Zelfstudie: Wachtwoord-hashsynchronisatie gebruiken voor hybride identiteit in één Active Directory-forest

In deze zelfstudie leert u hoe u een hybride identiteitsomgeving maakt in Azure met behulp van wachtwoord-hashsynchronisatie en Windows Server Active Directory (Windows Server AD). U kunt de hybride identiteitsomgeving gebruiken die u maakt om te testen of om meer vertrouwd te raken met de werking van hybride identiteiten.

In deze zelfstudie leert u het volgende:

• Hiermee maakt u een virtuele machine.
• Maak een Windows Server Active Directory-omgeving.
• Maak een Windows Server Active Directory-gebruiker.
• Maak een Microsoft Entra-tenant.
• Maak een Account voor hybride identiteitbeheerder in Azure.
• Microsoft Entra Connect instellen.
• Test en controleer of gebruikers zijn gesynchroniseerd.

Vereisten

• Een computer waarop Hyper-V is geïnstalleerd. U wordt aangeraden Hyper-V te installeren op een Computer met Windows 10 of Windows Server 2016 .
• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.
• Een externe netwerkadapter, zodat de virtuele machine verbinding kan maken met internet.
• Een kopie van Windows Server 2016.

Notitie

In deze zelfstudie worden PowerShell-scripts gebruikt om snel de zelfstudieomgeving te maken. Elk script maakt gebruik van variabelen die aan het begin van het script worden gedeclareerd. Zorg ervoor dat u de variabelen wijzigt zodat deze overeenkomen met uw omgeving.

De scripts in de zelfstudie maken een algemene Windows Server Active Directory-omgeving (Windows Server AD) voordat ze Microsoft Entra Connect installeren. De scripts worden ook gebruikt in gerelateerde zelfstudies.

De PowerShell-scripts die in deze zelfstudie worden gebruikt, zijn beschikbaar op GitHub.

Maak een virtuele machine

Als u een hybride identiteitsomgeving wilt maken, moet u eerst een virtuele machine maken die moet worden gebruikt als een on-premises Windows Server AD-server.

Notitie

Als u nog nooit een script in PowerShell op uw hostcomputer hebt uitgevoerd voordat u scripts uitvoert, opent u Windows PowerShell ISE als beheerder en voert u deze uit Set-ExecutionPolicy remotesigned. Selecteer Ja in het dialoogvenster Beleidswijziging uitvoeren.

De virtuele machine maken:

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Het besturingssysteem installeren

Installeer het besturingssysteem om het maken van de virtuele machine te voltooien:

1. Dubbelklik in Hyper-V-beheer op de virtuele machine.
2. Selecteer Starten.
3. Druk bij de prompt op een willekeurige toets om vanaf cd of dvd op te starten.
4. Selecteer uw taal in het startvenster van Windows Server en selecteer vervolgens Volgende.
5. Selecteer Nu installeren.
6. Voer uw licentiesleutel in en selecteer Volgende.
7. Schakel het selectievakje Ik ga akkoord met de licentievoorwaarden in en selecteer Volgende.
8. Selecteer Aangepast: Alleen Windows installeren (geavanceerd).
9. Selecteer Volgende.
10. Wanneer de installatie is voltooid, start u de virtuele machine opnieuw op. Meld u aan en controleer Windows Update. Installeer eventuele updates om ervoor te zorgen dat de VM volledig up-to-date is.

Vereisten voor Windows Server AD installeren

Voordat u Windows Server AD installeert, voert u een script uit waarmee vereisten worden geïnstalleerd:

1. Open Windows PowerShell ISE als beheerder.

2. Voer Set-ExecutionPolicy remotesigned uit. Selecteer Ja in alles in het dialoogvenster Wijziging van uitvoeringsbeleid.

3. Voer het volgende script uit:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "4.2.2.2" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Een Windows Server AD-omgeving inrichten

Installeer en configureer nu Active Directory-domein Services om de omgeving te maken:

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Een Windows Server AD-gebruiker maken

Maak vervolgens een testgebruikersaccount. Maak dit account in uw on-premises Active Directory-omgeving. Het account wordt vervolgens gesynchroniseerd met de Microsoft Entra-id.

