Tutorial: Aktivieren der Kennwortsynchronisierung in Microsoft Entra Domain Services für Hybridumgebungen

Für Hybridumgebungen kann ein Microsoft Entra-Mandant konfiguriert werden, um die Synchronisierung mit einer lokalen AD DS-Umgebung (Active Directory Domain Services) per Microsoft Entra Connect durchzuführen. Standardmäßig werden mit Microsoft Entra Connect keine Legacy NTLM- (NT LAN Manager) und Kerberos-Kennworthashes synchronisiert, die für Microsoft Entra Domain Services benötigt werden.

Zum Verwenden von Microsoft Entra DS mit Konten, die über eine lokale AD DS-Umgebung synchronisiert werden, müssen Sie Microsoft Entra Connect so konfigurieren, dass die für die NTLM- und Kerberos-Authentifizierung erforderlichen Kennworthashes synchronisiert werden. Nachdem Microsoft Entra Connect konfiguriert wurde, werden bei der Erstellung eines Kontos oder der Änderung eines Passworts auch die Hashes der Legacy-Kennwörter mit Microsoft Entra ID synchronisiert.

Sie müssen diese Schritte nicht ausführen, wenn Sie reine Cloudkonten ohne lokale AD DS-Umgebung verwenden.

In diesem Tutorial lernen Sie Folgendes:

  • Gründe für die Verwendung von NTLM- und Kerberos-Legacy-Kennworthashes
  • Vorgehensweise beim Konfigurieren der Synchronisierung von Legacy-Kennworthashes für Microsoft Entra Connect

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen:

Kennworthashsynchronisierung mit Microsoft Entra Connect

Microsoft Entra Connect wird verwendet, um Objekte wie Benutzerkonten und -gruppen, einer lokalen AD DS-Umgebung mit einem Microsoft Entra-Mandanten zu synchronisieren. Im Rahmen des Prozesses können Konten per Kennwort-Hashsynchronisierung das gleiche Kennwort in der lokalen AD DS-Umgebung und in Microsoft Entra ID nutzen.

Um Benutzer in der verwalteten Domäne authentifizieren zu können, benötigt Domain Services Kennworthashes in einem Format, das für die Authentifizierung über NTLM und Kerberos geeignet ist. Microsoft Entra ID speichert erst dann Kennworthashes in dem für die NTLM- oder Kerberos-Authentifizierung erforderlichen Format, wenn Sie Domain Services für Ihren Mandanten aktivieren. Aus Sicherheitsgründen speichert Microsoft Entra ID Kennwörter nicht als Klartext. Daher kann Microsoft Entra IID diese NTLM- oder Kerberos-Kennworthashes nicht automatisch auf der Grundlage bereits vorhandener Anmeldeinformationen von Benutzern generieren.

Microsoft Entra Connect kann so konfiguriert werden, dass die erforderlichen NTLM- oder Kerberos-Kennworthashes für Domain Services synchronisiert werden. Stellen Sie sicher, dass Sie die Schritte zum Aktivieren von Microsoft Entra Connect für die Kennworthashsynchronisierung ausgeführt haben. Führen Sie bei einer vorhandenen Instanz von Microsoft Entra Connect einen Download und ein Update auf die aktuelle Version durch, um sicherzustellen, dass Sie die Legacy-Kennworthashes für NTLM und Kerberos synchronisieren können. Diese Funktionalität ist in frühen Versionen von Microsoft Entra Connect oder im DirSync-Legacy-Tool nicht verfügbar. Microsoft Entra Connect Version 1.1.614.0 oder höher ist erforderlich.

Wichtig

Microsoft Entra Connect sollte nur für die Synchronisierung mit lokalen AD DS-Umgebungen installiert und konfiguriert werden. Es wird nicht unterstützt, Microsoft Entra Connect in einer verwalteten Domäne von Domain Services zu installieren, um Objekte wieder mit Microsoft Entra ID zu synchronisieren.

Aktivieren der Synchronisierung von Kennworthashes

Nachdem Sie Microsoft Entra Connect installiert und für die Synchronisierung mit Microsoft Entra ID konfiguriert haben, können Sie nun die Legacy-Kennworthashsynchronisierung für NTLM und Kerberos konfigurieren. Ein PowerShell-Skript wird zum Konfigurieren der erforderlichen Einstellungen verwendet, und anschließend wird eine vollständige Kennwortsynchronisierung mit Microsoft Entra ID gestartet. Nachdem der Prozess für die Microsoft Entra Connect-Kennworthashsynchronisierung abgeschlossen ist, können sich Benutzer über Domain Services bei Anwendungen anmelden, indem NTLM- oder Kerberos-Legacy-Kennworthashes genutzt werden.

  1. Öffnen Sie auf dem Computer, auf dem Microsoft Entra Connect installiert ist, im Startmenü den Microsoft Entra Connect>-Synchronisierungsdienst.

  2. Wählen Sie die Registerkarte Connectors aus. Die Verbindungsinformationen zum Einrichten der Synchronisierung zwischen der lokalen AD DS-Umgebung und Microsoft Entra ID werden aufgeführt.

    Unter Typ wird entweder Windows Microsoft Entra ID (Microsoft) für den Microsoft Entra-Connector oder Active Directory Domain Services für den lokalen AD DS-Connector angegeben. Notieren Sie sich die Connectornamen, damit Sie sie im nächsten Schritt im PowerShell-Skript verwenden können.

    List the connector names in Sync Service Manager

    In diesem Beispielscreenshot werden die folgenden Connectors verwendet:

    • Der Microsoft Entra-Connector heißt contoso.onmicrosoft.com – Microsoft Entra ID
    • Der lokale AD DS-Connector hat den Namen onprem.contoso.com.
  3. Kopieren Sie das folgende PowerShell-Skript, und fügen Sie es auf dem Computer ein, auf dem Microsoft Entra Connect installiert ist. Das Skript löst eine vollständige Kennwortsynchronisierung aus, einschließlich der Legacy-Kennworthashes. Aktualisieren Sie die Variablen $azureadConnector und $adConnector mit den Connectornamen aus dem vorherigen Schritt.

    Führen Sie dieses Skript in jeder AD-Gesamtstruktur aus, um NTLM- und Kerberos-Kennworthashes des lokalen Kontos mit Microsoft Entra ID zu synchronisieren.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Je nach Größe Ihres Verzeichnisses in Bezug auf die Anzahl von Konten und Gruppen kann die Synchronisierung der Legacy-Kennworthashes mit Microsoft Entra ID auch etwas länger dauern. Die Kennwörter werden dann mit der verwalteten Domäne synchronisiert, nachdem die Synchronisierung mit Microsoft Entra ID erfolgt ist.

Nächste Schritte

In diesem Tutorial wurde Folgendes beschrieben:

  • Gründe für die Verwendung von NTLM- und Kerberos-Legacy-Kennworthashes
  • Vorgehensweise beim Konfigurieren der Synchronisierung von Legacy-Kennworthashes für Microsoft Entra Connect