Samouczek: podstawowe środowisko usługi Active Directory
Ten samouczek przeprowadzi Cię przez proces tworzenia podstawowego środowiska usługi Active Directory.
Możesz użyć środowiska utworzonego w samouczku, aby przetestować różne aspekty scenariuszy tożsamości hybrydowej i będzie to wymaganie wstępne dla niektórych samouczków. Jeśli masz już istniejące środowisko usługi Active Directory, możesz użyć go jako zastępczego. Te informacje są udostępniane osobom, które mogą zaczynać się od niczego.
Ten samouczek składa się z
Wymagania wstępne
Poniżej przedstawiono wymagania wstępne niezbędne do wykonania kroków tego samouczka
- Komputer z zainstalowaną funkcją Hyper-V. Zaleca się wykonanie tej czynności na komputerze z systemem Windows 10 lub Windows Server 2016 .
- Zewnętrzna karta sieciowa umożliwiająca maszynie wirtualnej komunikację z Internetem.
- Subskrypcja platformy Azure
- Kopia systemu Windows Server 2016
- Microsoft .NET Framework 4.7.1
Uwaga
W tym samouczku używane są skrypty programu PowerShell w celu jak najszybszego utworzenia środowiska samouczka. W każdym ze skryptów są używane zmienne zadeklarowane na początku skryptu. Można i należy zmienić te zmienne na zgodne z używanym środowiskiem.
Skrypty używane do tworzenia ogólnego środowiska usługi Active Directory przed zainstalowaniem agenta aprowizacji w chmurze firmy Microsoft Połączenie. Są one odpowiednie dla wszystkich samouczków.
Kopie skryptów programu PowerShell używanych w tym samouczku są dostępne w usłudze GitHub — tutaj.
Tworzenie maszyny wirtualnej
Pierwszą rzeczą, którą należy wykonać, aby skonfigurować i uruchomić nasze środowisko tożsamości hybrydowej, jest utworzenie maszyny wirtualnej, która będzie używana jako nasz serwer lokalna usługa Active Directory. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Finalizowanie wdrożenia systemu operacyjnego
Aby zakończyć tworzenie maszyny wirtualnej, należy zakończyć instalację systemu operacyjnego.
- Menedżer funkcji Hyper-V: kliknij dwukrotnie maszynę wirtualną
- Kliknij przycisk Uruchom.
- Zostanie wyświetlony monit o naciśnięcie klawisza "Naciśnij dowolny klawisz, aby uruchomić z dysku CD lub DVD". Zrób to.
- Na ekranie uruchamiania systemu Windows Server wybierz język i kliknij przycisk Dalej.
- Kliknij pozycję Zainstaluj teraz.
- Wprowadź klucz licencji i kliknij przycisk Dalej.
- Zaznacz opcję **Akceptuję postanowienia licencyjne, a następnie kliknij przycisk Dalej.
- Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane)
- Kliknij przycisk Dalej.
- Po zakończeniu instalacji uruchom ponownie maszynę wirtualną, zaloguj się i uruchom aktualizacje systemu Windows, aby upewnić się, że maszyna wirtualna została zaktualizowana. Zainstaluj najnowsze aktualizacje.
Instalowanie wymagań wstępnych usługi Active Directory
Teraz, gdy masz już maszynę wirtualną, przed zainstalowaniem usługi Active Directory należy wykonać kilka czynności. Oznacza to, że należy zmienić nazwę maszyny wirtualnej, ustawić statyczny adres IP i informacje DNS oraz zainstalować narzędzia Administracja istration serwera zdalnego. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Tworzenie środowiska usługi Windows Server AD
Teraz, gdy masz utworzoną maszynę wirtualną i zmieniono jej nazwę i masz statyczny adres IP, możesz zainstalować i skonfigurować usługi domena usługi Active Directory. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomaninNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Tworzenie użytkownika usługi Windows Server AD
Teraz, gdy masz już nasze środowisko usługi Active Directory, musisz mieć konto testowe. To konto zostanie utworzone w naszym lokalnym środowisku usługi AD, a następnie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
# Filename: 4_CreateUser.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Tworzenie dzierżawy firmy Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Teraz musisz utworzyć dzierżawę firmy Microsoft Entra, aby móc synchronizować naszych użytkowników z chmurą. Aby utworzyć nową dzierżawę firmy Microsoft Entra, wykonaj następujące czynności.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra i zaloguj się przy użyciu konta, które ma subskrypcję firmy Microsoft Entra.
- Kliknij pozycję Przegląd.
- Kliknij pozycję Zarządzaj dzierżawami.
- Wybierz pozycję Utwórz.
- Podaj nazwę organizacji wraz z początkową nazwą domeny. Następnie wybierz Utwórz. Spowoduje to utworzenie katalogu.
