Samouczek: podstawowe środowisko usługi Active Directory

Ten samouczek przeprowadzi Cię przez proces tworzenia podstawowego środowiska usługi Active Directory.

Możesz użyć środowiska utworzonego w samouczku, aby przetestować różne aspekty scenariuszy tożsamości hybrydowej i będzie to wymaganie wstępne dla niektórych samouczków. Jeśli masz już istniejące środowisko usługi Active Directory, możesz użyć go jako zastępczego. Te informacje są udostępniane osobom, które mogą zaczynać się od niczego.

Ten samouczek składa się z

Wymagania wstępne

Poniżej przedstawiono wymagania wstępne niezbędne do wykonania kroków tego samouczka

• Komputer z zainstalowaną funkcją Hyper-V. Zaleca się wykonanie tej czynności na komputerze z systemem Windows 10 lub Windows Server 2016 .
• Zewnętrzna karta sieciowa umożliwiająca maszynie wirtualnej komunikację z Internetem.
• Subskrypcja platformy Azure
• Kopia systemu Windows Server 2016
• Microsoft .NET Framework 4.7.1

Uwaga

W tym samouczku używane są skrypty programu PowerShell w celu jak najszybszego utworzenia środowiska samouczka. W każdym ze skryptów są używane zmienne zadeklarowane na początku skryptu. Można i należy zmienić te zmienne na zgodne z używanym środowiskiem.

Skrypty używane do tworzenia ogólnego środowiska usługi Active Directory przed zainstalowaniem agenta aprowizacji w chmurze firmy Microsoft Połączenie. Są one odpowiednie dla wszystkich samouczków.

Kopie skryptów programu PowerShell używanych w tym samouczku są dostępne w usłudze GitHub — tutaj.

Tworzenie maszyny wirtualnej

Pierwszą rzeczą, którą należy wykonać, aby skonfigurować i uruchomić nasze środowisko tożsamości hybrydowej, jest utworzenie maszyny wirtualnej, która będzie używana jako nasz serwer lokalna usługa Active Directory. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Finalizowanie wdrożenia systemu operacyjnego

Aby zakończyć tworzenie maszyny wirtualnej, należy zakończyć instalację systemu operacyjnego.

1. Menedżer funkcji Hyper-V: kliknij dwukrotnie maszynę wirtualną
2. Kliknij przycisk Uruchom.
3. Zostanie wyświetlony monit o naciśnięcie klawisza "Naciśnij dowolny klawisz, aby uruchomić z dysku CD lub DVD". Zrób to.
4. Na ekranie uruchamiania systemu Windows Server wybierz język i kliknij przycisk Dalej.
5. Kliknij pozycję Zainstaluj teraz.
6. Wprowadź klucz licencji i kliknij przycisk Dalej.
7. Zaznacz opcję **Akceptuję postanowienia licencyjne, a następnie kliknij przycisk Dalej.
8. Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane)
9. Kliknij przycisk Dalej.
10. Po zakończeniu instalacji uruchom ponownie maszynę wirtualną, zaloguj się i uruchom aktualizacje systemu Windows, aby upewnić się, że maszyna wirtualna została zaktualizowana. Zainstaluj najnowsze aktualizacje.

Instalowanie wymagań wstępnych usługi Active Directory

Teraz, gdy masz już maszynę wirtualną, przed zainstalowaniem usługi Active Directory należy wykonać kilka czynności. Oznacza to, że należy zmienić nazwę maszyny wirtualnej, ustawić statyczny adres IP i informacje DNS oraz zainstalować narzędzia Administracja istration serwera zdalnego. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Tworzenie środowiska usługi Windows Server AD

Teraz, gdy masz utworzoną maszynę wirtualną i zmieniono jej nazwę i masz statyczny adres IP, możesz zainstalować i skonfigurować usługi domena usługi Active Directory. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomaninNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Tworzenie użytkownika usługi Windows Server AD

Teraz, gdy masz już nasze środowisko usługi Active Directory, musisz mieć konto testowe. To konto zostanie utworzone w naszym lokalnym środowisku usługi AD, a następnie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   # Filename:    4_CreateUser.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Tworzenie dzierżawy firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Teraz musisz utworzyć dzierżawę firmy Microsoft Entra, aby móc synchronizować naszych użytkowników z chmurą. Aby utworzyć nową dzierżawę firmy Microsoft Entra, wykonaj następujące czynności.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra i zaloguj się przy użyciu konta, które ma subskrypcję firmy Microsoft Entra.
2. Kliknij pozycję Przegląd.
3. Kliknij pozycję Zarządzaj dzierżawami.
4. Wybierz pozycję Utwórz.
   
5. Podaj nazwę organizacji wraz z początkową nazwą domeny. Następnie wybierz Utwórz. Spowoduje to utworzenie katalogu.
6. Po zakończeniu kliknij link tutaj, aby zarządzać katalogiem.

