Sdílet prostřednictvím

Kurz: Základní prostředí služby Active Directory

  • Článek

Tento kurz vás provede vytvořením základního prostředí služby Active Directory.

Diagram znázorňující základní prostředí Microsoft Entra

Prostředí, které vytvoříte v tomto kurzu, můžete použít k otestování různých aspektů scénářů hybridní identity a bude předpokladem pro některé kurzy. Pokud už máte existující prostředí služby Active Directory, můžete ho použít jako náhradu. Tyto informace jsou poskytovány jednotlivcům, kteří mohou začínat od ničeho.

Požadavky

Pro dokončení tohoto kurzu jsou vyžadovány následující předpoklady:

Poznámka:

V tomto kurzu se používají skripty PowerShellu, abyste mohli vytvořit výukové prostředí v nejrychlejším čase. Každý skript používá proměnné deklarované na začátku skriptů. Proměnné můžete a měli byste změnit tak, aby odrážely vaše prostředí.

Skripty použité k vytvoření obecného prostředí služby Active Directory před instalací agenta zřizování cloudu Microsoft Entra Connect. Jsou relevantní pro všechny kurzy.

Kopie skriptů PowerShellu, které se používají v tomto kurzu, jsou k dispozici na GitHubu tady.

Vytvoření virtuálního počítače

První věc, kterou potřebujete udělat, je vytvořit virtuální počítač, který se použije jako náš místní Active Directory server. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Dokončení nasazení operačního systému

Abyste mohli dokončit sestavování virtuálního počítače, musíte dokončit instalaci operačního systému.

  1. Správce technologie Hyper-V poklikejte na virtuální počítač.
  2. Klikněte na tlačítko Start.
  3. Zobrazí se výzva k stisknutí libovolné klávesy pro spuštění z disku CD nebo DVD. Pokračujte a udělejte to.
  4. Na úvodní obrazovce Windows Serveru vyberte jazyk a klikněte na Další.
  5. Klikněte na Nainstalovat.
  6. Zadejte svůj licenční klíč a klikněte na Další.
  7. Zaškrtněte **Souhlasím s licenčními podmínkami a klikněte na Další.
  8. Vybrat vlastní: Nainstalovat jenom Windows (Upřesnit)
  9. Klikněte na Další.
  10. Po dokončení instalace restartujte virtuální počítač, přihlaste se a spusťte aktualizace Windows, abyste zajistili, že je virtuální počítač nejaktuálnější. Nainstalujte nejnovější aktualizace.

Instalace požadavků služby Active Directory

Teď, když máte virtuální počítač vzhůru, musíte před instalací služby Active Directory udělat několik věcí. To znamená, že musíte virtuální počítač přejmenovat, nastavit statickou IP adresu a informace DNS a nainstalovat nástroje pro vzdálenou správu serveru. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Vytvoření prostředí Služby AD ve Windows Serveru

Teď, když máte vytvořený virtuální počítač a byl přejmenován a má statickou IP adresu, můžete pokračovat a nainstalovat a nakonfigurovat Doména služby Active Directory Services. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Vytvoření uživatele ad windows serveru

Teď, když máte naše prostředí Active Directory, potřebujete testovací účet. Tento účet se vytvoří v našem místním prostředí AD a pak se synchronizuje s ID Microsoft Entra. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Vytvoření tenanta Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Teď potřebujete vytvořit tenanta Microsoft Entra, abyste mohli synchronizovat uživatele do cloudu. Pokud chcete vytvořit nového tenanta Microsoft Entra, postupujte následovně.

  1. Přihlaste se do Centra pro správu Microsoft Entra a přihlaste se pomocí účtu s vaším předplatným Microsoft Entra.
  2. Klikněte na Přehled.
  3. Klikněte na Spravovat tenanty.
  4. Vyberte Vytvořit.
  5. Zadejte název organizace spolu s počátečním názvem domény. Pak vyberte Vytvořit. Tím se vytvoří adresář.
  6. Jakmile se tento postup dokončí, klikněte na odkaz sem , abyste mohli spravovat adresář.

Vytvoření správce hybridní identity v Microsoft Entra ID

Teď, když máte tenanta Microsoft Entra, vytvoříte účet správce hybridní identity. Pokud chcete vytvořit účet správce hybridní identity, postupujte následovně.

  1. V části Spravovat vyberte Uživatelé.
    Snímek obrazovky znázorňující nabídku Přehled s vybranou možností Uživatelé
  2. Vyberte Všichni uživatelé a pak vyberte + Nový uživatel.
  3. Zadejte jméno a uživatelské jméno tohoto uživatele. Toto bude váš správce hybridní identity pro tenanta. Budete také chtít změnit roli Adresáře na správce hybridní identity. Můžete také zobrazit dočasné heslo. Až budete hotovi, vyberte Vytvořit.
  4. Po dokončení otevřete nový webový prohlížeč a přihlaste se k myapps.microsoft.com pomocí nového účtu správce hybridní identity a dočasného hesla.
  5. Změňte heslo správce hybridní identity na něco, co si zapamatujete.

Volitelné: Jiný server a doménová struktura

Následuje volitelná část, která obsahuje postup vytvoření jiného serveru nebo doménové struktury. Můžete ho použít v některých pokročilejších kurzech, jako je pilotní nasazení pro Microsoft Entra Connect pro cloudovou synchronizaci.

Pokud potřebujete jenom další server, můžete po vytvoření kroku virtuálního počítače zastavit a připojit server k existující doméně vytvořené výše.

Vytvoření virtuálního počítače

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Dokončení nasazení operačního systému

Abyste mohli dokončit sestavování virtuálního počítače, musíte dokončit instalaci operačního systému.

  1. Správce technologie Hyper-V poklikejte na virtuální počítač.
  2. Klikněte na tlačítko Start.
  3. Zobrazí se výzva k stisknutí libovolné klávesy pro spuštění z disku CD nebo DVD. Pokračujte a udělejte to.
  4. Na úvodní obrazovce Windows Serveru vyberte jazyk a klikněte na Další.
  5. Klikněte na Nainstalovat.
  6. Zadejte svůj licenční klíč a klikněte na Další.
  7. Zaškrtněte **Souhlasím s licenčními podmínkami a klikněte na Další.
  8. Vybrat vlastní: Nainstalovat jenom Windows (Upřesnit)
  9. Klikněte na Další.
  10. Po dokončení instalace restartujte virtuální počítač, přihlaste se a spusťte aktualizace Windows, abyste zajistili, že je virtuální počítač nejaktuálnější. Nainstalujte nejnovější aktualizace.

Instalace požadavků služby Active Directory

Teď, když máte virtuální počítač vzhůru, musíte před instalací služby Active Directory udělat několik věcí. To znamená, že musíte virtuální počítač přejmenovat, nastavit statickou IP adresu a informace DNS a nainstalovat nástroje pro vzdálenou správu serveru. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Vytvoření prostředí Služby AD ve Windows Serveru

Teď, když máte vytvořený virtuální počítač a byl přejmenován a má statickou IP adresu, můžete pokračovat a nainstalovat a nakonfigurovat Doména služby Active Directory Services. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Vytvoření uživatele ad windows serveru

Teď, když máte naše prostředí Active Directory, potřebujete testovací účet. Tento účet se vytvoří v našem místním prostředí AD a pak se synchronizuje s ID Microsoft Entra. Postupujte následovně:

  1. Otevřete prostředí PowerShell ISE jako správce.
  2. Spusťte následující skript.
# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Závěr

Teď máte prostředí, které můžete použít pro existující kurzy a otestovat další funkce, které poskytuje cloudová synchronizace.

Další kroky