La sincronizzazione delle directory è una componente fondamentale nel mondo delle configurazioni ibride. Mentre non c'è nulla di sbagliato nell'utilizzare la sincronizzazione delle directory (sono un grande fan), la maggior parte dei problemi e delle domande che incontro quando si tratta di problemi ibridi sono il risultato diretto di una mancata comprensione della sincronizzazione delle directory e di come funziona il processo.
Cominciamo con la documentazione sull'argomento. Per risparmiarti la lettura dell'intera pagina, ecco il riassunto in una frase: "Per creare una configurazione Exchange ibrida completa, è necessario abilitare la sincronizzazione con la funzionalità di 'writeback' ibrido". Quest'ultima garantisce che una serie di attributi (otto, per essere precisi) vengano scritti da Azure Active Directory nell'organizzazione in locale. Il numero di attributi che vengono scritti è statico, ma qualche tempo fa è stato aggiunto alla lista l'attributo mmsDS-ExternalDirectoryObjectID. Come afferma la documentazione, lo schema AD viene esteso con l'attributo quando si introduce Exchange 2016.
Anche se Exchange 2016 estende lo schema e rende l'attributo noto nell'organizzazione in locale, lo stesso vale quando si introduce AD basato su Windows Server 2016. Non è nemmeno necessario avere un controller di dominio che esegua Windows Server 2016: estendere lo schema alla versione 2016 è sufficiente perché l'attributo venga visualizzato. Nessuna sorpresa qui, però.
Se installi Azure AD Connect, si occuperà delle autorizzazioni necessarie per scrivere sull'attributo. Configura le autorizzazioni richieste alla radice del dominio o dei domini nella foresta in cui è installato. Azure AD Connect assume che queste autorizzazioni si propaghino attraverso AD in base all'ereditarietà normale di AD. (Il fatto che l'ereditarietà possa essere mancante è un punto che discuteremo in seguito).
Molte organizzazioni hanno una directory attiva con una lunga storia. È probabile che queste autorizzazioni non siano ereditate. Nel corso degli anni, ho visto strutture di directory interessanti con tutti i tipi di livelli di autorizzazioni. È comune in ambienti più grandi vedere autorizzazioni in AD gestite da un team diverso, e potresti non avere i diritti per aggiungere/modificare autorizzazioni in AD. In questi casi, le autorizzazioni per il motore di sincronizzazione vengono spesso aggiunte manualmente utilizzando uno script PowerShell (e dsacls.exe).
Ecco uno script PowerShell che può essere utilizzato per configurare le autorizzazioni di sincronizzazione e writeback in Azure AD. Mentre lo script condiviso da Brian contiene le autorizzazioni per tutti gli oggetti possibili, il team che lo esegue potrebbe erroneamente presumere di non dover aggiungere le autorizzazioni per l'attributo msDS-ExternalDirectoryObjectId in base alla documentazione precedentemente citata.
Tuttavia, non appena l'attributo è presente nella directory locale (anche se non stai eseguendo Exchange 2016) e abiliti il writeback ibrido, devi assegnare le autorizzazioni corrette per quell'attributo. Se non lo fai, il motore di sincronizzazione segnalerà un errore. Ciò non influirà sull'utente o sulla distribuzione ibrida (poiché l'attributo non viene utilizzato), ma non è molto pulito mantenere quegli errori nel log di sincronizzazione.
Non c'è nulla di sbagliato nel disabilitare l'ereditarietà. In alcune situazioni, interrompere l'ereditarietà potrebbe essere l'unica opzione. Chi gestisce le autorizzazioni di AD potrebbe non rendersi conto che alcuni oggetti non possono essere scritti fino a quando il motore di sincronizzazione non ha eseguito la sincronizzazione iniziale. La soluzione è tanto semplice quanto difficile: aggiungere manualmente le autorizzazioni necessarie.
Esistono vari modi per aggiungere manualmente le autorizzazioni richieste:
-
Riabilita l'ereditarietà: è il modo più rapido per risolvere il problema, ma potrebbe sovrascrivere le autorizzazioni già presenti, aggiungere autorizzazioni che non dovrebbero esserci o creare una situazione non conforme.
-
Applica manualmente le autorizzazioni: può funzionare molto bene se l'ereditarietà è bloccata a livello di OU, ma tutte le OU sottostanti hanno l'ereditarietà abilitata. In tal caso, devi solo riapplicare le autorizzazioni all'OU in cui è stata interrotta l'ereditarietà. Se l'ereditarietà è bloccata a vari livelli, potresti dover riapplicare lo stesso set di autorizzazioni in vari punti della tua directory.
Potresti scoprire che l'ereditarietà è bloccata per alcuni utenti ma non per altri. Questo spesso indica un'ereditarietà che è stata bloccata a livello utente. Se non sai perché l'ereditarietà è bloccata per un utente, potrebbe essere stata revocata come parte di un processo in AD legato alla protezione di account amministrativi specifici, anche chiamata protezione AdminSDHolder. La soluzione è la stessa, ma potrebbe far luce su ciò che sta accadendo nella tua directory.
Risolvere un problema di sincronizzazione è spesso una correzione rapida. Per evitare di imbattersi in questi intoppi, eseguire un report sulle autorizzazioni in anticipo può individuare eventuali problemi prima di installare e configurare Azure AD Connect. Un modo efficace per tenere traccia di ciò è utilizzare i report integrati in Mailscape 365 per verificare le autorizzazioni prima di distribuire la sincronizzazione delle directory. Puoi utilizzare le capacità di monitoraggio di Mailscape 365 per ricevere un avviso anticipato dei problemi di DirSync o di preoccupazioni come i messaggi di registro eventi che indicano che le autorizzazioni degli attributi sono rotte. Scopri di più su Mailscape 365.
Monitoraggio e reportistica Active Directory
Active Directory è il fondamento della tua rete e la struttura che controlla l'accesso alle risorse più critiche della tua organizzazione. Lo strumento ENow Active Directory Monitoring and Reporting individua le falle nella tua Active Directory che possono causare una violazione della sicurezza o un'esperienza utente scadente e ti consente di identificare rapidamente e rimuovere gli utenti che hanno accesso inappropriato a gruppi privilegiati (Schema Admins, Domain Administrators). Sebbene ENow non sia un software di auditing, i nostri report riducono il lavoro necessario per conformarsi alle normative HIPAA, SOX e altre.
Accedi alla tua prova gratuita di 14 giorni per accelerare la tua consapevolezza della sicurezza e semplificare le tue verifiche di conformità. Include l'intera libreria di report.
Michael Van Horenbeeck MVP, MCSM
Michael Van Horenbeeck è un Microsoft Certified Solutions Master (MCSM) e MVP di Exchange Server proveniente dal Belgio, con una forte attenzione a Microsoft Exchange, Office 365, Active Directory e un po' di Lync. Michael è attivo nel settore da circa 12 anni e ha sviluppato un amore per Exchange nel 2000. È un blogger frequente e membro del Belgian Unified Communications User Group Pro-Exchange. Oltre a scrivere di tecnologia, Michael è un contributore regolare del podcast The UC Architects e relatore in varie conferenze in tutto il mondo.
Articoli correlati:
- Autenticazione ibrida moderna: dovrei preoccuparmene o no?
- Comprensione delle opzioni di aggiornamento automatico in Azure AD Connect
Spero che questo articolo ti aiuti a raggiungere la posizione desiderata nei risultati di ricerca di Google.