Tutorial: Verwenden der Kennworthashsynchronisierung für Hybrididentitäten in einer einzelnen Active Directory-Gesamtstruktur

  • Artikel

In diesem Tutorial wird beschrieben, wie Sie mit der Kennworthashsynchronisierung und Windows Server Active Directory (Windows Server AD) eine Hybrididentitätsumgebung in Azure erstellen. Die Hybrididentitätsumgebung, die Sie erstellen, können Sie zu Testzwecken verwenden oder um sich mit der Funktionsweise von Hybrididentitäten vertraut zu machen.

Diagramm: Erstellen einer Hybrididentitätsumgebung mithilfe der Kennworthashsynchronisierung in Azure.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie eine VM.
  • Erstellen Sie eine Windows Server Active Directory-Umgebung.
  • Erstellen Sie einen Windows Server Active Directory-Benutzer.
  • Erstellen Sie einen Microsoft Entra-Mandanten.
  • Erstellen Sie ein Hybrididentitätsadministratorkonto in Azure.
  • Richten Sie Microsoft Entra Connect ein.
  • Testen und überprüfen Sie, ob Benutzer synchronisiert werden.

Voraussetzungen

  • Ein Computer mit installiertem Hyper-V. Es wird empfohlen, Hyper-V auf einem Computer unter Windows 10 oder Windows Server 2016 zu installieren.
  • Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Einen externen Netzwerkadapter, damit der virtuelle Computer eine Internetverbindung herstellen kann.
  • Eine Kopie von Windows Server 2016.

Hinweis

In diesem Tutorial werden PowerShell-Skripts verwendet, um die Tutorialumgebung schnell zu erstellen. Jedes Skript verwendet Variablen, die am Anfang des jeweiligen Skripts deklariert werden. Achten Sie darauf, die Variablen entsprechend Ihrer Umgebung zu ändern.

Die Skripts im Tutorial erstellen eine allgemeine Windows Server Active Directory (Windows Server AD)-Umgebung, bevor sie Microsoft Entra Connect installieren. Die Skripts werden auch in verwandten Tutorials verwendet.

Die in diesem Tutorial verwendeten PowerShell-Skripts sind auf GitHub verfügbar.

Erstellen eines virtuellen Computers

Beim Erstellen einer Hybrididentitätsumgebung besteht die erste Aufgabe darin, einen virtuellen Computer zu erstellen, der als lokaler Windows Server AD-Servercomputer verwendet wird.

Hinweis

Wenn Sie auf Ihrem Hostcomputer noch nie ein Skript in PowerShell ausgeführt haben, öffnen Sie vor dem Ausführen von Skripts Windows PowerShell ISE als Administrator, und führen Sie Set-ExecutionPolicy remotesigned aus. Wählen Sie im Dialogfeld Ausführungsrichtlinie ändern die Option Ja aus.

So erstellen Sie den virtuellen Computer:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Installieren des Betriebssystems

Installieren Sie das Betriebssystem, um die Erstellung des virtuellen Computers abzuschließen:

  1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
  2. Wählen Sie Starten aus.
  3. Drücken Sie an der Eingabeaufforderung eine beliebige Taste, um von CD oder DVD zu starten.
  4. Wählen Sie im Windows Server-Startfenster Ihre Sprache aus, und wählen Sie dann Weiter aus.
  5. Wählen Sie Jetzt installieren aus.
  6. Geben Sie Ihren Lizenzschlüssel ein, und wählen Sie Weiter aus.
  7. Aktivieren Sie das Kontrollkästchen Ich stimme den Lizenzbedingungen zu, und wählen Sie Weiter aus.
  8. Wählen Sie Benutzerdefiniert: nur Windows installieren (für fortgeschrittene Benutzer) aus.
  9. Wählen Sie Weiter aus.
  10. Starten Sie den virtuellen Computer nach Abschluss der Installation neu. Melden Sie sich an, und überprüfen Sie dann mithilfe von Windows Update, ob neue Updates verfügbar sind. Installieren Sie alle Updates, um sicherzustellen, dass der virtuelle Computer auf dem neuesten Stand ist.

Erforderliche Komponenten für die Installation von Windows Server AD

Führen Sie vor der Installation von Windows Server AD ein Skript aus, das die erforderlichen Komponenten installiert:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie Set-ExecutionPolicy remotesigned aus. Wählen Sie im Dialogfeld Ausführungsrichtlinie ändern die Option Ja, alle aus.

  3. Führen Sie folgendes Skript aus:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Erstellen einer Windows Server AD-Umgebung

Installieren und konfigurieren Sie jetzt Active Directory Domain Services (AD DS), um die Umgebung zu erstellen:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Erstellen eines Windows Server AD-Benutzers

Erstellen Sie als Nächstes ein Testbenutzerkonto. Erstellen Sie dieses Konto in Ihrer lokalen Active Directory-Umgebung. Das Konto wird dann mit Microsoft Entra ID synchronisiert.

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Erstellen eines Microsoft Entra-Mandanten

Wenn Sie noch keinen haben, führen Sie die Schritte im Artikel Erstellen eines neuen Mandanten in Microsoft Entra ID aus, um einen neuen Mandanten zu erstellen.

Erstellen eines Hybrididentitätsadministrators in Microsoft Entra ID

Die nächste Aufgabe besteht darin, ein Hybrididentitätsadministratorkonto zu erstellen. Dieses Konto wird verwendet, um das Microsoft Entra Connector-Konto während der Microsoft Entra Connect-Installation zu erstellen. Das Microsoft Entra Connector-Konto wird verwendet, um Informationen in Microsoft Entra ID zu schreiben.

Gehen Sie wie folgt vor, um das Hybrididentitätsadministratorkonto zu erstellen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Wechseln Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Geben Sie im Bereich Neuen Benutzer erstellen einen Anzeigenamen und einen Benutzerprinzipalnamen für den neuen Benutzer ein. Ihr Hybrididentitätsadministratorkonto für den Mandanten wird nun erstellt. Sie können das temporäre Kennwort anzeigen und kopieren.
    1. Wählen Sie unter Zuweisungen die Option Rolle hinzufügen und dann Hybrididentitätsadministrator aus.
  5. Wählen Sie dann Bewerten + erstellen>Erstellen aus.
  6. Melden Sie sich in einem neuen Webbrowserfenster mit dem neuen Hybrididentitätsadministratorkonto und dem temporären Kennwort bei myapps.microsoft.com an.

Herunterladen und Installieren von Microsoft Entra Connect

Jetzt ist es Zeit, Microsoft Entra Connect herunterzuladen und zu installieren. Verwenden Sie nach der Installation die Expressinstallation.

  1. Laden Sie Microsoft Entra Connect herunter.

  2. Navigieren Sie zur Datei AzureADConnect.msi, und doppelklicken Sie darauf, um die Installationsdatei zu öffnen.

  3. Aktivieren Sie unter Willkommen das Kontrollkästchen, um den Lizenzbedingungen zuzustimmen, und wählen Sie dann Weiter aus.

  4. Wählen Sie unter Express-Einstellungen die Option Express-Einstellungen verwenden aus.

  5. Geben Sie unter Herstellen einer Verbindung mit Microsoft Entra ID den Benutzernamen und das Kennwort für das Hybrididentitätsadministratorkontos für Microsoft Entra ID ein. Wählen Sie Weiter aus.

  6. Geben Sie unter Mit AD DS verbinden den Benutzernamen und das Kennwort für ein Unternehmensadministratorkonto ein. Wählen Sie Weiter aus.

  7. Wählen Sie unter Bereit zur Konfiguration die Option Installieren aus.

  8. Wählen Sie nach Abschluss der Installation die Option Beenden aus.

  9. Melden Sie sich ab, und melden Sie sich dann erneut an, bevor Sie Synchronization Service Manager oder den Synchronisierungsregel-Editor verwenden.

Überprüfen auf Benutzer im Portal

Als Nächstes überprüfen Sie, ob die Benutzer in Ihrem lokalen Active Directory-Mandanten synchronisiert wurden und sich jetzt in Ihrem Microsoft Entra-Mandanten befinden. Dies kann einige Stunden dauern.

Gehen Sie wie folgt vor, um zu überprüfen, ob die Benutzer synchronisiert wurden:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Wechseln Sie zu Identität>Benutzer>Alle Benutzer.

  3. Überprüfen Sie, ob die neuen Benutzer in Ihrem Mandanten angezeigt werden.

    Screenshot zeigt das Überprüfen, ob Benutzer in Microsoft Entra ID synchronisiert wurden.

Mit Benutzerkonto anmelden, um die Synchronisierung zu testen

Melden Sie sich als einer der Benutzer an, um zu testen, ob Benutzer aus Ihrem Windows Server AD-Mandanten mit Ihrem Microsoft Entra-Mandanten synchronisiert werden:

  1. Navigieren Sie zu https://myapps.microsoft.com.

  2. Melden Sie sich mit einem Benutzerkonto an, das in Ihrem neuen Mandanten erstellt wurde.

    Verwenden Sie für den Benutzernamen das Format user@domain.onmicrosoft.com. Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer bei der lokalen Active Directory-Instanz anmeldet.

Sie haben eine Hybrididentitätsumgebung erfolgreich eingerichtet, die Sie verwenden können, um Tests durchzuführen und sich mit den Möglichkeiten von Azure vertraut zu machen.

Nächste Schritte