Руководство: Использование федерации для гибридной идентификации в одном лесу доменов Active Directory.
В этом руководстве показано, как создать среду гибридной идентификации в Azure с помощью федерации и Windows Server Active Directory (Windows Server AD). Вы можете использовать среду гибридного удостоверения, созданную для тестирования, или узнать больше о том, как работает гибридное удостоверение.
В этом руководстве описано следующее:
- Создайте виртуальную машину.
- Создайте среду Windows Server Active Directory.
- Создайте пользователя Windows Server Active Directory.
- Создание сертификата.
- Создайте клиент Microsoft Entra.
- Создайте учетную запись администратора гибридного удостоверения в Azure.
- Добавьте личный домен в каталог.
- Настройка Microsoft Entra Connect.
- Проверьте и убедитесь, что пользователи синхронизированы.
Предварительные условия
Чтобы завершить обучение, вам потребуются следующие предметы:
- Компьютер с установленным Hyper-V. Мы рекомендуем установить Hyper-V на компьютере с Windows 10 или Windows Server 2016 .
- Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
- Внешний сетевой адаптер, поэтому виртуальная машина может подключаться к Интернету.
- Копия Windows Server 2016.
- Личный домен , который можно проверить.
Примечание.
В этом руководстве используются скрипты PowerShell для быстрого создания среды учебника. Каждый скрипт использует переменные, объявленные в начале скрипта. Не забудьте изменить переменные, чтобы отразить среду.
Скрипты в руководстве создают общую среду Windows Server Active Directory (Windows Server AD) перед установкой Microsoft Entra Connect. Скрипты также используются в связанных руководствах.
Скрипты PowerShell, используемые в этом руководстве, доступны на сайте GitHub.
Создание виртуальной машины
Чтобы создать среду гибридной идентификации, сначала необходимо создать виртуальную машину для использования в качестве локального сервера Windows Server AD.
Примечание.
Если вы никогда не запускали скрипт в PowerShell на хост-компьютере, прежде чем запускать любые сценарии, откройте Windows PowerShell ISE от имени администратора и запустите его Set-ExecutionPolicy remotesigned
.
В диалоговом окне "Изменение политики выполнения" нажмите кнопку "Да".
Создание виртуальной машины
Откройте Windows PowerShell ISE от имени администратора.
Запустите следующий сценарий:
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Установить операционную систему
Чтобы завершить создание виртуальной машины, установите операционную систему:
- В диспетчере Hyper-V дважды щелкните виртуальную машину.
- Выберите Пуск.
- В командной строке нажмите любую клавишу, чтобы загрузиться с компакт-диска или DVD-диска.
- В окне запуска Windows Server выберите язык и нажмите кнопку "Далее".
- Выберите "Установить сейчас".
- Введите ключ лицензии и нажмите кнопку "Далее".
- Установите флажок "Принять условия лицензии" и нажмите кнопку "Далее".
- Выберите Особая: Установить только Windows (дополнительно).
- Выберите Далее.
- По завершении установки перезапустите виртуальную машину. Войдите в систему, а затем проверьте Центр обновления Windows. Установите все обновления, чтобы убедиться, что виртуальная машина полностью обновлена.
Установка необходимых компонентов Windows Server AD
Перед установкой Windows Server AD запустите скрипт, который устанавливает необходимые компоненты:
Откройте среду сценариев Windows PowerShell от имени администратора.
Запустите
Set-ExecutionPolicy remotesigned
. В диалоговом окне "Изменение политики выполнения" выберите "Да" для всех.Запустите следующий сценарий:
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Создание среды AD для Windows Server
Теперь установите и настройте службы домен Active Directory для создания среды:
Откройте Windows PowerShell ISE от имени администратора.
Запустите следующий сценарий:
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Создание пользователя AD для Windows Server
Затем создайте тестовую учетную запись пользователя. Создайте эту учетную запись в локальной среде Active Directory. Затем учетная запись синхронизируется с идентификатором Microsoft Entra.
Откройте Windows PowerShell ISE с правами администратора.
Запустите следующий сценарий:
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Создание сертификата для AD FS
Вам нужен TLS или SSL сертификат, который будет использоваться службой федерации Active Directory (AD FS). Сертификат является самоподписанным и создается только для использования в тестировании. Рекомендуется не использовать самозаверяющий сертификат в рабочей среде.
Чтобы создать сертификат, выполните приведенные действия.
Откройте Windows PowerShell ISE от имени администратора.
Запустите следующий сценарий:
#Declare variables $DNSname = "adfs.contoso.com" $Location = "cert:\LocalMachine\My" #Create a certificate New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
Создание клиента Microsoft Entra
Если у вас его нет, выполните действия, описанные в статье "Создание нового арендатора в Microsoft Entra ID", чтобы создать нового арендатора.
Создание учетной записи администратора Hybrid Identity в Microsoft Entra ID
Следующая задача — создать учетную запись администратора для управления гибридной идентичностью. Эта учетная запись используется для создания учетной записи соединителя Microsoft Entra при установке Microsoft Entra Connect. Учетная запись соединителя Microsoft Entra используется для записи сведений в идентификатор Microsoft Entra.
Чтобы создать учетную запись администратора гибридной идентичности, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra.
Перейдите к Удостоверение>Пользователи>Все пользователи
Выберите «Новый пользователь»>«Создать нового пользователя».
В области "Создание нового пользователя" введите отображаемое имя и имя участника-пользователя для нового пользователя. Вы создаете учетную запись администратора гибридного удостоверения для арендатора. Можно отобразить и скопировать временный пароль.
