Share via


Zelfstudie: Wachtwoordsynchronisatie inschakelen in Microsoft Entra Domain Services voor hybride omgevingen

Voor hybride omgevingen kan een Microsoft Entra-tenant worden geconfigureerd om te synchroniseren met een on-premises Active Directory-domein Services-omgeving (AD DS) met behulp van Microsoft Entra Verbinding maken. Microsoft Entra Verbinding maken synchroniseert standaard geen verouderde NT LAN Manager (NTLM) en Kerberos-wachtwoordhashes die nodig zijn voor Microsoft Entra Domain Services.

Als u Domain Services wilt gebruiken met accounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving, moet u Microsoft Entra-Verbinding maken configureren om deze wachtwoordhashes te synchroniseren die vereist zijn voor NTLM- en Kerberos-verificatie. Nadat Microsoft Entra Connect is geconfigureerd, worden ook verouderde wachtwoordhashes met Microsoft Entra ID gesynchroniseerd wanneer een on-premises account wordt gemaakt of een wachtwoord wordt gewijzigd.

U hoeft deze stappen niet uit te voeren als u cloudaccounts zonder een on-premises AD DS-omgeving gebruikt.

In deze zelfstudie komen deze onderwerpen aan bod:

  • Waarom verouderde NTLM- en Kerberos-wachtwoordhashes nodig zijn
  • Verouderde wachtwoord-hashsynchronisatie configureren voor Microsoft Entra Verbinding maken

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources nodig:

Wachtwoord-hashsynchronisatie met Microsoft Entra Verbinding maken

Microsoft Entra Verbinding maken wordt gebruikt voor het synchroniseren van objecten zoals gebruikersaccounts en groepen uit een on-premises AD DS-omgeving in een Microsoft Entra-tenant. Als onderdeel van het proces kunnen accounts met wachtwoord-hashsynchronisatie hetzelfde wachtwoord gebruiken in de on-premises AD DS-omgeving en Microsoft Entra-id.

Voor het verifiëren van gebruikers in het beheerde domein heeft Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NTLM- en Kerberos-verificatie. Microsoft Entra ID slaat geen wachtwoordhashes op in de indeling die is vereist voor NTLM- of Kerberos-verificatie totdat u Domain Services inschakelt voor uw tenant. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.

Microsoft Entra Verbinding maken kan worden geconfigureerd om de vereiste NTLM- of Kerberos-wachtwoordhashes voor Domain Services te synchroniseren. Zorg ervoor dat u de stappen hebt voltooid om Microsoft Entra Verbinding maken in te schakelen voor wachtwoord-hashsynchronisatie. Als u een bestaand exemplaar van Microsoft Entra Verbinding maken hebt, downloadt en werkt u deze bij naar de nieuwste versie om ervoor te zorgen dat u de verouderde wachtwoordhashes voor NTLM en Kerberos kunt synchroniseren. Deze functionaliteit is niet beschikbaar in vroege versies van Microsoft Entra Verbinding maken of met het verouderde DirSync-hulpprogramma. Microsoft Entra Verbinding maken versie 1.1.614.0 of hoger is vereist.

Belangrijk

Microsoft Entra Verbinding maken mag alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen. Het wordt niet ondersteund om Microsoft Entra Verbinding maken te installeren in een door Domain Services beheerd domein om objecten terug te synchroniseren naar Microsoft Entra-id.

Synchronisatie van wachtwoordhashes inschakelen

Nu Microsoft Entra Verbinding maken geïnstalleerd en geconfigureerd voor synchronisatie met Microsoft Entra ID, configureert u nu de verouderde wachtwoord-hashsynchronisatie voor NTLM en Kerberos. Een PowerShell-script wordt gebruikt om de vereiste instellingen te configureren en vervolgens een volledige wachtwoordsynchronisatie met Microsoft Entra-id te starten. Wanneer dat Microsoft Entra Verbinding maken wachtwoord-hashsynchronisatieproces is voltooid, kunnen gebruikers zich aanmelden bij toepassingen via Domain Services die gebruikmaken van verouderde wachtwoordhashes van NTLM of Kerberos.

  1. Open op de computer waarop Microsoft Entra Verbinding maken geïnstalleerd, vanuit de Startmenu, de Microsoft Entra Verbinding maken > Synchronization Service.

  2. Selecteer het tabblad Verbinding maken ors. De verbindingsgegevens die worden gebruikt om de synchronisatie tussen de on-premises AD DS-omgeving en de Microsoft Entra-id tot stand te brengen, worden vermeld.

    Het type geeft Windows Entra ID (Microsoft) aan voor de Microsoft Entra-connector of Active Directory-domein Services voor de on-premises AD DS-connector. Noteer de connectornamen die in het PowerShell-script moeten worden gebruikt in de volgende stap.

    List the connector names in Sync Service Manager

    In deze voorbeeldschermopname worden de volgende connectors gebruikt:

    • De Microsoft Entra-connector heet contoso.onmicrosoft.com - Microsoft Entra-id
    • De on-premises AD DS-connector heeft de naam onprem.contoso.com
  3. Kopieer en plak het volgende PowerShell-script op de computer waarop Microsoft Entra Verbinding maken geïnstalleerd. Door het script wordt een volledige wachtwoordsynchronisatie geactiveerd, inclusief verouderde wachtwoordhashes. Werk de variabelen $azureadConnector en $adConnector bij met de connectornamen uit de vorige stap.

    Voer dit script uit op elk AD-forest om NTLM- en Kerberos-wachtwoordhashes te synchroniseren met Microsoft Entra-id.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Afhankelijk van de grootte van uw adreslijst in termen van het aantal accounts en groepen, kan het enige tijd duren voordat de verouderde wachtwoordhashes met Microsoft Entra-id worden gesynchroniseerd. De wachtwoorden worden vervolgens gesynchroniseerd met het beheerde domein nadat ze zijn gesynchroniseerd met Microsoft Entra-id.

Volgende stappen

In deze zelfstudie hebt u het volgende geleerd:

  • Waarom verouderde NTLM- en Kerberos-wachtwoordhashes nodig zijn
  • Verouderde wachtwoord-hashsynchronisatie configureren voor Microsoft Entra Verbinding maken