Share via


Office 365 in hybrider Umgebung und DirSync funktioniert plötzlich nicht mehr–oder wie gehe ich mit Serviceaccounts um

Der Vorteil von hybriden Lösungen mit Office 365 liegt daran, dass sich Benutzer nur mit ihrem Domainlogin anmelden, der Mailboxmove smart in beide Richtungen funktioniert, Cloudbenutzer in die Kalenderinfos von On-Premise Benutzern schauen können und vieles mehr. Für ein Hybrid Szenario ist neben ADFS Servern auch ein Directory Sync nötig.

Das Directory Sync Tool ist seit letztem Jahr auch in einer 64bit Variante verfügbar und synchronisiert alle drei Stunden Änderungen im lokalen AD in die Cloud, auf Wunsch auch öfters durch den entsprechenden manuellen PowerShell Befehl. Durch die 64bit Version ist es nun möglich, das Tool auch auf einem Windows Server 2008 R2 laufen zu lassen.

Sobald eine hybride Umgebung eingerichtet ist, wird zwischen Cloud und On-Premise Umgebung über Service Accounts die Verzeichnissynchronisierung eingerichtet. Sehr häufig wird hier ein Cloud-Admin Account verwendet (Beispiel: admin@contoso.onmicrosoft.com). Was hierbei beachtet werden sollte, dass auch für diese Accounts die Kennwortpolicy gilt. Auffallen tut das meistens nach >90 Tagen – wenn nämlich plötzlich z.B. das Dirsync nicht mehr funktioniert.

Eine Möglichkeit, so eine Situation zu lösen, wäre, das Kennwort dieses Serviceaccounts auf never-expire zu setzen. Diese Lösung habe ich vor kurzem bei einem hybriden Deployment eingesetzt, wo das Kennwort des Serviceaccounts in der Cloud abgelaufen war. Zuerst habe ich das Kennwort dieses Accounts auf never-expire gesetzt und danach das bisherige Kennwort neu gesetzt. Mit dieser Lösung muss nicht überall ein Kennwort neu eingegeben werden.

Ein bisschen PowerShell machts möglich. Zunächst benötigen Sie die PowerShell aus dem Microsoft Online Services Modul.

Nun verbinden Sie sich:

Connect-MsolService

Dann die Credentials eines Administrators angeben. Wir wollen dieses Mal nur das Kennwort eines Benutzers (des Serviceaccounts) neu setzen und die Richtlinie zum Kennwortwechsel für dieses Account deaktivieren. Alle hybriden User befolgen ja die on-Premise Kennwortrichtlinie.

Zunächst rufen wir einmal die aktuellen Daten mit folgendem Befehl ab:

Get-MsolUser -UserPrincipalName admin\@contoso.onmicrosoft.com |fl

password1

Nun wird für diesen einen Benutzer das Kennwort auf never-expire gesetzt.

Set-MsolUser -UserPrincipalName admin\@contoso.onmicrosoft.com -PasswordNeverExpires $true

Kontrolle mit

Get-MsolUser -UserPrincipalName admin\@contoso.onmicrosoft.com |fl

zeigt nun, dass das Kennwort für dieses Service Account nicht mehr abläuft.

password2

Fein, das Kennwort läuft nun nicht mehr ab, allerdings ist das ja leider schon geschehen. Dies lösen wir, indem wir das bisherige, sichere Kennwort noch einmal neu setzen.

Set-MsolUserPassword -UserPrincipalName admin\@contoso.onmicrosoft.com -NewPassword "MeinSuperPW12$" -ForceChangePassword $false

Mit dieser Lösung beginnt die Directory Synchronisation wieder zu synchronisieren.