Öğretici: Parola karması eşitlemesi (PHS) kullanarak tek bir AD ormanı tümleştirme

Create

Aşağıdaki öğretici, parola karması eşitlemesini kullanarak karma kimlik ortamı oluşturma işleminde size yol gösterir. Bu ortam daha sonra test veya karma kimliğin nasıl çalıştığı hakkında daha fazla bilgi edinmek için kullanılabilir.

Önkoşullar

Bu öğreticiyi tamamlamak için gereken önkoşullar şunlardır

Not

Bu öğreticide, öğretici ortamını en kısa sürede oluşturabilmeniz için PowerShell betikleri kullanılır. Betiklerin her biri, betiklerin başında bildirilen değişkenleri kullanır. Değişkenleri ortamınızı yansıtacak şekilde değiştirebilir ve değiştirebilirsiniz.

Kullanılan betikler, Azure AD Bağlan yüklenmeden önce genel bir Active Directory ortamı oluşturur. Bunlar tüm öğreticiler için geçerlidir.

Bu öğreticide kullanılan PowerShell betiklerinin kopyalarını GitHub burada bulabilirsiniz.

Sanal makine oluşturma

Karma kimlik ortamımızı çalışır duruma getirmek için yapmamız gereken ilk şey, şirket içi Active Directory sunucumuz olarak kullanılacak bir sanal makine oluşturmaktır. Şunları yapın:

  1. PowerShell ISE'yi Yönetici olarak açın.
  2. Aşağıdaki betiği çalıştırın.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

İşletim sistemi dağıtımını tamamlama

Sanal makineyi derlemeyi tamamlamak için işletim sistemi yüklemesini tamamlamanız gerekir.

  1. Hyper-V Yöneticisi, sanal makineye çift tıklayın
  2. Başlangıç düğmesine tıklayın.
  3. 'CD veya DVD'den önyüklemek için herhangi bir tuşa basın' istenir. Devam edin ve yapın.
  4. Windows Sunucusu başlatma ekranında dilinizi seçin ve İleri'ye tıklayın.
  5. Şimdi Yükle'ye tıklayın.
  6. Lisans anahtarınızı girin ve İleri'ye tıklayın.
  7. **Lisans koşullarını kabul ediyorum'a bakın ve İleri'ye tıklayın.
  8. Özel: Yalnızca Windows Yükle 'yi seçin (Gelişmiş)
  9. İleri'ye tıklayın
  10. Yükleme tamamlandıktan sonra sanal makineyi yeniden başlatın, oturum açın ve vm'nin en güncel olduğundan emin olmak için Windows güncelleştirmeleri çalıştırın. En son güncelleştirmeleri yükleyin.

Active Directory önkoşullarını yükleme

Artık bir sanal makinemiz olduğuna göre, Active Directory'yi yüklemeden önce birkaç şey yapmamız gerekir. Diğer bir ifadeyle sanal makineyi yeniden adlandırmamız, statik IP adresi ve DNS bilgileri ayarlamamız ve Uzak Sunucu Yönetimi araçlarını yüklememiz gerekir. Şunları yapın:

  1. PowerShell ISE'yi Yönetici olarak açın.
  2. Aşağıdaki betiği çalıştırın.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Windows Server AD ortamı oluşturma

Vm'yi oluşturduğumuza ve yeniden adlandırdığımıza ve statik ip adresine sahip olduğumuza göre artık Active Directory Domain Services yükleyip yapılandırabiliriz. Şunları yapın:

  1. PowerShell ISE'yi Yönetici olarak açın.
  2. Aşağıdaki betiği çalıştırın.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Windows Server AD kullanıcı oluşturma

Artık Active Directory ortamımıza sahip olduğumuza göre bir test hesabımız olması gerekir. Bu hesap şirket içi AD ortamımızda oluşturulacak ve ardından Azure AD ile eşitlenecektir. Şunları yapın:

  1. PowerShell ISE'yi Yönetici olarak açın.
  2. Aşağıdaki betiği çalıştırın.
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Azure AD kiracısı oluşturma

Şimdi kullanıcılarımızı bulutla eşitleyebilmek için bir Azure AD kiracısı oluşturmamız gerekiyor. Yeni bir Azure AD kiracısı oluşturmak için aşağıdaki adımları uygulayın.

