Réseaux Sociaux

Si vous travaillez sur un projet Office 365 ou Azure, vous avez forcément du entendre parler de la synchronisation des identités dans Azure Active Directory. Avant de se lancer dans la synchronisation de votre annuaire Active Directory dans le cloud, vous devrez choisir avec soin le bon outil de synchronisation.

Pour y voir plus clair, je vous propose de faire le point ensemble sur les différents outils à votre disposition, ainsi que leurs differences fondamentales.

  1. Directory Sync
  2. Azure AD Sync
  3. Azure AD Connect
  4. Chemins de migration

Directory Sync tool (DirSync)

Cet outil possède en fait bien des noms ! Certains l’appelent DirSync, d’autres Azure Directory Sync ou encore Office 365 DirSync et j’en passe… Historiquement, DirSync est le tout premier outil de synchronisation des identités dans le cloud. C’est également lui qui est encore proposé en téléchargement depuis le tenant Office 365.

De nombreuses personnes utilisent encore le terme DirSync pour designer de manière générique l’outil de synchronisation vers Azure, je vous conseille cependant de toujours utiliser le bon nom pour éviter toute confusion.

Historique des versions

Version Date de publication
1.0.7020.0000 31/07/2014
1.0.6985.0000 22/07/2014
1.0.6862.0000 05/06/2014
1.0.6765.0006 18/04/2014
1.0.6694.0086 18/04/2014
1.0.6593.0012 03/02/2014
1.0.6567.0018 22/11/2013
1.0.6467.0010 19/08/2013
1.0.6455.0815 12/08/2013
1.0.6455.0807 07/08/2013
1.0.6438.0003 24/07/2013
1.0.6411.0007 25/06/2013
1.0.6385.0029 06/06/2013
1.0.6385.0012 31/05/2013

Fonctionnalités

Fonctionnalité Statut
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Non supporté*
Synchronisation multi-forêts Non
Choix de l’attribut pour l’UPN Office 365 Non supporté*
Support d’annuaires LDAP tiers Non
Aide à la configuration ADFS Non
Mode «staging» Non
Cmdlets PowerShell Oui

* possible en changeant les paramètres des connecteurs, mais non supporté par Microsoft

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Non
Synchronisation des devices Non

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Non
Write-back des groupes de distribution Non
Write-back des groupes de sécurité Non
Write-back des groupes Office 365 Non
Write-back des utilisateurs Office 365 Non
Write-back des contacts Non

 

Azure Active Directory Sync (AADSync)

Azure Active Directory Sync est le remplaçant de DirSync. Toujours basé sur le moteur de Forefront Identity Manager 2010 R12 (FIM), il introduit des nouveautés majeures : le support du password write-back et de la synchronisation multi-forêt. L’édition et la création de nouvelles règles de synchronisation est déportée dans une nouvelle interface : Synchronization Rules Editor.

Dans cette mouture, seul Active Directory est supporté en tant qu’annuaire source.

Historique des versions

Version Date de publication
1.0.0494.0501 02/05/2015
1.0.0491.0413 16/04/2015
1.0.0485.0222 23/02/2015
1.0.0475.1202 16/12/2014
1.0.0470.1023 27/10/2014
1.0.0419.0911 15/09/2014

Fonctionnalités

Fonctionnalité Statut
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Oui
Synchronisation multi-forêts Oui
Choix de l’attribut pour l’UPN Office 365 Oui
Support d’annuaires LDAP tiers Non
Aide à la configuration ADFS Non
Mode «staging» Non
Cmdlets PowerShell Oui

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Non
Synchronisation des devices Non

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Oui*
Write-back des groupes de distribution Non
Write-back des groupes de sécurité Non
Write-back des groupes Office 365 Non
Write-back des utilisateurs Office 365 Non
Write-back des contacts Non

* nécessite une licence Azure Active Directory Premium

 

Azure Active Directory Connect (AADConnect)

Azure Active Directory Connect est le remplaçant d’Azure AD Sync. AADConnect introduit une nouvelle interface de configuration permettant de mieux guider les administrateurs dans la mise en place de leur synchronisation. Il est désormais possible de choisir entre la synchronisation des mots de passe ou la mise en place d’une infrastructure ADFS/ADFS Proxy. Le programme va ensuite piloter le déploiement de ces rôles.

AADConnect est pour l’instant en version Preview, et n’est pas supporté dans un environnement de production (sauf pour les clients membres du programme TAP).

