Oktatóanyag: Jelszó-szinkronizálás engedélyezése a Microsoft Entra Domain Servicesben hibrid környezetekhez
Hibrid környezetek esetén a Microsoft Entra-bérlő konfigurálható úgy, hogy a Microsoft Entra Csatlakozás használatával szinkronizáljon egy helyi Active Directory Tartományi szolgáltatások (AD DS) környezettel. A Microsoft Entra Csatlakozás alapértelmezés szerint nem szinkronizálja az örökölt NT LAN Manager (NTLM) és Kerberos jelszókivonatokat, amelyek a Microsoft Entra Domain Services szolgáltatáshoz szükségesek.
A Tartományi szolgáltatások helyszíni AD DS-környezetből szinkronizált fiókokkal való használatához konfigurálnia kell a Microsoft Entra Csatlakozás az NTLM- és Kerberos-hitelesítéshez szükséges jelszókivonatok szinkronizálásához. A Microsoft Entra Connect konfigurálása után egy helyben történő fióklétrehozási vagy jelszóváltoztatási esemény szinkronizálja a régi jelszóhasheseket a Microsoft Entra ID-vel.
Ezeket a lépéseket nem kell végrehajtania, ha csak felhőalapú fiókokat használ helyszíni AD DS-környezet nélkül.
Ebben az oktatóanyagban a következőket sajátíthatja el:
- Miért van szükség régi NTLM- és Kerberos-jelszókivonatokra?
- Régi jelszókivonat-szinkronizálás konfigurálása a Microsoft Entra Csatlakozás
Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely szinkronizálva van egy helyszíni címtárral a Microsoft Entra Csatlakozás használatával.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
- Szükség esetén engedélyezze a Microsoft Entra Csatlakozás a jelszókivonat-szinkronizáláshoz.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
Jelszókivonat-szinkronizálás a Microsoft Entra Csatlakozás használatával
A Microsoft Entra Csatlakozás egy helyszíni AD DS-környezetből származó objektumokat és csoportokat szinkronizál egy Microsoft Entra-bérlővel. A folyamat részeként a jelszókivonat-szinkronizálás lehetővé teszi, hogy a fiókok ugyanazt a jelszót használják a helyszíni AD DS-környezetben és a Microsoft Entra-azonosítóban.
A felügyelt tartomány felhasználóinak hitelesítéséhez a Domain Servicesnek olyan formátumú jelszókivonatokra van szüksége, amelyek alkalmasak az NTLM- és Kerberos-hitelesítésre. A Microsoft Entra-azonosító nem tárolja a jelszókivonatokat az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban, amíg nem engedélyezi a tartományi szolgáltatásokat a bérlő számára. Biztonsági okokból a Microsoft Entra ID nem tárolja a jelszó hitelesítő adatait tiszta szöveges formában. Ezért a Microsoft Entra-azonosító nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókivonatokat a felhasználók meglévő hitelesítő adatai alapján.
A Microsoft Entra Csatlakozás konfigurálható úgy, hogy szinkronizálja a tartományi szolgáltatásokhoz szükséges NTLM- vagy Kerberos-jelszókivonatokat. Győződjön meg arról, hogy elvégezte a Microsoft Entra Csatlakozás jelszókivonat-szinkronizálás engedélyezésének lépéseit. Ha rendelkezik a Microsoft Entra Csatlakozás meglévő példányával, töltse le és frissítse a legújabb verzióra, hogy biztosan szinkronizálhassa az NTLM és a Kerberos régi jelszókivonatait. Ez a funkció nem érhető el a Microsoft Entra Csatlakozás vagy az örökölt DirSync eszköz korai kiadásaiban. A Microsoft Entra Csatlakozás 1.1.614.0-s vagy újabb verziója szükséges.
Fontos
A Microsoft Entra Csatlakozás csak a helyszíni AD DS-környezetekkel való szinkronizáláshoz telepíthető és konfigurálható. A Microsoft Entra Csatlakozás nem telepíthető tartományi szolgáltatások által felügyelt tartományba az objektumok Microsoft Entra-azonosítóra való visszaszinkronizálásához.
Jelszókivonatok szinkronizálásának engedélyezése
A Microsoft Entra Csatlakozás telepítve és konfigurálva van a Microsoft Entra ID-val való szinkronizálásra, most konfigurálja az NTLM és a Kerberos régi jelszókivonat-szinkronizálását. A Szükséges beállítások konfigurálására, majd a Microsoft Entra ID-ra való teljes jelszó-szinkronizálás elindítására egy PowerShell-szkript használható. Ha a Microsoft Entra Csatlakozás jelszókivonat-szinkronizálási folyamat befejeződött, a felhasználók az örökölt NTLM- vagy Kerberos-jelszókivonatokat használó Domain Servicesen keresztül jelentkezhetnek be az alkalmazásokba.
A Microsoft Entra Csatlakozás telepített számítógépen a Start menüből nyissa meg a Microsoft Entra Csatlakozás > Szinkronizálási szolgáltatást.
Válassza a Csatlakozás orok lapot. A helyszíni AD DS-környezet és a Microsoft Entra-azonosító közötti szinkronizálás létrehozásához használt kapcsolati információk szerepelnek a listán.
A Típus a Microsoft Entra-összekötőHöz tartozó Windows Microsoft Entra-azonosítót (Microsoft) vagy a helyszíni AD DS-összekötő Active Directory tartományi szolgáltatások jelöli. Jegyezze fel a következő lépésben a PowerShell-szkriptben használandó összekötőneveket.
Ebben a példában a rendszer a következő összekötőket használja:
- A Microsoft Entra-összekötő neve contoso.onmicrosoft.com – Microsoft Entra ID
- A helyszíni AD DS-összekötő neve onprem.contoso.com
Másolja és illessze be a következő PowerShell-szkriptet a számítógépre a Microsoft Entra Csatlakozás telepítve. A szkript egy teljes jelszószinkronizálást indít el, amely régebbi jelszókivonatokat tartalmaz. Frissítse az
$azureadConnector
előző lépésben szereplő összekötőneveket és$adConnector
változókat.Futtassa ezt a szkriptet minden AD-erdőben a helyszíni fiók NTLM- és Kerberos-jelszókivonatainak Microsoft Entra-azonosítóra való szinkronizálásához.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
A címtár méretétől függően a fiókok és csoportok számát tekintve az örökölt jelszókivonatok Microsoft Entra-azonosítóra való szinkronizálása eltarthat egy ideig. A rendszer ezután szinkronizálja a jelszavakat a felügyelt tartományba, miután szinkronizálta őket a Microsoft Entra-azonosítóval.
További lépések
Ebben az oktatóanyagban a következőket tanulta:
- Miért van szükség régi NTLM- és Kerberos-jelszókivonatokra?
- Régi jelszókivonat-szinkronizálás konfigurálása a Microsoft Entra Csatlakozás