Oktatóanyag: Összevonás használata hibrid identitáshoz egyetlen Active Directory-erdőben

Ez az oktatóanyag bemutatja, hogyan hozhat létre hibrid identitáskörnyezetet az Azure-ban összevonás és Windows Server Active Directory (Windows Server AD) használatával. A hibrid identitások teszteléséhez vagy a hibrid identitás működésének megismeréséhez használhatja a létrehozott hibrid identitáskörnyezetet.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Virtuális gépet hoz létre.
• Hozzon létre egy Windows Server Active Directory-környezetet.
• Hozzon létre egy Windows Server Active Directory-felhasználót.
• Hozzon létre egy tanúsítványt.
• Hozzon létre egy Microsoft Entra-bérlőt.
• Hibrid identitás Rendszergazda istrator-fiók létrehozása az Azure-ban.
• Adjon hozzá egy egyéni tartományt a címtárhoz.
• A Microsoft Entra Csatlakozás beállítása.
• Tesztelje és ellenőrizze, hogy a felhasználók szinkronizálva vannak-e.

Előfeltételek

Az oktatóanyag elvégzéséhez az alábbi elemekre van szüksége:

• Egy számítógép, amelyen telepítve van a Hyper-V . Javasoljuk, hogy telepítse a Hyper-V-t Windows 10 vagy Windows Server 2016 rendszerű számítógépre.
• Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
• Külső hálózati adapter, így a virtuális gép csatlakozhat az internethez.
• A Windows Server 2016 egy példánya.
• Ellenőrizhető egyéni tartomány .

Megjegyzés:

Ez az oktatóanyag PowerShell-szkriptekkel hozza létre gyorsan az oktatóanyagi környezetet. Minden szkript a szkript elején deklarált változókat használ. Mindenképpen módosítsa a változókat a környezetének megfelelően.

Az oktatóanyag szkriptjei létrehoznak egy általános Windows Server Active Directory-környezetet (Windows Server AD) a Microsoft Entra Csatlakozás telepítése előtt. A szkripteket a kapcsolódó oktatóanyagokban is használják.

Az oktatóanyagban használt PowerShell-szkriptek a GitHubon érhetők el.

Virtuális gép létrehozása

Hibrid identitáskörnyezet létrehozásához az első feladat egy helyszíni Windows Server AD-kiszolgálóként használható virtuális gép létrehozása.

Megjegyzés:

Ha még soha nem futtatott szkriptet a PowerShellben a gazdagépen, mielőtt bármilyen szkriptet futtatna, nyissa meg a Windows PowerShell I Standard kiadás rendszergazdaként, és futtassaSet-ExecutionPolicy remotesigned. A Végrehajtási szabályzat módosítása párbeszédpanelen válassza az Igen lehetőséget.

A virtuális gép létrehozása:

1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

2. Futtassa a következő parancsfájlt:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Az operációs rendszer telepítése

A virtuális gép létrehozásának befejezéséhez telepítse az operációs rendszert:

1. A Hyper-V Kezelőben kattintson duplán a virtuális gépre.
2. Select Start.
3. A parancssorban nyomja le bármelyik billentyűt a CD-ről vagy DVD-ről való indításhoz.
4. A Windows Server kezdőablakában válassza ki a nyelvet, majd válassza a Tovább gombot.
5. Válassza a Telepítés most lehetőséget.
6. Adja meg a licenckulcsot, és válassza a Tovább gombot.
7. Jelölje be az Elfogadom a licencfeltételek jelölőnégyzetet, és válassza a Tovább gombot.
8. Válassza az Egyéni: Csak a Windows telepítése (Speciális) lehetőséget.
9. Válassza a Következő lehetőséget.
10. Ha a telepítés befejeződött, indítsa újra a virtuális gépet. Jelentkezzen be, majd ellenőrizze a Windows Update-et. Telepítse a frissítéseket, hogy a virtuális gép teljes mértékben naprakész legyen.

A Windows Server AD előfeltételeinek telepítése

A Windows Server AD telepítése előtt futtasson egy szkriptet, amely telepíti az előfeltételeket:

1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

2. Run Set-ExecutionPolicy remotesigned. A Végrehajtási szabályzat módosítása párbeszédpanelen válassza az Igen mindenkinek lehetőséget.

3. Futtassa a következő parancsfájlt:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Windows Server AD-környezet létrehozása

Most telepítse és konfigurálja a Active Directory tartományi szolgáltatások a környezet létrehozásához:

1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

2. Futtassa a következő parancsfájlt:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Windows Server AD-felhasználó létrehozása

Ezután hozzon létre egy tesztfelhasználói fiókot. Hozza létre ezt a fiókot a helyi Active Directory környezetben. A fiók ezután szinkronizálva lesz a Microsoft Entra-azonosítóval.

