Jump to content

Office 365 - SSO und AD-Sync


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich bin grade dabei in einer Testumgebung Office 365 mit AD Sync und SSO zu konfigurieren. Dies ist mein erstes mal wo ich mit Office 365 in Berührung komme, aber eventuell werde ich das bald in einen Projekt brauchen.

 

Leider habe ich aktuell das Problem das ich bei Outlook nicht über den Konto-Assistenten hinweg komme (es wird immer nach User-Credentials gefragt).

 

Ich bin vorgegangen nach Anleitungen von msxfaq.de

 

Gegebenheiten:

AD-Domain : testdom.local

"Echte"-Domain: echtedomain.de (hier als Beispiel)

 

- Zu erst habe ich die Domain echtedomain.de in Office 365 hinzugefügt und verifiziert

 

- Dann habe ich im DC ein UPN Suffix hinzugefügt (echtedomain.de)

 

- Als nächstes habe ich eine neue Zone im DNS auf dem DC angelegt: adfs.echtedomain.de mit einen neuen Host (ohne Namen) der auf die IP des DC verweist (auf diesen dann ADFS installiert wird, ist eine reine Testumgebung erstmal deswegen mit auf dem DC)

-> das ist der erste Schritt wo ich mir nicht ganz sicher bin ob das so korrekt ist, in den ganzen Anleitungen im Netz ist die AD-Domain immer auch die "Online"Domain, da wird nur ein CNAME Eintrag erstellt, da dies bei mir nicht so der Fall ist habe ich es so gelöst, ich hoffe das ist io? Von den Clients wird adfs.echtedomain.de jedenfalls korrekt auf den DC aufgelöst

 

- Dann habe ich auf dem DC ADFS installiert, ein neues Zertifikat erstellt (auf adfs.echtedomain.de) und dieses an die Default Web Site gebunden

 

- Anschließend den ADFS Konfigurationsassistenten durchgegangen -> Neuer Verbundserver -> Eigenständiger Verbundserver -> Zertifikat adfs.echtedomain.de und Verbundname adfs.echtedomain.de waren schon automatisch ausgefüllt bzw ausgewählt -> Fertig

 

-Dann in Powershell folgende Befehle ausgeführt: (kopiert von msxfaq.de und mit meinen Daten angepasst)

 

 

# Die folgenden Befehle muessen in der Office 365 Powershell eingegeben werden.

# eingeben der O365 Admin Credentials
$cred=Get-Credential

# Verbinden mit Office 365
Connect-MsolService -Credential $cred

# Anzeigen bestehender Domains
Get-MsolDomainFederationSettings -DomainName echtedomain.de

# Verbinden mit dem ADFS-Server
Set-MsolAdfscontext -Computer <FQDN des ADFS primary server> (hier bin ich mir nicht sicher -> ich habe hier den internen Namen des Servers angegeben (dcsrv01)

# Aktivieren der Domaene für ADFS
New-MsolFederatedDomain -DomainName echtedomain.de


# dieser Schritt laedt auch das Zertifikat hoch.
Get-MsolDomainFederationSettings -DomainName echtedomain.de

 

-Anschließend habe ich noch DirSync installiert und konfiguriert ...

 

Was ist mein Stand: Ich habe die AD Benutzer in Office 365

Ich habe im AD bei meinen Testuser unter Email händisch die neue Mailadresse eingegeben, also test@echtedomain.de

Das hat auch funktioniert und wurde synchronisiert -> in Office365 wird mir dies jetzt als primäre SMTP Adresse angezeigt

 

Dann habe ich auf einen Client Outlook gestartet ... er erkennt automatisch meinen Namen und die Mailadresse

Klicke ich auf Weiter hängt er bei "Nach test@echtedomain.de-Einstellungen suchen", dann kommt ein Credentials Fenster und da kann ich eingeben was ich will, ich komme nicht weiter....

 

 

Wo kann ich jetzt ansetzen? Was habe ich nicht gemacht?

Ich habe keinen ADFS Proxy installiert und der ADFS Dienst ist derzeit nicht veröffentlicht ... wenn ich das aber alles richtig verstehe ist das für Clients die aus dem internen Netz kommen erstmal egal, richtig?

 

Außerdem kann ich vom Client aus die Adresse https://adfs.echtedomain.de/adfs/services/trust/mex aufrufen ... es wird kein Zertifikatfehler angezeigt und ein XML wird angezeigt, trotzdem habe ich diese Seite mal in die Zone Lokales Intranet mit aufgenommen und auch für die Zone unter Benutzerauthentifizierung den Punkt "Automatische Anmeldung mit aktuellen Benutzernamen und Kennwort" gewählt

 

 

Aber was kann ich den jetzt suchen? Ist wie gesagt nur ein Testsetup, daher der ADFS Server mit auf dem DC.

 

Vielen Dank für eure Hilfe

 

Link zu diesem Kommentar

Erst mal: Warum nimmst Du nicht die Anleitung von Micgosoft? Hast Du Autodiscover im öffentlichen DNS konfiguriert? Erfüllt der Client hnc das Office die Mindestanforderungen von Office 365? Schau Dir vor allem den Patchlevel von Outlook an.

 

Lrtzte Frage: Hast Du später in der Praxis mind. 2 verschiedene Server für ADFS (und zwei weitere für den Proxy)? Falls nicht und Du nur den Sync haben willst, schau Dir nur das Sync-Tool an ohne ADFS. Damit kannst Du dann Same Sign On realisieren.

Link zu diesem Kommentar

Danke erstmal für deine Antwort.

 

Zu deinen Fragen: autodiscover.echtedomain.de ist im öffentlichen DNS konfiguriert und wird von den Clients auch korrekt aufgelöst (geht ja zu Microsoft auf einen Host den es mir im Portal anzeigt)

 

Der Client ist Outlook 2013 aus dem Office365 Portal (das ist zur Zeit ein 30 Tage Midsize Business - Test wo Office Professionel Plus enthalten ist). Geupdatet hab ich allerdings noch nicht ... um ehrlich zu sein habe ich das Gefühl das es daran liegt das er gar nicht meinen ADFS Server anspricht

 

in der Praxis später habe ich für jeden Dienst einen eigenen Server natürlich (also DC, ADFS, ADFS Proxy). Aktuell ist das alles eine reine Testumgebung auch mit einer Testdomain.

 

Kurze Frage noch: Für mein jetzigen Stand was ich will (also SSO aus dem internen Netz) ist der ADFS Proxy noch nicht nötig, richtig? Dieser ist in meiner Testumgebung noch nicht installiert, aber wenn ich das alles richtig verstehe ist dieser ja auch erst nötig wenn Clients von außerhalb der eigenen Domain zugreifen korrekt?

Link zu diesem Kommentar

Für Ausfallsicherheit brauchst Du für jeden Dienst mindestens zwei Server. Am besten auch zwei Internetanbindungen. Die Verfügbarkeit Deiner Infrastruktur bestimmt dann die Verfügbarkeit Deines O36&-Tenants.

 

Daher meine Frage: Brauchst Du Single Sign On oder Same Sign On?

Siehe dazu http://office365evangelist.com/?p=1144

 

Den ADFS-Proxy brauchst Du, wenn Du keinen direkten Zugriff aus dem Internet ins LAN erlauben willst. Dann stellt man die ADFS-Proxy-Farm in die DMZ.

 

Anleitung zur Konfiguration http://technet.microsoft.com/en-us/library/jj205462.aspx und http://blogs.technet.com/b/canitpro/archive/2013/06/13/step-by-step-setting-up-ad-fs-and-enabling-single-sign-on-to-office-365.

 

Woher hast DuDas SSL-Zertifikat? Selbst erstellt oder ist eins einer öffentlichen CA?

