Förbereda Active Directory Lightweight Directory Services för etablering från Microsoft Entra-ID

  • Artikel

Följande dokumentation innehåller självstudieinformation som visar hur du förbereder en Installation av Active Directory Lightweight Directory Services (AD LDS). Detta kan användas som ett exempel på en LDAP-katalog för felsökning eller för att visa hur du etablerar användare från Microsoft Entra-ID till en LDAP-katalog.

Förbereda LDAP-katalogen

Om du inte redan har en katalogserver tillhandahålls följande information för att skapa en AD LDS-testmiljö. Den här konfigurationen använder PowerShell och ADAMInstall.exe med en svarsfil. Det här dokumentet innehåller inte detaljerad information om AD LDS. Mer information finns i Active Directory Lightweight Directory Services.

Om du redan har AD LDS eller en annan katalogserver kan du hoppa över det här innehållet och fortsätta i Självstudie: ECMA Anslut eller Värd för allmän LDAP-anslutning för att installera och konfigurera ECMA-anslutningsvärden.

Skapa ett SSL-certifikat, en testkatalog och installera AD LDS.

Använd PowerShell-skriptet från bilaga A. Skriptet utför följande åtgärder:

  1. Skapar ett självsignerat certifikat som ska användas av LDAP-anslutningsappen.
  2. Skapar en katalog för funktionsinstallationsloggen.
  3. Exporterar certifikatet i det personliga arkivet till katalogen.
  4. Importerar certifikatet till den lokala datorns betrodda rot.
  5. Installerar AD LDS-rollen på vår virtuella dator.

På den virtuella Windows Server-dator där du använder för att testa LDAP-anslutningsappen redigerar du skriptet så att det matchar datornamnet och kör sedan skriptet med Windows PowerShell med administratörsbehörighet.

Skapa en instans av AD LDS

Nu när rollen har installerats måste du skapa en instans av AD LDS. Om du vill skapa en instans kan du använda svarsfilen nedan. Den här filen installerar instansen tyst utan att använda användargränssnittet.

Kopiera innehållet i bilaga B till anteckningar och spara det som answer.txt i "C:\Windows\ADAM".

Öppna nu en cmd-prompt med administratörsbehörighet och kör följande körbara fil:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

Skapa containrar och ett tjänstkonto för AD LDS

Använd PowerShell-skriptet från bilaga C. Skriptet utför följande åtgärder:

  1. Skapar en container för tjänstkontot som ska användas med LDAP-anslutningsappen.
  2. Skapar en container för molnanvändare, där användare kommer att etableras till.
  3. Skapar tjänstkontot i AD LDS.
  4. Aktiverar tjänstkontot.
  5. Lägger till tjänstkontot i ad LDS-administratörsrollen.

På den virtuella Windows Server-datorn använder du för att testa att LDAP-anslutningsappen kör skriptet med hjälp av Windows PowerShell med administratörsbehörighet.

Bevilja NÄTVERKSTJÄNSTEN läsbehörighet till SSL-certifikatet

För att göra det möjligt för SSL att fungera måste du ge NÄTVERKSTJÄNSTEN läsbehörighet till vårt nyligen skapade certifikat. Använd följande steg för att bevilja behörigheter.

  1. Gå till C:\Program Data\Microsoft\Crypto\Keys.
  2. Högerklicka på systemfilen som finns här. Det blir ett guid. Containern lagrar vårt certifikat.
    1. Välj egenskaper.
    2. Längst upp väljer du fliken Säkerhet .
    3. Välj Redigera.
    4. Klicka på Lägg till.
    5. I rutan anger du Nätverkstjänst och väljer Kontrollera namn.
    6. Välj NÄTVERKSTJÄNST i listan och klicka på OK.
    7. Klicka på OK.
    8. Kontrollera att nätverkstjänstkontot har läs- och läsbehörigheter och klicka på Tillämpa och OK.

Verifiera SSL-anslutning med AD LDS

Nu när vi har konfigurerat certifikatet och beviljat behörigheter för nätverkstjänstkontot testar du anslutningen för att kontrollera att det fungerar.

  1. Öppna Serverhanteraren och välj AD LDS till vänster
  2. Högerklicka på din instans av AD LDS och välj ldp.exe i popup-fönstret. Screenshot that shows the Ldp tool location.
  3. Längst upp i ldp.exe väljer du Anslut ion och Anslut.
  4. Ange följande information och klicka på OK.
    • Server: APP3
    • Port: 636
    • Markera SSL-rutan Screenshot that shows the Ldp tool connection configuration.
  5. Du bör se ett svar som liknar skärmbilden nedan. Screenshot that shows the Ldp tool connection configuration success.
  6. Längst upp under Anslut ion väljer du Bindning.
  7. Lämna standardvärdena och klicka på OK. Screenshot that shows the Ldp tool bind operation.
  8. Nu bör du binda till instansen. Screenshot that shows the Ldp tool bind success.

Inaktivera den lokala lösenordsprincipen

För närvarande etablerar LDAP-anslutningsappen användare med ett tomt lösenord. Den här etableringen uppfyller inte den lokala lösenordsprincipen på servern, så vi inaktiverar den i testsyfte. Om du vill inaktivera lösenordskomplexitet använder du följande steg på en server som inte är domänansluten.

Viktigt!

Eftersom pågående lösenordssynkronisering inte är en funktion i lokal LDAP-etablering rekommenderar Microsoft att AD LDS används specifikt med federerade program, när det används tillsammans med AD DS eller vid uppdatering av befintliga användare i en instans av AD LDS.

  1. På servern klickar du på Start, Kör och sedan gpedit.msc
  2. I redigeraren lokal grupprincip går du till Datorkonfiguration > Windows Inställningar > Säkerhet Inställningar > Kontoprinciper > Lösenordsprincip
  3. Till höger dubbelklickar du på Lösenord måste uppfylla komplexitetskraven och välja Inaktiverad. Screenshot of the complexity requirements setting.
  4. Klicka på Använd och OK
  5. Stäng redigeraren för lokal grupprincip

Fortsätt sedan i vägledningen för att etablera användare från Microsoft Entra-ID till en LDAP-katalog för att ladda ned och konfigurera etableringsagenten.

Bilaga A – Installera AD LDS PowerShell-skript

Följande PowerShell-skript kan användas för att automatisera installationen av Active Directory Lightweight Directory Services. Du måste redigera skriptet för att matcha din miljö. ändra i synnerhet APP3 till datorns värdnamn.

# Filename:    1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certificate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

Bilaga B – Svarsfil

Den här filen används för att automatisera och skapa en instans av AD LDS. Du kommer att redigera den här filen så att den matchar din miljö. ändra APP3 i synnerhet till serverns värdnamn.

Viktigt!

Det här skriptet använder den lokala administratören för AD LDS-tjänstkontot och har sitt lösenord hårdkodat i svaren. Den här åtgärden är endast avsedd för testning och bör aldrig användas i en produktionsmiljö.

Om du installerar AD LDS på en domänkontrollant och inte en medlem eller fristående server måste du ändra LocalLDAPPortToListenOn och LocalSSLPortToListonOn till något annat än de välkända portarna för LDAP och LDAP över SSL. Till exempel LocalLDAPPortToListenOn=51300 och LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=Pa$$Word1
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Bilaga C – Fylla i AD LDS PowerShell-skript

PowerShell-skript för att fylla i AD LDS med containrar och ett tjänstkonto.

# Filename:    2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword  (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"

Nästa steg