Strona korzysta z plików cookies w celu realizacji usługi. Więcej informacji w naszej Polityce plików cookies

Czy aktualizacja Azure AD Connect jest potrzebna?

Strona główna / BlogIT / Grudzień 2017 / Czy aktualizacja Azure AD Connect jest potrzebna?

Aktualizacja programów narzędziowych jest niezbędna, czy tylko wskazana? Krótka porada, jak powinien zachowywać się administrator systemu

Administrator systemów nie tylko Windows musi pamiętać o aktualizowaniu zarówno systemu operacyjnego, jak i aplikacji serwerowych. Biorąc pod uwagę pojawianie się nowych funkcjonalności, a przede wszystkim zabezpieczanie środowiska przed różnego rodzaju zagrożeniami, wydaje się to oczywiste. Jednak w przypadku dodatkowych narzędzi, do których użytkownicy wprost nie mają dostępu, wydaje się to mniej krytyczne. Wielu administratorów trzyma się zasady - jak działa, to nie należy ruszać. Ale czy słusznie?
Aplikowaniem poprawek w środowisku Office 365 zajmuje się zespół Microsoft, jednak na styku lokalnego środowiska AD i chmury działa niezbędna do synchronizacji użytkowników aplikacja - Azure AD Connect. Przez kilka lat działania Office 365 jej nazwy i funkcjonalności się zmieniały, począwszy od DirSync, poprzez Azure AD Sync, aż do Azure AD Connect, ale zasadniczo od momentu wdrożenia komponent ten przeważnie nie sprawiał problemów i wielu administratorów AD mogło nawet o jego istnieniu zapomnieć. Jednak w ostatnich dniach i o nim zrobiło się głośno.
Pierwszy temat to definitywny koniec wsparcia dla najstarszej wersji narzędzia - DirSync i jego kolejnej wersji Azure AD Sync. Microsoft już od kwietnia 2016 zaleca aktualizację, dodatkowo przypomina również, że usługa katalogowa Azure AD po 31 grudnia 2017 przestanie obsługiwać synchronizację z niewspieranymi wersjami narzędzia. Tak że administratorom pozostało coraz mniej czasu na spokojne zaktualizowanie synchronizatora. Dla przypomnienia publikuję odnośniki do procedur aktualizacji usługi:
Upgrade from DirSync
Upgrade from Azure AD Sync
Kolejnymi argumentami za aktualizacją narzędzia jest dodawanie nowych funkcjonalności, takich jak np. integracja z ADFS, funkcje monitorowania poprawnej pracy, synchronizacja zwrotna grup i haseł (chociaż tutaj nadal potrzebne są dodatkowe licencje na Azure AD Premium). Listę zmian wprowadzanych w kolejnych wersjach produktu można prześledzić na stronie pomocy technicznej produktu -  AAD Connect Version History.
Ostatnia kwestia, ale bynajmniej nie najmniej ważna, to poważna podatność na zagrożenie wewnętrzne, jaka została ujawniona w ostatnich dniach. Kreator konfiguracji korzystając z szybkich ustawień (Express Settings) tworzy w lokalnym Active Directory konto serwisowe wykorzystywane do synchronizacji użytkowników i haseł, które umieszczane jest w folderze Users, gdzie prawo do aktualizacji haseł ma grupa Account Operators. Dotychczasowa konfiguracja nie zabezpieczała dodatkowo tego konta, co pozwalało operatorowi kont w domenie zmienić hasło dla konta serwisowego i znając to hasło mieć możliwość uzyskania uprawnień administratora domeny. Microsoft opisał to zagrożenie w biuletynie bezpieczeństwa Microsoft Security Advisory 4056318. Najnowsza wersja AAD Connect build 1.1.654.0 wprowadza dodatkowe zabezpieczenia na takim koncie, dlatego też warto zaktualizować jak najszybciej posiadany moduł synchronizacji do najnowszej wersji - co najmniej 1.1.654.0.
Jeżeli jednak z różnych względów administrator nie może wykonać aktualizacji narzędzia to może dla już utworzonych kont serwisowych uruchomić narzędzie, z użyciem udostępnionego przez Microsoft w galerii Technet modułu Powershell - AdSyncConfig.psm1. Niestety, moduł nie jest podpisany cyfrowo, więc na stacji, gdzie chcemy przeprowadzić procedurę korekty praw dostępu, musimy zmienić polisę wykonywania skryptów powershellowych z domyślnej restricted na remotesigned lub unrestricted.
Po pobraniu modułu i weryfikacji czy executionpolicy pozwala na wykonywanie niepodpisanych skryptów, z poziomu powershella wykonujemy poniższe kroki:
  • ładujemy pobrany moduł komendą:
Import-Module AdSyncConfig.psm1
  • następnie zapisujemy informację o obiekcie konta serwisowego (nazwa konta serwisowego zawsze jest w postaci MSOL_xxxxxx) - do wykonania komendy get-ADUser na komputerze musi być zainstalowany moduł ActiveDirectory:
$MSOLAccount = Get-ADUser -Filter 'Name -like "msol_*"' 
  • modyfikujemy uprawnienia na koncie serwisowym (używając uprawnień administracyjnych) komendą:
Set-ADSyncRestrictedPermissions -ObjectDN $MSOLAccount.DistinguishedName -Credential (Get-Credential).
  • teraz musimy zrestartować usługę synchronizacji, żeby sprawdzić, czy nic nie popsuliśmy
  • Na koniec warto sprawdzić czy po wykonanych zmianach faktycznie informacje domenowe nadal są replikowane do naszego tenanta Office 365 komendą:
Start-ADSyncSyncCycle -PolicyType Delta

Polecenie powinnno zwrócić na rezultat "Success".
Poniższy rysunek pokazuje efekt wykonania powyższych komend
AzureADConnectfix.png
Komentarze
Wpis nie posiada komentarzy.