Freigeben über


Tutorial: Grundlegende Active Directory-Umgebung

In diesem Tutorial werden die einzelnen Schritte zum Erstellen einer grundlegenden Active Directory Umgebung erläutert.

Diagramm: Grundlegende Microsoft Entra-Umgebung

Mithilfe der Umgebung, die Sie im Tutorial erstellen, können Sie verschiedene Aspekte von Hybrididentitätsszenarien testen. Diese Umgebung ist zudem Voraussetzung für einige Tutorials. Wenn Sie bereits über eine vorhandene Active Directory Umgebung verfügen, können Sie diese stattdessen verwenden. Diese Informationen richten sich an Einzelpersonen ohne Vorkenntnisse.

Voraussetzungen

Im Folgenden finden Sie die erforderlichen Komponenten für die Durchführung dieses Tutorials:

Hinweis

In diesem Tutorial werden PowerShell-Skripts verwendet, sodass Sie die Tutorialumgebung in kürzester Zeit erstellen können. Jedes der Skripts verwendet Variablen, die am Anfang jedes Skripts deklariert werden. Sie können und sollten die Variablen entsprechend Ihrer Umgebung ändern.

Mit den verwendeten Skripts wird vor der Installation des Agents für die Azure AD Connect-Cloudbereitstellung eine allgemeine Microsoft Entra-Umgebung erstellt. Sie sind für alle Tutorials relevant.

Kopien der in diesem Tutorial verwendeten PowerShell-Skripts sind unter diesem Link auf GitHub verfügbar.

Erstellen eines virtuellen Computers

Um die Hybrididentitätsumgebung einzurichten und auszuführen, müssen Sie als Erstes einen virtuellen Computer erstellen, der als lokaler Active Directory-Server verwendet wird. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Durchführen der Betriebssystembereitstellung

Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.

  1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
  2. Klicken Sie auf die Schaltfläche „Starten“.
  3. Sie werden aufgefordert, eine beliebige Taste zu drücken, um von CD oder DVD zu starten. Fahren Sie fort, und tun Sie dies.
  4. Wählen Sie auf dem Windows Server-Startbildschirm Ihre Sprache aus, und klicken Sie auf Weiter.
  5. Klicken Sie auf Jetzt installieren.
  6. Geben Sie Ihren Lizenzschlüssel ein, und klicken Sie auf Weiter.
  7. Aktivieren Sie „Ich stimme den Lizenzbedingungen zu“, und klicken Sie auf Weiter.
  8. Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
  9. Klicken Sie auf Weiter.
  10. Nach Abschluss der Installation starten Sie den virtuellen Computer neu, melden sich an und führen Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.

Installieren der erforderlichen Active Directory-Komponenten

Nachdem Sie nun über einen virtuellen Computer verfügen, müssen Sie vor der Installation von Active Directory noch ein paar Vorbereitungen treffen. Das heißt, dass Sie den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Erstellen einer Windows Server AD-Umgebung

Nachdem nun der virtuelle Computer erstellt und umbenannt wurde und über eine statische IP-Adresse verfügt, können Sie als Nächstes die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Erstellen eines Windows Server AD-Benutzers

Nachdem nun die Active Directory-Umgebung vorhanden ist, benötigen Sie ein Testkonto. Dieses Konto wird in unserer lokalen Active Directory-Umgebung erstellt und dann mit Microsoft Entra ID synchronisiert. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Erstellen eines Microsoft Entra-Mandanten

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Jetzt müssen Sie einen Microsoft Entra-Mandanten erstellen, damit Sie Ihre Benutzer mit der Cloud synchronisieren können. Gehen Sie wie folgt vor, um einen neuen Microsoft Entra-Mandanten zu erstellen.

  1. Melden Sie sich zunächst beim Microsoft Entra Admin Center und anschließend bei einem Konto an, das über Ihr Microsoft Entra-Abonnement verfügt.
  2. Klicken Sie auf Overview.
  3. Klicken Sie auf Mandanten verwalten.
  4. Wählen Sie Erstellen
    aus.
  5. Geben Sie einen Namen für die Organisation an, zusammen mit dem Namen der Anfangsdomäne. Klicken Sie anschließend auf Erstellen. Hierdurch wird Ihr Verzeichnis erstellt.
  6. Sobald dies abgeschlossen ist, klicken Sie auf diesen Link, um das Verzeichnis zu verwalten.

