Samouczek: włączanie synchronizacji haseł w usługach Microsoft Entra Domain Services dla środowisk hybrydowych

W przypadku środowisk hybrydowych dzierżawa Microsoft Entra może być skonfigurowana do synchronizacji z lokalnym środowiskiem usług Active Directory Domain Services (AD DS) przy użyciu programu Microsoft Entra Connect. Domyślnie program Microsoft Entra Connect nie synchronizuje starszych skrótów haseł NT LAN Manager (NTLM) i Kerberos, które są wymagane dla usług Microsoft Entra Domain Services.

Aby używać usług Domain Services z kontami synchronizowanymi z lokalnego środowiska usług AD DS, należy skonfigurować program Microsoft Entra Connect, aby zsynchronizować te skróty haseł wymagane do uwierzytelniania NTLM i Kerberos. Po skonfigurowaniu programu Microsoft Entra Connect lokalne zdarzenie tworzenia konta lub zmiany hasła również synchronizuje starsze skróty haseł z identyfikatorem Entra firmy Microsoft.

Nie musisz wykonywać tych kroków, jeśli używasz kont tylko w chmurze bez lokalnego środowiska usług AD DS.

Z tego samouczka dowiesz się:

• Dlaczego potrzebne są starsze skróty haseł NTLM i Kerberos
• Jak skonfigurować starszą synchronizację skrótów haseł dla programu Microsoft Entra Connect

Jeśli nie masz subskrypcji platformy Azure, utwórz konto przed rozpoczęciem.

Warunki wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji Azure, utwórz konto.
• Dzierżawa Microsoft Entra powiązana z Twoją subskrypcją, zsynchronizowana z katalogiem lokalnym przy użyciu Microsoft Entra Connect.
  • W razie potrzeby utwórz dzierżawę Microsoft Entra lub skojarz subskrypcję Azure z kontem.
  • W razie potrzeby włączyć program Microsoft Entra Connect na potrzeby synchronizacji skrótów haseł.
• Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
  • W razie potrzeby utwórz i skonfiguruj domenę zarządzaną usług Microsoft Entra Domain Services.

Synchronizacja skrótów haseł przy użyciu programu Microsoft Entra Connect

Program Microsoft Entra Connect służy do synchronizowania obiektów, takich jak konta użytkowników i grupy, z lokalnego środowiska AD DS do dzierżawcy Microsoft Entra. W ramach procesu synchronizacja skrótów haseł umożliwia kontom używanie tego samego hasła w lokalnym środowisku usług AD DS i identyfikatorze Entra firmy Microsoft.

Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Domain Services wymagają skrótów haseł w formacie odpowiednim do uwierzytelniania NTLM i Kerberos. Microsoft Entra ID nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos, dopóki nie włączysz usług Domain Services dla dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.

Program Microsoft Entra Connect można skonfigurować do synchronizowania wymaganych skrótów haseł NTLM lub Kerberos dla usług domenowych. Upewnij się, że zostały wykonane kroki, aby włączyć program Microsoft Entra Connect na potrzeby synchronizacji skrótów haseł. Jeśli masz istniejące wystąpienie programu Microsoft Entra Connect, pobrać i zaktualizować do najnowszej wersji, aby upewnić się, że możesz zsynchronizować starsze skróty haseł dla protokołu NTLM i Kerberos. Ta funkcja nie jest dostępna we wczesnych wersjach programu Microsoft Entra Connect ani przy użyciu starszego narzędzia DirSync. Wymagana jest wersja programu Microsoft Entra Connect 1.1.614.0 lub nowsza.

Ważny

Program Microsoft Entra Connect powinien być zainstalowany i skonfigurowany tylko do synchronizacji z lokalnymi środowiskami usług AD DS. Nie jest obsługiwane instalowanie programu Microsoft Entra Connect w domenie zarządzanej usług domenowych w celu synchronizowania obiektów z powrotem z identyfikatorem Entra firmy Microsoft.

Włączanie synchronizacji skrótów haseł

Po zainstalowaniu i skonfigurowaniu programu Microsoft Entra Connect do synchronizacji z identyfikatorem Entra firmy Microsoft można teraz skonfigurować starszą synchronizację skrótów haseł dla protokołu NTLM i Kerberos. Skrypt programu PowerShell służy do konfigurowania wymaganych ustawień, a następnie uruchamiania pełnej synchronizacji haseł w usłudze Microsoft Entra ID. Po zakończeniu procesu synchronizacji skrótów haseł programu Microsoft Entra Connect użytkownicy mogą logować się do aplikacji za pomocą usług domenowych korzystających ze starszych skrótów haseł NTLM lub Kerberos.

1. Na komputerze z zainstalowanym programem Microsoft Entra Connect, z menu Start, otwórz usługę synchronizacji Microsoft Entra Connect >.

2. Wybierz kartę Łączniki. Wyświetlane są informacje o połączeniu używane do ustanawiania synchronizacji między lokalnym środowiskiem usług AD DS a Microsoft Entra ID.

   Typ wskazuje Microsoft Entra ID (Microsoft) dla łącznika Microsoft Entra lub Active Directory Domain Services dla lokalnego łącznika usług AD DS. Zanotuj nazwy łączników do użycia w skrypcie programu PowerShell w następnym kroku.

   

   Na tym przykładowym zrzucie ekranu są używane następujące łączniki:

   • Łącznik Microsoft Entra ma nazwę contoso.onmicrosoft.com — Microsoft Entra ID
   • Lokalny łącznik usług AD DS ma nazwę onprem.contoso.com

3. Skopiuj i wklej następujący skrypt programu PowerShell na komputerze z zainstalowanym programem Microsoft Entra Connect. Skrypt wyzwala pełną synchronizację haseł, która zawiera starsze skróty haseł. Zaktualizuj zmienne $azureadConnector i $adConnector przy użyciu nazw łączników z poprzedniego kroku.

   Uruchom ten skrypt w każdym lesie usługi AD, aby zsynchronizować skróty haseł NTLM i Kerberos konta lokalnego z identyfikatorem Entra firmy Microsoft.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   W zależności od rozmiaru katalogu pod względem liczby kont i grup synchronizacja starszych skrótów haseł do identyfikatora Entra firmy Microsoft może zająć trochę czasu. Hasła są następnie synchronizowane z domeną zarządzaną po zsynchronizowaniu z identyfikatorem Entra firmy Microsoft.

Następne kroki

W tym samouczku przedstawiono następujące zagadnienia:

• Dlaczego potrzebne są starsze skróty haseł NTLM i Kerberos
• Jak skonfigurować starszą synchronizację skrótów haseł dla programu Microsoft Entra Connect

Dowiedz się, jak działa synchronizacja w domenie zarządzanej usług Microsoft Entra Domain Services