Ersetzt Azure die Active Directory Domain Controller und Active Directory Services?

 

Der eigentliche Zweck von Azure-AD ist was?

Azure Active Directory wurde entwickelt, um Microsofts Präsenz in der Cloud zu erweitern. Azure Active Directory sollte ursprünglich Benutzer mit Microsoft M365-Diensten verbinden und eine einfachere Alternative zu ADFS für Single Sign-On bieten.

Nun hat es sich jedoch zu einer Plattform für neue Abonnementdienste entwickelt, die sich an Unternehmenskunden richten und für Funktionen berechnet werden, die Active Directory on-premise ohne zusätzliche Kosten bereitgestellt hat.

Nachteil: LDAP + RADIUS-Integration

Azure Active Directory bietet jedoch nicht alle Funktionen des herkömmlichen Active Directory und unterstützt ohne zusätzliches Abonnement keine Authentifizierungsprotokolle wie LDAP und RADIUS.

Nachteil: Gruppenrichtlinie, GPO-Konvertierung zu Intune Policy nur 75% der Möglichkeiten und geht nur für Englisch richtig

Vertraute und wichtige Konzepte wie Gruppenrichtlinienobjekte (GPO) werden durch Intune und Microsoft Endpoint Manager ersetzt. Diese langjährig etablierten Konzepte ermöglichten es, das Betriebssystem, das von Endbenutzern verwendet wurde, in einen unternehmensfähigen Endpunkt umzuwandeln. Es ist jedoch wichtig zu beachten, dass derzeit nur etwa 75% der bekannten Gruppenrichtlinien konvertiert werden können.

Zudem geht dies meist nur zuverlässig mit englischen GPO-Templates. Sobald andere Sprachen im Einsatz sind, sinkt die success %-Rate.

MS: "Known issues: Currently, the Group Policy analytics tool only supports non-ADMX settings in the English language. If you import a GPO with settings in languages other than English, then your MDM Support percentage is inaccurate."

https://learn.microsoft.com/en-us/mem/intune/configuration/group-policy-analytics

Gruppenrichtlinien waren ein äusserst nützliches Werkzeug, mit dem IT-Abteilungen von kleinen und mittleren Unternehmen bis hin zu grossen Unternehmen die meisten Aspekte ihrer Systeme standardisieren und steuern konnten.

Nachteil: Die Gruppenverwaltung mit rollenbasierter Zugriffssteuerung (RBAC) ist nicht im kostenlosen Tarif von Azure Active Directory enthalten.

Für On-Premise-Kunden kaufte Microsoft vor einigen Jahren genau für diesen Punkt eine Firma auf und Enterprise Agreement-Grosskunden konnten dies fast kostenlos einsetzen. Es gab ja schon alles nur wussten es die Leute nicht die es nicht interessierte.

Nachteil: Statt OU neue Administrative Einheiten (Niemand weiss, warum dies geändert wurde...)

Sogar organisatorische Einheiten (OUs) werden durch ein anderes Modell namens Administrative Einheiten ersetzt, das sich stark von AD unterscheidet.

Nachteil: NPS-Server-Rolle, die bei Windows Server kostenlos dabei war, ist nicht in Azure enthalten

Um ähnliche Funktionen wie das lokale Active Directory und die NPS-Serverrollen zu erreichen, müssen Sie die entsprechenden Azure-Dienste erwerben oder die richtige Bestellnummer finden und bestellen.

https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/auth-radius

Ein Vorteil von Azure Active Directory besteht darin, dass es auch Nicht-Microsoft-Identitäten verwalten kann. Allerdings fallen für die Multifaktor-Authentifizierung (MFA) zusätzliche Gebühren für monatlich aktive Benutzer an. Gastbenutzer werden basierend auf einem Verhältnis von 1:5 lizenziert.

Aber es gibt ja alles bei Azure?

Die Lizenzierung ist komplex, und ein gestaffeltes Modell hält nützliche Funktionen hinter einer kostenpflichtigen Schranke verborgen. Zum Beispiel ist die Gruppenverwaltung mit rollenbasierter Zugriffssteuerung (RBAC) nicht im kostenlosen Tarif von Azure Active Directory enthalten, obwohl sie normalerweise für die Implementierung der Azure-Plattform erforderlich ist.

