Anleitung: Einrichtung von PHS als Backup für AD FS in Azure AD Connect

Im folgenden Tutorial werden Sie durch die Einrichtung der Kennworthashsynchronisierung als Sicherung und Failover für AD FS geleitet. In diesem Dokument wird außerdem gezeigt, wie Sie die Kennworthashsynchronisierung als primäre Authentifizierungsmethode aktivieren, falls AD FS ausgefallen oder nicht verfügbar ist.

Hinweis

Obwohl diese Schritte in der Regel während einer Notfall- oder Ausfallsituation ausgeführt werden, empfiehlt es sich, dass Sie die Schritte testen und Ihre Verfahren überprüfen, bevor es zu einem Ausfall kommt.

Hinweis

Sollten Sie keinen Zugriff auf den Azure AD Connect-Server haben, oder sollte der Server keinen Zugriff auf das Internet haben, können Sie sich an Microsoft-Support wenden, um Unterstützung bei den Änderungen auf der Azure AD-Seite zu erhalten.

Voraussetzungen

Dieses Tutorial baut auf dem Tutorial: Erstellen eines Verbunds einer Umgebung mit einer AD-Gesamtstruktur mit der Cloud auf und ist Voraussetzung für die Bearbeitung des vorliegenden Tutorials. Sofern noch nicht geschehen, bearbeiten Sie zunächst das genannte Tutorial, bevor Sie das vorliegende Dokument bearbeiten.

Wichtig

Vor einem Wechsel zu PHS (Password Hash Sync, Kennworthashsynchronisierung) sollten Sie eine Sicherung Ihrer AD FS-Umgebung erstellen. Dazu können Sie das AD FS Rapid Restore-Tool verwenden.

Aktivieren der Kennworthashsynchronisierung in Azure AD Connect

Nachdem eine Azure AD Connect-Umgebung mit Verbund eingerichtet wurde, besteht der erste Schritt darin, die Kennworthashsynchronisierung zu aktivieren und Azure AD Connect das Synchronisieren der Hashes zu gestatten.

Gehen Sie folgendermaßen vor:

  1. Doppelklicken Sie auf das Azure AD Connect-Symbol, das auf dem Desktop erstellt wurde.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie auf der Seite „Weitere Aufgaben“ die Option Synchronisierungsoptionen anpassen aus, und klicken Sie auf Weiter.
  4. Geben Sie den Benutzernamen und das Kennwort für Ihren globalen Administrator oder Hybrididentitätsadministrator ein. Sie haben dieses Konto hier im vorherigen Tutorial erstellt.
  5. Klicken Sie auf dem Bildschirm Verzeichnisse verbinden auf Weiter.
  6. Klicken Sie auf dem Bildschirm Filtern von Domänen und Organisationseinheiten auf Weiter.
  7. Wählen Sie auf dem Bildschirm Optionale Features die Option Kennworthashsynchronisierung aus, und klicken Sie auf Weiter. .Select
  8. Klicken Sie auf dem Bildschirm Bereit zur Konfiguration auf Konfigurieren.
  9. Klicken Sie nach Abschluss der Konfiguration auf Beenden.
  10. Das ist alles! Fertig. Die Kennworthashsynchronisierung wird jetzt durchgeführt und kann als Sicherung verwendet werden, falls AD FS nicht verfügbar ist.

Umstellung auf die Kennworthashsynchronisierung

Nachfolgend wird veranschaulicht, wie Sie auf die Kennworthashsynchronisierung umstellen. Bevor Sie beginnen, überlegen Sie, unter welchen Bedingungen Sie die Umstellung vornehmen sollten. Nehmen Sie die Umstellung nicht aus vorübergehenden Gründen vor, wie einem Netzwerkausfall, einem kleinen Problem mit AD FS oder einem Problem, das eine Teilmenge Ihrer Benutzer betrifft. Wenn Sie sich für die Umstellung entscheiden, da das Beheben des Problems zu lange dauern würde, führen Sie folgende Schritte aus:

Wichtig

Denken Sie daran, dass es einige Zeit dauert, bis die Kennworthashes mit Azure AD synchronisiert sind. Es kann bis 3 Stunden dauern, bevor die Synchronisierung abgeschlossen ist und Sie mit Authentifizierung über die Kennworthashes beginnen können.

