Tutoriel : Environnement Azure Active Directory simple

Ce tutoriel vous guide dans la création d’un environnement Active Directory simple.

Vous pouvez utiliser l’environnement que vous créez dans le tutoriel pour tester divers aspects des scénarios d’identité hybride et en faire un prérequis pour certains tutoriels. Si vous disposez déjà d’un environnement Active Directory existant, vous pouvez l’utiliser comme substitut. Ces informations sont fournies aux personnes susceptibles de démarrer ex nihilo.

Ce tutoriel se compose des éléments suivants

Prérequis

Voici les conditions préalables requises pour suivre ce didacticiel.

• Un ordinateur où Hyper-V est installé. Nous vous recommandons de le faire sur un ordinateur Windows 10 ou Windows Server 2016.
• Une carte réseau externe pour autoriser la machine virtuelle à communiquer avec Internet.
• Un abonnement Azure
• Une copie de Windows Server 2016
• Microsoft .NET Framework 4.7.1

Notes

Ce didacticiel utilise des scripts PowerShell pour vous permettre de créer l’environnement le plus vite possible. Chacun des scripts utilise les variables déclarées au début des scripts. Vous pouvez et devez modifier les variables pour qu’elles reflètent votre environnement.

Les scripts utilisés créent un environnement Active Directory général avant d'installer l'agent de provisionnement cloud Microsoft Entra Connect. Elles sont pertinentes pour l’ensemble des didacticiels.

Des copies des scripts PowerShell utilisés dans ce didacticiel sont disponibles sur GitHub, ici.

Création d'une machine virtuelle

Tout d’abord, pour obtenir un environnement d’identité hybride fonctionnel, vous devez créer une machine virtuelle qui sera utilisée en tant que serveur Active Directory local. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Terminer le déploiement du système d’exploitation

Pour terminer la création de la machine virtuelle, vous devez terminer l’installation du système d’exploitation.

1. Gestionnaire Hyper-V, double-clic sur la machine virtuelle
2. Cliquez sur le bouton Démarrer.
3. Vous êtes invité à appuyer sur n’importe quelle touche pour démarrer à partir du CD ou DVD. Faites-le.
4. Sur l’écran de démarrage Windows Server, sélectionnez votre langue et cliquez sur Suivant.
5. Cliquez sur Installer maintenant.
6. Saisissez votre clé de licence et cliquez sur Suivant.
7. Acceptez les termes du contrat de licence et cliquez sur Suivant.
8. Sélectionnez Personnalisé : installer Windows uniquement (avancé)
9. Cliquez sur Suivant.
10. Une fois l’installation terminée, redémarrez la machine virtuelle, connectez-vous et exécutez les mises à jour Windows pour vous assurer que la machine virtuelle est à jour. Installez les dernières mises à jour.

Installer les prérequis pour Active Directory

Maintenant que la machine virtuelle est en cours d’exécution,vous devez effectuer quelques opérations avant d’installer Active Directory. Autrement dit, vous devez renommer la machine virtuelle, définir une adresse IP statique et des informations DNS, et installer les outils d’administration de serveur distant. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Créer un environnement Windows Server AD

Maintenant que la machine virtuelle a été créée et renommée, et qu’elle dispose d’une adresse IP statique, vous pouvez installer et configurer Active Directory Domain Services. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomaninNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Créer un utilisateur Windows Server AD

Maintenant que vous avez un environnement Active Directory, vous avez besoin d’un compte de test. Ce compte sera créé dans notre environnement AD sur site, puis synchronisé avec Microsoft Entra ID. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   # Filename:    4_CreateUser.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Créer un locataire Microsoft Entra

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Vous devez maintenant créer un locataire Microsoft Entra afin de pouvoir synchroniser nos utilisateurs avec le cloud. Pour créer un nouveau locataire Microsoft Entra, procédez comme suit.

1. Connectez-vous au centre d'administration Microsoft Entra et connectez-vous avec un compte disposant de votre abonnement Microsoft Entra.
2. Cliquez sur Overview.
3. Cliquez sur Gérer les locataires.
4. Sélectionnez Créer.
   
5. Indiquez le nom de l’organisation avec le nom de domaine initial. Sélectionnez ensuite Créer. Votre annuaire est alors créé.
6. Une fois cette opération terminée, cliquez sur ce lien pour gérer l’annuaire.

