freshidea - Fotolia

Tipps zum Lösen von Problemen mit der Azure-AD-Synchronisierung

In hybriden Umgebungen ist die Synchronisierung zwischen Active Directory und Azure AD elementar. Diese Tipps helfen bei Synchronisierungsproblemen.

Wenn eine lokale Installation von Microsofts Verzeichnisdienst Active Directory mit der Cloud-basierten Variante Azure Active Directory synchronisiert wird, dann sollte man die Synchronisierung auch überwachen, um so sicherzustellen, dass Änderungen auch wirklich erfolgreich repliziert werden.

Auf diese Weise lassen sich zum Beispiel Monitoring-Mechanismen integrieren, die bei Synchronisierungsproblemen Alarmbenachrichtigungen ausgegeben. Um Probleme mit der Active-Directory-Synchronisierung tatsächlich zu lösen, müssen aber Konflikte mit Active-Directory-Objekten behoben werden.

Probleme mit InvalidSoftMatch beheben

Sobald erst einmal die volle Active-Directory-Synchronisierung durchgeführt wurde, werden nur noch Delta-Synchronisierungen ausgeführt. Während dieser Delta-Synchronisierungen wird die Active-Directory-Umgebung einerseits nach Attributen aller AD-Objekte durchsucht, die geändert wurden, andererseits aber auch nach neuen Objekten, die über Azure Active Directory synchronisiert werden müssen.

Wenn also im lokalen Active Directory ein Anwenderkonto geändert wird, überprüft DirSync während der nächsten Delta-Synchronisierung, was verändert wurde. DirSync folgt dabei zwei Regeln, bevor die Änderung oder neue Objekte repliziert werden können: Hard Match und Soft Match.

Wenn die Replikation zu Azure Active Directory erfolgen soll, wird das Objekt über das Attribut SourceAnchor des Objekts an das Attribut ImmutableID des Azure-AD-Objekts übergeben. Dieser Vorgang wird Hard Match genannt. Wenn die SourceAnchor-Daten den ImmutableID-Daten nicht entsprechen, führt Azure AD dagegen einen SoftMatch durch. Bei einem Soft Match werden zunächst die Werte der Attribute ProxyAdresses und UserPrincipalName überprüft, bevor das Objekt aktualisiert oder neu hinzugefügt werden kann.

Wenn beim Hard Match keine übereinstimmenden Attribute gefunden werden können, beim Soft Match aber übereinstimmende Objekte, die dann wiederum unterschiedliche Werte im Attribut ImmutableID aufweisen, dann wird dies einen Soft-Match-Fehler zur Folge haben. Diese Situation tritt häufig auf, wenn das AD-Objekt mit einem anderen Objekt im lokalen Active Directory synchronisiert wurde, und wird InvalidSoftMatch genannt.

Zum Lösen von InvalidSoftMatch-Fehlern wird das Tool Azure AD Connect Health benötigt, mit dem sich Konflikte mit AD-Objekten auffinden lassen. Sobald die entsprechenden Objekte identifiziert wurden, kann überprüft werden, welches davon nicht in Azure Active Directory vorhanden sein sollte. Mit diesem Wissen kann das doppelte Objekt entfernt oder der Wert verändert werden, anschließend repliziert die automatische Synchronisierung die Änderung in der AD-Umgebung. Wie weiter unten gezeigt, kann aber auch eine manuelle Synchronisierung angestoßen werden.

Funktionieren der AD-Anmeldedaten bestätigen

Generell ist es auch wichtig, sicherzustellen, dass das Nutzerkonto tatsächlich funktioniert, das für die Synchronisierung verwendet wird. Standardmäßig werden Anwenderkonten in Azure nach 90 Tagen ungültig. Das Passwort für das Synchronisierungskonto muss also so eingestellt werden, dass es nie ungültig wird. Hierfür kann das PowerShell-Cmdlet Set-MsolUser verwendet werden.

Als erstes verbindet man sich über das Cmdlet Connect-MsolService mit Azure und sucht über Get-MsolUser –UserPrincipalName AccountName@DomainName.com das Synchronisierungskonto. Hat man auf diese Weise das entsprechende Konto gefunden, kann über den Befehl Set-MsolUser das Auslaufdatum des Passwortes geändert werden:

Set-MsolUser –UserPrincipalName AccountName@DomainName.Com –PasswordNeverExpires $True

Für diese Änderung ist kein Neustart des Synchronisierungsdienstes nötig.

Weitere Artikel zur Azure Active Directory:

Azure AD: Skalierbare Authentifizierung aus der Cloud

Azure AD Application Proxy sichert den Zugriff auf lokale Apps

Active-Directory-Monitoring per Azure AD Connect Health

Active-Directory-Synchronisierung über die PowerShell

Azure Active Directory führt direkt nach der Einrichtung automatisch eine volle Synchronisierung durch, anschließend werden lokale und Cloud-basierte Active-Directory-Umgebung über Delta-Synchronisierungen im Einklang gehalten. Wenn aber manuell eine vollständige Synchronisierung durchgeführt werden soll, können hierfür die PowerShell-Cmdlets genutzt werden, die für Azure Active Directory zur Verfügung stehen. Das Cmdlet Start-ADSyncSyncCycle beispielsweise hilft beim Durchführen einer vollen oder Delta-Synchronisierung.

Über den Befehl Import-Module ADSync können die AD-Module in die PowerShell importiert werden. Die folgenden Befehle helfen dann dabei, die gewünschte Synchronisierung durchzuführen.

Eine volle Synchronisierung erreicht man über den PowerShell-Befehl Start-ADSyncSyncCycle –PolicyType Initial, eine Delta-Synchronisierung dagegen über Start-ADSyncSyncCycle –PolicyType Delta. Treten hierbei Fehler auf, lässt sich die Ursache meist über die Log-Dateien aufspüren.

Integrierte Tools für Azure Active Directory

Bei der Installation der AD-Synchronisierung werden im Ordner C:\Program Files\Windows Azure Active Directory Sync zusätzlich verschiedene Dateien installiert. Die zwei wichtigsten hierbei sind ConfigWizard und DirSyncSetup.Log. Über ConfigWizard können Synchronisierungseinstellungen von Azure Active Directory konfiguriert werden. DirSyncSetup.Log sammelt die Log-Dateien, über die sich Fehler bei der vollständigen oder Delta-Synchronisierung ausfindig machen lassen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Windows-Server

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close