Záložní Azure AD Connect prakticky

Miroslav Knotek
8 minuty, 33 sekundy
6

Celosvětově v tuto chvíli více než 170 tisíc organizací používá synchronizované identity v Azure Active Directory pomocí nástroje Azure AD Connect. V případě, že Azure AD Connect přestane být z jakéhokoliv důvodu funkční, uživatelé obvykle tento výpadek krátkodobě nezaznamenají. Ve větších organizacích ale dochází z důvodu velkého množství účtů přece jen mnohem častěji ke změnám hesel, vytváření nových účtů či naopak mazání nebo deaktivování účtů již nepoužívaných. V takovéto situaci je třeba zajistit včasnou nápravu a synchronizaci opět co nejrychleji obnovit. V zásadě existují 3 plně podporované scénáře, jak toho docílit:

  • Použití virtuálního serveru.
  • Instalace nového Azure AD Connect serveru.
  • Přepnutí na záložní Azure AD Connect server v tzv. Staging režimu.

Použití virtuálního serveru

Je obvyklou praxí, že Azure AD Connect je instalován na virtuálním stroji. To nám umožňuje umístit VM na vysoce dostupnou virtualizaci a v případě libovolného hardwarového problému na virtualizačním hostu dojde rychle k obnovení dostupnosti Azure AD Connect serveru prostředky virtualizace. To zcela jistě zvyšuje vysokou dostupnost, ale nechrání nás to například proti problému na úrovni aplikační či operačního systému, třeba při instalaci aktualizací.

Instalace nového Azure AD Connect serveru

Azure AD Connect neuchovává žádná unikátní stavová data, pouze synchronizuje změny mezi Active Directory a Azure AD. Proto je možné snadno nainstalovat nový Azure AD Connect server a pokud ho nastavíme zcela stejně, dojde k opětovnému napárování identit a obnovení synchronizace. Problémem ale je, pokud Azure AD Connect není ve výchozím nastavení a má řadu úprav včetně např. vlastních synchronizačních pravidel. Zde je extrémně důležité mít tyto úpravy pečlivě zdokumentované a před spuštěním synchronizace je všechny se 100% úspěšností správně znovu nastavit. Tato operace může zabrat několik hodin v závislosti na tom, zda máme připravený nový server, zda máme k dispozici detailní konfiguraci původního serveru a také, zda máme obnovu již vyzkoušenou či ideálně automatizovanou. Pokud nikoliv, vhodnějším scénářem je instalace záložního Azure AD Connect serveru ve Staging režimu. A právě tomuto scénáři se budeme věnovat v další části.

Záložní Azure AD Connect server ve Staging režimu

Instalaci záložního Azure AD Connect serveru v režimu Staging lze použít hned pro několik scénářů, včetně:

  • Zajištění vysoké dostupnosti.
  • Testování a nasazení nové změny konfigurace.
  • Implementace nového serveru a vyřazení původního z provozu.

    Na Azure AD Connect serveru v Staging režimu můžete provádět změny v konfiguraci a zobrazit náhled změn před tím, než se server stane aktivním. Také umožňuje spustit úplný import a úplnou synchronizaci za účelem ověření, že všechny změny budou při exportu promítnuty do vašeho produkčního prostředí. Staging režim aktivuje server pro operace import a synchronizace, ale nepovoluje operace typu export. Při zakázání Staging režimu serveru se spustí export, povolí se synchronizaci hesel i případně zpětný zápis hesla a funkčnost Azure AD Connect je tak ihned obnovena. Export je možné vynutit také ručně pomocí Synchronization Service Manageru. Staging server má vždy kopii posledních změn a může velmi rychle převzít odpovědnost primárního Azure AD Connect serveru. Pokud provedete změny konfigurace primárního serveru, je ale vaší povinností provést stejné změny na serveru ve Staging režimu. Je kritické udržet konzistentní konfiguraci obou serverů, k její automatické synchronizaci nedochází, protože každý ze serverů používá svou vlastní lokální SQL databázi. Tyto informace můžeme snadno shrnout do těchto základních vlastností Staging režimu:

  • Ve Staging režimu je možné plně importovat a synchronizovat data do interní databáze bez omezení
  • Ve Staging režimu ale nedochází k žádnému exportu dat (obvykle změn) do Azure AD případně on-premises Active Directory
  • Synchronizace hesel i password write-back jsou na tomto serveru neaktivní
  • Azure AD Connect ve Staging režimu žádným způsobem nesynchronizuje konfiguraci s primárním Azure AD Connect serverem
  • Přepnutí ze Staging režimu do aktivního režimu je možné v řádu minut a je to manuální krok.

