Zelfstudie: Wachtwoordsynchronisatie inschakelen in Microsoft Entra Domain Services voor hybride omgevingen
Voor hybride omgevingen kan een Microsoft Entra-tenant worden geconfigureerd om te synchroniseren met een on-premises Active Directory-domein Services-omgeving (AD DS) met behulp van Microsoft Entra Verbinding maken. Microsoft Entra Verbinding maken synchroniseert standaard geen verouderde NT LAN Manager (NTLM) en Kerberos-wachtwoordhashes die nodig zijn voor Microsoft Entra Domain Services.
Als u Domain Services wilt gebruiken met accounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving, moet u Microsoft Entra-Verbinding maken configureren om deze wachtwoordhashes te synchroniseren die vereist zijn voor NTLM- en Kerberos-verificatie. Nadat Microsoft Entra Connect is geconfigureerd, worden ook verouderde wachtwoordhashes met Microsoft Entra ID gesynchroniseerd wanneer een on-premises account wordt gemaakt of een wachtwoord wordt gewijzigd.
U hoeft deze stappen niet uit te voeren als u cloudaccounts zonder een on-premises AD DS-omgeving gebruikt.
In deze zelfstudie komen deze onderwerpen aan bod:
- Waarom verouderde NTLM- en Kerberos-wachtwoordhashes nodig zijn
- Verouderde wachtwoord-hashsynchronisatie configureren voor Microsoft Entra Verbinding maken
Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.
Vereisten
Voor het voltooien van deze zelfstudie hebt u de volgende resources nodig:
- Een actief Azure-abonnement.
- Als u nog geen Azure-abonnement hebt, maakt u een account.
- Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement dat wordt gesynchroniseerd met een on-premises directory met behulp van Microsoft Entra Verbinding maken.
- Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
- Schakel zo nodig Microsoft Entra Verbinding maken in voor wachtwoord-hashsynchronisatie.
- Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
- Maak en configureer zo nodig een door Microsoft Entra Domain Services beheerd domein.
Wachtwoord-hashsynchronisatie met Microsoft Entra Verbinding maken
Microsoft Entra Verbinding maken wordt gebruikt voor het synchroniseren van objecten zoals gebruikersaccounts en groepen uit een on-premises AD DS-omgeving in een Microsoft Entra-tenant. Als onderdeel van het proces kunnen accounts met wachtwoord-hashsynchronisatie hetzelfde wachtwoord gebruiken in de on-premises AD DS-omgeving en Microsoft Entra-id.
Voor het verifiëren van gebruikers in het beheerde domein heeft Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NTLM- en Kerberos-verificatie. Microsoft Entra ID slaat geen wachtwoordhashes op in de indeling die is vereist voor NTLM- of Kerberos-verificatie totdat u Domain Services inschakelt voor uw tenant. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.
Microsoft Entra Verbinding maken kan worden geconfigureerd om de vereiste NTLM- of Kerberos-wachtwoordhashes voor Domain Services te synchroniseren. Zorg ervoor dat u de stappen hebt voltooid om Microsoft Entra Verbinding maken in te schakelen voor wachtwoord-hashsynchronisatie. Als u een bestaand exemplaar van Microsoft Entra Verbinding maken hebt, downloadt en werkt u deze bij naar de nieuwste versie om ervoor te zorgen dat u de verouderde wachtwoordhashes voor NTLM en Kerberos kunt synchroniseren. Deze functionaliteit is niet beschikbaar in vroege versies van Microsoft Entra Verbinding maken of met het verouderde DirSync-hulpprogramma. Microsoft Entra Verbinding maken versie 1.1.614.0 of hoger is vereist.
Belangrijk
Microsoft Entra Verbinding maken mag alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen. Het wordt niet ondersteund om Microsoft Entra Verbinding maken te installeren in een door Domain Services beheerd domein om objecten terug te synchroniseren naar Microsoft Entra-id.
Synchronisatie van wachtwoordhashes inschakelen
Nu Microsoft Entra Verbinding maken geïnstalleerd en geconfigureerd voor synchronisatie met Microsoft Entra ID, configureert u nu de verouderde wachtwoord-hashsynchronisatie voor NTLM en Kerberos. Een PowerShell-script wordt gebruikt om de vereiste instellingen te configureren en vervolgens een volledige wachtwoordsynchronisatie met Microsoft Entra-id te starten. Wanneer dat Microsoft Entra Verbinding maken wachtwoord-hashsynchronisatieproces is voltooid, kunnen gebruikers zich aanmelden bij toepassingen via Domain Services die gebruikmaken van verouderde wachtwoordhashes van NTLM of Kerberos.
Open op de computer waarop Microsoft Entra Verbinding maken geïnstalleerd, vanuit de Startmenu, de Microsoft Entra Verbinding maken > Synchronization Service.
Selecteer het tabblad Verbinding maken ors. De verbindingsgegevens die worden gebruikt om de synchronisatie tussen de on-premises AD DS-omgeving en de Microsoft Entra-id tot stand te brengen, worden vermeld.
Het type geeft Windows Entra ID (Microsoft) aan voor de Microsoft Entra-connector of Active Directory-domein Services voor de on-premises AD DS-connector. Noteer de connectornamen die in het PowerShell-script moeten worden gebruikt in de volgende stap.
In deze voorbeeldschermopname worden de volgende connectors gebruikt:
- De Microsoft Entra-connector heet contoso.onmicrosoft.com - Microsoft Entra-id
- De on-premises AD DS-connector heeft de naam onprem.contoso.com
Kopieer en plak het volgende PowerShell-script op de computer waarop Microsoft Entra Verbinding maken geïnstalleerd. Door het script wordt een volledige wachtwoordsynchronisatie geactiveerd, inclusief verouderde wachtwoordhashes. Werk de variabelen
$azureadConnectoren$adConnectorbij met de connectornamen uit de vorige stap.Voer dit script uit op elk AD-forest om NTLM- en Kerberos-wachtwoordhashes te synchroniseren met Microsoft Entra-id.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueAfhankelijk van de grootte van uw adreslijst in termen van het aantal accounts en groepen, kan het enige tijd duren voordat de verouderde wachtwoordhashes met Microsoft Entra-id worden gesynchroniseerd. De wachtwoorden worden vervolgens gesynchroniseerd met het beheerde domein nadat ze zijn gesynchroniseerd met Microsoft Entra-id.
Volgende stappen
In deze zelfstudie hebt u het volgende geleerd:
- Waarom verouderde NTLM- en Kerberos-wachtwoordhashes nodig zijn
- Verouderde wachtwoord-hashsynchronisatie configureren voor Microsoft Entra Verbinding maken