Ein Microsoft-fokussiertes Modell?

Azure Active Directory bildet das Fundament für Microsofts Portfolio an Identitäts-, Compliance-, Geräteverwaltungs- und Sicherheitsprodukten, da es eine gemeinsame Identität für Intune, Azure, M365 und vieles mehr bietet. Die Vielfalt an Produkten und die Herausforderungen bei der Migration von Active Directory in die Cloud haben zu einer eigenen Beratungsbranche für Implementierung und Planung geführt.

Die Vielfalt an Konfigurationen und Optionen mag für Unternehmen mit umfangreichen Ressourcen (Manpower und cash) zur Unterstützung von Bereitstellungen geeignet sein.

Da jedoch selbst bewährte Methoden von Microsoft für Azure Active Directory Premium-Stufen erfordern, kann Azure Active Directory für kleine und mittlere Unternehmen mit grundlegenden Anforderungen möglicherweise nicht geeignet sein.

Im Gegensatz zu AD gibt es keine einheitliche Plattform für Azure Active Directory.

Es ist in verschiedene Ebenen unterteilt, und Dienste sind hinter kostenpflichtigen Schranken versteckt.

Die Kosten steigen, wenn eine tiefere Integration in die Azure-Plattform erforderlich ist oder eine Interoperabilität mit Verzeichnissen ausserhalb des Microsoft-Ökosystems gewährleistet werden muss.

Zum Beispiel fallen Gebühren an, wenn Azure Active Directory mit Nicht-Microsoft-Identitäten verbunden wird. Es müssen entsprechende Azure Active Directory Premium P2-Lizenzen für die Berechtigungsverwaltung erworben werden. Die Business-to-Business-Zusammenarbeit soll auch als Gateway für Apps dienen, die von Microsoft bereitgestellt oder in Azure gehostet werden, und Microsoft positioniert seine eigenen Produkte und Dienstleistungen als erstklassige Lösungen.

Stattdessen lenkt es KMUs zu Cloud-Diensten, die den Umfang und die Tiefe seiner bestehenden Produktfamilien erweitern und etablierten Kunden zusätzliche Leistungen verkaufen.

Viele Azure-Dienste sind jedoch für Unternehmenskunden konzipiert und können schwer bereitzustellen und zu erlernen sein.

Es ist keine umfassende Lösung wie das ursprüngliche Active Directory on-premise.

Beispielsweise können Endpunkte nicht richtig verwaltet werden, ohne auch Microsoft Intune zu abonnieren.

Die Verwaltung plattformübergreifender Endpunkte erfordert das teuerste Intune-Abonnement und bietet derzeit nur begrenzte Unterstützung für Linux oder andere OS als Microsoft.

Azure Active Directory kann jedoch on-premise Systeme, Nicht-Windows-Endpunkte und den Zugriff auf Netzwerkressourcen nicht verwalten, ohne mit einem Domänencontroller oder zusätzlichen Diensten integriert zu sein.

Es ist möglich, Intune in einem Unternehmen ohne Active Directory on-premise zu nutzen, aber viele Organisationen sind immer noch gezwungen, eine hybride Umgebung zu haben, um eine vollständige Kompatibilität mit Active Directory on-premise oder Active Directory Federation Services zu gewährleisten.

 

Zur Schluss:

Kann Azure AD Active Directory on-premise ersetzen?

Die kurze Antwort lautet nein oder warum auch? Sicher nicht, um Kosten zu sparen.

Abhängig von Ihrem Abonnementniveau und den Anforderungen, die eine hybride Bereitstellung zwischen Active Directory on-premise und Azure Active Directory erfordern.

Azure Active Directory ist kein direkter Ersatz für Active Directory.

Die Referenzarchitektur von Microsoft sieht sowohl Active Directory on-premise als auch Azure Active Directory in einer Umgebung vor.

Hello,

This is a collection of some technical things we used to recover a SRV 2016 with blue screens. We assume the first crash was related to a too early SRV 2016 VL Release ISO and ESX 6.5 (From 2018) and a combination of a Windows Defender Update.

This may help you to recover a server 2016 in general. It's so rare with 2012R2/2016 that this may help because it's not daily and people tend to go back A Snapshot or restore from Veeam these days. Still we have seen this happen.

 

SRV 2016, Windows Patch, BSOD, STOP CODE, 0xc000021a or CRITICAL SERVICE FAILED, ROLLBACK, Blue screen how to

Windows Patch, BSOD, STOP CODE, 0xc000021a, ROLLBACK, Blue screen how to (Notice the PAGE FILE Partition where memory DUMP was done)

BSOD, Bluescreen on Server 2016

STOP CODE, 0xc000021a

STOP CODE, CRTITICAL SERVICE FAILED

 

Server 2016 problems patches 02/2021: KB4601318 fails to update, fails at 24% Windows Server 2016 - Microsoft Q&A

Customer did run following VMware setup for the cluster (Because they wanted to test the newer release for some days)

VMware ESX Versions:

6.5 Version 9298722

6.5 Version 13635690

 

Build numbers and versions of VMware ESXi/ESX (2143832)

 

Rollback of Updates that caused the Bluescreen if you installed Windows Update before.

 

• Choose blue recovery console
• Choose troubleshoot
• Choose cmd.exe
• Change KEYBOARD layout so you type the Local Admin password correct
• Logon with Local Admin password

Rollback the last updates with: dism /image:D:\ /cleanup-image /revertpendingactions (D: is the drive where your Windows Server install is thus where c:\porgram files and c:\windows are (Search that Partition from C: to Z:))

 

 

Enter password (Hopefully)

 

Change KEYBOARD layout so you type the Local Admin password correct

Logon with Local Admin password

Search the windows Partition

 

Check with:

Sfc /scannow

 

 

Run: checkdisk if you think there is damage to file system or disk:

Chkdsk G: /f /r /x

 

Check the pending operations he should do or has done during the crash:

 

Remove C:\windows\winsxs\pending.xml.

Cd g:\windows\winsxs\

Rename pending.xml pending.old

 

Rollback the last updates with:

dism /image:D:\ /cleanup-image /revertpendingactions

D: is the drive where your Windows Server install is thus where c:\porgram files and c:\windows are (Search that Partition from C: to Z:)

 

 

Error: 0x800f082f

BAD: (Looks more worse now….)

 

GOOD: (Looks good until you try to reinstall the same patch in 1 week again…)

 

Weputil.exe reboot

OR

Type: EXIT

OR NOT

If you have "CRITICAL SERVICE FAILED" this could be related to a UNSIGNED DRIVER or something is wrong with Certificates (CODE SIGNING). Maybe ask

Firewall TEAM if they block CERTIFICATE REVOCATION and if they don't know what you talk about check yourself. Read more on blog.

Try these BOOT Option with F8

If the Server comes UP with "Disbale Driver Signature Enforcement" and you don't need that (Because it's not a high secure server you could disable it permanent). We do not recommend this on an Exchange Server as example or anything security related.

If it comes up run:

Sfc /scannow

 

Manually disable certificate signature validation:

open CMD.exe as an Administrator

bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS

 

Re-enable the certificate validation

open CMD.exe as an Administrator

bcdedit -set loadoptions DENABLE_INTEGRITY_CHECKS

 

    

FAQ: How to remove Remove failed packages in Windows PE

 

Looking why the Server crashed with NIRSOFT tool Bluescreenview

 

 

Microsoft recommends the PAGE FILE Partition to be RAM + SOME XXXMB. This is what happens IF the Server ever has a blue screen so don't do it that way.

I am unsure if the Server would have picked the Partition if no more space was there (Like they recommend). Never like that Rekommandation.

Die Größe der Auslagerungsdatei sollte die Größe des physikalischen RAMs im System überschreiten (SharePoint Server) - SharePoint Server | Microsoft Docs

Ursache: Eine bewährte Methode für Windows ist es, die Größe der Auslagerungsdatei auf einen Wert größer als oder gleich der Gesamtmenge des verfügbaren physischen Speichers festzulegen. Für die automatische Wiederherstellung von Heapspeicher funktioniert die Speicherbereinigung in der Regel effektiver, wenn die Größe des verwalteten Heapspeichers sich der Auslagerungsgröße nähert. Unterschreitet die Größe der Auslagerungsdatei die RAM-Größe, werden neue Zuordnungen von verwaltetem Speicher erteilt, wodurch die Speicherbereinigung aufwändiger wird und die CPU-Beanspruchung steigt.