Erstellen eines Hybrididentitätsadministrators in Microsoft Entra ID

Da Sie nun einen Microsoft Entra-Mandanten haben, erstellen Sie ein Hybrid-Identity-Administratorkonto. Gehen Sie wie folgt vor, um das Hybrididentitätsadministrator-Konto zu erstellen.

  1. Wählen Sie unter Verwalten die Option Benutzer aus.
    Screenshot: Menü „Übersicht“ mit ausgewählter Option „Benutzer“.
  2. Wählen Sie Alle Benutzer und dann + Neuer Benutzer aus.
  3. Geben Sie für diesen Benutzer einen Namen und Benutzernamen an. Dies ist Ihr Hybrididentitätsadministrator für den Mandanten. Sie sollten auch die Verzeichnisrolle in Hybrididentitätsadministrator ändern. Sie können auch das temporäre Kennwort anzeigen. Wenn Sie fertig sind, wählen Sie Erstellen aus.
  4. Sobald der Vorgang abgeschlossen ist, öffnen Sie einen neuen Webbrowser, und melden Sie sich mit dem neuen Hybrididentitätsadministrator-Konto und dem temporären Kennwort bei „myapps.microsoft.com“ an.
  5. Ändern Sie das Kennwort für den Hybrididentitätsadministrator in einen Wert, den Sie sich merken können.

Optional: Weiterer Server und weitere Gesamtstruktur

Der folgende optionale Abschnitt enthält die Schritte zum Erstellen eines weiteren Servers und/oder einer weiteren Gesamtstruktur. Diese Gesamtstruktur kann in einigen der komplexeren Tutorials (z. B. Pilotcloudsynchronisierung für eine vorhandene synchronisierte Microsoft Entra-Gesamtstruktur) verwendet werden.

Wenn Sie nur einen weiteren Server benötigen, können Sie den Vorgang nach dem Schritt Erstellen des virtuellen Computers beenden und den Server mit der vorhandenen Domäne verknüpfen, die zuvor erstellt wurde.

Erstellen eines virtuellen Computers

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Durchführen der Betriebssystembereitstellung

Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.

  1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
  2. Klicken Sie auf die Schaltfläche „Starten“.
  3. Sie werden aufgefordert, eine beliebige Taste zu drücken, um von CD oder DVD zu starten. Fahren Sie fort, und tun Sie dies.
  4. Wählen Sie auf dem Windows Server-Startbildschirm Ihre Sprache aus, und klicken Sie auf Weiter.
  5. Klicken Sie auf Jetzt installieren.
  6. Geben Sie Ihren Lizenzschlüssel ein, und klicken Sie auf Weiter.
  7. Aktivieren Sie „Ich stimme den Lizenzbedingungen zu“, und klicken Sie auf Weiter.
  8. Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
  9. Klicken Sie auf Weiter.
  10. Nach Abschluss der Installation starten Sie den virtuellen Computer neu, melden sich an und führen Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.

Installieren der erforderlichen Active Directory-Komponenten

Nachdem Sie nun über einen virtuellen Computer verfügen, müssen Sie vor der Installation von Active Directory noch ein paar Vorbereitungen treffen. Das heißt, dass Sie den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Erstellen einer Windows Server AD-Umgebung

Nachdem nun der virtuelle Computer erstellt und umbenannt wurde und über eine statische IP-Adresse verfügt, können Sie als Nächstes die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Erstellen eines Windows Server AD-Benutzers

Nachdem nun die Active Directory-Umgebung vorhanden ist, benötigen Sie ein Testkonto. Dieses Konto wird in unserer lokalen Active Directory-Umgebung erstellt und dann mit Microsoft Entra ID synchronisiert. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Zusammenfassung

Nun verfügen Sie über eine Umgebung, die für vorhandene Tutorials und zum Testen weiterer Features der Cloudsynchronisierung verwendet werden kann.

Nächste Schritte