Azure AD Connect: DesignkonzepteAzure AD Connect: Design concepts

Dieses Themas beschreibt, welche Aspekte bei der Planung der Implementierung von Azure AD Connect berücksichtigt werden müssen.The purpose of this topic is to describe areas that must be thought through during the implementation design of Azure AD Connect. Bestimmte Aspekte werden in diesem Thema sehr gründlich behandelt, und diese Konzepte werden in anderen Themen ebenfalls kurz beschrieben.This topic is a deep dive on certain areas and these concepts are briefly described in other topics as well.

sourceAnchorsourceAnchor

Das Attribut sourceAnchor ist definiert als Attribut, das während der Lebensdauer eines Objekts unveränderlich ist.The sourceAnchor attribute is defined as an attribute immutable during the lifetime of an object. Es identifiziert ein Objekt eindeutig als in Azure AD und lokal identisch.It uniquely identifies an object as being the same object on-premises and in Azure AD. Das Attribut wird auch als immutableId bezeichnet, und die beiden Namen werden austauschbar verwendet.The attribute is also called immutableId and the two names are used interchangeable.

Das Wort „unveränderlich“ ist in diesem Thema wichtig.The word immutable, that is "cannot be changed", is important to this topic. Da der Wert dieses Attributs nicht geändert werden kann, nachdem es festgelegt wurde, ist es wichtig, einen Entwurf auszuwählen, der Ihr Szenario unterstützt.Since this attribute’s value cannot be changed after it has been set, it is important to pick a design that supports your scenario.

Das Attribut wird für die folgenden Szenarien verwendet:The attribute is used for the following scenarios:

  • Wenn Sie einen neuen Synchronisierungsmodulserver erstellen oder nach einem Notfallwiederherstellungsszenario erneut erstellen, verknüpft dieses Attribut vorhandene Objekte in Azure AD mit lokalen Objekten.When a new sync engine server is built, or rebuilt after a disaster recovery scenario, this attribute links existing objects in Azure AD with objects on-premises.
  • Wenn Sie von einer ausschließlichen Cloudidentität zu einem synchronisierten Identitätsmodell wechseln, ermöglicht dieses Attribut die genaue Übereinstimmung vorhandener Objekte in Azure AD mit lokalen Objekten.If you move from a cloud-only identity to a synchronized identity model, then this attribute allows objects to "hard match" existing objects in Azure AD with on-premises objects.
  • Bei Verwendung des Verbunds wird dieses Attribut zusammen mit userPrincipalName im Anspruch zur eindeutigen Identifizierung eines Benutzers verwendet.If you use federation, then this attribute together with the userPrincipalName is used in the claim to uniquely identify a user.

In diesem Thema wird nur „sourceAnchor“ behandelt, da sich das Element auf Benutzer bezieht.This topic only talks about sourceAnchor as it relates to users. Die gleichen Regeln gelten für alle Objekttypen, doch üblicherweise ist dieses Problem nur für Benutzer von besonderem Belang.The same rules apply to all object types, but it is only for users this problem usually is a concern.

Auswählen eines guten Attributs sourceAnchorSelecting a good sourceAnchor attribute

Der Attributwert muss den folgenden Regeln entsprechen:The attribute value must follow the following rules:

  • Weniger als 60 Zeichen langBe less than 60 characters in length
    • Zeichen, bei denen es sich nicht um a-z, A-Z oder 0-9 handelt, werden als drei Zeichen codiert und gezählt.Characters not being a-z, A-Z, or 0-9 are encoded and counted as 3 characters
  • Keine Sonderzeichen: \ !Not contain a special character: \ ! # $ % & * + / = ?# $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ ^ ` { } | ~ < > ( ) ' ; : , [ ] " @
  • Global eindeutigMust be globally unique
  • Zeichenfolge, Ganzzahl oder BinärzahlMust be either a string, integer, or binary
  • Sollte nicht auf einem Benutzernamen beruhen, da dieser geändert werden kann.Should not be based on user's name, these changes
  • Groß-/Kleinschreibung sollte nicht relevant sein und Werte, die sich nach Groß-/Kleinschreibung unterscheiden, sollten vermieden werden.Should not be case-sensitive and avoid values that may vary by case
  • Sollte bei Erstellung des Objekts zugewiesen werden.Should be assigned when the object is created

Ist das ausgewählte Attribut „sourceAnchor“ nicht vom Typ „Zeichenfolge“, unterzieht Azure AD Connect den Wert des Attributs einem Base64Encode-Prozess, um sicherzustellen, dass keine Sonderzeichen angezeigt werden.If the selected sourceAnchor is not of type string, then Azure AD Connect Base64Encode the attribute value to ensure no special characters appear. Wenn Sie einen anderen Verbundserver als AD FS verwenden, stellen Sie sicher, dass Ihr Server auch in der Lage ist, das Attribut einem Base64Encode-Prozess zu unterziehen.If you use another federation server than ADFS, make sure your server can also Base64Encode the attribute.

