Zelfstudie: Basis-Active Directory-omgeving

In deze zelfstudie wordt u begeleid bij het maken van een eenvoudige Active Directory-omgeving.

U kunt de omgeving die u in de zelfstudie maakt, gebruiken om verschillende aspecten van hybride identiteitsscenario's te testen. Dit is een vereiste voor sommige zelfstudies. Als u al een bestaande Active Directory-omgeving hebt, kunt u deze als vervanging gebruiken. Deze informatie wordt verstrekt voor personen die van niets kunnen beginnen.

Deze zelfstudie bestaat uit

Vereisten

Dit zijn de vereisten voor het voltooien van deze zelfstudie

• Een computer waarop Hyper-V is geïnstalleerd. U wordt aangeraden dit te doen op een Windows 10 - of Windows Server 2016-computer .
• Een externe netwerkadapter waarmee de virtuele machine kan communiceren met internet.
• Een Azure-abonnement
• Een exemplaar van Windows Server 2016
• Microsoft .NET Framework 4.7.1

Notitie

In deze zelfstudie worden PowerShell-scripts gebruikt, zodat u de omgeving voor de zelfstudie zo snel mogelijk kunt inrichten. Elk van de scripts maakt gebruik van variabelen die worden gedeclareerd aan het begin van de scripts. U kunt en moet de variabelen aanpassen aan uw omgeving.

De scripts die worden gebruikt, maken een algemene Active Directory-omgeving voordat u de Microsoft Entra Verbinding maken cloudinrichtingsagent installeert. De scripts zijn relevant voor alle zelfstudies.

Kopieën van de PowerShell-scripts die worden gebruikt in deze zelfstudie zijn hier beschikbaar op GitHub.

Maak een virtuele machine

Het eerste wat u gaat doen om de omgeving met een hybride identiteit in te richten, is een virtuele machine maken die u gaat gebruiken als de on-premises Active Directory Domain Services-server. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Implementatie van het besturingssysteem voltooien

Om het bouwen van de virtuele machine te voltooien, moet u de installatie van het besturingssysteem afronden.

1. Ga naar Hyper-V Manager en dubbelklik op de virtuele machine
2. Klik op de knop Start.
3. U wordt gevraagd 'Druk op een willekeurige toets om vanaf cd of dvd op te starten'. Druk op een willekeurige toets.
4. Selecteer uw taal in het opstartscherm van Windows Server en klik op Volgende.
5. Klik op Nu installeren.
6. Voer uw licentiecode in en klik op Volgende.
7. Geef aan dat u akkoord gaat met de licentievoorwaarden en klik op Volgende.
8. Selecteer Aangepast: alleen Windows installeren (geavanceerd)
9. Klik op Volgende
10. Als de installatie is voltooid, start u de virtuele machine opnieuw op, meldt u zich aan en installeert u de beschikbare Windows-updates om er zeker van te zijn dat de VM up-to-date is. Installeer de laatste updates.

Vereisten voor de installatie van Active Directory Domain Services

De virtuele machine is nu klaar en u gaat verder met enkele voorbereidende handelingen voorafgaand aan de installatie van Active Directory. U dient de naam van de virtuele machine te wijzigen, een vast IP-adres en DNS-gegevens in te stellen, en Remote Server Administration Tools te installeren. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Een Windows Server AD-omgeving inrichten

U hebt nu een VM gemaakt, de naam ervan gewijzigd en een vast IP-adres toegewezen. De volgende stap bestaat uit het installeren en configureren van Active Directory Domain Services. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomaninNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Een Windows Server AD-gebruiker maken

De Active Directory-omgeving is klaar. U hebt nu een testaccount nodig. Dit account wordt gemaakt in onze on-premises AD-omgeving en vervolgens gesynchroniseerd met Microsoft Entra ID. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   # Filename:    4_CreateUser.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Een Microsoft Entra-tenant maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

U moet nu een Microsoft Entra-tenant maken, zodat u onze gebruikers kunt synchroniseren met de cloud. Ga als volgt te werk om een nieuwe Microsoft Entra-tenant te maken.

1. Meld u aan bij het Microsoft Entra-beheercentrum en meld u aan met een account met uw Microsoft Entra-abonnement.
2. Klik op Overzicht.
3. Klik op Tenants beheren.
4. Selecteer Maken.
   
5. Geef een naam op voor de organisatie, evenals een oorspronkelijke domeinnaam. Selecteer vervolgens Maken. Er wordt nu een map aangemaakt.
6. Als die klaar is, klikt u op de koppeling hier om de adreslijst te beheren.