Créer un administrateur global dans Microsoft Entra ID

Maintenant que vous disposez d’un locataire Microsoft Entra, vous allez créer un compte d’administrateur global. Pour créer le compte d’administrateur général, procédez comme suit.

1. Sous Gérer, sélectionnez Utilisateurs.
   
   
2. Sélectionnez Tous les utilisateurs, puis + Nouvel utilisateur.
3. Renseignez un nom et un nom d’utilisateur pour cet utilisateur. Il s’agira de votre administrateur général pour le locataire. Vous devez également définir le rôle d’annuaire sur Administrateur général. Vous pouvez aussi afficher le mot de passe temporaire. Quand vous avez terminé, sélectionnez Créer.
   
   
4. Une fois cette opération terminée, ouvrez une nouvelle fenêtre de navigateur web et connectez-vous à myapps.microsoft.com en utilisant le nouveau compte d’administrateur général et le mot de passe temporaire.
5. Modifiez le mot de passe de l’administrateur général en optant pour un mot de passe facile à retenir.

Facultatif : forêt et serveur supplémentaires

Vous trouverez ci-dessous une section facultative qui fournit les étapes de la création d’un serveur supplémentaire, et d’une forêt le cas échéant. Cela peut être utilisé dans certains des didacticiels les plus avancés tels que Pilot for Microsoft Entra Connect to cloud sync.

Si vous avez uniquement besoin d’un serveur supplémentaire, vous pouvez arrêter après l’étape Créer la machine virtuelle et joindre le serveur au domaine existant qui a été créé précédemment.

Création d'une machine virtuelle

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   # Filename:    1_CreateVM_CP.ps1
   # Description: Creates a VM to be used in the tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $VMName = 'CP1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\CP1\CP1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
   

Terminer le déploiement du système d’exploitation

Pour terminer la création de la machine virtuelle, vous devez terminer l’installation du système d’exploitation.

1. Gestionnaire Hyper-V, double-clic sur la machine virtuelle
2. Cliquez sur le bouton Démarrer.
3. Vous êtes invité à appuyer sur n’importe quelle touche pour démarrer à partir du CD ou DVD. Faites-le.
4. Sur l’écran de démarrage Windows Server, sélectionnez votre langue et cliquez sur Suivant.
5. Cliquez sur Installer maintenant.
6. Saisissez votre clé de licence et cliquez sur Suivant.
7. Acceptez les termes du contrat de licence et cliquez sur Suivant.
8. Sélectionnez Personnalisé : installer Windows uniquement (avancé)
9. Cliquez sur Suivant.
10. Une fois l’installation terminée, redémarrez la machine virtuelle, connectez-vous et exécutez les mises à jour Windows pour vous assurer que la machine virtuelle est à jour. Installez les dernières mises à jour.

Installer les prérequis pour Active Directory

Maintenant que la machine virtuelle est en cours d’exécution,vous devez effectuer quelques opérations avant d’installer Active Directory. Autrement dit, vous devez renommer la machine virtuelle, définir une adresse IP statique et des informations DNS, et installer les outils d’administration de serveur distant. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   # Filename:    2_ADPrep_CP.ps1
   # Description: Prepares your environment for Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $ipaddress = "10.0.1.118" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.118"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "CP1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   #Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Créer un environnement Windows Server AD

Maintenant que la machine virtuelle a été créée et renommée, et qu’elle dispose d’une adresse IP statique, vous pouvez installer et configurer Active Directory Domain Services. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   # Filename:    3_InstallAD_CP.ps1
   # Description: Creates an on-premises AD environment.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "fabrikam.com"
   $DomaninNetBIOSName = "FABRIKAM"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Créer un utilisateur Windows Server AD

Maintenant que vous avez un environnement Active Directory, vous avez besoin d’un compte de test. Ce compte sera créé dans notre environnement AD sur site, puis synchronisé avec Microsoft Entra ID. Effectuez les actions suivantes :

1. Ouvrez PowerShell ISE en tant qu’administrateur.

2. Exécutez le script suivant.

   # Filename:    4_CreateUser_CP.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Anna"
   $Surname = "Ringdal"
   $Displayname = "Anna Ringdal"
   $Name = "aringdal"
   $Password = "Pass1w0rd"
   $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Conclusion

Vous disposez maintenant d’un environnement qui peut être utilisé pour suivre les tutoriels existants et pour tester des fonctionnalités supplémentaires fournies par la synchronisation cloud.

Étapes suivantes

• Présentation du provisionnement
• Qu’est-ce que la synchronisation cloud Microsoft Entra ?