Beim Attribut „sourceAnchor“ wird die Groß-/Kleinschreibung berücksichtigt.The sourceAnchor attribute is case-sensitive. Der Wert "JohnDoe" ist nicht identisch mit "johndoe".A value of “JohnDoe” is not the same as “johndoe”. Sie sollten nicht zwei verschiedene Objekte besitzen, bei denen sich nur die Groß-/Kleinschreibung unterscheidet.But you should not have two different objects with only a difference in case.

Wenn Sie eine einzige lokale Gesamtstruktur haben, sollten Sie das Attribut objectGUIDverwenden.If you have a single forest on-premises, then the attribute you should use is objectGUID. Dieses Attribut wird auch bei der Verwendung von Expresseinstellungen in Azure AD Connect und von DirSync verwendet.This is also the attribute used when you use express settings in Azure AD Connect and also the attribute used by DirSync.

Wenn Sie mehrere Gesamtstrukturen besitzen und keine Benutzer zwischen Gesamtstrukturen und Domänen verschieben, dann ist objectGUID ebenfalls ein ideales Attribut.If you have multiple forests and do not move users between forests and domains, then objectGUID is a good attribute to use even in this case.

Wenn Sie Benutzer zwischen Gesamtstrukturen und Domänen verschieben, müssen Sie ein Attribut finden, das nicht geändert wird oder während des Verschiebevorgangs zusammen mit den Benutzern verschoben werden kann.If you move users between forests and domains, then you must find an attribute that does not change or can be moved with the users during the move. Ein empfohlenes Verfahren ist die Einführung eines synthetischen Attributs.A recommended approach is to introduce a synthetic attribute. Ein Attribut, das etwas Ähnliches wie eine GUID enthält, wäre geeignet.An attribute that could hold something that looks like a GUID would be suitable. Beim Erstellen des Objekts wird eine neue GUID erstellt und dem Benutzer zugewiesen.During object creation, a new GUID is created and stamped on the user. Im Synchronisierungsmodulserver kann eine benutzerdefinierte Synchronisierungsregel erstellt werden, um diesen Wert basierend auf objectGUID zu erstellen und das ausgewählte Attribut in ADDS zu aktualisieren.A custom sync rule can be created in the sync engine server to create this value based on the objectGUID and update the selected attribute in ADDS. Wenn Sie das Objekt verschieben, stellen Sie sicher, dass Sie auch den Inhalt dieses Werts kopieren.When you move the object, make sure to also copy the content of this value.

Eine andere Lösung ist, ein vorhandenes Attribut zu wählen, von dem Sie wissen, dass es nicht geändert wird.Another solution is to pick an existing attribute you know does not change. Zu den häufig verwendeten Attributen zählt employeeID.Commonly used attributes include employeeID. Wenn Sie ein Attribut in Betracht ziehen, das Buchstaben enthält, stellen Sie sicher, dass keine Möglichkeit besteht, dass sich die Groß-/Kleinschreibung für den Wert des Attributs ändern kann.If you consider an attribute that contains letters, make sure there is no chance the case (upper case vs. lower case) can change for the attribute's value. Zu schlechten Attributen, die nicht verwendet werden sollten, gehören Attribute mit dem Namen des Benutzers.Bad attributes that should not be used include those attributes with the name of the user. Durch Hochzeit oder Scheidung könnte sich der Name ändern, und dies ist für dieses Attribut nicht zulässig.In a marriage or divorce, the name is expected to change, which is not allowed for this attribute. Dies ist auch ein Grund, warum Attribute wie userPrincipalName, mail und targetAddress im Installations-Assistenten von Azure AD Connect nicht einmal ausgewählt werden können.This is also one reason why attributes such as userPrincipalName, mail, and targetAddress are not even possible to select in the Azure AD Connect installation wizard. Diese Attribute enthalten außerdem das „@“-Zeichen, das in „sourceAnchor“ nicht zulässig ist.Those attributes also contain the "@" character, which is not allowed in the sourceAnchor.

Ändern des Attributs sourceAnchorChanging the sourceAnchor attribute

Der Wert des Attributs sourceAnchor kann nicht geändert werden, nachdem das Objekt in Azure AD erstellt und die Identität synchronisiert wurde.The sourceAnchor attribute value cannot be changed after the object has been created in Azure AD and the identity is synchronized.

Aus diesem Grund gelten die folgenden Einschränkungen für Azure AD Connect:For this reason, the following restrictions apply to Azure AD Connect:

  • Das Attribut sourceAnchor kann nur bei der Erstinstallation festgelegt werden.The sourceAnchor attribute can only be set during initial installation. Diese Option ist schreibgeschützt, wenn Sie den Installations-Assistenten erneut ausführen.If you rerun the installation wizard, this option is read-only. Wenn Sie diese Einstellung ändern müssen, müssen Sie deinstallieren und neu installieren.If you need to change this setting, then you must uninstall and reinstall.
  • Wenn Sie einen anderen Azure AD Connect-Server installieren, müssen Sie das gleiche Attribut sourceAnchor wie zuvor auswählen.If you install another Azure AD Connect server, then you must select the same sourceAnchor attribute as previously used. Wenn Sie zuvor bereits DirSync verwendet haben und zu Azure AD wechseln, müssen Sie objectGUID verwenden, da dieses Attribut von DirSync verwendet wird.If you have earlier been using DirSync and move to Azure AD Connect, then you must use objectGUID since that is the attribute used by DirSync.
  • Wenn der Wert für „sourceAnchor“ geändert wird, nachdem das Objekt nach Azure AD exportiert wurde, meldet die Azure AD Connect-Synchronisierung einen Fehler und lässt keine weiteren Änderungen am Objekt zu, bevor das Problem behoben und die Änderung von „sourceAnchor2 im Quellverzeichnis wieder rückgängig gemacht wurde.If the value for sourceAnchor is changed after the object has been exported to Azure AD, then Azure AD Connect sync throws an error and does not allow any more changes on that object before the issue has been fixed and the sourceAnchor is changed back in the source directory.

Verwendung von „msDS-ConsistencyGuid“ in „sourceAnchor“Using msDS-ConsistencyGuid as sourceAnchor

Standardmäßig verwendet Azure AD Connect (Version 1.1.486.0 und älter) „objectGUID“ als „sourceAnchor“-Attribut.By default, Azure AD Connect (version 1.1.486.0 and older) uses objectGUID as the sourceAnchor attribute. „objectGUID“ wird vom System generiert.ObjectGUID is system-generated. Sie können den jeweiligen Wert nicht bei der Erstellung lokaler AD-Objekte festlegen.You cannot specify its value when creating on-premises AD objects. Wie im Abschnitt sourceAnchor erläutert, gibt es verschiedene Szenarien, in denen Sie den Wert von „sourceAnchor“ festlegen müssen.As explained in section sourceAnchor, there are scenarios where you need to specify the sourceAnchor value. Wenn die Szenarien auf Sie zutreffen, müssen Sie ein konfigurierbares AD-Attribut (z.B. „msDS-ConsistencyGuid“) als „sourceAnchor“-Attribut verwenden.If the scenarios are applicable to you, you must use a configurable AD attribute (for example, msDS-ConsistencyGuid) as the sourceAnchor attribute.

Azure AD Connect (Version 1.1.524.0 und höher) ermöglicht nun die Verwendung von „msDS-ConsistencyGuid“ als „sourceAnchor“-Attribut.Azure AD Connect (version 1.1.524.0 and after) now facilitates the use of msDS-ConsistencyGuid as sourceAnchor attribute. Bei der Verwendung dieser Funktion konfiguriert Azure AD Connect die Synchronisierungsregeln automatisch wie folgt:When using this feature, Azure AD Connect automatically configures the synchronization rules to:

  1. „msDS-ConsistencyGuid“ wird als „sourceAnchor“-Attribut für Benutzerobjekte verwendet.Use msDS-ConsistencyGuid as the sourceAnchor attribute for User objects. „objectGUID“ wird für andere Objekttypen verwendet.ObjectGUID is used for other object types.