Een globale beheerder maken in Microsoft Entra-id

Nu u een Microsoft Entra-tenant hebt, maakt u een globale beheerdersaccount. Ga als volgt te werk om het globale beheerdersaccount te maken.

1. Selecteer Onder Beheren de optie Gebruikers.
   
   
2. Selecteer Alle gebruikers en selecteer vervolgens + Nieuwe gebruiker.
3. Geef een naam en gebruikersnaam op voor deze gebruiker. Dit is uw Globale Beheer istrator voor de tenant. U wilt ook de directoryrol wijzigen in globale beheerder. U kunt ook het tijdelijke wachtwoord weergeven. Wanneer u klaar bent, selecteert u Maken.
   
   
4. Als de bewerkingen zijn voltooid, opent u een nieuwe webbrowser en meldt u zich met het nieuwe globale beheerdersaccount en het tijdelijke wachtwoord aan bij myapps.microsoft.com.
5. Wijzig het wachtwoord voor de globale beheerder in iets dat u onthoudt.

Optioneel: aanvullende server en forest

Hierna volgt een optionele sectie met stappen voor het maken van een aanvullende server en/of forest. Dit kan worden gebruikt in enkele van de meer geavanceerde zelfstudies, zoals Pilot voor Microsoft Entra Verbinding maken naar cloudsynchronisatie.

Als u alleen een extra server nodig hebt, kunt u stoppen na de stap De virtuele machine maken en de server toevoegen aan het bestaande domein dat hierboven is gemaakt.

Maak een virtuele machine

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   # Filename:    1_CreateVM_CP.ps1
   # Description: Creates a VM to be used in the tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $VMName = 'CP1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\CP1\CP1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
   

Implementatie van het besturingssysteem voltooien

Om het bouwen van de virtuele machine te voltooien, moet u de installatie van het besturingssysteem afronden.

1. Ga naar Hyper-V Manager en dubbelklik op de virtuele machine
2. Klik op de knop Start.
3. U wordt gevraagd 'Druk op een willekeurige toets om vanaf cd of dvd op te starten'. Druk op een willekeurige toets.
4. Selecteer uw taal in het opstartscherm van Windows Server en klik op Volgende.
5. Klik op Nu installeren.
6. Voer uw licentiecode in en klik op Volgende.
7. Geef aan dat u akkoord gaat met de licentievoorwaarden en klik op Volgende.
8. Selecteer Aangepast: alleen Windows installeren (geavanceerd)
9. Klik op Volgende
10. Als de installatie is voltooid, start u de virtuele machine opnieuw op, meldt u zich aan en installeert u de beschikbare Windows-updates om er zeker van te zijn dat de VM up-to-date is. Installeer de laatste updates.

Vereisten voor de installatie van Active Directory Domain Services

De virtuele machine is nu klaar en u gaat verder met enkele voorbereidende handelingen voorafgaand aan de installatie van Active Directory. U dient de naam van de virtuele machine te wijzigen, een vast IP-adres en DNS-gegevens in te stellen, en Remote Server Administration Tools te installeren. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   # Filename:    2_ADPrep_CP.ps1
   # Description: Prepares your environment for Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $ipaddress = "10.0.1.118" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.118"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "CP1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   #Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Een Windows Server AD-omgeving inrichten

U hebt nu een VM gemaakt, de naam ervan gewijzigd en een vast IP-adres toegewezen. De volgende stap bestaat uit het installeren en configureren van Active Directory Domain Services. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   # Filename:    3_InstallAD_CP.ps1
   # Description: Creates an on-premises AD environment.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "fabrikam.com"
   $DomaninNetBIOSName = "FABRIKAM"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Een Windows Server AD-gebruiker maken

De Active Directory-omgeving is klaar. U hebt nu een testaccount nodig. Dit account wordt gemaakt in onze on-premises AD-omgeving en vervolgens gesynchroniseerd met Microsoft Entra ID. Ga als volgt te werk:

1. Open de PowerShell ISE als Administrator.

2. Voer het volgende script uit.

   # Filename:    4_CreateUser_CP.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Anna"
   $Surname = "Ringdal"
   $Displayname = "Anna Ringdal"
   $Name = "aringdal"
   $Password = "Pass1w0rd"
   $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Conclusie

U hebt nu een omgeving die kan worden gebruikt voor bestaande zelfstudies en om aanvullende functies te testen die bij het synchroniseren van de cloud zijn meegeleverd.

Volgende stappen

• Wat is inrichting?
• Wat is Microsoft Entra Cloud Sync?