Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Hibrid környezetek esetén a Microsoft Entra-bérlő konfigurálható úgy, hogy szinkronizáljon egy helyszíni Active Directory Domain Services-környezettel (AD DS) a Microsoft Entra Connect használatával. A Microsoft Entra Connect alapértelmezés szerint nem szinkronizálja a Microsoft Entra Domain Serviceshez szükséges régi NT LAN Manager (NTLM) és Kerberos-jelszókivonatokat.
A Tartományi szolgáltatások helyszíni AD DS-környezetből szinkronizált fiókokkal való használatához konfigurálnia kell a Microsoft Entra Connectet az NTLM- és Kerberos-hitelesítéshez szükséges jelszókivonatok szinkronizálásához. A Microsoft Entra Connect konfigurálása után egy helyszíni fióklétrehozás vagy jelszómódosítási esemény is szinkronizálja az örökölt jelszókivonatokat a Microsoft Entra-azonosítóval.
Ezeket a lépéseket nem kell végrehajtania, ha csak felhőalapú fiókokat használ helyszíni AD DS-környezet nélkül.
Ebben az oktatóanyagban a következőket sajátíthatja el:
- Miért van szükség régi NTLM- és Kerberos-jelszókivonatokra?
- Régi jelszókivonat-szinkronizálás konfigurálása a Microsoft Entra Connecthez
Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot.
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely szinkronizálva van egy helyszíni címtárral a Microsoft Entra Connect használatával.
- Ha szükség van rá, hozzon létre egy Microsoft Entra-bérlőt vagy társítson egy Azure-előfizetést a fiókjához.
- Ha szükséges, engedélyezze a Microsoft Entra Connectet a jelszókivonat-szinkronizáláshoz.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
Jelszókivonat-szinkronizálás a Microsoft Entra Connect használatával
A Microsoft Entra Connect olyan objektumokat, mint például felhasználói fiókok és csoportok, szinkronizál egy helyszíni AD DS-környezetből egy Microsoft Entra-bérlőbe. A folyamat részeként a jelszókivonat-szinkronizálás lehetővé teszi, hogy a fiókok ugyanazt a jelszót használják a helyszíni AD DS-környezetben és a Microsoft Entra-azonosítóban.
A felügyelt tartomány felhasználóinak hitelesítéséhez a Domain Servicesnek olyan formátumú jelszókivonatokra van szüksége, amelyek alkalmasak az NTLM- és Kerberos-hitelesítésre. A Microsoft Entra-azonosító nem tárolja a jelszókivonatokat az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban, amíg nem engedélyezi a tartományi szolgáltatásokat a bérlő számára. Biztonsági okokból a Microsoft Entra ID nem tárolja a jelszó hitelesítő adatait tiszta szöveges formában. Ezért a Microsoft Entra-azonosító nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókivonatokat a felhasználók meglévő hitelesítő adatai alapján.
A Microsoft Entra Connect konfigurálható úgy, hogy szinkronizálja a tartományi szolgáltatásokhoz szükséges NTLM- vagy Kerberos-jelszókivonatokat. Győződjön meg arról, hogy elvégezte a Microsoft Entra Connect jelszókivonat-szinkronizálási engedélyezésének lépéseit. Ha rendelkezik a Microsoft Entra Connect meglévő példányával, töltse le és frissítse a legújabb verzióra, hogy biztosan szinkronizálhassa az NTLM és a Kerberos régi jelszókivonatait. Ez a funkció nem érhető el a Microsoft Entra Connect korai kiadásaiban vagy az örökölt DirSync eszközzel. A Microsoft Entra Connect 1.1.614.0 vagy újabb verziója szükséges.
Fontos
A Microsoft Entra Connect csak a helyszíni AD DS-környezetekkel való szinkronizáláshoz telepíthető és konfigurálható. Nem támogatott a Microsoft Entra Connect telepítése tartományi szolgáltatások által felügyelt tartományban az objektumok Microsoft Entra-azonosítóra való szinkronizálásához.
Jelszókivonatok szinkronizálásának engedélyezése
Ha a Microsoft Entra Connect telepítve van és konfigurálva van a Microsoft Entra-azonosítóval való szinkronizálásra, most konfigurálja az NTLM és a Kerberos régi jelszókivonat-szinkronizálását. A Szükséges beállítások konfigurálására, majd a Microsoft Entra ID-ra való teljes jelszó-szinkronizálás elindítására egy PowerShell-szkript használható. Ha a Microsoft Entra Connect jelszókivonat-szinkronizálási folyamata befejeződött, a felhasználók az örökölt NTLM- vagy Kerberos-jelszókivonatokat használó Domain Services szolgáltatáson keresztül jelentkezhetnek be az alkalmazásokba.
A Microsoft Entra Connectet futtató számítógépen a Start menüből nyissa meg a Microsoft Entra Connect > Szinkronizálási szolgáltatás.
Válassza a Összekötők lapot. A helyszíni AD DS-környezet és a Microsoft Entra-azonosító közötti szinkronizálás létrehozásához használt kapcsolati információk szerepelnek a listán.
A Típus jelzi, hogy a Microsoft Entra-összekötőhöz tartozik-e a Windows Microsoft Entra ID (Microsoft), vagy a Active Directory Domain Services a helyszíni AD DS-összekötőhöz. Jegyezze fel a következő lépésben a PowerShell-szkriptben használandó összekötőneveket.
Ebben a példában a rendszer a következő összekötőket használja:
- A Microsoft Entra-összekötő neve contoso.onmicrosoft.com – Microsoft Entra ID
- A helyszíni AD DS-összekötő neve onprem.contoso.com
Másolja és illessze be a következő PowerShell-szkriptet a számítógépre a Microsoft Entra Connect telepítésével. A szkript egy teljes jelszószinkronizálást indít el, amely régebbi jelszókivonatokat tartalmaz. Frissítse a
$azureadConnectorés$adConnectorváltozókat az előző lépés összekötőneveivel.Futtassa ezt a szkriptet minden AD-erdőben a helyszíni fiók NTLM- és Kerberos-jelszókivonatainak Microsoft Entra-azonosítóra való szinkronizálásához.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueA címtár méretétől függően a fiókok és csoportok számát tekintve az örökölt jelszókivonatok Microsoft Entra-azonosítóra való szinkronizálása eltarthat egy ideig. A rendszer ezután szinkronizálja a jelszavakat a felügyelt tartományba, miután szinkronizálta őket a Microsoft Entra-azonosítóval.
Következő lépések
Ebben az oktatóanyagban a következőket tanulta:
- Miért van szükség régi NTLM- és Kerberos-jelszókivonatokra?
- Régi jelszókivonat-szinkronizálás konfigurálása a Microsoft Entra Connecthez