Wechseln Sie den Authentifizierungsmodus während einer Notfallwiederherstellung

Büro 365 ist oft viel einfacher zu verwalten als eine lokale Infrastruktur und verfügt über mehr Funktionen als andere Cloud-basierte Produktivitätsdienste. Es kann jedoch manchmal kompliziert sein, und Identität und Anmeldung können für die fortschrittlichsten Szenarien viel Infrastruktur erfordern.

Die komplexesten lokalen Bereitstellungen werden häufig verwendet Active Directory-Verbunddienste (AD FS) in Kombination mit DirSync- oder Azure AD Sync-Diensten. Wenn AD FS für Office 365 bereitgestellt und konfiguriert wird, benötigen Endbenutzer die lokale AD FS-Infrastruktur, um auf Cloud-Dienste zugreifen zu können. Dies erfordert mindestens zwei AD FS-Server und zum Veröffentlichen von AD FS im Internet zwei Webanwendungs-Proxyserver.

Beide Dienste erfordern häufig einen Lastausgleich und die Verfügbarkeit an mehreren Standorten. Es ist nicht ungewöhnlich, dass ein Unternehmen Geo-Load-Balancer verwendet, um die Verfügbarkeit des AD FS-Dienstes sicherzustellen oder AD FS-Dienste in Azure zu platzieren IaaS.

Kleine Organisationen oder Organisationen mit einfachen Anforderungen benötigen normalerweise kein AD FS und können stattdessen das einschalten Passwort-Hash-Synchronisierung Funktionen in DirSync- und Azure AD-Synchronisierungsdiensten. Dadurch wird der Hash des AD-Kennworts in Azure AD und Office 365 kopiert, sodass sich Endbenutzer mit demselben Kennwort anmelden können. Kennwortänderungen sind nahezu augenblicklich, da der Prozess zum Übertragen von Kennwortänderungen in die Cloud nicht auf demselben Drei-Stunden-Zeitplan basiert, den DirSync verwendet.

AD FS ist eine wichtige Komponente von Office 365. Daher ist es für Administratoren wichtig zu verstehen, wie sich ein Fehler auf die Authentifizierungsmodi ihres Unternehmens und den Wiederherstellungsprozess im Falle eines Fehlers auswirkt. Unternehmen, die AD FS verwenden, können die DirSync-Kennwort-Hash-Synchronisierung im Hintergrund als Backup aktivieren, um sie im Falle einer Katastrophe größeren Ausmaßes zu verwenden. Dies ermöglicht einen schnellen Wechsel von AD FS und vermeidet möglicherweise die Notwendigkeit einer Ausfallsicherheit für mehrere Standorte.

Microsoft unterstützt dies als Notfallwiederherstellung Option und wir werden sehen, wie dies in der realen Welt funktioniert. Dies ist eine seltene Sache, die Administratoren ansprechen müssen, aber es sollte sofort behoben werden, wenn dies der Fall ist. Die Dokumentation von Microsoft zu solchen Ereignissen ist nicht ganz korrekt. Daher sollte dies die endgültige Anleitung eines Administrators sein, einschließlich der Frage, wie massive Lücken geschlossen werden können.

Wenn eine Katastrophe eintritt

Wenn die Kennwort-Hash-Synchronisierung aktiviert ist, wenn Administratoren DirSync oder Azure AD Sync installieren, wird sichergestellt, dass die Hashes oder Kennwörter vor einer Katastrophe nach Office 365 kopiert werden. Dies hat keinen Einfluss auf die tägliche Nutzung, da AD FS weiterhin Anmeldungen verarbeitet, wenn eine Domäne zusammengeschlossen ist. Die kopierten Passwörter werden nicht verwendet.
Wenn jedoch ein größerer Ausfall auftritt und AD oder AD FS nicht verfügbar sind, möchten Administratoren Zugriff auf die Dienste gewähren, die Office 365 bietet, um die Kommunikation zu erleichtern, während die Systeme wiederhergestellt werden.
Wenn Administratoren derzeit AD FS verwenden, verwenden sie es normalerweise aus einem bestimmten Grund. Ein Wechsel zur Kennwort-Hash-Synchronisierung ist nur eine vorübergehende Antwort auf die Authentifizierungsmodi Ihres Unternehmens, bis die Infrastruktur online geschaltet wird. Im Katastrophenfall müssen Administratoren die richtigen Tools installieren, um auf Office 365 und Azure AD zuzugreifen, und dann jeweils wechseln Verbunddomäne zu einer verwalteten Domain.

