Häufig gestellte Fragen zu Microsoft Entra Connect

Microsoft empfiehlt die Härtung des Microsoft Entra Connect-Servers, um die Angriffsfläche für Sicherheitsangriffe für diese wichtige Komponente der IT-Umgebungen zu verringern. Wenn Sie die unten genannten Empfehlungen befolgen, verringern Sie die Sicherheitsrisiken für Ihre Organisation.

• Stellen Sie Microsoft Entra Connect auf einem mit der Domäne verbundenen Server bereit, und schränken Sie den Administratorzugriff auf Domänenadministrator*innen oder andere streng kontrollierte Sicherheitsgruppen ein.

Weitere Informationen finden Sie unter:

• Sichern von Administratorgruppen

• Sichern von integrierten Administratorkonten

• Verbesserung der Sicherheit und vorbeugenden Wartung durch Verringern von Angriffsoberflächen

• Verringern der Active Directory-Angriffsfläche

Seit Builds vom Februar 2016 wird dieses Szenario unterstützt.

Die Microsoft Entra Connect-Installation wird nur unterstützt, wenn Sie den Installations-Assistenten verwenden. Eine unbeaufsichtigte, automatische Installation wird nicht unterstützt.

Seit Builds vom Februar 2016 wird dieses Szenario unterstützt.

Ja. Nach der Installation des Agents können Sie den Registrierungsprozess abschließen, indem Sie das folgende PowerShell-Cmdlet verwenden:

Register-AzureADConnectHealthADDSAgent -Credentials $cred

Ja, dieses Szenario wird unterstützt. Weitere Informationen finden Sie unter Mehrere Domänen.

Nein, mehrere Connectors für die gleichen AD-Domäne werden nicht unterstützt.

Ja, in den folgenden Schritten finden Sie einen allgemeinen Leitfaden dazu. Wir arbeiten derzeit an einem ausführlicheren Dokument.

1. Sichern Sie die LocalDB-Datenbank ADSync. Die einfachste Möglichkeit hierzu ist die Verwendung von SQL Server Management Studio, das auf demselben Computer wie Microsoft Entra Connect installiert ist. Stellen Sie eine Verbindung mit (LocalDb).\ADSync her, und sichern Sie dann die Datenbank ADSync.

2. Stellen Sie die Datenbank ADSync in der SQL Server-Remoteinstanz wieder her.

3. Installieren Sie Microsoft Entra Connect für die vorhandene SQL-Remotedatenbank. Der Artikel veranschaulicht die Migration zu einer lokalen SQL-Datenbank. Wenn Sie zu einer Remote-SQL-Datenbank migrieren, müssen Sie in Schritt 5 dieses Verfahrens auch ein vorhandenes Dienstkonto eingeben, unter dem der Windows-Synchronisierungsdienst ausgeführt wird. Dieses Dienstkonto der Synchronisierungs-Engine wird hier beschrieben:

   Verwenden eines bestehenden Dienstkontos: Für Microsoft Entra Connect wird standardmäßig ein virtuelles Dienstkonto für die Synchronisierungsdienste genutzt. Wenn Sie eine SQL Server-Remoteinstanz oder einen Proxy mit Authentifizierungsanforderung verwenden, verwenden Sie ein verwaltetes Dienstkonto oder ein Dienstkonto in der Domäne. Das Kennwort muss Ihnen bekannt sein. Geben Sie in diesen Fällen das zu verwendende Konto ein. Stellen Sie sicher, dass die Benutzer, die die Installation ausführen, Systemadministratoren in SQL sind, damit die Anmeldeinformationen für das Dienstkonto erstellt werden können. Weitere Informationen finden Sie unter Microsoft Entra Connect: Konten und Berechtigungen.

   Mit dem neuesten Build können SQL-Administrator*innen nun eine Out-of-Band-Datenbankbereitstellung ausführen, sodass die Datenbank anschließend von dem oder der Azure AD Connect-Administrator*in mit Datenbankbesitzerrechten installiert werden kann. Weitere Informationen finden Sie unter Installieren von Microsoft Entra Connect mit Berechtigungen eines delegierten SQL-Administrators.

Aus Gründen der Einfachheit wird empfohlen, dass Benutzer*innen, die Microsoft Entra Connect installieren, Systemadministrator*innen in SQL sind. Mit aktuellen Builds können Sie jetzt jedoch delegierte SQL-Administratoren verwenden, wie unter Installieren von Microsoft Entra Connect mit delegierten SQL-Administratorberechtigungen beschrieben.

Im Folgenden finden Sie ein Informationsdokument, das einige der Best Practices darstellt, die das Engineering, der Support und unsere Berater im Laufe der Jahre entwickelt haben. Dies wird in einer Aufzählungsliste dargestellt, die schnell referenziert werden kann. Obwohl die vorliegende Liste so umfassend wie möglich ist, kann es zusätzliche Best Practices geben, die möglicherweise noch nicht auf der Liste stehen.

• Wenn Sie Full SQL verwenden, sollte es lokal oder remote bleiben.
  • Weniger Hops
  • Einfachere Problembehandlung
  • Geringere Komplexität
  • Sie müssen Ressourcen für SQL bereitstellen und den Mehraufwand für Microsoft Entra Connect und das Betriebssystem berücksichtigen
• Umgehen Sie nach Möglichkeit den Proxy. Andernfalls müssen Sie sicherstellen, dass der Timeoutwert mehr als 5 Minuten beträgt.
• Wenn ein Proxy erforderlich ist, müssen Sie den Proxy zur Datei „machine.config“ hinzufügen.
• Beachten Sie die lokalen SQL-Aufträge und die Wartung und wie sie sich auf Microsoft Entra Connect auswirken – insbesondere auf die Neuindizierung
• Stellen Sie sicher, dass DNS extern aufgelöst werden kann.
• Stellen Sie sicher, dass die Serverspezifikationen den Empfehlungen entsprechen, sowohl bei der Verwendung physischer als auch virtueller Server.
• Wenn Sie einen virtuellen Server verwenden, stellen Sie sicher, dass die erforderlichen Ressourcen zugeordnet sind.
• Stellen Sie sicher, dass die Datenträger und die Datenträgerkonfiguration den Best Practices für SQL Server entsprechen.
• Installieren und Konfigurieren Sie Microsoft Entra Connect Health für die Überwachung
• Verwenden Sie den Schwellenwert zum Löschen, der in Microsoft Entra Connect integriert ist.
• Überprüfen Sie sorgfältig die Release-Updates, um auf alle Änderungen und neuen Attribute vorbereitet zu sein, die hinzugefügt werden können.
• Sichern Sie alles.
  • Sichern Sie Schlüssel.
  • Sichern Sie die Synchronisierungsregeln.
  • Sichern Sie die Serverkonfiguration.
  • Sichern Sie die SQL-Datenbank.
• Stellen Sie sicher, dass es keine Sicherungs-Agents von Drittanbietern gibt, die SQL ohne den SQL VSS Writer sichern (häufig bei virtuellen Servern mit Momentaufnahmen von Drittanbietern).
• Begrenzen Sie die Anzahl der benutzerdefinierten Synchronisationsregeln, die verwendet werden, wenn sie die Komplexität erhöhen.
• Behandeln Sie Microsoft Entra Connect-Server als Server der Dienstebene 0
• Seien Sie vorsichtig bei der Änderung von Cloudsynchronisierungsregeln, wenn Sie nicht wissen, welche Auswirkungen dies hat und welche Geschäftsfaktoren wichtig sind.
• Stellen Sie sicher, dass die richtigen URLs und Firewallports für die Unterstützung von Microsoft Entra Connect und Microsoft Entra Connect Health offen sind
• Nutzen Sie das von der Cloud gefilterte Attribut, um Fehler zu beheben und Phantomobjekte zu verhindern.
• Stellen Sie mit dem Stagingserver sicher, dass Sie den Microsoft Entra Connect Configuration Documenter für Konsistenz zwischen den Servern verwenden
• Staging-Server sollte sich in separaten Rechenzentren (physische Standorte) befinden.
• Stagingserver sind nicht als Hochverfügbarkeitslösung gedacht, aber Sie können mehrere Stagingserver verwenden.
• Die Einführung eines „Verzögerungs“-Staging-Servers könnte bei einem Fehler mögliche Ausfallzeiten minimieren.
• Testen und validieren Sie zuerst alle Upgrades auf dem Staging-Server.
• Überprüfen Sie die Exporte immer, bevor Sie zum Stagingserver wechseln. Nutzen Sie den Stagingserver für vollständige Importe und vollständige Synchronisierungen, um die geschäftlichen Auswirkungen zu reduzieren
• Die Version zwischen den Microsoft Entra Connect-Servern muss so weit wie möglich konsistent bleiben