  2. Für jedes lokale AD-Benutzerobjekt, dessen „msDS-ConsistencyGuid“-Attribut nicht aufgefüllt ist, schreibt Azure AD Connect den zugehörigen Wert von „objectGUID“ in das Attribut „msDS-ConsistencyGuid“ im lokalen Active Directory zurück.For any given on-premises AD User object whose msDS-ConsistencyGuid attribute isn't populated, Azure AD Connect writes its objectGUID value back to the msDS-ConsistencyGuid attribute in on-premises Active Directory. Nachdem das Attribut „msDS-ConsistencyGuid“ aufgefüllt wurde, exportiert Azure AD Connect das Objekt nach Azure AD.After the msDS-ConsistencyGuid attribute is populated, Azure AD Connect then exports the object to Azure AD.

Hinweis

Sobald ein lokales AD-Objekt in Azure AD Connect importiert (d.h., in den AD-Connectorbereich importiert und in die Metaverse projiziert) wurde, können Sie den zugehörigen Wert von „sourceAnchor“ nicht mehr ändern.Once an on-premises AD object is imported into Azure AD Connect (that is, imported into the AD Connector Space and projected into the Metaverse), you cannot change its sourceAnchor value anymore. Um den Wert von „sourceAnchor“ für ein bestimmtes lokales AD-Objekt festzulegen, konfigurieren Sie das jeweilige „msDS-ConsistencyGuid“-Attribut, bevor es in Azure AD Connect importiert wird.To specify the sourceAnchor value for a given on-premises AD object, configure its msDS-ConsistencyGuid attribute before it is imported into Azure AD Connect.

Erforderliche BerechtigungPermission required

Damit diese Funktion verwendet werden kann, muss dem AD DS-Konto zum Synchronisieren mit dem lokalen Active Directory die Berechtigung zum Schreiben in das Attribut „msDS-ConsistencyGuid“ im lokalen Active Directory gewährt werden.For this feature to work, the AD DS account used to synchronize with on-premises Active Directory must be granted write permission to the msDS-ConsistencyGuid attribute in on-premises Active Directory.

Vorgehensweise: Aktivieren der „ConsistencyGuid“-Funktion - NeuinstallationHow to enable the ConsistencyGuid feature - New installation

Sie können die Verwendung von „ConsistencyGuid“ als „sourceAnchor“ bei der Neuinstallation aktivieren.You can enable the use of ConsistencyGuid as sourceAnchor during new installation. In diesem Abschnitt werden die Express- und die benutzerdefinierte Installation ausführlich behandelt.This section covers both Express and Custom installation in details.

Hinweis

Nur neuere Versionen von Azure AD Connect (1.1.524.0 und höher) unterstützen die Verwendung von „ConsistencyGuid“ als „sourceAnchor“ bei der Neuinstallation.Only newer versions of Azure AD Connect (1.1.524.0 and after) supports the use of ConsistencyGuid as sourceAnchor during new installation.

Gewusst wie: Aktivieren der Funktion „ConsistencyGuid“How to enable the ConsistencyGuid feature

Die Funktion kann derzeit nur bei der Neuinstallation von Azure AD Connect aktiviert werden.Currently, the feature can only be enabled during new Azure AD Connect installation only.

Express-InstallationExpress Installation

Bei der Installation von Azure AD Connect mit dem Express-Modus legt der Azure AD Connect-Assistent automatisch das am besten geeignete AD-Attribut fest, das mit folgender Logik als „sourceAnchor“-Attribut verwendet werden soll:When installing Azure AD Connect with Express mode, the Azure AD Connect wizard automatically determines the most appropriate AD attribute to use as the sourceAnchor attribute using the following logic:

  • Zunächst fragt der Azure AD Connect-Assistent Ihren Azure AD-Mandanten ab, um das AD-Attribut abzurufen, das in der vorherigen Installation von Azure AD Connect (sofern vorhanden) als „sourceAnchor“-Attribut verwendet wurde.First, the Azure AD Connect wizard queries your Azure AD tenant to retrieve the AD attribute used as the sourceAnchor attribute in the previous Azure AD Connect installation (if any). Sind diese Informationen verfügbar, verwendet Azure AD Connect dasselbe AD-Attribut.If this information is available, Azure AD Connect uses the same AD attribute.

    Hinweis

    Nur bei neueren Versionen von Azure AD Connect (1.1.524.0 und höher) werden Informationen über das verwendete „sourceAnchor“-Attribut in Ihrem Azure AD-Mandanten gespeichert.Only newer versions of Azure AD Connect (1.1.524.0 and after) stores information in your Azure AD tenant about the sourceAnchor attribute used during installation. Bei älteren Versionen von Azure AD Connect ist dies nicht der Fall.Older versions of Azure AD Connect do not.

  • Wenn keine Information zum verwendeten „sourceAnchor“-Attribut verfügbar ist, prüft der Assistent den Status des Attributs „msDS-ConsistencyGuid“ in Ihrem lokalen Active Directory.If information about the sourceAnchor attribute used isn't available, the wizard checks the state of the msDS-ConsistencyGuid attribute in your on-premises Active Directory. Wenn das Attribut in keinem Objekt im Verzeichnis konfiguriert ist, verwendet der Assistent „msDS-ConsistencyGuid“ als „sourceAnchor“-Attribut.If the attribute isn't configured on any object in the directory, the wizard uses the msDS-ConsistencyGuid as the sourceAnchor attribute. Wenn das Attribut in einem oder in mehreren Objekten im Verzeichnis konfiguriert ist, folgert der Assistent daraus, dass das Attribut von anderen Anwendungen verwendet wird und nicht als „sourceAnchor“-Attribut infrage kommt.If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and is not suitable as sourceAnchor attribute...

  • In diesem Fall greift der Assistent auf „objectGUID“ als „sourceAnchor“-Attribut zurück.In which case, the wizard falls back to using objectGUID as the sourceAnchor attribute.

  • Nachdem das Attribut „sourceAnchor“ festgelegt wurde, speichert der Assistent die Informationen in Ihrem Azure AD-Mandanten.Once the sourceAnchor attribute is decided, the wizard stores the information in your Azure AD tenant. Die Informationen werden für eine spätere Installation von Azure AD Connect verwendet.The information will be used by future installation of Azure AD Connect.

Nach Abschluss der Express-Installation informiert der Assistent Sie darüber, welches Attribut als Quellankerattribut ausgewählt wurde.Once Express installation completes, the wizard informs you which attribute has been picked as the Source Anchor attribute.

Angabe des für „sourceAnchor“ ausgewählten AD-Attributs im Assistenten

Benutzerdefinierte InstallationCustom installation

Wenn Sie Azure AD Connect mit benutzerdefiniertem Modus installieren, bietet der Azure AD Connect-Assistent bei der Konfiguration des „sourceAnchor“-Attributs zwei Optionen:When installing Azure AD Connect with Custom mode, the Azure AD Connect wizard provides two options when configuring sourceAnchor attribute:

Benutzerdefinierte Installation – Konfiguration von „sourceAnchor“

EinstellungSetting BeschreibungDescription
Ich möchte den Quellanker durch Azure verwalten lassenLet Azure manage the source anchor for me Wählen Sie diese Option aus, wenn Azure AD das Attribut für Sie auswählen soll.Select this option if you want Azure AD to pick the attribute for you. Wenn Sie diese Option auswählen, wendet der Azure AD Connect-Assistent dieselbe Logik wie bei der Auswahl des Attributs „sourceAnchor“ bei der Express-Installation an.If you select this option, Azure AD Connect wizard applies the same sourceAnchor attribute selection logic used during Express installation. Ähnlich wie bei der Express-Installation informiert der Assistent Sie nach Abschluss der benutzerdefinierten Installation darüber, welches Attribut als Quellankerattribut ausgewählt wurde.Similar to Express installation, the wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Ein bestimmtes AttributA specific attribute Wählen Sie diese Option aus, wenn Sie ein vorhandenes AD-Attribut als sourceAnchor-Attribut angeben möchten.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Vorgehensweise Aktivieren der„ConsistencyGuid“-Funktion - vorhandene BereitstellungHow to enable the ConsistencyGuid feature - Existing deployment

Haben Sie eine vorhandene Bereitstellung von Azure AD Connect, die „objectGUID“ als das „SourceAnchor“-Attribut verwendet, können Sie auf „ConsistencyGuid“ als „SourceAnchor“-Attribut wechseln.If you have an existing Azure AD Connect deployment which is using objectGUID as the Source Anchor attribute, you can switch it to using ConsistencyGuid instead.

Hinweis

Nur neuere Versionen von Azure AD Connect (1.1.552.0 und höher) unterstützen den Wechsel von „objectGUID“ zu „ConsistencyGuid“ als „SourceAnchor“-Attribut.Only newer versions of Azure AD Connect (1.1.552.0 and after) supports switching from ObjectGuid to ConsistencyGuid as the Source Anchor attribute.

