er wird nur für call-basierte und Datenbankverwaltungsagenten sowie den Verwaltungsagent für Sun und Netscape-Verzeichnisserver zurückgegeben. Wenn dieser Fehler auftritt, überprüfen Sie die Anker-Konstruktionsregeln, um sicherzustellen, dass ein eindeutiger Ankerwert für jedes Objekt definiert wurde. Dieser Fehler wird zurückgegeben, wenn der Verwaltungsagent ein Aktualisierungs - oder Löschdelta nicht anwenden kann, da der Anker nicht eindeutig ist. Es wird nur für die Verwaltungsagenten für Microsoft SQL Server und Oracle Database zurückgegeben. Wenn dieser Fehler auftritt, überprüfen Sie die Anker-Konstruktionsregeln, um sicherzustellen, dass ein eindeutiger Ankerwert für jedes Objekt definiert wurde. Dieser Fehler wird von den Verwaltungsagenten für die Active Directory - und Active Directory-globale Adressliste (GAL) zurückgegeben, wenn das Kennwortattribut gesetzt oder auf einen Wert geändert wird, der die vom Administrator definierte Kennwortrichtlinie der verbundenen Datenquelle nicht erfüllt. Dieser Fehler wird vom Verwaltungsagent für den Active Directory-Anwendungsmodus (ADAM) zurückgegeben, wenn die Kennwortverschlüsselung auf keine Verschlüsselung oder 128-Bit-SSL (Secure Sockets Layer) festgelegt ist und der Administrator nicht explizit eine Überschreibung vorgenommen hat, Dieses Szenario. Dieser Fehler wird von den Verwaltungsagenten für die Active Directory - und Active Directory-globale Adressliste (GAL) zurückgegeben, wenn das Kennwortattribut festgelegt oder geändert wird und die FIM-Server-Computerzeit mehr als fünf Minuten von der Zeit auf dem Domänencontroller abweicht. Dieser Fehler wird von den Verwaltungsagenten für Active Directory und Active Directory Globale Adressliste (GAL) zurückgegeben, wenn sie versuchen, ein Kennwortattribut festzulegen oder zu ändern und den Server für den Domäne-Teil der Anmeldeinformationen nicht auflösen können. Dies kann durch eine falsche NetBIOS - oder DNS-Konfiguration verursacht werden. Dieser Fehler wird vom Verwaltungsagent für den Active Directory-Anwendungsmodus (ADAM) zurückgegeben, wenn das Kennwortattribut gesetzt oder geändert wird und die Verbindung, die der Verwaltungsagent zur Kommunikation mit der verbundenen Datenquelle verwendet, nicht mit einem geeigneten Verschlüsselungsmechanismus konfiguriert wurde ( 128 Bit SSL oder TLS). Für die Einstellung von Passwörtern benötigt ADAM entweder eine 128-Bit-SSL - oder TLS-Konfiguration. Dieser Fehler wird von den Verwaltungsagenten für LDAP und Windows NT 4.0 zurückgegeben, wenn ein neu bereitgestelltes Objekt exportiert oder ein vorhandenes Objekt umbenannt wird und wenn der definierte Name mit den verbundenen Datenquellenbenennungsanforderungen nicht kompatibel ist. Dieser Fehler wird vom Management-Agenten für LDAP zurückgegeben, wenn eine Objektmodifikation exportiert wird und ein Attribut hinzugefügt wird, das sich nicht im verbundenen Datenquellenschema befindet oder wenn ein Attribut aus einem Objekt entfernt wird, das vom Schema benötigt wird. FIM lässt diese Operationen nicht zu, weil ihre Regeln die gespeicherte Kopie des verbundenen Datenquellenschemas überprüfen. Dieses Problem kann jedoch auftreten, wenn das FIM-Schema mit dem verbundenen Datenquellenschema veraltet ist. Wenn dieses Problem auftritt, aktualisieren Sie das Verwaltungsagentenschema mithilfe der Benutzeroberfläche. Dieser Fehler wird von dem Verwaltungsagenten für LDAP - und Datenbankverwaltungsagenten zurückgegeben, wenn der Export eines Hinzufügens, Änderns oder Löschens verknüpfte verbundene durch Datenquellen erzwungene Einschränkungen verletzt. Typische Ursachen für den Verwaltungsagent für LDAP sind das Festlegen mehrerer Werte für ein einzelnes Wertattribut, das Überschreiten von Feldbreitenbeschränkungen für Zeichenfolgen und binäre Attribute oder das Verletzen von Bereichsbeschränkungen für numerische Attribute. Es gibt viele mögliche Ursachen für Datenbankverwaltungsagenten, einschließlich referenzielle Integrität, Regeln und Einschränkungen, die für ihre Datenbank definiert werden können. Dieser Fehler wird von den Verwaltungsagenten für LDAP und Windows NT 4.0 zurückgegeben, wenn der Wert für ein Attribut gegen bestimmte Wertbeschränkungen verstößt. Zum Beispiel, wenn der Wert, der exportiert wird, ein ungültiges Zeichen enthält. This error is returned by the management agent for LDAP when a naming attribute (such as CN for many object types) is set to a value that conflicts with the relative distinguished name (also known as RDN) value. This can happen because of a poorly defined export attribute flow rule or because an error in the script code that sets initial values on a newly provisioned object. This error is returned by the management agent for fixed-width text files when exporting an add or modify to an object and when the value of an attribute exceeds the width of the column. This error is returned by the management agents for fixed-width and delimited text files when exporting an add or modify to an object and when the number of values for a multivalue attribute exceeds the number of columns configured for that attributes multiple values. This error is returned by the management agents for LDAP and Windows NT 4.0 when the export of an add, modify, or delete fails because the management agent has insufficient permissions to perform the operation against the connected data source. This error is returned by the management agents for Active Directory, Active Directory global address list (GAL), and Active Directory Application Mode (ADAM) when exporting an add or modify sets a reference value for which there is no corresponding connected data source object. If you see this error, use the connector space object viewer to determine which changes to reference attributes were not successfully exported. This error is returned by the management agent for LDAP when either the export of an add or a rename fails because the parent object does not exist in the connected data source. This error is returned by file-based management agents when the conversion of an attribute value, which is