Information du document

Mise à jour du serveur AD Connect

Document
Authors technique
Company/Department Contacts
[Link]@neos-
Sébastien DELORME NEOS-SDI
[Link]

Recipients Company/Department Contacts

Vincent LERAY CCAS [Link]@[Link]

Document history
Date Version Commentaires
24/02/2022 1.0 Création

Date : 24/02/2022

Client : CCAS

Version : 1.0
Communication, Reproduction et Utilisation interdites sans accord express de Neos-SDI

Page 2 sur 50
 Sommaire
1 Introduction......................................................................................................4
1.1 Objectifs......................................................................................................4
1.2 Périmètre....................................................................................................4
1.3 Audience.....................................................................................................4
1.1 Typographie................................................................................................4
1.2 Terminologie...............................................................................................6
2 Installation du nouveau serveur AAD Connect siemtvpm02.............................7
2.1 Exécution de l’assistant d’installation AAD Connect...................................7
2.2 Désactivation de la mise à jour automatique...........................................23
2.3 Configuration des règles de synchronisation sur le nouveau serveur......24
2.3.1 Configuration du filtrage des utilisateurs synchronisés.......................25
2.3.2 Configuration du filtrage des groupes synchronisés............................30
2.4 Vérification des objets pris en compte dans la synchronisation...............36
2.4.1 Vérification de la metaverse................................................................36
2.4.2 Vérification des suppressions lors de la première synchronisation.....37
3 Activation du mode Staging sur le serveur AAD Connect actuel siemtvpm01
38
4 Désactiver le mode staging sur le nouveau serveur siemtvpm02..................44
4.1 Désactivation via l’assistant AAD Connect...............................................44
4.2 Vérification de la première synchronisation.............................................49

Page 3 sur 50
1 INTRODUCTION

1.1 Objectifs
L’objectif est de documenter la procédure complète de la mise à jour du serveur
Azure AD Connect sur le serveur de l’infrastructure CCAS.
Cette mise à jour implique la mise en place d’une nouvelle version Azure AD
Connect ([Link]) et de la modification du critère de filtrage des identités
synchronisées.
La méthode de filtrage par groupe est utilisée (tous les membres du groupe
GG_Azure_ADSYNC) à ce jour.
Le critère de synchronisation des identités sera différent pour correspondre aux
exigences de Microsoft. Les nouveaux critères de synchronisation des objets
vers Azure AD seront les suivants :
 Présent dans l’annuaire « [Link] »
 Utilisateurs avec l’attribut « Mail » avec une valeur sous la forme
« *@[Link] »
 Groupes avec l’attribut « Mail » avec une valeur sous la forme
« *@[Link] »
 Tous les contacts

La méthode de changement de configuration et de version du service AAD

Connect se reposera sur l’utilisation d’un serveur de staging ou préproduction
en mode passif qui permettra la transition sécurisée et un retour arrière plus
rapide en cas de nécessité.

1.2 Périmètre
Le périmètre du document est limité au service Azure Active Directory Connect.

1.3 Audience
Le document est à destination de tous les membres impliqués dans la gestion
d’Azure Active Directory.

1.1 Typographie

Page 4 sur 50
 NOTE

Notes

Recommandation

Recommandations

Warning

Warnings

DECISION

Décisions

Page 5 sur 50
 1.2 Terminologie

Terminologie Définition
UPN UserPrincipalName
OU Organizational Unit
O365 Office 365
AD Active Directory
Azure AD Azure Active Directory

Page 6 sur 50
2 INSTALLATION DU NOUVEAU SERVEUR AAD CONNECT SIEMTVPM02

2.1 Exécution de l’assistant d’installation AAD Connect

Se connecter sur le nouveau serveur Azure AD Connect
[Link].
Lancer le fichier MSI source Azure AD Connect disponible dans le répertoire
C:/Sources

Page 7 sur 50
Cocher j’accepte les termes de la licence et la déclaration de
confidentialité.
Cliquer sur Continuer.

Page 8 sur 50
Cliquer sur Personnaliser.

Page 9 sur 50
Cocher Utiliser un compte de service existant.
Entrer le login\mdp du compte de service pour AD Connect CCAS\
MSOL_1d5299c3b59e
Cliquer sur Installer.

Page 10 sur 50
Sélectionner Hash Synchronisation de hachage du mot de passe.
Cliquer sur Suivant.

Page 11 sur 50
Entrer le login\MDP d’un compte Administrateur général du tenant Office 365
(il ne sera pas utilisé par AAD Connect par la suite)
Cliquer sur Suivant.

