Im folgenden ein paar Lektionen die ich bei meiner Reise zu einer funktionierenden Azure AD Connect Umgebung samt ADFS schmerzhaft gelernt habe:

  • Multi-Tree Forest: Bad idea. Das was MS mit Windows 2000 groß propagiert hat (eine Forest Root Domäne die quasi nix macht und daneben/darunter die „echten“ Domänen) ist mittlerweile nicht nur keine gute Idee mehr sondern selbst MS Tools können jetzt nicht mehr damit umgehen. Wer eine filtered Sync mit AADC haben will muss die Gruppe bzw. den Sync User in der Forest Root Domäne anlagen (auch wenn er die gar ned syncen will) und der Azure AD Connect Wizard kann das ADFS Environment (Proxy+ADFS) NICHT automatisch/remote installieren – muss man manuell machen und dann im Wizard „Use existing AD FS farm“ angeben; der Sync Account muss während des Wizard-Durchlaufs Admin auf dem AD FS Server sein.
  • Wenn man im Wizard bei den Azure AD apps nur O365 wählt warden per Default Vor- und Nachname nicht gesynced – was dazu führt dass man einen gesyncten Account nicht zum Global Admin machen kann weil da Vor/Nachname Pflicht sind. Also entweder im Wizard gleich mit angeben oder anschließend manuell (und brutal schmerzhaft) über die diversen Synckonsolen manuell einfügen:
    • Synchronization Service Manager: Connectors / xxx.onmicrosoft.com – AAD / Properties: Select Attributes / givenName + surname aktivieren
    • Synchronization Rules Editor: Outbound / Out to AAD – User Office ProPlus disablen + clonen (ID+1): je eine Transformation hinzufügen: Direct/surname od. givenName/sn od. givenName/Update
  • KMSI (Keep me signed in) enablen: Set-AdfsProperties -EnableKmsi:$true
  • AD FS / Authentication Policies / Edit Global Primary Authentication Policy / Bei Intranet „Forms Authentication“ enablen – sonst funktionieren WIndows 10 Device Registration und Store Account nicht.
  • Non Microsoft Reverse Proxy (F5, nginx, etc.) nur dann verwenden wenn man auf extreme und andauernde Schmerzen steht. Echt jetzt. Kein Scherz.
  • Am Web Application Proxy KB3042121 installieren und Config anpassen (Set-WebApplicationProxyConfiguration -ADFSTokenAcceptanceDurationSec:60)
  • AD FS kann noch immer nicht per Default IE11/Edge/Firefox/Chrome WIA (windows integrated authentication) machen lassen (Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0"))
  • Und weils so schön ist brauchts für Chrome noch eine Extrabehandlung:
    Set-ADFSProperties -ExtendedProtectionTokenCheck None
 Ach ja: Wenn man User in Azure AD löscht landen die „nur“ im Papierkorb, bei Änderung der zu synchronisierenden Properties holt Azure AD das Teil aus dem Papierkorb und ALLE alten Properties sind wieder da….daher: Get-MsolUser -ReturnDeletedUsers|Remove-MsolUser -RemoveFromRecycleBin -force (Holzhammer, in Echt vielleicht dann nicht alle auf einmal 😀 ).