1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

2. Futtassa a következő parancsfájlt:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Tanúsítvány létrehozása az AD FS-hez

Olyan TLS- vagy SSL-tanúsítványra van szüksége, amelyet Active Directory összevonási szolgáltatások (AD FS) (AD FS) fog használni. A tanúsítvány egy önaláírt tanúsítvány, amelyet csak teszteléshez használhat. Javasoljuk, hogy éles környezetben ne használjon önaláírt tanúsítványt.

Tanúsítvány létrehozása:

1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

2. Futtassa a következő parancsfájlt:

   #Declare variables
   $DNSname = "adfs.contoso.com"
   $Location = "cert:\LocalMachine\My"
   
   #Create a certificate
   New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
   

Microsoft Entra-bérlő létrehozása

Ha nincs ilyenje, kövesse az Új bérlő létrehozása a Microsoft Entra-azonosítóban című cikkben ismertetett lépéseket egy új bérlő létrehozásához.

Hibrid identitás Rendszergazda istrator-fiók létrehozása a Microsoft Entra ID-ban

A következő feladat egy hibrid identitás Rendszergazda istrator-fiók létrehozása. Ez a fiók a Microsoft Entra Csatlakozás or-fiók létrehozásához használható a Microsoft Entra Csatlakozás telepítése során. A Microsoft Entra Csatlakozás or-fiók segítségével adatokat írhat a Microsoft Entra-azonosítóba.

A Hibrid identitás Rendszergazda istrator-fiók létrehozása:

1. Sign in to the Microsoft Entra admin center.

2. Tallózás az Identitásfelhasználók >>minden felhasználója között

3. Válassza az Új felhasználó új felhasználó> létrehozása lehetőséget.

4. Az Új felhasználó létrehozása panelen adja meg az új felhasználó megjelenítendő nevét és egyszerű felhasználónevét. Létrehozza a hibrid identitás Rendszergazda istrator-fiókját a bérlő számára. Megjelenítheti és másolhatja az ideiglenes jelszót.

   1. A Hozzárendelések területen válassza a Szerepkör hozzáadása, majd a Hibrid identitás Rendszergazda istrator lehetőséget.

5. Ezután válassza a Véleményezés + létrehozás lehetőséget>.

6. Egy új webböngészőablakban myapps.microsoft.com jelentkezzen be az új Hibrid identitás Rendszergazda istrator-fiókkal és az ideiglenes jelszóval.

7. Válasszon új jelszót a Hibrid identitás Rendszergazda istrator-fiókhoz, és módosítsa a jelszót.

Egyéni tartománynév hozzáadása a címtárhoz

Most, hogy rendelkezik egy bérlővel és egy hibrid identitás Rendszergazda istrator-fiókkal, adja hozzá az egyéni tartományt, hogy az Azure ellenőrizhesse azt.

Egyéni tartománynév hozzáadása címtárhoz:

1. A [Microsoft Entra felügyeleti központban](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview) zárja be a Minden felhasználó panelt.

2. A Bal oldali menü Kezelés területén válassza az Egyéni tartománynevek lehetőséget.

3. Válassza az Egyéni tartomány hozzáadása lehetőséget.

   

4. Az Egyéni tartománynevek mezőben adja meg az egyéni tartomány nevét, majd válassza a Tartomány hozzáadása lehetőséget.

5. Az egyéni tartománynévben a TXT vagy az MX információ jelenik meg. Ezeket az adatokat hozzá kell adnia a tartományregisztráló DNS-adataihoz. Lépjen a tartományregisztrálójához, és adja meg a TXT vagy az MX adatokat a tartomány DNS-beállításai között.

   Ha hozzáadja ezeket az adatokat a tartományregisztrálójához, az Azure ellenőrizheti a tartományát. A tartományellenőrzés akár 24 órát is igénybe vehet.

   További információkért tekintse meg az egyéni tartomány dokumentációjának hozzáadását.

6. A tartomány ellenőrzésének ellenőrzéséhez válassza az Ellenőrzés lehetőséget.

   

A Microsoft Entra Csatlakozás letöltése és telepítése

Itt az ideje, hogy letöltse és telepítse a Microsoft Entra Csatlakozás. A telepítés után az expressz telepítést fogja használni.

1. Töltse le a Microsoft Entra Csatlakozás.

2. Nyissa meg az AzureAD Csatlakozás.msi fájlt, és kattintson duplán a telepítési fájl megnyitásához.

3. Az Üdvözlő menüben jelölje be a jelölőnégyzetet a licencfeltételek elfogadásához, majd válassza a Folytatás lehetőséget.

