Azure AD -> LDAP -> Umzug auf neuen Server

[Pankoke 0]

Hallo liebes Forum,
zu Beginn: Ich bin absolut ein Neuling auf dem Gebiet und habe eine generelle Frage.

An unserer Schule benutzen wir einen alten Server auf dem ein Windows Connector und ein LDAP Server läuft. Über den LDAP Server synchronisieren wir unsere Office Benutzer Konten, d.h. lege ich einen neuen LDAP User an, so wird er auch automatisch in der Office Welt angelegt. 

Nun zum Ziel:
Wir möchten nun von dem alten Server umziehen auf ein neues System, ohne den "alten" LDAP Server zu benutzen. Nach ersten Rückfragen beim ortsnahen "MS" Experten sei dies nicht möglich. Wir würden alle Benutzerkonten verlieren. Dies würde mit der eindeutigen Benutzer-ID zusammenhängen. Auch wenn wir bspw. die gleichen Benutzer anlegen würden, würde er immer neue Benutzer erstellen aufgrund der unterschiedlichen ID.

(Sry für die fehlende Fachsprache ;))

Ist das wirklich so? Als Vorschlag steht im Raum jeweils für die Kolleginnen und Kollegen einen doppelten Account anzulegen und damit alle ihre Daten "rüberkopieren" können. Das sollte aber wirklich die letzte Möglichkeit sein :(

Mein Idee:
LDAP Synchronisation trennen und die Verwaltung dem Azure AD überlassen? Also die Daten vom LDAP zum Azure AD migrieren? 

Danke für eure Aufklärung -> Ich hoffe ich bin an der richtigen Stelle gelandet ;)
LG

[Dukel 454]

Was für ein Windows Connector und was für ein LDAP Server?

Ist ein Active Directory im Einsatz?

[cj_berlin 1.315]

Bitte auf Cross-Posting hinweisen!

https://social.technet.microsoft.com/Forums/de-DE/d2417501-fffb-44cc-9e6d-927c15f1bb48/azure-ad-gt-ldap-gt-umzug-auf-neuen-server?forum=azurede

[Pankoke 0]

vor 39 Minuten schrieb Dukel:

Was für ein Windows Connector und was für ein LDAP Server?

Ist ein Active Directory im Einsatz?

Windows Server 2016

OpenLDAP

 

Mehr Informationen bekomme ich gerade nicht heraus, da es ein abgeschlossenes System von einem Dienstleister (für Schulen nicht für MS) ist. Im Admin-Azure AD Center sehe ich noch folgendes:

----

Azure AD Connect

Status

Nicht aktiviert

----

Wenn ich auf einen Benutzer klicke, sehe ich:

----

Quelle

Azure Active Directory

----

Wie gesagt, auf den alten Server komme ich leider nicht, siehe oben.

 

Externe Hilfe (gegen Bezahlung) würden wir gerne in Anspruch nehmen, aber ehrlicherweise weiß ich gar nicht so genau, wo nach ich Ausschau halten muss. "Azure AD Connect - Migration" ? 

 

Danke vielmals. 

 

[NorbertFe 2.034]

Also mit den Infos wird es schwer. Office Benutzer meint dann o365?

 

ich würde dann evtl. Einen nicht Ortsnahen Dienstleister hinzuziehen, der sich das Problem mal anschaut. Wahrscheinlich zielführender als alles andere.

[Pankoke 0]

vor 49 Minuten schrieb NorbertFe:

Also mit den Infos wird es schwer. Office Benutzer meint dann o365?

 

ich würde dann evtl. Einen nicht Ortsnahen Dienstleister hinzuziehen, der sich das Problem mal anschaut. Wahrscheinlich zielführender als alles andere.

 

Genau, alle Lehrer und Schüler haben ein ms365 Konto und entsprechende Lizenzen für teams, one note etc... 

Benutzer werden in den LDAP Server angelegt und dann in Office übernommen/synchronisiert (eine Richtung) .. 

Ich kann leider nicht mehr Infos geben, außer die die man im Office admin Center einsehen könnte. 

 

 

Absolut, nach welchen Spezifikationen muss ich den drauf achten? 

Ist es denn möglich, dass die Benutzer neu angelegt werden müssen unter speziellen Bedingungen?

Danke... 

[NorbertFe 2.034]

Der azureadconnect läuft afaik nur mit dem lokalen active Directory. Also wäre erstmal zu klären, wie die Nutzer vom LDAP ins azuread kommen.

[testperson 1.677]

AD Connect kann AFAIK auch "LDAP". Allerdings mit folgendem Hinweis:

Zitat

Note

LDAP Connectors are an advanced configuration requiring some familiarity with Forefront Identity Manager and/or Microsoft Identity Manager. If used in production, we advise questions about this configuration should go through Premier Support or Microsoft Partner Network.

(LDAP synchronization with Azure Active Directory | Microsoft Docs)

[NilsK 2.934]

Moin,

 

für mich hört sich das an, als würde da eine Schulsoftware als geschlossenes System laufen. Anders ist ein OpenLDAP auf einem Windows-Server kaum zu erklären. Ich würde da also nicht vorschnell irgendwas ändern. Es mag "gebastelt" sein, aber wenn es nicht mehr funktioniert, wäre das gerade jetzt doch eher problematisch.

 

Gruß, Nils

 

[NorbertFe 2.034]

Sehe ich genauso.

[Pankoke 0]

vor 6 Minuten schrieb NilsK:

Moin,

 

für mich hört sich das an, als würde da eine Schulsoftware als geschlossenes System laufen. Anders ist ein OpenLDAP auf einem Windows-Server kaum zu erklären. Ich würde da also nicht vorschnell irgendwas ändern. Es mag "gebastelt" sein, aber wenn es nicht mehr funktioniert, wäre das gerade jetzt doch eher problematisch.

 

Gruß, Nils

 

Guten Morgen zusammen,

ja genau so eine Schulsoftware als geschlossenes System ist es (ev. doch ein Linux Server). Leider ist der Server schon sehr in die Jahre gekommen und zudem hat er nun auch eine defekte Puffer-Batterie. Wir, als Schule, arbeiten gerade extrem mit Teams und OneNote im Distanzunterricht und sind komplett drauf angewiesen.

Wenn der LDAP Server (Server) nicht erreichbar ist, würden wir ja keine Anmeldemöglichkeiten mehr haben in der Office Welt, richtig?

Wobei auf deren HP steht:

Zitat

 

Funktioniert der Zugang auch, wenn der Schulserver nicht erreichbar ist?

Ja, die Anmeldung an Office 365 funktioniert auch wenn der Schulserver nicht erreichbar ist.

 

 

Unser Schulträger möchte am liebsten den Dienstanbieter wechseln aufgrund mehrerer Komplikationen etc. -> Die Office Konten sind dabei scheinbar ein Problem. Die Angst besteht halt darin das alle Konten (Lehrer und Schüler etc.) neu aufgesetzt werden müssen. 

 

Im Info-Schreiben steht immer: 
"LD Azure Connect" - "Office 365-Connector LD Azure Connect"

[NilsK 2.934]

Moin,

 

um es klar zu sagen: Bei der Problemlage kommt ihr mit einem Forum nicht weiter. Sucht euch jemanden, der euch vor Ort unterstützt.

 

Gruß, Nils

 

[testperson 1.677]

Hi,

 

sollte es tatsächlich um einen LDAP Abgleich mit AD Connect halten, dann zitiere ich nochmal einen Teil meines Zitates:

Zitat

If used in production, we advise questions about this configuration should go through Premier Support or Microsoft Partner Network.

 

Ansonsten wirf mal hier (Teams für Schulen (msxfaq.de)) einen Blick drauf. Auf der Seite finden sich - meiner Meinung nach - halt schon genug Besonderheiten und ggfs. auch ein ortsfremder Dienstleister, der scheinbar bereits Erfahrung in diesem Bereich hat.

 

Gruß

Jan

[Pankoke 0]

vor 48 Minuten schrieb NilsK:

Moin,

 

um es klar zu sagen: Bei der Problemlage kommt ihr mit einem Forum nicht weiter. Sucht euch jemanden, der euch vor Ort unterstützt.

 

Gruß, Nils

 

 

Ich bedanke mich bei allen für die Hilfen!

Ein erster angefragter Dienstleister hat uns abgeblockt -> Wohl kein große Gewinnspanne / Risiken? zu erwarten...

Ich werde jetzt aber weiter suchen, generell ging es erstmal darum ob es überhaupt eine Möglichkeit gibt, die Konten beizubehalten, wenn ein Umzug auf einen neuen LDAP Server (mit gleichen Benutzernamen etc.) möglich ist.

 

Zumindest habe ich jetzt noch weitere Informationen gesammelt:

Linux Server - Azure AD Connect mit Active Directory und LDAP v3 server 

Azure AD -> Azure Cloud Konten existieren -> Laut Dienstleister ist bei einem Ausfall des Servers trotzdem noch die Weiterarbeit mit Office Apps möglich, lediglich Änderungen der Benutzer / Passwörter gehen dann logischerweise nicht rüber. Das beruhigt doch jetzt schon ein wenig ;)

 

Merci...

 

 

[NilsK 2.934]

Moin,

 

das ist kein Linux-Server, sondern ein Windows-Server, auf dem eine Open-Source-Komponente läuft. Linux wäre ein anderes Betriebssystem, auf dem würde dann aber kein Active Directory laufen.

 

Gruß, Nils