- Po zakończeniu kliknij link tutaj, aby zarządzać katalogiem.
Tworzenie administratora globalnego w identyfikatorze Entra firmy Microsoft
Teraz, gdy masz dzierżawę firmy Microsoft Entra, utworzysz konto administratora globalnego. Aby utworzyć konto administratora globalnego, wykonaj następujące czynności.
- W obszarze Zarządzanie wybierz pozycję Użytkownicy.
- Wybierz pozycję Wszyscy użytkownicy, a następnie pozycję + Nowy użytkownik.
- Podaj nazwę i nazwę użytkownika dla tego użytkownika. Będzie to twój globalny Administracja istrator dzierżawy. Należy również zmienić rolę katalog na administrator globalny. Możesz również wyświetlić hasło tymczasowe. Po zakończeniu wybierz pozycję Utwórz.
- Po zakończeniu otwórz nowe okno przeglądarki internetowej i zaloguj się na stronie myapps.microsoft.com przy użyciu nowego konta administratora globalnego oraz hasła tymczasowego.
- Zmień hasło administratora globalnego na coś, co zapamiętasz.
Opcjonalnie: Dodatkowy serwer i las
Poniżej znajduje się opcjonalna sekcja, która zawiera kroki tworzenia dodatkowego serwera i lasu. Może to być używane w niektórych bardziej zaawansowanych samouczkach, takich jak Pilot for Microsoft Entra Połączenie synchronizacji z chmurą.
Jeśli potrzebujesz tylko dodatkowego serwera, możesz zatrzymać się po kroku — Tworzenie maszyny wirtualnej i dołączyć serwer do istniejącej domeny, która została utworzona powyżej.
Tworzenie maszyny wirtualnej
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
# Filename: 1_CreateVM_CP.ps1 # Description: Creates a VM to be used in the tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you. # # # # #Declare variables $VMName = 'CP1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\CP1\CP1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Finalizowanie wdrożenia systemu operacyjnego
Aby zakończyć tworzenie maszyny wirtualnej, należy zakończyć instalację systemu operacyjnego.
- Menedżer funkcji Hyper-V: kliknij dwukrotnie maszynę wirtualną
- Kliknij przycisk Uruchom.
- Zostanie wyświetlony monit o naciśnięcie klawisza "Naciśnij dowolny klawisz, aby uruchomić z dysku CD lub DVD". Zrób to.
- Na ekranie uruchamiania systemu Windows Server wybierz język i kliknij przycisk Dalej.
- Kliknij pozycję Zainstaluj teraz.
- Wprowadź klucz licencji i kliknij przycisk Dalej.
- Zaznacz opcję **Akceptuję postanowienia licencyjne, a następnie kliknij przycisk Dalej.
- Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane)
- Kliknij przycisk Dalej.
- Po zakończeniu instalacji uruchom ponownie maszynę wirtualną, zaloguj się i uruchom aktualizacje systemu Windows, aby upewnić się, że maszyna wirtualna została zaktualizowana. Zainstaluj najnowsze aktualizacje.
Instalowanie wymagań wstępnych usługi Active Directory
Teraz, gdy masz już maszynę wirtualną, przed zainstalowaniem usługi Active Directory należy wykonać kilka czynności. Oznacza to, że należy zmienić nazwę maszyny wirtualnej, ustawić statyczny adres IP i informacje DNS oraz zainstalować narzędzia Administracja istration serwera zdalnego. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
# Filename: 2_ADPrep_CP.ps1 # Description: Prepares your environment for Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $ipaddress = "10.0.1.118" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.118" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "CP1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw #Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Tworzenie środowiska usługi Windows Server AD
Teraz, gdy masz utworzoną maszynę wirtualną i zmieniono jej nazwę i masz statyczny adres IP, możesz zainstalować i skonfigurować usługi domena usługi Active Directory. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
# Filename: 3_InstallAD_CP.ps1 # Description: Creates an on-premises AD environment. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "fabrikam.com" $DomaninNetBIOSName = "FABRIKAM" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Tworzenie użytkownika usługi Windows Server AD
Teraz, gdy masz już nasze środowisko usługi Active Directory, musisz mieć konto testowe. To konto zostanie utworzone w naszym lokalnym środowisku usługi AD, a następnie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Należy wykonać następujące czynności:
Otwórz program PowerShell ISE jako administrator.
Uruchom poniższy skrypt.
# Filename: 4_CreateUser_CP.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Anna" $Surname = "Ringdal" $Displayname = "Anna Ringdal" $Name = "aringdal" $Password = "Pass1w0rd" $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Podsumowanie
Teraz masz środowisko, które może być używane na potrzeby istniejących samouczków i do testowania dodatkowych funkcji synchronizacji w chmurze.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla