Руководство по базовой среде Active Directory

В этом руководстве показано, как создать базовую среду Active Directory.

Созданную по инструкциям из этого руководства среду можно использовать для тестирования разных аспектов в гибридных сценариях идентификации. Прохождение этого руководства является необходимым условием для работы с некоторыми другими руководствами. Если у вас уже есть среда Active Directory, вы можете использовать ее. Эта информация предоставляется для лиц, которые могут начинаться с ничего.

Необходимые компоненты

Для работы с этим учебником требуется следующее:

• Компьютер с установленным Hyper-V. Это рекомендуется сделать на компьютере с Windows 10 или Windows Server 2016 .
• Внешний сетевой адаптер для связи виртуальной машины с Интернетом.
• Подписка Azure
• Копия Windows Server 2016.
• Microsoft .NET Framework 4.7.1

Примечание.

В этом учебнике используются скрипты PowerShell, что позволяет создать учебную среду в минимальные сроки. В каждом скрипте применяются переменные, которые объявляются в начале скрипта. Эти переменные можно и нужно изменить в соответствии с особенностями вашей среды.

Скрипты, используемые перед установкой агента подготовки облака Microsoft Entra Connect, создают общую среду Active Directory. Они актуальны для всех руководств.

Копии сценариев PowerShell, используемых в этом руководстве, можно найти на сайте GitHub здесь.

Создание виртуальной машины

Первое, что нужно сделать для подготовки среды гибридной идентификации к работе, — это создать виртуальную машину, которая будет служить локальным сервером Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Завершение развертывания операционной системы

Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.

1. В диспетчере Hyper-V дважды щелкните виртуальную машину.
2. Нажмите кнопку "Запустить".
3. Вам будет предложено нажать любую клавишу для загрузки с компакт-диска или DVD-диска. Сделайте это.
4. На начальном экране Windows Server выберите язык и нажмите кнопку Далее.
5. Нажмите Установить.
6. Введите ключ лицензии и нажмите кнопку Далее.
7. Установите флажок "Я принимаю условия лицензии" и нажмите кнопку Далее.
8. Выберите вариант Пользовательская: установить только Windows (расширенная)
9. Нажмите Далее
10. После завершения установки перезапустите виртуальную машину, войдите и запустите обновления Windows, чтобы убедиться, что виртуальная машина является самой актуальной. Установите последние обновления.

Установка необходимых компонентов для Active Directory

После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Создание среды AD для Windows Server

Итак, вы создали виртуальную машину, переименовали ее и назначили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Создание пользователя AD для Windows Server

Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Создание клиента Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Теперь необходимо создать клиент Microsoft Entra, чтобы синхронизировать пользователей с облаком. Чтобы создать новый клиент Microsoft Entra, выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra и войдите с учетной записью с подпиской Microsoft Entra.
2. Щелкните Обзор.
3. Нажмите кнопку " Управление клиентами".
4. Выберите Создать
   .
5. Укажите имя организации с первоначальным доменным именем. Затем выберите Создать. В результате будет создан каталог.
6. По завершении щелкните ссылку здесь, чтобы перейти к управлению каталогом.

Создание администратора гибридного удостоверения в идентификаторе Microsoft Entra

Теперь, когда у вас есть клиент Microsoft Entra, вы создадите учетную запись гибридного администратора удостоверений. Чтобы создать учетную запись администратора гибридного удостоверения, выполните указанные ниже действия.

1. В разделе "Управление" выберите "Пользователи".
   
   
2. Выберите пункт Все пользователи, а затем выберите + Новый пользователь.
3. Укажите имя и имя пользователя. Это будет администратор гибридных удостоверений для клиента. Вы также хотите изменить роль каталога на гибридного администратора удостоверений. Вы также можете отобразить временный пароль. По завершении нажмите кнопку "Создать".
   
4. После завершения работы откройте новый веб-браузер и войдите в myapps.microsoft.com с помощью новой учетной записи администратора гибридного удостоверения и временного пароля.
5. Измените пароль администратора гибридных удостоверений на то, что вы запомните.

Необязательно: другой сервер и лес

Ниже приведен дополнительный раздел, который содержит шаги по созданию другого сервера и леса. Это можно использовать в некоторых более сложных руководствах, таких как Пилотная программа microsoft Entra Connect для облачной синхронизации.

Если вам нужен только другой сервер, можно остановиться после шага виртуальной машины и присоединить сервер к существующему домену, созданному выше.

Создание виртуальной машины

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Завершение развертывания операционной системы

Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.

1. В диспетчере Hyper-V дважды щелкните виртуальную машину.
2. Нажмите кнопку "Запустить".
3. Вам будет предложено нажать любую клавишу для загрузки с компакт-диска или DVD-диска. Сделайте это.
4. На начальном экране Windows Server выберите язык и нажмите кнопку Далее.
5. Нажмите Установить.
6. Введите ключ лицензии и нажмите кнопку Далее.
7. Установите флажок "Я принимаю условия лицензии" и нажмите кнопку Далее.
8. Выберите вариант Пользовательская: установить только Windows (расширенная)
9. Нажмите Далее
10. После завершения установки перезапустите виртуальную машину, войдите и запустите обновления Windows, чтобы убедиться, что виртуальная машина является самой актуальной. Установите последние обновления.

Установка необходимых компонентов для Active Directory

После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Создание среды AD для Windows Server

Итак, вы создали виртуальную машину, переименовали ее и назначили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Создание пользователя AD для Windows Server

Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.
2. Запустите указанный ниже скрипт.

# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Заключение

Теперь у вас есть среда, которая может использоваться для существующих учебников и для тестирования других функций облачной синхронизации.

Следующие шаги

• Что собой представляет подготовка?
• Что такое облачная синхронизация Microsoft Entra?