AD zu AD-Synchronisierung

Active Directory zu Active Directory Synchronisation

Es gibt einige verschiedene Optionen, wenn Passwörter von einem Active Directory zu einem anderen synchronisiert werden.

Active Directory Sync-Anbieter: Dies ist der bevorzugte Anbieter, um Passwörter von einem Active Directory zu einem anderen zu synchronisieren. Er kann verwendet werden, wenn die ADs eine Vertrauensstellung konfiguriert haben und Kerberos-Authentifizierung konfiguriert und funktionsfähig ist.
Windows LDAP Sync-Anbieter: Für Active Directories, die keine Vertrauensstellung haben oder bei denen Kerberos nicht richtig konfiguriert und funktionsfähig ist. Dieser Anbieter verwendet grundlegende Authentifizierung.
Kerberos Sync-Anbieter: Obwohl dieser Anbieter für ADs mit konfigurierter Vertrauensstellung und funktionierender Kerberos-Authentifizierung verwendet werden kann, wird empfohlen, den Active Directory Sync-Anbieter zu verwenden.
LDAP Sync-Anbieter: Dieser Anbieter ist für generische LDAP-Server mit mehr Konfigurationsoptionen. Um Passwörter zwischen zwei Active Directory-Systemen zu synchronisieren, wird empfohlen, den Active Directory Sync-Anbieter oder den Windows LDAP Sync-Anbieter zu verwenden.

Sie finden alle Voraussetzungen und Parameter für die verschiedenen Sync-Anbieter auf der Sync-Anbieter-Konfigurationsseite.

Testen

LDAP über SSL mit selbstsigniertem Zertifikat aktivieren

Um den Test-Client zu ermöglichen, über diesen Anbieter mit den Remote Active Directory-Domänendiensten zu kommunizieren, können wir eine sichere LDAP-Verbindung mit einem selbstsignierten Zertifikat verwenden.

Melden Sie sich beim Remote-DC an

Öffnen Sie PowerShell im erhöhten Modus und führen Sie den folgenden Code aus:

Hinweis

Ersetzen Sie den DnsName durch den FQDN-Namen Ihres Servers

$name = "remote.domain"
$cert = New-SelfSignedCertificate
  -DnsName $name
  -CertStoreLocation Cert:\LocalMachine\My

$path = "HKLM:\Software\Microsoft\Cryptography\Services\NTDS\SystemCertificates\My\Certificates"
if(!(Test-Path $path)) {
  New-Item -Force $path
}

Copy-Item
  -Path "HKLM:\Software\Microsoft\SystemCertificates\My\Certificates\$($cert.Thumbprint)"
  -Destination $path

Das erstellte Zertifikat wird sofort von den AD DS verwendet. Es ist kein Neustart der Maschine erforderlich.

Testen der LDAP-Verbindung

Um die LDAP-Verbindungen zu testen, verwenden Sie ein Tool wie LDP. Stellen Sie sicher, dass eine sichere Kommunikation hergestellt wird und Konten zugänglich sind.

Starten Sie LDP
Klicken Sie auf Start
Klicken Sie auf Ausführen, geben Sie ldp ein und klicken Sie dann auf OK. Sie sollten oben eine Nachricht sehen, die besagt: "Verbindung zu xxx.xxx.xxx hergestellt".

SPS Test-Client

Sie finden den Test-Client im Installationsverzeichnis des SPS Admin Tools, d.h. C:\Program Files\Specopssoft\Specops Password Sync\Admin Tools\PasswordSync.ProviderTestApp.exe

Wählen Sie Active Directory Ldap aus der Liste der Sync-Anbieter
Konfigurieren Sie den Sync-Anbieter