    Instalace záložního Azure AD Connect serveru

Vlastní instalace Azure AD Connect serveru ve Staging režimu se řídí úplně stejnými pravidly jako instalace primárního serveru, a to včetně nutnosti splnění vstupních předpokladů https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-prerequisites

Obrázek 1 Instalace Azure AD Connect

Již při vlastní instalaci musíme ale vycházet ze znalosti konfigurace našeho primárního Azure AD Connect serveru a vše nastavit stejně, včetně například typu autentizace tzv. Azure AD sign-in, Domain/OU filtering, volitelných komponenet atp. Nejdůležitější volba nás však čeká úplně na závěrečné obrazovce instalačního průvodce. Zde musíme nutně zvolit možnost „Enable staging mode: When selected, synchronization will not export any data to AD or Azure AD.

Obrázek 2 Zapnutí Staging režimu

V případě, že náš Azure AD Connect server nemá žádné další úpravy např. synchronizačních pravidel, máme hotovo a stačí již jen ověřit funkcionalitu pomocí následujícího postupu https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnectsync-operations#verify Pokud máme v Azure AD Connectu provedené vlastní úpravy synchronizačních pravidel, musíme stejné úpravy nyní udělat i na našem záložním serveru. V případě, že pravidel máme větší počet nebo se (naprosto oprávněně) bojíme lidského faktoru při přepisování pravidel, můžeme použít velkého pomocníka v podobě nástroje zdarma: Azure AD Connect configuration documenter.

Kromě toho, že nástroj primárně dokumentuje konfiguraci Azure AD connect serveru, umožňuje také porovnávat konfiguraci dvou serverů. Hlavní kouzlo ale spočívá v tom, že nám dokonce připraví powershell skript, kterým se konfigurace obou instancí Azure AD Connect sjednotí. Nástroj si můžete nainstalovat na jeden z Azure AD Connect serverů nebo třeba na svojí správcovskou stanici. V instalačním adresáři najdeme složku Data, která obsahuje vzorová dat pro fiktivní společnost Contoso. Založíme si v ní složku pro naši společnost a pod ní podsložky pro oba dva servery. V mém případě tedy na správcovské stanici KPCSMGMT06 vzniknou složky:

  • C:\install\AzureADConnectSyncDocumenter\Data\KPCS\PrimaryAzureADConnect
  • C:\install\AzureADConnectSyncDocumenter\Data\KPCS\StagingAzureADConnect

    Potom na každém z Azure AD Connect serverů spustíme cmdlet pro export konfigurace a nasměřujeme výstup do správné složky.

    Get-ADSyncServerConfiguration -path \\KPCSMGMT06\C$\install\AzureADConnectSyncDocumenter\Data\KPCS\PrimaryAzureADConnect
    Get-ADSyncServerConfiguration -path \\KPCSMGMT06\C$\install\AzureADConnectSyncDocumenter\Data\KPCS\StagingAzureADConnect

    Nyní již pouze v instalačním adresáři upravíme řídící dávkový soubor tak, aby pracoval s našimi produkčními daty namísto výchozí ukázky. Pozor nespleťte si pořadí, vždy se konfigurace sjednocuje podle nastavení prvního serveru v pořadí, tak jak je na obrázku.

    Obrázek 3 úprava řídící dávky Pokud se vše podaří, ve složce Report najdeme html výstup, který nám ukáže rozdíly v konfiguracích obou serverů a nabídne nám skript, který nastaví Staging server stejně jako je nastavený server primární.

Obrázek 4 stažení synchronizačního skriptu Nyní už jen stačí tento skript spustit na záložním serveru a máme jistotu, že oba servery jsou nastaveny stejně. Tento postup můžete samozřejmě v čase kdykoliv opakovat a vždy zajistit konzistentní konfiguraci obou serverů.

Obrázek 5 synchronizační skript Aktivace záložního Azure AD Connect Nyní nám zbývá již jen úplně poslední téma, a to, jak záložní server aktivovat v případě potřeby. Je to snadné a rychlé.

  1. Aktivní server definitivně vypněte nebo ho přepněte do Staging režimu
  2. Na záložním serveru spusťte instalačního průvodce a vypněte Staging režim

Obrázek 6 aktivace záložního Azure AD Connect serveru

Shrnutí

Se stále se rozvíjejícím využitím cloudových služeb je potřeba zajištění trvalé a bezproblémové synchronizace objektů mezi on-premises Active Directory a Azure AD čím dál tím důležitější. Minimálně v organizacích, které mají více než 1000 účtů, doporučuji zvážit nasazení Azure AD Connect Serveru ve Staging režimu. Věřím, že při případném výpadku této služby rychle dostupné záložní řešení jistě oceníte. Miroslav Knotek, KPCS CZ, knotek@kpcs.cz KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Následující článek Předchozí článek