 

Bitte geh mal auf den Office 365 Tab und teste SSO: https://testexchangeconnectivity.com/

Link zu diesem Kommentar

Du hast recht, ich habe schon vor dem Thrad hier über Same Sign On nachgedacht ob das nicht besser wäre und mich gestern dazu entschieden, da es doch eine relativ kleine Umgebung ist und ADFS Farm und mehrere Anbindungen wohl etwas überdimensioniert ist ... Sollte das Internet beim Kunden ausfallen kann er so zumindest noch via Active Sync von den mobilen Geräten aus zugreifen ... das habe ich gestern auch konfigueriert und funktioniert :-)

 

Darf ich dich gleich noch zum Thema Lizensierung fragen???

Also mir sind ein paar Punkte nicht ganz klar:

 

1. Warum kann ich, wenn ich den Benutzern in Office 365 Lizenzen zuweise, die einzelnen Produkte wählen? Angenommen ich habe 50 Midsize Lizenzen, kann ich dann 100 Benutzer synchronisieren, wovon ich bei 50 Benuztern Exchange anhacke und bei den anderen 50 SharePoint? Oder sind das eher eine Art "Rechte", wovon aber immer eine Midsize Business Lizenz gezählt wird, unabhängig davon wieviel angehackt ist?

 

Letztendlich ist das für mich nicht ganz wichtig, denn es geht bei dem Kunden rein um Exchange und das enthaltene Office, andere Anwendungen werden nicht genutzt, ist eher Interesse halber.

 

 

2. Es wird ja nach Benutzern lizensiert.Sind bei Office 365 Benutzer = synchronisierte und angehackte (siehe oben) User in dem Fall?

Z.b. erstelle ich einen "dummy" User info, der im Exchange Online die info@echtedomain.de zugewiesen bekommt. Auf diesen Benutzer info haben andere Benutzer Vollzugriff und das Recht zu versenden. Der User info ist aber ein reiner Dummy User, kein Benutzer meldet sich mit diesem Namen am Terminalserver an. Es wird für diesen dann aber trotzdem eine Lizenz benötigt richtig?

 

 

3. Wenn 2 korrekt ist, das Benutzer Dummy Info eine Lizenz benötigt hab ich gleich noch eine Frage. Gegeben ist eine reine Terminalserver Umgebung... Dort ist dann später ein Volumen Office installiert, welches ja über Office 365 lizenzsiert wird. Jetzt verbraucht in meinen Fall ein Dummy User info ja eine Office365 Midsize Lizenz ... zu dieser Lizenz gehört ja aber auch Office. Da ja aber niemals info sich am Terminal anmeldet, ist diese Office Lizenz "ungenutzt". Kann ich dann diese Office Lizenz einen anderen Benutzer "geben", der wiederrum jedoch kein Office 365 Lizenz benötigt weil er kein Mailkonto etc. hat sondern nur zb. Excel verwendet. Also nochmal zur Verdeutlichung:

 

Ich habe eine Midsize Business Lizenz ..

2 Benutzer Accoutns in meiner Domain: einmal Info (ein Dummy User der real als Benutzer nicht existiert und sich so auch nicht am Terminal anmeldet)

und einen User Max Mustermann, der sich am Terminal anmeldet, das Office was installiert ist gern nutzen möchte aber keinen Zugriff auf Office 365 und die entsprechenden Anwendungen benötigt.

 

Funktioniert das oder bräuchte ich dann trotzdem 2 Midsize Lizenzen???

 

 

 

 

Ich denke das wars erstmal was ich an Fragen habe, vielen Dank

Link zu diesem Kommentar

1. Warum kann ich, wenn ich den Benutzern in Office 365 Lizenzen zuweise, die einzelnen Produkte wählen? Angenommen ich habe 50 Midsize Lizenzen, kann ich dann 100 Benutzer synchronisieren, wovon ich bei 50 Benuztern Exchange anhacke und bei den anderen 50 SharePoint? Oder sind das eher eine Art "Rechte", wovon aber immer eine Midsize Business Lizenz gezählt wird, unabhängig davon wieviel angehackt ist?

 

Office 365 wird benutzerbezogen lizenziert. Eine Lizenz = ein Benutzer. Die Lizenzen sind nicht aufspaltbar. Wenn Du also 100 x Office 365 Midsize Business kaufst, dann kannst Du 100 Benutzer damit ausstatten.

 

Letztendlich ist das für mich nicht ganz wichtig, denn es geht bei dem Kunden rein um Exchange und das enthaltene Office, andere Anwendungen werden nicht genutzt, ist eher Interesse halber.

 

Dan sollte er eine Midsize Business pro Benutzer kaufen und den Rest einfach nicht nutzen. Die Buchung der Einzeldienste Exchange Online plus Office 365 ProPlus aus der Enterprise-Planfamilie ist teuer als die Suite, die einen sehr attraktiven Preis hat. Dafür gibt es zwar auch Unterschiede in den Nutzungsberechtigungen, aber die hast Du sicher verglichen?

 

2. Es wird ja nach Benutzern lizensiert.Sind bei Office 365 Benutzer = synchronisierte und angehackte (siehe oben) User in dem Fall?

Z.b. erstelle ich einen "dummy" User info, der im Exchange Online die info@echtedomain.de zugewiesen bekommt. Auf diesen Benutzer info haben andere Benutzer Vollzugriff und das Recht zu versenden. Der User info ist aber ein reiner Dummy User, kein Benutzer meldet sich mit diesem Namen am Terminalserver an. Es wird für diesen dann aber trotzdem eine Lizenz benötigt richtig?

 

Du brauchst für jeden Benutzer eine Lizenz, dem Du eine Lizenz in Office 365 zuweisen möchtest. Für Funktionspostfächer brauchst Du keine Lizenz. Die sind kostenlos dabei (Stichwort freigegebene Postfächer). Oder Du nimmst dafür einen öffentlichen Ordner.

 

3. Gegeben ist eine reine Terminalserver Umgebung... Dort ist dann später ein Volumen Office installiert, welches ja über Office 365 lizenzsiert wird. Jetzt verbraucht in meinen Fall ein Dummy User info ja eine Office365 Midsize Lizenz ... zu dieser Lizenz gehört ja aber auch Office. Da ja aber niemals info sich am Terminal anmeldet, ist diese Office Lizenz "ungenutzt". Kann ich dann diese Office Lizenz einen anderen Benutzer "geben", der wiederrum jedoch kein Office 365 Lizenz benötigt weil er kein Mailkonto etc. hat sondern nur zb. Excel verwendet. Also nochmal zur Verdeutlichung:

 

Erst einmal: Zur Installation von Office Professional Plus 2013 auf dem Terminal Server brauchst Du mindestens einen Datenträger und Key. Den bekommst DU nicht über Office 365. Da Du eh Office 365 Midsize Business über einen Volumenlizenzvertrag kaufen musst, kaufst Du dazu ein mal Office 2013 Professional Plus zur Installation, falls Du noch keine solche Version zum Installieren hast.

 

Da das freigegebene Postfach keine Lizenz braucht, hat sich der Rest der Frage erübrigt, richtig?

Link zu diesem Kommentar

Doch das dumme Postfach benötigt eine Lizenz da ich diesen ja als normalen User im Ad anlegen muss, denn über öffentliche Ordner bzw. Freigegebene Postfächer Habe ich ja keine Active Sync Möglichkeit.

