Toon posts:

Azure AD Sync 1 user via Azure AD tussen 2 on prem domeinen

Pagina: 1
Acties:

Vraag

vrijdag 12 februari 2016 12:20

Acties:
  • 0 Henk 'm!
  • RRX
  • Registratie: Mei 2000
  • Laatst online: 29-05 15:34

RRX

@life-

Topicstarter
Mijn vraag

Het volgende wil ik bereiken, mijn vraag is of dat mogelijk is en zo ja, hoe dan?

De casus als volgt;

Ik heb 2 dochterondernemingen welke allebei op verschillende locaties een eigen domeincontroller hebben draaien en ingericht.

Laten we even zeggen Bedrijf A BV heeft domeina.local en Bedrijf B BV heeft domeinb.local

Beide bedrijven willen gebruik gaan maken van de zelfde Office 365 / Azure AD omgeving en hebben als externe domeinnaam bedrijf.nl met username/mailadres user@bedrijf.nl

Door middel van Azure AD sync willen we de users van domeina.local en domeinb.local syncen naar Azure AD. Geen probleem voor de users die alleen maar voor bedrijf A of bedrijf B werken.

Nu hebben we ook users die werken voor bedrijf A en bedrijf B.

die hebben dus user@domeina.local en user@domeinb.local en als mailadres user@bedrijf.nl

Nou zou het erg handig zijn wanneer betreffende user bij bedrijf A gegevens (bijv password) wijzigt, deze gesynct worden naar azure AD. wanneer vervolgens Azure AD gaat syncen bij bedrijf B zouden deze gegevens teruggesynced moeten worden naar de AD van bedrijf B.

Relevante software en hardware die ik gebruik
Testomgeving:
  • 2x Server 2012R2 met domeina.local & domeinb.local
  • Azure AD met bedrijf.nl geconfigureerd
  • Op beide servers Azure AD Connect
Wat ik al gevonden of geprobeerd heb
Wat ik tot nu toe werkend heb;
  • De sync werkt op beide servers met password writeback wanneer de user op 1 van beide servers voorkomt
  • Voor het linken van de users op beide servers heb ik bij het kopje "Identifying users" het volgende ingesteld: User identities exists across multiple directories en dan match using specific attribute "employeeID" als source anchor heb ik ook "employeeID" gebrukt
Dan heb ik de testuser die bij bedrijf A en bedrijf B werkt van het zelfde employeeID voorzien.

Wanneer ik nu bij bedrijf A iets wijzig aan de user synced hij dat netjes naar Azure. Voorbeeld. Ik wijzig in domeina.local de description dan syncted hij deze naar Azure AD

Wanneer ik Get-MsolUser -UserPrincipalName doe, dan zie ik netjes de nieuwe description .

Wanneer ik datzelfde doe bij domeinb.local hetzelfde effect.

Wanneer ik Get-MsolUser -UserPrincipalName doe, dan zie ik netjes de nieuwe description .

Echter had ik verwacht dat hij dan bij Azure zou zien dat er een nieuwe waarde is gekomen en deze terugsyncted naar het andere domein, en dat stukje doet hij dus niet.

Mijn vraag. Kan dit? of is dit technisch gezien niet mogelijk?

mijn T.net systeemspecspagina

Beste antwoord (via RRX op 15-02-2016 14:40)

vrijdag 12 februari 2016 21:53

  • Semt-x
  • Registratie: September 2002
  • Laatst online: 06-07 20:31

Semt-x

Dat gaat niet werken zoals je beschreef, het probleem zit hier:
"Op beide servers Azure AD Connect"

Gebruik 1 AADC om beide domeinen te bedienen. Het is geen scenario dat ik dagelijks zie, maar ik denk dat je in die ene AADC server password sync kan instelling voor beide domeinen. (onderwater s AADC FIM2010, FIM kan dat zeker, ik weet niet of de afgeslankte versie van FIM in AADC dat ook kan).

Als ik het zo van buitenaf kan beoordelen is de oplossing die je bouwt is een workaround voor een domein migratie. en maakt de onvermijdelijke domein migreatie een stuk complexer. Tenzij je op hele korte termijn afstapt van alle on-premise domeinen.

Alle reacties

vrijdag 12 februari 2016 19:26

Acties:
  • 0 Henk 'm!
  • bvk
  • Registratie: Maart 2002
  • Laatst online: 20:37

bvk

Het gaat nooit snel genoeg!