Tworzenie administratora globalnego w identyfikatorze Entra firmy Microsoft

Teraz, gdy masz dzierżawę firmy Microsoft Entra, utworzysz konto administratora globalnego. Aby utworzyć konto administratora globalnego, wykonaj następujące czynności.

1. W obszarze Zarządzanie wybierz pozycję Użytkownicy.
   
   
2. Wybierz pozycję Wszyscy użytkownicy, a następnie pozycję + Nowy użytkownik.
3. Podaj nazwę i nazwę użytkownika dla tego użytkownika. Będzie to twój globalny Administracja istrator dzierżawy. Należy również zmienić rolę katalog na administrator globalny. Możesz również wyświetlić hasło tymczasowe. Po zakończeniu wybierz pozycję Utwórz.
   
   
4. Po zakończeniu otwórz nowe okno przeglądarki internetowej i zaloguj się na stronie myapps.microsoft.com przy użyciu nowego konta administratora globalnego oraz hasła tymczasowego.
5. Zmień hasło administratora globalnego na coś, co zapamiętasz.

Opcjonalnie: Dodatkowy serwer i las

Poniżej znajduje się opcjonalna sekcja, która zawiera kroki tworzenia dodatkowego serwera i lasu. Może to być używane w niektórych bardziej zaawansowanych samouczkach, takich jak Pilot for Microsoft Entra Połączenie synchronizacji z chmurą.

Jeśli potrzebujesz tylko dodatkowego serwera, możesz zatrzymać się po kroku — Tworzenie maszyny wirtualnej i dołączyć serwer do istniejącej domeny, która została utworzona powyżej.

Tworzenie maszyny wirtualnej

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   # Filename:    1_CreateVM_CP.ps1
   # Description: Creates a VM to be used in the tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $VMName = 'CP1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\CP1\CP1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
   

Finalizowanie wdrożenia systemu operacyjnego

Aby zakończyć tworzenie maszyny wirtualnej, należy zakończyć instalację systemu operacyjnego.

1. Menedżer funkcji Hyper-V: kliknij dwukrotnie maszynę wirtualną
2. Kliknij przycisk Uruchom.
3. Zostanie wyświetlony monit o naciśnięcie klawisza "Naciśnij dowolny klawisz, aby uruchomić z dysku CD lub DVD". Zrób to.
4. Na ekranie uruchamiania systemu Windows Server wybierz język i kliknij przycisk Dalej.
5. Kliknij pozycję Zainstaluj teraz.
6. Wprowadź klucz licencji i kliknij przycisk Dalej.
7. Zaznacz opcję **Akceptuję postanowienia licencyjne, a następnie kliknij przycisk Dalej.
8. Wybierz pozycję Niestandardowe: Zainstaluj tylko system Windows (zaawansowane)
9. Kliknij przycisk Dalej.
10. Po zakończeniu instalacji uruchom ponownie maszynę wirtualną, zaloguj się i uruchom aktualizacje systemu Windows, aby upewnić się, że maszyna wirtualna została zaktualizowana. Zainstaluj najnowsze aktualizacje.

Instalowanie wymagań wstępnych usługi Active Directory

Teraz, gdy masz już maszynę wirtualną, przed zainstalowaniem usługi Active Directory należy wykonać kilka czynności. Oznacza to, że należy zmienić nazwę maszyny wirtualnej, ustawić statyczny adres IP i informacje DNS oraz zainstalować narzędzia Administracja istration serwera zdalnego. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   # Filename:    2_ADPrep_CP.ps1
   # Description: Prepares your environment for Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $ipaddress = "10.0.1.118" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.118"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "CP1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   #Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Tworzenie środowiska usługi Windows Server AD

Teraz, gdy masz utworzoną maszynę wirtualną i zmieniono jej nazwę i masz statyczny adres IP, możesz zainstalować i skonfigurować usługi domena usługi Active Directory. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   # Filename:    3_InstallAD_CP.ps1
   # Description: Creates an on-premises AD environment.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "fabrikam.com"
   $DomaninNetBIOSName = "FABRIKAM"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Tworzenie użytkownika usługi Windows Server AD

Teraz, gdy masz już nasze środowisko usługi Active Directory, musisz mieć konto testowe. To konto zostanie utworzone w naszym lokalnym środowisku usługi AD, a następnie zsynchronizowane z identyfikatorem Entra firmy Microsoft. Należy wykonać następujące czynności:

1. Otwórz program PowerShell ISE jako administrator.

2. Uruchom poniższy skrypt.

   # Filename:    4_CreateUser_CP.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Anna"
   $Surname = "Ringdal"
   $Displayname = "Anna Ringdal"
   $Name = "aringdal"
   $Password = "Pass1w0rd"
   $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Podsumowanie

Teraz masz środowisko, które może być używane na potrzeby istniejących samouczków i do testowania dodatkowych funkcji synchronizacji w chmurze.

Następne kroki

• Co to jest aprowizacja?
• Co to jest microsoft Entra Cloud Sync?