  1. Doppelklicken Sie auf das Azure AD Connect-Symbol, das auf dem Desktop erstellt wurde.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie Benutzeranmeldung ändern, und klicken Sie auf Weiter. .Change
  4. Geben Sie den Benutzernamen und das Kennwort für Ihren globalen Administrator oder Hybrididentitätsadministrator ein. Sie haben dieses Konto hier im vorherigen Tutorial erstellt.
  5. Wählen Sie auf dem Bildschirm Benutzeranmeldung die Option Kennworthashsynchronisierung aus, und setzen Sie ein Häkchen im Feld Benutzerkonten nicht konvertieren.
  6. Lassen Sie die Einstellung Einmaliges Anmelden aktivieren aktiviert, und klicken Sie auf Weiter.
  7. Klicken Sie auf dem Bildschirm Einmaliges Anmelden aktivieren auf Weiter.
  8. Klicken Sie auf dem Bildschirm Bereit zur Konfiguration auf Konfigurieren.
  9. Klicken Sie nach Abschluss der Konfiguration auf Beenden.
  10. Benutzer können jetzt ihre Kennwörter verwenden, um sich bei Azure und Azure-Diensten anzumelden.

Testanmeldung mit einem unserer Benutzer

  1. Navigieren Sie zu https://myapps.microsoft.com.
  2. Melden Sie sich mit einem Benutzerkonto an, das in unserem neuen Mandanten erstellt wurde. Sie müssen sich mit folgendem Format anmelden: (user@domain.onmicrosoft.com). Verwenden Sie dasselbe Passwort, mit dem sich die jeweiligen Benutzer*innen lokal anmelden.
    Screenshot that shows a successful message when testing the sign in.

Rückkehr zum Verbund

Es wird nun gezeigt, wie eine Rückkehr zum Verbund erfolgt. Führen Sie dazu folgende Schritte aus:

  1. Doppelklicken Sie auf das Azure AD Connect-Symbol, das auf dem Desktop erstellt wurde.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie Benutzeranmeldung ändern, und klicken Sie auf Weiter.
  4. Geben Sie den Benutzernamen und das Kennwort für Ihren globalen Administrator oder Hybrididentitätsadministrator ein. Dies ist das Konto, das hier im vorherigen Tutorial erstellt wurde.
  5. Wählen Sie im Fenster Benutzeranmeldung die Option Verbund mit AD FS aus, und klicken Sie auf Weiter.
  6. Geben Sie auf der Seite mit den Domänenadministrator-Anmeldeinformationen den contoso\Administrator-Benutzernamen und das Kennwort ein, und klicken Sie auf Weiter.
  7. Klicken Sie im Fenster „AD FS-Farm“ auf Weiter.
  8. Wählen Sie im Fenster Azure AD-Domäne die Domäne in der Dropdownliste aus, und klicken Sie auf Weiter.
  9. Klicken Sie auf dem Bildschirm Bereit zur Konfiguration auf Konfigurieren.
  10. Klicken Sie nach Abschluss der Konfiguration auf Weiter. .Configure
  11. Klicken Sie im Fenster Verbundkonnektivität überprüfen auf Überprüfen. Sie müssen möglicherweise DNS-Einträge konfigurieren (A- und AAAA-Einträge hinzufügen), damit dieser Schritt erfolgreich ausgeführt werden kann. .Screenshot that shows the Verify federation connectivity screen and the Verify button.
  12. Klicken Sie auf Beenden.

Zurücksetzen der Vertrauensstellung zwischen AD FS und Azure

Nun muss die Vertrauensstellung zwischen AD FS und Azure zurückgesetzt werden.

  1. Doppelklicken Sie auf das Azure AD Connect-Symbol, das auf dem Desktop erstellt wurde.
  2. Klicken Sie auf Konfigurieren.
  3. Wählen Sie Verbund verwalten aus, und klicken Sie auf Weiter.
  4. Wählen Sie Azure AD-Vertrauensstellung zurücksetzen aus, und klicken Sie auf Weiter. .Reset
  5. Geben Sie im Fenster Mit Azure AD verbinden den Benutzernamen und das Kennwort für Ihren globalen Administrator oder Hybrididentitätsadministrator ein.
  6. Geben Sie im Fenster Mit Azure AD verbinden den Benutzernamen und das Kennwort für „contoso\Administrator“ ein, und klicken Sie auf Weiter.
  7. Klicken Sie im Fenster Zertifikate auf Weiter.

Testen der Anmeldung mit einem Benutzer

  1. Navigieren Sie zu https://myapps.microsoft.com.
  2. Melden Sie sich mit einem Benutzerkonto an, das in unserem neuen Mandanten erstellt wurde. Sie müssen sich mit folgendem Format anmelden: (user@domain.onmicrosoft.com). Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer lokal anmeldet. Verify

Sie haben nun erfolgreich eine Hybrididentitätsumgebung eingerichtet, die Sie zum Testen verwenden können, und um sich mit den Möglichkeiten von Azure vertraut zu machen.

Nächste Schritte