Samouczek: Integrowanie pojedynczego lasu z jedną dzierżawą usługi Azure ADTutorial: Integrate a single forest with a single Azure AD tenant

Ten samouczek przeprowadzi Cię przez proces tworzenia hybrydowego środowiska tożsamości przy użyciu usługi Azure Active Directory (Azure AD) łączenie się z obsługą chmury.This tutorial walks you through creating a hybrid identity environment using Azure Active Directory (Azure AD) Connect cloud provisioning.

Create

Możesz użyć środowiska utworzonego w tym samouczku do testowania lub w celu poznania się z obsługą chmury.You can use the environment you create in this tutorial for testing or for getting more familiar with cloud provisioning.

Wymagania wstępnePrerequisites

W centrum administracyjnym Azure Active DirectoryIn the Azure Active Directory admin center

  1. Utwórz konto administratora globalnego tylko w chmurze w dzierżawie usługi Azure AD.Create a cloud-only global administrator account on your Azure AD tenant. W ten sposób możesz zarządzać konfiguracją dzierżawy, jeśli usługi lokalne zakończą się niepowodzeniem lub staną się niedostępne.This way, you can manage the configuration of your tenant should your on-premises services fail or become unavailable. Dowiedz się więcej na temat dodawania konta administratora globalnego tylko w chmurze.Learn about adding a cloud-only global administrator account. Wykonanie tego kroku jest niezwykle ważne, aby upewnić się, że dzierżawa nie została zablokowana.Completing this step is critical to ensure that you don't get locked out of your tenant.
  2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy usługi Azure AD.Add one or more custom domain names to your Azure AD tenant. Użytkownicy mogą logować się przy użyciu jednej z tych nazw domen.Your users can sign in with one of these domain names.

W środowisku lokalnymIn your on-premises environment

  1. Identyfikowanie serwera hosta przyłączonego do domeny z systemem Windows Server 2012 R2 lub nowszym z co najmniej 4 GB pamięci RAM i .NET 4.7.1 + środowisko uruchomienioweIdentify a domain-joined host server running Windows Server 2012 R2 or greater with minimum of 4 GB RAM and .NET 4.7.1+ runtime

  2. Jeśli między serwerami i usługą Azure AD istnieje Zapora, skonfiguruj następujące elementy:If there is a firewall between your servers and Azure AD, configure the following items:

    • Upewnij się, że agenci mogą wykonywać żądania wychodzące do usługi Azure AD za pośrednictwem następujących portów:Ensure that agents can make outbound requests to Azure AD over the following ports:

      Numer portuPort number ZastosowanieHow it's used
      8080 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikacji certyfikatu SSLDownloads the certificate revocation lists (CRLs) while validating the SSL certificate
      443443 Obsługuje całą komunikację wychodzącą z usługąHandles all outbound communication with the service
      8080 (opcjonalnie)8080 (optional) Agenci raportują swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny.Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. Ten stan jest wyświetlany w portalu usługi Azure AD.This status is displayed on the Azure AD portal.

      Jeśli Zapora wymusza reguły zależne od użytkowników inicjujących, należy otworzyć te porty dla ruchu z usług systemu Windows, które działają jako usługa sieciowa.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, należy dodać połączenia t do *. msappproxy.NET i *. ServiceBus.Windows.NET.If your firewall or proxy allows you to specify safe suffixes, then add connections t to *.msappproxy.net and *.servicebus.windows.net. W przeciwnym razie Zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • Twoje Agenci muszą mieć dostęp do login.Windows.NET i login.microsoftonline.com na potrzeby rejestracji wstępnej.Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. Należy również otworzyć Zaporę dla tych adresów URL.Open your firewall for those URLs as well.

    • Aby sprawdzić poprawność certyfikatu, Odblokuj następujące adresy URL: mscrl.Microsoft.com:80, CRL.Microsoft.com:80, OCSP.msocsp.com:80i www.Microsoft.com:80.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. Ponieważ te adresy URL są używane do sprawdzania poprawności certyfikatu z innymi produktami firmy Microsoft, te adresy URL mogą już być odblokowane.Since these URLs are used for certificate validation with other Microsoft products you may already have these URLs unblocked.

Zainstaluj agenta aprowizacji Azure AD ConnectInstall the Azure AD Connect provisioning agent

  1. Zaloguj się na serwerze przyłączonym do domeny.Sign in to the domain joined server. Jeśli używasz podstawowego samouczka usługi AD i środowiska Azure , będzie to DC1.If you are using the Basic AD and Azure environment tutorial, it would be DC1.

