Kurz: Použití synchronizace hodnot hash hesel pro hybridní identitu v jedné doménové struktuře Služby Active Directory

  • Článek

V tomto kurzu se dozvíte, jak vytvořit prostředí hybridní identity v Azure pomocí synchronizace hodnot hash hesel a Windows Server Active Directory (Windows Server AD). Prostředí hybridních identit, které vytvoříte, můžete použít k testování nebo k tomu, abyste se blíže seznámili s fungováním hybridní identity.

Diagram znázorňující, jak vytvořit prostředí hybridní identity v Azure pomocí synchronizace hodnot hash hesel

V tomto kurzu se naučíte:

  • Vytvoří virtuální počítač.
  • Vytvořte Windows Server Active Directory prostředí.
  • Vytvořte uživatele Windows Server Active Directory.
  • Vytvořte tenanta Microsoft Entra.
  • Vytvořte účet správce hybridních identit v Azure.
  • Nastavte Microsoft Entra Connect.
  • Otestujte a ověřte, že jsou uživatelé synchronizovaní.

Požadavky

Poznámka

V tomto kurzu se k rychlému vytvoření výukového prostředí používají skripty PowerShellu. Každý skript používá proměnné, které jsou deklarovány na začátku skriptu. Nezapomeňte změnit proměnné tak, aby odpovídaly vašemu prostředí.

Skripty v tomto kurzu před instalací nástroje Microsoft Entra Connect vytvoří obecné prostředí Windows Server Active Directory (Windows Server AD). Skripty se také používají v souvisejících kurzech.

Skripty PowerShellu používané v tomto kurzu jsou k dispozici na GitHubu.

Vytvoření virtuálního počítače

Pokud chcete vytvořit prostředí hybridní identity, je prvním úkolem vytvoření virtuálního počítače, který se použije jako místní Windows Server AD server.

Poznámka

Pokud jste v PowerShellu na hostitelském počítači nikdy nespustí skript, před spuštěním skriptů otevřete Windows PowerShell ISE jako správce a spusťte Set-ExecutionPolicy remotesignedpříkaz . V dialogovém okně Změna zásad spouštění vyberte Ano.

Vytvoření virtuálního počítače:

  1. Otevřete Windows PowerShell ISE jako správce.

  2. Spusťte tento skript:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Instalace operačního systému

Pokud chcete dokončit vytváření virtuálního počítače, nainstalujte operační systém:

  1. Ve Správci technologie Hyper-V poklikejte na virtuální počítač.
  2. Vyberte Spustit.
  3. Na příkazovém řádku stiskněte libovolnou klávesu pro spuštění z disku CD nebo DVD.
  4. V úvodním okně Windows Serveru vyberte jazyk a pak vyberte Další.
  5. Vyberte Nainstalovat.
  6. Zadejte svůj licenční klíč a vyberte Další.
  7. Zaškrtněte políčko Přijímám licenční podmínky a vyberte Další.
  8. Vyberte Vlastní: Instalovat jenom Windows (upřesnit).
  9. Vyberte Další.
  10. Po dokončení instalace restartujte virtuální počítač. Přihlaste se a zkontrolujte služba Windows Update. Nainstalujte všechny aktualizace, abyste měli jistotu, že je virtuální počítač plně aktuální.

Instalace Windows Server AD požadavků

Před instalací Windows Server AD spusťte skript, který nainstaluje požadované součásti:

  1. Otevřete Windows PowerShell ISE jako správce.

  2. Spusťte Set-ExecutionPolicy remotesigned. V dialogovém okně Změna zásad spouštění vyberte Ano všem.

  3. Spusťte tento skript:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Vytvoření prostředí Windows Server AD

Teď nainstalujte a nakonfigurujte Active Directory Domain Services pro vytvoření prostředí:

  1. Otevřete Windows PowerShell ISE jako správce.

  2. Spusťte tento skript:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Vytvoření uživatele Windows Server AD

Dále vytvořte testovací uživatelský účet. Vytvořte tento účet ve svém prostředí místní Active Directory. Účet se pak synchronizuje s ID Microsoft Entra.

  1. Otevřete Windows PowerShell ISE jako správce.

  2. Spusťte tento skript:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Vytvoření tenanta Microsoft Entra

Pokud ho nemáte, vytvořte nového tenanta podle pokynů v článku Vytvoření nového tenanta ve Microsoft Entra ID.

Vytvoření správce hybridní identity ve Microsoft Entra ID

Dalším úkolem je vytvoření účtu správce hybridních identit. Tento účet slouží k vytvoření účtu konektoru Microsoft Entra během instalace nástroje Microsoft Entra Connect. Účet konektoru Microsoft Entra slouží k zápisu informací do id Microsoft Entra.

Vytvoření účtu správce hybridních identit:

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte na Uživatelé identity>>– Všichni uživatelé.
  3. Vyberte Nový uživatel>Vytvořit nového uživatele.
  4. V podokně Vytvořit nového uživatele zadejte Zobrazované jméno a Hlavní název uživatele pro nového uživatele. Vytváříte účet správce hybridních identit pro tenanta. Dočasné heslo můžete zobrazit a zkopírovat.
    1. V části Přiřazení vyberte Přidat roli a vyberte Správce hybridních identit.
  5. Pak vyberte Zkontrolovat a vytvořit>Vytvořit.
  6. V novém okně webového prohlížeče se přihlaste k účtu myapps.microsoft.com pomocí nového účtu správce hybridních identit a dočasného hesla.

Stažení a instalace nástroje Microsoft Entra Connect

Teď je čas stáhnout a nainstalovat Microsoft Entra Connect. Po instalaci použijete expresní instalaci.

  1. Stáhněte Microsoft Entra Connect.

  2. Přejděte na AzureADConnect.msi a poklikáním otevřete instalační soubor.

  3. V části Vítejte zaškrtněte políčko, abyste souhlasili s licenčními podmínkami, a vyberte Pokračovat.

  4. V části Expresní nastavení vyberte Použít expresní nastavení.

    Snímek obrazovky s obrazovkou Expresní nastavení a tlačítkem Použít expresní nastavení

  5. V části Připojit k ID Microsoft Entra zadejte uživatelské jméno a heslo pro účet správce hybridních identit pro Microsoft Entra ID. Vyberte Další.

  6. V části Připojit ke službě AD DS zadejte uživatelské jméno a heslo pro účet podnikového správce. Vyberte Další.

  7. V části Ready to configure (Připraveno ke konfiguraci) vyberte Install (Nainstalovat).

  8. Po dokončení instalace vyberte Ukončit.

  9. Než použijete synchronizační Service Manager nebo Editor synchronizačních pravidel, odhlaste se a znovu se přihlaste.

Vyhledání uživatelů na portálu

Teď ověříte, že se uživatelé ve vašem tenantovi místní Active Directory synchronizovali a jsou teď ve vašem Microsoft Entra tenantovi. Dokončení této části může trvat několik hodin.

Ověření synchronizace uživatelů:

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako správce hybridních identit.

  2. Přejděte naUživatelé>identit>Všichni uživatelé.

  3. Ověřte, že se noví uživatelé zobrazují ve vašem tenantovi.

    Snímek obrazovky s ověřením, že se uživatelé synchronizovali s ID Microsoft Entra

Přihlaste se pomocí uživatelského účtu a otestujte synchronizaci.

Pokud chcete otestovat, že se uživatelé z vašeho tenanta Windows Server AD synchronizují s tenantem Microsoft Entra, přihlaste se jako jeden z uživatelů:

  1. Přejděte na https://myapps.microsoft.com.

  2. Přihlaste se pomocí uživatelského účtu vytvořeného ve vašem novém tenantovi.

    Jako uživatelské jméno použijte formát user@domain.onmicrosoft.com. Použijte stejné heslo, které uživatel používá k přihlášení k místní Active Directory.

Úspěšně jste nastavili prostředí hybridních identit, které můžete použít k testování a seznámení s tím, co Azure nabízí.

Další kroky