Zelfstudie: Basis-Active Directory-omgeving

In deze zelfstudie wordt u begeleid bij het maken van een eenvoudige Active Directory-omgeving.

U kunt de omgeving die u in de zelfstudie maakt gebruiken om verschillende aspecten van hybride identiteitsscenario's te testen. Dit is een vereiste voor sommige handleidingen. Als u een bestaande Active Directory-omgeving hebt, kunt u deze gebruiken als vervanging. Deze informatie wordt verstrekt voor personen die van niets beginnen.

Vereisten

Dit zijn de vereisten voor het voltooien van deze zelfstudie

• Een computer waarop Hyper-V is geïnstalleerd. U wordt aangeraden dit te doen op een Windows 10 - of Windows Server 2016-computer .
• Een externe netwerkadapter waarmee de virtuele machine kan communiceren met internet.
• Een Azure-abonnement
• Een exemplaar van Windows Server 2016
• Microsoft .NET Framework 4.7.1

Notitie

In deze zelfstudie worden PowerShell-scripts gebruikt, zodat u de omgeving voor de zelfstudie zo snel mogelijk kunt inrichten. Elk van de scripts maakt gebruik van variabelen die worden gedeclareerd aan het begin van de scripts. U kunt en moet de variabelen aanpassen aan uw omgeving.

De scripts die worden gebruikt, maken een algemene Active Directory-omgeving voordat u de Microsoft Entra Connect-cloudinrichtingsagent installeert. De scripts zijn relevant voor alle zelfstudies.

Kopieën van de PowerShell-scripts die worden gebruikt in deze zelfstudie zijn hier beschikbaar op GitHub.

Maak een virtuele machine

Het eerste wat u moet doen, is een virtuele machine maken. Deze virtuele machine wordt gebruikt als onze on-premises Active Directory-server. Deze stap is essentieel om de hybride identiteitsomgeving actief te maken. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Implementatie van het besturingssysteem voltooien

Om het bouwen van de virtuele machine te voltooien, moet u de installatie van het besturingssysteem afronden.

1. Hyper-V Manager dubbel selecteren op de virtuele machine
2. Selecteer op de knop Start.
3. U wordt gevraagd 'Druk op een willekeurige toets om vanaf cd of dvd op te starten'. Druk op een willekeurige toets.
4. Selecteer uw taal in het startscherm van Windows Server en selecteer Volgende.
5. Selecteer Nu installeren.
6. Voer uw licentiesleutel in en selecteer Volgende.
7. Controleer **Ik ga akkoord met de licentievoorwaarden en selecteer Volgende.
8. Selecteer Aangepast: alleen Windows installeren (geavanceerd)
9. Kies Volgende
10. Zodra de installatie is voltooid, start u de virtuele machine opnieuw op, meldt u zich aan en voert u Windows-updates uit om ervoor te zorgen dat de VM de meest up-to-datum is. Installeer de laatste updates.

Vereisten voor de installatie van Active Directory Domain Services

De virtuele machine is nu klaar en u gaat verder met enkele voorbereidende handelingen voorafgaand aan de installatie van Active Directory. U dient de naam van de virtuele machine te wijzigen, een vast IP-adres en DNS-gegevens in te stellen, en Remote Server Administration Tools te installeren. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Een Windows Server AD-omgeving inrichten

Nu u de virtuele machine hebt gemaakt en de naam ervan hebt gewijzigd en een statisch IP-adres heeft, kunt u Active Directory Domain Services installeren en configureren. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Een Windows Server AD-gebruiker maken

Nu u onze Active Directory-omgeving hebt, moet u een testaccount maken. Dit account wordt gemaakt in onze on-premises AD-omgeving en vervolgens gesynchroniseerd met Microsoft Entra ID. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Een Microsoft Entra-tenant maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

U moet nu een Microsoft Entra-tenant maken, zodat u onze gebruikers kunt synchroniseren met de cloud. Ga als volgt te werk om een nieuwe Microsoft Entra-tenant te maken.

1. Meld u aan bij het Microsoft Entra-beheercentrum en meld u aan met een account met uw Microsoft Entra-abonnement.
2. Selecteer Overzicht.
3. Selecteer Beheer huurders.
4. Selecteer Maken.
   
5. Geef een naam op voor de organisatie, evenals een oorspronkelijke domeinnaam. Selecteer vervolgens Maken. Hiermee maakt u uw directory.
6. Zodra dit is voltooid, selecteert u de hier koppeling om de map te beheren.

Een hybride identiteitsbeheerder maken in Microsoft Entra-id

Nu u een Microsoft Entra-tenant hebt, maakt u een hybride identiteitsbeheerderaccount. Ga als volgt te werk om het account Hybrid Identity Administrator te maken.

1. Selecteer Onder Beheren de optie Gebruikers.
   
   
2. Selecteer Alle gebruikers en selecteer vervolgens + Nieuwe gebruiker.
3. Geef een naam en gebruikersnaam op voor deze gebruiker. Dit is uw hybride identiteitsbeheerder voor de tenant. Wijzig de Directory-rol in Hybrid Identity Administrator. U kunt ook het tijdelijke wachtwoord weergeven. Wanneer u klaar bent, selecteert u Maken.
   
4. Zodra dit is voltooid, opent u een nieuwe webbrowser en meldt u zich aan bij myapps.microsoft.com met behulp van het nieuwe hybrid identity Administrator-account en het tijdelijke wachtwoord.
5. Wijzig het wachtwoord voor de hybride identiteitsbeheerder in iets dat u kunt onthouden.

Optioneel: een andere server en forest

Hier volgt een optionele sectie met stappen voor het maken van een andere server en of forest. Dit kan worden gebruikt in enkele van de geavanceerdere zelfstudies, zoals Pilot voor Microsoft Entra Connect met cloudsynchronisatie.

Als u alleen nog een server nodig hebt, kunt u stoppen na de stap - De virtuele machine maken stap en de server koppelen aan het bestaande domein dat u eerder hebt gemaakt.

Maak een virtuele machine

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Implementatie van het besturingssysteem voltooien

Om het bouwen van de virtuele machine te voltooien, moet u de installatie van het besturingssysteem afronden.

1. Hyper-V Manager dubbel selecteren op de virtuele machine
2. Selecteer op de knop Start.
3. U wordt gevraagd 'Druk op een willekeurige toets om vanaf cd of dvd op te starten'. Druk op een willekeurige toets.
4. Selecteer uw taal in het startscherm van Windows Server en selecteer Volgende.
5. Selecteer Nu installeren.
6. Voer uw licentiesleutel in en selecteer Volgende.
7. Controleer **Ik ga akkoord met de licentievoorwaarden en selecteer Volgende.
8. Selecteer Aangepast: alleen Windows installeren (geavanceerd)
9. Selecteer Volgende
10. Zodra de installatie is voltooid, start u de virtuele machine opnieuw op, meldt u zich aan en voert u Windows-updates uit om ervoor te zorgen dat de VM de meest up-to-datum is. Installeer de laatste updates.

Vereisten voor de installatie van Active Directory Domain Services

Nu u een virtuele machine hebt, moet u enkele dingen doen voordat u Active Directory installeert. U dient de naam van de virtuele machine te wijzigen, een vast IP-adres en DNS-gegevens in te stellen, en Remote Server Administration Tools te installeren. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Een Windows Server AD-omgeving inrichten

Nu u de virtuele machine hebt gemaakt en de naam ervan hebt gewijzigd en het een statisch IP-adres heeft, kunt u Active Directory Domain Services installeren en configureren. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Een Windows Server AD-gebruiker maken

De Active Directory-omgeving is klaar. U hebt nu een testaccount nodig. Dit account wordt gemaakt in onze on-premises AD-omgeving en vervolgens gesynchroniseerd met Microsoft Entra ID. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.
2. Voer het volgende script uit.

# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Conclusie

U hebt nu een omgeving die kan worden gebruikt voor bestaande zelfstudies en om andere functies voor cloudsynchronisatie te testen.

Volgende stappen

• Wat is inrichting?
• Wat is Microsoft Entra-cloudsynchronisatie?