Azure/M365: Kann AZURE Dein Active Directory (DC) ersetzen?

by butsch 15. June 2023 04:00

Ersetzt Azure die Active Directory Domain Controller und Active Directory Services?

 

Der eigentliche Zweck von Azure-AD ist was?

Azure Active Directory wurde entwickelt, um Microsofts Präsenz in der Cloud zu erweitern. Azure Active Directory sollte ursprünglich Benutzer mit Microsoft M365-Diensten verbinden und eine einfachere Alternative zu ADFS für Single Sign-On bieten.

Nun hat es sich jedoch zu einer Plattform für neue Abonnementdienste entwickelt, die sich an Unternehmenskunden richten und für Funktionen berechnet werden, die Active Directory on-premise ohne zusätzliche Kosten bereitgestellt hat.

Nachteil: LDAP + RADIUS-Integration

Azure Active Directory bietet jedoch nicht alle Funktionen des herkömmlichen Active Directory und unterstützt ohne zusätzliches Abonnement keine Authentifizierungsprotokolle wie LDAP und RADIUS.

Nachteil: Gruppenrichtlinie, GPO-Konvertierung zu Intune Policy nur 75% der Möglichkeiten und geht nur für Englisch richtig

Vertraute und wichtige Konzepte wie Gruppenrichtlinienobjekte (GPO) werden durch Intune und Microsoft Endpoint Manager ersetzt. Diese langjährig etablierten Konzepte ermöglichten es, das Betriebssystem, das von Endbenutzern verwendet wurde, in einen unternehmensfähigen Endpunkt umzuwandeln. Es ist jedoch wichtig zu beachten, dass derzeit nur etwa 75% der bekannten Gruppenrichtlinien konvertiert werden können.

Zudem geht dies meist nur zuverlässig mit englischen GPO-Templates. Sobald andere Sprachen im Einsatz sind, sinkt die success %-Rate.

MS: "Known issues: Currently, the Group Policy analytics tool only supports non-ADMX settings in the English language. If you import a GPO with settings in languages other than English, then your MDM Support percentage is inaccurate."

https://learn.microsoft.com/en-us/mem/intune/configuration/group-policy-analytics

Gruppenrichtlinien waren ein äusserst nützliches Werkzeug, mit dem IT-Abteilungen von kleinen und mittleren Unternehmen bis hin zu grossen Unternehmen die meisten Aspekte ihrer Systeme standardisieren und steuern konnten.

Nachteil: Die Gruppenverwaltung mit rollenbasierter Zugriffssteuerung (RBAC) ist nicht im kostenlosen Tarif von Azure Active Directory enthalten.

Für On-Premise-Kunden kaufte Microsoft vor einigen Jahren genau für diesen Punkt eine Firma auf und Enterprise Agreement-Grosskunden konnten dies fast kostenlos einsetzen. Es gab ja schon alles nur wussten es die Leute nicht die es nicht interessierte.

Nachteil: Statt OU neue Administrative Einheiten (Niemand weiss, warum dies geändert wurde...)

Sogar organisatorische Einheiten (OUs) werden durch ein anderes Modell namens Administrative Einheiten ersetzt, das sich stark von AD unterscheidet.

Nachteil: NPS-Server-Rolle, die bei Windows Server kostenlos dabei war, ist nicht in Azure enthalten

Um ähnliche Funktionen wie das lokale Active Directory und die NPS-Serverrollen zu erreichen, müssen Sie die entsprechenden Azure-Dienste erwerben oder die richtige Bestellnummer finden und bestellen.

https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/auth-radius

Ein Vorteil von Azure Active Directory besteht darin, dass es auch Nicht-Microsoft-Identitäten verwalten kann. Allerdings fallen für die Multifaktor-Authentifizierung (MFA) zusätzliche Gebühren für monatlich aktive Benutzer an. Gastbenutzer werden basierend auf einem Verhältnis von 1:5 lizenziert.

Aber es gibt ja alles bei Azure?

