Olá povo lindo!
Hoje vamos falar um pouquinho sobre o AD Connect.
O AD Connect é um ferramenta fundamental para que possamos provisionar uma topologia hibrida, ou seja, On-Prem e Cloud. Existem outros recursos que devem ser configurados para que possamos ter uma topologia totalmente hibrida como VPN e outras configurações, mas para uma autenticação hibrida o AD Connect é o pilar.
No primeiro post falamos sobre Custom Domain, agora imagine que você tem um Office 365 e deseja que os usuários autentiquem usando seu usuário e senha locais do seu AD. Imaginou? Então é o AD Connect que vai providenciar essa autenticação.
Essa autenticação pode ser feito segundo alguns métodos:
PHS = Password Hash Syncronization
PTA = Pass-Through Authentication
ADFS = Active Directory Federation Services
Basicamente o PHS envia as senhas para serem armazenadas no Azure, o PTA salva as senhas em um servidor intermediário e o ADFS diz que um servidor ou domínio é responsável pela autenticação.
Essa topologia deve ser definida de acordo com o caso e as necessidades, nesse caso vamos usar o PHS.
Nesse passo a passo vamos conectar o domínio privado (entenda-se domínio on-prem) fernandodovale.local com o domínio público fernandodovale.com.br
Para sincronização é necessário um usuário Global Administrator pelo lado do domínio Azure, dependendo da versão do AD Connect se faz necessário um usuário com permissão de Enterprise Admin.
Domínio local fernandodovale.local
Domínio público:
Primeiro passo é verificar o UPN dos usuários que serão sincronizados, se queremos que eles sejam criados na cloud com nosso domínio customizado, devemos alterar o UPN para o mesmo do Custom Domain, no caso, fernandodovale.com.br
Nesse exemplo vamos sincronizar os usuários da OU "Usuarios Connect", por isso vamos alterar o UPN dos usuários "Teste1" e "Teste2"
O primeiro passo que iremos fazer é adicionar o sufixo do Custom Domain no nosso AD:
Abra a console de administração "Domain and Trusts" e clique em propriedades:
Com a janela aberta adicione o UPN
Essa atividade pode ser feita pelo powershell:
Get-ADForest | Set-ADForest -UPNSuffixes @{add="fernandodovale.com.br"}
Agora vou deixar um usuário com UPN público e um usuário com UPN local.
Caso seja uma migração massiva, existem querys para alterar o UPN em massa.
$LocalUsers = Get-ADUser -Filter {UserPrincipalName -like '*dominio.local'} -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("dominio.local","dominio.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
Em seguida vamos definir um local para a instalação do AD Connect, esse servidor precisará fazer conexões com o Azure AD, por ser um elemento que pode envolver Troubleshooting no futuro indico que seja em um servidor de baixo impacto caso precise fazer alguma atuação.
Feito o download vamos iniciar a instalação, basta executar o instalador que será aberto a primeira tela:
Depois de aceitar os termos e clicar em continue, será perguntado sobre as opções de instalação, como o domínio não é público, utilizar a instalação customizada, nessa opção serão fornecidas as dependências de instalação. Deixe todas as opções desmarcadas e clique em install.
Após a instalação das dependências, deverá escolher o tipo da sincronização:
Como definido mantenha a opção "Password Hash Syncronization"
Em seguida vamos inserir as credenciais do domínio que desejamos conectar, no caso o domínio Azure. Lembre-se de inserir credenciais com permissão de Global Administrator
Em seguida será mostrado a tela de login do domínio Azure:
Após o login é o momento de adicionar o AD local, você pode adicionar várias árvores para o mesmo destino, selecione "Add Directory":
Insira as credenciais do domínio local, lembre-se que não é suportado contas Domain Admin ou Enterprise Admin, é ideal a criação de uma conta somente para sincronização:
Esse é o erro quando usa um usuário Enterprise Admin ou Domain Admin
Por isso indica-se a criação de uma conta específica para a sincronização, além disso crie diretamente no AD.
Como adicionamos o UPN anteriormente a tela mostrará os dois sufixos:
Quando temos um domínio não verificado, no caso o fernando.local, os usuários com esse UPN terão seus UPN alterados para *.onmicrosoft.com. Como temos um domínio não verificado, marque o "Continue without..." e clique em next.
Vamos escolher o que iremos sincronizar, nesse caso iremos sincronizar o OU "Usuarios Connect"
Para uma configuração simples, as próximas opções se mantém "default"
O Filtro é muito utilizado para POCs ou sincronizações de teste, você pode sincronizar usuários específicos ou grupos específicos:
A última tela de configuração fornece alguns atributos adicionais para serem configurados, como não vamos abordar essas configurações mantenha o default:
Por fim configurar:
Quando termina a instalação temos a seguinte tela:
Agora vamos verificar a sincronização, acesse o painel de administração do seu Microsoft 365 pelo https://admin.microsoft.com e navegue até "Usuários" e "Usuarios Ativos":
Para nosso ambiente criamos o usuário com UPN local e o UPN do Custom Domain, veja isso refletivo nos usuários sincronizados:
Podemos perceber também que foi criado um usuário para o servidor com início "On-Premises", no AD local também foi criado um usuário "AAD*"
Agora temos o AD Connect rodando e funcional, inclusive com UPN's diferentes.
Tem alguma dúvida? Comente!!
E lembre-se de entender as atividades que estão sendo executadas, não siga tudo cegamente, cada ambiente tem suas particularidades!
Enjoy!!
Comments