Öğretici: Karma ortamlar için Microsoft Entra Domain Services'da parola eşitlemeyi etkinleştirme
Karma ortamlar için Bir Microsoft Entra kiracısı, Microsoft Entra Bağlan kullanılarak şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamıyla eşitlenecek şekilde yapılandırılabilir. Varsayılan olarak, Microsoft Entra Bağlan, Microsoft Entra Domain Services için gereken eski NT LAN Manager (NTLM) ve Kerberos parola karmalarını eşitlemez.
Etki Alanı Hizmetleri'ni şirket içi AD DS ortamından eşitlenen hesaplarla kullanmak için, NTLM ve Kerberos kimlik doğrulaması için gereken parola karmalarını eşitlemek üzere Microsoft Entra Bağlan yapılandırmanız gerekir. Microsoft Entra Connect yapılandırıldıktan sonra, şirket içi bir hesap oluşturma veya parola değiştirme olayı da eski parola karmalarını Microsoft Entra ID ile eşitler.
Şirket içi AD DS ortamı olmayan yalnızca bulut hesaplarını kullanıyorsanız bu adımları gerçekleştirmeniz gerekmez.
Bu öğreticide şunları öğreneceksiniz:
- Eski NTLM ve Kerberos parola karmaları neden gereklidir?
- Microsoft Entra Bağlan için eski parola karması eşitlemesini yapılandırma
Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun.
Önkoşullar
Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ihtiyacınız vardır:
- Etkin bir Azure aboneliği.
- Azure aboneliğiniz yoksa bir hesap oluşturun.
- Microsoft Entra Bağlan kullanılarak şirket içi dizinle eşitlenen, aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı.
- Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
- Gerekirse, parola karması eşitlemesi için Microsoft Entra Bağlan'ı etkinleştirin.
- Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
- Gerekirse, Microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturun ve yapılandırın.
Microsoft Entra Bağlan kullanarak parola karması eşitleme
Microsoft Entra Bağlan, şirket içi AD DS ortamındaki kullanıcı hesapları ve gruplar gibi nesneleri Microsoft Entra kiracısına eşitlemek için kullanılır. İşlemin bir parçası olarak, parola karması eşitlemesi hesapların şirket içi AD DS ortamında ve Microsoft Entra Id'de aynı parolayı kullanmasını sağlar.
Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için, Etki Alanı Hizmetleri'nin NTLM ve Kerberos kimlik doğrulamasına uygun bir biçimde parola karmalarına ihtiyacı vardır. Microsoft Entra Id, kiracınız için Etki Alanı Hizmetleri'ni etkinleştirene kadar parola karmalarını NTLM veya Kerberos kimlik doğrulaması için gereken biçimde depolamaz. Güvenlik nedeniyle Microsoft Entra Id, parola kimlik bilgilerini de düz metin biçiminde depolamaz. Bu nedenle Microsoft Entra Id, kullanıcıların mevcut kimlik bilgilerine göre bu NTLM veya Kerberos parola karmalarını otomatik olarak oluşturamaz.
Microsoft Entra Bağlan, Etki Alanı Hizmetleri için gerekli NTLM veya Kerberos parola karmalarını eşitlemek üzere yapılandırılabilir. Parola karması eşitlemesi için Microsoft Entra Bağlan etkinleştirme adımlarını tamamladığınızdan emin olun. Mevcut bir Microsoft Entra Bağlan örneğiniz varsa, NTLM ve Kerberos için eski parola karmalarını eşitleyebildiğinize emin olmak için en son sürüme indirin ve güncelleştirin. Bu işlev, Microsoft Entra Bağlan'nin erken sürümlerinde veya eski DirSync aracıyla kullanılamaz. Microsoft Entra Bağlan sürüm 1.1.614.0 veya üzeri gereklidir.
Önemli
Microsoft Entra Bağlan yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Yeniden Microsoft Entra Kimliği ile eşitlemek için Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına Microsoft Entra Bağlan yüklenmesi desteklenmez.
Parola karmalarının eşitlenmesini etkinleştirme
Microsoft Entra Bağlan yüklendikten ve Microsoft Entra Id ile eşitlenecek şekilde yapılandırıldığından, şimdi NTLM ve Kerberos için eski parola karması eşitlemesini yapılandırın. PowerShell betiği, gerekli ayarları yapılandırmak ve ardından Microsoft Entra Id ile tam parola eşitlemesi başlatmak için kullanılır. Microsoft Entra Bağlan parola karması eşitleme işlemi tamamlandığında, kullanıcılar eski NTLM veya Kerberos parola karmalarını kullanan Etki Alanı Hizmetleri aracılığıyla uygulamalarda oturum açabilir.
Microsoft Entra Bağlan'nin yüklü olduğu bilgisayarda, Başlat menüsü Microsoft Entra Bağlan > Eşitleme Hizmeti'ni açın.
Bağlan orlar sekmesini seçin. Şirket içi AD DS ortamı ile Microsoft Entra Kimliği arasında eşitlemeyi kurmak için kullanılan bağlantı bilgileri listelenir.
Tür, Microsoft Entra bağlayıcısı için Windows Microsoft Entra Id (Microsoft) veya şirket içi AD DS bağlayıcısı için Active Directory Etki Alanı Hizmetleri'ni gösterir. Sonraki adımda PowerShell betiğinde kullanılacak bağlayıcı adlarını not edin.
Bu örnek ekran görüntüsünde aşağıdaki bağlayıcılar kullanılır:
- Microsoft Entra bağlayıcısının adı contoso.onmicrosoft.com - Microsoft Entra Id
- Şirket içi AD DS bağlayıcısının adı onprem.contoso.com
Aşağıdaki PowerShell betiğini kopyalayıp Microsoft Entra Bağlan yüklü bilgisayara yapıştırın. Betik, eski parola karmalarını içeren tam parola eşitlemesini tetikler.
$azureadConnectorve$adConnectordeğişkenlerini önceki adımdaki bağlayıcı adlarıyla güncelleştirin.Şirket içi hesap NTLM ve Kerberos parola karmalarını Microsoft Entra Id ile eşitlemek için her AD ormanında bu betiği çalıştırın.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueHesap ve grup sayısı açısından dizininizin boyutuna bağlı olarak, eski parola karmalarının Microsoft Entra Id ile eşitlenmesi biraz zaman alabilir. Parolalar, Microsoft Entra Id ile eşitlendikten sonra yönetilen etki alanıyla eşitlenir.
Sonraki adımlar
Bu öğreticide şunları öğrendiniz:
- Eski NTLM ve Kerberos parola karmaları neden gereklidir?
- Microsoft Entra Bağlan için eski parola karması eşitlemesini yapılandırma