Tutorial: Grundlegende Active Directory-Umgebung
In diesem Tutorial werden die einzelnen Schritte zum Erstellen einer grundlegenden Active Directory Umgebung erläutert.
Mithilfe der Umgebung, die Sie im Tutorial erstellen, können Sie verschiedene Aspekte von Szenarios mit hybriden Identitäten testen. Dies ist eine Voraussetzung für einige der Tutorials. Wenn Sie über eine vorhandene Active Directory-Umgebung verfügen, können Sie diese stattdessen verwenden. Diese Informationen richten sich an Einzelpersonen ohne Vorkenntnisse.
Voraussetzungen
Im Folgenden finden Sie die erforderlichen Komponenten für die Durchführung dieses Tutorials:
- Ein Computer mit installiertem Hyper-V. Es wird empfohlen, dies entweder auf einem Windows 10- oder einem Windows Server 2016-Computer durchzuführen.
- Ein externer Netzwerkadapter, um dem virtuellen Computer die Kommunikation mit dem Internet zu ermöglichen.
- Ein Azure-Abonnement
- Eine Kopie von Windows Server 2016.
- Microsoft .NET Framework 4.7.1
Hinweis
In diesem Tutorial werden PowerShell-Skripts verwendet, sodass Sie die Tutorialumgebung in kürzester Zeit erstellen können. Jedes der Skripts verwendet Variablen, die am Anfang jedes Skripts deklariert werden. Sie können und sollten die Variablen entsprechend Ihrer Umgebung ändern.
Mit den verwendeten Skripts wird vor der Installation des Agents für die Azure AD Connect-Cloudbereitstellung eine allgemeine Microsoft Entra-Umgebung erstellt. Sie sind für alle Tutorials relevant.
Kopien der in diesem Tutorial verwendeten PowerShell-Skripts sind unter diesem Link auf GitHub verfügbar.
Erstellen eines virtuellen Computers
Als Erstes muss eine neue VM erstellt werden. Diese VM wird als lokaler Active Directory-Server verwendet. Dieser Schritt ist unerlässlich, um die Umgebung für die hybriden Identitäten aufzusetzen. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'
#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch
#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false
#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName
#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Durchführen der Betriebssystembereitstellung
Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.
- Doppelklicken Sie im Hyper-V-Manager auf die VM.
- Klicken Sie auf die Schaltfläche "Start".
- Sie werden zu Folgendem aufgefordert: „Drücken Sie eine beliebige Taste, um von CD oder DVD zu starten“. Fahren Sie fort, und tun Sie dies.
- Wählen Sie auf dem Startbildschirm von Windows Server Ihre Sprache aus und klicken Sie dann auf Weiter.
- Wählen Sie Jetzt installieren aus.
- Geben Sie Ihren Lizenzschlüssel ein, und wählen Sie Weiter aus.
- Aktivieren Sie **Ich akzeptiere die Lizenzbedingungen und wählen Sie Weiter aus.
- Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
- Wählen Sie Weiter aus
- Starten Sie die VM nach Abschluss der Installation neu, melden sich an, und führen Sie Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.
Installieren der erforderlichen Active Directory-Komponenten
Nachdem Sie nun über einen virtuellen Computer verfügen, müssen Sie vor der Installation von Active Directory noch ein paar Vorbereitungen treffen. Das heißt, dass Sie den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
#Declare variables
$ipaddress = "10.0.1.117"
$ipprefix = "24"
$ipgw = "10.0.1.1"
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8"
$ipif = (Get-NetAdapter).ifIndex
$featureLogPath = "c:\poshlog\featurelog.txt"
$newname = "DC1"
$addsTools = "RSAT-AD-Tools"
#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw
# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
#Rename the computer
Rename-Computer -NewName $newname -force
#Install features
New-Item $featureLogPath -ItemType file -Force
Add-WindowsFeature $addsTools
Get-WindowsFeature | Where installed >>$featureLogPath
#Restart the computer
Restart-Computer
Erstellen einer Windows Server AD-Umgebung
Nachdem die VM nun erstellt und umbenannt wurde und über eine statische IP-Adresse verfügt, können Sie als Nächstes die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt"
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
#Install AD DS, DNS and GPMC
start-job -Name addFeature -ScriptBlock {
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools }
Wait-Job -Name addFeature
Get-WindowsFeature | Where installed >>$featureLogPath
#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Erstellen eines Windows Server AD-Benutzers
Nachdem die Active Directory-Umgebung nun fertig ist, benötigen Sie ein Testkonto. Dieses Konto wird in der lokalen Active Directory-Umgebung erstellt und dann mit Microsoft Entra ID synchronisiert. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
# Filename: 4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
# the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Erstellen eines Microsoft Entra-Mandanten
Jetzt müssen Sie einen Microsoft Entra-Mandanten erstellen, damit Sie Ihre Benutzer mit der Cloud synchronisieren können. Gehen Sie wie folgt vor, um einen neuen Microsoft Entra-Mandanten zu erstellen.
- Melden Sie sich zunächst beim Microsoft Entra Admin Center und anschließend bei einem Konto an, das über Ihr Microsoft Entra-Abonnement verfügt.
- Wählen Sie Übersicht aus.
- Wählen Sie Mandanten verwalten aus.