Die Lizenzierung ist komplex, und ein gestaffeltes Modell hält nützliche Funktionen hinter einer kostenpflichtigen Schranke verborgen. Zum Beispiel ist die Gruppenverwaltung mit rollenbasierter Zugriffssteuerung (RBAC) nicht im kostenlosen Tarif von Azure Active Directory enthalten, obwohl sie normalerweise für die Implementierung der Azure-Plattform erforderlich ist.

Ein Microsoft-fokussiertes Modell?

Azure Active Directory bildet das Fundament für Microsofts Portfolio an Identitäts-, Compliance-, Geräteverwaltungs- und Sicherheitsprodukten, da es eine gemeinsame Identität für Intune, Azure, M365 und vieles mehr bietet. Die Vielfalt an Produkten und die Herausforderungen bei der Migration von Active Directory in die Cloud haben zu einer eigenen Beratungsbranche für Implementierung und Planung geführt.

Die Vielfalt an Konfigurationen und Optionen mag für Unternehmen mit umfangreichen Ressourcen (Manpower und cash) zur Unterstützung von Bereitstellungen geeignet sein.

Da jedoch selbst bewährte Methoden von Microsoft für Azure Active Directory Premium-Stufen erfordern, kann Azure Active Directory für kleine und mittlere Unternehmen mit grundlegenden Anforderungen möglicherweise nicht geeignet sein.

Im Gegensatz zu AD gibt es keine einheitliche Plattform für Azure Active Directory.

Es ist in verschiedene Ebenen unterteilt, und Dienste sind hinter kostenpflichtigen Schranken versteckt.

Die Kosten steigen, wenn eine tiefere Integration in die Azure-Plattform erforderlich ist oder eine Interoperabilität mit Verzeichnissen ausserhalb des Microsoft-Ökosystems gewährleistet werden muss.

Zum Beispiel fallen Gebühren an, wenn Azure Active Directory mit Nicht-Microsoft-Identitäten verbunden wird. Es müssen entsprechende Azure Active Directory Premium P2-Lizenzen für die Berechtigungsverwaltung erworben werden. Die Business-to-Business-Zusammenarbeit soll auch als Gateway für Apps dienen, die von Microsoft bereitgestellt oder in Azure gehostet werden, und Microsoft positioniert seine eigenen Produkte und Dienstleistungen als erstklassige Lösungen.

Stattdessen lenkt es KMUs zu Cloud-Diensten, die den Umfang und die Tiefe seiner bestehenden Produktfamilien erweitern und etablierten Kunden zusätzliche Leistungen verkaufen.

Viele Azure-Dienste sind jedoch für Unternehmenskunden konzipiert und können schwer bereitzustellen und zu erlernen sein.

Es ist keine umfassende Lösung wie das ursprüngliche Active Directory on-premise.

Beispielsweise können Endpunkte nicht richtig verwaltet werden, ohne auch Microsoft Intune zu abonnieren.

Die Verwaltung plattformübergreifender Endpunkte erfordert das teuerste Intune-Abonnement und bietet derzeit nur begrenzte Unterstützung für Linux oder andere OS als Microsoft.

Azure Active Directory kann jedoch on-premise Systeme, Nicht-Windows-Endpunkte und den Zugriff auf Netzwerkressourcen nicht verwalten, ohne mit einem Domänencontroller oder zusätzlichen Diensten integriert zu sein.

Es ist möglich, Intune in einem Unternehmen ohne Active Directory on-premise zu nutzen, aber viele Organisationen sind immer noch gezwungen, eine hybride Umgebung zu haben, um eine vollständige Kompatibilität mit Active Directory on-premise oder Active Directory Federation Services zu gewährleisten.

 

Zur Schluss:

Kann Azure AD Active Directory on-premise ersetzen?

Die kurze Antwort lautet nein oder warum auch? Sicher nicht, um Kosten zu sparen.

Abhängig von Ihrem Abonnementniveau und den Anforderungen, die eine hybride Bereitstellung zwischen Active Directory on-premise und Azure Active Directory erfordern.

Azure Active Directory ist kein direkter Ersatz für Active Directory.