Von „objectGUID“ zu „ConsistencyGuid“ als „SourceAnchor“-Attribut wechseln:To switch from objectGUID to ConsistencyGuid as the Source Anchor attribute:

  1. Starten Sie den Azure AD Connect-Assistenten, und klicken Sie auf Konfigurieren, um zum Bildschirmbereich Aufgaben zu gelangen.Start the Azure AD Connect wizard and click Configure to go to the Tasks screen.

  2. Wählen Sie die Configure Source Anchor(Quellanker konfigurieren) Aufgabenoption, und klicken Sie auf Weiter.Select the Configure Source Anchor task option and click Next.

    Aktivieren Sie „ConsistencyGuid“ für die vorhandene Bereitstellung – Schritt 2

  3. Geben Sie Ihre Azure AD-Administrator-Anmeldeinformationen ein, und klicken Sie auf Weiter.Enter your Azure AD Administrator credentials and click Next.

  4. Der Assistent überprüft den Status des Attributs „msDS-ConsistencyGuid“ in Ihrem lokalen Active Directory.Azure AD Connect wizard analyzes the state of the msDS-ConsistencyGuid attribute in your on-premises Active Directory. Ist das Attribut nicht auf irgendein Objekt im Verzeichnis konfiguriert, geht Azure AD Connect davon aus, dass zur Zeit keine andere Anwendung das Attribut nutzt und es daher sicher ist, dieses als das „SourceAnchor“-Attribut zu verwenden.If the attribute isn't configured on any object in the directory, Azure AD Connect concludes that no other application is currently using the attribute and is safe to use it as the Source Anchor attribute. Klicken Sie auf zum Fortfahren auf Weiter.Click Next to continue.

    Aktivieren Sie „ConsistencyGuid“ für die vorhandene Bereitstellung – Schritt 4

  5. Klicken Sie auf dem Ready to Configure (Bereit für die Konfiguration)-Bildschirm auf Konfigurieren, um die Konfigurationsänderung vorzunehmen.In the Ready to Configure screen, click Configure to make the configuration change.

    Aktivieren Sie „ConsistencyGuid“ für die vorhandene Bereitstellung – Schritt 5

  6. Nachdem die Konfiguration abgeschlossen ist, zeigt der Assistent an, dass „MsDS-ConsistencyGuid“ jetzt als das „SourceAnchor“-Attribut verwendet wird.Once the configuration completes, the wizard indicates that msDS-ConsistencyGuid is now being used as the Source Anchor attribute.

    Aktivieren Sie „ConsistencyGuid“ für die vorhandene Bereitstellung – Schritt 6

Ist das Attribut während der Analyse (Schritt 4) in einem oder in mehreren Objekten im Verzeichnis konfiguriert, schließt der Assistent daraus, dass das Attribut von einer anderen Anwendung verwendet wird, und gibt die in der nachfolgenden Abbildung dargestellte Fehlermeldung aus.During the analysis (step 4), if the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by another application and returns an error as illustrated in the diagram below. Dieser Fehler kann auch auftreten, wenn Sie zuvor die Funktion „ConsistencyGuid“ auf Ihrem primären Azure AD Connect-Server aktiviert haben und versuchen, dies auf Ihrem Stagingserver zu wiederholen.This error can also occur if you have previously enabled the ConsistencyGuid feature on your primary Azure AD Connect server and you are trying to do the same on your staging server.

Aktivieren Sie „ConsistencyGuid“ für die vorhandene Bereitstellung – Fehler

Wenn Sie sicher sind, dass das Attribut nicht von anderen vorhandenen Anwendungen verwendet wird, können Sie die Fehlermeldung unterdrücken, indem Sie den Azure AD Connect-Assistenten mit dem angegebenen /SkipLdapSearchcontact neu starten.If you are certain that the attribute isn't used by other existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearchcontact specified. Führen Sie dazu an der Eingabeaufforderung den folgenden Befehl aus:To do so, run the following command in command prompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Auswirkungen auf die AD FS-Konfiguration oder Verbundkonfiguration eines DrittanbietersImpact on AD FS or third-party federation configuration

Wenn Sie lokale AD FS-Bereitstellungen mit Azure AD Connect verwalten, ändert Azure AD Connect die Anspruchsregeln automatisch dahingehend, dass dasselbe AD-Attribut für „sourceAnchor“ verwendet wird.If you are using Azure AD Connect to manage on-premises AD FS deployment, the Azure AD Connect automatically updates the claim rules to use the same AD attribute as sourceAnchor. Dadurch wird sichergestellt, dass der von AD FS generierte Anspruch „ImmutableID“ den „sourceAnchor“-Werten entspricht, die nach Azure AD exportiert werden.This ensures that the ImmutableID claim generated by ADFS is consistent with the sourceAnchor values exported to Azure AD.

