Oktatóanyag: Jelszókivonat-szinkronizálás használata hibrid identitáshoz egyetlen Active Directory-erdőben

  • Cikk

Ez az oktatóanyag bemutatja, hogyan hozhat létre hibrid identitáskörnyezetet az Azure-ban jelszókivonat-szinkronizálás és Windows Server Active Directory (Windows Server AD) használatával. A hibrid identitások teszteléséhez vagy a hibrid identitás működésének megismeréséhez használhatja a létrehozott hibrid identitáskörnyezetet.

Diagram, amely bemutatja, hogyan hozhat létre hibrid identitáskörnyezetet az Azure-ban jelszókivonat-szinkronizálás használatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Virtuális gépet hoz létre.
  • Hozzon létre egy Windows Server Active Directory-környezetet.
  • Hozzon létre egy Windows Server Active Directory-felhasználót.
  • Hozzon létre egy Microsoft Entra-bérlőt.
  • Hibrid identitás Rendszergazda istrator-fiók létrehozása az Azure-ban.
  • A Microsoft Entra Csatlakozás beállítása.
  • Tesztelje és ellenőrizze, hogy a felhasználók szinkronizálva vannak-e.

Előfeltételek

  • Egy számítógép, amelyen telepítve van a Hyper-V . Javasoljuk, hogy telepítse a Hyper-V-t Windows 10 vagy Windows Server 2016 rendszerű számítógépre.
  • Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
  • Külső hálózati adapter, így a virtuális gép csatlakozhat az internethez.
  • A Windows Server 2016 egy példánya.

Feljegyzés

Ez az oktatóanyag PowerShell-szkriptekkel hozza létre gyorsan az oktatóanyagi környezetet. Minden szkript a szkript elején deklarált változókat használ. Mindenképpen módosítsa a változókat a környezetének megfelelően.

Az oktatóanyag szkriptjei létrehoznak egy általános Windows Server Active Directory-környezetet (Windows Server AD) a Microsoft Entra Csatlakozás telepítése előtt. A szkripteket a kapcsolódó oktatóanyagokban is használják.

Az oktatóanyagban használt PowerShell-szkriptek a GitHubon érhetők el.

Virtuális gép létrehozása

Hibrid identitáskörnyezet létrehozásához az első feladat egy helyszíni Windows Server AD-kiszolgálóként használható virtuális gép létrehozása.

Feljegyzés

Ha még soha nem futtatott szkriptet a PowerShellben a gazdagépen, mielőtt bármilyen szkriptet futtatna, nyissa meg a Windows PowerShell I Standard kiadás rendszergazdaként, és futtassaSet-ExecutionPolicy remotesigned. A Végrehajtási szabályzat módosítása párbeszédpanelen válassza az Igen lehetőséget.

A virtuális gép létrehozása:

  1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

  2. Futtassa a következő parancsfájlt:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Az operációs rendszer telepítése

A virtuális gép létrehozásának befejezéséhez telepítse az operációs rendszert:

  1. A Hyper-V Kezelőben kattintson duplán a virtuális gépre.
  2. Válassza az Indítás lehetőséget .
  3. A parancssorban nyomja le bármelyik billentyűt a CD-ről vagy DVD-ről való indításhoz.
  4. A Windows Server kezdőablakában válassza ki a nyelvet, majd válassza a Tovább gombot.
  5. Válassza a Telepítés most lehetőséget.
  6. Adja meg a licenckulcsot, és válassza a Tovább gombot.
  7. Jelölje be az Elfogadom a licencfeltételek jelölőnégyzetet, és válassza a Tovább gombot.
  8. Válassza az Egyéni: Csak a Windows telepítése (Speciális) lehetőséget.
  9. Válassza a Tovább lehetőséget.
  10. Ha a telepítés befejeződött, indítsa újra a virtuális gépet. Jelentkezzen be, majd ellenőrizze a Windows Update-et. Telepítse a frissítéseket, hogy a virtuális gép teljes mértékben naprakész legyen.

A Windows Server AD előfeltételeinek telepítése

A Windows Server AD telepítése előtt futtasson egy szkriptet, amely telepíti az előfeltételeket:

  1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

  2. Futtassa az Set-ExecutionPolicy remotesigned parancsot. A Végrehajtási szabályzat módosítása párbeszédpanelen válassza az Igen mindenkinek lehetőséget.

  3. Futtassa a következő parancsfájlt:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Windows Server AD-környezet létrehozása

Most telepítse és konfigurálja a Active Directory tartományi szolgáltatások a környezet létrehozásához:

  1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

  2. Futtassa a következő parancsfájlt:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Windows Server AD-felhasználó létrehozása

Ezután hozzon létre egy tesztfelhasználói fiókot. Hozza létre ezt a fiókot a helyi Active Directory környezetben. A fiók ezután szinkronizálva lesz a Microsoft Entra-azonosítóval.

  1. Nyissa meg rendszergazdaként a Windows PowerShell I-t Standard kiadás.

  2. Futtassa a következő parancsfájlt:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Microsoft Entra-bérlő létrehozása

Ha nincs ilyenje, kövesse az Új bérlő létrehozása a Microsoft Entra-azonosítóban című cikkben ismertetett lépéseket egy új bérlő létrehozásához.

Hibrid identitás Rendszergazda istrator létrehozása a Microsoft Entra ID-ban

A következő feladat egy hibrid identitás Rendszergazda istrator-fiók létrehozása. Ez a fiók a Microsoft Entra Csatlakozás or-fiók létrehozásához használható a Microsoft Entra Csatlakozás telepítése során. A Microsoft Entra Csatlakozás or-fiók segítségével adatokat írhat a Microsoft Entra-azonosítóba.

A Hibrid identitás Rendszergazda istrator-fiók létrehozása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
  2. Tallózás az Identitásfelhasználók >>minden felhasználója között
  3. Válassza az Új felhasználó új felhasználó> létrehozása lehetőséget.
  4. Az Új felhasználó létrehozása panelen adja meg az új felhasználó megjelenítendő nevét és egyszerű felhasználónevét. Létrehozza a hibrid identitás Rendszergazda istrator-fiókját a bérlő számára. Megjelenítheti és másolhatja az ideiglenes jelszót.
    1. A Hozzárendelések területen válassza a Szerepkör hozzáadása, majd a Hibrid identitás Rendszergazda istrator lehetőséget.
  5. Ezután válassza a Véleményezés + létrehozás lehetőséget>.
  6. Egy új webböngészőablakban myapps.microsoft.com jelentkezzen be az új Hibrid identitás Rendszergazda istrator-fiókkal és az ideiglenes jelszóval.

A Microsoft Entra Csatlakozás letöltése és telepítése

Itt az ideje, hogy letöltse és telepítse a Microsoft Entra Csatlakozás. A telepítés után az expressz telepítést fogja használni.

  1. Töltse le a Microsoft Entra Csatlakozás.

  2. Nyissa meg az AzureAD Csatlakozás.msi és kattintson duplán a telepítési fájl megnyitásához.

  3. Az Üdvözlő menüben jelölje be a jelölőnégyzetet a licencfeltételek elfogadásához, és válassza a Folytatás lehetőséget.

  4. Az Expressz beállításai között válassza az Expressz beállítások használata lehetőséget.

  5. A Microsoft Entra-azonosítóhoz Csatlakozás adja meg a Microsoft Entra ID hibrid identitás Rendszergazda istrator-fiókjának felhasználónevét és jelszavát. Válassza a Tovább lehetőséget.

  6. Az AD DS Csatlakozás adja meg egy vállalati rendszergazdai fiók felhasználónevét és jelszavát. Válassza a Tovább lehetőséget.

  7. A Konfigurálásra kész területen válassza a Telepítés lehetőséget.

  8. Ha a telepítés befejeződött, válassza a Kilépés lehetőséget.

  9. A Szinkronizálási szolgáltatáskezelő vagy a Szinkronizálási szabályszerkesztő használata előtt jelentkezzen ki, majd jelentkezzen be újra.

Felhasználók keresése a portálon

Most ellenőrizni fogja, hogy a helyi Active Directory-bérlő felhasználói szinkronizálva lettek-e, és most már a Microsoft Entra-bérlőben vannak-e. Ez a szakasz néhány órát is igénybe vehet.

A felhasználók szinkronizálásának ellenőrzése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.

  2. Tallózás az Identitásfelhasználók >>minden felhasználója között

  3. Ellenőrizze, hogy az új felhasználók megjelennek-e a bérlőben.

    Képernyőkép annak ellenőrzéséről, hogy a felhasználók szinkronizálva lettek-e a Microsoft Entra-azonosítóban.

Bejelentkezés felhasználói fiókkal a szinkronizálás teszteléséhez

Annak ellenőrzéséhez, hogy a Windows Server AD-bérlő felhasználói szinkronizálva vannak-e a Microsoft Entra-bérlővel, jelentkezzen be az egyik felhasználóként:

  1. Odamegy https://myapps.microsoft.com.

  2. Jelentkezzen be az új bérlőben létrehozott felhasználói fiókkal.

    A felhasználónévhez használja a formátumot user@domain.onmicrosoft.com. Használja ugyanazt a jelszót, amelyet a felhasználó a helyi Active Directory való bejelentkezéshez használ.

Sikeresen beállított egy hibrid identitáskezelési környezetet, amellyel tesztelheti és megismerheti az Azure által kínált lehetőségeket.

Következő lépések