Samouczek: włączanie synchronizacji haseł w usługach Microsoft Entra Domain Services dla środowisk hybrydowych

W przypadku środowisk hybrydowych dzierżawa firmy Microsoft Entra może być skonfigurowana do synchronizacji ze środowiskiem usług lokalna usługa Active Directory Domain Services (AD DS) przy użyciu usługi Microsoft Entra Połączenie. Domyślnie firma Microsoft Entra Połączenie nie synchronizuje starszych skrótów haseł NT LAN Manager (NTLM) i Kerberos, które są wymagane dla usług Microsoft Entra Domain Services.

Aby używać usług Domain Services z kontami synchronizowanymi z lokalnego środowiska usług AD DS, należy skonfigurować usługę Microsoft Entra Połączenie, aby zsynchronizować te skróty haseł wymagane do uwierzytelniania NTLM i Kerberos. Po skonfigurowaniu Microsoft Entra Connect zdarzenie utworzenia konta lokalnego lub zmiany hasła również synchronizuje starsze skróty haseł z Microsoft Entra ID.

Nie musisz wykonywać tych kroków, jeśli używasz kont tylko w chmurze bez lokalnego środowiska usług AD DS.

Z tego samouczka dowiesz się:

• Dlaczego potrzebne są starsze skróty haseł NTLM i Kerberos
• Jak skonfigurować starszą synchronizację skrótów haseł dla Połączenie firmy Microsoft

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa firmy Microsoft Entra skojarzona z subskrypcją zsynchronizowaną z katalogiem lokalnym przy użyciu usługi Microsoft Entra Połączenie.
  • W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
  • W razie potrzeby włącz Połączenie firmy Microsoft na potrzeby synchronizacji skrótów haseł.
• Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
  • W razie potrzeby utwórz i skonfiguruj domenę zarządzaną usług Microsoft Entra Domain Services.

Synchronizacja skrótów haseł przy użyciu Połączenie firmy Microsoft

Firma Microsoft Entra Połączenie służy do synchronizowania obiektów, takich jak konta użytkowników i grupy z lokalnego środowiska usług AD DS do dzierżawy firmy Microsoft Entra. W ramach procesu synchronizacja skrótów haseł umożliwia kontom używanie tego samego hasła w lokalnym środowisku usług AD DS i identyfikatorze Entra firmy Microsoft.

Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Domain Services wymagają skrótów haseł w formacie odpowiednim do uwierzytelniania NTLM i Kerberos. Identyfikator Entra firmy Microsoft nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Domain Services dla dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.

Microsoft Entra Połączenie można skonfigurować do synchronizowania wymaganych skrótów haseł NTLM lub Kerberos dla usług domenowych. Upewnij się, że zostały wykonane kroki włączania Połączenie firmy Microsoft na potrzeby synchronizacji skrótów haseł. Jeśli masz istniejące wystąpienie usługi Microsoft Entra Połączenie, pobierz i zaktualizuj do najnowszej wersji, aby upewnić się, że możesz zsynchronizować starsze skróty haseł dla protokołu NTLM i Kerberos. Ta funkcja nie jest dostępna we wczesnych wersjach programu Microsoft Entra Połączenie ani starszego narzędzia DirSync. Wymagana jest Połączenie microsoft Entra w wersji 1.1.614.0 lub nowszej.

Ważne

Firma Microsoft Entra Połączenie powinna być zainstalowana i skonfigurowana tylko do synchronizacji z lokalnymi środowiskami usług AD DS. Nie jest obsługiwane instalowanie Połączenie firmy Microsoft w domenie zarządzanej usług domenowych w celu synchronizowania obiektów z powrotem do identyfikatora Entra firmy Microsoft.

Włączanie synchronizacji skrótów haseł

Po zainstalowaniu i skonfigurowaniu usługi Microsoft Entra Połączenie do synchronizacji z identyfikatorem Entra firmy Microsoft, teraz skonfiguruj starszą synchronizację skrótów haseł dla protokołu NTLM i Kerberos. Skrypt programu PowerShell służy do konfigurowania wymaganych ustawień, a następnie uruchamiania pełnej synchronizacji haseł w usłudze Microsoft Entra ID. Po zakończeniu procesu synchronizacji skrótów haseł firmy Microsoft Entra Połączenie użytkownicy mogą logować się do aplikacji za pośrednictwem usług domenowych korzystających ze starszych skrótów haseł NTLM lub Kerberos.

1. Na komputerze z zainstalowanym programem Microsoft Entra Połączenie otwórz usługę synchronizacji Połączenie menu Start > firmy Microsoft.

2. Wybierz kartę Połączenie ors. Wyświetlane są informacje o połączeniu używane do ustanawiania synchronizacji między lokalnym środowiskiem usług AD DS i identyfikatorem Firmy Microsoft Entra.

   Typ wskazuje identyfikator Microsoft Entra (Microsoft) dla łącznika Microsoft Entra firmy Microsoft lub usług domena usługi Active Directory dla lokalnego łącznika usług AD DS. Zanotuj nazwy łączników, które mają być używane w skry skryptie programu PowerShell w następnym kroku.

   

   Na tym przykładowym zrzucie ekranu są używane następujące łączniki:

   • Łącznik Microsoft Entra ma nazwę contoso.onmicrosoft.com — Microsoft Entra ID
   • Lokalny łącznik usług AD DS ma nazwę onprem.contoso.com

3. Skopiuj i wklej następujący skrypt programu PowerShell na komputerze z zainstalowanym programem Microsoft Entra Połączenie. Skrypt wyzwala pełną synchronizację haseł, która zawiera starsze skróty haseł. $azureadConnector Zaktualizuj zmienne i $adConnector przy użyciu nazw łączników z poprzedniego kroku.

   Uruchom ten skrypt w każdym lesie usługi AD, aby zsynchronizować skróty haseł NTLM i Kerberos konta lokalnego z identyfikatorem Entra firmy Microsoft.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   W zależności od rozmiaru katalogu pod względem liczby kont i grup synchronizacja starszych skrótów haseł do identyfikatora Entra firmy Microsoft może zająć trochę czasu. Hasła są następnie synchronizowane z domeną zarządzaną po zsynchronizowaniu z identyfikatorem Entra firmy Microsoft.

Następne kroki

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

• Dlaczego potrzebne są starsze skróty haseł NTLM i Kerberos
• Jak skonfigurować starszą synchronizację skrótów haseł dla Połączenie firmy Microsoft

Dowiedz się, jak działa synchronizacja w domenie zarządzanej usług Microsoft Entra Domain Services