Samouczek: używanie synchronizacji skrótów haseł dla tożsamości hybrydowej w jednym lesie usługi Active Directory

  • Artykuł

W tym samouczku pokazano, jak utworzyć środowisko tożsamości hybrydowej na platformie Azure przy użyciu synchronizacji skrótów haseł i usługi Active Directory systemu Windows Server (Windows Server AD). Możesz użyć środowiska tożsamości hybrydowej utworzonego do testowania lub lepiej zapoznać się z działaniem tożsamości hybrydowej.

Diagram przedstawiający sposób tworzenia środowiska tożsamości hybrydowej na platformie Azure przy użyciu synchronizacji skrótów haseł.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzy maszynę wirtualną.
  • Utwórz środowisko usługi Active Directory systemu Windows Server.
  • Utwórz użytkownika usługi Active Directory systemu Windows Server.
  • Utwórz dzierżawę firmy Microsoft Entra.
  • Utwórz konto Administracja istrator tożsamości hybrydowej na platformie Azure.
  • Skonfiguruj aplikację Microsoft Entra Połączenie.
  • Przetestuj i sprawdź, czy użytkownicy są zsynchronizowani.

Wymagania wstępne

  • Komputer z zainstalowaną funkcją Hyper-V. Zalecamy zainstalowanie funkcji Hyper-V na komputerze z systemem Windows 10 lub Windows Server 2016 .
  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
  • Zewnętrzna karta sieciowa, dzięki czemu maszyna wirtualna może łączyć się z Internetem.
  • Kopia systemu Windows Server 2016.

Uwaga

W tym samouczku są używane skrypty programu PowerShell do szybkiego tworzenia środowiska samouczka. Każdy skrypt używa zmiennych zadeklarowanych na początku skryptu. Pamiętaj, aby zmienić zmienne, aby odzwierciedlały środowisko.

Skrypty w samouczku tworzą ogólne środowisko usługi Active Directory systemu Windows Server (Windows Server AD) przed zainstalowaniem Połączenie firmy Microsoft. Skrypty są również używane w powiązanych samouczkach.

Skrypty programu PowerShell używane w tym samouczku są dostępne w witrynie GitHub.

Tworzenie maszyny wirtualnej

Aby utworzyć środowisko tożsamości hybrydowej, pierwszym zadaniem jest utworzenie maszyny wirtualnej do użycia jako lokalny serwer usługi AD systemu Windows Server.

Uwaga

Jeśli nigdy nie uruchamiasz skryptu w programie PowerShell na maszynie hosta, przed uruchomieniem skryptów otwórz program Windows PowerShell ISE jako administrator i uruchom polecenie Set-ExecutionPolicy remotesigned. W oknie dialogowym Zmiana zasad wykonywania wybierz pozycję Tak.

Aby utworzyć maszynę wirtualną:

  1. Otwórz program Windows PowerShell ISE jako administrator.

  2. Uruchom następujący skrypt:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Instalowanie systemu operacyjnego

Aby zakończyć tworzenie maszyny wirtualnej, zainstaluj system operacyjny:

  1. W Menedżerze funkcji Hyper-V kliknij dwukrotnie maszynę wirtualną.
  2. Wybierz Start.
  3. Po wyświetleniu monitu naciśnij dowolny klawisz, aby uruchomić z dysku CD lub DVD.
  4. W oknie startowym systemu Windows Server wybierz język, a następnie wybierz przycisk Dalej.
  5. Wybierz pozycję Zainstaluj teraz.
  6. Wprowadź klucz licencji i wybierz przycisk Dalej.
  7. Zaznacz pole wyboru Akceptuję postanowienia licencyjne i wybierz przycisk Dalej.
  8. Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane).
  9. Wybierz Dalej.
  10. Po zakończeniu instalacji uruchom ponownie maszynę wirtualną. Zaloguj się, a następnie sprawdź usługę Windows Update. Zainstaluj wszystkie aktualizacje, aby upewnić się, że maszyna wirtualna jest w pełni aktualna.

Instalowanie wymagań wstępnych usługi AD systemu Windows Server

Przed zainstalowaniem usługi AD systemu Windows Server uruchom skrypt, który instaluje wymagania wstępne:

  1. Otwórz program Windows PowerShell ISE jako administrator.

  2. Uruchom program Set-ExecutionPolicy remotesigned. W oknie dialogowym Zmiana zasad wykonywania wybierz pozycję Tak do pozycji Wszystkie.

  3. Uruchom następujący skrypt:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Tworzenie środowiska usługi Windows Server AD

Teraz zainstaluj i skonfiguruj usługi domena usługi Active Directory w celu utworzenia środowiska:

  1. Otwórz program Windows PowerShell ISE jako administrator.

  2. Uruchom następujący skrypt:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Tworzenie użytkownika usługi Windows Server AD

Następnie utwórz konto użytkownika testowego. Utwórz to konto w środowisku lokalna usługa Active Directory. Konto jest następnie synchronizowane z identyfikatorem Entra firmy Microsoft.

  1. Otwórz program Windows PowerShell ISE jako administrator.

  2. Uruchom następujący skrypt:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Tworzenie dzierżawy firmy Microsoft Entra

Jeśli go nie masz, wykonaj kroki opisane w artykule Tworzenie nowej dzierżawy w usłudze Microsoft Entra ID , aby utworzyć nową dzierżawę.

Tworzenie tożsamości hybrydowej Administracja istrator w usłudze Microsoft Entra ID

Następnym zadaniem jest utworzenie konta Administracja istrator tożsamości hybrydowej. To konto służy do tworzenia konta microsoft Entra Połączenie or podczas instalacji programu Microsoft Entra Połączenie. Konto Microsoft Entra Połączenie or służy do zapisywania informacji w identyfikatorze Entra firmy Microsoft.

Aby utworzyć konto Administracja istrator tożsamości hybrydowej:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy
  3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownika.
  4. W okienku Tworzenie nowego użytkownika wprowadź nazwę wyświetlaną i nazwę główną użytkownika dla nowego użytkownika. Tworzysz konto Administracja istrator tożsamości hybrydowej dla dzierżawy. Możesz wyświetlić i skopiować hasło tymczasowe.
    1. W obszarze Przypisania wybierz pozycję Dodaj rolę, a następnie wybierz pozycję Tożsamość hybrydowa Administracja istrator.
  5. Następnie wybierz pozycję Przejrzyj i utwórz.>
  6. W nowym oknie przeglądarki internetowej zaloguj się myapps.microsoft.com przy użyciu nowego konta Administracja istratora tożsamości hybrydowej i hasła tymczasowego.

Pobieranie i instalowanie Połączenie firmy Microsoft

Teraz nadszedł czas na pobranie i zainstalowanie Połączenie firmy Microsoft. Po zainstalowaniu tej instalacji użyjesz instalacji ekspresowej.

  1. Pobierz Połączenie Microsoft Entra.

  2. Przejdź do usługi AzureAD Połączenie.msi a następnie kliknij dwukrotnie, aby otworzyć plik instalacyjny.

  3. W obszarze Zapraszamy zaznacz pole wyboru, aby wyrazić zgodę na postanowienia licencyjne, a następnie wybierz pozycję Kontynuuj.

  4. W obszarze Ustawienia ekspresowe wybierz pozycję Użyj ustawień ekspresowych.

  5. W Połączenie do identyfikatora Entra firmy Microsoft wprowadź nazwę użytkownika i hasło dla konta Administracja istrator tożsamości hybrydowej dla identyfikatora Entra firmy Microsoft. Wybierz Dalej.

  6. W Połączenie do usług AD DS wprowadź nazwę użytkownika i hasło dla konta administratora przedsiębiorstwa. Wybierz Dalej.

  7. W obszarze Gotowe do skonfigurowania wybierz pozycję Zainstaluj.

  8. Po zakończeniu instalacji wybierz pozycję Zakończ.

  9. Przed użyciem programu Synchronization Service Manager lub Edytora reguł synchronizacji wyloguj się, a następnie zaloguj się ponownie.

Sprawdzanie użytkowników w portalu

Teraz sprawdzisz, czy użytkownicy w dzierżawie lokalna usługa Active Directory zsynchronizowali się i znajdują się teraz w dzierżawie firmy Microsoft Entra. Ukończenie tej sekcji może potrwać kilka godzin.

Aby sprawdzić, czy użytkownicy są zsynchronizowani:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej.

  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy

  3. Sprawdź, czy nowi użytkownicy są wyświetlani w dzierżawie.

    Zrzut ekranu przedstawiający sprawdzanie, czy użytkownicy zostali zsynchronizowani w identyfikatorze Entra firmy Microsoft.

Zaloguj się przy użyciu konta użytkownika, aby przetestować synchronizację

Aby przetestować, czy użytkownicy z dzierżawy usługi AD systemu Windows Server są synchronizowani z dzierżawą usługi Microsoft Entra, zaloguj się jako jeden z użytkowników:

  1. Przejdź do https://myapps.microsoft.com.

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.

    W przypadku nazwy użytkownika użyj formatu user@domain.onmicrosoft.com. Użyj tego samego hasła, które użytkownik używa do logowania się w celu lokalna usługa Active Directory.

Pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki