AD suffix in een child domain

maandag 16 oktober 2017 12:24

Acties:

Topicstarter

Ik beheer een klant die in een child domain zit. Fictieve naam benelux.contoso.com. Het root domain contoso.com wordt beheerd door een holding. Naast ons child domain zijn er ook nog andere child domains waar in geen rechten op heb. Denk dan aan een france.contoso.com, russia.contoso.com.

Het mail adres waarmee mijn gebruikers mailen is contoso.nl.

Mijn klant wil nu Office 365 ProPlus gaan gebruiken. Daarvoor wil ik Azure AD Sync gaan installeren. Daar heb ik een DNS naam voor nodig die te routeren is op internet. In mijn geval is benelux.contoso.com dat niet. Dus wil ik graag een AD suffix aanmaken (die contoso.nl gaat heten). Maar daar ligt nu de beheerder van het root domain dwars. De rede is mij nog niet helemaal duidelijk, maar ik vermoed dat de nieuwe suffix voor alle child domains beschikbaar komt. Dus dat contoso.nl ook te gebruiken is in bijvoorbeeld het france.contoso.com domain.

Valt dat te voorkomen? Ik kan vrij weinig vinden over de werking van de AD suffix. Eigenlijk alleen maar hoe je het toevoegt en verwijderd...

XBOX One: KW NL, PSN: kw_nl Strava: https://www.strava.com/athletes/53303907

dinsdag 17 oktober 2017 09:18

Acties:

paulhekje

Je zit samen in 1 forest, dus moet je er samen met de andere ICT-beheerders uitkomen. Dit soort architectuurkeuzes (AD-sync, UPN, externe DNS-zones die aan je AD zijn gekoppeld) kan je beter niet zomaar doen.
Gebruik je ook Exchange, wat je naar Office 365 wil zetten?

Welke rechten hebben jullie precies binnen het child doman? Technisch kan je wel degelijk een andere UPN-suffix instellen op een user, een OU, of een child domain, zonder die te definiëren in AD domains/trusts.

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

woensdag 18 oktober 2017 04:44

Acties:

Brahiewahiewa

boelkloedig

In denk dat hier het probleem zit:

Important:
This article describes synchronization of a single domain in a single forest. Azure AD Connect synchronizes all Windows Server AD domains in your Active Directory forest with Office 365.

QnJhaGlld2FoaWV3YQ==

woensdag 18 oktober 2017 08:21

Acties:

paulhekje

Deze discussie geeft het inzicht dat je altijd rechten in het root-domain nodig hebt en enterprise admin:

https://partnersupport.mi...c9-434a-95c3-e771082379e2

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

woensdag 18 oktober 2017 08:26

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op woensdag 18 oktober 2017 @ 04:44:
In denk dat hier het probleem zit:

[...]

Met een een custom installatie komen er wel wat filter opties bij, waarbij oa een selectie te maken is van Domains en OU's.

Afbeeldingslocatie: https://docs.microsoft.com/en-us/azure/active-directory/connect/media/active-directory-aadconnect-get-started-custom/domainoufiltering.png

Afbeeldingslocatie: https://docs.microsoft.com/en-us/azure/active-directory/connect/media/active-directory-aadconnect-get-started-custom/domainoufiltering.png

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 18 oktober 2017 09:16

Acties:

Brahiewahiewa

boelkloedig

Question Mark schreef op woensdag 18 oktober 2017 @ 08:26:
[...]

Met een een custom installatie komen er wel wat filter opties bij, waarbij oa een selectie te maken is van Domains en OU's...

Ja, maar je denkt toch niet serieus dat de mensen van het root-domain, enterprise admin rechten gaan geven aan een inhuurkracht from the Netherlands? (Isn't that the capital of Kobenhavn?)

QnJhaGlld2FoaWV3YQ==

woensdag 18 oktober 2017 10:20

Acties:

ZeRoC00L

?

Zoals iemand hierboven ook al aangaf, zitten er Exchange servers in je domein ?
Zo niet, dan mis je de exchange attributen in het AD schema.
Zonder deze is het ook lastig om O365 te beheren.

Misschien offtopic, maar mag je wel van de Holding naar O365 ?

[*] Error 45: Please replace user
Volg je bankbiljetten

woensdag 18 oktober 2017 11:17

Acties:

kw_nl

Topicstarter

Ze hebben wel Exchange. Maar die draait in de root domain. Dus in contoso.com. Er zijn dus wel exchange attributen.

Inmiddels heb ik al wat meer duidelijk waarom er heel moeilijk wordt gedaan. De IT man daar denkt dat kerberos niet meer gaat werken als je de UPN wordt veranderd naar contoso.nl

Als ik het goed lees, is dat niet het probleem...

XBOX One: KW NL, PSN: kw_nl Strava: https://www.strava.com/athletes/53303907

woensdag 18 oktober 2017 12:32

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op woensdag 18 oktober 2017 @ 09:16:
[...]

Ja, maar je denkt toch niet serieus dat de mensen van het root-domain, enterprise admin rechten gaan geven aan een inhuurkracht from the Netherlands? (Isn't that the capital of Kobenhavn?)

Dat hoeft toch ook niet? Dan klopt de bestaande Enterprise Admin toch even de credentials in tijdens het doorlopen van de wizard. Tegenwoordig kan het service account waar de sync onder draait door de wizard aangemaakt worden. De wizard doet dat erg netjes, en geeft het account alleen maar minimale rechten, op plekken waar dat nodig is.

Desnoods wordt de AD-Connect service gedraaid vanuit het root-domain (dat zou ik sowieso doen). Dan klopt TS de credentials van de Global Tenant admin maar in, tijdens het doorlopen van de wizard.

kw_nl schreef op woensdag 18 oktober 2017 @ 11:17:
De IT man daar denkt dat kerberos niet meer gaat werken als je de UPN wordt veranderd naar contoso.nl

Vraag dit wel even goed na waarom hij dit denkt. Het kan zijn dat er 3rd party apps gebruikt worden waardoor SSO nu niet meer gaat werken.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Vraag

Alle reacties