  2. Zaloguj się do Azure Portal przy użyciu poświadczeń administratora globalnego tylko w chmurze.Sign in to the Azure portal using cloud-only global admin credentials.

  3. Po lewej stronie wybierz pozycję Azure Active Directory, kliknij pozycję Azure AD Connect, a następnie w centrum wybierz pozycję Zarządzaj Provisioning (wersja zapoznawcza) .On the left, select Azure Active Directory, click Azure AD Connect, and in the center select Manage provisioning (preview).

    Portal Azure

  4. Kliknij pozycję Pobierz agenta.Click Download agent.

  5. Uruchom Azure AD Connect agenta aprowizacji.Run the Azure AD Connect provisioning agent.

  6. Na ekranie powitalnym Zaakceptuj postanowienia licencyjne, a następnie kliknij przycisk Instaluj.On the splash screen, Accept the licensing terms and click Install.

    Ekran powitalny

  7. Po zakończeniu tej operacji zostanie uruchomiony Kreator konfiguracji.Once this operation completes, the configuration wizard will launch. Zaloguj się przy użyciu konta administratora globalnego usługi Azure AD.Sign in with your Azure AD global administrator account. Należy pamiętać, że jeśli masz włączone rozszerzone zabezpieczenia programu IE, spowoduje to zablokowanie logowania.Note that if you have IE enhanced security enabled this will block the sign-in. W takim przypadku Zamknij instalację, wyłącz zaawansowane zabezpieczenia programu IE w Menedżer serwera, a następnie kliknij Kreatora agenta aprowizacji usługi AAD Connect , aby ponownie uruchomić instalację.If this is the case, close the installation, disable IE enhanced security in Server Manager, and click the AAD Connect Provisioning Agent Wizard to restart the installation.

  8. Na ekranie połącz Active Directory kliknij pozycję Dodaj katalog , a następnie zaloguj się przy użyciu konta administratora domeny Active Directory.On the Connect Active Directory screen, click Add directory and then sign in with your Active Directory domain administrator account. Uwaga: konto administratora domeny nie powinno mieć wymagań dotyczących zmiany hasła.NOTE: The domain administrator account should not have password change requirements. W przypadku wygaśnięcia lub zmiany hasła należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń.In case the password expires or changes, you will need to re-configure the agent with the new credentials. Ta operacja spowoduje dodanie katalogu lokalnego.This operation will add your on-premises directory. Kliknij przycisk Dalej.Click Next.

    Ekran powitalny

  9. Na ekranie Konfiguracja ukończona kliknij przycisk Potwierdź.On the Configuration complete screen, click Confirm. Ta operacja spowoduje zarejestrowanie i ponowne uruchomienie agenta.This operation will register and restart the agent.

    Ekran powitalny

  10. Po zakończeniu tej operacji powinna zostać wyświetlona informacja: Konfiguracja agenta została pomyślnie zweryfikowana.Once this operation completes you should see a notice: Your agent configuration was successfully verified. Możesz kliknąć przycisk Zakończ.You can click Exit.
    Ekran powitalnyWelcome screen

  11. Jeśli nadal widzisz początkowy ekran powitalny, kliknij przycisk Zamknij.If you still see the initial splash screen, click Close.

Weryfikuj instalację agentaVerify agent installation

Weryfikacja agenta odbywa się w Azure Portal i na serwerze lokalnym, na którym jest uruchomiony Agent programu.Agent verification occurs in the Azure portal and on the local server that is running the agent.

Weryfikacja agenta Azure PortalAzure portal agent verification

Aby sprawdzić, czy Agent jest widziany przez platformę Azure, wykonaj następujące kroki:To verify the agent is being seen by Azure follow these steps:

  1. Zaloguj się do Portalu Azure.Sign in to the Azure portal.

  2. Po lewej stronie wybierz pozycję Azure Active Directory, kliknij pozycję Azure AD Connect i w centrum wybierz pozycję Zarządzaj Provisioning (wersja zapoznawcza) .On the left, select Azure Active Directory, click Azure AD Connect and in the center select Manage provisioning (preview).
    Azure PortalAzure portal

  3. Na ekranie Azure AD Provisioning (wersja zapoznawcza) kliknij pozycję Przejrzyj wszystkich agentów.On the Azure AD Provisioning (preview) screen click Review all agents. aprowizacji usługi Azure ADAzure AD Provisioning

  4. Na ekranie agenci aprowizacji lokalnego zostaną zainstalowani agenci.On the On-premises provisioning agents screen you will see the agents you have installed. Sprawdź, czy dany Agent jest tam i jest oznaczony jako aktywny.Verify that the agent in question is there and is marked active. agentów aprowizacjiProvisioning agents

Na serwerze lokalnymOn the local server

Aby sprawdzić, czy agent działa, wykonaj następujące kroki:To verify that the agent is running follow these steps:

  1. Zaloguj się na serwerze przy użyciu konta administratoraLog on to the server with an administrator account
  2. Otwórz usługi , przechodząc do niej lub uruchamiając/Uruchom/Services. msc.Open Services by either navigating to it or by going to Start/Run/Services.msc.
  3. W obszarze usługiupewnij się, że są obecne Microsoft Azure AD Connect agent Aktualizator i Microsoft Azure AD Connecting Agent , a stan jest uruchomiony.Under Services, make sure Microsoft Azure AD Connect Agent Updater and Microsoft Azure AD Connect Provisioning Agent are present and the status is Running. UsługiServices

Konfigurowanie aprowizacji Azure AD Connect chmuryConfigure Azure AD Connect cloud provisioning

Wykonaj następujące kroki, aby skonfigurować aprowizacjiUse the following steps to configure provisioning

  1. Zaloguj się do portalu usługi Azure AD.Sign in to the Azure AD portal.
  2. Kliknij Azure Active DirectoryClick Azure Active Directory
  3. Kliknij Azure AD ConnectClick Azure AD Connect
  4. Wybierz pozycję Zarządzaj Provisioning (wersja zapoznawcza) Select Manage provisioning (Preview)
  5. Kliknij pozycję nowa konfiguracji Click New Configuration
  6. Na ekranie Konfiguracja wprowadź wiadomość e-mail z powiadomieniem, Przenieś selektor, aby go włączyć , a następnie kliknij przycisk Zapisz.On the configuration screen, enter a Notification email, move the selector to Enable and click Save.
  7. Stan konfiguracji powinien być teraz w dobrej kondycji.The configuration status should now be Healthy.

Weryfikowanie utworzenia użytkowników i przeprowadzania synchronizacjiVerify users are created and synchronization is occurring

Teraz sprawdź, czy użytkownicy, którzy mieli dostęp do naszego katalogu lokalnego, zostali zsynchronizowani i teraz istnieją w naszej dzierżawie usługi Azure AD.You will now verify that the users that you had in our on-premises directory have been synchronized and now exist in our Azure AD tenant. Ukończenie tego procesu może potrwać kilka godzin.Be aware that this may take a few hours to complete. Aby potwierdzić, że użytkownicy zostali zsynchronizowani, wykonaj następujące czynności.To verify users are synchronized do the following.

  1. Przejdź do witryny Azure Portal i zaloguj się przy użyciu konta z subskrypcją platformy Azure.Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. W obszarze po lewej stronie wybierz pozycję Azure Active Directory.On the left, select Azure Active Directory
  3. W obszarze Zarządzaj wybierz pozycję Użytkownicy.Under Manage, select Users.
  4. Zweryfikuj, czy nowi użytkownicy są widoczni w dzierżawieVerify that you see the new users in our tenant
    SynchronizacjaSynch

Testowanie logowania się przy użyciu jednego z kont użytkownikówTest signing in with one of our users

  1. Przejdź na stronę https://myapps.microsoft.comBrowse to https://myapps.microsoft.com
  2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.Sign in with a user account that was created in our new tenant. Należy zalogować się przy użyciu następującego formatu: (user@domain.onmicrosoft.com).You will need to sign in using the following format: (user@domain.onmicrosoft.com). Użyj tego samego hasła, za pomocą którego użytkownik loguje się lokalnie.Use the same password that the user uses to sign in on-premises.
    WeryfikacjaVerify

W ten sposób pomyślnie skonfigurowano środowisko tożsamości hybrydowej, które można wykorzystać do testowania lub do bliższego zapoznania się z możliwościami platformy Azure.You have now successfully setup a hybrid identity environment that you can use to test and familiarize yourself with what Azure has to offer.

Następne krokiNext steps