- Wählen Sie Erstellen
aus. - Geben Sie einen Namen für die Organisation an, zusammen mit dem Namen der Anfangsdomäne. Klicken Sie anschließend auf Erstellen. Dadurch wird Ihr Verzeichnis erstellt.
- Nachdem dies abgeschlossen ist, wählen Sie den Link hier aus, um das Verzeichnis zu verwalten.
Erstellen eines Hybrididentitätsadministrators in Microsoft Entra ID
Nachdem Sie nun über einen Microsoft Entra-Mandanten verfügen, erstellen Sie ein Hybrid-Identitäts-Administratorkonto. Gehen Sie wie folgt vor, um das Hybrididentitätsadministrator-Konto zu erstellen.
- Wählen Sie unter Verwalten die Option Benutzer aus.
- Wählen Sie Alle Benutzer und dann + Neuer Benutzer aus.
- Geben Sie für diesen Benutzer einen Namen und Benutzernamen an. Dies wird die Rolle „Hybrididentitätsadministrator“ für den Mandanten. Ändern Sie Verzeichnisrolle in Hybrididentitätsadministrator*in. Sie können auch das temporäre Kennwort anzeigen. Wenn Sie fertig sind, wählen Sie Erstellen aus.
- Sobald der Vorgang abgeschlossen ist, öffnen Sie einen neuen Webbrowser, und melden Sie sich mit dem neuen Hybrididentitätsadministrator-Konto und dem temporären Kennwort bei „myapps.microsoft.com“ an.
- Ändern Sie das Kennwort für die Rolle „Hybrididentitätsadministrator“ in einen Wert, den Sie sich merken können.
Optional: Weiterer Server und weitere Gesamtstruktur
Der folgende optionale Abschnitt enthält die Schritte zum Erstellen eines weiteren Servers und/oder einer weiteren Gesamtstruktur. Diese Gesamtstruktur kann in einigen der komplexeren Tutorials (z. B. Pilotcloudsynchronisierung für eine vorhandene synchronisierte Microsoft Entra-Gesamtstruktur) verwendet werden.
Wenn Sie nur einen weiteren Server benötigen, können Sie den Vorgang nach dem Schritt Erstellen des virtuellen Computers beenden und den Server mit der vorhandenen Domäne verknüpfen, die Sie zuvor erstellt haben.
Erstellen eines virtuellen Computers
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
# Filename: 1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'
#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch
#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false
#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName
#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Durchführen der Betriebssystembereitstellung
Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.
- Doppelklicken Sie im Hyper-V-Manager auf die VM.
- Klicken Sie auf die Schaltfläche "Start".
- Sie werden zu Folgendem aufgefordert: „Drücken Sie eine beliebige Taste, um von CD oder DVD zu starten“. Fahren Sie fort, und tun Sie dies.
- Wählen Sie auf dem Startbildschirm von Windows Server Ihre Sprache aus und klicken Sie dann auf Weiter.
- Wählen Sie Jetzt installieren aus.
- Geben Sie Ihren Lizenzschlüssel ein, und wählen Sie Weiter aus.
- Aktivieren Sie **Ich akzeptiere die Lizenzbedingungen und wählen Sie Weiter aus.
- Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
- Wählen Sie Weiter aus
- Starten Sie die VM nach Abschluss der Installation neu, melden sich an, und führen Sie Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.
Installieren der erforderlichen Active Directory-Komponenten
Nachdem Sie nun über eine VM verfügen, müssen Sie vor der Installation von Active Directory noch einige Vorbereitungen treffen. Das heißt, dass Sie den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
# Filename: 2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
# the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118"
$ipprefix = "24"
$ipgw = "10.0.1.1"
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8"
$ipif = (Get-NetAdapter).ifIndex
$featureLogPath = "c:\poshlog\featurelog.txt"
$newname = "CP1"
$addsTools = "RSAT-AD-Tools"
#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw
#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
#Rename the computer
Rename-Computer -NewName $newname -force
#Install features
New-Item $featureLogPath -ItemType file -Force
Add-WindowsFeature $addsTools
Get-WindowsFeature | Where installed >>$featureLogPath
#Restart the computer
Restart-Computer
Erstellen einer Windows Server AD-Umgebung
Nachdem die VM nun erstellt und umbenannt wurde und über eine statische IP-Adresse verfügt, können Sie als Nächstes die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
# Filename: 3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
# the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt"
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
#Install AD DS, DNS and GPMC
start-job -Name addFeature -ScriptBlock {
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools }
Wait-Job -Name addFeature
Get-WindowsFeature | Where installed >>$featureLogPath
#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Erstellen eines Windows Server AD-Benutzers
Nachdem nun die Active Directory-Umgebung vorhanden ist, benötigen Sie ein Testkonto. Dieses Konto wird in der lokalen Active Directory-Umgebung erstellt und dann mit Microsoft Entra ID synchronisiert. Gehen Sie folgendermaßen vor:
- Öffnen Sie die PowerShell ISE als Administrator.
- Führen Sie das folgende Skript aus.
# Filename: 4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
# the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Zusammenfassung
Nun verfügen Sie über eine Umgebung, die für vorhandene Tutorials und zum Testen weiterer Features der Cloudsynchronisierung verwendet werden kann.