Historique des versions

Version Date de publication
1.0.628.2 (Public Preview 2) 20/03/2015
1.0.628.1 (Public Preview 1) 04/08/2014

Fonctionnalités

Fonctionnalité Statut
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Oui
Synchronisation multi-forêts Oui
Choix de l’attribut pour l’UPN Office 365 Oui
Support d’annuaires LDAP tiers Dans une future release
Aide à la configuration ADFS Oui
Mode «staging» Oui
Cmdlets PowerShell Oui

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Oui*
Synchronisation des devices Oui*

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Oui*
Write-back des groupes de distribution Dans une future release*
Write-back des groupes de sécurité Dans une future release*
Write-back des groupes Office 365 Oui*
Write-back des utilisateurs Office 365 Oui*
Write-back des devices Oui*
Write-back des contacts Dans une future release*

* nécessite une licence Azure Active Directory Premium

 

Chemins de migration

Voici un tableau récapticulant les possibilités de migration d’un outil de synchronisation à un autre :

 

Migration de vers Azure AD Connect Public Preview 2 vers Azure AD Connect GA
DirSync (< 50 000 objets) Réinstallation par-dessus via le Wizard Réinstallation par-dessus via le Wizard
DirSync (> 50 00 objets) Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard
Filtrage des attributs AD utilisateur dans DirSync Bloqué Bloqué
Azure AD Sync (toute version) Réinstallation par-dessus via le Wizard Réinstallation par-dessus via le Wizard
Azure AD Connect Public Preview 1 (Décembre 2014) Bloqué Bloqué
Azure AD Connect Public Preview 2 (Mars 2015) - Réinstallation par-dessus via le Wizard

Légende :

  • Réinstallation par-dessus via le Wizard : il n’est pas necessaire de désinstaller l’ancienne version de l’outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l’assistant d’installation devrait migrer vos paramètres de manière transparente. Cette migration s’appelle une migration « In-place ».

     

  • Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d’exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migrations’appelle une migration « side-by-side ».

     

  • Bloqué : ce scénario n’est pas supporté et une résinstallation par-dessus sera bloquée par l’assistant. Il convient de désinstaller l’ancien outil puis d’installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées…).

Étiquettes : , , , , , , , , , , , , , ,

  

Depuis Windows Server 2012 R2, ADFS et Web Application Proxy utilisent une fonctionnalité du protocole SSL/TLS : Server Name Indication (SNI). SNI permet d’inclure dans le header de la demande le hostname du serveur auquel il essaye d’établir une négociation TLS. Cela est notamment très utile afin d’utiliser plusieurs hostnames et plusieurs certificats SSL différents dans IIS sur une même interface réseau.

Cependant, certains clients ne supportent pas encore cette nouvelle fonctionnalité, et c’est le cas des clients :

  • Lync 2010 pour Android
  • Lync 2013 pour Android
  • Lync sous Windows Phone 7.8

Symptômes

Vous essayez de vous connecter à Lync Online au travers d’un compte fédéré via ADFS 3.0 sous Windows Server 2012 R2. Vous obtenez le message « We can’t sign you in. Please try again » sous Lync 2013 pour Android.

 

lync can't sign you in

 

Résolution

Les clients Lync Android et Windows Phone 7.8 n’étant pas compatibles avec SNI, vous devrez effectuer une manipulation sur vos serveurs ADFS internes et Web Application Proxy afin de rajouter un binding dédié.

Sur vos serveurs ADFS internes

  1. Ouvrez une invite de commande cmd en tant qu’administrateur
  2. Tapez la commande netsh http show sslcert pour afficher la liste des bindings configurés par ADFS
  3. Repérez et copiez quelque part les valeurs Certificate Hash et Application ID du binding lié à votre service ADFS (dans mon cas : adfs.home.maximerastello.com)

      

    netsh bindings sslcert

      

  4. Tapez la commande netsh http add sslcert ipport=0.0.0.0:443 certhash=<votre hash> appid={votre app id} en remplaçant par les valeurs notées à l’étape 3
  5. Redémarrez le service Active Directory Federation Services

Note : pour le service ADFS 2012 R2, l’app ID est censé être {5d89a20c-beab-4389-9447-324788eb944a}

 

netsh bindings sslcert 2

 

Important : N’oubliez pas de répéter cette opération sur tous les serveurs de votre ferme ADFS

Sur vos serveurs Web Application Proxy

Effectuez la même opération que sur les serveurs ADFS internes sur tous les serveurs WAP de votre ferme, et n’oubliez pas de redémarrer à chaque fois les services suivants :

  • Active Directory Federation Services
  • Web Application Proxy Controller Service

 

Vous êtes désormais en mesure de vous connecter à Lync Online via le client Android.

Étiquettes : , , , , , , , , , , , ,

  

Un bug a été détecté dans Azure AD Connect Preview, empêchant la désinstallation complète du produit.

En effet, lorsque vous souhaitez désinstaller le programme via Programs and Features, la désinstallation de Microsoft Azure Active Directory Connect Tool (Preview) ne désinstalle pas automatiquement l’outil de synchronisation Microsoft Azure AD Sync.

 

Uninstall AADConnect Preview

 

Il vous sera donc impossible de réinstaller correctement l’outil, et un nettoyage manuel sera nécessaire. Microsoft est au courant de ce problème et doit le corriger pour la sortie officielle du produit.

Solution

Nous n’avez pas encore désinstallé Azure AD Connect (ouf)

La solution de contournement consiste à désinstaller d’abord Microsoft Azure AD Sync AVANT de désinstaller Azure AD Connect Preview.