Die Referenzarchitektur von Microsoft sieht sowohl Active Directory on-premise als auch Azure Active Directory in einer Umgebung vor.

Tags:

Microsoft Server OS | Server 2016 | M365/AZURE

Submit to DotNetKicks...
Permalink | Comments (0)

Active Directory accounts with ADMINSholder/adminCount flag | No syncback from Azure, ms-ds-consistencyGuid

by butsch 14. June 2023 22:00

Management summary, english

The synchronization process of the Synchronization Service Manager (Microsoft Azure AD Connect Synchronization Services) does not transfer the attribute WP;ms-ds-consistencyGuid from Azure back to the Local Active Directory. This issue arises when a regular user in the local domain environment has the ADMINSholder/adminCount flags set to 1/true, which is intentionally implemented to protect sensitive Windows accounts from being inadvertently modified. It is essential to remove this flag when it is no longer necessary or remove the user from the corresponding groups to ensure proper functionality with ActiveSync, GPO, and Azure/M365. To gain a better understanding of the ADMINSholder/adminCount attribute, we recommend referring to the provided blog posts, which shed light on the impact of this flag, particularly regarding ActiveSync and GPO.

 

Management summary, deutsch

Der Synchronisationsprozess des Synchronisation Service Managers (Microsoft Azure AD Connect Synchronization Services) überträgt das Attribut WP;ms-ds-consistencyGuid nicht von Azure zurück zum lokalen Active Directory. Dieses Problem tritt auf, wenn ein normaler Benutzer in der lokalen Domänenumgebung die ADMINSholder/adminCount-Flags auf 1/true gesetzt hat, was absichtlich erfolgt, um zu verhindern, dass sensible Windows-Konten versehentlich geändert werden. Es ist wichtig, dieses Flag zu entfernen, wenn es nicht mehr benötigt wird, oder den Benutzer aus den entsprechenden Gruppen zu entfernen, um eine ordnungsgemäße Funktionalität mit ActiveSync, GPO und Azure/M365 zu gewährleisten. Um ein besseres Verständnis für das ADMINSholder/adminCount-Attribut zu erlangen, empfehlen wir die Lektüre der bereitgestellten Blog-Beiträge, die Informationen über die Auswirkungen dieses Flags, insbesondere in Bezug auf ActiveSync und GPO, liefern.

 

What is this about keywords: M365, ADMINSholder/adminCount, Synchronization by Azure AD Connect, ImmutableId, WP;ms-ds-consistencyGuid

Event: ADSYNC, 6100

Error in Synchronisation Service Manager: Insufficient access rights to perform the operation, 8344, permission-issue

Problem:

Synchronisation Service Manager (Microsoft Azure AD Connect Synchronization Services) does not sync the attribute WP;ms-ds-consistencyGuid Back from Azure to Local Active Directory.

This is because a local normal employee user has the ADMINSholder/adminCount flags set to 1/true. (Which is not good in Domain Enviroments)

This is by purpose to protect sensitive Windows account of been written wrong by error.

When a user has been temporarily part of the "Local Admin group" or a member of specific ADS groups like Print Operator or Backup Operators, they receive a special FLAG (ADMINSholder/adminCount=1). The objective is to remove this flag if it is no longer necessary or remove the user from those groups altogether. If not done these accounts may encounter limitations when it comes to functionality with ActiveSync, GPO, and Azure/M365.

If you would like to gain a better understanding of what ADMINSholder/adminCount entails, we recommend reading our informative blog posts. They provide insights into the impact of this flag, especially concerning ActiveSync and GPO. Here are the steps to remove the flag:

 

https://www.butsch.ch/post/Activesync-with-Exchange-2013-does-not-work-ADMINSHOLDER-Flag-(an-old-bad-friend)

https://www.butsch.ch/post/Exchange-Activesync-1053-Event-4003-Error-2007201020132016-Adminsholder

Please be aware that ADMINSholder Attribute is here to PROTECT sensitive accounts like ADMINISTRATOR, Service, IIS-accounts and resets or overwrites them every 15 minutes to prevent catastrophic impact of wrong GPO/Policies or Powershell commands who manipulate such accounts.

