Azure AD Connect on palvelu, joka mahdollistaa hybridi-identiteetin. Eli identiteetti synkronoidaan paikallisen AD:n sekä AzureAD:n välillä, että objektit ovat identtiset molemmissa identiteetinhallintaratkaisuissa.
Palvelu on useimmalle organisaatiolle tuotantokriittinen, mutta sitä ei olla tiedostettu.
Tuotantokriittisten palveluiden saatavuus halutaan aina varmistaa, oli taustalla vaikka vikatilanne palvelimessa tai odottamaton verkkokatkos. On tärkeää hyödyntää vikasietoisia ratkaisuja, koska ne helpottavat huomattavasti IT:n arkipäiväistä toimintaa, kuin myös mahdollisen katkosten ja odottamattomien ongelmien sattuessa.
AzureAD Connect tarjoaa itsessään huonot ominaisuudet korkean saatavuuden mahdollistamiseksi.
Tuote tukee vain Active – Cold standby tilaa, eli yksi Connect hoitaa kaiken ja toinen Connect on conffattu vastaavaksi toiselle palvelimelle cold standby tilaan, eli odottaa mahdollista vikatilannetta ensisijaisessa Connectissa. Failover on manuaalinen, eli jonkun tulee vikatilanteen sattuessa käydä muuttamassa toissijainen Connect aktiiviseksi. Skenaario on mahdollista toteuttaa niin sanotulla Staging modella Connectin asetuksissa.
Connectien asetukset eivät synkronoidu keskenään, vaan muutokset pitää aina käydä lisäämässä erikseen molemmille instansseille.
Kahta Connectia ei saa samaan aikaan synkronoimaan, koska rajoitus on Microsoftin toimesta 1 kappale per tenantti.
Microsoft on tiedostanut AAD Connectin korkean saatavuuden ongelmat ja julkaisi tähän ratkaisuksi AAD Connect Cloud Sync tuotteen. Tuote on erillinen normaalista Connectista, vaikka se tuottaakin hyvin pitkälti samoja ominaisuuksia.
| Azure AD Connect | Azure AD Connect Cloud Sync | |
|---|---|---|
| Agenttien määrä | 1 | 1-10 |
| LDAP hakemistot | Kyllä | Ei |
| Koneobjektit pilvestä | Kyllä | Ei |
| Password hash sync | Kyllä | Kyllä |
| SSO | Kyllä | Kyllä |
| AAD DS Tuki | Kyllä | Ei |
| AD objektien määrä | Rajoittamaton | 150 000 |
| Writeback | Salasanat, Laitteet, Ryhmät | Salasanat |
| Hashien synkan sykli | 2 minuuttia | 2 minuuttia |
| Objektien synkan sykli | 30 minuuttia | 2 minuuttia |
Cloud Sync tukee täysin korkeaa saatavuutta ja maksimi agenttien määrä samaan aikaan 10.
Jos käytössä ei ole Writebackia vaativia ominaisuuksia Active Directorylla, kannattaa käyttää pelkästään Clound synccejä. Cloud Syncin asetukset tulevat suoraan AzureAD:lta, eli asetukset replikoituvat automaattisesti kaikkien agenttien välillä.
Cloud Syncin agentit ovat äärimmäisen kevyitä, eivätkä sisällä tietokantaa toisin kuin Connect. Cloud Syncin agentit voidaan asentaa Domain Controllereille ja hyvänä tapana voidaan pitää agentin asennusta jokaiselle DC:lle, jolloin voidaan varmistua, että hybridi-identiteetti synkronoituu kunhan vähintään yksi DC on elossa.
Jos on tarvetta writeback-ominaisuuksille, kuten koneobjektien synkronoiminen Azure AD:lle, voidaan asentaa Cloud Syncien rinnalle vielä täysiverinen Connect. Tällä saadaan kaikki ominaisuudet käyttöön mistään luopumatta ja samalla varmistetaan korkea saatavuus ja objektien todella nopea synkronointi ympäristöjen välillä.
