Vorbereiten des lokalen Active Directory für die Verzeichnissynchronisierung

  • 5 Minuten

Bevor das IT-Team von Contoso Microsoft Entra Connect bereitstellt, müssen lokale AD DS und die zugehörigen Technologien auf mögliche Probleme überprüft werden, die es dann zu beheben gilt. Dies ist besonders wichtig, wenn die Verzeichnissynchronisierung als Identitätsdienst für Microsoft 365 implementiert wird.

Überprüfungen vor der Bereitstellung

Die Überprüfungen vor der Bereitstellung sollten Folgendes umfassen:

  • Analysieren der lokalen Umgebung auf ungültige Zeichen in AD DS-Objektattributen und falsche Benutzerprinzipalnamen (UPN)
  • Ermitteln von Domänen-E-Mail-Adressen und Benutzeranzahlen
  • Identifizieren von Domänenfunktionsebenen und Schemaerweiterungen sowie verwendeter benutzerdefinierter Attribute
  • Identifizieren von Proxyserver, die für Microsoft Exchange oder Skype for Business verwendet werden, wenn Sie Microsoft Entra Connect als Teil einer Microsoft 365-Bereitstellung zur Verfügung stellen
  • Identifizieren von Microsoft SharePoint-Domänen, wenn Sie Microsoft Entra Connect als Teil einer Microsoft 365-Bereitstellung zur Verfügung stellen
  • Bewerten der SSO-Bereitschaft von Clients
  • Aufzeichnen der Verwendung von Netzwerkports und DNS-Einträgen im Zusammenhang mit Office 365 (wenn Sie Microsoft Entra Connect als Teil einer Office 365-Bereitstellung bereitstellen)

Nachdem Sie diese Überprüfungen durchgeführt haben, sind dies die Bereinigungsaufgaben:

  • Entfernen doppelter proxyAddress- und userPrincipalName-Attribute
  • Aktualisieren von leeren und ungültigen userPrincipalName-Attributen und Ersetzen durch gültige userPrincipalName-Attribute
  • Entfernen ungültiger Zeichen in den folgenden Attributen: givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname und userPrincipalName

Benutzerprinzipalnamen, die für das einmalige Anmelden verwendet werden, dürfen Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten. Es sind keine anderen Zeichentypen zulässig.

Wenn Sie Microsoft 365 bereitstellen und Ihre Bereitstellung Pläne für das einmalige Anmelden umfassen, sollten Sie sicherstellen, dass die Benutzerprinzipalnamen diese Anforderung erfüllen, bevor das einmalige Anmelden verwendet wird. Domänen, die für das einmalige Anmelden und die Verzeichnissynchronisierung verwendet werden, müssen routingfähig sein. Dies bedeutet, dass Sie keine lokalen Domänennamen wie „Contoso.local“ verwenden können.

AD DS-Tools für die Integritätsüberprüfung

Damit die Verzeichnissynchronisierung ordnungsgemäß funktioniert, müssen Sie sicherstellen, dass das lokale Active Directory gut vorbereitet und fehlerfrei ist. Sie können die folgenden AD DS-Integritätsüberprüfungstools verwenden, um Probleme zu identifizieren und zu beheben.

IdFix-Tool

Mit dem Microsoft 365-Tool „IdFix“ können Sie die meisten Fehler bei der Objektsynchronisierung in AD DS identifizieren und beheben, einschließlich häufiger Probleme wie Duplikate oder falsch formatierte proxyAddresses und userPrincipalName.

Sie können die Organisationseinheiten auswählen, die von IdFix überprüft werden sollen, und Sie können häufige Fehler im Tool selbst beheben. Häufige Fehler können Probleme wie beispielsweise ungültige Zeichen sein, die möglicherweise bei skriptgesteuerten Benutzerimporten in Attribute wie proxyAddresses und mailNickname eingefügt wurden.

Distinguished Names, die Formatierungs- und Duplikatfehler enthalten, kann IdFix möglicherweise keine automatische Korrektur vorschlagen. Solche Fehler können entweder außerhalb von IdFix oder manuell in IdFix behoben werden.

ADModify.NET-Tool

Bei Fehlern wie Formatierungsproblemen können Sie bestimmte Attribute objektweise ändern, indem Sie entweder ADSIEdit oder den erweiterten Modus für AD DS-Benutzer und -Computer verwenden. Das ADModify.NET-Tool eignet sich jedoch besser für Änderungen an mehreren Objekten. Der Grund dafür ist, dass der Batchmodusvorgang, der von ADModify.NET bereitgestellt wird, für Änderungen an Attributen wie Benutzerprinzipalnamen in Organisationseinheiten oder Domänen nützlich ist.

Zusätzliche Lektüre

Weitere Informationen finden Sie im folgenden Dokument.