Page 12 sur 50
Dans le champ forêt entrer [Link]
Cliquer sur Ajout d’un annuaire

Page 13 sur 50
Sélectionner Utiliser un compte AD existant.
Entrer le login\mdp du compte de service pour Azure AD Connect CCAS\
MSOL_1d5299c3b59e.
Les droits nécessaires au compte de service AD Connect ont été préalablement
configurés. Les droits nécessaires sont disponibles sur ce lien :
[Link]
connect-accounts-permissions
Cliquer sur OK.

Page 14 sur 50
Cliquer sur Suivant.

Page 15 sur 50
Dans la liste déroulante User PRINCIPAL NAME
sélectionner UserPrincipalName.
Cocher Continuer sans faire correspondre tous les suffixes UPN à des
domaines vérifiés.
Cliquer sur Suivant.

Page 16 sur 50
Cocher Synchroniser les domaines et les unités d’organisation
sélectionnés.
Sélectionner l’OU [Link]
Cliquer sur Suivant.

Page 17 sur 50
Dans la partie annuaires locaux, cocher Les utilisateurs ne sont
représentés qu’une fois sur tous les annuaires
Dans la partie Azure, cocher Choisir un attribut spécifique
Sélectionner ms-ds-consistencyguid
Cliquer sur Suivant

Page 18 sur 50
Cocher Synchronize selected Synchroniser tous les utilisateurs et les
appareils.
Cliquer sur Suivant.

Page 19 sur 50
Cocher Déploiement Exchange Hybrid.
Cliquer sur Suivant.

Page 20 sur 50
Côcher Démarrez le processus de synchronisation une fois la
configuration terminée
Côcher Activer le mode de préproduction (mode stagging). Ce
paramètre doit absolument être placé pour éviter toute modification
dans Azure AD.
Cliquer sur Installer.

Page 21 sur 50
Cliquer sur Quittez.

Page 22 sur 50
 2.2 Désactivation de la mise à jour automatique

Ouvrir une console PowerShell en tant qu’administrateur sur le nouveau serveur

AD Connect.

Désactiver la MAJ AD Connect automatique : Entrer la commande Set-

ADSyncAutoUpgrade -AutoUpgradeState Disabled

Afficher les paramètres du serveur AD Connect en entrant la commande

PowerShell :
(Get-ADSyncGlobalSettings).parameters | select name,value

Page 23 sur 50
Le seuil de suppression est bien configuré (ExportDeletionThresholdValue)
avec la valeur de 10. En cas de suppression massive d’identités dans Azure la
synchronisation se bloquera pour les éviter.

2.3 Configuration des règles de synchronisation sur le

nouveau serveur

Sur le serveur [Link] aller dans Azure AD Connect puis

Synchronization Rules Editor

Page 24 sur 50
 2.3.1 Configuration du filtrage des utilisateurs synchronisés

Sélectionner Inbound dans le champ Direction

Sélectionner la règle In from AD – User Join
Cliquer sur Edit

Page 25 sur 50
Cliquer sur Oui pour désactiver la règle originale et en créer une nouvelle qui
aura les paramètres identiques

Page 26 sur 50
Dans le champ précédence mettre une valeur antérieure à 100, ici 99 (elle
s’appliquera avant les autres règles).

Page 27 sur 50
Dans la partie Scoping filter cliquer sur Add clause
Dans la nouvelle ligne placer Mail dans Attribute, placer ENDSWITH dans
Operator, placer @[Link] dans Value
Cliquer sur Next

Page 28 sur 50
Cliquer sur Next sans rien modifier

Page 29 sur 50
Cliquer sur Save sans rien modifier

Cliquer sur OK

2.3.2 Configuration du filtrage des groupes synchronisés

Sélectionner la règle In from AD – Group Join

Cliquer sur Edit

Page 30 sur 50
Cliquer sur Oui pour désactiver la règle originale et en créer une nouvelle qui
aura les paramètres identiques

Page 31 sur 50
Dans le champ précédence mettre une valeur antérieure à 100, ici 98 (elle
s’appliquera avant les autres règles).
Cliquer sur Next

Page 32 sur 50
Dans la partie Scoping filter cliquer sur Add clause
Dans la nouvelle ligne placer Mail dans Attribute, placer ENDSWITH dans
Operator, placer @[Link] dans Value
Cliquer sur Next

Page 33 sur 50
Cliquer sur Next sans rien modifier

Page 34 sur 50
Cliquer sur Save sans rien modifier

Cliquer sur OK

Page 35 sur 50
L’installation du nouveau serveur AAD Connect en mode stagging est terminée.

2.4 Vérification des objets pris en compte dans la

synchronisation

Avant de mettre le serveur en production il est nécessaire de valider les points

suivants :
 Tous les objets synchronisés dans Azure AD doivent être présents dans la
metaverse (groupes, utilisateurs, contacts) du serveur siemtvpm02.
 Vérifier le nombre de suppression qui aura lieu lors de la première
synchronisation avec le nouveau serveur AAD Connect

2.4.1 Vérification de la metaverse

Lancer Synchronization Service

Aller dans l’onglet Metaverse search

Tous les objets qui seront synchronisés vers Azure AD sont présents.
Le critère de synchronisation configuré avec les règles de synchronisation prend
en compte tous les utilisateurs et groupes avec l’attribut Mail au format
« *@[Link] ».
Les comptes utilisateurs déjà synchronisés ont ce critère et doivent être présent
dans la métaverse.

Sélectionner All dans Scope by Object Type

Page 36 sur 50
Cliquer sur Add Clause
Dans Attribute sélectionner mail, dans Operator sélectionner Ends with,
dans Value sélectionner @[Link]
Le nombre d’objet remonté dans la metaverse est 8543

Après un export des résultats de la metaverse et sa comparaison avec tous les

objets existants et synchronisés dans Azure, ces derniers doivent tous être
retrouvés dans la metaverse.

2.4.2 Vérification des suppressions lors de la première

synchronisation
Il est possible de vérifier les actions qui seront réalisées par AAD Connect dans
Azure avant son exécution.
Sur le serveur AAD Connect ouvrir une invite de commande et entrez les
commandes suivantes :
Cd « %ProgramFiles%\Microsoft Azure AD Sync\bin »
csexport "[Link] - AAD" %temp%\[Link] /f:x
CSExportAnalyzer %temp%\[Link] > %temp%\[Link]

Aller dans le répertoire %temp% du serveur AAD Connect et ouvrir le fichier

[Link]

Page 37 sur 50
Rechercher toutes les opérations qui seront en Delete :

Valider que les objets en question peuvent être supprimés, sinon il faut remédier
les objets pour qu’ils répondent au critère de synchronisation (placer l’attribut
Mail en @[Link]).
Ici les objets doivent être supprimés.
Ils ont été retirés de la synchronisation sur le serveur AAD Connect actuel et
supprimés d’Azure AD. Par la suite une nouvelle vérification de la
synchronisation sur le nouvel AD Connect a été réalisée avec le fichier d’export.
Ce nouvel export ne mentionnait aucune suppression programmée (pas de
delete).
La bascule vers ce nouvel AD Connect peut donc se faire sans supprimer
d’objets dans Azure AD.

3 ACTIVATION DU MODE STAGING SUR LE SERVEUR AAD CONNECT

ACTUEL SIEMTVPM01

Sur le serveur AAD Connect [Link] actuel à retirer,

lancer l’assistant AAD Connect

Page 38 sur 50
Cliquer sur Configure

Cliquer sur Configure staging mode

Cliquer sur Next

Page 39 sur 50
Se connecter avec un compte admin global du tenant O365 de la CCAS
Cliquer sur Next

Page 40 sur 50
Côcher Enable staging mode
Cliquer sur Next

Page 41 sur 50
Cliquer sur Configure

Page 42 sur 50
Cliquer sur Exit

Page 43 sur 50
Le serveur AAD Connect est maintenant en mode passif et ne réalisera plus
aucune modification.

4 DÉSACTIVER LE MODE STAGING SUR LE NOUVEAU SERVEUR

SIEMTVPM02

4.1 Désactivation via l’assistant AAD Connect

Pour mettre le nouveau serveur en production pour le service AAD Connect il
faut désactiver le mode staging.

Sur le nouveau serveur lancer l’assistant AAD Connect

Cliquer sur Configurer

Cliquer sur Configurer le mode de préproduction

Cliquer sur Suivant

Page 44 sur 50
Entrer un login\mdp d’un compte administrateur global du tenant O365 de la
CCAS
Cliquer sur Suivant

Page 45 sur 50
Décocher Activer le mode de préproduction
Cliquer sur Suivant

Page 46 sur 50
Cliquer sur Configurer

Page 47 sur 50
Cliquer sur Quitter

Page 48 sur 50
Le nouveau serveur AAD Connect est maintenant en place avec Azure Active
Directory.

4.2 Vérification de la première synchronisation

Lancer Synchronization Service

Page 49 sur 50
Valider qu’il n’y a pas de suppressions en trop grand nombre dans l’étape
d’export vers [Link] (étape qui applique les modifications
dans Azure AD). Ici 0 suppression et 6683 nouveaux objets créés dans Azure AD.

Synchroniser une deuxième fois pour s’assurer que tout est bien OK.

Le changement de serveur AD Connect est terminé.

Page 50 sur 50