Tutorial: Uso de la sincronización de hash de contraseñas para la identidad híbrida en un único bosque de Active Directory

En este tutorial se muestra cómo crear un entorno de identidad híbrida en Azure mediante la sincronización de hash de contraseñas y Windows Server Active Directory (Windows Server AD). Puede utilizar el entorno de identidad híbrido que cree para realizar pruebas o para familiarizarse con el funcionamiento de la identidad híbrida.

En este tutorial, aprenderá a:

Requisitos previos

• Un equipo con Hyper-V instalado. Se recomienda instalar Hyper-V en un equipo Windows 10 o Windows Server 2016.
• Suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
• Un adaptador de red externo, para que la máquina virtual pueda conectarse a Internet.
• Una copia de Windows Server 2016.

Creación de una máquina virtual

Para crear un entorno de identidad híbrida, la primera tarea consiste en crear una máquina virtual que se usará como un servidor Windows Server AD local.

Para crear la máquina virtual:

1. Abra Windows PowerShell como administrador.

2. Ejecute el siguiente script:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Instalar el sistema operativo

Para terminar de crear la máquina virtual, instale el sistema operativo:

1. En el Administrador de Hyper-V, haga doble clic en la máquina virtual.
2. Seleccione Inicio.
3. En el símbolo del sistema, presione cualquier tecla para arrancar desde CD o DVD.
4. En la ventana de inicio de Windows Server, seleccione el idioma y, a continuación, seleccione Siguiente.
5. Seleccione Instalar.
6. Escriba la clave de licencia y, a continuación, seleccione Siguiente.
7. Seleccione la casilla Acepto los términos de licencia y, a continuación, seleccione Siguiente.
8. Seleccione Personalizada: instalar solo Windows (avanzado).
9. Seleccione Next (Siguiente).
10. Cuando finalice la instalación, reinicie la máquina virtual. Inicie sesión y, a continuación, compruebe Windows Update. Instale las actualizaciones para asegurarse de que la máquina virtual está totalmente actualizada.

Instalación de Windows Server AD requisitos previos

Antes de instalar Windows Server AD, ejecute un script que instale los requisitos previos:

1. Abra Windows PowerShell como administrador.

2. Ejecute Set-ExecutionPolicy remotesigned. En el cuadro de diálogo Cambio de directiva de ejecución seleccione Sí a Todo.

3. Ejecute el siguiente script:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "4.2.2.2" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Creación de un entorno de Windows Server AD

Ahora, instale y configure Active Directory Domain Services para crear el entorno:

1. Abra Windows PowerShell como administrador.

2. Ejecute el siguiente script:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Creación de un usuario de Windows Server AD

A continuación, cree una cuenta de usuario de prueba. Cree esta cuenta en el entorno de Active Directory local. A continuación, la cuenta se sincroniza con Microsoft Entra ID.

1. Abra Windows PowerShell como administrador.

2. Ejecute el siguiente script:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Creación de un inquilino de Microsoft Entra

Si no tiene uno, siga los pasos descritos en el artículo Creación de un nuevo inquilino en Microsoft Entra ID para crear un nuevo inquilino.

Creación de un administrador de identidades híbridas en Microsoft Entra ID

La siguiente tarea consiste en crear una cuenta de administrador de identidades híbridas. Esta cuenta se usa para crear la cuenta del conector de Microsoft Entra durante la instalación de Microsoft Entra Connect. La cuenta del conector de Microsoft Entra se usa para escribir información en Microsoft Entra ID.

Para crear una cuenta de administrador de identidad híbrida:

1. Inicie sesión en el centro de administración de Microsoft Entra.
2. Vaya aIdentidad>Usuarios>Todos los usuarios
3. Seleccione Nuevo usuario>Crear nuevo usuario.
4. En el panel Crear nuevo usuario, escriba un Nombre para mostrar y un Nombre principal de usuario para el nuevo usuario. Va a crear la cuenta de administrador de identidad híbrida para el inquilino. Puede mostrar y copiar la contraseña temporal.
   1. En Asignaciones, seleccione Agregar rol y seleccione Administrador de identidades híbridas.
5. Después, seleccione Revisar y crear>Crear.
6. En una nueva ventana del explorador web, inicie sesión en myapps.microsoft.com con la nueva cuenta de Administrador de identidad híbrida y la contraseña temporal.

Descarga e instalación de Microsoft Entra Connect

Ahora es el momento de descargar e instalar Microsoft Entra Connect. Una vez instalado, usará la instalación rápida.

1. Descargue Microsoft Entra Connect.

2. Vaya a AzureADConnect.msi y haga doble clic para abrir el archivo de instalación.

3. En Bienvenida, active la casilla para aceptar los términos de licencia y seleccione Continuar.

4. En Configuración rápida, seleccione Usar configuración rápida.

5. En Conectar a Microsoft Entra ID, escriba el nombre de usuario y la contraseña del administrador de identidad híbrida de Microsoft Entra ID. Seleccione Siguiente.

6. En Conectar a AD DS, escriba el nombre de usuario y la contraseña de la cuenta de administrador. Seleccione Next (Siguiente).

7. En Listo para configurar, seleccione Instalar.

8. Cuando finalice la instalación, seleccione Salir.

9. Antes de usar Synchronization Service Manager o el Editor de reglas de sincronización, cierre la sesión y vuelva a iniciar sesión.

Comprobación de usuarios en el portal

Ahora comprobará que los usuarios del inquilino de Active Directory local se hayan sincronizado y ya estén en el inquilino de Microsoft Entra. Esta sección puede tardar unas horas en completarse.

Para comprobar que los usuarios están sincronizados:

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.

2. Vaya aIdentidad>Usuarios>Todos los usuarios

3. Compruebe que los nuevos usuarios estén en el inquilino.

   

Inicie sesión con una cuenta de usuario para probar la sincronización

Para probar que los usuarios del inquilino de Windows Server AD se sincronizan con el inquilino de Microsoft Entra, inicie sesión como uno de los usuarios:

1. Ir a https://myapps.microsoft.com.

2. Inicie sesión con una cuenta de usuario que se creó en su nuevo inquilino.

   Para el nombre de usuario, use el formato user@domain.onmicrosoft.com. Use la misma contraseña que utiliza el usuario para iniciar sesión en el Active Directory local.

Ha configurado correctamente un entorno de identidad híbrida que puede usar para probar y familiarizarse con lo que le ofrece Azure.

Pasos siguientes

• Revise Hardware y requisitos previos de Microsoft Entra Connect.
• Aprenda a usar la Configuración rápida en Microsoft Entra Connect.
• Obtenga más información sobre la sincronización de hash de contraseñas con Microsoft Entra Connect.