Nein. Damit Microsoft Entra Connect das Microsoft Entra Connector-Konto automatisch erstellen kann, muss der Computer mit der Domäne verbunden sein.

Für Netzwerksoftware, physische Geräte und andere Komponenten, durch die die maximale Dauer von offenen Verbindungen eingeschränkt wird, sollte ein Schwellenwert von mindestens 5 Minuten (300 Sekunden) für die Konnektivität zwischen dem Server, auf dem der Microsoft Entra Connect-Client installiert ist, und Microsoft Entra ID verwendet werden. Diese Empfehlung gilt auch für alle zuvor veröffentlichten Microsoft-Identitätssynchronisierungswerkzeuge.

Von dieser Netzwerkkonfiguration wird zwar dringend abgeraten (siehe Artikel), die Verwendung der Microsoft Entra Connect-Synchronisierung mit einer einteiligen Domäne wird jedoch unterstützt, solange die Netzwerkkonfiguration für diese ordnungsgemäß funktioniert. In SLD-Szenarien, in denen sich der Active Directory NetBIOS-Domänenname vom Domänennamen des FQDN unterscheidet, ist es nicht unterstützt, Microsoft Entra Connect zu installieren.

Nein. Microsoft Entra Connect unterstützt keine lokalen Gesamtstrukturen mit nicht zusammenhängenden Namespaces.

Nein. Microsoft Entra Connect unterstützt keine lokalen Gesamtstrukturen oder Domänen, deren NetBIOS-Name einen Punkt (.) enthält.

Nein.Microsoft Entra Connect unterstützt keine reine IPv6-Umgebung.

Nein. Die Verwendung von Microsoft Entra Connect über NAT wird nicht unterstützt.

Anleitungen zur Erneuerung des Zertifikats finden Sie unter Erneuern von Zertifikaten.

Befolgen Sie die Anweisungen im Artikel Erneuern von Zertifikaten.

Nein. Nach dem Ändern des Servernamens kann das Synchronisierungsmodul keine Verbindung mit der SQL-Datenbank-Instanz mehr herstellen, und der Dienst kann nicht gestartet werden.

Nein. Sie werden nicht unterstützt.

Synchronisierte Geräte können lokal erstellt oder gemastert werden. Wenn ein synchronisiertes Gerät lokal aktiviert ist, wird es möglicherweise im Microsoft Entra Admin Center erneut aktiviert, auch wenn es zuvor von einem Administrator bzw. einer Administrator*in deaktiviert wurde. Verwenden Sie zum Deaktivieren eines synchronisierten Geräts das lokale Active Directory, um das Computerkonto zu deaktivieren.

Synchronisierte Benutzer können lokal erstellt oder gemastert werden. Wenn das Konto lokal aktiviert ist, kann dadurch die Blockierung der Anmeldung durch den Administrator aufgehoben werden.

Informationen finden Sie in diesen Artikeln:

• Benutzernamen in Microsoft 365, Azure oder Intune entsprechen nicht dem lokalen UPN oder der alternativen Anmelde-ID
• Änderungen werden nicht mehr vom Azure Active Directory-Synchronisierungstool synchronisiert, wenn der UPN eines Benutzerkontos für die Verbindung mit einer anderen Verbunddomäne geändert wird

Sie können Microsoft Entra auch so konfigurieren, dass die Synchronisierungs-Engine den UPN wie unter Features des Microsoft Entra Connect-Synchronisierungsdiensts beschrieben aktualisiert.

