Zelfstudie: Wachtwoordsynchronisatie met Azure Active Directory Domain Services inschakelen voor hybride omgevingen

Voor hybride omgevingen kan een Azure Active Directory-tenant (Azure AD) worden geconfigureerd om een on-premises Active Directory Domain Services-omgeving (AD DS) te synchroniseren met Azure AD Connect. Standaard worden verouderde NTLM- (NT LAN Manager) en Kerberos-wachtwoordhashes in Azure AD Connect, die nodig zijn voor Azure Active Directory Domain Services (Azure AD DS), niet gesynchroniseerd.

Als u Azure AD DS wilt gebruiken met accounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving, moet u Azure AD Connect configureren om de vereiste wachtwoordhashes voor NTLM- en Kerberos-verificatie te synchroniseren. Nadat Azure AD Connect is geconfigureerd, worden ook verouderde wachtwoordhashes met Azure AD gesynchroniseerd wanneer een on-premises account wordt gemaakt of een wachtwoord wordt gewijzigd.

U hoeft deze stappen niet uit te voeren als u cloudaccounts zonder een on-premises AD DS-omgeving gebruikt of als u een resourceforest gebruikt. Voor beheerde domeinen die gebruikmaken van een resourceforest, worden hashes van on-premises wachtwoorden nooit gesynchroniseerd. Verificatie voor on-premises accounts gebruik de forest-vertrouwensrelatie(s) op uw eigen AD DS-domeincontrollers.

In deze zelfstudie komen deze onderwerpen aan bod:

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources nodig:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Azure Active Directory-tenant die is gekoppeld aan uw abonnement dat met behulp van Azure AD Connect met een on-premises directory is gesynchroniseerd.
  • Maak zo nodig een Azure Active Directory-tenant of koppel een Azure-abonnement aan uw account.
  • Schakel indien nodig Azure AD Connect in voor de synchronisatie van wachtwoordhashes.
• Een door Azure Active Directory Domain Services beheerd domein dat in uw Azure AD-tenant is ingeschakeld en geconfigureerd.
  • Maak en configureer zo nodig een door Azure Active Directory Domain Services beheerd domein.

Synchronisatie van wachtwoordhashes met Azure AD Connect

Azure AD Connect wordt gebruikt om objecten, zoals gebruikersaccounts en groepen uit een on-premises AD DS-omgeving, te synchroniseren in een Azure AD-tenant. Als onderdeel van het proces wordt met synchronisatie van wachtwoordhashes ingeschakeld dat accounts hetzelfde wachtwoord in de on-premises AD DS-omgeving en Azure AD gebruiken.

Voor de verificatie van gebruikers in het beheerde domein heeft Azure AD DS wachtwoordhashes nodig in een indeling die geschikt is voor NTLM- en Kerberos-verificatie. Totdat u Azure AD DS voor uw tenant inschakelt, bewaart Azure AD geen wachtwoordhashes in de vereiste indeling voor NTLM- of Kerberos-verificatie. Om veiligheidsredenen slaat Azure AD ook geen wachtwoorden op in niet-gecodeerde vorm. Azure AD kan deze wachtwoordhashes voor NTLM of Kerberos niet automatisch genereren op basis van bestaande referenties van gebruikers.

Azure AD Connect kan worden geconfigureerd om de vereiste NTLM- of Kerberos-wachtwoordhashes te synchroniseren voor Azure AD DS. Zorg ervoor dat u de stappen hebt voltooid om Azure AD Connect in te schakelen voor synchronisatie van wachtwoordhashes. Als u een bestaande instantie van Azure AD Connect had, moet u de nieuwste versie downloaden en bijwerken om ervoor te zorgen dat u de verouderde wachtwoordhashes voor NTLM en Kerberos kunt synchroniseren. Deze functionaliteit is niet beschikbaar in eerdere versies van Azure AD Connect of in het oudere DirSync-hulpprogramma. Azure AD Connect-versie 1.1.614.0 of later is vereist.

Synchronisatie van wachtwoordhashes inschakelen

Zodra Azure AD Connect is geïnstalleerd en geconfigureerd om te synchroniseren met Azure AD, kunt u de synchronisatie van verouderde wachtwoordhashes voor NTLM en Kerberos configureren. Er wordt een PowerShell-script gebruikt om de vereiste instellingen te configureren en vervolgens wordt een volledige wachtwoordsynchronisatie met Azure AD gestart. Wanneer dat synchronisatieproces van wachtwoordhashes in Azure AD Connect is voltooid, kunnen gebruikers zich via Azure AD DS aanmelden bij toepassingen waarvoor verouderde NTLM- of Kerberos-wachtwoordhashes worden gebruikt.

1. Ga op de computer waarop Azure AD Connect is geïnstalleerd naar het startmenu en open Azure AD Connect > Synchronisatieservice.

2. Selecteer het tabblad Connectors. De verbindingsgegevens die worden gebruikt om de synchronisatie tussen de on-premises AD DS-omgeving en Azure AD tot stand te brengen, worden vermeld.

   Het Type is ofwel Windows Azure Active Directory (Microsoft) voor de Azure AD-connector of Active Directory Domain Services voor de on-premises AD DS-connector. Noteer de connectornamen die in het PowerShell-script moeten worden gebruikt in de volgende stap.

   

   In deze voorbeeldschermopname worden de volgende connectors gebruikt:

   • De Azure AD-connector heeft de naam contoso.onmicrosoft.com: AAD
   • De on-premises AD DS-connector heeft de naam onprem.contoso.com

3. Kopieer en plak het volgende PowerShell-script op de computer waarop Azure AD Connect is geïnstalleerd. Door het script wordt een volledige wachtwoordsynchronisatie geactiveerd, inclusief verouderde wachtwoordhashes. Werk de variabelen $azureadConnector en $adConnector bij met de connectornamen uit de vorige stap.

   Voer dit script uit in elke AD-forest om NTLM- en Kerberos-wachtwoordhashes van on-premises accounts te synchroniseren met Azure AD.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   Afhankelijk van de grootte van uw directory, wat het aantal accounts en groepen betreft, kan de synchronisatie van de verouderde wachtwoordhashes met Azure AD enige tijd duren. De wachtwoorden worden vervolgens gesynchroniseerd met het beheerde domein nadat ze zijn gesynchroniseerd met Azure AD.

Volgende stappen

In deze zelfstudie hebt u het volgende geleerd: