Jump to content

Azure AD und Lokale AD zusammenführen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

folgendes Szenario: Vor dem Hardwarecrash (Backup nicht vorhanden) gab es eine Hybride Lösung von Azure AD und lokaler AD, also in Azure und Office 365 wurden die User gesynct.

Hardwareausfall, lokaler Totalverlust. Office 365 und Azure natürlich weiterhin vorhanden.

Dummerweise wurde in der Zwischenzeit die Hardware ersetzt, lokal eine neue Domäne eingerichtet mit allen Accounts. Die Azure AD meckerte natürlich jetzt wegen fehlender Sync seit einigen Tagen.

User in Office 365 und in Azure AD lassen sich nicht löschen etc. da ja local synced. Wie würder ihr hier vorgehen? Gibt es die Möglichkeit Azure AD zu deaktivieren ohne die User in Office 365 zu verlieren?

Wie sieht ggf. die Möglichkeit einer Zusammenführung aus zwischen der lokalen AD und der Azure AD natürlich ohne Verlust der User in Office 365 und deren Daten?

 

Danke euch vorab!

 

LG

 

Link zu diesem Kommentar

Abend.

Azure AD Sync so deaktivieren:
https://docs.microsoft.com/de-de/office365/enterprise/turn-off-directory-synchronization

 

Wenn alles durch ist, neu einrichten.
Darauf achten das lokal in der AD die Benutzer das Attribut proxyAddresses richtig gesetzt haben (sprich die Mail dort mit office365 übereinstimmt).

bearbeitet von falkebo
Link zu diesem Kommentar
  • 2 Wochen später...
Am 19.12.2019 um 00:15 schrieb falkebo:

Abend.

Azure AD Sync so deaktivieren:
https://docs.microsoft.com/de-de/office365/enterprise/turn-off-directory-synchronization

 

Wenn alles durch ist, neu einrichten.
Darauf achten das lokal in der AD die Benutzer das Attribut proxyAddresses richtig gesetzt haben (sprich die Mail dort mit office365 übereinstimmt).

Bin nun etwas weitergegekommen. Folgendes habe ich gemacht:

- Mit Azure via Powershell verbunden: Connect-MsolService)

- Azure AD Sync geprüft, gab True zurück: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

- Azure AD Sync deaktiviert: Set-MsolDirSyncEnabled -EnableDirSync $false

- Azure AD Sync geprüft, gab False zurück: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

 

Nach wenigen Minuten verschwanden dann im Admin Portal das Zeichen für OnPremise AD sync und es waren nur noch Cloud Benutzer, welche sich auch wieder editieren ließen, schließlich war ja kein Sync mehr aktiv.

 

- Powershell gab leere LastDirSyncTime spalte zurück: Get-MsolUser | ft UserPrincipalName,immutableid,LastDirSyncTime

 

Nun wollte ich die User ja wieder syncen. Dafür habe ich im lokalen AD bei allen Usern das Attribut proxyAdresses gesetzt mit der jeweiligen E-Mail Adresse.

Zusätzlich habe ich, da die lokalen User ja über keinen Wert im Attribut ms-ds-consistencyGUID verfügten folgendes gemacht um diese auch bei den Azure Usern zu löschen:

 

- Azure AD Powershell: Set-MsolUser ` -UserPrincipalName testuser@mailadresse.de ` -ImmutableId "$null"

- Powershell gab leere immutableid Spalte zurück: Get-MsolUser | ft UserPrincipalName,immutableid,LastDirSyncTime

 

Nun wollte ich den Sync wieder starten also:

- Powershell: Set-MsolDirSyncEnabled -EnableDirSync $true

- Azure AD Sync geprüft, gab True zurück: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

 

Schaue ich nun jedoch im Azure Sync Service Tool für meinen Testuser, erhalte ich dort einen Error:

- Error: AttributeValueMustBeUnique

 

"Das Objekt kann nicht aktualisiert werden, weil die folgenden dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: "UserPrincipalName testuser@mailadresse.de;". Korrigieren oder entfernen Sie die doppelt vorhandenen Werte in Ihrem lokalen Verzeichnis."

 

Es findet auch kein Sync statt.

 

Nun wollte ich noch eine Möglichkeit versuchen, Nämlich die zuvor von mir im Azure AD gelöschte (aber gesicherte) immutableid welche dort als BASE64 codiertes Feld hinterlegt ist umzuwandeln in einen HEX Wert um diesen dem User im lokalen AD im Attribut ms-ds-consistencyGUID zuzuweisen.

 

Allerdings bekomme ich den Sync nicht mehr gestoppt ...

- Azure AD Sync deaktivieren bringt Fehlermeldung: Set-MsolDirSyncEnabled -EnableDirSync $false

--> Set-MsolDirSyncEnabled : You cannot turn off Active Directory synchronization.

 

Noch jemand ne Idee, wie ich die neu angelegten lokalen AD User mit den Azure AD Usern gesynct bekomme -./ ?

 

 

 

 

Link zu diesem Kommentar
vor 44 Minuten schrieb falkebo:

Wie ist jetzt der aktuelle Stand?
Ist der Sync aktiv, läuft soweit und hat nur noch mit manchen Benutzern Sync Fehler?
Oder wird überhaupt nix mehr gesynct und lässt sich auch nicht mehr abstellen?

Der Sync läuft, lässt sich zwar nicht abstellen (vielleicht gibt es hier eine Wartezeit?!) Aber der Sync läuft.

Er synct halt nicht weil er ein Duplikat meldet, das ist auch in Azure zu sehen:

 

UserPrincipalName

Error Type: AttributeValueMustBeUnique

Unable to update this object because the UserPrincipalName value .......  associated with this object may already be associated with another object in your local directory services. To resolve this conflict, first determine which object should be using the conflicting value. Then, update or remove the conflicting value from the other object(s).

 

Und das ist ja gewollt ... er soll die beiden ja miteinander verknüpfen, logisch das es ein Duplikat gibt.

 

//Okay wie vermutet, entweder gibt es eine Wartezeit oder irgend ein Prozess lief noch, jetzt ließ sich der Sync auch wieder anhalten.

Bleibt also nur noch die Frage, wie die OnPremise und Azure Duplikate zusammengeführt werden können ...

bearbeitet von Edvvde
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...