Is dit nou niet een dusdanig typische vraag om in eerste instantie bij Microsoft zelf neer te leggen? Als het goed is heb je als Azure gebruiker al meerdere mailtjes gehad van MS medewerkers die je vooral aanmoedigen om de meest complexe vragen te stellen.

Ik wel tenminste:
Hi bvk,
I hope everything is going well as you continue to explore the Microsoft Azure Platform! Have you started testing or development on the platform? If there is anything our team can do to help you, please give us a call or reply to this message.
As previously mentioned, our team is here to assist with any pre-production pricing and technical enablement assistance. Other free support options include posting questions for Microsoft representatives on Azure forums.
Best Regards,

Microsoft Azure Product Team
:)

Specs

vrijdag 12 februari 2016 20:56

Acties:
  • 0 Henk 'm!
  • Berry_1989
  • Registratie: December 2009
  • Nu online

Berry_1989

Dit zal bij mijn weten niet werken.

Objecten worden onpremise aangepast en gesynced naar azure AD.

Ik dacht dat meerdere forests syncen niet ondersteund wordt. Een forest met meerdere domeinen gaat wel.

Waarom moeten het twee verschillende ADs zijn? Kun je niet beter 1 AD omgeving opzetten. Eventueel met meerdere domeinen.

vrijdag 12 februari 2016 21:53

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 06-07 20:31

Semt-x

Dat gaat niet werken zoals je beschreef, het probleem zit hier:
"Op beide servers Azure AD Connect"

Gebruik 1 AADC om beide domeinen te bedienen. Het is geen scenario dat ik dagelijks zie, maar ik denk dat je in die ene AADC server password sync kan instelling voor beide domeinen. (onderwater s AADC FIM2010, FIM kan dat zeker, ik weet niet of de afgeslankte versie van FIM in AADC dat ook kan).

Als ik het zo van buitenaf kan beoordelen is de oplossing die je bouwt is een workaround voor een domein migratie. en maakt de onvermijdelijke domein migreatie een stuk complexer. Tenzij je op hele korte termijn afstapt van alle on-premise domeinen.

maandag 15 februari 2016 14:40

Acties:
  • 0 Henk 'm!
  • RRX
  • Registratie: Mei 2000
  • Laatst online: 29-05 15:34

RRX

@life-

Topicstarter
Bedankt allemaal voor de suggesties en tips.

@bkv inderdaad misschien een goed idee het Azure Team nog te vragen naar advies, is al lang geleden dat ik me had ingeschreven, dus die mail waar jij naar refereerd is voor mij lang geleden :)

@Berry_1989
Multiple forest is mogelijk sinds Azure AD Sync, bij dirsync kon dit nog niet:
http://windowsitpro.com/a...multiple-forests-azure-ad

Het moeten niet verplicht 2 AD omgevingen zijn, maar het is nu al zo. 1 domein is een SBS 2011 omgeving, dus daar kan ik niet meer aanhangen.

Ik zocht op deze manier naar een potentiële oplossing voor dit "probleem"

@Semt-x
1 AADC om beide domeinen te bedienen kan dus niet omdat de internet domeinen dus geen connectie hebben, dit gaat met SBS ook niet kunnen.

Ik denk dat het beter is om voor die enkele users dan met gescheiden accounts te blijven werken.

mijn T.net systeemspecspagina

woensdag 10 augustus 2016 21:36

Acties:
  • 0 Henk 'm!
  • Jerry1987
  • Registratie: Maart 2010
  • Laatst online: 03-02-2022

Jerry1987

In principe moet je alles kunnen regelen met 1 AadSync zorg dan wel dat beide domein trusted aan elkaar zijn. Sinds AADsync hoef je hiervoor geen ADFS te hebben.
Zorg dat in beide on-prem AD de Proxyaddressen (deze staan onder de attributen in AD onprem) goed staan hier wordt namelijk de match op gemaakt door AADSync . Zorg hiernaast dat alle UPN suffixen bekend zijn in beide AD omgevingen.
Vervolgens kan je al je users syncen naar 1 AAD van 1 O365 omgeving.

Vervolgens zorg je dat beide domeinen (Externe domeinen) bekend zijn in O365.
De enige vraag die bij mij op komt is waarom je dit wil. Iedere user heeft licenties O365 nodig waarom dan niet 2 tenants kosten zijn hetzelfde maar het gemak wordt groter het beheer blijf je bij AADsync immers toch Onprem doen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq