Tutorial: Kennworthashsynchronisierung als Sicherung für Azure Directory-Verbunddienste einrichten

  • Artikel

Dieses Tutorial zeigt Ihnen, wie Sie die Kennworthashsynchronisierung als Sicherung und Failover für Azure Directory-Verbunddienste (AD FS) in Microsoft Entra Connect einrichten. Das Tutorial veranschaulicht auch, wie Sie die Kennworthashsynchronisierung als primäre Authentifizierungsmethode festlegen, wenn AD FS fehlschlägt oder nicht mehr verfügbar ist.

Hinweis

Obwohl diese Schritte in der Regel während einer Notfall- oder Ausfallsituation ausgeführt werden, empfiehlt es sich, dass Sie die Schritte testen und Ihre Verfahren überprüfen, bevor es zu einem Ausfall kommt.

Voraussetzungen

Dieses Tutorial baut auf dem Tutorial Einen Verbund für hybride Identitäten in einer einzelnen Active Directory-Gesamtstruktur verwenden auf. Der Abschluss des Tutorials ist eine Voraussetzung für die Umsetzung der Schritte in diesem Tutorial.

Hinweis

Wenn Sie keinen Zugriff auf einen Microsoft Entra Connect-Server haben oder der Server keinen Internetzugriff hat, können Sie sich an den Microsoft-Support wenden, um Unterstützung bei Änderungen an Microsoft Entra ID zu erhalten.

Aktivieren des Kennworthashsynchronisierung in Microsoft Entra Connect

Im Tutorial: Einen Verbund für hybride Identitäten in einer einzelnen Active Directory-Gesamtstruktur verwenden haben Sie eine Microsoft Entra Connect-Umgebung erstellt, die den Verbund verwendet.

Der erste Schritt beim Einrichten der Sicherung für den Verbund besteht darin, die Kennworthashsynchronisierung zu aktivieren und Microsoft Entra Connect für die Synchronisierung der Hashes festzulegen:

  1. Doppelklicken Sie auf das Microsoft Entra Connect-Symbol, das während der Installation auf dem Desktop erstellt wurde.

  2. Wählen Sie Konfigurierenaus.

  3. Wählen Sie unter Weitere Aufgaben die Option Synchronisierungsoptionen anpassen aus, und wählen Sie dann Weiter aus.

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Geben Sie den Benutzernamen und das Kennwort für das Konto des Hybrididentitätsadministrators ein, das Sie im Tutorial zum Einrichten des Verbunds erstellt haben.

  5. Wählen Sie unter Verzeichnisse verbinden die Option Weiter aus.

  6. Wählen Sie unter Domänen und Organisationseinheiten filtern die Option Weiter.

  7. Wählen Sie auf der Seite Optionale Features die Option Kennworthashsynchronisierung und dann Weiter aus.

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. Wählen Sie unter Bereit zur Konfiguration die Option Konfigurieren aus.

  9. Wenn die Konfiguration abgeschlossen ist, wählen Sie Beenden aus.

Das ist alles! Der Vorgang ist abgeschlossen. Die Kennworthashsynchronisierung wird jetzt durchgeführt und kann als Sicherung verwendet werden, falls AD FS nicht verfügbar ist.

Zur Kennworthashsynchronisierung wechseln

Wichtig

  • Bevor Sie zur Kennworthashsynchronisierung wechseln, erstellen Sie eine Sicherung Ihrer AD FS-Umgebung. Die Sicherung können Sie mit dem AD FS-Tool „Schnelle Wiederherstellung“ erstellen.

  • Es dauert einige Zeit, bis die Kennworthashes mit Microsoft Entra ID synchronisiert sind. Es kann bis zu drei Stunden dauern, bis die Synchronisierung abgeschlossen ist und Sie mit der Authentifizierung mit Kennworthashes beginnen können.

Wechseln Sie als Nächstes zur Kennworthashsynchronisierung. Bevor Sie beginnen, sollten Sie überlegen, unter welchen Bedingungen Sie wechseln sollten. Nehmen Sie die Umstellung nicht aus vorübergehenden Gründen vor, wie einem Netzwerkausfall, einem kleinen Problem mit AD FS oder einem Problem, das eine Teilmenge Ihrer Benutzer betrifft.

