Rückbau von Azure AD Connect

Roman Kallen
azure, homelab, microsoft365, windows10

Zum Testen einer Microsoft 365 Tenant Migration habe ich in meiner Testumgebung folgendes aufgebaut.

  • Domaincontroller mit Azure AD Connect und diesen konfiguriert
  • Test Tenant in Microsoft 365 erstellt

Ziel des Tests war: Rückbau von Azure AD Connect und die User sollen in Microsoft 365 noch erhalten bleiben.
Hier die paar Zeilen Code welche ich dafür verwendet habe. Weiter unten dann noch mit Screenshots wie ich das gemacht habe.

# Sync Schedulder auf AAD Connect Server on-prem ausschalten
Import-Module ADSync
get-adsyncscheduler
Set-ADSyncScheduler -SyncCycleEnabled $False

# Mit Office 365 verbinden
Connect-MSOLService

# DirSync abschalten
Set-MsolDirSyncEnabled -EnableDirSync $false

# Status abfragen
# 1) Dirsync Status
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

# 2) Dirsync Status = Details zu Domain Controller und Status
(Get-MSOLCompanyInformation) | fl dirsync*,directory*

# 3) Status der User in M365 (Lastdirsync Spalte ist entscheidend)
Get-MsolUser | ft UserPrincipalName,immutableid,LastDirSyncTime

Hier in Azure AD gut zu sehen wie die User synchronisiert werden. Zu erkennen in der Spalte “Directory synced”00 - UserSynced

Nun verbinde ich mich auf meinen On-Prem Server wo Azure AD Connect installiert ist und führe untenstehende Befehle aus um den Azure AD Sync Scheduler zu stoppen.

Import-Module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False

10 - DisableAADCloudSyncSchedule

Danach schalte ich die Synchronisation auf dem Tenant aus. Wichtig: Dies kann bis 72h dauert. Weitere Infos hier

# Mit Office 365 verbinden
Connect-MSOLService

# DirSync abschalten
Set-MsolDirSyncEnabled -EnableDirSync $false20 - DisableAADCloudSyncSchedule

Alle paar Stunden habe ich den Status überprüft

# 2) Dirsync Status = Details zu Domain Controller und Status
(Get-MSOLCompanyInformation) | fl dirsync*,directory*30 - Pending

In meinem Fall dauerte es 40h bis sich der Status geändert hat.40 - OK

Danach ist im AAD zu erkennen, dass die User nun unter “Directory synced” auf “no” stehen.
Dies sind nun Cloud Only User und werden nicht mehr von On-Prem synchronisiert.45

Etwas später habe ich dann Azure AD Connect deinstalliert mit allen dazugehörigen Komponenten

50 - Uninstall AAD Cloud Connect

51 - Uninstall

52

53

54

Noch den Ordner löschen und fertig ist die Deinstallation55

Sollte Azure AD Connect wieder benötig werden, muss auf den User in Lokalen AD der “Source Anchor” stimmen (ImmutableId). Ab Azure AD Connect 1.5.y ist es die “ms-DS-consistencyGuid” welche für das Matching übereinstimmen muss. Hierzu hat Andreas Bohren einen interessanten Beitrag geschrieben Smile