Tutorial: Federar um ambiente com uma única floresta do AD na nuvem

Create

O tutorial a seguir irá guiá-lo na criação de um ambiente de identidade híbrida usando federação. Esse ambiente pode ser usado para testes ou para familiarizar-se mais com o funcionamento de uma identidade híbrida.

Pré-requisitos

A seguir estão os pré-requisitos necessários para concluir este tutorial

Observação

Este tutorial usa scripts do PowerShell para que você possa criar o ambiente do tutorial no menor tempo possível. Cada um dos scripts usa variáveis que são declaradas no início dos scripts. Você pode e deve alterar as variáveis para refletir seu ambiente.

Os scripts usados criam um ambiente geral do Active Directory antes de instalar o Azure AD Connect. Eles são relevantes para todos os tutoriais.

Cópias dos scripts do PowerShell que são usados neste tutorial estão disponíveis no GitHub aqui.

Criar uma máquina virtual

A primeira etapa necessária para colocar o ambiente de identidade híbrida em funcionamento é criar uma máquina virtual que será usada como o servidor local do Active Directory.

Observação

Se você nunca executou um script no PowerShell no computador host, será necessário executar Set-ExecutionPolicy remotesigned e indicar sim no PowerShell, antes de executar os scripts.

Faça o seguinte:

  1. Abra o ISE do PowerShell como Administrador.
  2. Execute o seguinte script.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Concluir a implantação de sistema operacional

Para concluir a criação da máquina virtual, é necessário concluir a instalação do sistema operacional.

  1. Gerenciador Hyper-V, clique duas vezes na máquina virtual
  2. Clique no botão Iniciar.
  3. Você será solicitado a "Pressionar qualquer tecla para inicializar a partir de um CD ou DVD". Prossiga e faça isso.
  4. Na tela de inicialização do Windows Server, selecione o idioma e clique em Avançar.
  5. Clique em Instalar Agora.
  6. Insira a chave de licença e clique em Avançar.
  7. Marque Eu aceito os termos da licença e clique em Avançar.
  8. Selecione Personalizado: instalar somente o Windows (Avançado)
  9. Clique em Avançar.
  10. Quando a instalação estiver concluída, reinicie a máquina virtual, entre e execute as atualizações do Windows para garantir que a VM seja a mais atualizada. Instale as últimas atualizações.

Instalar os pré-requisitos do Active Directory

Agora que temos uma máquina virtual ativa, precisamos executar algumas etapas antes de instalar o Active Directory. Ou seja, precisamos renomear a máquina virtual, definir um endereço IP estático e informações de DNS e instalar as ferramentas de Administração de Servidor Remoto. Faça o seguinte:

  1. Abra o ISE do PowerShell como Administrador.
  2. Execute Set-ExecutionPolicy remotesigned e indique sim para todos [A]. Pressione Enter.
  3. Execute o seguinte script.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Criar um ambiente AD do Windows Server

Agora que temos a VM criada e ela foi renomeada e tem um endereço IP estático, podemos instalar e configurar o Active Directory Domain Services. Faça o seguinte:

  1. Abra o ISE do PowerShell como Administrador.
  2. Execute o seguinte script.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Criar um usuário do AD do Windows Server

Agora que temos o ambiente do Active Directory, precisamos de uma conta de teste. Essa conta será criada no ambiente AD local e, em seguida, sincronizada com o Azure AD. Faça o seguinte:

  1. Abra o ISE do PowerShell como Administrador.
  2. Execute o seguinte script.
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Criar um certificado para AD FS

Agora vamos criar um certificado TLS/SSL que será usado pelo AD FS. Este será um certificado autoassinado e servirá apenas para fins de teste. A Microsoft não recomenda o uso de um certificado autoassinado em um ambiente de produção. Faça o seguinte:

  1. Abra o ISE do PowerShell como Administrador.
  2. Execute o seguinte script.
#Declare variables
$DNSname = "adfs.contoso.com"
$Location = "cert:\LocalMachine\My"

#Create certificate
New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location

Criar um locatário do Azure AD

Agora, é necessário criar um locatário do Azure AD para que seja possível sincronizar os usuários com a nuvem. Para criar um novo locatário do Azure AD, faça o seguinte.

  1. Navegue até o portal do Azure e entre com uma conta que tenha uma assinatura do Azure.
  2. Selecione o ícone adição (+) e pesquise Azure Active Directory.
  3. Selecione Azure Active Directory nos resultados da pesquisa.
  4. Selecione Criar.
    Screenshot that shows how to create an Azure AD tenant.
  5. Forneça um nome para a organização juntamente com o nome de domínio inicial. Em seguida, selecione Criar. Isso criará criar o diretório.
  6. Depois que for concluído, clique no link aqui para gerenciar o diretório.

Criar um administrador global no Azure AD

Agora que temos um locatário do Azure AD, criaremos uma conta de administrador global. Essa conta é usada para criar a conta do Azure AD Connector durante a instalação do Azure AD Connect. A conta do Azure AD Connector é usada para gravar informações no Azure AD. Para criar a conta de administrador global, faça o seguinte.

  1. Em Gerenciar, selecione Usuários.
    Screenshot that shows the User option selected in the Manage section where you create a global administrator in Azure AD.
  2. Selecione Todos os usuários e, em seguida, selecione + Novo usuário.
  3. Forneça um nome e um nome de usuário para esse usuário. Este será o Administrador Global para o locatário. Recomenda-se também alterar a função do diretório para Administrador global. Também é possível mostrar a senha temporária. Ao terminar, selecione Criar.
    Screenshot that shows the Create button you select when you create a global administrator in Azure AD.
  4. Depois que isso for concluído, abra um novo navegador da Web e entre em myapps.microsoft.com usando a nova conta de administrador global e a senha temporária.
  5. Altere a senha do administrador global para algo que você irá lembrar.