- В разделе "Назначения" выберите "Добавить роль" и выберите "Администратор гибридных удостоверений".
Затем выберите Проверить + создать>Создать.
В новом окне веб-браузера войдите в
myapps.microsoft.com
систему с помощью новой учетной записи администратора гибридного удостоверения и временного пароля.Выберите новый пароль для учетной записи администратора гибридного удостоверения и измените пароль.
Добавление имени личного домена в каталог
Теперь, когда у вас есть клиент и учетная запись администратора гибридных удостоверений, добавьте личный домен, чтобы Azure смог проверить его.
Чтобы добавить имя личного домена в каталог, выполните приведенные действия.
В [Центре администрирования Microsoft Entra]() обязательно закройте https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview".
В меню слева в разделе "Управление" выберите "Пользовательские доменные имена".
Нажмите кнопку Добавить личный домен.
В именах личных доменов введите имя личного домена и нажмите кнопку "Добавить домен".
В настройках доменного имени показываются данные TXT или MX. Эти сведения необходимо добавить в DNS-сведения регистратора домена в вашем домене. Перейдите к регистратору домена и введите данные TXT или MX в параметрах DNS для вашего домена.
Добавление этих сведений в регистратор доменов позволяет Azure проверить свой домен. Проверка домена может занять до 24 часов.
Дополнительные сведения см. в документе о добавлении личного домена.
Чтобы убедиться, что домен проверен, нажмите кнопку "Проверить".
Скачивание и установка Microsoft Entra Connect
Теперь пришло время скачать и установить Microsoft Entra Connect. После установки вы будете использовать экспресс-установку.
Скачайте Microsoft Entra Connect.
Перейдите к AzureADConnect.msi и дважды щелкните файл установки.
В поле "Добро пожаловать" установите флажок, чтобы согласиться с условиями лицензирования, а затем нажмите кнопку "Продолжить".
В параметрах Express выберите "Настроить".
В разделе "Установка необходимых компонентов" выберите "Установить".
В входе в систему выберите Федерация с AD FS, а затем выберите Далее.
В разделе "Подключение к идентификатору Microsoft Entra" введите имя пользователя и пароль созданной ранее учетной записи администратора гибридного удостоверения, а затем нажмите кнопку "Далее".
В разделе "Подключение каталогов" выберите "Добавить каталог". Затем выберите "Создать учетную запись AD" и введите имя пользователя и пароль contoso\Administrator. Нажмите ОК.
Выберите Далее.
В конфигурации входа Microsoft Entra выберите «Продолжить без сопоставления всех суффиксов UPN с проверенными доменами». Выберите Далее.
В фильтрации по доменам и организационным единицам выберите «Далее».
В
Уникальной идентификации пользователей выберитеДалее . В разделе "Фильтрация пользователей и устройств" нажмите кнопку "Далее".
В дополнительных функциях нажмите кнопку "Далее".
В учетных данных администратора домена введите имя пользователя и пароль contoso\Administrator, а затем нажмите кнопку "Далее".
В ферме AD FS убедитесь, что выбрано Настроить новую ферму AD FS.
Выберите "Использовать сертификат", установленный на серверах федерации, а затем нажмите кнопку "Обзор".
В поле поиска введите DC1 и выберите его в результатах поиска. Нажмите ОК.
Для файла сертификата выберите adfs.contoso.com, созданный сертификат. Выберите Далее.
На сервере AD FS нажмите кнопку "Обзор". В поле поиска введите DC1 и выберите его в результатах поиска. Выберите ОК, затем выберите Далее.
На прокси-серверах веб-приложения нажмите кнопку "Далее".
В учетной записи службы AD FS введите имя пользователя и пароль contoso\Administrator, а затем нажмите кнопку "Далее".
В домене Microsoft Entra выберите проверенный личный домен и нажмите кнопку "Далее".
В разделе "Готово к настройке" выберите " Установить".
После завершения установки нажмите кнопку "Выйти".
Перед использованием диспетчера служб синхронизации или редактора правил синхронизации выйдите и снова войдите.
Проверка пользователей на портале
Теперь вы убедитесь, что пользователи в вашем локальном клиенте Active Directory синхронизированы и теперь находятся в вашем клиенте Microsoft Entra. Для завершения этого раздела может потребоваться несколько часов.
Чтобы убедиться, что пользователи синхронизированы:
Войдите в центр администрирования Microsoft Entra в качестве, по крайней мере, гибридного администратора удостоверений.
Перейдите в Удостоверения>Пользователи>Все пользователи
Убедитесь в том, что новые пользователи отображаются в арендаторе.
Вход с помощью учетной записи пользователя для тестирования синхронизации
Чтобы проверить, что пользователи из клиента Windows Server AD синхронизируются с клиентом Microsoft Entra, войдите в систему как один из пользователей:
Перейдите к https://myapps.microsoft.com.
Войдите с помощью учетной записи пользователя, созданной в новом клиенте.
Для имени пользователя используйте формат
user@domain.onmicrosoft.com
. Используйте тот же пароль, который пользователь использует для входа в локальную службу Active Directory.
Вы успешно настроили среду гибридных идентификаций, которую можно использовать для тестирования и чтобы познакомиться с тем, что предлагает Azure.
Следующие шаги
- Просмотрите оборудование и предварительные требования Microsoft Entra Connect.
- Узнайте, как использовать настраиваемые параметры в Microsoft Entra Connect.
- Узнайте больше о Microsoft Entra Connect и федерации.