Jump to content

Azure Sync bei Neuinstallation einer AD-Domänen Struktur

MHeiss2003

Von MHeiss2003
in MS Azure Forum

Direkt zur Lösung Gelöst von testperson,

Empfohlene Beiträge

MHeiss2003 Experienced

MHeiss2003   13

Geschrieben
Geschrieben (bearbeitet)

Hallo liebe community Mitglieder,

 

meine Frage ist, wie würdet Ihr die Azure AD Synchronisation umziehen und migrieren, wenn folgendes Szenario gegeben ist:

 

1. Die Windows Domäne bleibt vom Namen her gleich

2. Die Windows Domäne inkl. 60 Benutzern und 12 Gruppen wird in einer neuen Struktur manuell neu erstellt (ein Trust zwischen alt und neu ist nicht gewünscht)

 

Gedacht hatte ich mir, dass der UPN als Attribut ausreichen würde, um AAD-Sync 1:1 umziehen zu können, allerdings habe ich das in einem Testszenario nicht so bestätigen können. Nachdem ich auf dem alten AAD-Sync Server der alten Domäne den Stagingmodus aktiviert und auf dem neuen AAD-Sync Server in der neuen Domäne den Stagingmodus deaktiviert hatte, wurden nach dem ersten Sync Verzeichnisfehler gemeldet und alle Benutzer nach dem Schema "<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com" neu angelegt. Nun habe ich die Benutzer des alten AAD-Sync und des neuen AAD-Sync in einem gemeinsamen Verzeichnis.

 

Danke und Grüße

Mario

bearbeitet von MHeiss2003
Rechtschreibfehler
Nobbyaushb Grand Master

Nobbyaushb   1.534

Geschrieben
Geschrieben
vor 12 Minuten schrieb MHeiss2003:
 

1. Die Windows Domäne bleibt vom Namen her gleich

2. Die Windows Domäne inkl. 60 Benutzern und 12 Gruppen wird in einer neuen Struktur manuell neu erstellt (ein Trust zwischen alt und neu ist nicht gewünscht)

Losgelöst - warum soll das neu gemacht werden, in der Regel gibt es keinen Grund
Zu beachten ist, das alle Rechte auf allen Files und Directories weg wären..

MHeiss2003 Experienced

MHeiss2003   13

Geschrieben
  • Autor
Geschrieben
Gerade eben schrieb Nobbyaushb:

Spätestens jetzt stellt man fest, ob das Backup was taugt und sauber ist

Trotzdem solltest du ggf. einen weiteren hinzuziehen, alleine ist das schwer...

Backups vom lokalen System und von M365 sind vorhanden.

Unterstützung durch die IT beim Kunden ist vorhanden. Die haben alles bereits neu angelegt und bereitgestellt. Es bleibt der Punkt mir dem AD-Sync übrig.

Kannst Du mich unterstützen? Wenn nein, welchen Fachmann benötige ich Deiner Meinung nach? Wie gesagt, ich habe ein Testszenario aufgebaut, das ich hierfür bereits im LAB habe. Mir fehlt, so glaube ich, der richtige Hinweis, wie dieses Szenario in M365 umgesetzt werden kann, damit ich zeitsparend unterwegs sein kann.

  • Beste Lösung
testperson Grand Master

testperson   1.787

Geschrieben
  • Beste Lösung
Geschrieben

Hi,

 

in der Theorie sollte der Softmatch über den UPN machbar sein, wenn du im Tenant vorher den Dirsync abschaltest. Da in meinen ersten Tests der Softmatch nie wollte, mache ich seid dem immer den Hardmatch über die "immutableId". Den Wert der "immutableId" der online User kannst du allerdings auch nur ändern, wenn der Dirsync abgeschaltet ist bzw. wenn du im alten AD den User aus dem Syncscope nimmst und diesen online somit löscht. Nach dem Widerherstellen aus dem Papierkorb wäre das dann ein "online only User" und du könntest die "immutableId" setzen.

 

In grob: 

# Im on-premises AD:
$ObjectGuId = (Get-ADUser -Identity "username").ObjectGUID
$immutableID = [System.Convert]::ToBase64String($ObjectGuId.ToByteArray())
$immutableID
  
# Entra Id:
Set-AzureADUser -ObjectId "<User>@<Domain>.<Tld>" -ImmutableId "$immutableID"

 

HTH

Jan

NorbertFe Grand Master

NorbertFe   2.199

Geschrieben
Geschrieben

Das was Jan sagt paßt schon. Gleichzeitig sollte man dann beim Neueinrichten des AADC darauf achten, die Regeln gleich so hinzustellen, dass man explizit einzelne User filtern kann. Und dann kann man prüfen ob der Softmatch zum Tragen kommt.

vor 1 Stunde schrieb MHeiss2003:

Nun habe ich die Benutzer des alten AAD-Sync und des neuen AAD-Sync in einem gemeinsamen Verzeichnis.

Das ist natürlich ungünstig, denn die neuen brauchst du gar nicht erst und die kannst du erstmal wieder entfernen (raussynchen).

MHeiss2003 Experienced

MHeiss2003   13

Geschrieben
  • Autor
Geschrieben
vor 3 Stunden schrieb testperson:

Hi,

 

in der Theorie sollte der Softmatch über den UPN machbar sein, wenn du im Tenant vorher den Dirsync abschaltest. Da in meinen ersten Tests der Softmatch nie wollte, mache ich seid dem immer den Hardmatch über die "immutableId". Den Wert der "immutableId" der online User kannst du allerdings auch nur ändern, wenn der Dirsync abgeschaltet ist bzw. wenn du im alten AD den User aus dem Syncscope nimmst und diesen online somit löscht. Nach dem Widerherstellen aus dem Papierkorb wäre das dann ein "online only User" und du könntest die "immutableId" setzen.

 

In grob: 

# Im on-premises AD:
$ObjectGuId = (Get-ADUser -Identity "username").ObjectGUID
$immutableID = [System.Convert]::ToBase64String($ObjectGuId.ToByteArray())
$immutableID
  
# Entra Id:
Set-AzureADUser -ObjectId "<User>@<Domain>.<Tld>" -ImmutableId "$immutableID"

 

HTH

Jan

 

Hallo Jan,

 

mit Dirsync abschalten im Tennant meinst Du? 

Set-MsolDirSyncEnabled -EnableDirSync $false

 

Danke für Deine erhellende Eingebung! ;-)

 

vor 3 Stunden schrieb NorbertFe:

Das was Jan sagt paßt schon. Gleichzeitig sollte man dann beim Neueinrichten des AADC darauf achten, die Regeln gleich so hinzustellen, dass man explizit einzelne User filtern kann. Und dann kann man prüfen ob der Softmatch zum Tragen kommt.

Das ist natürlich ungünstig, denn die neuen brauchst du gar nicht erst und die kannst du erstmal wieder entfernen (raussynchen).

Was genau meinst Du mit Regeln?

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...