Oktatóanyag: Jelszókivonat-szinkronizálás használata hibrid identitáshoz egyetlen Active Directory-erdőben
Ez az oktatóanyag bemutatja, hogyan hozhat létre hibrid identitáskörnyezetet az Azure-ban jelszókivonat-szinkronizálás és Windows Server Active Directory (Windows Server AD) használatával. A hibrid identitások teszteléséhez vagy a hibrid identitás működésének megismeréséhez használhatja a létrehozott hibrid identitáskörnyezetet.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Virtuális gépet hoz létre.
- Hozzon létre egy Windows Server Active Directory-környezetet.
- Hozzon létre egy Windows Server Active Directory-felhasználót.
- Hozzon létre egy Microsoft Entra-bérlőt.
- Hibrid identitás Rendszergazda istrator-fiók létrehozása az Azure-ban.
- A Microsoft Entra Csatlakozás beállítása.
- Tesztelje és ellenőrizze, hogy a felhasználók szinkronizálva vannak-e.
Előfeltételek
- Egy számítógép, amelyen telepítve van a Hyper-V . Javasoljuk, hogy telepítse a Hyper-V-t Windows 10 vagy Windows Server 2016 rendszerű számítógépre.
- Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
- Külső hálózati adapter, így a virtuális gép csatlakozhat az internethez.
- A Windows Server 2016 egy példánya.
Feljegyzés
Ez az oktatóanyag PowerShell-szkriptekkel hozza létre gyorsan az oktatóanyagi környezetet. Minden szkript a szkript elején deklarált változókat használ. Mindenképpen módosítsa a változókat a környezetének megfelelően.
Az oktatóanyag szkriptjei létrehoznak egy általános Windows Server Active Directory-környezetet (Windows Server AD) a Microsoft Entra Csatlakozás telepítése előtt. A szkripteket a kapcsolódó oktatóanyagokban is használják.
Az oktatóanyagban használt PowerShell-szkriptek a GitHubon érhetők el.
Virtuális gép létrehozása
Hibrid identitáskörnyezet létrehozásához az első feladat egy helyszíni Windows Server AD-kiszolgálóként használható virtuális gép létrehozása.
Feljegyzés
Ha még soha nem futtatott szkriptet a PowerShellben a gazdagépen, mielőtt bármilyen szkriptet futtatna, nyissa meg a Windows PowerShell I Standard kiadás rendszergazdaként, és futtassaSet-ExecutionPolicy remotesigned
. A Végrehajtási szabályzat módosítása párbeszédpanelen válassza az Igen lehetőséget.
A virtuális gép létrehozása:
Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.
Futtassa a következő parancsfájlt:
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Az operációs rendszer telepítése
A virtuális gép létrehozásának befejezéséhez telepítse az operációs rendszert:
- A Hyper-V Kezelőben kattintson duplán a virtuális gépre.
- Válassza az Indítás lehetőséget .
- A parancssorban nyomja le bármelyik billentyűt a CD-ről vagy DVD-ről való indításhoz.
- A Windows Server kezdőablakában válassza ki a nyelvet, majd válassza a Tovább gombot.
- Válassza a Telepítés most lehetőséget.
- Adja meg a licenckulcsot, és válassza a Tovább gombot.
- Jelölje be az Elfogadom a licencfeltételek jelölőnégyzetet, és válassza a Tovább gombot.
- Válassza az Egyéni: Csak a Windows telepítése (Speciális) lehetőséget.
- Válassza a Tovább lehetőséget.
- Ha a telepítés befejeződött, indítsa újra a virtuális gépet. Jelentkezzen be, majd ellenőrizze a Windows Update-et. Telepítse a frissítéseket, hogy a virtuális gép teljes mértékben naprakész legyen.
A Windows Server AD előfeltételeinek telepítése
A Windows Server AD telepítése előtt futtasson egy szkriptet, amely telepíti az előfeltételeket:
Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.
Futtassa az
Set-ExecutionPolicy remotesigned
parancsot. A Végrehajtási szabályzat módosítása párbeszédpanelen válassza az Igen mindenkinek lehetőséget.Futtassa a következő parancsfájlt:
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "4.2.2.2" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Windows Server AD-környezet létrehozása
Most telepítse és konfigurálja a Active Directory tartományi szolgáltatások a környezet létrehozásához:
Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.
Futtassa a következő parancsfájlt:
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Windows Server AD-felhasználó létrehozása
Ezután hozzon létre egy tesztfelhasználói fiókot. Hozza létre ezt a fiókot a helyi Active Directory környezetben. A fiók ezután szinkronizálva lesz a Microsoft Entra-azonosítóval.
Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.
Futtassa a következő parancsfájlt:
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Microsoft Entra-bérlő létrehozása
Ha nincs ilyenje, kövesse az Új bérlő létrehozása a Microsoft Entra-azonosítóban című cikkben ismertetett lépéseket egy új bérlő létrehozásához.
Hibrid identitás Rendszergazda istrator létrehozása a Microsoft Entra ID-ban
A következő feladat egy hibrid identitás Rendszergazda istrator-fiók létrehozása. Ez a fiók a Microsoft Entra Csatlakozás or-fiók létrehozásához használható a Microsoft Entra Csatlakozás telepítése során. A Microsoft Entra Csatlakozás or-fiók segítségével adatokat írhat a Microsoft Entra-azonosítóba.
A Hibrid identitás Rendszergazda istrator-fiók létrehozása:
- Jelentkezzen be a Microsoft Entra felügyeleti központjába.
- Tallózás az Identitásfelhasználók >>minden felhasználója között
- Válassza az Új felhasználó új felhasználó> létrehozása lehetőséget.
- Az Új felhasználó létrehozása panelen adja meg az új felhasználó megjelenítendő nevét és egyszerű felhasználónevét. Létrehozza a hibrid identitás Rendszergazda istrator-fiókját a bérlő számára. Megjelenítheti és másolhatja az ideiglenes jelszót.
- A Hozzárendelések területen válassza a Szerepkör hozzáadása, majd a Hibrid identitás Rendszergazda istrator lehetőséget.
- Ezután válassza a Véleményezés + létrehozás lehetőséget>.
- Egy új webböngészőablakban
myapps.microsoft.com
jelentkezzen be az új Hibrid identitás Rendszergazda istrator-fiókkal és az ideiglenes jelszóval.
A Microsoft Entra Csatlakozás letöltése és telepítése
Itt az ideje, hogy letöltse és telepítse a Microsoft Entra Csatlakozás. A telepítés után az expressz telepítést fogja használni.
Töltse le a Microsoft Entra Csatlakozás.
Nyissa meg az AzureAD Csatlakozás.msi és kattintson duplán a telepítési fájl megnyitásához.
Az Üdvözlő menüben jelölje be a jelölőnégyzetet a licencfeltételek elfogadásához, és válassza a Folytatás lehetőséget.
Az Expressz beállításai között válassza az Expressz beállítások használata lehetőséget.
A Microsoft Entra-azonosítóhoz Csatlakozás adja meg a Microsoft Entra ID hibrid identitás Rendszergazda istrator-fiókjának felhasználónevét és jelszavát. Válassza a Tovább lehetőséget.
Az AD DS Csatlakozás adja meg egy vállalati rendszergazdai fiók felhasználónevét és jelszavát. Válassza a Tovább lehetőséget.
A Konfigurálásra kész területen válassza a Telepítés lehetőséget.
Ha a telepítés befejeződött, válassza a Kilépés lehetőséget.
A Szinkronizálási szolgáltatáskezelő vagy a Szinkronizálási szabályszerkesztő használata előtt jelentkezzen ki, majd jelentkezzen be újra.
Felhasználók keresése a portálon
Most ellenőrizni fogja, hogy a helyi Active Directory-bérlő felhasználói szinkronizálva lettek-e, és most már a Microsoft Entra-bérlőben vannak-e. Ez a szakasz néhány órát is igénybe vehet.
A felhasználók szinkronizálásának ellenőrzése:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
Tallózás az Identitásfelhasználók >>minden felhasználója között
Ellenőrizze, hogy az új felhasználók megjelennek-e a bérlőben.
Bejelentkezés felhasználói fiókkal a szinkronizálás teszteléséhez
Annak ellenőrzéséhez, hogy a Windows Server AD-bérlő felhasználói szinkronizálva vannak-e a Microsoft Entra-bérlővel, jelentkezzen be az egyik felhasználóként:
Odamegy https://myapps.microsoft.com.
Jelentkezzen be az új bérlőben létrehozott felhasználói fiókkal.
A felhasználónévhez használja a formátumot
user@domain.onmicrosoft.com
. Használja ugyanazt a jelszót, amelyet a felhasználó a helyi Active Directory való bejelentkezéshez használ.
Sikeresen beállított egy hibrid identitáskezelési környezetet, amellyel tesztelheti és megismerheti az Azure által kínált lehetőségeket.
Következő lépések
- Tekintse át a Microsoft Entra Csatlakozás hardvereket és előfeltételeket.
- Megtudhatja, hogyan használhatja az Express-beállításokat a Microsoft Entra Csatlakozás.
- További információ a Microsoft Entra Csatlakozás jelszókivonat-szinkronizálásáról.