Konvertieren Sie zur Verwendung der Kennwortsynchronisierung

Zunächst versuchen wir, auf Office 365 zuzugreifen, wenn AD FS nicht verfügbar ist. Einmal auf den AD FS-Server umgeleitet (normalerweise sts.yourdomain.com) sehen Sie, dass die Seite nicht angezeigt werden kann (Abbildung 1).

Office 365-Ausfallanzeige

Bei weiteren Untersuchungen stellen wir fest, dass ein größerer Ausfall aufgetreten ist. Es ist Zeit, mit der Wiederherstellung von Diensten zu beginnen. Vorausgesetzt, wir haben keinen Zugriff auf die Infrastruktur, müssen wir zunächst die Komponenten herunterladen, die zum Verwalten von Azure AD mithilfe von PowerShell, dem Anmeldeassistenten für Onlinedienste und dem Azure AD-Modul für PowerShell erforderlich sind.
Laden Sie den Anmeldeassistenten herunter aus dem Microsoft Download Center. Um das Azure AD-Modul für PowerShell herunterzuladen, greifen Sie auf zu Office 365-Portal mit einem Administratorkonto, das keine Verbunddomäne verwendet; Wenn Administratoren keine haben, brauchen sie eine.
Navigieren Sie nach dem Anmelden zu Benutzer Aktive Benutzer. Innerhalb Einmalige Anmeldung, wählen Verwalten Laden Sie anschließend das Azure AD-Modul für PowerShell herunter (Abbildung 2).

Laden Sie das Azure AD-Modul für PowerShell herunter

Installieren Sie nach dem Herunterladen zunächst den Anmeldeassistenten und anschließend das Azure AD-Modul für PowerShell.
Anschließend verwenden wir das Azure AD-Modul für PowerShell, um unsere Verbunddomäne in eine verwaltete Domäne umzuwandeln. In einer verwalteten Domäne verwalten Office 365 und Azure AD Kennwörter. Beachten Sie, dass die Richtlinien von Microsoft zum Umgang mit diesem Szenario fehlerhaft sind. Dieser TechNet-Artikel Stellt Befehle bereit, die erwarten, dass der AD FS-Server während des Switches online ist. Das Befolgen der Anweisungen von Microsoft führt zu einem Fehler (Abbildung 3).

Falsche Dokumentation von Microsoft

Stattdessen verwenden wir das Cmdlet Set-MSOLDomainAuthentication, um den Authentifizierungsmodus zu wechseln, ohne dass der AD FS-Server online sein muss:

Connect-MSOLService

Set-MSOLDomainAuthentication -DomainName -Authentication Managed

Administratoren sehen dann eine Reihe von Befehlen (Abbildung 4).

Wechseln Sie den Authentifizierungsmodus ohne AD FS-Anforderung

Warten Sie nach dem Wechsel einige Minuten, bis die Änderungen übernommen wurden, bevor Sie erneut versuchen, auf Office 365 zuzugreifen. Administratoren sollten auf eine standardmäßige verwaltete Office 365-Anmeldeseite umgeleitet werden (und sich mit demselben Benutzernamen und Kennwort wie AD FS anmelden können) (Abbildung 5).

Verwenden Sie AD FS, um sich bei Office 365 anzumelden

Kunden, die Single Sign-On in großem Umfang nutzen, z. B. einen Browser oder die moderne Authentifizierung, sind am stärksten betroffen. Die meisten aktuellen Outlook- und Lync-Clients werden kaum oder gar keine Änderungen sehen.

Wiederherstellen und zurück zu AD FS wechseln

Nachdem die AD FS-Dienste wiederhergestellt oder neu installiert wurden, müssen wir wieder zur Verbundanmeldung wechseln. Führen Sie auf dem wiederhergestellten AD FS-Primärserver die folgenden Befehle aus, um zur Verbundanmeldung zurückzukehren. Dies sollte zu einem sauberen Update ohne Fehler führen (Abbildung 6).

Connect-MSOLService

Convert-MSOLDomainToFederated -DomainName stevieg.org -SupportMultipleDomains

Wechseln Sie zurück zum Verbund-Login

Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden Microsoft Gold-Partner in Großbritannien. Goodman hat seit Version 5.5 intensiv mit Microsoft Exchange und seit seinen Anfängen in Exchange Labs und mit Office 365 zusammengearbeitet [email protected]

Similar Posts

Leave a Reply