1. Open Windows PowerShell ISE als beheerder.

2. Voer het volgende script uit:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Een Microsoft Entra-tenant maken

Als u nog geen tenant hebt, volgt u de stappen in het artikel Een nieuwe tenant maken in Microsoft Entra ID om een nieuwe tenant te maken.

Een hybride identiteitsbeheerder maken in Microsoft Entra-id

De volgende taak is het maken van een account voor hybride identiteitsbeheerders. Dit account wordt gebruikt om het Microsoft Entra Connector-account te maken tijdens de installatie van Microsoft Entra Connect. Het Microsoft Entra Connector-account wordt gebruikt om informatie naar Microsoft Entra-id te schrijven.

Ga als volgende te werk om het account hybrid identity administrator te maken:

1. Meld u aan bij het Microsoft Entra-beheercentrum.
2. Bladeren naar identiteitsgebruikers>>Alle gebruikers
3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken.
4. Voer in het deelvenster Nieuwe gebruiker maken een weergavenaam en een user principal name in voor de nieuwe gebruiker. U maakt uw account voor hybride identiteitsbeheerder voor de tenant. U kunt het tijdelijke wachtwoord weergeven en kopiëren.
   1. Selecteer onder Toewijzingen de optie Rol toevoegen en selecteer Hybride identiteitsbeheerder.
5. Selecteer vervolgens Beoordelen en maken>.
6. Meld u in een nieuw browservenster aan myapps.microsoft.com met het nieuwe account voor hybride identiteitsbeheerder en het tijdelijke wachtwoord.

Microsoft Entra Connect downloaden en installeren

Nu is het tijd om Microsoft Entra Connect te downloaden en te installeren. Nadat deze is geïnstalleerd, gebruikt u de snelle installatie.

1. Download Microsoft Entra Connect.

2. Ga naar AzureADConnect.msi en dubbelklik om het installatiebestand te openen.

3. Schakel in Welkom het selectievakje in om akkoord te gaan met de licentievoorwaarden en selecteer Doorgaan.

4. Selecteer Express-instellingen gebruiken in Express-instellingen.

5. Voer in Verbinding maken met Microsoft Entra-id de gebruikersnaam en het wachtwoord in voor het account van de hybride identiteitsbeheerder voor Microsoft Entra-id. Selecteer Volgende.

6. Voer in Connect to AD DS de gebruikersnaam en het wachtwoord in voor een ondernemingsbeheerdersaccount. Selecteer Volgende.

7. Selecteer Installeren in Gereed om te configureren.

8. Wanneer de installatie is voltooid, selecteert u Afsluiten.

9. Voordat u Synchronization Service Manager of Synchronization Rule Editor gebruikt, meldt u zich af en meldt u zich opnieuw aan.

Controleren op gebruikers in de portal

Nu controleert u of de gebruikers in uw on-premises Active Directory-tenant zijn gesynchroniseerd en zich nu in uw Microsoft Entra-tenant bevinden. Het kan enkele uren duren voordat deze sectie is voltooid.

Ga als volgt te werk om te controleren of de gebruikers zijn gesynchroniseerd:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

2. Bladeren naar identiteitsgebruikers>>Alle gebruikers

3. Controleer of de nieuwe gebruikers worden weergegeven in uw tenant.

   

Aanmelden met een gebruikersaccount om synchronisatie te testen

Als u wilt testen of gebruikers van uw Windows Server AD-tenant worden gesynchroniseerd met uw Microsoft Entra-tenant, meldt u zich aan als een van de gebruikers:

1. Ga naar https://myapps.microsoft.com.

2. Meld u aan met een gebruikersaccount dat is gemaakt in uw nieuwe tenant.

   Gebruik de notatie user@domain.onmicrosoft.comvoor de gebruikersnaam. Gebruik hetzelfde wachtwoord dat de gebruiker gebruikt om u aan te melden bij on-premises Active Directory.

U hebt een hybride identiteitsomgeving ingesteld die u kunt gebruiken om te testen en vertrouwd te raken met wat Azure te bieden heeft.

Volgende stappen

• Controleer de hardware en vereisten van Microsoft Entra Connect.
• Meer informatie over het gebruik van Express-instellingen in Microsoft Entra Connect.
• Meer informatie over wachtwoord-hashsynchronisatie met Microsoft Entra Connect.