Granikos Technology Blog

Für eine ausfallsicheren Betrieb der Azure AD Pass-Through Authentifizierung (PTA) ist der Betrieb von mehreren Authentifizierungsagenten empfohlen. Als Empfehlung gilt der Betrieb von mindestens drei PTA-Agenten.

Nach dem Herunterladen und der Installation des PTA-Agenten kann die finale Registrierung bei Azure AS u.U. fehlschlagen. Dieses Problem tritt hauptsächlich in Netzwerkinfrastrukturen auf, in denen die Nutzung eines Proxy-Servers für ausgehenden Verbindungen zu den Microsoft 365 Endpunkte Pflicht ist. Die Gründe für einen Fehler bei der Registrierung sind entweder ein falsch konfigurierter Proxy oder fehlende Einträge in der Internet Explorer Zonenkonfiguration für die vertraute Websites.

Wenn dieser Fehler in Ihrer Umgebung auftritt, empfehlen ich Ihnen, die Installation des PTA-Agenten und die Registrierung bei Azure AD in zwei getrennten Schritten durchzuführen. Um diese Schritte durchführen zu können, benötigen Sie ein Azure AD Benutzerkonto, das Mitglied der Rolle "Global Administrator" ist.

1. Laden Sie zuerst den aktuellen Release des PTA-Agentern herunter: https://aka.ms/getauthagent
2. Kopieren Sie die Installationsdatei auf den Server, auf dem der PTA-Agent betrieben werden soll
3. Öffnen Sie ein administratives Kommandozeilenfenster und installieren Sie die Software im Silent-Modus ohne automatische Registrierung des Agenten:

AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q

4. Öffnen Sie eine administrative PowerShell-Session, navigieren Sie zum Standardinstallationspfad und registrieren Sie den PTA-Agentenmanuell

# Navigation zum Standardinstallationspfad
cd "C:\Program Files\Microsoft Azure AD Connect Authentication Agent"

# Eingabe der Anmeldeinformationen des Globalen Administrators
$cred = Get-Credential

# Registrierung des PTA-Agenten mit Hilfes des RegisterConnector.ps1 Skriptes
# Mehrzeiliges Beispiel:
.\RegisterConnector.ps1 `
-ModulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" `
-ModuleName "PassthroughAuthPSModule" `
-AuthenticationMode Credentials ` 
-UserCredentials $cred `
-Feature PassthroughAuthentication

# Einzeiliges Beispiel
.\RegisterConnector.ps1 -ModulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -ModuleName "PassthroughAuthPSModule" -AuthenticationMode Credentials -UserCredentials $cred -Feature PassthroughAuthentication

Die Schnellstart-Anleitung des Azure AD Pass-Through Agenten beinhaltet ein Beispiel für die automatische Installation des PTA-Agenten als Teil einer automatischen Server-Provisionierung. Das aktuelle Beispiel referenziert das falsche PowerShell-Modul mit dem Namen AppProxyPSModule. Das aktuellte Release des PTA-Agenten beinhaltet kein PowerShell-Modul mit diesem Namen. Sie müssen das PowerShell-Modul PassthroughAuthPSModule, wie im o.g. Beispiel, für die Registrierung verwenden.

Links

• Azure Active Directory Pass-through Authentication: Quickstart
• Hybrid Identity Required Ports and Protocols

Viel Spaß mit Azure AD!

Folge 7

Folge 7 der 'Tech Talk'-Reihe ist bei YouTube verfügbar. 

Das Thema des Talks:

• AD FS oder PTA

Microsoft 365 und Azure AD unterstützen unterschiedliche Modelle für Benutzeridentitäten. Bei der Synchronisation von Benutzerkonten aus einem lokalen Active Directory wird standardmäßig die Kennwort-Synchronisierung (PHS) verwendet.

Wenn Sie keine Kennwort-Hashes synchronisieren möchten, haben Sie zwei Möglichkeiten, Entweder nutzen Sie föderierte Authentifizierung mit AD FS oder Pass-Through-Authentifizierung (PTA). Dieses Video erläutert die Unterschiede zwischen AD FS und PTA, und welches Vor- und Nachteile die beiden Varianten haben.

Links

• Thomas' Tech Talk YouTube-Kanal
• Tech Talk 7 Video
• Präsentation (SlideShare)
• Präsentation (PDF)
• Tech Talk Übersicht

Ressourcen

• User sign-in with Azure Active Directory Pass-through Authentication
• Azure Active Directory Pass-through Authentication: Current limitations
• Migrate from AD FS to Pass-through Authentication (.docx Download)
• Microsoft 365 identity models and Azure Active Directory
• Choose the right authentication method for your Azure Active Directory hybrid identity solution

Viel Spaß.