Руководство по базовой среде Active Directory

В этом руководстве показано, как создать базовую среду Active Directory.

Вы можете использовать среду, созданную в руководстве, для тестирования различных аспектов сценариев гибридной идентификации. Это обязательное условие для некоторых уроков. Если у вас есть существующая среда Active Directory, ее можно использовать в качестве замены. Эта информация предоставляется тем, кто начинает с нуля.

Необходимые компоненты

Для работы с этим учебником требуется следующее:

• Компьютер с установленным Hyper-V. Это рекомендуется сделать на компьютере с Windows 10 или Windows Server 2016 .
• Внешний сетевой адаптер для связи виртуальной машины с Интернетом.
• Подписка Azure
• Копия Windows Server 2016.
• Microsoft .NET Framework 4.7.1

Примечание.

В этом учебнике используются скрипты PowerShell, что позволяет создать учебную среду в минимальные сроки. В каждом скрипте применяются переменные, которые объявляются в начале скрипта. Эти переменные можно и нужно изменить в соответствии с особенностями вашей среды.

Скрипты, используемые перед установкой агента подготовки облака Microsoft Entra Connect, создают общую среду Active Directory. Они актуальны для всех руководств.

Копии сценариев PowerShell, используемых в этом руководстве, можно найти на сайте GitHub здесь.

Создание виртуальной машины

Первое, что необходимо сделать, — создать виртуальную машину. Эта виртуальная машина используется как локальный сервер Active Directory. Этот шаг необходим для получения среды гибридной идентификации и ее запуска. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Завершение развертывания операционной системы

Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.

1. Менеджер Hyper-V, дважды кликните на виртуальной машине.
2. Нажмите кнопку "Пуск".
3. Вам будет предложено "Нажать любой ключ для загрузки с компакт-диска или DVD-диска". Сделайте это.
4. На начальном экране Windows Server выберите язык и выберите Далее.
5. Выберите Установить Сейчас.
6. Введите ключ лицензии и нажмите кнопку Далее.
7. Проверьте **Я принимаю условия лицензионного соглашения и выберите Далее.
8. Выберите вариант Пользовательская: установить только Windows (расширенная)
9. Выберите "Далее"
10. После завершения установки перезапустите виртуальную машину, войдите и запустите обновления Windows, чтобы убедиться, что виртуальная машина является самой up-to-date. Установите последние обновления.

Установка необходимых компонентов для Active Directory

После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Создание среды AD для Windows Server

Теперь, когда вы создали и переименовали созданную виртуальную машину, и у нее есть статический IP-адрес, можно установить и настроить доменные службы Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Создание пользователя AD для Windows Server

Теперь, когда у вас есть среда Active Directory, необходимо создать тестовую учетную запись. Эта учетная запись создается в локальной среде AD, а затем синхронизируется с идентификатором Microsoft Entra. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Создание клиента Microsoft Entra

Теперь необходимо создать клиент Microsoft Entra, чтобы синхронизировать пользователей с облаком. Чтобы создать новый клиент Microsoft Entra, выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra и войдите с учетной записью с подпиской Microsoft Entra.
2. Выберите Обзор.
3. Выберите Управление арендаторами.
4. Выберите Создать
   .
5. Укажите имя организации с первоначальным доменным именем. Затем выберите Создать. При этом создается ваш каталог.
6. После завершения выберите ссылку здесь, чтобы управлять каталогом.

Создание администратора гибридного удостоверения в идентификаторе Microsoft Entra

Теперь, когда у вас есть клиент Microsoft Entra, вы создадите учетную запись администратора гибридных удостоверений. Чтобы создать учетную запись администратора гибридного удостоверения, выполните указанные ниже действия.

1. В разделе "Управление" выберите "Пользователи".
   
   
2. Выберите пункт Все пользователи, а затем выберите + Новый пользователь.
3. Укажите имя и имя пользователя. Это ваш гибридный администратор удостоверений для арендатора. Измените роль каталога на гибридный администратор удостоверений. Также можно отобразить временный пароль. По завершении нажмите кнопку "Создать".
   
4. После завершения работы откройте новый веб-браузер и войдите в myapps.microsoft.com с помощью новой учетной записи администратора гибридного удостоверения и временного пароля.
5. Измените пароль администратора гибридных удостоверений на запоминающийся.

Необязательно: другой сервер и лес

Ниже приведен дополнительный раздел, который содержит шаги по созданию другого сервера и леса. Это можно использовать в некоторых более сложных руководствах, таких как Пилотная программа microsoft Entra Connect для облачной синхронизации.

Если вам нужен только другой сервер, можно остановиться на шаге создания виртуальной машины и присоединить сервер к ранее созданному домену.

Создание виртуальной машины

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Завершение развертывания операционной системы

Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.

1. Диспетчер Hyper-V, дважды щелкните по виртуальной машине
2. Нажмите кнопку "Пуск".
3. Вам будет предложено "Нажать любой ключ для загрузки с компакт-диска или DVD-диска". Сделайте это.
4. На начальном экране Windows Server выберите язык и выберите Далее.
5. Выберите Установить сейчас.
6. Введите ключ лицензии и нажмите кнопку Далее.
7. Проверьте **Я принимаю условия лицензионного соглашения и выберите Далее.
8. Выберите вариант Пользовательская: установить только Windows (расширенная)
9. Нажмите кнопку "Далее"
10. После завершения установки перезапустите виртуальную машину, войдите в систему и запустите обновления Windows, чтобы убедиться, что виртуальная машина является самой up-to-date. Установите последние обновления.

Установка необходимых компонентов для Active Directory

Теперь, когда у вас есть виртуальная машина, перед установкой Active Directory необходимо выполнить несколько действий. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Создание среды AD для Windows Server

Теперь, когда вы создали и переименовали виртуальную машину и у него есть статический IP-адрес, вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Создание пользователя AD для Windows Server

Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись создается в локальной среде AD, а затем синхронизируется с идентификатором Microsoft Entra. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Заключение

Теперь у вас есть среда, которая может использоваться для существующих учебников и для тестирования других функций облачной синхронизации.

Следующие шаги

• Что собой представляет подготовка?
• Что такое облачная синхронизация Microsoft Entra?