Wenn Sie AD FS außerhalb von Azure AD Connect verwalten oder Drittanbieter-Verbundserver für die Authentifizierung verwenden, müssen Sie die Anspruchsregeln für den Anspruch „ImmutableID“ manuell aktualisieren, sodass er den nach Azure AD exportierten Werten von „sourceAnchor“ entspricht. Dies wird im Abschnitt Ändern von AD FS-Anspruchsregeln des Artikels beschrieben.If you are managing AD FS outside of Azure AD Connect or you are using third-party federation servers for authentication, you must manually update the claim rules for ImmutableID claim to be consistent with the sourceAnchor values exported to Azure AD as described in article section Modify AD FS claim rules. Nach Abschluss der Installation gibt der Assistent folgende Warnung aus:The wizard returns the following warning after installation completes:

Verbundkonfiguration eines Drittanbieters

Hinzufügen von neuen Verzeichnissen zur vorhandenen BereitstellungAdding new directories to existing deployment

Nehmen wir an, Sie haben Azure AD Connect mit aktivierter „ConsistencyGuid“-Funktion bereitgestellt und möchten nun ein anderes Verzeichnis zur Bereitstellung hinzufügen.Suppose you have deployed Azure AD Connect with the ConsistencyGuid feature enabled, and now you would like to add another directory to the deployment. Wenn Sie versuchen, das Verzeichnis hinzuzufügen, überprüft der Azure AD Connect-Assistent den Status des Attributs „msDS-ConsistencyGuid“ im Verzeichnis.When you try to add the directory, Azure AD Connect wizard checks the state of the mSDS-ConsistencyGuid attribute in the directory. Wenn das Attribut in einem oder in mehreren Objekten im Verzeichnis konfiguriert ist, folgert der Assistent daraus, dass das Attribut von anderen Anwendungen verwendet wird und gibt die in der nachfolgenden Abbildung dargestellte Fehlermeldung aus.If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and returns an error as illustrated in the diagram below. Wenn Sie sicher sind, dass das Attribut nicht von vorhandenen Anwendungen verwendet wird, wenden Sie sich an den Support, um Informationen zum Unterdrücken der Fehlermeldung zu erhalten.If you are certain that the attribute isn't used by existing applications, you need to contact Support for information on how to suppress the error.

Hinzufügen von neuen Verzeichnissen zur vorhandenen Bereitstellung

Azure AD-AnmeldungAzure AD sign-in

Bei der Integration Ihres lokalen Verzeichnisses in Azure AD ist es wichtig zu wissen, wie sich die Synchronisierungseinstellungen auf die Art und Weise auswirken, in der ein Benutzer sich authentifiziert.While integrating your on-premises directory with Azure AD, it is important to understand how the synchronization settings can affect the way user authenticates. Azure AD verwendet einen Benutzerprinzipalname (User Principal Name, UPN, ), um den Benutzer zu authentifizieren.Azure AD uses userPrincipalName (UPN) to authenticate the user. Wenn Sie jedoch Ihre Benutzer synchronisieren, müssen Sie das Attribut, das als Wert für „userPrincipalName“ verwendet werden soll, sehr sorgfältig auswählen.However, when you synchronize your users, you must choose the attribute to be used for value of userPrincipalName carefully.

Auswählen des Attributs für userPrincipalNameChoosing the attribute for userPrincipalName

Bei Auswahl des Attributs, das den in Azure zu verwendenden UPN-Wert bereitstellt, sollten Sie Folgendes sicherstellen:When you are selecting the attribute for providing the value of UPN to be used in Azure one should ensure

  • Die Attributwerte entsprechen der UPN-Syntax (RFC 822) und müssen somit im Format username@domainThe attribute values conform to the UPN syntax (RFC 822), that is it should be of the format username@domain
  • Das Suffix in den Werten stimmt mit einer der überprüften benutzerdefinierten Domänen in Azure AD überein.The suffix in the values matches to one of the verified custom domains in Azure AD

In den Expresseinstellungen wird userPrincipalName für das Attribut angenommen.In express settings, the assumed choice for the attribute is userPrincipalName. Falls das userPrincipalName-Attribut nicht den Wert enthält, den Ihre Benutzer zum Anmelden bei Azure verwenden sollen, müssen Sie Benutzerdefinierte Installationwählen.If the userPrincipalName attribute does not contain the value you want your users to sign in to Azure, then you must choose Custom Installation.

