Tutorial: Lingkungan Active Directory Dasar
Tutorial ini memandu Anda membuat lingkungan Active Directory dasar.
Anda dapat menggunakan lingkungan yang Anda buat dalam tutorial untuk menguji berbagai aspek skenario identitas hibrid dan akan menjadi prasyarat untuk beberapa tutorial. Jika sudah memiliki lingkungan Active Directory yang ada, Anda dapat menggunakannya sebagai pengganti. Informasi ini disediakan untuk individu yang mungkin mulai dari apa-apa.
Tutorial ini terdiri dari
Prasyarat
Berikut ini adalah prasyarat yang diperlukan untuk menyelesaikan tutorial ini
- Komputer dengan Hyper-V diinstal. Disarankan untuk melakukan ini pada komputer Windows 10 atau Windows Server 2016 .
- Adapter jaringan eksternal untuk memungkinkan komputer virtual berkomunikasi dengan internet.
- Langganan Azure
- Salinan Windows Server 2016
- Microsoft .NET Framework 4.7.1
Catatan
Tutorial ini menggunakan skrip PowerShell sehingga Anda dapat membuat lingkungan tutorial dengan cepat. Masing-masing skrip menggunakan variabel yang dinyatakan di awal skrip. Anda dapat dan harus mengubah variabel untuk mencerminkan lingkungan Anda.
Skrip yang digunakan membuat lingkungan Direktori Aktif umum sebelum menginstal agen provisi cloud Microsoft Entra Koneksi. Skrip ini relevan untuk semua tutorial.
Salinan skrip PowerShell yang digunakan Di tutorial ini tersedia di GitHub di sini.
Membuat mesin virtual
Hal pertama yang harus Anda lakukan, untuk meningkatkan lingkungan identitas hibrid dan berjalan adalah dengan membuat komputer virtual yang akan digunakan sebagai server Active Directory lokal. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Selesaikan penyebaran sistem operasi
Untuk menyelesaikan pembangunan komputer virtual, Anda perlu menyelesaikan penginstalan sistem operasi.
- Hyper-V Manager, klik dua kali komputer virtual
- Klik tombol Mulai.
- Anda akan diminta untuk 'Tekan tombol apa pun untuk boot dari CD atau DVD'. Lanjutkan dan lakukan.
- Pada layar awal Windows Server, pilih bahasa Anda dan klik Berikutnya.
- Klik Pasang Sekarang.
- Masukkan kunci lisensi dan klik Berikutnya.
- Centang **Saya menyetujui syarat lisensi dan klik Berikutnya.
- Pilih Kustom: Instal Windows Saja (Tingkat Lanjut)
- Klik Berikutnya
- Setelah penginstalan selesai, hidupkan ulang komputer virtual, masuk dan jalankan pembaruan Windows untuk memastikan komputer virtual memiliki versi terbaru. Pasang pembaruan terbaru.
Pasang prasyarat Direktori Aktif
Setelah memiliki komputer virtual, Anda perlu melakukan beberapa hal sebelum menginstal Direktori Aktif. Artinya, Anda perlu mengganti nama komputer virtual, mengatur alamat IP statik dan informasi DNS, serta menginstal alat Administrasi Server Jarak Jauh. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Membuat lingkungan Active Directory lokal
Setelah VM dibuat dan namanya telah diganti dan memiliki alamat IP statik, Anda dapat melanjutkan dan menginstal serta mengonfigurasi AD DS. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomaninNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Membuat pengguna Active Directory lokal
Setelah memiliki lingkungan Active Directory kami, Anda memerlukan akun uji coba. Akun ini akan dibuat di lingkungan AD lokal kami lalu disinkronkan ke ID Microsoft Entra. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
# Filename: 4_CreateUser.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Membuat penyewa Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Sekarang Anda perlu membuat penyewa Microsoft Entra sehingga Anda dapat menyinkronkan pengguna kami ke cloud. Untuk membuat penyewa Microsoft Entra baru, lakukan hal berikut.
- Masuk ke pusat admin Microsoft Entra dan masuk dengan akun yang memiliki langganan Microsoft Entra Anda.
- Klik Ringkasan.
- Klik Kelola penyewa.
- Pilih Buat
. - Berikan nama untuk organisasi disertai nama domain awal. Lalu pilih Buat. Tindakan ini akan membuat direktori Anda.
