Samouczek: podstawowe środowisko usługi Active Directory

Ten samouczek przeprowadzi Cię przez proces tworzenia podstawowego środowiska usługi Active Directory.

Możesz użyć środowiska utworzonego w samouczku, aby przetestować różne aspekty scenariuszy tożsamości hybrydowej i będzie to wymaganie wstępne dla niektórych samouczków. Jeśli masz już istniejące środowisko usługi Active Directory, możesz użyć go jako zastępczego. Te informacje są udostępniane osobom, które mogą zaczynać się od niczego.

Warunki wstępne

Poniżej przedstawiono wymagania wstępne wymagane do ukończenia tego samouczka

• Komputer z zainstalowaną funkcją Hyper-V . Zaleca się wykonanie tej czynności na komputerze z systemem Windows 10 lub Windows Server 2016 .
• Zewnętrzna karta sieciowa umożliwiająca maszynie wirtualnej komunikację z Internetem.
• Subskrypcja platformy Azure
• Kopia systemu Windows Server 2016
• Microsoft .NET Framework 4.7.1

Nuta

W tym samouczku są używane skrypty programu PowerShell, dzięki czemu można utworzyć środowisko samouczka w najkrótszym czasie. Każdy ze skryptów używa zmiennych zadeklarowanych na początku skryptów. Możesz i należy zmienić zmienne, aby odzwierciedlały środowisko.

Skrypty używane do tworzenia ogólnego środowiska usługi Active Directory przed zainstalowaniem agenta aprowizacji w chmurze Microsoft Entra Connect. Są one istotne dla wszystkich samouczków.

Kopie skryptów programu PowerShell używanych w tym samouczku są dostępne w witrynie GitHub tutaj.

Tworzenie maszyny wirtualnej

Pierwszą rzeczą, którą należy wykonać, aby skonfigurować i uruchomić nasze środowisko tożsamości hybrydowej, jest utworzenie maszyny wirtualnej, która będzie używana jako nasz serwer lokalna usługa Active Directory. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Ukończ wdrażanie systemu operacyjnego

Aby zakończyć tworzenie maszyny wirtualnej, należy zakończyć instalację systemu operacyjnego.

1. Menedżer funkcji Hyper-V, kliknij dwukrotnie maszynę wirtualną
2. Kliknij przycisk Start.
3. Zostanie wyświetlony monit o naciśnięcie "Naciśnij dowolny, aby uruchomić z dysku CD lub DVD". Idź dalej i zrób to.
4. Na ekranie uruchamiania systemu Windows Server wybierz swój język i kliknij przycisk Dalej.
5. Kliknij pozycję Zainstaluj teraz.
6. Wprowadź klucz licencji, a następnie kliknij przycisk Dalej.
7. Sprawdź **Akceptuję postanowienia licencyjne i kliknij przycisk Dalej.
8. Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane)
9. Kliknij przycisk Dalej
10. Po zakończeniu instalacji uruchom ponownie maszynę wirtualną, zaloguj się i uruchom aktualizacje systemu Windows, aby upewnić się, że maszyna wirtualna jest najbardziej aktualna. Zainstaluj najnowsze aktualizacje.

Instalowanie wymagań wstępnych usługi Active Directory

Teraz, gdy masz już maszynę wirtualną, przed zainstalowaniem usługi Active Directory należy wykonać kilka czynności. Oznacza to, że należy zmienić nazwę maszyny wirtualnej, ustawić statyczny adres IP i informacje DNS i zainstalować narzędzia administracji zdalnej serwera. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Tworzenie środowiska usługi AD systemu Windows Server

Teraz, gdy masz utworzoną maszynę wirtualną i zmieniono jej nazwę i masz statyczny adres IP, możesz zainstalować i skonfigurować usługi domena usługi Active Directory. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Tworzenie użytkownika usługi AD systemu Windows Server

Teraz, gdy masz już nasze środowisko usługi Active Directory, musisz mieć konto testowe. To konto zostanie utworzone w naszym lokalnym środowisku usługi AD, a następnie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Tworzenie dzierżawy firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Teraz musisz utworzyć dzierżawę firmy Microsoft Entra, aby móc synchronizować naszych użytkowników z chmurą. Aby utworzyć nową dzierżawę firmy Microsoft Entra, wykonaj następujące czynności.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra i zaloguj się przy użyciu konta, które ma subskrypcję firmy Microsoft Entra.
2. Kliknij pozycję Przegląd.
3. Kliknij pozycję Zarządzaj dzierżawami.
4. Wybierz pozycję Utwórz.
   
5. Podaj nazwę organizacji wraz z początkową nazwą domeny. Następnie wybierz pozycję Utwórz. Spowoduje to utworzenie katalogu.
6. Po zakończeniu kliknij link tutaj , aby zarządzać katalogiem.

Tworzenie administratora tożsamości hybrydowej w usłudze Microsoft Entra ID

Teraz, gdy masz dzierżawę firmy Microsoft Entra, utworzysz konto administratora tożsamości hybrydowej. Aby utworzyć konto administratora tożsamości hybrydowej, wykonaj następujące czynności.

1. W obszarze Zarządzanie wybierz pozycję Użytkownicy.
   
   
2. Wybierz pozycję Wszyscy użytkownicy , a następnie wybierz pozycję + Nowy użytkownik.
3. Podaj nazwę i nazwę użytkownika dla tego użytkownika. Będzie to administrator tożsamości hybrydowej dla dzierżawy. Należy również zmienić rolę katalog na Administratora tożsamości hybrydowej. Możesz również wyświetlić hasło tymczasowe. Po zakończeniu wybierz pozycję Utwórz.
   
4. Po zakończeniu otwórz nową przeglądarkę internetową i zaloguj się, aby myapps.microsoft.com przy użyciu nowego konta administratora tożsamości hybrydowej i hasła tymczasowego.
5. Zmień hasło administratora tożsamości hybrydowej na coś, co zapamiętasz.

Opcjonalnie: inny serwer i las

Poniżej znajduje się opcjonalna sekcja, która zawiera kroki tworzenia innego serwera i lasu. Może to być używane w niektórych bardziej zaawansowanych samouczkach, takich jak pilotaż dla programu Microsoft Entra Connect z synchronizacją w chmurze.

Jeśli potrzebujesz tylko innego serwera, możesz zatrzymać się po kroku — Utwórz maszynę wirtualną i dołączyć serwer do istniejącej domeny, która została utworzona powyżej.

Tworzenie maszyny wirtualnej

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Ukończ wdrażanie systemu operacyjnego

Aby zakończyć tworzenie maszyny wirtualnej, należy zakończyć instalację systemu operacyjnego.

1. Menedżer funkcji Hyper-V, kliknij dwukrotnie maszynę wirtualną
2. Kliknij przycisk Start.
3. Zostanie wyświetlony monit o naciśnięcie "Naciśnij dowolny, aby uruchomić z dysku CD lub DVD". Idź dalej i zrób to.
4. Na ekranie uruchamiania systemu Windows Server wybierz swój język i kliknij przycisk Dalej.
5. Kliknij pozycję Zainstaluj teraz.
6. Wprowadź klucz licencji, a następnie kliknij przycisk Dalej.
7. Sprawdź **Akceptuję postanowienia licencyjne i kliknij przycisk Dalej.
8. Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane)
9. Kliknij przycisk Dalej
10. Po zakończeniu instalacji uruchom ponownie maszynę wirtualną, zaloguj się i uruchom aktualizacje systemu Windows, aby upewnić się, że maszyna wirtualna jest najbardziej aktualna. Zainstaluj najnowsze aktualizacje.

Instalowanie wymagań wstępnych usługi Active Directory

Teraz, gdy masz już maszynę wirtualną, przed zainstalowaniem usługi Active Directory należy wykonać kilka czynności. Oznacza to, że należy zmienić nazwę maszyny wirtualnej, ustawić statyczny adres IP i informacje DNS i zainstalować narzędzia administracji zdalnej serwera. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Tworzenie środowiska usługi AD systemu Windows Server

Teraz, gdy masz utworzoną maszynę wirtualną i zmieniono jej nazwę i masz statyczny adres IP, możesz zainstalować i skonfigurować usługi domena usługi Active Directory. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Tworzenie użytkownika usługi AD systemu Windows Server

Teraz, gdy masz już nasze środowisko usługi Active Directory, musisz mieć konto testowe. To konto zostanie utworzone w naszym lokalnym środowisku usługi AD, a następnie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Wykonaj następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.
2. Uruchom następujący skrypt.

# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Konkluzja

Teraz masz środowisko, które może być używane do istniejących samouczków i do testowania innych funkcji synchronizacji w chmurze zapewnia.

Następne kroki

• Co to jest aprowizacja?
• Co to jest microsoft Entra Cloud Sync?