 

Microsoft describes it like this related to Azure sync

"Users with administrative roles in Azure AD will bypass matching.

 

"To prevent unaccounted for account takeover of roles with privilege assignment, any user object that has an admin role assigned in AAD will be bypassed for matching.

Speaking of administrative roles and synchronization in general, highly privileged user accounts should be separated out from regular user accounts"

 

Here is Powershell sample to find the users under your ROOT ADS with excluding certain OU Llike deactivated or service:

Get-ADUser -Filter {admincount -gt 0} -Properties adminCount -ResultSetSize $null -SearchBase "DC=yourdomain,DC=local" | Where-Object { $_.DistinguishedName -notlike "*OU=Benutzer_deaktiviert*" -and $_.DistinguishedName -notlike "*OU=SERVICE_users_IT*" -and $_.DistinguishedName -notlike "*CN=Users,DC=yourdomain,DC=local" } | Format-List DistinguishedName, Enabled, SamAccountName

Change the yellow field to your enviroment or what your OU-folders contain.

This will provide you with a list of on-premises users who have the ADMINSholder FLAG set and will not synchronize back from Azure/M365 to your local Active Directory.

This is because Microsoft wants to protect those special accounts. (AdminSholder refers to a special account.)

Synchronisation Service Manager, Microsoft Azure AD Connect Synchronization Services

Event, ADSYNC, 6100,

The error (Or not because it helps you to find error on-premise and protects you from mistakes) as you see it

 

There is a user named CLAUDIO whose ms-ds-consistencyGuid value does not sync back from Azure to the Local Active Directory.

This synchronization failure is due to the Sync tool recognizing that the local user has the ADMINSHolder/Admincount FLAG set to 1 (true). As a result, the synchronization process does not update the value in the Local Active Directory.

 

 

 

Links:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/hybrid-identity-getting-users-aligned/ba-p/2274690

Primary goal would be to FIX those accounts who are regular users and have the ADMINSolder/admount=1 flag set. You can do this manual:

https://www.butsch.ch/post/Activesync-with-Exchange-2013-does-not-work-ADMINSHOLDER-Flag-(an-old-bad-friend)

https://www.butsch.ch/post/Exchange-Activesync-1053-Event-4003-Error-2007201020132016-Adminsholder

Or you use a scripted solution. Be carefull you don't touch any service accounts my mistake.

C7Solutions has an excellent write up of the issue and also scripts with which you can modify the permission.

https://c7solutions.com/2015/07/configuring-writeback-permissions-in-active-directory-for-azure-active-directory-sync

Also Microsoft has some good Blogs posts:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/hybrid-identity-getting-users-aligned/ba-p/2274690

 

 DEUTSCH / Translation

Worum geht es bei den Schlüsselwörtern: M365, ADMINSholder/adminCount, Synchronisation durch Azure AD Connect, ImmutableId, WP;ms-ds-consistencyGuid?

 

Ereignis: ADSYNC, 6100

Fehler im Synchronisations-Service-Manager: Unzureichende Zugriffsrechte, um die Operation auszuführen, 8344, Berechtigungsproblem.

 

Problem:

Der Synchronisations-Service-Manager (Microsoft Azure AD Connect Synchronization Services) synchronisiert das Attribut WP;ms-ds-consistencyGuid nicht von Azure zurück zum lokalen Active Directory.

 

Dies liegt daran, dass ein lokaler normaler Mitarbeiterbenutzer die ADMINSholder/adminCount-Flags auf 1/true gesetzt hat. (Was in Domänenumgebungen nicht gut ist)

Dies dient dazu, sensible Windows-Konten davor zu schützen, durch Fehler falsch geschrieben zu werden.