  1. Azure portalına gidip Azure aboneliği olan bir hesapla oturum açın.
  2. Artı simgesini (+) seçip Azure Active Directory terimini aratın.
  3. Arama sonuçlarında Azure Active Directory girişini seçin.
  4. Oluştur'u seçin.
    Screenshot that shows how to create an Azure AD tenant.
  5. Kuruluş için bir ad ve ilk etki alanı adı girin. Ardından Oluştur’u seçin. Dizininiz oluşturulur.
  6. Bu işlem tamamlandıktan sonra, dizini yönetmek için buradaki bağlantıya tıklayın.

Azure AD'de genel yönetici oluşturma

Artık bir Azure AD kiracımız olduğuna göre genel yönetici hesabı oluşturacağız. Bu hesap, Azure AD Bağlan yüklemesi sırasında Azure AD Bağlayıcısı hesabını oluşturmak için kullanılır. Azure AD Bağlayıcısı hesabı, Azure AD'ye bilgi yazmak için kullanılır. Genel yönetici hesabını oluşturmak için aşağıdakileri yapın.

  1. Yönet'in altında Kullanıcılar'ı seçin.
    Screenshot that shows the User option selected in the Manage section where you create a global administrator in Azure AD.
  2. Tüm kullanıcılar'ı ve ardından + Yeni kullanıcı'yı seçin.
  3. Bu kullanıcı için bir ad ve kullanıcı adı girin. Bu kullanıcı kiracınızın Genel Yöneticisi olacak. Dizin rolünüde Genel yönetici olarak değiştirmek isteyeceksiniz. Geçici parolayı da gösterebilirsiniz. İşiniz bittiğinde Oluştur'u seçin.
    Screenshot that shows the Create button you select when you create a global administrator in Azure AD.
  4. Bu işlem tamamlandıktan sonra yeni bir web tarayıcısı açın ve yeni genel yönetici hesabını ve geçici parolayı kullanarak myapps.microsoft.com oturum açın.
  5. Genel yöneticinin parolasını hatırlayacağınız bir parolayla değiştirin.

Azure AD Bağlan indirme ve yükleme

Şimdi Azure AD Bağlan indirip yükleme zamanı geldi. Yüklendikten sonra hızlı yükleme işlemini çalıştıracağız. Şunları yapın:

  1. Azure AD Bağlan indirme
  2. AzureADConnect.msi öğesine gidin ve çift tıklayın.
  3. Hoş Geldiniz ekranında, lisans koşullarını kabul ettiğinizi belirten kutuyu seçin ve Devam'a tıklayın.
  4. Hızlı ayarlar ekranında Hızlı ayarları kullan'a tıklayın.

    Screenshot that shows the Express settings screen and the Use express settings button.
  5. Azure AD'ye Bağlan ekranında Azure AD genel yöneticisinin kullanıcı adını ve parolasını girin. İleri’ye tıklayın.
  6. AD DS'ye Bağlanma ekranında kuruluş yöneticisi hesabına ilişkin kullanıcı adını ve parolayı girin. İleri’ye tıklayın.
  7. Yapılandırma için hazır ekranında Yükle'ye tıklayın.
  8. Yükleme tamamlandığında Çıkış'a tıklayın.
  9. Yükleme tamamlandıktan sonra Eşitleme Service Manager veya Eşitleme Kuralı Düzenleyicisi'ni kullanmadan önce oturumu kapatın ve yeniden oturum açın.

Kullanıcıların oluşturulduğunu ve eşitlemenin gerçekleştiğini doğrulayın

Şimdi şirket içi dizinimizde bulunan kullanıcıların eşitlendiğini ve artık Azure AD kiracısında mevcut olduğunu doğrulayacağız. Bunun tamamlanmasının birkaç saat sürebileceğini unutmayın. Kullanıcıların eşitlendiğini doğrulamak için aşağıdakileri yapın.

  1. Azure portalına gidip Azure aboneliği olan bir hesapla oturum açın.
  2. Sol tarafta Azure Active Directory
  3. Yönet bölümünde Kullanıcılar'ı seçin.
  4. Kiracımızda yeni kullanıcıları gördüğünüzden emin olun
    Synch

Kullanıcılarımızdan biriyle oturum açmayı test edin

  1. https://myapps.microsoft.com adresine gidin
  2. Yeni kiracımızda oluşturulmuş bir kullanıcı hesabıyla oturum açın. Aşağıdaki biçimi kullanarak oturum açmanız gerekir: (user@domain.onmicrosoft.com). Kullanıcının şirket içinde oturum açmak için kullandığı parolayı kullanın.
    Verify

Artık Azure'ın sunduğu hizmetleri test etmek ve öğrenmek için kullanabileceğiniz bir karma kimlik ortamını başarıyla ayarladınız.

Sonraki Adımlar