stored in Unicode within the server running FIM, to the code page of the export file failed because of conversion errors. This error is returned by the management agent for Windows NT 4.0 when you try to perform provisioning operations or export attribute flow on computer objects. Export operations are not allowed on this type of object but you can perform an import on objects of this type. This error is returned by the management agent for Lotus Notes when you are exporting a newly provisioned object and when certain attributes that are required for provisioning a new object have not been set by the rules extension. This error is returned when you are exporting a newly provisioned object and when certain attributes for provisioning set by the rules extension are invalid, for example, when they are not in a certain value range. This error is specific to the management agent for Lotus Notes when an attempt is made to provision a person or certifier object to a secondary Lotus Notes address book. Lotus Notes only allows provisioning contacts to secondary address books. This error is returned when you are exporting a newly provisioned object and an anchor cannot be generated because a value required for constructing the anchor is not available. Possible causes are when an attribute is not set during provisioning (that is, in management agents for Sun or Netscape directory servers, database, and file-based management agents), or it cannot be read from the connected data source (that is, in management agents for Active Directory, Sun and Netscape directory servers, and database management agents) when the anchor is constructed from an auto-increment column. This error is generated by the management agent for Sun and Netscape directory servers when it cannot construct the anchor for a newly provisioned object because one of the attributes that are used in constructing the anchor has multiple values. Attributes used in the anchor construction can be defined to be multivalue in the connected data source schema, but they must only have a single value on the actual objects in FIM. This error is returned by file-based and database management agents, as well as the management agent for Sun and Netscape directory servers, when the anchor construction produces an anchor that exceeds the maximum size limit for FIM. The maximum length of anchor values for a single attribute in the connector space is 398 characters. If the anchor is constructed from multiple attributes, subtract 2 characters for each additional attribute. For example, an anchor constructed of 3 attributes (snlocationtelephoneNumber) would have a limit of 392 characters. This error occurs when you try to flow out an attribute value that contains characters which are invalid for the connected data source. For example, the attribute values exported to the management agents for fixed-width text files, delimited text files, and attribute-value pair text files cannot contain CR, LF, or EOF characters. This error should not be encountered as part of normal operation. It indicates that FIM is unable to decrypt the value of an encrypted attribute that is stored in the connector space when it loads the object. It might indicate that the encryption key sets used by FIM are missing from the computer. This error can be generated by any management agent that contains a password attribute such as Active Directory, Active Directory global address list (GAL), Sun and Netscape directory servers, Lotus Notes, and Windows NT 4.0. This error should only occur when multiple management agents have tried to synchronize the same connector space object at the same time. If this error is encountered, try running the export a second time. This error is returned when the connected data source has a specialized error type. This error is accompanied by the ltcd-errorgt element, and the information contained there should aid in troubleshooting. This error is returned when a change is trying to be exported and the operation causes a malfunction. If this error is encountered, look in the event log for more information that will help troubleshoot the problem. This error is returned by the management agent for Windows NT 4.0 when you try to perform provisioning operations or when you export attribute flow on computer objects. The management agent for Windows NT 4.0 does not support export operations on this type of object. This error is returned by the management agent for Lotus Notes when you are trying to provision a new user or container and the certifier name you have specified for the MMSCertifier attribute is not the name of a properly configured certifier container. Each certifier container must be configured using Synchronization Service Manager before it can be used in provisioning. This error is returned by the management agent for Lotus Notes when a new user or container is provisioned and the process of creating the certifier file fails for any reason (for example, out of disk space, permissions, and so on). The FIM process for creating the certifier file is to fetch the certifier information for the certifier container, specified by the MMSCertifier attribute, and temporarily create a certifier file in the MAData folder of the management agent for Lotus Notes for use by the Notes API. This error is returned by the management agent for Lotus Notes when you are exporting a newly provisioned object and certain attributes for provisioning, set by the customer extension, should not be included because they are incompatible with the values of other provisioning attributes. For example, you might see this error when: You create a contact (MMSIDRegType0) and supply any one of the following attributes: MMSCertifier, MMSOU, MMSPassword, MMSIDStoreType, MMSIDPath, or MailFile You create a US user or International user but do not specify creating an ID file (MMSIDStoreType0), but supply the MMSIDPath or MailFile attributesYou create an OU (certifier), and supply the MMSOU attributeYou create an O (certifier), and supply the MMSCertifier attribute
Comments
Post a Comment