Tutorial: Grundlegende Active Directory-Umgebung

In diesem Tutorial werden die einzelnen Schritte zum Erstellen einer grundlegenden Active Directory Umgebung erläutert.

Mithilfe der Umgebung, die Sie im Tutorial erstellen, können Sie verschiedene Aspekte von Hybrididentitätsszenarien testen. Diese Umgebung ist zudem Voraussetzung für einige Tutorials. Wenn Sie bereits über eine vorhandene Active Directory Umgebung verfügen, können Sie diese stattdessen verwenden. Diese Informationen richten sich an Einzelpersonen ohne Vorkenntnisse.

Dieses Tutorial besteht aus folgenden Elementen:

Voraussetzungen

Im Folgenden finden Sie die erforderlichen Komponenten für die Durchführung dieses Tutorials:

• Ein Computer mit installiertem Hyper-V. Es wird empfohlen, dies entweder auf einem Windows 10- oder einem Windows Server 2016-Computer durchzuführen.
• Ein externer Netzwerkadapter, um dem virtuellen Computer die Kommunikation mit dem Internet zu ermöglichen.
• Ein Azure-Abonnement
• Eine Kopie von Windows Server 2016.
• Microsoft .NET Framework 4.7.1

Hinweis

In diesem Tutorial werden PowerShell-Skripts verwendet, sodass Sie die Tutorialumgebung in kürzester Zeit erstellen können. Jedes der Skripts verwendet Variablen, die am Anfang jedes Skripts deklariert werden. Sie können und sollten die Variablen entsprechend Ihrer Umgebung ändern.

Mit den verwendeten Skripts wird vor der Installation des Agents für die Azure AD Connect-Cloudbereitstellung eine allgemeine Microsoft Entra-Umgebung erstellt. Sie sind für alle Tutorials relevant.

Kopien der in diesem Tutorial verwendeten PowerShell-Skripts sind unter diesem Link auf GitHub verfügbar.

Erstellen eines virtuellen Computers

Um die Hybrididentitätsumgebung einzurichten und auszuführen, müssen Sie als Erstes einen virtuellen Computer erstellen, der als lokaler Active Directory-Server verwendet wird. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Durchführen der Betriebssystembereitstellung

Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.

1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
2. Klicken Sie auf die Schaltfläche „Starten“.
3. Sie werden aufgefordert, eine beliebige Taste zu drücken, um von CD oder DVD zu starten. Fahren Sie fort, und tun Sie dies.
4. Wählen Sie auf dem Windows Server-Startbildschirm Ihre Sprache aus, und klicken Sie auf Weiter.
5. Klicken Sie auf Jetzt installieren.
6. Geben Sie Ihren Lizenzschlüssel ein, und klicken Sie auf Weiter.
7. Aktivieren Sie „Ich stimme den Lizenzbedingungen zu“, und klicken Sie auf Weiter.
8. Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
9. Klicken Sie auf Weiter.
10. Nach Abschluss der Installation starten Sie den virtuellen Computer neu, melden sich an und führen Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.

Installieren der erforderlichen Active Directory-Komponenten

Nachdem Sie nun über einen virtuellen Computer verfügen, müssen Sie vor der Installation von Active Directory noch ein paar Vorbereitungen treffen. Das heißt, dass Sie den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Erstellen einer Windows Server AD-Umgebung

Nachdem nun der virtuelle Computer erstellt und umbenannt wurde und über eine statische IP-Adresse verfügt, können Sie als Nächstes die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomaninNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Erstellen eines Windows Server AD-Benutzers

Nachdem nun die Active Directory-Umgebung vorhanden ist, benötigen Sie ein Testkonto. Dieses Konto wird in unserer lokalen Active Directory-Umgebung erstellt und dann mit Microsoft Entra ID synchronisiert. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   # Filename:    4_CreateUser.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Erstellen eines Microsoft Entra-Mandanten

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Jetzt müssen Sie einen Microsoft Entra-Mandanten erstellen, damit Sie Ihre Benutzer mit der Cloud synchronisieren können. Gehen Sie wie folgt vor, um einen neuen Microsoft Entra-Mandanten zu erstellen.

1. Melden Sie sich zunächst beim Microsoft Entra Admin Center und anschließend bei einem Konto an, das über Ihr Microsoft Entra-Abonnement verfügt.
2. Klicken Sie auf Overview.
3. Klicken Sie auf Mandanten verwalten.
4. Wählen Sie Erstellen
   aus.
5. Geben Sie einen Namen für die Organisation an, zusammen mit dem Namen der Anfangsdomäne. Klicken Sie anschließend auf Erstellen. Hierdurch wird Ihr Verzeichnis erstellt.
6. Sobald dies abgeschlossen ist, klicken Sie auf diesen Link, um das Verzeichnis zu verwalten.

Erstellen Sie einen globalen Administrator von Microsoft Entra ID.

Nachdem nun ein Microsoft Entra-Mandant vorhanden ist, erstellen Sie ein Konto mit der Rolle „Globaler Administrator“. Gehen Sie zum Erstellen des globalen Administratorkontos wie folgt vor:

1. Wählen Sie unter Verwalten die Option Benutzer aus.
   
   
2. Wählen Sie Alle Benutzer und dann + Neuer Benutzer aus.
3. Geben Sie für diesen Benutzer einen Namen und Benutzernamen an. Dies wird Ihr*e globale*r Administrator*in für den Mandanten. Sie sollten auch die Verzeichnisrolle in Globaler Administrator ändern. Sie können auch das temporäre Kennwort anzeigen. Wenn Sie fertig sind, wählen Sie Erstellen aus.
   
   
4. Sobald dies abgeschlossen ist, öffnen Sie einen neuen Webbrowser, und melden Sie sich mit dem neuen globalen Administratorkonto und dem temporären Kennwort bei „myapps.microsoft.com“ an.
5. Ändern Sie das Kennwort für den globalen Administrator in einen Wert, den Sie sich merken können.

Optional: Zusätzliche/r Server und/oder Gesamtstruktur

Der folgende optionale Abschnitt enthält die Schritte zum Erstellen eines zusätzlichen Servers und/oder einer Gesamtstruktur. Diese Gesamtstruktur kann in einigen der komplexeren Tutorials (z. B. Pilotcloudsynchronisierung für eine vorhandene synchronisierte Microsoft Entra-Gesamtstruktur) verwendet werden.

Wenn Sie nur einen zusätzlichen Server benötigen, können Sie den Vorgang nach dem Schritt Erstellen des virtuellen Computers beenden und den Server mit der vorhandenen Domäne verknüpfen, die zuvor erstellt wurde.

Erstellen eines virtuellen Computers

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   # Filename:    1_CreateVM_CP.ps1
   # Description: Creates a VM to be used in the tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $VMName = 'CP1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\CP1\CP1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
   

Durchführen der Betriebssystembereitstellung

Um das Erstellen des virtuellen Computers durchzuführen, müssen Sie die Installation des Betriebssystems abschließen.

1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
2. Klicken Sie auf die Schaltfläche „Starten“.
3. Sie werden aufgefordert, eine beliebige Taste zu drücken, um von CD oder DVD zu starten. Fahren Sie fort, und tun Sie dies.
4. Wählen Sie auf dem Windows Server-Startbildschirm Ihre Sprache aus, und klicken Sie auf Weiter.
5. Klicken Sie auf Jetzt installieren.
6. Geben Sie Ihren Lizenzschlüssel ein, und klicken Sie auf Weiter.
7. Aktivieren Sie „Ich stimme den Lizenzbedingungen zu“, und klicken Sie auf Weiter.
8. Wählen SieBenutzerdefiniert: Installation nur Windows (erweitert)
9. Klicken Sie auf Weiter.
10. Nach Abschluss der Installation starten Sie den virtuellen Computer neu, melden sich an und führen Windows-Updates aus, um sicherzustellen, dass die VM auf dem neuesten Stand ist. Installieren Sie die neuesten Updates.

Installieren der erforderlichen Active Directory-Komponenten

Nachdem Sie nun über einen virtuellen Computer verfügen, müssen Sie vor der Installation von Active Directory noch ein paar Vorbereitungen treffen. Das heißt, dass Sie den virtuellen Computer umbenennen, eine statische IP-Adresse und DNS-Informationen festlegen und die Remoteserver-Verwaltungstools installieren müssen. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   # Filename:    2_ADPrep_CP.ps1
   # Description: Prepares your environment for Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $ipaddress = "10.0.1.118" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.118"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "CP1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   #Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Erstellen einer Windows Server AD-Umgebung

Nachdem nun der virtuelle Computer erstellt und umbenannt wurde und über eine statische IP-Adresse verfügt, können Sie als Nächstes die Active Directory Domain Services installieren und konfigurieren. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   # Filename:    3_InstallAD_CP.ps1
   # Description: Creates an on-premises AD environment.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "fabrikam.com"
   $DomaninNetBIOSName = "FABRIKAM"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Erstellen eines Windows Server AD-Benutzers

Nachdem nun die Active Directory-Umgebung vorhanden ist, benötigen Sie ein Testkonto. Dieses Konto wird in unserer lokalen Active Directory-Umgebung erstellt und dann mit Microsoft Entra ID synchronisiert. Gehen Sie folgendermaßen vor:

1. Öffnen Sie die PowerShell ISE als Administrator.

2. Führen Sie das folgende Skript aus.

   # Filename:    4_CreateUser_CP.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Anna"
   $Surname = "Ringdal"
   $Displayname = "Anna Ringdal"
   $Name = "aringdal"
   $Password = "Pass1w0rd"
   $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Zusammenfassung

Nun verfügen Sie über eine Umgebung, die für vorhandene Tutorials und zum Testen zusätzlicher Features der Cloudsynchronisierung verwendet werden kann.

Nächste Schritte

• Was ist die Identitätsbereitstellung?
• Was ist die Microsoft Entra-Cloudsynchronisierung?