Kurz: Základní prostředí služby Active Directory

Tento kurz vás provede vytvořením základního prostředí služby Active Directory.

Prostředí, které vytvoříte v tomto kurzu, můžete použít k otestování různých aspektů scénářů hybridní identity. Toto je předpokladem pro některé kurzy. Pokud máte existující prostředí služby Active Directory, můžete ho použít jako náhradu. Tyto informace jsou poskytovány jednotlivcům, které začínají od ničeho.

Požadavky

Pro dokončení tohoto kurzu jsou vyžadovány následující předpoklady:

• Počítač s nainstalovanou technologií Hyper-V . Doporučujeme to udělat na počítači s Windows 10 nebo Windows Serverem 2016 .
• Externí síťový adaptér, který virtuálnímu počítači umožní komunikovat s internetem.
• Předplatné Azure
• Kopie Windows Serveru 2016
• Microsoft .NET Framework 4.7.1

Poznámka:

V tomto kurzu se používají skripty PowerShellu, abyste mohli vytvořit výukové prostředí v nejrychlejším čase. Každý skript používá proměnné deklarované na začátku skriptů. Proměnné můžete a měli byste změnit tak, aby odrážely vaše prostředí.

Skripty použité k vytvoření obecného prostředí služby Active Directory před instalací agenta zřizování cloudu Microsoft Entra Connect. Jsou relevantní pro všechny kurzy.

Kopie skriptů PowerShellu, které se používají v tomto kurzu, jsou k dispozici na GitHubu tady.

Vytvoření virtuálního počítače

První věcí, kterou musíte udělat, je vytvoření virtuálního počítače. Tento virtuální počítač se používá jako místní server služby Active Directory. Tento krok je nezbytný pro zprovoznění prostředí hybridní identity. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Dokončení nasazení operačního systému

Abyste mohli dokončit sestavování virtuálního počítače, musíte dokončit instalaci operačního systému.

1. Hyper-V Manager, dvakrát klikněte na virtuální stroj
2. Vyberte tlačítko Start.
3. Zobrazí se výzva k stisknutí libovolné klávesy pro spuštění z disku CD nebo DVD. Pokračujte a udělejte to.
4. Na úvodní obrazovce Windows Serveru vyberte jazyk a vyberte Další.
5. Vyberte Nainstalovat nyní.
6. Zadejte svůj licenční klíč a vyberte Další.
7. Zaškrtněte **Souhlasím s licenčními podmínkami a vyberte Další.
8. Vyberte Vlastní: Nainstalovat jenom Windows (Upřesnit)
9. Výběr Další
10. Po dokončení instalace restartujte virtuální počítač, přihlaste se a spusťte aktualizace Windows, abyste zajistili, že je virtuální počítač nejvíce up-to-date. Nainstalujte nejnovější aktualizace.

Instalace požadavků služby Active Directory

Teď, když máte virtuální počítač vzhůru, musíte před instalací služby Active Directory udělat několik věcí. To znamená, že musíte virtuální počítač přejmenovat, nastavit statickou IP adresu a informace DNS a nainstalovat nástroje pro vzdálenou správu serveru. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Vytvoření prostředí Služby AD ve Windows Serveru

Teď, když jste vytvořili a přejmenovali vytvořený virtuální počítač a má statickou IP adresu, můžete nainstalovat a nakonfigurovat službu Active Directory Domain Services. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Vytvořit uživatele AD Windows Serveru

Teď, když máte naše prostředí Active Directory, musíte vytvořit testovací účet. Tento účet se vytvoří v našem místním prostředí AD a pak se synchronizuje s ID Microsoft Entra. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Vytvoření tenanta Microsoft Entra

Teď potřebujete vytvořit tenanta Microsoft Entra, abyste mohli synchronizovat uživatele do cloudu. Pokud chcete vytvořit nového tenanta Microsoft Entra, postupujte následovně.

