Come sincronizzare Active Directory On-Premises con Microsoft Azure Active Directory

Buongiorno a tutti, qualche giorno fa mi è capitato di configurare un piccolo ma molto interessante laboratorio e vorrei condividerne i risultati.

Lo scenario è il seguente: in Hyper-V di Windows 8.1 ho installato una macchina virtuale con a bordo Windows Server 2012 R2 e dopo averla aggiornata agli ultimi Windows Updates ho effettuato la dcpromo, ottenendo quindi un Domain Controller in una nuova foresta. Il mio test aveva lo scopo di sincronizzare la mia nuova AD DS con Microsoft Azure Active Directory, nella mia sottoscrizione Microsoft Azure. Ricordo che Microsoft Azure Active Directory è GRATUITA per 500.000 oggetti (utenti, gruppi, etc).

I passi sono davvero pochi e semplici e si concentrano sull’uso di un tool gratuito, Directory Sync Tool. Eccoli elencati:

1. Da uno dei Domain Controller della vostra AD DS installare Directory Sync Tool. Una delle prime schermate del Wizard richiede un Global Administrator della vostra sottoscrizione Microsoft Azure. Se non avete avuto esigenze di crearlo già in passato, per ottenerne uno basta collegarvi alla vostra sottoscrizione, nella sezione Active Directory

   	Da qui fare click sul nome della vostra Active Directory. Se non ne avete creata una in passato, Microsoft Azure ne crea sempre una di default, potete usare quella.
   	Spostarsi in “Users” e usare il bottone per aggiungerne uno.
   	Nella prima schermata del Wizard lasciate il deafult, inserite un nome e scegliete la vostra Active Directory
   	Nella schermata successiva compilare i campi e scegliere “Global Administrator” come Role
   	Nella schermata successiva click su “Create”. L’utente verrà creato con una password temporanea: è molto importante che la password venga cambiata, altrimenti Directory Sync Tool non accetterà l’utente. Per modificare la password molto velocemente vi consiglio di provare a fare login alla vostra sottoscrizione di Microsoft Azure utilizzando proprio l’utente appena creato: in questa fase vi viene chiesto di modificare la password temporanea.

2. Dopo aver inserito username e password del Global Administrator, il Wizard di Directory Sync Tool vi chiederà un Enterprise Administrator della Active Directory di cui volete effettuare la sincronizzazione
3. Le due schermate successive sono di configurazione

   	Abilitare uno scenario Ibrido, permette a Microsoft Azure Active Directory di scrivere in Active Directory On-Premises
   	Abilitando la sincronizzazione delle password, queste vengono aggiornate da Active Directory On-Premises verso Microsoft Azure Active Directory. Questo scenario permette integrazione tra Microsoft Cloud Services.
   	Attendere il termine della configurazione.
   	Al termine, se si vuole avviare subito la sincronizzazione, fare click su Synchronize your directories now e quindi Finish. PRENDERE NOTA NELLA SCHERMATA SUCCESSIVA

Da questo momento comincia la sincronizzazione!

Un paio di informazioni da tenere a mente:

1. Directory Sync tool scrive i proprio logs nel directory synchronization event log del computer locale
2. Directory Sync tool, a seconda della versione, crea un utente nominato MSOL_AD_SYNC o AAD_xxxxxxxxxxxx (dove xxxxxxxxxxxx è una stringa alfanumerica a 12 elementi specifica per ogni installazione) nella vostra foresta Active Directory, nella OU Users nel Root Domain. La sincronizzazione utilizza tale account per leggere e sincronizzare informazioni. Fare attenzione a NON CANCELLARE QUESTO UTENTE.

A questo punto potete verificare la presenza dei vostri oggetti in Microsoft Azure Active Directory: dal portale, nella sezione Active Directory, click sul nome. In Users e Groups potrete vedere in breve tempo tutti gli oggetti sincronizzati.

 

Buon lavoro!

Comments

• Anonymous
  April 17, 2014
  Dopo aver fatto la sincronizzazione il server domain controller originario può essere spento sostituendolo con il servizio azure?
  
  altra domanda: che succede se sul server onpremise c'è Exchange? È possibile fare in modo che Exchange non sia replicato visto che non è più in uso al momento?
  
  ultima domanda: la sincronizzazione funziona anche con server 2003? È anche bidirezionale?
• Anonymous
  April 18, 2014
  The comment has been removed
• Anonymous
  April 19, 2014
  Mi pare un ottimo servizio!
  il mio obiettivo è semplice: oggi ho un dominio in cui il DC è un vecchio server 2003.
  devo quindi sostituirlo con un nuovo server, ma volevo optare per un servizio Azure.
  il DC oggi deve solo autenticare gli utenti al momento del login sui client e concedere o meno l'accesso alle cartelle di un secondo server in base alle identità di coloro che chiedono l'accesso.
  
  null'altro di più per cui penso di fare un buon lavoro se sposto tutto su azure.
  
  domanda: che succede se la connettività verso azure non c'è per problemi vari di internet?
  
• Anonymous
  April 21, 2014
  Se non c'è connettività e non c'è un DC in casa gli utenti non si possono autenticare.
• Anonymous
  April 21, 2014
  Grazie per la risposta. E se ci fosse un DC di backup come macchina virtuale sul server esistente?
• Anonymous
  April 21, 2014
  Per essere più precisi: in mancanza di un servizio di AD il PC si autenticherà con il profilo locale, quindi l'utente continuerà a lavorare ma nel profilo locale. nel caso di un DC, come detto prima, si autenticherà tramite il DC.
• Anonymous
  January 05, 2016
  buongiorno.. dopo aver installato Dc con win 2012R2 ho utilizzato Azure AD Connect.. che ha connesso e reèrlicato su azure Active Directory gli utenti e i gruppi... tutto sembra Ok.
  per identificare gli utenti io utilizzo nome.cognome! tutto ok tranne in un caso do ve mi ritrovo nome_cognome nella configurazione di Office365 che si aggancia ad AD di azure, ma su Azure e in locale è corretto...
  volevo installare dirsync come hai sugerito tu...ma il sisteam chede di disistallare il connect.... e poiche sono gia in produzione non vorrei fermare servizi..
  mi puoi cortesemente dare qualche dritta!
  anticipatamente grazie