Samouczek: używanie synchronizacji skrótów haseł dla tożsamości hybrydowej w jednym lesie usługi Active Directory

W tym samouczku pokazano, jak utworzyć środowisko tożsamości hybrydowej na platformie Azure przy użyciu synchronizacji skrótów haseł i usługi Active Directory systemu Windows Server (Windows Server AD). Możesz użyć środowiska tożsamości hybrydowej utworzonego do testowania lub lepiej zapoznać się z działaniem tożsamości hybrydowej.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzy maszynę wirtualną.
• Utwórz środowisko usługi Active Directory systemu Windows Server.
• Utwórz użytkownika usługi Active Directory systemu Windows Server.
• Utwórz dzierżawę firmy Microsoft Entra.
• Utwórz konto administratora tożsamości hybrydowej na platformie Azure.
• Skonfiguruj program Microsoft Entra Connect.
• Przetestuj i sprawdź, czy użytkownicy są zsynchronizowani.

Wymagania wstępne

• Komputer z zainstalowaną funkcją Hyper-V. Zalecamy zainstalowanie funkcji Hyper-V na komputerze z systemem Windows 10 lub Windows Server 2016 .
• Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
• Zewnętrzna karta sieciowa, dzięki czemu maszyna wirtualna może łączyć się z Internetem.
• Kopia systemu Windows Server 2016.

Uwaga

W tym samouczku są używane skrypty programu PowerShell do szybkiego tworzenia środowiska samouczka. Każdy skrypt używa zmiennych zadeklarowanych na początku skryptu. Pamiętaj, aby zmienić zmienne, aby odzwierciedlały środowisko.

Skrypty w samouczku tworzą ogólne środowisko usługi Active Directory systemu Windows Server (Windows Server AD) przed zainstalowaniem programu Microsoft Entra Connect. Skrypty są również używane w powiązanych samouczkach.

Skrypty programu PowerShell używane w tym samouczku są dostępne w witrynie GitHub.

Tworzenie maszyny wirtualnej

Aby utworzyć środowisko tożsamości hybrydowej, pierwszym zadaniem jest utworzenie maszyny wirtualnej do użycia jako lokalny serwer usługi AD systemu Windows Server.

Uwaga

Jeśli nigdy nie uruchamiasz skryptu w programie PowerShell na maszynie hosta, przed uruchomieniem skryptów otwórz program Windows PowerShell ISE jako administrator i uruchom polecenie Set-ExecutionPolicy remotesigned. W oknie dialogowym Zmiana zasad wykonywania wybierz pozycję Tak.

Aby utworzyć maszynę wirtualną:

1. Otwórz program Windows PowerShell ISE jako administrator.

2. Uruchom następujący skrypt:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Instalowanie systemu operacyjnego

Aby zakończyć tworzenie maszyny wirtualnej, zainstaluj system operacyjny:

1. W Menedżerze funkcji Hyper-V kliknij dwukrotnie maszynę wirtualną.
2. Wybierz Start.
3. Po wyświetleniu monitu naciśnij dowolny, aby uruchomić z dysku CD lub DVD.
4. W oknie startowym systemu Windows Server wybierz język, a następnie wybierz przycisk Dalej.
5. Wybierz pozycję Zainstaluj teraz.
6. Wprowadź klucz licencji i wybierz przycisk Dalej.
7. Zaznacz pole wyboru Akceptuję postanowienia licencyjne i wybierz przycisk Dalej.
8. Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane).
9. Wybierz Dalej.
10. Po zakończeniu instalacji uruchom ponownie maszynę wirtualną. Zaloguj się, a następnie sprawdź usługę Windows Update. Zainstaluj wszystkie aktualizacje, aby upewnić się, że maszyna wirtualna jest w pełni aktualna.

Instalowanie wymagań wstępnych usługi AD systemu Windows Server

Przed zainstalowaniem usługi AD systemu Windows Server uruchom skrypt, który instaluje wymagania wstępne:

1. Otwórz program Windows PowerShell ISE jako administrator.

2. Uruchom program Set-ExecutionPolicy remotesigned. W oknie dialogowym Zmiana zasad wykonywania wybierz pozycję Tak do pozycji Wszystkie.

3. Uruchom następujący skrypt:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "4.2.2.2" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Tworzenie środowiska usługi Windows Server AD

Teraz zainstaluj i skonfiguruj usługi domena usługi Active Directory w celu utworzenia środowiska:

1. Otwórz program Windows PowerShell ISE jako administrator.

2. Uruchom następujący skrypt:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Tworzenie użytkownika usługi Windows Server AD

Następnie utwórz konto użytkownika testowego. Utwórz to konto w środowisku lokalna usługa Active Directory. Konto jest następnie synchronizowane z identyfikatorem Entra firmy Microsoft.

1. Otwórz program Windows PowerShell ISE jako administrator.

2. Uruchom następujący skrypt:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Tworzenie dzierżawy firmy Microsoft Entra

Jeśli go nie masz, wykonaj kroki opisane w artykule Tworzenie nowej dzierżawy w usłudze Microsoft Entra ID , aby utworzyć nową dzierżawę.

Tworzenie administratora tożsamości hybrydowej w usłudze Microsoft Entra ID

Następnym zadaniem jest utworzenie konta administratora tożsamości hybrydowej. To konto służy do tworzenia konta programu Microsoft Entra Connector podczas instalacji programu Microsoft Entra Connect. Konto microsoft Entra Connector służy do zapisywania informacji w identyfikatorze Entra firmy Microsoft.

Aby utworzyć konto administratora tożsamości hybrydowej:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy
3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.
4. W okienku Tworzenie nowego użytkownika wprowadź nazwę wyświetlaną i nazwę główną użytkownika dla nowego użytkownika. Tworzysz konto administratora tożsamości hybrydowej dla dzierżawy. Możesz wyświetlić i skopiować hasło tymczasowe.
   1. W obszarze Przypisania wybierz pozycję Dodaj rolę i wybierz pozycję Administrator tożsamości hybrydowej.
5. Następnie wybierz pozycję Przejrzyj i utwórz.>
6. W nowym oknie przeglądarki internetowej zaloguj się myapps.microsoft.com przy użyciu nowego konta administratora tożsamości hybrydowej i hasła tymczasowego.

Pobierz i zainstaluj program Microsoft Entra Connect

Teraz nadszedł czas na pobranie i zainstalowanie programu Microsoft Entra Connect. Po zainstalowaniu tej instalacji użyjesz instalacji ekspresowej.

1. Pobierz program Microsoft Entra Connect.

2. Przejdź do AzureADConnect.msi i kliknij dwukrotnie, aby otworzyć plik instalacyjny.

3. W obszarze Zapraszamy zaznacz pole wyboru, aby wyrazić zgodę na postanowienia licencyjne, a następnie wybierz pozycję Kontynuuj.

4. W obszarze Ustawienia ekspresowe wybierz pozycję Użyj ustawień ekspresowych.

5. W obszarze Połącz z identyfikatorem entra firmy Microsoft wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej dla identyfikatora Entra firmy Microsoft. Wybierz Dalej.

6. W obszarze Nawiązywanie połączenia z usługami AD DS wprowadź nazwę użytkownika i hasło dla konta administratora przedsiębiorstwa. Wybierz Dalej.

7. W obszarze Gotowe do skonfigurowania wybierz pozycję Zainstaluj.

8. Po zakończeniu instalacji wybierz pozycję Zakończ.

9. Przed użyciem programu Synchronization Service Manager lub Edytora reguł synchronizacji wyloguj się, a następnie zaloguj się ponownie.

Sprawdzanie użytkowników w portalu

Teraz sprawdzisz, czy użytkownicy w dzierżawie lokalna usługa Active Directory zsynchronizowali się i znajdują się teraz w dzierżawie firmy Microsoft Entra. Ukończenie tej sekcji może potrwać kilka godzin.

Aby sprawdzić, czy użytkownicy są zsynchronizowani:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy

3. Sprawdź, czy nowi użytkownicy są wyświetlani w dzierżawie.

   

Zaloguj się przy użyciu konta użytkownika, aby przetestować synchronizację

Aby przetestować, czy użytkownicy z dzierżawy usługi AD systemu Windows Server są synchronizowani z dzierżawą usługi Microsoft Entra, zaloguj się jako jeden z użytkowników:

1. Przejdź do https://myapps.microsoft.com.

2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.

   W przypadku nazwy użytkownika użyj formatu user@domain.onmicrosoft.com. Użyj tego samego hasła, które użytkownik używa do logowania się w celu lokalna usługa Active Directory.

Pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki

• Zapoznaj się ze sprzętem i wymaganiami wstępnymi programu Microsoft Entra Connect.
• Dowiedz się, jak używać ustawień ekspresowych w programie Microsoft Entra Connect.
• Dowiedz się więcej o synchronizacji skrótów haseł z programem Microsoft Entra Connect.