Active Directory Basit Dizin Hizmetlerini Microsoft Entra Id'den sağlama için hazırlama

  • Makale

Aşağıdaki belgelerde, Active Directory Basit Dizin Hizmetleri (AD LDS) yüklemesinin nasıl hazırlayabileceğinizi gösteren öğretici bilgileri sağlanmaktadır. Bu, sorun giderme için örnek bir LDAP dizini olarak veya kullanıcıları Microsoft Entra Id'den LDAP dizinine sağlamayı göstermek için kullanılabilir.

LDAP dizinini hazırlama

Henüz bir dizin sunucunuz yoksa, test AD LDS ortamı oluşturmaya yardımcı olmak için aşağıdaki bilgiler sağlanır. Bu kurulum powershell ve ADAMInstall.exe bir yanıt dosyası ile kullanır. Bu belge AD LDS ile ilgili ayrıntılı bilgileri kapsamaz. Daha fazla bilgi için bkz . Active Directory Basit Dizin Hizmetleri.

ZATEN AD LDS'niz veya başka bir dizin sunucunuz varsa, bu içeriği atlayabilir ve ÖĞRETICI: ECMA Bağlan veya ECMA bağlayıcı konağı yüklemek ve yapılandırmak için Konak genel LDAP bağlayıcısı bölümünden devam edebilirsiniz.

SSL sertifikası, test dizini oluşturun ve AD LDS'yi yükleyin.

Ek A'dan PowerShell betiğini kullanın. Betik aşağıdaki eylemleri gerçekleştirir:

  1. LDAP bağlayıcısı tarafından kullanılacak otomatik olarak imzalanan bir sertifika oluşturur.
  2. Özellik yükleme günlüğü için bir dizin oluşturur.
  3. Kişisel depodaki sertifikayı dizine aktarır.
  4. Sertifikayı yerel makinenin güvenilen köküne aktarır.
  5. Sanal makinemize AD LDS rolünü yükler.

LDAP bağlayıcısını test etmek için kullandığınız Windows Server sanal makinesinde, betiği bilgisayarınızın adıyla eşleşecek şekilde düzenleyin ve ardından windows PowerShell'i yönetim ayrıcalıklarıyla kullanarak betiği çalıştırın.

AD LDS örneği oluşturma

Rol yüklendikten sonra BIR AD LDS örneği oluşturmanız gerekir. Örnek oluşturmak için aşağıda verilen yanıt dosyasını kullanabilirsiniz. Bu dosya, kullanıcı arabirimini kullanmadan örneği sessizce yükler.

içindeki Ek B'nin içeriğini not defterine kopyalayın ve "C:\Windows\ADAM" içinde answer.txt olarak kaydedin.

Şimdi yönetici ayrıcalıklarıyla bir cmd istemi açın ve aşağıdaki yürütülebilir dosyayı çalıştırın:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

AD LDS için kapsayıcılar ve hizmet hesabı oluşturma

Ek C'den PowerShell betiğini kullanma. Betik aşağıdaki eylemleri gerçekleştirir:

  1. LDAP bağlayıcısı ile kullanılacak hizmet hesabı için bir kapsayıcı oluşturur.
  2. Bulut kullanıcıları için, kullanıcıların sağlanacağı bir kapsayıcı oluşturur.
  3. AD LDS'de hizmet hesabını oluşturur.
  4. Hizmet hesabını etkinleştirir.
  5. Hizmet hesabını AD LDS Yönetici istrators rolüne ekler.

Windows Server sanal makinesinde, LDAP bağlayıcısının komut dosyasını Windows PowerShell'i yönetici ayrıcalıklarıyla çalıştırarak çalıştırmasını test etmek için kullanıyorsunuz.

SSL sertifikası için AĞ HİzMETİ okuma izinleri verme

SSL'nin çalışmasını sağlamak için AĞ HİzMETİ'ne yeni oluşturulan sertifikamız için okuma izinleri vermeniz gerekir. İzinleri vermek için aşağıdaki adımları kullanın.

  1. C:\Program Data\Microsoft\Crypto\Keys konumuna gidin.
  2. Burada bulunan sistem dosyasına sağ tıklayın. Bu bir guid olacaktır. Bu kapsayıcı sertifikamızı depoluyor.
    1. Özellikler'i seçin.
    2. Üst kısımda Güvenlik sekmesini seçin.
    3. Düzenle'yi seçin.
    4. Ekle'yi tıklatın.
    5. Kutuya Ağ Hizmeti yazın ve Adları Denetle'yi seçin.
    6. Listeden AĞ HİzMETİ'ni seçin ve Tamam'a tıklayın.
    7. Tamam’a tıklayın.
    8. Ağ hizmeti hesabının okuma ve okuma ve yürütme izinlerine sahip olduğundan emin olun ve Uygula ve Tamam'a tıklayın.

AD LDS ile SSL bağlantısını doğrulama

Sertifikayı yapılandırdığımıza ve ağ hizmeti hesabı izinlerine sahip olduğumuza göre, çalıştığını doğrulamak için bağlantıyı test edin.

  1. Sunucu Yöneticisi açın ve soldaki AD LDS'yi seçin
  2. AD LDS örneğinize sağ tıklayın ve açılır menüden ldp.exe dosyasını seçin. Screenshot that shows the Ldp tool location.
  3. ldp.exe dosyasının üst kısmında Bağlan ion ve Bağlan'ı seçin.
  4. Aşağıdaki bilgileri girin ve Tamam'a tıklayın.
    • Sunucu: APP3
    • Bağlantı noktası: 636
    • SSL kutusuna onay işareti yerleştirme Screenshot that shows the Ldp tool connection configuration.
  5. Aşağıdaki ekran görüntüsüne benzer bir yanıt görmeniz gerekir. Screenshot that shows the Ldp tool connection configuration success.
  6. Üst kısımdaki Bağlan ion altında Bağla'yı seçin.
  7. Varsayılan değerleri bırakın ve Tamam'a tıklayın. Screenshot that shows the Ldp tool bind operation.
  8. Şimdi örneğe başarıyla bağlanmalısınız. Screenshot that shows the Ldp tool bind success.

Yerel parola ilkesini devre dışı bırakma

ŞU anda LDAP bağlayıcısı kullanıcılara boş bir parola sağlar. Bu sağlama, sunucumuzdaki yerel parola ilkesini karşılamaz, bu nedenle test amacıyla devre dışı bırakacağız. Parola karmaşıklığını devre dışı bırakmak için etki alanına katılmamış bir sunucuda aşağıdaki adımları kullanın.

Önemli

Devam eden parola eşitlemesi şirket içi LDAP sağlama özelliği olmadığından, Microsoft AD LDS'nin özellikle AD DS ile birlikte kullanıldığında veya AD LDS örneğindeki mevcut kullanıcıları güncelleştirirken federasyon uygulamalarıyla kullanılmasını önerir.

  1. Sunucuda Başlat, Çalıştır'a ve ardından gpedit.msc'ye tıklayın
  2. Yerel Grup İlkesi düzenleyicisinde, Bilgisayar Yapılandırması > Windows Ayarlar Güvenlik Ayarlar >> Hesap İlkeleri > Parola İlkesi'ne gidin
  3. Sağ tarafta Parola karmaşıklık gereksinimlerini karşılamalı'ya çift tıklayın ve Devre Dışı'nı seçin. Screenshot of the complexity requirements setting.
  4. Uygula ve Tamam'a tıklayın
  5. Yerel Grup İlkesi düzenleyicisini kapatma

Ardından, microsoft Entra ID'deki kullanıcıları sağlama aracısını indirip yapılandırmak için ldap dizinine sağlama kılavuzunda devam edin.

Ek A - AD LDS PowerShell betiğini yükleme

Active Directory Lightweight Directory Services yüklemesini otomatikleştirmek için aşağıdaki PowerShell betiği kullanılabilir. Betiği ortamınızla eşleşecek şekilde düzenlemeniz gerekir; özellikle bilgisayarınızın ana bilgisayar adına geçin APP3 .

# Filename:    1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certificate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

Ek B - Yanıt dosyası

Bu dosya, AD LDS örneğini otomatikleştirmek ve oluşturmak için kullanılır. Bu dosyayı ortamınızla eşleşecek şekilde düzenleyeceksiniz; özellikle sunucunuzun ana bilgisayar adına geçin APP3 .

Önemli

Bu betik, AD LDS hizmet hesabı için yerel yöneticiyi kullanır ve yanıtlarda parolası sabit kodlanmıştır. Bu eylem yalnızca test amaçlıdır ve hiçbir zaman üretim ortamında kullanılmamalıdır.

AD LDS'yi üye veya tek başına sunucu yerine bir etki alanı denetleyicisine yüklüyorsanız, LocalLDAPPortToListenOn ve LocalSSLPortToListonOn değerlerini SSL üzerinden LDAP ve LDAP için bilinen bağlantı noktalarından başka bir şeyle değiştirmeniz gerekir. Örneğin, LocalLDAPPortToListenOn=51300 ve LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=Pa$$Word1
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Ek C - AD LDS PowerShell betiğini doldurma

AD LDS'yi kapsayıcılar ve hizmet hesabıyla doldurmak için PowerShell betiği.

# Filename:    2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword  (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"

Sonraki adımlar