Sean Deuby | Leitender Technologe

Microsoft arbeitet weiterhin an einem wunden Punkt in seiner Strategie für hybride Identitäten: Die Herausforderung, seine Identitätsbrücke zwischen Active Directory Domain Services (AD DS) vor Ort und Azure Active Directory in der Cloud zu implementieren. Diese Brücke besteht aus AD FS für den Verbund und einer Reihe von Dienstprogrammen für die Identitätssynchronisierung, die in Azure AD Connect gipfeln. Azure AD Connect wurde vor kurzem allgemein verfügbar gemacht und macht die Anbindung Ihres lokalen AD DS (und anderer Identitätsdatenbanken wie SQL Server oder LDAP) an Azure AD einfacher als seine Vorgänger DirSync und Azure AD Sync.

Die neuen Funktionen von AD Connect

AD Connect (Sie können mehr darüber erfahren hier) ist ein Konfigurationsprogramm, das die Einrichtung der Identitätssynchronisierung zwischen einer kurzen Liste beliebter Identitätsquellen (einschließlich Active Directory Domain Services natürlich) und optionaler Einzelanmeldung mit AD FS vereinfacht. Es vereinfacht den Einrichtungsprozess erheblich und bietet außerdem neue Funktionen wie das gerätebezogene Zurückschreiben von Attributen aus Azure AD in AD DS.

Eine neue Funktion, die noch nicht oft erwähnt wurde, ist jedoch eine, die praktisch alle meine Unternehmenskunden wünschen: Die Option Azure AD Connect Staging Server. Um diese Option zu verstehen, lassen Sie uns zunächst die Situation betrachten, die sie entschärfen soll.

So funktioniert die Microsoft Identitätssynchronisierung

Diese Weiterentwicklung der Synchronisierungsprogramme - DirSync, sein Nachfolger AADSync und schließlich AD Connect - verwenden eine abgespeckte Version des Metadirectory Service von Microsoft, der unter den Bezeichnungen MIIS, ILM, FIM und seit ein paar Monaten Microsoft Identity Manager (MIM) bekannt ist. Diese Metadirectory-Dienste verfügen über Konnektoren zu AD DS und Azure AD, um Attribute in Konnektorbereiche zu ziehen. Eine Reihe von Synchronisierungsregeln bestimmt, ob diese Attribute zu einem Metaverse hinzugefügt werden, das die Verbindung von lokalen Identitätsattributen und Azure AD-Attributen enthält. Schließlich bestimmen ausgehende Synchronisierungsregeln, welche Attribute in Azure AD geschrieben werden.

Abbildung 1: AD Connect-Dienstarchitektur (Bild mit freundlicher Genehmigung von Microsoft)

Abbildung 1: AD Connect-Dienstarchitektur (Bild mit freundlicher Genehmigung von Microsoft)

Dies erfordert einen Server mit konfigurierten Konnektoren, definierten Regeln und einer Datenbank-Engine (SQL Server Express oder vollständiger SQL Server), um die Konnektorbereiche und das Metaverse zu speichern. Diese On-Server-Datenbank verfügt über keine Fehlertoleranz oder Redundanz und ein Clustering wird nicht empfohlen. Und wenn Sie denken, dass ich die Datenbank einfach aus meinen Sicherungskopien wiederherstellen werde, dann ist das auch nicht möglich. Wenn der Server ausfällt, müssen Sie entweder den Sync-Dienst deinstallieren und neu installieren oder den gesamten Server aus Sicherungskopien wiederherstellen.

Das ist nicht ganz so schlimm, wie es scheint. Microsoft weist zu Recht darauf hin, dass die Synchronisierung zwar ein unternehmenskritischer Dienst ist, aber kein besonders zeitkritischer Dienst; das standardmäßige und empfohlene Synchronisierungsintervall beträgt drei Stunden. Das bedeutet, dass es zwar einige Stunden dauern kann, bis der Synchronisierungsdienst im Falle eines Ausfalls wiederhergestellt ist, Sie aber wahrscheinlich höchstens einen Synchronisierungszyklus verpassen werden. Die IT-Abteilungen von Unternehmen mögen jedoch keine Grauzonen bei der Wiederherstellungszeit ihrer Produktionssysteme. In den meisten großen Unternehmen muss ein System, das als besonders wichtig eingestuft wird, über eine Art von Fehlertoleranz oder erweiterte Verfügbarkeit verfügen. Ist das Ihr Ernst? ist ein Kommentar, den ich mehr als einmal erhalten habe, als ein Unternehmen die Hochverfügbarkeitsfunktionen von DirSync oder AADSync in Erwägung zog.

So funktioniert die Option Staging Server

Die Option Staging Server wurde entwickelt, um dieses Manko zu beheben. Es handelt sich zwar nicht um echte Hochverfügbarkeit, aber die Implementierung des Staging-Servers ermöglicht es Ihnen, die Identitätssynchronisierung innerhalb weniger Minuten wieder aufzunehmen (sobald Sie sich für einen Failover entschieden haben).

Um einen Staging-Server einzurichten (Abbildung 2), führen Sie eine identische Einrichtung von Azure AD Connect durch, wie Sie sie für den primären AD Connect-Server vorgenommen haben, mit einer Ausnahme: Im allerletzten Schritt aktivieren Sie die Option Staging-Server. Dadurch wird verhindert, dass die Synchronisierungsergebnisse, die im Dienst des Staging-Servers entwickelt wurden, in Azure AD oder zurück in AD DS geschrieben werden. Das bedeutet auch, dass das Zurückschreiben von Kennwörtern und die Kennwort-Hash-Synchronisierung deaktiviert sind, da für erstere Änderungen in AD DS und für letztere in Azure AD geschrieben werden müssen.

Abbildung 2: AD Connect Architektur mit Staging Server

Abbildung 2: AD Connect Architektur mit Staging Server

Wiederherstellung nach einem AD Connect-Ausfall

Im Falle eines Ausfalls des primären AD Connect-Servers durchlaufen Sie einfach erneut den AD Connect-Einrichtungsassistenten und deaktivieren die Option Staging-Server (und die Kennwortrückschreibung oder Hash-Synchronisierung, falls Sie diese verwenden). Dadurch werden Updates für Azure AD und AD DS ermöglicht. Natürlich sollten Sie darauf achten, dass jeweils nur ein AD Connect Server vollständig aktiviert ist!

Die Staging-Server-Option in AD Connect ist eine neue Funktion, die von großen Unternehmen begrüßt werden wird. Sie bietet eine viel kürzere Service-Wiederherstellungszeit als ihre Vorgänger und ist einfach zu implementieren, ohne besondere Hardware- oder Softwareanforderungen. Ich bin sicher, dass diese Funktion in vielen Unternehmen zum Standard werden wird.