Es begann mit einer klaren architektonischen Entscheidung: Die Identitätsverwaltung vor Ort unter eigener Kontrolle zu behalten und gleichzeitig Microsoft 365 in der Cloud zu nutzen.
Das war die Herausforderung, die die Qudora Technologies GmbH an SerNet stellte. QUDORA ist ein führendes Full-Stack-Quantum-Computing-Unternehmen mit Sitz in Deutschland. Die firmeneigene Near-Field Quantum Control (NFQC®)-Technologie kombiniert ultrapräzise Qubit-Steuerung mit sehr langen Kohärenzzeiten und verbessert so die Leistung pro Qubit erheblich. Die QC-Systeme von QUDORA sind für die nahtlose Integration in bestehende industrielle Infrastrukturen konzipiert, einschließlich On-Premises-Bereitstellungen für HPC-Zentren. Mit Standorten in Braunschweig und Hamburg macht QUDORA Quantencomputing für ein breiteres Spektrum an Anwendungen und Branchen zugänglich.
Qudora wandte sich an SerNet, da der in Göttingen ansässige Open-Source-Spezialist Upstream-Samba-Entwicklung mit praktischer Integrationskompetenz in Samba- und Microsoft-Umgebungen verbindet.
Projektübersicht
- Lokales autoritatives Verzeichnis: Samba Active Directory Domain Controller
- Cloud-Dienste: Microsoft 365 (Exchange Online, SharePoint, Teams)
- Synchronisierungs-Engine: Microsoft Entra Connect (einseitig: lokal → Cloud)
- Kernanforderung: Exchange-relevante Attribute in Samba AD verfügbar und korrekt
- Ziel: Produktionsreife Hybrid-Konfiguration
Architektur: On-Prem bleibt maßgebend
Die Kernfrage war einfach: Kann eine Samba-AD-Domäne mithilfe von Entra Connect sauber mit Microsoft Entra ID synchronisiert werden – einschließlich der Exchange-relevanten Attribute.
In vielen realen Umgebungen haben die Anforderungen von Exchange Teams in der Vergangenheit dazu gedrängt, „einfach Windows für AD zu verwenden“, da Exchange Online (und die damit verbundenen Hybridmodelle) bestimmte Objektklassen und Attribute erwarten.
Qudora strebte ein anderes Design an, das die Anforderungen an die digitale Souveränität ernst nimmt: Samba AD bleibt die maßgebliche Quelle, Microsoft 365 nutzt synchronisierte Identitäten, und Administratoren verwalten Benutzer an einem Ort.
Der technische Kern: Exchange-Attribute in Samba AD integrieren
Die Herausforderung bestand nicht darin, „die Synchronisierung zum Laufen zu bringen“. Die Herausforderung bestand darin, die mit Exchange verbundenen Anforderungen an Schema und Attribute zu erfüllen.
Exchange Online stützt sich üblicherweise auf Attribute und Strukturen wie:
- proxyAddresses
- targetAddress
- mehrere msExch*-Attribute
- Exchange-Organisationsobjekte / zugehörige Klassen
Um diese Anforderungen mit Samba als einzigem AD-DC zu erfüllen, erforderte das Projekt:
- Erweiterung des LDAP-Schemas in Samba AD um Exchange-relevante Objektklassen und Attribute
- Gezielte Änderungen am Samba-Code, damit diese Objekte korrekt verarbeitet wurden
- Fehlerbehebung auf Protokollebene (Netzwerk-Traces + detaillierte Debug-Protokolle), um zu bestätigen, was Entra Connect tatsächlich anforderte und wie Samba darauf reagierte
Hier machte sich die Teamzusammensetzung von SerNet besonders deutlich bemerkbar:
- Björn Jacke (Integrator im Samba-Team von SerNet) leitete die AD-seitige Implementierung und koordinierte die Anforderungen an Samba AD/DC.
- Stefan Metzmacher (Samba-Kernentwicklung) verfolgte das Verhalten bis zu den relevanten Codepfaden zurück und implementierte die Korrekturen.
- Carl Massiang (Integrator im Sichere-Insfrastrukturen-Team von SerNet) implementierte die Entra-Connect-Konfiguration und übernahm die Integrationsarbeiten für Microsoft 365 / Exchange Online.
Die daraus resultierenden Änderungen wurden in den Upstream-Code übernommen, sodass die gesamte Samba-Community davon profitiert.
Ein wichtiger Punkt aus der Praxis: Aus Sicht von Entra ID verhielt sich das System wie eine Standard-Active-Directory-Umgebung. Entra “kümmerte es nicht”, dass der DC Samba war.
Die Lösung im Einsatz
Nach der Implementierung war der Betriebsablauf klar und wiederholbar:
- Benutzer im lokalen Samba-AD (dem maßgeblichen Verzeichnis) anlegen/verwalten.
- Exchange-relevante Attribute im Samba-AD festlegen.
- Entra Connect synchronisiert Objekte in eine Richtung (lokal → Entra ID).
- Microsoft 365 richtet das Exchange Online-Postfach automatisch auf Basis der synchronisierten Identität und Attribute ein.
Für diese Konfiguration war kein lokaler Exchange-Server erforderlich. Es wurde keine zusätzliche Windows-Domäne hinzugefügt, d.h. keine doppelte Pflege von Identitäten. Es wird nur ein Windows-Mitgliedsserver für den Entra Connect Sync Service benötigt.
Was sich für Qudora geändert hat
Diese Implementierung lieferte ein hybrides Identitätsdesign, das folgende Eigenschaften aufweist:
- single-source-of-truth (lokales Samba-AD)
- cloud-ready für Microsoft 365-Dienste
- schema-correct für Exchange Online-Anforderungen
- stabil und reproduzierbar im Produktivbetrieb
In einem Folgeprojekt mit einem weiteren Unternehmen wurde derselbe Ansatz auf ein Hybridszenario mit einem lokalen Exchange-Server angewendet, bei dem Domänencontroller bestimmte Richtlinien korrekt auswerten müssen, damit Exchange-Objekte wie erwartet bereitgestellt werden können. Auch dieses Szenario war auf der Grundlage des erweiterten Schemas realisierbar.
Planen Sie etwas Ähnliches?
Wenn Sie Samba AD betreiben und eine Verbindung zu Microsoft 365 herstellen möchten oder eine bestehende Hybridkonfiguration absichern müssen, wenden Sie sich an SerNet. Wir prüfen Ihr Verzeichnismodell und Schema, validieren die Exchange-Attribut-Anforderungen, entwerfen die Entra Connect-Architektur und implementieren diese durchgängig – einschließlich einer umfassenden Fehlerbehebung, wenn das Problem über die Konfiguration hinausgeht.
Hinweis zur digitalen Souveränität: Je nach Ihren Anforderungen entwirft und implementiert SerNet auch souveräne Alternativen ohne Microsoft-Clouddienste – vor Ort oder bei europäischen Anbietern – insbesondere dort, wo Datenstandort, regulatorische Auflagen oder Risikoüberlegungen (einschließlich Themen wie dem US-CLOUD Act) Teil der Entscheidung sind.
SerNet kann das – sprechen Sie uns einfach an.
