MS365 Passthrough Authentifizierung deaktivieren

Begonnen von Lukas Franz, 19.04.2022, 17:40:44

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

Lukas Franz

19.04.2022, 17:40:44 Letzte Bearbeitung: 25.07.2022, 10:08:31 von Lukas Franz
Ich habe in meinen Umgebungen die Passthrough-Authentifizierung wieder deaktiviert und auf Kennwort-Hashsynchronisierung umgestellt.
Grund dafür: bei der PTA muss ein Authentifizierungsserver (bei uns der Server und der DCSchule) und der darauf laufenden Authentifizierungsdienst verfügbar sein, damit sich die User bei MS365 anmelden können.
Hier wäre auf Hochverfügbarkeit dieser Anmeldeserver zu achten. Damit ist es bei uns mit nur zwei Maschinen, die noch dazu auf der selben Hardware laufen aber so eine Sache. Fällt die Hardware aus, stehen die MS365-User mit abgesägten Hosen da...

Die Kennworthashsynchronisierung hat zwei Nachteile, die bei uns, so meine ich, zu verschmerzen sind:
- Ändert ein User ein Kennwort (im lokalen AD), so greift dies in der Cloud erst nach einem Synchronisierungszyklus (maximal also nach 30 Minuten)
- Die Kennwort-Hashes werden in der Cloud gespeichert. Ob das unsicherer ist als auf unseren Servern sei dahingestellt  ::)

Vorgangsweise zur Deaktivierung der Passthrough-Authentifizierung:

Auf dem Server wird Azure AD Connect gestartet und über den Punkt "Benutzeranmeldung ändern" "Passthrough-Authentifizierung" deaktiviert und "Kennwort-Hahsynchronisierung" aktiviert.
Dies bewirkt, dass im Tenant entsprechend umkonfiguriert wird und auf dem Server der Authentifizierungsagent deinstalliert wird.

Erst danach (!) muss auf dem DCSchule noch über Systemsteuerung/Programme ebenfalls der Authentifizierungsagent deinstalliert werden.

Hat man dies gemacht, kann es bei der Anmeldung in MS365 kurz zu Problemen kommen. Nach wenigen Minuten sollte das aber erledigt sein.

Im AzureActiveDirectory kann die Sache über AD Connect kontrolliert werden.

Synchronisierungsintervall

In der Folge hätte ich gerne das Synchronisierungsintervall von 30 auf 15 Minuten gesetzt.
Dies wäre theoretisch mit dem cmdlet Set-ADSyncScheduler über PowerShell möglich.
Allerdings sind 30 Minuten per Default als minimaler Wert definiert und können nicht unterschritten werden.

Schöne Grüße
Lukas

Entsprechende Links für Interessierte:
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-pta-disable-do-not-configure
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-sync-feature-scheduler
https://timmcmic.wordpress.com/2018/01/23/office-365-adconnect-synchronization-interval-changed-automatically/



Stephan Reiter

#1
16.07.2022, 12:49:01
Hallo Lukas,

Heißt das auch, dass die Emails nicht abgerufen werden könnten, wenn die VMs nicht laufen würden? Outlook verwendet ja auch Benutzername und Kennwort, da dann durch den momentan nicht vorhandenen Authentifizierungsagent diese Daten nicht verifiziert werden könnten und somit ein Abrufen der Mails scheitern müsste ...
Ebenso der Zugriff auf OneDrive wäre wohl in der Zeit, wo die VMs z.B. für Wartungsarbeiten ausgeschalten sind, für die Benutzer nicht erreichbar ...

Wenn dem so ist, finde ich die PTA für unsere Schulumgeben, keine wirklich brauchbare Sache, denn von "hochverfübaren" VMs sind wir in unseren Schulen weit entfernt ;)

LG
Stephan

Lukas Franz

#2
19.07.2022, 08:22:49 Letzte Bearbeitung: 25.07.2022, 10:06:14 von Lukas Franz
Hallo Stephan,

ich denke, du hast recht. Ich habe die Erfahrung nicht gemacht bzw. auch keine konkreten Tests dazu gemacht. Laut Microsoft wird die Passthrough-Authentifizierung genau aus diesem Grund nur in hochverfügbaren Umgebungen empfohlen. Das heißt, es sollte zumindest zwei (besser drei) voneinander unabhängige Authentifizierungsserver geben. Bei uns sind es zwei bzw. nur der DCSchule...

Unsere ganz ursprüngliche Empfehlung war auch die Kennwort-Hashsynchronisierung. Das werden wir in der Doku wohl wieder entsprechend ändern.

Das Umstellen auf Kennworthash-Synchronisierung ist wirklich einfach und funktioniert, wie von mir beschrieben.

Übrigens gibt es eine neue Verison von von AzureAD-Connect:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
https://www.windowspro.de/news/azure-ad-connect-21150-automatische-updates-aus-fuer-admin-agent-sync-fuer-zusaetzliche
...Erfahrungsbericht dazu folgt...

Schöne Grüße
Lukas

Kuno Sandholzer

#3
24.07.2022, 09:57:13
Hallo miteinander,
ich habe die Passthrough-Authentifizierung bei allen meinen Schulen wieder entfernt und durch Hashsynchronisierung ersetzt - und zwar genau aus diesem Grund.
An einer Schule ist nach einem Stromausfall (durch Unwetter) die Internetverbindung für mehrere Tage ausgefallen, und dann ging nichts mehr. Auch daheim auf privaten Geräten konnten sich die Direktion und die KollegInnen nicht mehr anmelden und keine Mails abrufen.
Herzliche Grüße und erholsame Ferien,Kuno
Drucken
Nach oben Seiten1
Benutzer-Aktionen