Adicionar o nome de domínio personalizado ao diretório

Agora que temos um locatário e um administrador global, precisamos adicionar nosso domínio personalizado para que o Azure possa verificá-lo. Faça o seguinte:

  1. De volta ao portal do Azure certifique-se de fechar a folha Todos os Usuários.
  2. À esquerda, selecione Personalizar nomes de domínio.
  3. Selecione Adicionar domínio personalizado.
    Screenshot that shows the Add custom domain button highlighted.
  4. Em Nomes de domínio personalizados, insira o nome do domínio personalizado na caixa e clique em Adicionar Domínio.
  5. Na tela de nome de domínio personalizado, você será fornecido com informações TXT ou MX. Essas informações devem ser adicionadas às informações de DNS do registrador de domínios em seu domínio. Portanto, você precisa acessar o registrador de domínios e inserir as informações de TXT ou MX nas configurações de DNS do seu domínio. Isso permitirá que o Azure verifique o domínio. Pode demorar até 24 horas até que o Azure conclua a verificação. Para obter mais informações, consulte a documentação Adicionar um domínio personalizado.
    Screenshot that shows where you add the TXT or MX information.
  6. Para garantir a verificação, clique no botão Verificar.
    Screenshot that shows a successful verification message after you select Verify.

Baixe e instale o Azure AD Connect

Agora é hora de baixar e instalar o Azure AD Connect. Uma vez instalado, vamos executar a instalação expressa. Faça o seguinte:

  1. Baixe o Azure AD Connect

  2. Navegue até AzureADConnect.msie clique duas vezes nessa opção.

  3. Na tela de boas-vindas, marque a caixa de concordar com os termos da licença e clique em Continuar.

  4. Na tela Configurações Expressas, clique em Personalizar.

  5. Na tela Instalar componentes necessários. Clique em Instalar.

  6. Na tela Entrada do Usuário, selecione Federação com AD FS e clique em Avançar. Screenshot that shows where to select Federation with AD FS.

  7. Na tela Conectar-se ao Azure AD, insira o nome de usuário e a senha do administrador global que criamos acima e clique em Avançar.

  8. Na tela Conectar seus diretórios, clique em Adicionar Diretório. Em seguida, selecione Criar nova conta do AD, insira o nome de usuário e senha do administrador/contoso e clique em OK.

  9. Clique em Próximo.

  10. Na tela de configuração de entrada do Azure AD, selecione Continuar sem correspondência com todos os sufixos UPN para domínios verificados e clique em Avançar.

  11. Na tela Filtragem de Domínio e UO, clique em Avançar.

  12. Na tela Identificar com exclusividade seus usuários, clique em Avançar.

  13. Na tela Filtrar usuários e dispositivos, clique em Avançar.

  14. Na tela Recursos opcionais, clique em Avançar.

  15. Na página de credenciais do Administrador de Domínios, insira o nome de usuário e a senha do Administrator/contoso e clique em Avançar.

  16. Na tela do farm do AD FS, certifique-se de que Configurar um novo farm do AD FS está selecionado.

  17. Selecione Usar um certificado instalado nos servidores de federação e clique em Procurar.

  18. Insira DC1 na caixa de pesquisa e selecione-o quando for localizado. Clique em OK.

  19. Na lista suspensa Arquivo de Certificado, selecione adfs.contoso.com no certificado que criamos acima. Clique em Próximo. Screenshot that shows where to select the certificate file that you created.

  20. Na tela do servidor do AD FS, clique em Procurar, insira DC1 na caixa de pesquisa e selecione-o quando for localizado. Clique em OK. Clique em Próximo. Federation

  21. Na tela Servidores proxy de aplicativo Web, clique em Avançar.

  22. Na tela Conta de serviço do AD FS, insira o nome de usuário e senha do Administrador/contoso e clique em Avançar.

  23. Na tela Domínio do Azure AD, selecione o domínio personalizado verificado na lista suspensa e clique em Avançar.

  24. Na tela Pronto para configurar, clique em Instalar.

  25. Quando a instalação for concluída, clique em Sair.

  26. Após a conclusão da instalação, saia e entre novamente antes de usar o Synchronization Service Manager ou o Editor de Regras de Sincronização.

Verificar se os usuários foram criados e a sincronização está ocorrendo

Nesse momento, verificaremos se os usuários que estavam no diretório local foram sincronizados e agora existem no locatário do Azure AD. Esteja ciente de que isso pode levar algumas horas para ser concluído. Para verificar se os usuários estão sincronizados, faça o seguinte.

  1. Navegue até o portal do Azure e entre com uma conta que tenha uma assinatura do Azure.
  2. Na esquerda, selecione Azure Active Directory
  3. Em Gerenciar, selecione Usuários.
  4. Verifique se é possível visualizar os novos usuários na Synch de locatário

Testar entrando com um dos usuários

  1. Navegue para https://myapps.microsoft.com
  2. Entre com uma conta de usuário que foi criada no novo locatário. Será necessário entrar usando o formato a seguir: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar no local. Verify

Agora você configurou com êxito um ambiente de identidade híbrida que pode ser usado para testar e familiarizar-se com o que o Azure tem a oferecer.

Próximas etapas