Bereitstellen einer hohen Verfügbarkeit für Azure AD Connect

März 28, 2020 Sicherheit und Compliance, MOVEit

Sobald Sie mit Azure AD Connect und der Hybrididentität zwischen lokalem Active Directory und Azure Active Directory rollen, lautet einer Ihrer ersten Gedanken: "Was passiert, wenn mein Azure AD Connect-Server offline geht?"

Das ist in der Tat eine gute Frage, und obwohl Microsoft keine exzellente Antwort darauf hat, gibt es zumindest etwas, das wir tun können, um Ihrer Infrastruktur für die Identitätssynchronisierung eine gewisse Ausfallsicherheit zu verleihen.

Der High-Level-Workflow

Die von Microsoft empfohlene Methode zum Definieren einer Hochverfügbarkeitsinfrastruktur für Azure AD Connect besteht darin, mindestens einen anderen Azure AD Connect-Server in Ihrer lokalen AD DS-Umgebung (Active Directory Domain Services, Active Directory-Domänendienste) bereitzustellen, diesen sekundären Server jedoch in den Stagingmodus zu versetzen.

Ein Azure AD Connect-Server, der im Staging-Modus läuft, hat seinen Synchronisierungsdienst einsatzbereit, führt aber keine Identitätsdatenexporte durch. Für geplante Wartungsarbeiten an Ihrem primären Server können Sie ihn in den Bereitstellungsmodus versetzen, den sekundären Server aus dem Bereitstellungsmodus herausnehmen, und der sekundäre Server wird die Identitätssynchronisierung wieder aufnehmen.

Wenn der primäre Server unerwartet offline geht, können Sie den Stagingmodusserver immer noch aktivieren, und er wird dort fortgesetzt, wo der primäre Server aufgehört hat. Lassen Sie mich Ihnen zeigen, wie Sie diese Arbeit erledigen können.

Schritt 1: Ermitteln Sie die Konfiguration Ihres primären Azure AD Connect-Servers

Leider bietet Microsoft keine einfache Möglichkeit, Ihre Azure AD Connect-Konfigurationsdaten von Ihrem primären Server zu exportieren. Die beste Möglichkeit, die Sie haben, ist, den Azure AD Connect-Assistenten auf dem Primärserver auszuführen, auf Aktuelle Konfiguration anzeigen zu klicken und einen Screenshot (!) der Ergebnisse zu machen. Ich zeige Ihnen die Schnittstelle in Abbildung 1.

Abbildung 1. Abrufen von Azure AD Connect-Konfigurationsdaten.

Wenn Sie Ihre Azure AD Connect-Synchronisierungstopologie angepasst haben, empfehle ich Ihnen, das Open-Source-Dienstprogramm Azure AD Connect Configuration Documenter von Microsoft zu verwenden, um diese Details auf Metaverse-Ebene auszudrucken.

Schritt 2: Installieren von Azure AD Connect auf dem sekundären Server und Aktivieren des Stagingmodus

Ja, Sie müssen Azure AD Connect auf Ihrem sekundären Server installieren und manuell konfigurieren. Der entscheidende Unterschied liegt jedoch im letzten Bildschirm des Azure AD Connect-Assistenten, der in Abbildung 2 dargestellt ist.

Abbildung 2. Versetzen Des sekundären Servers in den Staging-Modus.

Vergewissern Sie sich, dass die Optionen "Synchronisierungsprozess starten" und "Staging-Modus aktivieren" aktiviert sind. Es mag widersinnig erscheinen, die erste Option zu wählen, aber tun Sie es trotzdem.

Schritt 3: Versetzen Des Primärservers in den Stagingmodus

Im besten Fall wissen Sie im Voraus, dass Sie Ihren primären Azure AD Connect-Server wegen geplanter Wartungsarbeiten oder Ähnlichem offline nehmen müssen. Auf diese Weise können Sie den Azure AD Connect-Assistenten erneut ausführen, auf dem Bildschirm Zusätzliche Aufgaben die Option Staging-Modus konfigurieren auswählen (Abbildung 3), sich bei Ihrem Azure AD-Tenant authentifizieren und die Konfigurationsänderung abschließen (Abbildung 4).

Abbildung 3. Der Bildschirm Zusätzliche Aufgaben von Azure AD Connect.

Abbildung 4. Aktivieren des Staging-Modus.

Sie werden feststellen, dass der ADSync-Dienst weiterhin ausgeführt wird. Dies ist beabsichtigt, und es ist wichtig, dass Sie es nicht stoppen. Außerdem können Sie jederzeit einen Exportvorgang auf dem sekundären Server erzwingen, indem Sie das Synchronisierungsdienst-Manager-Tool verwenden oder den folgenden PowerShell-Befehl ausführen:

Start-ADSyncCycle -PolicyType Delta -Verbose

Schritt 4: Entfernen Sie ihren sekundären Servers aus dem Stagingmodus

Hier gibt es keine Überraschungen - wenn Sie einen Azure AD Connect-Server aus dem Staging-Modus nehmen, gehen Sie genau so vor, wie wenn Sie einen Server in den Staging-Modus versetzen.

Tipps und tricks

Erinnern Sie sich daran, dass Azure AD Connect standardmäßig SQL Server Express LocalDB als Back-End verwendet. Wenn Sie stattdessen eine vollständige SQL Server-Instanz verwenden möchten, vergessen Sie nicht, auch für die Datenebene eine hohe Verfügbarkeit in Betracht zu ziehen.

Da haben Sie es! Jetzt wissen Sie, wie Sie ein gewisses Maß an Fehlertoleranz für Ihre Azure AD Connect-Infrastruktur zur Identitätssynchronisierung bereitstellen können.

Tim Warner

Tim Warner is a Microsoft MVP, Microsoft Press/Wiley author, and Azure solution architect based in Nashville, TN. Contact Tim at Twitter (@TechTrainerTim) or his website, techtrainertim.com.