Für eine ausfallsicheren Betrieb der Azure AD Pass-Through Authentifizierung (PTA) ist der Betrieb von mehreren Authentifizierungsagenten empfohlen. Als Empfehlung gilt der Betrieb von mindestens drei PTA-Agenten.
Nach dem Herunterladen und der Installation des PTA-Agenten kann die finale Registrierung bei Azure AS u.U. fehlschlagen. Dieses Problem tritt hauptsächlich in Netzwerkinfrastrukturen auf, in denen die Nutzung eines Proxy-Servers für ausgehenden Verbindungen zu den Microsoft 365 Endpunkte Pflicht ist. Die Gründe für einen Fehler bei der Registrierung sind entweder ein falsch konfigurierter Proxy oder fehlende Einträge in der Internet Explorer Zonenkonfiguration für die vertraute Websites.
Wenn dieser Fehler in Ihrer Umgebung auftritt, empfehlen ich Ihnen, die Installation des PTA-Agenten und die Registrierung bei Azure AD in zwei getrennten Schritten durchzuführen. Um diese Schritte durchführen zu können, benötigen Sie ein Azure AD Benutzerkonto, das Mitglied der Rolle "Global Administrator" ist.
AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q
# Navigation zum Standardinstallationspfad cd "C:\Program Files\Microsoft Azure AD Connect Authentication Agent" # Eingabe der Anmeldeinformationen des Globalen Administrators $cred = Get-Credential # Registrierung des PTA-Agenten mit Hilfes des RegisterConnector.ps1 Skriptes # Mehrzeiliges Beispiel: .\RegisterConnector.ps1 ` -ModulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" ` -ModuleName "PassthroughAuthPSModule" ` -AuthenticationMode Credentials ` -UserCredentials $cred ` -Feature PassthroughAuthentication # Einzeiliges Beispiel .\RegisterConnector.ps1 -ModulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -ModuleName "PassthroughAuthPSModule" -AuthenticationMode Credentials -UserCredentials $cred -Feature PassthroughAuthentication
Die Schnellstart-Anleitung des Azure AD Pass-Through Agenten beinhaltet ein Beispiel für die automatische Installation des PTA-Agenten als Teil einer automatischen Server-Provisionierung. Das aktuelle Beispiel referenziert das falsche PowerShell-Modul mit dem Namen AppProxyPSModule. Das aktuellte Release des PTA-Agenten beinhaltet kein PowerShell-Modul mit diesem Namen. Sie müssen das PowerShell-Modul PassthroughAuthPSModule, wie im o.g. Beispiel, für die Registrierung verwenden.
Viel Spaß mit Azure AD!
Folge 7 der 'Tech Talk'-Reihe ist bei YouTube verfügbar.
Das Thema des Talks:
Microsoft 365 und Azure AD unterstützen unterschiedliche Modelle für Benutzeridentitäten. Bei der Synchronisation von Benutzerkonten aus einem lokalen Active Directory wird standardmäßig die Kennwort-Synchronisierung (PHS) verwendet.
Wenn Sie keine Kennwort-Hashes synchronisieren möchten, haben Sie zwei Möglichkeiten, Entweder nutzen Sie föderierte Authentifizierung mit AD FS oder Pass-Through-Authentifizierung (PTA). Dieses Video erläutert die Unterschiede zwischen AD FS und PTA, und welches Vor- und Nachteile die beiden Varianten haben.
<!--cke_bookmark_672E--><!--cke_bookmark_1602E-->
Viel Spaß.