Bagikan melalui


Tutorial: Mengaktifkan sinkronisasi kata sandi di Microsoft Entra Domain Services untuk lingkungan hibrid

Untuk lingkungan hibrid, penyewa Microsoft Entra dapat dikonfigurasi untuk disinkronkan dengan lingkungan Active Directory lokal Domain Services (AD DS) menggunakan Microsoft Entra Koneksi. Secara default, Microsoft Entra Koneksi tidak menyinkronkan hash kata sandi NT LAN Manager (NTLM) dan Kerberos warisan yang diperlukan untuk Microsoft Entra Domain Services.

Untuk menggunakan Domain Services dengan akun yang disinkronkan dari lingkungan AD DS lokal, Anda perlu mengonfigurasi Microsoft Entra Koneksi untuk menyinkronkan hash kata sandi yang diperlukan untuk autentikasi NTLM dan Kerberos. Setelah Microsoft Entra Connect dikonfigurasi, peristiwa pembuatan akun atau perubahan kata sandi lokal juga akan menyinkronkan hash kata sandi lama ke Microsoft Entra ID.

Anda tidak perlu melakukan langkah-langkah ini jika Anda menggunakan akun khusus cloud tanpa lingkungan AD DS lokal.

Dalam tutorial ini, Anda mempelajari:

  • Mengapa hash kata sandi warisan NTLM dan Kerberos diperlukan
  • Cara mengonfigurasi sinkronisasi hash kata sandi lama untuk Microsoft Entra Koneksi

Jika Anda tidak memiliki langganan Azure, buat sebuah akun sebelum Anda memulai.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya berikut:

Sinkronisasi hash kata sandi menggunakan Microsoft Entra Koneksi

Microsoft Entra Koneksi digunakan untuk menyinkronkan objek seperti akun pengguna dan grup dari lingkungan AD DS lokal ke penyewa Microsoft Entra. Sebagai bagian dari proses, sinkronisasi hash kata sandi memungkinkan akun menggunakan kata sandi yang sama di lingkungan AD DS lokal dan ID Microsoft Entra.

Untuk mengautentikasi pengguna di domain terkelola, Domain Services memerlukan hash kata sandi dalam format yang cocok untuk autentikasi NTLM dan Kerberos. ID Microsoft Entra tidak menyimpan hash kata sandi dalam format yang diperlukan untuk autentikasi NTLM atau Kerberos hingga Anda mengaktifkan Layanan Domain untuk penyewa Anda. Untuk alasan keamanan, ID Microsoft Entra juga tidak menyimpan kredensial kata sandi apa pun dalam bentuk teks yang jelas. Oleh karena itu, ID Microsoft Entra tidak dapat secara otomatis menghasilkan hash kata sandi NTLM atau Kerberos ini berdasarkan kredensial pengguna yang ada.

Microsoft Entra Koneksi dapat dikonfigurasi untuk menyinkronkan hash kata sandi NTLM atau Kerberos yang diperlukan untuk Layanan Domain. Pastikan Anda telah menyelesaikan langkah-langkah untuk mengaktifkan Microsoft Entra Koneksi untuk sinkronisasi hash kata sandi. Jika Anda memiliki instans Microsoft Entra Koneksi yang sudah ada, unduh dan perbarui ke versi terbaru untuk memastikan Anda dapat menyinkronkan hash kata sandi warisan untuk NTLM dan Kerberos. Fungsionalitas ini tidak tersedia dalam rilis awal Microsoft Entra Koneksi atau dengan alat DirSync warisan. Microsoft Entra Koneksi versi 1.1.614.0 atau yang lebih baru diperlukan.

Penting

Microsoft Entra Koneksi hanya boleh diinstal dan dikonfigurasi untuk sinkronisasi dengan lingkungan AD DS lokal. Tidak didukung untuk menginstal Microsoft Entra Koneksi di domain terkelola Domain Services untuk menyinkronkan objek kembali ke ID Microsoft Entra.

Aktifkan sinkronisasi hash kata sandi

Dengan Microsoft Entra Koneksi diinstal dan dikonfigurasi untuk disinkronkan dengan ID Microsoft Entra, sekarang konfigurasikan sinkronisasi hash kata sandi lama untuk NTLM dan Kerberos. Skrip PowerShell digunakan untuk mengonfigurasi pengaturan yang diperlukan lalu memulai sinkronisasi kata sandi penuh ke ID Microsoft Entra. Ketika proses sinkronisasi hash kata sandi Microsoft Entra Koneksi selesai, pengguna dapat masuk ke aplikasi melalui Layanan Domain yang menggunakan hash kata sandi NTLM atau Kerberos warisan.

  1. Di komputer dengan Microsoft Entra Koneksi terinstal, dari menu Mulai, buka Microsoft Entra Koneksi > Synchronization Service.

  2. Pilih tab Koneksi or. Informasi koneksi yang digunakan untuk membuat sinkronisasi antara lingkungan AD DS lokal dan ID Microsoft Entra tercantum.

    Jenis menunjukkan WINDOWS Microsoft Entra ID (Microsoft) untuk konektor Microsoft Entra atau Active Directory Domain Services untuk konektor AD DS lokal. Catat nama konektor yang akan digunakan dalam skrip PowerShell di langkah berikutnya.

    List the connector names in Sync Service Manager

    Dalam contoh tangkapan layar ini, konektor berikut digunakan:

    • Konektor Microsoft Entra diberi nama contoso.onmicrosoft.com - ID Microsoft Entra
    • Konektor AD DS lokal diberi nama onprem.contoso.com
  3. Salin dan tempel skrip PowerShell berikut ke komputer dengan Microsoft Entra Koneksi terinstal. Skrip memicu sinkronisasi kata sandi penuh yang menyertakan hash kata sandi warisan. Perbarui variabel $azureadConnector dan $adConnector dengan nama konektor dari langkah sebelumnya.

    Jalankan skrip ini di setiap forest AD untuk menyinkronkan hash kata sandi NTLM dan Kerberos akun lokal ke ID Microsoft Entra.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Bergantung pada ukuran direktori Anda dalam hal jumlah akun dan grup, sinkronisasi hash kata sandi warisan ke ID Microsoft Entra mungkin memakan waktu. Kata sandi kemudian disinkronkan ke domain terkelola setelah disinkronkan ke ID Microsoft Entra.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari:

  • Mengapa hash kata sandi warisan NTLM dan Kerberos diperlukan
  • Cara mengonfigurasi sinkronisasi hash kata sandi lama untuk Microsoft Entra Koneksi