Tutorial: Habilitación de la sincronización de contraseñas en Microsoft Entra Domain Services para entornos híbridos
En entornos híbridos, se puede configurar un inquilino de Microsoft Entra para sincronizarlo con un entorno de Active Directory Domain Services (AD DS) local mediante Microsoft Entra Connect. De forma predeterminada, Microsoft Entra Connect no sincroniza los hashes de contraseña de NT LAN Manager (NTLM) y Kerberos heredados necesarios para Microsoft Entra Domain Services.
Para usar Domain Services con cuentas sincronizadas desde un entorno de AD DS local, debe configurar Microsoft Entra Connect para sincronizar los valores hash de contraseñas necesarios para la autenticación NTLM y Kerberos. Una vez configurado Microsoft Entra Connect, un evento de cambio de contraseña o de creación de una cuenta en un entorno local también sincroniza los valores hash de contraseñas heredados con Microsoft Entra ID.
No es necesario realizar estos pasos si usa cuentas solo en la nube sin un entorno de AD DS local.
En este tutorial, aprenderá:
- Por qué se necesitan los valores hash de contraseñas de Kerberos y NTLM heredados
- Procedimiento para configurar la sincronización de hash de contraseñas heredadas para Microsoft Entra Connect
Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.
Requisitos previos
Para completar este tutorial, necesitará los siguientes recursos:
- Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a su suscripción que sea sincronizado con un directorio en el entorno local mediante Microsoft Entra Connect.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
- Si es necesario, habilite en Microsoft Entra Connect la sincronización de hash de contraseñas.
- Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
Sincronización de hash de contraseña mediante Microsoft Entra Connect
Microsoft Entra Connect se utiliza para sincronizar objetos como cuentas de usuario y grupos desde un entorno de AD DS local en un inquilino de Microsoft Entra. Como parte del proceso, la sincronización de hash de contraseñas permite a las cuentas usar la misma contraseña en los entornos de AD DS locales y Microsoft Entra ID.
Para autenticar a los usuarios en el dominio administrado, Domain Services necesita los hash de las contraseñas en un formato adecuado para la autenticación de NTLM y Kerberos. Microsoft Entra ID no almacena hash de contraseña en el formato necesario para la autenticación NTLM o Kerberos hasta que habilite Domain Services para su inquilino. Por motivos de seguridad, Microsoft Entra ID tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar. Por consiguiente, Microsoft Entra ID no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios.
Microsoft Entra Connect se puede configurar para sincronizar los valores hash de contraseñas NTLM o Kerberos necesarios para Domain Services. Asegúrese de que ha completado los pasos para habilitar Microsoft Entra Connect para la sincronización de valores hash de contraseñas. Si tiene una instancia existente de Microsoft Entra Connect, descargue y actualice a la versión más reciente para asegurarse de que puede sincronizar los valores hash de contraseñas heredados para NTLM y Kerberos. Esta funcionalidad no está disponible en las primeras versiones de Microsoft Entra Connect ni con la herramienta DirSync heredada. Se requiere Microsoft Entra Connect versión 1.1.614.0 o posterior.
Importante
Microsoft Entra Connect solo debe instalarse y configurarse para la sincronización con entornos de AD DS locales. No se admite la instalación de Microsoft Entra Connect en un dominio administrado de Domain Services para volver a sincronizar objetos con Microsoft Entra ID.
Habilitación de la sincronización de valores hash de contraseñas
Con Microsoft Entra Connect instalado y configurado para sincronizarse con Microsoft Entra ID, ahora configure la sincronización de hash de contraseñas heredada para NTLM y Kerberos. Se usa un script de PowerShell para configurar las opciones necesarias y, a continuación, iniciar una sincronización de contraseñas completa en Microsoft Entra ID. Cuando se haya completado el proceso de sincronización de valores hash de contraseñas de Microsoft Entra Connect, los usuarios podrán iniciar sesión en las aplicaciones mediante Domain Services que usa valores hash de contraseñas Kerberos o NTLM heredados.
En el equipo con Microsoft Entra Connect instalado, en el menú Inicio, abra el Servicio de sincronización y Microsoft Entra Connect.
Seleccione la pestaña Conectores. Se enumera la información de conexión utilizada para establecer la sincronización entre el entorno de AD DS local y Microsoft Entra ID.
El tipo indica o Windows Microsoft Entra ID (Microsoft) para el conector de Microsoft Entra o Active Directory Domain Services para el conector de AD DS en el entorno local. Anote los nombres de los conectores que se van a usar en el script de PowerShell en el paso siguiente.
En esta captura de pantalla de ejemplo, se utilizan los siguientes conectores:
- El conector de Microsoft Entra se denomina contoso.onmicrosoft.com: Microsoft Entra ID
- El conector de AD DS local se denomina onprem.contoso.com
Copie y pegue el siguiente script de PowerShell en el equipo con Microsoft Entra Connect instalado. El script desencadena una sincronización de contraseñas completa que incluye los valores hash de contraseñas heredados. Actualice las variables
$azureadConnectory$adConnectorcon los nombres de conector del paso anterior.Ejecute este script en cada bosque de AD para sincronizar los valores hash de contraseñas Kerberos y NTLM de la cuenta en el entorno local con Microsoft Entra ID.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueEn función del tamaño de su directorio en cuanto al número de cuentas y grupos, la sincronización de los valores hash de contraseñas heredados en Microsoft Entra ID puede tardar algún tiempo. Las contraseñas se sincronizan después con el dominio administrado una vez que se han sincronizado con Microsoft Entra ID.
Pasos siguientes
En este tutorial, ha aprendido:
- Por qué se necesitan los valores hash de contraseñas de Kerberos y NTLM heredados
- Procedimiento para configurar la sincronización de hash de contraseñas heredadas para Microsoft Entra Connect