Pour cela :

  1. Ouvrez une Invite de Commande en tant qu’administrateur
  2. Tapez la commande cd « C:\Program Files\Microsoft Azure Active Directory Connect »
  3. Tapez ensuite la commande DirectorySyncTool.exe /uninstall

      

    Command Prompt

     

  4. Dans la fenêtre qui s’affiche, cliquez sur le bouton Uninstall

      

    AADConnect uninstall

     

  5. Vous pouvez maintenant désinstaller l’outil Azure Active Directory Connect Tool (Preview) depuis le menu Program and Features

 

Vous avez déjà désinstallé Azure AD Connect (zut)

Vous allez devoir effectuer un nettoyage du serveur pour pouvoir réinstaller correctement l’outil AADConnect.

Suivez ce guide pour plus d’informations.

Étiquettes : , , , , , , , , , , , , ,

  

Lorsque vous essayez de supprimer l’outil Azure Active Directory Sync, il se peut que la désinstallation ne se passe pas correctement, soit parce que vous n’avez pas désinstallé le bon produit dans le menu Programs and Features, soit parce que l’installation est corrompue.

Dans ces cas-là, l’erreur suivante peut s’afficher dans l’assistant Azure Active Directory : « Unable to install the Synchronization Service. PLease see the event log for additional details« .

 

unable to install the synchronization service

 

Voici quelques pistes pour désinstaller manuellement Azure Active Directory Sync.

Désinstallation des produits

Dans le menu Programs and Features, désinstallez tous les produits suivants :

Avec Azure Active Directory Connect

  • Microsoft Azure Active Directory Connect Tool
  • Microsoft Azure AD Sync
  • Forefront Identity Manager Windows Azure Active Directory Connector
  • Microsoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft Online Services Sign-in Assistant (redémarrage requis)
  • Windows Azure Active Directory Module for Windows Powershell

 

uninstall programs

 

Avec Azure Active Directory Sync (standalone)

  • Microsoft Azure AD Connection Tool
  • Microsoft Azure AD Sync
  • Forefront Identity Manager Windows Azure Active Directory Connector
  • Microsoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft Online Services Sign-in Assistant (redémarrage requis)
  • Windows Azure Active Directory Module for Windows Powershell

Suppression des dossiers

L’assistant de désinstallation ne supprime pas certains dossiers, ce qui peut poser des problèmes lors d’une réinstallation.

Vous devez donc supprimer les dossiers suivants :

Avec Azure Active Directory Connect

  • C:\Program Files\Microsoft Azure Active Directory Connect
  • C:\Program Files\Microsoft Azure AD Sync

 

Azure AD Sync folders

 

Avec Azure Active Directory Sync (standalone)

  • C:\Program Files\Microsoft Azure AD Connection Tool
  • C:\Program Files\Microsoft Azure AD Sync

 

Suppression de la tâche planifiée

Vous devez également supprimer la tâche planifiée lancant la synchronisation des objets dans le Cloud.

  1. Ouvrez le Task Scheduler
  2. Dans le conteneur Task Scheduler Library, faites un clic-droit sur Azure AD Sync Scheduler et cliquez sur Delete

 

task scheduler azure ad

 

Nettoyage du registre

Ouvrez le registre en tant qu’administrateur et supprimez les clés suivantes si elles existent encore :

Avec Azure Active Directory Connect

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AD Sync
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server Local DB
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftAzureADConnectionTool
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\AzureActiveDirectoryDirectorySyncTool
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\AzureADConnect_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\AzureADConnect_RASMANCS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASMANCS

 

Avec Azure Active Directory Sync (standalone)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AD Sync
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server Local DB
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftAzureADConnectionTool
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\AzureActiveDirectoryDirectorySyncTool
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASMANCS

 

Vous pouvez désormais relancer l’installation d’Azure Active Directory Connect.

Étiquettes : , , , , , , , , , ,

  

Lorsque vous installez Active Directory Federation Services 3.0 (ADFS) sur un serveur Windows Server 2012 R2, il se peut que vous rencontriez l’erreur suivante :

Windows could not start the Active Directory Federation Services service on Local Computer.

Error 1297 : A privilege that the service requires to function properly does not exist in the service account configuration.

 

erreur 1297 service adfs 3.0

 

Solution

L’erreur affichée dans l’Event Viewer est pour une fois claire : il manque un privilège au service ADFS pour qu’il puisse se lancer correctement.

Un petit tour dans le registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adfssrv nous montre que le service a besoin du privilège Security Audits.

 

ADFS service privilege security audit

 

Il ne vous reste plus qu’à rajouter votre compte de service ADFS dans la partie « Generate Security Audits » des paramètres de sécurité locaux, ou de déployer ce paramètre par GPO.

 

security audit ADFS GPO

 

Pour information, ce paramètre se situe dans la partie Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

Étiquettes : , , , , , , , , , ,