1. Přihlaste se do Centra pro správu Microsoft Entra a přihlaste se pomocí účtu s vaším předplatným Microsoft Entra.
2. Vyberte Přehled.
3. Vyberte Spravovat klienty.
4. Vyberte Vytvořit.
   
5. Zadejte název organizace spolu s počátečním názvem domény. Pak vyberte Vytvořit. Tím se vytvoří adresář.
6. Po dokončení vyberte odkaz zde pro správu adresáře.

Vytvoření správce hybridní identity v Microsoft Entra ID

Teď, když máte tenanta Microsoft Entra, vytvoříte účet správce hybridní identity. Pokud chcete vytvořit účet správce hybridní identity, postupujte následovně.

1. V části Spravovat vyberte Uživatelé.
   
   
2. Vyberte Všichni uživatelé a pak vyberte + Nový uživatel.
3. Zadejte jméno a uživatelské jméno tohoto uživatele. Toto je správce hybridní identity pro tenanta. Změňte Role adresáře na Správce hybridní identity. Můžete také zobrazit dočasné heslo. Až budete hotovi, vyberte Vytvořit.
   
4. Po dokončení otevřete nový webový prohlížeč a přihlaste se k myapps.microsoft.com pomocí nového účtu správce hybridní identity a dočasného hesla.
5. Změňte heslo správce hybridní identity na něco, co si můžete zapamatovat.

Volitelné: Jiný server a les

Následuje volitelná část, která obsahuje postup pro vytvoření dalšího serveru nebo lesa. Toto může být použito v některých pokročilejších návodech, jako je Pilot pro Microsoft Entra Connect pro cloudovou synchronizaci.

Pokud potřebujete jenom jiný server, můžete ho zastavit po vytvoření virtuálního počítače kroku a připojení serveru k existující doméně, kterou jste vytvořili dříve.

Vytvoření virtuálního počítače

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Dokončení nasazení operačního systému

Abyste mohli dokončit sestavování virtuálního počítače, musíte dokončit instalaci operačního systému.

1. Hyper-V Manager, dvakrát vyberte virtuální počítač
2. Vyberte tlačítko Start.
3. Zobrazí se výzva k stisknutí libovolné klávesy pro spuštění z disku CD nebo DVD. Pokračujte a udělejte to.
4. Na úvodní obrazovce Windows Serveru vyberte jazyk a vyberte Další.
5. Vyberte Nainstalovat nyní.
6. Zadejte svůj licenční klíč a vyberte Další.
7. Zaškrtněte **Souhlasím s licenčními podmínkami a vyberte Další.
8. Vybrat Vlastní: Instalovat pouze Windows (Upřesnit)
9. Výběr Další
10. Po dokončení instalace restartujte virtuální počítač, přihlaste se a spusťte aktualizace Windows, abyste zajistili, že je virtuální počítač nejvíce up-to-date. Nainstalujte nejnovější aktualizace.

Instalace požadavků služby Active Directory

Teď, když máte virtuální počítač vzhůru, musíte před instalací služby Active Directory udělat několik věcí. To znamená, že musíte virtuální počítač přejmenovat, nastavit statickou IP adresu a informace DNS a nainstalovat nástroje pro vzdálenou správu serveru. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Vytvoření prostředí Služby AD ve Windows Serveru

Teď, když jste vytvořili a přejmenovali virtuální počítač a má statickou IP adresu, jste připraveni nainstalovat a nakonfigurovat službu Active Directory Domain Services. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Vytvořte uživatele AD Windows Serveru

Teď, když máte naše prostředí Active Directory, potřebujete testovací účet. Tento účet se vytvoří v našem místním prostředí AD a pak se synchronizuje s ID Microsoft Entra. Postupujte následovně:

1. Otevřete prostředí PowerShell ISE jako správce.
2. Spusťte následující skript.

# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Závěr

Teď máte prostředí, které můžete použít pro existující kurzy a otestovat další funkce, které poskytuje cloudová synchronizace.

Další kroky

• Co je zřizování?
• Co je cloudová synchronizace Microsoft Entra?