Wenn Sie sich für den Wechsel entscheiden, weil die Behebung des Problems zu lange dauert, führen Sie die folgenden Schritte aus:

  1. Wählen Sie in Microsoft Entra Connect die Option Konfigurieren aus.
  2. Wählen Sie Benutzeranmeldung ändern und dann Weiter.
  3. Geben Sie den Benutzernamen und das Kennwort für das Konto des Hybrididentitätsadministrators ein, das Sie im Tutorial zum Einrichten des Verbunds erstellt haben.
  4. Wählen Sie unter Benutzeranmeldung die Option Kennworthashsynchronisierung aus, und aktivieren Sie dann das Kontrollkästchen Benutzerkonten nicht konvertieren.
  5. Lassen Sie die Standardeinstellung Einmaliges Anmelden aktivieren aktiviert, und klicken Sie auf Weiter.
  6. Wählen Sie unter Einmaliges Anmelden aktivieren die Option Weiter aus.
  7. Wählen Sie unter Bereit zur Konfiguration die Option Konfigurieren aus.
  8. Wenn die Konfiguration abgeschlossen ist, wählen Sie Beenden aus.

Benutzer können jetzt ihre Kennwörter verwenden, um sich bei Azure und Azure-Diensten anzumelden.

Mit Benutzerkonto anmelden, um die Synchronisierung zu testen

  1. Navigieren Sie in einem neuen Webbrowserfenster zu https://myapps.microsoft.com.

  2. Melden Sie sich mit einem Benutzerkonto an, das in Ihrem neuen Mandanten erstellt wurde.

    Verwenden Sie für den Benutzernamen das Format user@domain.onmicrosoft.com. Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer beim lokalen Active Directory anmeldet.

    Screenshot that shows a successful message when testing the sign-in.

Rückkehr zum Verbund

Wechseln Sie nun zurück zum Verbund:

  1. Wählen Sie in Microsoft Entra Connect die Option Konfigurieren aus.

  2. Wählen Sie Benutzeranmeldung ändern und dann Weiter.

  3. Geben Sie den Benutzernamen und das Kennwort für das Konto des Hybrididentitätsadministrators ein.

  4. Wählen Sie unter Benutzeranmeldung die Option Verbund mit AD FS und dann Weiter aus.

  5. Geben Sie für die Domänenadministrator-Anmeldeinformationen den contoso\Administrator-Benutzernamen und das Kennwort ein, und klicken Sie auf Weiter.

  6. Wählen Sie unter AD FS-Farm die Option Weiter aus.

  7. Wählen Sie unter Microsoft Entra-Domäne die Domäne und dann Weiter aus.

  8. Wählen Sie unter Bereit zur Konfiguration die Option Konfigurieren aus.

  9. Wenn die Konfiguration abgeschlossen ist, wählen Sie Weiter aus.

    Screenshot that shows the Configuration complete pane.

  10. Wählen Sie unter Verbundkonnektivität überprüfen die Option Überprüfen aus. Sie müssen möglicherweise DNS-Einträge konfigurieren (A- und AAAA-Einträge hinzufügen), damit die Überprüfung erfolgreich ausgeführt werden kann.

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Wählen Sie Beenden aus.

Zurücksetzen der Vertrauensstellung zwischen AD FS und Azure

Die letzte Aufgabe besteht darin, die Vertrauensstellung zwischen AD FS und Azure zurückzusetzen:

  1. Wählen Sie in Microsoft Entra Connect die Option Konfigurieren aus.

  2. Wählen Sie Verbund verwalten und dann Weiter aus.

  3. Wählen Sie Microsoft Entra ID-Vertrauensstellung zurücksetzen und dann Weiter aus.

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. Geben Sie im Fenster Mit Microsoft Entra ID verbinden den Benutzernamen und das Kennwort für das Konto des globalen Administrators oder des Hybrididentitätsadministrators ein.

  5. Geben Sie unter Mit AD FS verbinden den Benutzernamen und das Kennwort für „contoso\Administrator“ ein, und klicken Sie auf Weiter.

  6. Wählen Sie unter Zertifikate die OptionWeiter aus.

  7. Wiederholen Sie die Schritte unter Mit Benutzerkonto anmelden, um die Synchronisierung zu testen.

Sie haben nun erfolgreich eine Hybrididentitätsumgebung eingerichtet, die Sie verwenden können, um Tests durchzuführen und sich mit den Möglichkeiten von Azure vertraut zu machen.

Nächste Schritte