Ja, diese Soft-Match-Zuordnungen basieren auf der Proxyadresse. Soft-Match-Zuordnungen werden nur für E-Mail-aktivierte Gruppen unterstützt.

Nein, die manuelle Festlegung des ImmutableId-Attributs für vorhandene Microsoft Entra-Gruppen- oder -Kontaktobjekte, um eine Hard-Match-Zuordnung durchzuführen, wird derzeit nicht unterstützt.

Mit Ausnahme der auf dieser Website dokumentierten Cmdlets werden keine PowerShell-Cmdlets in Microsoft Entra Connect zur Verwendung durch die Kund*innen unterstützt.

Nein. Da mit dieser Option nicht alle Konfigurationseinstellungen abgerufen werden, sollte sie nicht verwendet werden. Verwenden Sie stattdessen den Assistenten zum Erstellen der Basiskonfiguration auf dem zweiten Server, und verwenden Sie den Synchronisierungsregel-Editor, um PowerShell-Skripts zum Verschieben benutzerdefinierter Regeln zwischen Servern zu erstellen. Weitere Informationen finden Sie unter Swing-Migration.

Derzeit wird keine Änderung der HTML-Attribute des Felds Kennwort, einschließlich des AutoVervollständigen-Tags, unterstützt. Wir arbeiten derzeit an einem Feature, das benutzerdefiniertes JavaScript zulässt, damit Sie dem Feld Kennwort beliebige Attribute hinzufügen können.

Derzeit wird keine Änderung der HTML-Attribute des Eingabefelds Kennwort, einschließlich des AutoVervollständigen-Tags, unterstützt. Wir arbeiten derzeit an einem Feature, das benutzerdefiniertes JavaScript zulässt, damit Sie dem Feld Kennwort beliebige Attribute hinzufügen können.

Nein.

Allen Kund*innen wird empfohlen, das automatische Upgrade für ihre Microsoft Entra Connect-Installation zu aktivieren. Der Vorteil besteht darin, dass sie so immer die neuesten Patches erhalten, einschließlich Sicherheitsupdates für Sicherheitsrisiken, die in Microsoft Entra Connect gefunden wurden. Der Upgradeprozess verläuft reibungslos und erfolgt automatisch, sobald eine neue Version verfügbar ist. Viele Tausende Microsoft Entra Connect-Kunden verwenden das automatische Upgrade mit jeder neuen Version.

Beim automatischen Upgrade wird immer zuerst überprüft, ob eine Installation für das automatische Upgrade geeignet ist. Wenn sie geeignet ist, wird das Upgrade ausgeführt und getestet. Dieser Vorgang umfasst auch die Suche nach benutzerdefinierten Änderungen an Regeln und bestimmten Umgebungsfaktoren. Wenn die Tests ergeben, dass ein Upgrade nicht erfolgreich ausgeführt wurde, wird automatisch die vorherige Version wiederhergestellt.

Abhängig von der Größe der Umgebung kann dieser Vorgang mehrere Stunden dauern. Während des Upgrades erfolgt keine Synchronisierung zwischen Windows Server Active Directory und Microsoft Entra ID.

Im letzten Jahr haben wir eine Version von Microsoft Entra Connect veröffentlicht, durch die unter bestimmten Umständen das Feature für automatisches Upgrade auf Ihrem Server deaktiviert wurde. Wir haben das Problem in Microsoft Entra Connect Version 1.1.750.0 behoben. Wenn Sie von dem Problem betroffen sind, können Sie sie es mithilfe eines PowerShell-Skripts zum Reparieren oder durch ein manuelles Upgrade auf die neueste Version von Microsoft Entra Connect beheben.

