Jump to content

Cutover-Migration zu Office 365 und trotzdem AD-Sync verwenden?


Direkt zur Lösung Gelöst von mwiederkehr,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Folgendes ist geplant: die Postfächer einer Schule sollen von Exchange 2010 zu Office 365 migriert werden. Es geht dabei um ca. 600 Postfächer, die aber je nur so um 30 MB gross sind. Lokal soll kein Exchange mehr betrieben werden. Für die Migration gibt es ein Zeitfenster von zwei Wochen. In dieser Zeit müssen die Postfächer nicht verfügbar sein und auch keine E-Mails angenommen werden. Damit sich die User nicht mehrfach anmelden müssen, sollen die Kennwörter mit dem lokalen AD synchronisiert werden.

 

Von der Datenmenge und Ausfallzeit her sollte eine Cutover-Migration die beste Lösung sein. Für den Abgleich der Kennwörter nimmt man AD-Sync.

 

Nur habe ich jetzt gelesen, dass das nicht zusammen ginge. Bei der Migration werden die Benutzer inkl. Postfächer vom Migrationsassistenten erstellt und dürfen nicht schon von AD-Sync angelegt worden sein. Soweit, so klar. Je nach Doku soll man AD-Sync aber danach in Betrieb nehmen können, oder auch nicht, weil die lokalen User wegen dem (zu entfernenden) lokalen Exchange gewisse Attribute gesetzt haben. Diese sollen sich laut wieder anderer Anleitungen jedoch von der Synchronisation ausschliessen lassen.

 

Neue Benutzer sollen in Zukunft wie gehabt lokal erstellt werden können, die Postfächer aber in Office 365. Wie bei AD-Sync ohne lokalen Exchange, nicht wie in einer Hybridkonfiguration mit "Verwaltungs-Exchange".

 

Hat jemand so ein Szenario schon mal umgesetzt? Wie geht das mit dem AD-Sync?

Link zu diesem Kommentar
  • 2 Wochen später...

Bin unter anderem durch die Hilfe der englischsprachigen Technet-Community etwas weiter gekommen.

 

Kurz der Zwischenstand, falls jemand mal vor der gleichen Herausforderung steht:

 

SSO ist der Knackpunkt. Habe dazu viele sich zum Teil widersprechende Dokumentationen gelesen. Es soll funktionieren mit synchronisierten Kennwort-Hashes und Modern Authentication (Windows 10, Office ab 2013).

 

Bei einer Cutover-Migration lassen sich die Kennwörter nach der Migration synchronisieren. Diese werden über die Mailadresse zugeordnet. Es ist zu empfehlen, dass der UPN der Mailadresse entspricht.

Link zu diesem Kommentar
  • 3 Wochen später...
  • Beste Lösung

Die Migration ist abgeschlossen. Es hat soweit alles funktioniert. Falls jemand mal vor der gleichen Aufgabe steht, hier eine kurze Zusammenfassung:

 

- AAD Connect eingerichtet, dabei das Attribut "msExchangeMailboxGuid" ausgeschlossen. Das ist wichtig, weil sonst auf Office 365 keine Mailboxen für die User erstellt werden, da sie lokal schon eine hätten.

- Allen Benutzern in Office 365 eine Lizenz zugewiesen. Dabei wird dann das Postfach erstellt. Dies dauert nur wenige Minuten.

- Alle Postfächer als PST exportiert und eine Mapping-Datei (CSV) erstellt. Mit dem Importer importiert. Hier ist es wichtig, genügend Zeit einzuplanen. Für die 26 GB (verteilt auf 550 Postfächer) hat sich der Importer fast zwei Tage Zeit gelassen.

- Getestet, ob das Login etc. funktioniert. Ging alles, auch Postfachberechtigungen wurden übernommen.

- MX umgestellt, Autodiscover-Eintrag gemacht, internen SCP entfernt (mit "Set-ClientAccessServer –Identity ServerName -AutoDiscoverServiceInternalUri $null").

- PST-Dateien nochmals exportiert, aber nur Elemente, welche nach dem letzten Export gesendet oder empfangen wurden. Beim Exchange 2010 musste ich dazu die Spracheinstellungen auf US stellen, da er sonst das Datumsformat nicht akzeptiert hat.

- PST-Dateien nochmals importiert. Ich habe sie mit AzCopy in ein Unterverzeichnis hochgeladen und die Mapping-Datei angepasst. Der Link zum Storage bleibt gleich.

- GPO erstellt, welche "https://autologon.microsoftazuread-sso.com" im IE der Intranetzone hinzufügt bzw. im Chrome der AuthServerWhitelist. Dies ist erforderlich für SSO.

 

SSO verhält sich wie folgt:

- neue Rechner (Windows 10, Office 2019, neue Profile): Beim Start sucht Outlook nach Mailkonten, zeigt die Adresse an und mit einem Klick wird das Konto eingerichtet. Im IE und Chrome kommt man ohne Kennworteingabe ins OWA, OneDrive etc. Lediglich die Mailadresse muss man angeben (oder man verwendet einen speziellen Link).

- alte Rechner (Windows 7, Office 2010, bestehendes Outlook-Profil): Da Outlook sich zum alten Exchange verbindet, repariert man das Profil. Dann muss man sich einloggen und Outlook neu starten. Es erscheint mehrmals die Kennwortabfrage, welche man wegklicken kann. Nach ca. 30 Sekunden erscheint die Meldung, der Administrator habe eine Änderung vorgenommen, welche einen Neustart von Outlook verlange. Nach dem zweiten Neustart ist Outlook mit Office 365 verbunden.

 

Fazit: Das "einfache" SSO über das Computerkonto ist eine sehr praktische Sache und funktioniert tadellos.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...