Benutzerdefinierter Domänenstatus und UPNCustom domain state and UPN

Sie müssen unbedingt sicherstellen, dass eine überprüfte Domäne für das UPN-Suffix existiert.It is important to ensure that there is a verified domain for the UPN suffix.

John ist ein Benutzer in contoso.com. John soll den lokalen UPN john@contoso.com für die Anmeldung bei Azure verwenden, nachdem Sie die Benutzer mit Ihrem Azure AD-Verzeichnis „contoso.onmicrosoft.com“ synchronisiert haben. Zu diesem Zweck müssen Sie „contoso.com“ als benutzerdefinierte Domäne in Azure AD hinzufügen und überprüfen, bevor Sie mit dem Synchronisieren der Benutzer beginnen können.John is a user in contoso.com. You want John to use the on-premises UPN john@contoso.com to sign in to Azure after you have synced users to your Azure AD directory contoso.onmicrosoft.com. To do so, you need to add and verify contoso.com as a custom domain in Azure AD before you can start syncing the users. Wenn das UPN-Suffix von John (beispielsweise „contoso.com“) mit keiner überprüften Domäne in Azure übereinstimmt, ersetzt Azure AD das UPN-Suffix durch „contoso.onmicrosoft.com“.If the UPN suffix of John, for example contoso.com, does not match a verified domain in Azure AD, then Azure AD replaces the UPN suffix with contoso.onmicrosoft.com.

Nicht routingfähige lokale Domänen und UPN für Azure ADNon-routable on-premises domains and UPN for Azure AD

Einige Unternehmen verfügen über nicht routingfähige Domänen, z.B. „contoso.local“, oder einteilige Domänen, z.B. „contoso“.Some organizations have non-routable domains, like contoso.local, or simple single label domains like contoso. Sie können eine nicht routingfähige Domäne in Azure AD nicht überprüfen.You are not able to verify a non-routable domain in Azure AD. Azure AD Connect kann Synchronisierungen nur mit einer überprüften Domäne in Azure AD durchführen.Azure AD Connect can sync to only a verified domain in Azure AD. Wenn Sie ein Azure AD-Verzeichnis erstellen, wird eine routingfähige Domäne erstellt, die zur Standarddomäne für Ihre Azure AD-Instanz wird, z.B. „contoso.onmicrosoft.com“. Daher ist es notwendig, in einem solchen Szenario alle anderen routingfähigen Domänen zu überprüfen, wenn Sie Synchronisierungen nicht mit der standardmäßigen Domäne „onmicrosoft.com“ durchführen möchten.When you create an Azure AD directory, it creates a routable domain that becomes default domain for your Azure AD for example, contoso.onmicrosoft.com. Therefore, it becomes necessary to verify any other routable domain in such a scenario in case you don't want to sync to the default onmicrosoft.com domain.

Unter Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory finden Sie weitere Informationen zum Hinzufügen und Überprüfen von Domänen.Read Add your custom domain name to Azure Active Directory for more info on adding and verifying domains.

Azure AD Connect erkennt, ob Sie eine nicht routingfähige Domänenumgebung ausführen, und warnt Sie entsprechend davor, nicht mit den Expresseinstellungen fortzufahren.Azure AD Connect detects if you are running in a non-routable domain environment and would appropriately warn you from going ahead with express settings. Wenn Sie sich in einer nicht routingfähigen Domäne befinden, ist es wahrscheinlich, dass auch der UPN der Benutzer nicht routingfähige Suffixe aufweist.If you are operating in a non-routable domain, then it is likely that the UPN of the users have non-routable suffixes too. Wenn Sie beispielsweise „contoso.local“ verwenden, empfiehlt Azure AD Connect die Verwendung von benutzerdefinierten Einstellungen anstatt der Expresseinstellungen.For example, if you are running under contoso.local, Azure AD Connect suggests you to use custom settings rather than using express settings. Indem Sie benutzerdefinierte Einstellungen verwenden, können Sie das Attribut angeben, das als UPN für die Anmeldung bei Azure verwendet werden soll, nachdem die Benutzer mit Azure AD synchronisiert wurden.Using custom settings, you are able to specify the attribute that should be used as UPN to sign in to Azure after the users are synced to Azure AD.

Nächste SchritteNext steps

Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.