Voorbereiden AzureAD Connect met IdFix

Voordat je een koppeling met AzureAD gaat opzetten via AzureAD Connect, is het goed om je on-prem Active Directory voor te bereiden. Er zijn diverse vereisten zoals een routeerbaar UPN suffix, een delegated sync server, internet connectiviteit, Domain functional level op 2003, enzovoorts. De complete lijst is hier te vinden.

Wat vaak vergeten wordt is goed te kijken of alle gebruikers en groepen die gesynchroniseerd moeten worden wel voldoen aan de standaarden. Zo ken ik omgevingen waar het teken ‘&’ veel in groepsnamen gebruikt worden. AzureAD kan hier niet mee overweg. De namen van deze groepen zullen dus aangepast moeten worden om problemen te voorkomen. Een handige tool om de mogelijke issues met de syntax in kaart te brengen is IdFix. Dit is een gratis tool van Microsoft. Je kunt hem downloaden via het Microsoft Download Center.

IdFix kan draaien op elke Windows Server 2008 of 2012 machine in het domein. Deze moet wel voorzien zijn van .NET 4.0. Het account waaronder de tool gestart wordt moet minimaal lees rechten hebben in Active Directory. Schijfrechten is ook handig. Dan kun je de issues vanuit de tool direct verhelpen. De tool behoeft niet geïnstalleerd te worden. In de map waar de .exe staat behoren heb je ook schrijf rechten nodig. Tijdens het uitvoeren van de tool maakt hij een aantal bestanden aan die hij gebruikt voor de analyse.

Ik beveel IdFix iedereen aan die aan de slag gaat met een AzureAD Connect sync. Het bespaart je veel ellende tijdens of na de implementatie.

Geef een reactie