Um das PowerShell-Skript ausführen, laden Sie das Skript herunter, und führen Sie es auf Ihrem Microsoft Entra Connect-Server in einem PowerShell-Fenster mit Administratorrechten aus. Informationen zum Ausführen des Skripts erhalten Sie in diesem kurzen Video.

Für das manuelle Upgrade müssen Sie die neueste Version der Datei AADConnect.msi herunterladen und ausführen.

• Wenn Ihre aktuelle Version älter als 1.1.750.0 ist, laden Sie es herunter, und führen Sie ein Upgrade auf die neueste Version durch.
• Wenn Ihre Microsoft Entra Connect-Version 1.1.750.0 oder höher ist, sind keine weiteren Aktionen erforderlich. Sie verwenden bereits die Version, die die Korrektur des automatischen Upgrades enthält.

Ja, Sie müssen ein Upgrade auf Version 1.1.750.0 oder eine neuere Version durchführen, um das automatische Upgrade erneut zu aktivieren. Laden Sie das Upgrade auf die neueste Version herunter, und führen Sie es aus.

Ja, Sie müssen ein Upgrade auf Version 1.1.750.0 oder eine neuere Version durchführen. Durch die Aktivierung des Diensts für das automatische Upgrade mithilfe von PowerShell wird das in Versionen vor 1.1.750.0 gefundene Problem des automatischen Upgrades nicht behoben.

Sie müssen den Benutzernamen und das Kennwort, die ursprünglich für das Upgrade von Microsoft Entra Connect verwendet wurden, nicht kennen. Verwenden Sie ein beliebiges Microsoft Entra-Konto, das über die globale Administratorrolle verfügt.

Um zu überprüfen, welche Version von Microsoft Entra Connect auf Ihrem Server installiert ist, wechseln Sie zur Systemsteuerung. Durch Auswählen von Programme>Programme und Features können Sie die installierte Version von Microsoft Entra Connect einsehen wie hier gezeigt:

Informationen zum Durchführen eines Upgrades auf die neueste Version finden Sie unter Microsoft Entra Connect: Aktualisieren von einer früheren Version auf die aktuelle Version.

Das Microsoft Entra Connect-Team nimmt häufig Aktualisierungen am Dienst vor. Um von Fehlerbehebungen und Sicherheitsupdates sowie neuen Features zu profitieren, ist es wichtig, den Server auf dem neuesten Stand zu halten. Wenn Sie das automatische Upgrade aktivieren, wird die Softwareversion automatisch aktualisiert. Informationen zum Verlauf der Versionsveröffentlichungen von Microsoft Entra Connect finden Sie unter Microsoft Entra Connect: Versionsveröffentlichungsverlauf.

Die für das Upgrade erforderliche Zeit hängt von der Größe Ihres Mandanten ab. Für größere Organisationen ist es möglicherweise am besten, das Upgrade abends oder am Wochenende durchzuführen. Während des Upgrades erfolgen keine Synchronisierungsvorgänge.

Das Office-Team arbeitet daran, dass bei den Aktualisierungen des Office-Portals der aktuelle Produktname angezeigt wird. Welches Synchronisierungstool Sie verwenden, wird nicht angezeigt.

Eine frühere Version enthielt einen Fehler, der unter bestimmten Umständen dazu führte, dass der Status des automatischen Upgrades auf „Angehalten“ festgelegt wurde. Das manuelle Aktivieren des automatischen Upgrades ist technisch möglich, umfasst jedoch mehrere komplexe Schritte. Installieren Sie am besten die aktuelle Version von Microsoft Entra Connect.

Nein, es gibt im Moment kein solches Feature. Das Feature wird derzeit für eine künftige Version ausgewertet.

Sie werden über das Ergebnis des Upgrades nicht benachrichtigt. Das Feature wird derzeit für eine künftige Version ausgewertet.

Das automatische Upgrade ist der erste Schritt im Prozess der Freigabe einer neueren Version. Immer wenn ein neues Release vorliegt, werden automatisch Upgrades gepusht. Neuere Versionen von Microsoft Entra Connect werden in der Microsoft Entra Roadmap vorab angekündigt.

