SSL erstellen für AD sync

[Seppim 14]

Guten Morgen,

 

ich möchte gerne die AD User unserer company.local domain zu Microsoft 365 syncen.

 

Ich hänge an dem Punkt, wo ich die AD FS-Farm konfigurieren muss. Ich benötige ja ein SSL Zertifikat für den Windows 2019 server, richtig?

 

Ich habe zwar nach Anleitung von hier:

https://www.windowspro.de/script/new-selfsignedcertificate-selbstsignierte-zertifikate-ausstellen-powershell

 

ein cert erstellt ... ist aber nicht gültig schreibt er beim Einrichten.

 

Hätte jemand bitte einen passenden Tipp?

 

Danke!

[NorbertFe 2.034]

vor 11 Minuten schrieb Seppim:

Ich hänge an dem Punkt, wo ich die AD FS-Farm konfigurieren muss.

Adfs hat mit dem Sync wenig zu tun, denn den übernimmt der AADC. Das ist eine von drei Optionen, damit auch deine User an ms Cloud Services anmelden können.

 

mit selfsigned würde ich an der Stelle gar nicht erst anfangen.

 

bye

norbert

[Seppim 14]

Hallo Norbert,

 

danke ... wie sollte ich dann den Sync einrichten?

 

Die User sollen hochgesynct werden und die Kennwörter der AD auch

[Dukel 454]

Du solltest erstmal überlegen was du willst.

Usersync via AADC brauchst du eh. Die Frage ist, ob du die Passwort Hashes (!) in der Cloud haben willst oder nicht.

Wenn nicht, ob du ADFS oder Pass-Throught nutzen möchtest. ADFS ist eher etwas für größere Unternehmen.

[Seppim 14]

Nun, ich möchte nur das die user er OU xy in Microsoft 365 angelegt werden. Die Passwörter der User sollen mit gesynct werden.

 

Ein Rücksync der Passwörter ist nicht nötig.

 

 

Ok, beim Setup ist dann wohl doch die erste Option richtig.

 

scheint nun zu laufen. Danke!

[Dukel 454]

Zum Verständnis! Die Passwörter werden nicht gesynct, sondern nur die Hashes (bzw. die Hashes der Hashes). Passwörter will man nicht ausserhalb der eigenen Umgebung haben!

 

Ich hätte mir aber mehr Gedanken gemacht, bevor ich AADC so konfiguriere und mir die Unterschiede angeschaut. Die Pass-Through Auth. ist eine gute alternative und hat den Vorteil, dass die Passwort-Hashes nicht bei MS landen.

[Seppim 14]

danke für deine Hilfe ... hab mir PTA angeschaut ... das heißt aber das die Authentifizierung über den lokalen AD erfolgt?

 

Was aber wiederum heißt, wäre dieser nicht erreichbar, könnte man sich nimmer in MS365 anmelden, richtig?

[Dukel 454]

Ja. Wann war das Lokale AD einmal nicht verfügbar und hatte man da dann nicht andere Probleme?

Aber deswegen macht man sich erst Gedanken, überlegt seine Anforderungen und sucht dann seine Lösung heraus.

[NorbertFe 2.034]

vor 2 Stunden schrieb Seppim:

Die User sollen hochgesynct werden und die Kennwörter der AD auch

Und wofür brauchst du dann ADFS? ;) Das ist dafür, dass man eben genau NICHT die Kennworte synchen muss. Wie wärs, wenn du dir Password Hashsync, Passthrough Auth und ADFS mal in dem Zusammenhang bei MS durchliest?

vor 2 Stunden schrieb Dukel:

ADFS ist eher etwas für größere Unternehmen.

Oder für die, die das sowieso für andere Clouddienste nutzen (wollen).

vor einer Stunde schrieb Seppim:

das heißt aber das die Authentifizierung über den lokalen AD erfolgt?

Ja, was glaubst du denn, wie das bei ADFS wäre?

vor einer Stunde schrieb Seppim:

Was aber wiederum heißt, wäre dieser nicht erreichbar, könnte man sich nimmer in MS365 anmelden, richtig?

Ja, aber dafür liegen deine Hashes nicht in der Cloud. ;) Wenn das alles egal ist, dann wärs wie schon geschrieben sinnvoll, wenn man sich vorher GEdanken macht was man eigentlich will/braucht.

[Seppim 14]

Ja danke ... ihr habt mir sehr geholfen.

 

Das es so zahlreiche Optionen gibt wusste ich zu Beginn nicht

[NorbertFe 2.034]

vor 7 Minuten schrieb Seppim:

Das es so zahlreiche Optionen gibt wusste ich zu Beginn nicht

Ganze 3. ;)

[Seppim 14]

3 minutes ago, NorbertFe said:

Ganze 3. ;)

eher was dahinter steckt