 

Wenn ein Benutzer vorübergehend Teil der "Lokalen Administratorengruppe" oder Mitglied bestimmter ADS-Gruppen wie "Druckoperator" oder "Backup-Betreiber" war, erhält er ein spezielles FLAG (ADMINSholder/adminCount=1). Das Ziel besteht darin, dieses Flag zu entfernen, wenn es nicht mehr benötigt wird, oder den Benutzer vollständig aus diesen Gruppen zu entfernen. Wenn dies nicht erfolgt, können diese Konten Einschränkungen bei der Funktionalität von ActiveSync, GPO und Azure/M365 erfahren.

Wenn Sie ein besseres Verständnis dafür erhalten möchten, was ADMINSholder/adminCount bedeutet, empfehlen wir Ihnen, unsere informativen Blog-Beiträge zu lesen. Sie bieten Einblicke in die Auswirkungen dieses Flags, insbesondere in Bezug auf ActiveSync und GPO. Hier sind die Schritte, um das Flag zu entfernen:

 

https://www.butsch.ch/post/Activesync-with-Exchange-2013-does-not-work-ADMINSHOLDER-Flag-(an-old-bad-friend)

https://www.butsch.ch/post/Exchange-Activesync-1053-Event-4003-Error-2007201020132016-Adminsholder

 Bitte beachten Sie, dass das ADMINSholder-Attribut dazu dient, sensible Konten wie ADMINISTRATOR, Service und IIS-Konten zu SCHÜTZEN und sie alle 15 Minuten zurückzusetzen oder zu überschreiben, um katastrophale Auswirkungen falscher GPOs, Richtlinien oder Powershell-Befehle zu verhindern, die solche Konten manipulieren.

 Microsoft beschreibt es im Zusammenhang mit der Azure-Synchronisation wie folgt:

 "Benutzer mit administrativen Rollen in Azure AD werden bei der Abgleichung übersprungen.

 

"Um unkontrollierten Account-Takeover bei Rollen mit Privilegienzuweisung zu verhindern, wird jeder Benutzerobjekt, dem in AAD eine Administratorrolle zugewiesen ist, bei der Abgleichung übersprungen. In Bezug auf administrative Rollen und die Synchronisation sollten hochprivilegierte Benutzerkonten von normalen Benutzerkonten getrennt werden."

 

Hier ist ein PowerShell-Beispiel, um Benutzer unter Ihrem ROOT ADS zu finden und bestimmte Organisationseinheiten wie deaktivierte oder Dienst-OU auszuschließen (Siehe oben englischer Text)

 

Ändern Sie das gelbe Feld entsprechend Ihrer Umgebung oder dem Inhalt Ihrer OU-Ordner. Dies liefert Ihnen eine Liste der lokalen Benutzer, bei denen das ADMINSholder-FLAG gesetzt ist und die nicht von Azure/M365 zurück zum lokalen Active Directory synchronisiert werden. Dies geschieht, um diese speziellen Konten zu schützen. (AdminSholder bezieht sich auf ein spezielles Konto.)

 

Synchronisations-Service-Manager, Microsoft Azure AD Connect Synchronization Services

 Ereignis, ADSYNC, 6100

Der Fehler (oder nicht, da er Ihnen hilft, Fehler lokal zu finden und vor Fehlern zu schützen), wie Sie ihn sehen.

 Es gibt einen Benutzer namens CLAUDIO, bei dem der Wert ms-ds-consistencyGuid nicht von Azure zum lokalen Active Directory zurück synchronisiert wird. Dieser Synchronisationsfehler tritt auf, da das Sync-Tool erkennt, dass der lokale Benutzer das ADMINSHolder/Admincount-FLAG auf 1 (true) gesetzt hat. Infolgedessen wird der Wert im lokalen Active Directory nicht aktualisiert.

Tags:

Microsoft Server OS | Microsoft Exchange | Exchange 2013 | Exchange 2016 | Exchange 2019 | M365/AZURE

Submit to DotNetKicks...
Permalink | Comments (0)

KEMP Load Balancer, Microsoft IIS, How to see Source IP address in Logfiles on Webserver

by butsch 2. February 2023 22:40

 

We once had a case where we should install an URL-Rewrite Module in IIS CAS 2010 to submit more info to Rapid 7 Solution. (This was in time range before all monthly leaks for 2013/2016/2019 came up to force all customers to M365 and it was unclear what the module would do inside Exchange etc.)

