AD Fehlererkennung: IdFix Tool

Was ist IdFix?

Das IdFix-Tool hilft bei der Erkennung von fehlerhaften Einträgen im Active Directory. Dies dient zur Vorbereitung auf die Synchronisation mit AAD und Office365.

Hierbei werden Probleme an den AD-Objekten und deren Attributen identifiziert, die bei einer Synchronisation von lokalem AD und AzureAD zu Konflikten führen können.

Zu diesen Fehlern gehören hauptsächlich ungültige SMTP-Adressen und Fehler im UPN-Attribut. Hierbei stehen erkannte ungültige Formatierungen und Duplikate im Vordergrund.

Die erkannten Fehler können anschließend repariert werden. Obwohl IdFix nicht alle Fehler beseitigen kann, findet es im Allgemeinen den Großteil davon.

Wo bekomme ich das Tool her?

Das IdFix-Tool kann von Microsofts offiziellem GitHub-Repository heruntergeladen werden unter: https://github.com/microsoft/idfix/raw/master/publish/setup.exe

Für die Nutzung des Tools muss zusätzlich das Microsoft .NET Framework 4 installiert sein. Als weitere Voraussetzung muss der Computer, auf welchem das Tool ausgeführt wird, Mitglied des AD sein und das Benutzerkonto muss über Lese- und Schreibrechte verfügen.

Wie verwende ich das Tool?

Beim Starten des Tools wird zuerst folgendes Fenster angezeigt.

idfix_main_00.png

Bevor wir mit der Option Query die Fehlersuche starten, sollten wir uns die Einstellungen ansehen.

Zu den Einstellungen gelangt man, indem man in der Menüleiste das Zahnrad oben rechts auswählt.

idfix_main_01.png

Im Einstellungsfenster werden nun einige Optionen angezeigt:

idfix_settings.png

Unter den Regeln hat man die Möglichkeit, zwischen Multi-Tenant und Dedicated zu wählen. Diese Option ist standardgemäß auf Multi-Tenant gesetzt und kontrolliert somit im Active Directory die benötigten Objekte und Attribute für die öffentliche Office 365-Cloud. Die Option Dedicated ist nur für dedizierte Office 365 Kunden relevant, da sie nur für eine private Cloud benötigt wird.

Der Filter ist auf die Filtrierung der AD-Objekte von Personen und Gruppen ausgelegt und kann nach Belieben gesetzt werden.

Wird die Search Base Option markiert, wird das anhängende Feld automatisch mit einem Eintrag der Root-Domäne versehen. Dieser Eintrag kann entsprechend modifiziert werden, um den Suchumfang zu beschränken.

idfix_settings_search_base.png

Nach Ausführung der Query, wird eine Ansicht von Objekten zurückgegeben. Hierbei gibt VALUE den momentanen Wert des Objektes wieder und UPDATE gibt den von IdFix vorgeschlagenen Wert zur Korrektur wieder.

Die Vorschläge richten sich hierbei nur nach den Objekt-Typen, sie werden also nicht mit dem Rest des existierenden Datensatzes verglichen. Daher sind die Vorschläge nicht immer korrekt und können unter Umständen zu weiteren Fehlern führen.

Die Spalte ERROR gibt den Fehler zu dem in Attribute angegebenen Objekt an. Bei mehreren Fehlern zu einem Attribut werden diese in einer Zeile zusammengefasst.

idfix_query.png

Zur Bearbeitung der zurückgegebenen Fehler stellt IdFix verschiedene Aktionen zur Verfügung:

idfix_query_action_options_02.png

Wir unterscheiden zwischen folgenden Optionen im Aktionsfeld:

EDIT: Der Wert in der UPDATE-Spalte wird als neuer Attribut-Wert zur Behebung des Fehlers gesetzt. Der Vorschlag von IdFix kann hierbei manuell angepasst werden.

REMOVE: Der falsche Attributwert wird gelöscht.

COMPLETE: Der aktuelle Wert des VALUE-Felds ist trotz der Fehlermeldung korrekt und wird nicht verändert.

Folgende Optionen sind erst nach der ersten Veränderung verfügbar:

UNDO: Macht die Änderung des Updates rückgängig.

FAIL: Wird angezeigt, wenn die gewünschte Änderung einen Konflikt mit den AD DS-Regeln auslöst. Der Wert in der UPDATE-Spalte kann dann wieder verändert werden.

Jede Änderung wird mittels APPLY bestätigt. Dadurch wird eine Transaction Log-Datei generiert.

Der Standardpfad lautet C:\Deployment Tools\IDFix

Welche Fehler gibt es?

IdFix findet also bestimmte Fehler für uns, doch welche Fehler können auftauchen?

Hierzu eine Liste der gängigsten Fehler:

character: Nutzung ungültiger Zeichen im Attribut

duplicate: Duplikat des Attributwerts über mehrere Objekte

format: Ungültiges Format des Attributs

topleveldomain: Nutzung einer für Routing nicht-fähige Top-Level-Domain in der E-Mail-Adresse. Beispielsweise: domain.local

domainpart: Ungültiger Domänenteil in der E-Mail-Adresse. Beispielsweise: user@domain!.com

length: Wert des Attributs überschreitet die erlaubte Länge

blank: Attributwert ist leer