教學課程：在單一 Active Directory 樹系中使用密碼雜湊同步以處理混合式身分識別

本教學課程說明如何使用密碼雜湊同步和 Windows Server Active Directory (Windows Server AD) 在 Azure 中建立混合式身分識別環境。 您可以使用自行建立的混合式身分識別環境進行測試，或進一步熟悉混合式身分識別的運作方式。

在本教學課程中，您會了解如何：

• 建立虛擬機器。
• 建立 Windows Server Active Directory 環境。
• 建立 Windows Server Active Directory 使用者。
• 建立 Microsoft Entra 租用戶。
• 在 Azure 中建立混合式身分識別管理員帳戶。
• 設定 Microsoft Entra Connect。
• 測試並確認使用者已同步。

必要條件

• 已安裝 Hyper-V 的電腦。 建議您在 Windows 10 或 Windows Server 2016 電腦上安裝 Hyper-V。
• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。
• 外部網路介面卡，讓虛擬機器可以連線到網際網路。
• Windows Server 2016 複本。

注意

本教學課程使用 PowerShell 指令碼快速建立教學課程環境。 每個指令碼都使用指令碼開頭所宣告的變數。 請務必變更變數以反映您的環境。

本教學課程中的指令碼會在安裝 Microsoft Entra Connect 之前，先建立一般 Windows Server Active Directory (Windows Server AD) 環境。 這些指令碼也會用於相關的教學課程。

您可以在 GitHub 上取得本教學課程中使用的 PowerShell 指令碼。

建立虛擬機器

若要建立混合式身分識別環境，第一個工作是建立虛擬機，以作為內部部署 Windows Server AD 伺服器使用。

注意

如果您從未在主機電腦上的 PowerShell 中執行指令碼，請在執行任何指令碼之前，先以系統管理員身分開啟 Windows PowerShell ISE，然後執行 Set-ExecutionPolicy remotesigned。 在 [執行原則變更] 對話框中，選取 [是]。

若要建立虛擬機器：

1. 以系統管理員的身分開啟 Windows PowerShell ISE。

2. 執行下列指令碼：

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

安裝作業系統

若要完成建立虛擬機，請安裝作業系統：

1. 在 [Hyper-V 管理員] 中，按兩下虛擬機器。
2. 選取 [開始]。
3. 在提示字元按任意鍵從 CD 或 DVD 開機。
4. 在 Windows Server 啟動視窗中，選取您的語言，然後選取 [下一步]。
5. 選取 [立即安裝]。
6. 輸入您的授權金鑰，然後選取 [下一步]。
7. 選取 [我接受授權條款] 核取方塊，然後選取 [下一步]。
8. 選取 [自訂: 只安裝 Windows (進階)]。
9. 選取 [下一步]。
10. 安裝完成時，請重新啟動虛擬機器。 登入，然後檢查 Windows Update。 安裝任何更新，以確保 VM 完全為最新狀態。

安裝 Windows Server AD 必要條件

安裝 Windows Server AD 之前，請執行安裝必要條件的指令碼：

1. 以系統管理員的身分開啟 Windows PowerShell ISE。

2. 執行 Set-ExecutionPolicy remotesigned。 在 [執行原則變更] 對話框中，選取 [全部皆是]。

3. 執行下列指令碼：

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "4.2.2.2" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

建立 Windows Server AD 環境

現在，安裝並設定 Active Directory Domain Services 以建立環境：

1. 以系統管理員的身分開啟 Windows PowerShell ISE。

2. 執行下列指令碼：

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

建立 Windows Server AD 使用者

接著，建立測試使用者帳戶。 在內部部署 Active Directory 環境中建立此帳戶。 然後，帳戶會同步至 Microsoft Entra ID。

1. 以系統管理員的身分開啟 Windows PowerShell ISE。

2. 執行下列指令碼：

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

建立 Microsoft Entra 租用戶

如果您沒有租使用者，請遵循在 entra ID Microsoft 中建立新租使用者一文中的步驟，建立新的租使用者。

在 Microsoft Entra ID 中建立混合式身分識別管理員

下一項工作是建立混合式身分識別管理員帳戶。 此帳戶可用來在 Microsoft Entra Connect 安裝期間建立 Microsoft Entra Connector 帳戶。 Microsoft Entra Connector 帳戶可用來將資訊寫入至 Microsoft Entra ID。

如要建立混合式身分識別管理員帳戶：

1. 登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]
3. 選取 [新增使用者]>[建立新使用者]。
4. 在 [建立新使用者] 窗格中，輸入新使用者的 [顯示名稱] 和 [使用者主體名稱]。 您要為租用戶建立混合式身分識別管理員帳戶。 您可以顯示並複製臨時密碼。
   1. 在 [指派] 底下，選取 [新增角色]，然後選取 [混合式身分識別管理員]。
5. 然後選取 [檢閱 + 建立] > [建立]。
6. 在新的網頁瀏覽器視窗中，使用新的混合式身分識別管理員帳戶和暫時密碼登入 myapps.microsoft.com。

下載並安裝 Microsoft Entra Connect

現在是時候下載並安裝 Microsoft Entra Connect 了。 安裝之後，您將使用快速安裝。

1. 下載 Microsoft Entra Connect。

2. 移至 AzureADConnect.msi，按兩下以開啟安裝檔案。

3. 在 [歡迎使用] 中，選取核取方塊以同意授權條款，然後選取 [繼續]。

4. 在 [快速設定] 中，選取 [使用快速設定]。

5. 在 [連線至 Microsoft Entra ID] 中，輸入 Microsoft Entra ID 的混合式身分識別管理員帳戶使用者名稱和密碼。 選取 [下一步]。

6. 在 [連線至 AD DS] 中，輸入企業系統管理員帳戶的使用者名稱和密碼。 選取 [下一步]。

7. 在 [準備好設定] 中，選取 [安裝]。

8. 安裝完成時，請選取 [結束]。

9. 在使用 Synchronization Service Manager 或同步處理規則編輯器之前，請先登出再重新登入。

在入口網站中檢查使用者

現在，您將確認內部部署 Active Directory 租用戶中的使用者已同步，且現在位於您的 Microsoft Entra 租用戶中。 本節可能需要數小時才能完成。

如要確認使用者已同步處理：

1. 至少以混合式身分識別管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]

3. 確認您在租用戶中看到新使用者。

   

以使用者帳戶登入來測試同步

若要測試來自 Windows Server AD 租用戶的使用者是否與您的 Microsoft Entra 租用戶同步，請以其中一個使用者身分登入：

1. 移至 https://myapps.microsoft.com。

2. 使用我們在新租用戶中建立的使用者來登入。

   針對使用者名稱，請使用 user@domain.onmicrosoft.com 格式。 使用的密碼與使用者登入內部部署 Active Directory 時相同。

您已成功設定混合式身分識別環境，可用來測試及熟悉 Azure 的功能。

下一步

• 檢閱 Microsoft Entra Connect 硬體和必要條件。
• 了解如何在 Microsoft Entra Connect 中使用快速設定。
• 深入了解密碼雜湊同步與 Microsoft Entra Connect。