Delen via

Active Directory Lightweight Directory Services voorbereiden voor inrichting vanuit Microsoft Entra-id

  • Artikel

De volgende documentatie bevat zelfstudie-informatie over het voorbereiden van een INSTALLATIE van Active Directory Lightweight Directory Services (AD LDS). Dit kan worden gebruikt als een voorbeeld van een LDAP-adreslijst voor probleemoplossing of om te laten zien hoe u gebruikers van Microsoft Entra-id inricht in een LDAP-adreslijst.

De LDAP-directory voorbereiden

Als u nog geen directoryserver hebt, vindt u de volgende informatie om een TEST AD LDS-omgeving te maken. Hierbij wordt gebruikgemaakt van PowerShell en de ADAMInstall.exe met een antwoordbestand. Dit document bevat geen uitgebreide informatie over AD LDS. Zie Active Directory Lightweight Directory Services voor meer informatie.

Als u al AD LDS of een andere adreslijstserver hebt, kunt u deze inhoud overslaan en doorgaan in de zelfstudie: ECMA Connector Host generic LDAP-connector voor het installeren en configureren van de ECMA-connectorhost.

Maak een SSL-certificaat, een testdirectory en installeer AD LDS.

Gebruik het PowerShell-script uit bijlage A. Met het script worden de volgende acties uitgevoerd:

  1. Hiermee maakt u een zelfondertekend certificaat dat door de LDAP-connector wordt gebruikt.
  2. Hiermee maakt u een map voor het installatielogboek van de functie.
  3. Hiermee exporteert u het certificaat in het persoonlijke archief naar de map.
  4. Hiermee importeert u het certificaat naar de vertrouwde basis van de lokale computer.
  5. Installeert de AD LDS-rol op onze virtuele machine.

Bewerk het script op de virtuele Windows Server-machine die u gebruikt om de LDAP-connector te testen, zodat het overeenkomt met de computernaam en voer vervolgens het script uit met Windows PowerShell met beheerdersbevoegdheden.

Een exemplaar van AD LDS maken

Nu de rol is geïnstalleerd, moet u een exemplaar van AD LDS maken. Als u een instantie wilt maken, kunt u het volgende antwoordbestand gebruiken. Met dit bestand wordt de instance stil geïnstalleerd zonder gebruik van de UI.

Kopieer de inhoud van bijlage B in Kladblok en sla deze op als answer.txt in C:\Windows\ADAM.

Open nu een opdrachtprompt met beheerdersbevoegdheden en voer het volgende uitvoerbare bestand uit:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

Containers en een serviceaccount maken voor AD LDS

Gebruik het PowerShell-script uit bijlage C. Met het script worden de volgende acties uitgevoerd:

  1. Hiermee maakt u een container voor het serviceaccount dat wordt gebruikt met de LDAP-connector.
  2. Hiermee maakt u een container voor de cloudgebruikers, waar gebruikers worden toegewezen.
  3. Hiermee maakt u het serviceaccount in AD LDS.
  4. Hiermee schakelt u het serviceaccount in.
  5. Hiermee voegt u het serviceaccount toe aan de rol AD LDS-beheerders.

Op de virtuele Windows Server-machine gebruikt u om de LDAP-connector het script uit te voeren met Windows PowerShell met beheerdersbevoegdheden.

De NETWORK SERVICE leesmachtigingen verlenen aan het SSL-certificaat

Als u SSL wilt laten werken, moet u de NETWERKSERVICE-leesmachtigingen toekennen aan het zojuist gemaakte certificaat. Gebruik de volgende stappen om machtigingen toe te kennen.

  1. Ga naar C:\Program Data\Microsoft\Crypto\Keys.
  2. Selecteer met de rechtermuisknop het systeembestand dat zich hier bevindt. Dit is een GUID. In deze container wordt het certificaat opgeslagen.
  3. Selecteer Eigenschappen.
  4. Selecteer bovenaan het tabblad Beveiliging .
  5. Selecteer Bewerken.
  6. Selecteer toevoegen.
  7. Voer in het vak Netwerkservice in en selecteer Namen controleren.
  8. Selecteer NETWORK SERVICE- in de lijst en selecteer OK-.
  9. Selecteer OK.
  10. Zorg ervoor dat het netwerkserviceaccount lees- en uitvoeringsmachtigingen heeft & en selecteer Toepassen en OK.

SSL-connectiviteit met AD LDS verifiëren

Nu we het certificaat hebben geconfigureerd en de machtigingen voor het netwerkserviceaccount hebben verleend, test u de connectiviteit om te controleren of het werkt.

  1. Open Serverbeheer en selecteer AD LDS.
  2. Selecteer met de rechtermuisknop uw exemplaar van AD LDS en selecteer ldp.exe in het pop-upvenster. Schermopname van de locatie van het Ldp-hulpprogramma.
  3. Selecteer bovenaan ldp.exe Verbinding en Verbinding maken.
  4. Voer de volgende gegevens in en selecteer OK.
    • Server: APP3
    • Poort: 636
    • Een selectievakje in het SSL-vak plaatsen Schermopname van de verbindingsconfiguratie van het Ldp-hulpprogramma.
  5. Selecteer bovenaan onder Verbinding de optie Verbinden.
  6. Laat de standaardwaarden staan en selecteer OK.
  7. U moet nu verbinding maken met het exemplaar.

Het lokale wachtwoordbeleid uitschakelen

Op dit moment richt de LDAP-connector gebruikers in met een leeg wachtwoord. Deze inrichting voldoet niet aan het lokale wachtwoordbeleid op onze server, zodat deze wordt uitgeschakeld voor testdoeleinden. Gebruik de volgende stappen om wachtwoordcomplexiteit uit te schakelen op een server die niet lid is van een domein.

Belangrijk

Omdat doorlopende wachtwoordsynchronisatie geen functie is van on-premises LDAP-inrichting, raadt Microsoft aan om AD LDS specifiek te gebruiken voor federatieve toepassingen, wanneer deze worden gebruikt in combinatie met AD DS of bij het bijwerken van bestaande gebruikers in een exemplaar van AD LDS.

  1. Selecteer op de server Start, Uitvoeren, en daarna gpedit.msc
  2. Ga in de editor voor lokaal groepsbeleid naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Accountbeleid > Wachtwoordbeleid
  3. Aan de rechterkant, dubbelklik op Het wachtwoord moet voldoen aan de vereisten voor complexiteit en selecteer Uitgeschakeld. Schermopname van de instelling voor complexiteitsvereisten.
  4. Selecteer toepassen en OK-
  5. De editor voor lokaal groepsbeleid sluiten

Ga vervolgens verder met de richtlijnen voor het inrichten van gebruikers van Microsoft Entra ID in een LDAP-directory om de inrichtingsagent te downloaden en te configureren.

Bijlage A - AD LDS PowerShell-script installeren

Het volgende PowerShell-script kan worden gebruikt om de installatie van Active Directory Lightweight Directory Services te automatiseren. U moet het script bewerken zodat het past bij uw omgeving; wijzig met name APP3 in de hostnaam van uw computer.

# Filename: 1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certificate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

Bijlage B - Antwoordbestand

Dit bestand wordt gebruikt om een exemplaar van AD LDS te automatiseren en te maken. U bewerkt dit bestand zodat het overeenkomt met uw omgeving; met name overschakelen naar APP3 de hostnaam van uw server.

Belangrijk

Dit script maakt gebruik van de lokale beheerder voor het AD LDS-serviceaccount. U wordt tijdens de installatie gevraagd om het wachtwoord.

Als u AD LDS installeert op een domeincontroller en geen lid of zelfstandige server, moet u de LocalLDAPPortToListenOn en LocalSSLPortToListonOn wijzigen in iets anders dan de bekende poorten voor LDAP en LDAP via SSL. Bijvoorbeeld LocalLDAPPortToListenOn=51300 en LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=\*
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Bijlage C - AD LDS PowerShell-script vullen

PowerShell-script voor het vullen van AD LDS met containers en een serviceaccount.

# Filename: 2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"

Volgende stappen