Azure AD Hybrid Domain Join – Deep Dive
Mittlerweile ist es weit verbreitet, seine Clients nicht nur einer On-Premises Active Directory Domäne beitreten zu lassen, sondern sie auch noch zusätzlich mit dem Azure AD zu verknüpfen. Dadurch erhält man neben der Option, Clients mittels Intune zu provisionieren und zu verwalten, auch allgemein einen besseren Überblick über die eigene Infrastruktur. Somit wird aus einem lokalen PC ein hybrider Client. Da der Hybrid Azure AD Join für Viele eine kleine Blackbox darstellt, möchte ich mit diesem Deep Dive etwas Licht ins Dunkle bringen und das genaue Prozedere dokumentieren. Es ist nämlich gar nicht so trivial, einen lokalen Client mit dem Azure AD zu verknüpfen. Daher fokussiert sich der erste Teil auf den Azure AD Join. Der zweite Artikel behandelt den Intune Onboarding Prozess.
Voraussetzungen
Übersicht
Die hier aufgelisteten Voraussetzungen gelten für reguläre managed Domains – das sollte bis auf einige wenige Ausnahmen nahezu überall das Standardeployment sein. Für Federated Domains gelten wiederum andere Voraussetzungen, die hier aufgrund des Verbreitungsgrades nicht näher aufgelistet werden.
- On-Premises Active Directory Domäne
- Office365 Tenant
- Azure AD Connect
- OU mit Computer Objekten muss synchronisiert werden
- Hybrid Azure AD Join muss aktiviert sein
- SCP (Service Connection Point) muss konfiguriert sein
Nähere Informationen: Configure hybrid Azure Active Directory join – Microsoft Entra | Microsoft Learn
Azure AD Connect – Sync OU
Natürlich muss auch jene Organisationseinheit mit dem Azure AD synchronisiert werden, in der auch die Computer Objekte liegen. Sollten die Computer Objekte nach einem Domain Join nicht automatisch in die jeweilige Organisationseinheit verschoben werden, darf auf diesen manuellen Task nicht vergessen werden.
Azure AD Connect – Hybrid Join
Um den Hybrid Join für Clients am Azure AD Connect zu aktivieren, müssen folgende Parameter konfiguriert werden.
Wurden diese Voraussetzungen geschaffen, können wir zum nächsten Kapitel übergehen.
Ablauf des Hybrid Azure AD Joins
AD Domain Join
Natürlich muss der Client zuerst der On-Premises Active Directory Domäne beitreten. Dieser Schritt wird wie gewohnt durchgeführt. Direkt nach dem Betritt (hierbei wäre nicht einmal ein Neustart notwendig), wird folgender Task im Task Scheduler aktiviert.
Dieser Task ist für den weiteren Azure AD Join relevant.
Azure AD Domain Join
Phasen
Nun kommen wir zum etwas komplexeren Teil des Domänenbeitritts – dem Azure AD Join. Dieser wird in folgende Phasen aufgeteilt:
Phase | Aufgabe |
Pre-Check | Prüft, ob eine Line-of-Sight zum Domain Controller der On-Premises Umgebung besteht |
Discover | Prüft, ob:
|
Authentication | Prüft, ob ein Access Token von O365 bezogen werden kann |
Join | Tritt der Azure AD Domäne bei und versetzt den Client in eine Hybridstellung |
Jede der vier Phasen hat verschiedene Aufgaben und somit auch unterschiedliche Anforderungen. Die Abarbeitung passiert dabei seriell. Erst wenn die Phase erfolgreich abgeschlossen werden konnte, wird die nächste Phase gestartet. Der aktuelle Status lässt sich innerhalb einer Eingabeaufforderung und mit folgendem Befehl abrufen: dsregcmd /status
Relevant ist der Bereich „Diagnostic Data„:
Eine Vielzahl der möglichen Fehlermeldungen lassen sich aus den Microsoft Docs entnehmen: Troubleshoot hybrid Azure Active Directory-joined devices – Microsoft Entra | Microsoft Learn
Problemanalyse
Aus eigener Erfahrung tritt aber meist ein Fehler bei der Phase „Join“ auf und die dazugehörige Fehlermeldung lautet „The device object by the given id () is not found„. Dieser Fehler tritt vor allem dann auf, wenn der Client erst vor kurzem der Domäne beigetreten ist und das dazugehörige Computer Objekt noch nicht erfolgreich synchronisiert wurde. Der Beitritt zum Azure AD funktioniert nämlich nur, wenn zuvor das On-Premises AD-Objekt mithilfe des AAD Connects mit dem Azure AD synchronisiert wurde. Andernfalls kann der Hybrid-Join nicht durchgeführt werden. Da der Azure AD Connect standardmäßig nur alle 30 Minuten automatisiert ausgeführt wird, muss diese Verzögerung miteinkalkuliert werden. Außerdem muss sichergestellt werden, dass sich das zu synchronisierende Computer Objekt in einer Organisationseinheit befindet, welche auch tatsächlich synchronisiert wird.
Um den Prozess zu beschleunigen besteht die Möglichkeit, den Azure AD Connect Sync mit folgendem Befehl manuell zu triggern:
Start-ADSyncSyncCycle -PolicyType Delta
Anschließend wird im Azure AD Admin Center die erfolgreiche Synchronisierung des Objekts protokolliert:
Abschluss
Jetzt sollte dem erfolgreichen Beitritt zum Azure AD nichts mehr im Wege stehen. Am Client selbst läuft ein Task, welcher den Azure AD Join regelmäßig triggert. Wer den Prozess allerdings beschleunigen möchte, kann den PC einmal neu starten. Überprüft man nun den Status mit dsregcmd /status erneut, sollte man bereits folgende Parametrisierung beobachten können:
Ausschlaggebend hierbei ist, dass sowohl der Parameter „DomainJoined“ als auch „AzureADJoined“ auf „Yes“ stehen. Das bedeutet, dass der Hybrid Join erfolgreich abgeschlossen werden konnte. Wer sich die Bestätigung lieber aus dem Azure AD Admin Center holt, kann das natürlich ebenfalls tun. Hier wird beim erfolgreichen Join folgendes Event protokolliert.
Debugging
Da der Beitrittsprozess von so vielen verschiedenen Phasen und Parametern abhängt, können durchaus Probleme oder Verzögerungen auftreten. Ist die Grundkonfiguration des Tenants allerdings korrekt, sollten einige Neustarts und etwas Zeit das Problem in vielen Fällen bereits beheben können. Verwendet den Befehl „dsregcmd /status“ um die aktuelle Phase und Problem herauszufinden. Zusätzlich gibt der Eventviewer Aufschluss darüber, wo das Problem liegen könnte und hilft beim Debugging.
Der Hybrid Join funktioniert übrigens auch vollständig ohne Hybrid- oder Cloud-Only Benutzer. Es reicht vollkommen aus, sich auf dem jeweiligen Client mit einem lokalen Benutzer anzumelden.