Den Dumme stattdessen kann ich auf mehreren Geräten, alle die eben auch zusätzlich Zugriff auf zB info@ haben, einrichten

 

Edit: Deswegen wäre 3. für mich noch offen wenn du mir das noch beantworten kannst :-)

 

Überall wo dumme steht das soll dummy heißen, iphone autokorrektur ..

bearbeitet von Leuchtkondom
Link zu diesem Kommentar

Na ganz einfach, ich habe zB. 4 AD Benutzer und 3 Office365 Midsize Lizenzen.Benutzer 1: Max Mustermann mit max@domain.deBenutzer 2: Susi Mustermann mit susi@domain.deDas beides sind "echte" Personen die es auch gibt und die am Terminalserver auch arbeiten.Nun habe ich noch einen Dummy-AD Benutzer mit dem Namen info und der Mailadresse info@domain.de.Auf dieses Postfach erhalten Susi und Max Vollzugriff damit beide auf die InfoAdresse zugreifen können und von dieser auch senden können.Warum mache ich das über solch einen dummy User? Weil ich so auf den iphones von Susi und Max, wo natürlich ihre persönlichen Adressen bereits eingerichtet sind, so auch die Info Adresse einrichten kann und beide Handys so zugriff auf die Mails von Info haben.Aber info ist nur ein virtueller Benutzer. Dahinter steht keine Person, die sich so am Terminalserver anmeldet, das Kennwort ist auch niemanden bekannt (außer dem Admin natürlich)Nun habe ich noch einen 4. AD Benutzer, zB einen Azubi. Dieser hat mit Office365 nichts zu tun, nutzt weder Exchange, noch Lync oder Sharepoint....ABER er nutzt das Office auf dem Terminalserver.Nun meine Frage: Brauche ich 3 Midsize Lizenzen oder 4? Denn zu jeder Midsize Business Lizenz gehören ja die Onlinedienste sowie das Office als Desktopversion. Kann nun ich sag mal einfach gesagt der Azubi das lizensierte Office von Info (der ja nie wirklich arbeitet und sich anmeldet, sondern nur ein Exchangekonto hat und somit die Officelizenz "ungenutzt ist") nutzen?

 

Scheiße sorry aber es hat mal wider alle Absätze entfernt, versteh das nicht :-(

bearbeitet von Leuchtkondom
Link zu diesem Kommentar

Nun habe ich noch einen Dummy-AD Benutzer mit dem Namen info und der Mailadresse info@domain.de.Auf dieses Postfach erhalten Susi und Max Vollzugriff damit beide auf die InfoAdresse zugreifen können und von dieser auch senden können.Warum mache ich das über solch einen dummy User? Weil ich so auf den iphones von Susi und Max, wo natürlich ihre persönlichen Adressen bereits eingerichtet sind, so auch die Info Adresse einrichten kann und beide Handys so zugriff auf die Mails von Info haben.

 

Der Knackpunkt hier ist das Senden als Info-Postfach von den iPhones über ActiveSync. Wenn das ein Must have-Feature ist, dann brauchst Du dafür ein eigenes Postfach mit einer eigenen Lizenz. Wenn es reicht, dass die Benutzer die Info-Mails empfangen und von ihrem Outtook oder OWA mit der Info-Adresse senden sollen können, dann geht das mit einer Verteilerliste.

 

Alternativ kannst Du auch den Zugriff vom iPhone über IMAP probieren. Das ist zwar nicht offiziell supported, sollte aber wie bei einem normalen Exchange-Server funktionieren. Als Usernamen nimmst Du dann user@domain.tld\info@domain.tld. Das habe ich bei Office 365 noch nicht ausprobiert, aber bei einem normalen Exchange-Server kann man so auf andere Postfächer zugreifen, auf die man Full Mailbox- und Send as-Berechtigung hat.

 

Das Aufsplitten der Lizenz geht nicht. Wenn der Azubi nur Office auf dem Terminalserver nutzen soll, dann kannst Du ja auch für ihn die Office 2013 Professional Plus-Lizenz verwenden, die Du eh zusätzlich haben musst, um überhaupt auf dem Terminalserver Office installieren zu können.

 

Have fun!

Daniel

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...