4. Az Expressz beállításokban válassza a Testreszabás lehetőséget.

5. A Szükséges összetevők telepítése területen válassza a Telepítés lehetőséget.

6. A felhasználói bejelentkezésben válassza az Összevonás az AD FS-szel lehetőséget, majd a Tovább gombot.

   

7. A Microsoft Entra-azonosítóra Csatlakozás adja meg a korábban létrehozott Hibrid identitás Rendszergazda istrator-fiók felhasználónevét és jelszavát, majd válassza a Tovább gombot.

8. A címtárak Csatlakozás válassza a Címtár hozzáadása lehetőséget. Ezután válassza az Új AD-fiók létrehozása lehetőséget, és adja meg a contoso\Rendszergazda istrator felhasználónevet és jelszót. Kattintson az OK gombra.

9. Válassza a Következő lehetőséget.

10. A Microsoft Entra bejelentkezési konfigurációjában válassza a Folytatás lehetőséget anélkül, hogy az összes UPN-utótagnak megfelelteti az ellenőrzött tartományokat. Válassza a Következő lehetőséget.

11. A Tartomány és szervezeti egység szűrése területen válassza a Tovább gombot.

12. A felhasználók egyedi azonosításához válassza a Tovább gombot.

13. A Felhasználók és eszközök szűrése területen válassza a Tovább gombot.

14. A Választható funkciók területen válassza a Tovább gombot.

15. A Tartomány Rendszergazda istrator hitelesítő adatai között adja meg a contoso\Rendszergazda istrator felhasználónevet és jelszót, majd kattintson a Tovább gombra.

16. Az AD FS-farmban győződjön meg arról, hogy be van jelölve egy új AD FS-farm konfigurálása.

17. Válassza az Összevonási kiszolgálókon telepített tanúsítvány használata, majd a Tallózás lehetőséget.

18. A keresőmezőbe írja be a DC1 kifejezést, és jelölje ki a keresési eredmények között. Kattintson az OK gombra.

19. Tanúsítványfájl esetén válassza a adfs.contoso.com, a létrehozott tanúsítványt. Válassza a Következő lehetőséget.

    

20. Az AD FS-kiszolgálón válassza a Tallózás lehetőséget. A keresőmezőbe írja be a DC1 kifejezést, és jelölje ki a keresési eredmények között. Kattintson az OK gombra, majd a Tovább gombra.

    

21. A webalkalmazás-proxykiszolgálókon válassza a Tovább gombot.

22. Az AD FS szolgáltatásfiókban adja meg a contoso\Rendszergazda istrator felhasználónevet és jelszót, majd válassza a Tovább gombot.

23. A Microsoft Entra Domainben válassza ki az ellenőrzött egyéni tartományt, majd válassza a Tovább lehetőséget.

24. A Konfigurálásra kész területen válassza a Telepítés lehetőséget.

25. Ha a telepítés befejeződött, válassza a Kilépés lehetőséget.

26. A Szinkronizálási szolgáltatáskezelő vagy a Szinkronizálási szabályszerkesztő használata előtt jelentkezzen ki, majd jelentkezzen be újra.

Felhasználók keresése a portálon

Most ellenőrizni fogja, hogy a helyi Active Directory-bérlő felhasználói szinkronizálva lettek-e, és most már a Microsoft Entra-bérlőben vannak-e. Ez a szakasz néhány órát is igénybe vehet.

A felhasználók szinkronizálásának ellenőrzése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.

2. Tallózás az Identitásfelhasználók >>minden felhasználója között

3. Ellenőrizze, hogy az új felhasználók megjelennek-e a bérlőben.

   

Bejelentkezés felhasználói fiókkal a szinkronizálás teszteléséhez

Annak ellenőrzéséhez, hogy a Windows Server AD-bérlő felhasználói szinkronizálva vannak-e a Microsoft Entra-bérlővel, jelentkezzen be az egyik felhasználóként:

1. Odamegy https://myapps.microsoft.com.

2. Jelentkezzen be az új bérlőben létrehozott felhasználói fiókkal.

   A felhasználónévhez használja a formátumot user@domain.onmicrosoft.com. Használja ugyanazt a jelszót, amelyet a felhasználó a helyi Active Directory való bejelentkezéshez használ.

Sikeresen beállított egy hibrid identitáskezelési környezetet, amellyel tesztelheti és megismerheti az Azure által kínált lehetőségeket.

További lépések

• Tekintse át a Microsoft Entra Csatlakozás hardvereket és előfeltételeket.
• Megtudhatja, hogyan használhat testre szabott beállításokat a Microsoft Entra Csatlakozás.
• További információ a Microsoft Entra Csatlakozás és összevonásáról.