We used URL-Rewrite before for Webserver at ISP but it did at once like to use on IIS where you deinstall IIS Sites and re-install with and EXE, which runs 100 Powershell.

 

The CAS where behind a commercial KEMP Load Balancer HA. I just had the same case private on one of my Windows IIS webservers where i tunnel through several active components.

 

SOLUTION: How to see Source IP if you IIS Webserver is behind a KEMP Load Balancer.

Schema:

"WAN"-----"FW1"—"FW2"---"KEMP" (back: 192.168.185.105)-----(front: 192.168.151.70)"WEB SERVER/MS/IIS"

 

Info you have BEFORE in IIS Logfiles (You do not see the Source IP in IIS Logfiles)

2023-01-21 19:08:35 W3SVC2 web 192.168.185.105 GET /image.axd picture=041014_0945_WSUSWindows1.png 443 - 192.168.151.70 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/109.0.0.0+Safari/537.36+Edg/109.0.1518.61 - www.butsch.ch 200 0 0 8644 742 4

Solution Info you have after our change in IIS Logfiles (Source IP at end)

2023-01-21 19:46:28 W3SVC2 web 192.168.185.105 GET /category/APP-V.aspx - 80 - 192.168.151.70 HTTP/1.1 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_15_7)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/14.1+Safari/605.1.15 - - www.butsch.ch 404 0 0 23895 382 12 15.206.212.159

 

Go onto your KEMP/Also works with free community Version:

 

Select MODIFY Service, Under Advanced Properties change "Add HTTP Headers" to "X-Forwaded-For (No Via)" or try any other option and check on IIS side Logfiles what you see there.

 

Fiest make sure Loggin in IIS is installed (If not).

 

Here is what to change in IIS if you have logging active:

Change the LOGFILE Location to a Disk where you have space or monitor.

Source X-FORDWARDED-FOR that was the field you told him on the KEMP to include in any packet he sends back

 

APPLY

Cmd (Elevated)

IISRESET

Or Restart Server

You will see the Source-IP at the end of line:

 

2023-01-21 19:46:28 W3SVC2 web 192.168.185.105 GET /category/APP-V.aspx - 80 - 192.168.151.70 HTTP/1.1 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_15_7)+AppleWebKit/605.1.15+(KHTML,+like+Gecko)+Version/14.1+Safari/605.1.15 - - www.butsch.ch 404 0 0 23895 382 12 15.206.212.159

 

 

 

 

Tags:

Exchange 2016 | SECURITY | Microsoft Exchange | Microsoft Server OS

Submit to DotNetKicks...
Permalink | Comments (0)

KB 4489881 Breaks WDS MDT on Server 2016 PXE boot

by butsch 20. March 2019 21:08

To date there are two Social MSDN Threads where people and very und-happy and Microsoft DOES not think it's important

to mention the Problem on their KB Article under Problems. This has just come into our timeline range where

we rollout and MDT/WDS Server for medium sized customer who has no Enterprise Agreement and thus no SCCM.

Manage over 15 WSUS servers for SBS to Enterprise but has no info in that direction. (Not mentioned on MS/TechNet or Ask Woody which we mostly consult for good info)

 

Problem during PXE Boot:

Windows failed to start a recent hardware or software change might be the cause.

"Status 0xc0000001"

support.microsoft.com/de-ch/help/4489881/windows-8-1-update-kb4489881

 

Here is how to fix it:

Uncheck under TFTP the option Enable Variable Window Extension

Reboot the WDS/MDT Server or restart the WDS Service.

Tags:

Deployment | Microsoft SCCM/MEM/MDT | W10 | Microsoft Server OS

Submit to DotNetKicks...
Permalink | Comments (0)


Werbung von Drittfirmen (Nicht Butsch Informatik):

CategoryList

PostList
Werbung von Drittfirmen via Google Adsense: