Anleitung: Integrieren einer einzelnen AD-Gesamtstruktur mithilfe von Password Hash Sync (PHS)

Create

Das folgende Tutorial führt Sie durch das Erstellen einer hybriden Identitätsumgebung mit Kennwort-Hash-Synchronisierung. Diese Umgebung kann dann zum Testen oder zum Kennenlernen der Funktionsweise einer Hybrididentität verwendet werden.

Voraussetzungen

Im Folgenden finden Sie die erforderlichen Komponenten für die Durchführung dieses Tutorials:

Hinweis

In diesem Tutorial werden PowerShell-Skripts verwendet, sodass Sie die Tutorialumgebung in kürzester Zeit erstellen können. Jedes der Skripts verwendet Variablen, die am Anfang jedes Skripts deklariert werden. Sie können und sollten die Variablen entsprechend Ihrer Umgebung ändern.

Die verwendeten Skripts erstellen eine allgemeine Active Directory-Umgebung, bevor Azure AD Connect installiert wird. Sie sind für alle Tutorials relevant.

Kopien der in diesem Tutorial verwendeten PowerShell-Skripts sind unter diesem Link auf GitHub verfügbar.

Erstellen eines virtuellen Computers

Um unsere Hybrididentitätsumgebung einzurichten und auszuführen, müssen wir als Erstes einen virtuellen Computer erstellen, der als unser lokaler Active Directory-Server verwendet wird. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Durchführen der Betriebssystembereitstellung

Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.

  1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
  2. Klicken Sie auf die Schaltfläche „Starten“.
  3. Sie werden zu Folgendem aufgefordert: „Drücken Sie eine beliebige Taste, um von CD oder DVD zu starten“. Fahren Sie fort, und tun Sie dies.
  4. Wählen Sie auf dem Windows Server-Startbildschirm Ihre Sprache aus, und klicken Sie auf Weiter.
  5. Klicken Sie auf Jetzt installieren.
  6. Geben Sie Ihren Lizenzschlüssel ein, und klicken Sie auf Weiter.
  7. Aktivieren Sie „Ich stimme den Lizenzbedingungen zu“, und klicken Sie auf Weiter.
  8. Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
  9. Klicken Sie auf Weiter.
  10. Nach Abschluss der Installation starten Sie den virtuellen Computer neu, melden sich an und führen Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.

Installieren der erforderlichen Active Directory-Komponenten

Nachdem nun ein virtueller Computer ausgeführt wird, müssen wir noch ein paar Vorbereitungen vor der Installation von Active Directory treffen. Das heißt, dass wir den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Erstellen einer Windows Server AD-Umgebung

Nachdem nun die VM erstellt ist, umbenannt wurde und über eine statische IP-Adresse verfügt, können wir fortfahren und die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Erstellen eines Windows Server AD-Benutzers

Nachdem nun unsere Active Directory-Umgebung vorhanden ist, benötigen wir ein Testkonto. Dieses Konto wird in unserer lokalen Active Directory-Umgebung erstellt und dann mit Azure AD synchronisiert. Gehen Sie folgendermaßen vor:

  1. Öffnen Sie die PowerShell ISE als Administrator.
  2. Führen Sie das folgende Skript aus.
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Erstellen eines Azure AD-Mandanten

Jetzt müssen wir einen Azure AD-Mandanten erstellen, damit wir unsere Benutzer mit der Cloud synchronisieren können. Gehen Sie zum Erstellen eines neuen Azure AD-Mandanten wie folgt vor:

  1. Wechseln Sie zum Azure-Portal, und melden Sie sich mit einem Konto an, das über ein Azure-Abonnement verfügt.
  2. Wählen Sie das Plussymbol (+) aus, und suchen Sie nach Azure Active Directory.
  3. Wählen Sie in den Suchergebnissen Azure Active Directory aus.
  4. Wählen Sie Erstellen aus.
    Screenshot that shows how to create an Azure AD tenant.
  5. Geben Sie einen Namen für die Organisation an, zusammen mit dem Namen der Anfangsdomäne. Klicken Sie anschließend auf Erstellen. Hierdurch wird Ihr Verzeichnis erstellt.
  6. Sobald dies abgeschlossen ist, klicken Sie auf diesen Link, um das Verzeichnis zu verwalten.

Erstellen eines globalen Administrators in Azure AD

Nachdem nun ein Azure AD-Mandant vorhanden ist, erstellen wir ein globales Administratorkonto. Dieses Konto dient zum Erstellen des Azure AD Connector-Kontos während der Installation von Azure AD Connect. Das Azure AD Connector-Konto wird zum Schreiben von Informationen in Azure AD verwendet. Gehen Sie zum Erstellen des globalen Administratorkontos wie folgt vor:

  1. Wählen Sie unter Verwalten die Option Benutzer aus.
    Screenshot that shows the User option selected in the Manage section where you create a global administrator in Azure AD.
  2. Wählen Sie Alle Benutzer und dann + Neuer Benutzer aus.
  3. Geben Sie für diesen Benutzer einen Namen und Benutzernamen an. Dieser wird Ihr globaler Administrator für den Mandanten. Sie sollten auch die Verzeichnisrolle in Globaler Administrator ändern. Sie können auch das temporäre Passwort anzeigen. Wenn Sie fertig sind, klicken Sie auf Erstellen.
    Screenshot that shows the Create button you select when you create a global administrator in Azure AD.
  4. Sobald dies abgeschlossen ist, öffnen Sie einen neuen Webbrowser, und melden Sie sich mit dem neuen globalen Administratorkonto und dem temporären Kennwort bei „myapps.microsoft.com“ an.
  5. Ändern Sie das Kennwort für den globalen Administrator in einen Wert, den Sie sich merken können.

Herunterladen und Installieren von Azure AD Connect

Jetzt müssen Sie Azure AD Connect herunterladen und installieren. Nachdem es installiert wurde, führen Sie die Expressinstallation durch. Gehen Sie folgendermaßen vor:

  1. Laden Sie Azure AD Connect herunter.
  2. Navigieren Sie zu AzureADConnect.msi, und doppelklicken Sie darauf.
  3. Aktivieren Sie auf der Willkommensseite das Kontrollkästchen zum Zustimmen zu den Lizenzbedingungen, und klicken Sie auf Weiter.
  4. Klicken Sie auf dem Express-Einstellungen Bildschirm auf Express-Einstellungen verwenden.

    Screenshot that shows the Express settings screen and the Use express settings button.
  5. Geben Sie auf dem Bildschirm „Mit Azure AD verbinden“ den Benutzernamen und das Kennwort des globalen Administrators für Azure AD ein. Klicken Sie auf Weiter.
  6. Geben Sie auf dem Bildschirm „Mit AD DS verbinden“ den Benutzernamen und das Kennwort für ein Enterprise-Administratorkonto ein. Klicken Sie auf Weiter.
  7. Klicken Sie im Bildschirm "Bereit zur Konfiguration" auf Installieren.
  8. Klicken Sie nach Abschluss der Installation auf Beenden.
  9. Melden Sie sich nach Abschluss der Installation ab und wieder an, ehe Sie den Synchronization Service Manager oder Synchronisierungsregel-Editor verwenden.

Überprüfen, ob Benutzer erstellt wurden und die Synchronisierung erfolgt

Wir überprüfen jetzt, ob die Benutzer, die in unserem lokalen Verzeichnis vorhanden waren, synchronisiert wurden und jetzt im Azure AD-Mandanten vorhanden sind. Seien Sie sich im Klaren darüber, dass dies einige Stunden dauern kann. Gehen Sie wie folgt vor, um zu überprüfen, ob Benutzer synchronisiert werden:

  1. Wechseln Sie zum Azure-Portal, und melden Sie sich mit einem Konto an, das über ein Azure-Abonnement verfügt.
  2. Wählen Sie im linken Bereich Azure Active Directory aus.
  3. Wählen Sie unter Verwalten die Option Benutzer aus.
  4. Stellen Sie sicher, dass Sie die neuen Nutzer in unserem Mandanten sehen
    Synch

Testanmeldung mit einem unserer Benutzer

  1. Navigieren Sie zu https://myapps.microsoft.com.
  2. Melden Sie sich mit einem Benutzerkonto an, das in unserem neuen Mandanten erstellt wurde. Sie müssen sich mit folgendem Format anmelden: (user@domain.onmicrosoft.com). Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer lokal anmeldet.
    Verify

Sie haben nun erfolgreich eine Hybrididentitätsumgebung eingerichtet, die Sie zum Testen verwenden können, und um sich mit den Möglichkeiten von Azure vertraut zu machen.

Nächste Schritte