Ja, mit dem automatischen Upgrade wird auch Microsoft Entra Connect Health aktualisiert.

Ja, ein automatisches Upgrade kann für einen Microsoft Entra Connect-Server im Stagingmodus durchgeführt werden.

In seltenen Fällen wird der Microsoft Entra Connect-Dienst nach dem Durchführen des Upgrades nicht gestartet. Starten Sie in diesen Fällen den Server neu. Das Problem wird dadurch normalerweise behoben. Wenn der Microsoft Entra Connect-Dienst weiterhin nicht gestartet wird, öffnen Sie ein Supportticket. Weitere Informationen finden Sie unter Erstellen einer Serviceanfrage zum Kontaktieren des Microsoft 365-Supports.

Wenn Sie Hilfe bei der Durchführung eines Upgrades auf eine neuere Version von Microsoft Entra Connect benötigen, öffnen Sie ein Supportticket, wie unter Erstellen einer Serviceanfrage zum Kontaktieren des Microsoft 365-Supports beschrieben.

Im Folgenden finden Sie einige bewährte Methoden, die bei der Synchronisierung zwischen Windows Server Active Directory und Microsoft Entra ID implementiert werden sollten.

Multi-Faktor-Authentifizierung auf alle synchronisierten Konten anwenden: Die Multi-Faktor-Authentifizierung von Microsoft Entra trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und ist für Benutzer*innen einfach zu verwenden. Indem eine zweite Form der Authentifizierung verlangt wird, bietet das Verfahren zusätzliche Sicherheit und eine zuverlässige Authentifizierung über verschiedene einfache Authentifizierungsmethoden. Benutzer können auf der Grundlage von Konfigurationsentscheidungen, die ein Administrator trifft, zur MFA aufgefordert werden oder auch nicht. Weitere Informationen zur MFA finden Sie hier: https://www.microsoft.com/security/business/identity/mfa?rtc=1

Sicherheitsrichtlinien für Microsoft Entra Connect-Server befolgen: Der Microsoft Entra Connect-Server enthält wichtige Identitätsdaten und sollte wie unter Active Directory-Verwaltungsebenenmodell beschrieben als Komponente der Ebene 0 behandelt werden. Weitere Informationen finden Sie auch in unseren Richtlinien zum Schutz Ihres Microsoft Entra Connect-Servers.

Aktivieren Sie PHS zur Erkennung kompromittierter Anmeldeinformationen. Mit der Kennworthashsynchronisierung (PHS) wird auch die Ermittlung kompromittierter Anmeldeinformationen für Ihre Hybridkonten aktiviert. Microsoft arbeitet mit Darknet-Ermittlern und Justizbehörden zusammen, um öffentlich verfügbare Benutzername/Kennwort-Paare zu finden. Wenn eines dieser Paare mit denen Ihrer Benutzer identisch ist, wird für das zugehörige Konto der Status „Hohes Risiko“ aktiviert.

Durchsuchen der Microsoft Knowledge Base (KB)

• Suchen Sie in der Wissensdatenbank nach technischen Lösungen für häufige Probleme im Zusammenhang mit dem Support für Microsoft Entra Connect.

Microsoft QA-Frageseite für Microsoft Entra-ID

• Suchen Sie nach technischen Fragen und Antworten, oder stellen Sie selbst Fragen, indem Sie die Microsoft Entra-Community besuchen.

Erhalten von Support für Microsoft Entra ID

Die Ereignisse 6311 (Unerwarteter Serverfehler beim Ausführen eines Rückrufvorgangs) und 6401 (Unerwarteter Fehler beim Verwaltungs-Agent-Controller) werden immer nach einem Synchronisierungsschrittfehler protokolliert. Zum Beheben dieser Fehler müssen Sie die Synchronisierungsschrittfehler bereinigen. Weitere Informationen finden Sie unter Beheben von Fehlern während der Synchronisierung und Beheben von Problemen bei der Objektsynchronisierung mit der Microsoft Entra Connect-Synchronisierung