- Setelah selesai, klik tautan di sini, untuk mengelola direktori.
Membuat administrator global di ID Microsoft Entra
Sekarang setelah Anda memiliki penyewa Microsoft Entra, Anda akan membuat akun administrator global. Untuk membuat akun administrator global, lakukan tindakan berikut.
- Di bawah Kelola, pilih Pengguna.
- Pilih Semua pengguna, lalu pilih + Pengguna baru.
- Beri nama dan nama pengguna untuk pengguna ini. Ini akan menjadi Administrator Global Anda untuk penyewa. Anda juga ingin mengubah peran Direktori menjadi Administrator global. Anda juga dapat menampilkan kata sandi sementara. Setelah selesai, pilih Buat.
- Setelah selesai, buka browser web baru dan masuk ke myapps.microsoft.com menggunakan akun administrator global baru dan kata sandi sementara.
- Ubah kata sandi untuk administrator global menjadi sesuatu yang akan Anda ingat.
Opsional: Server dan forest tambahan
Berikut ini adalah bagian opsional yang berisi langkah-langkah untuk membuat server dan atau forest tambahan. Ini dapat digunakan dalam beberapa tutorial yang lebih canggih seperti Pilot untuk Microsoft Entra Koneksi ke sinkronisasi cloud.
Jika hanya memerlukan server tambahan, Anda dapat berhenti setelah - langkah Membuat langkah komputer virtual dan bergabung dengan server ke domain yang ada yang dibuat di atas.
Membuat mesin virtual
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
# Filename: 1_CreateVM_CP.ps1 # Description: Creates a VM to be used in the tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you. # # # # #Declare variables $VMName = 'CP1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\CP1\CP1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Selesaikan penyebaran sistem operasi
Untuk menyelesaikan pembangunan komputer virtual, Anda perlu menyelesaikan penginstalan sistem operasi.
- Hyper-V Manager, klik dua kali komputer virtual
- Klik tombol Mulai.
- Anda akan diminta untuk 'Tekan tombol apa pun untuk boot dari CD atau DVD'. Lanjutkan dan lakukan.
- Pada layar awal Windows Server, pilih bahasa Anda dan klik Berikutnya.
- Klik Pasang Sekarang.
- Masukkan kunci lisensi dan klik Berikutnya.
- Centang **Saya menyetujui syarat lisensi dan klik Berikutnya.
- Pilih Kustom: Instal Windows Saja (Tingkat Lanjut)
- Klik Berikutnya
- Setelah penginstalan selesai, hidupkan ulang komputer virtual, masuk dan jalankan pembaruan Windows untuk memastikan komputer virtual memiliki versi terbaru. Pasang pembaruan terbaru.
Pasang prasyarat Direktori Aktif
Setelah memiliki komputer virtual, Anda perlu melakukan beberapa hal sebelum menginstal Direktori Aktif. Artinya, Anda perlu mengganti nama komputer virtual, mengatur alamat IP statik dan informasi DNS, serta menginstal alat Administrasi Server Jarak Jauh. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
# Filename: 2_ADPrep_CP.ps1 # Description: Prepares your environment for Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $ipaddress = "10.0.1.118" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.118" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "CP1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw #Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Membuat lingkungan Active Directory lokal
Setelah VM dibuat dan namanya telah diganti dan memiliki alamat IP statik, Anda dapat melanjutkan dan menginstal serta mengonfigurasi AD DS. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
# Filename: 3_InstallAD_CP.ps1 # Description: Creates an on-premises AD environment. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "fabrikam.com" $DomaninNetBIOSName = "FABRIKAM" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Membuat pengguna Active Directory lokal
Setelah memiliki lingkungan Active Directory kami, Anda memerlukan akun uji coba. Akun ini akan dibuat di lingkungan AD lokal kami lalu disinkronkan ke ID Microsoft Entra. Lakukan:
Buka PowerShell ISE sebagai Administrator.
Jalankan skrip berikut.
# Filename: 4_CreateUser_CP.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Anna" $Surname = "Ringdal" $Displayname = "Anna Ringdal" $Name = "aringdal" $Password = "Pass1w0rd" $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Kesimpulan
Setelah memiliki lingkungan yang dapat digunakan untuk tutorial yang ada dan untuk menguji fitur tambahan yang disediakan sinkronisasi cloud.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk