Руководство по базовой среде Active Directory

В этом руководстве показано, как создать базовую среду Active Directory.

Созданную по инструкциям из этого руководства среду можно использовать для тестирования разных аспектов в гибридных сценариях идентификации. Прохождение этого руководства является необходимым условием для работы с некоторыми другими руководствами. Если у вас уже есть среда Active Directory, вы можете использовать ее. Эта информация предоставляется для лиц, которые могут начинаться с ничего.

Это руководство состоит из следующих разделов.

Необходимые компоненты

Для работы с этим учебником требуется следующее:

• Компьютер с установленным Hyper-V. Это рекомендуется сделать на компьютере с Windows 10 или Windows Server 2016 .
• Внешний сетевой адаптер для связи виртуальной машины с Интернетом.
• Подписка Azure
• Копия Windows Server 2016.
• Microsoft .NET Framework 4.7.1

Примечание.

В этом учебнике используются скрипты PowerShell, что позволяет создать учебную среду в минимальные сроки. В каждом скрипте применяются переменные, которые объявляются в начале скрипта. Эти переменные можно и нужно изменить в соответствии с особенностями вашей среды.

Скрипты, используемые перед установкой агента подготовки облака Microsoft Entra Подключение, создают общую среду Active Directory. Они актуальны для всех руководств.

Копии сценариев PowerShell, используемых в этом руководстве, можно найти на сайте GitHub здесь.

Создание виртуальной машины

Первое, что нужно сделать для подготовки среды гибридной идентификации к работе, — это создать виртуальную машину, которая будет служить локальным сервером Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Завершение развертывания операционной системы

Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.

1. В диспетчере Hyper-V дважды щелкните виртуальную машину.
2. Нажмите кнопку "Запустить".
3. Вам будет предложено нажать любую клавишу для загрузки с компакт-диска или DVD-диска. Сделайте это.
4. На начальном экране Windows Server выберите язык и нажмите кнопку Далее.
5. Нажмите Установить.
6. Введите ключ лицензии и нажмите кнопку Далее.
7. Установите флажок "Я принимаю условия лицензии" и нажмите кнопку Далее.
8. Выберите вариант Пользовательская: установить только Windows (расширенная)
9. Нажмите кнопку Далее
10. Когда установка завершится, перезапустите виртуальную машину, выполните вход и запустите обновление Windows, чтобы обеспечить актуальность виртуальной машины. Установите последние обновления.

Установка необходимых компонентов для Active Directory

После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Создание среды AD для Windows Server

Итак, вы создали виртуальную машину, переименовали ее и назначили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomaninNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Создание пользователя AD для Windows Server

Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   # Filename:    4_CreateUser.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Создание клиента Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Теперь необходимо создать клиент Microsoft Entra, чтобы синхронизировать пользователей с облаком. Чтобы создать новый клиент Microsoft Entra, выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra и войдите с учетной записью с подпиской Microsoft Entra.
2. Щелкните Обзор.
3. Нажмите кнопку " Управление клиентами".
4. Выберите Создать
   .
5. Укажите имя организации с первоначальным доменным именем. Затем выберите Создать. В результате будет создан каталог.
6. По завершении щелкните ссылку здесь, чтобы перейти к управлению каталогом.

Создание глобального администратора в идентификаторе Microsoft Entra

Теперь, когда у вас есть клиент Microsoft Entra, вы создадите учетную запись глобального администратора. Чтобы создать учетную запись глобального администратора, выполните указанные ниже действия.

1. В разделе "Управление" выберите "Пользователи".
   
   
2. Выберите пункт Все пользователи, а затем выберите + Новый пользователь.
3. Укажите имя и имя пользователя. Это будет глобальный Администратор istrator для клиента. Вы также хотите изменить ролькаталога на глобального администратора. Вы также можете отобразить временный пароль. По завершении нажмите кнопку "Создать".
   
   
4. По завершении откройте новую вкладку в браузере и выполните вход на странице myapps.microsoft.com, используя новую учетную запись глобального администратора и временный пароль.
5. Смените пароль глобального администратора и запомните новый пароль.

Необязательное действие: дополнительный сервер и лес

В этом необязательном разделе показано, как создать дополнительный сервер и (или) лес. Это можно использовать в некоторых более сложных руководствах, таких как Пилотная программа для Microsoft Entra Подключение для облачной синхронизации.

Если вам нужен только дополнительный сервер, завершите процесс после шага Создание виртуальной машины и присоедините полученный сервер к ранее созданному домену.

Создание виртуальной машины

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   # Filename:    1_CreateVM_CP.ps1
   # Description: Creates a VM to be used in the tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $VMName = 'CP1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\CP1\CP1.vhdx'
   $VHDSize = '64424509440'
   
   #Create New Virtual Machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add DVD Drive to Virtual Machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount Installation Media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure Virtual Machine to Boot from DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
   

Завершение развертывания операционной системы

Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.

1. В диспетчере Hyper-V дважды щелкните виртуальную машину.
2. Нажмите кнопку "Запустить".
3. Вам будет предложено нажать любую клавишу для загрузки с компакт-диска или DVD-диска. Сделайте это.
4. На начальном экране Windows Server выберите язык и нажмите кнопку Далее.
5. Нажмите Установить.
6. Введите ключ лицензии и нажмите кнопку Далее.
7. Установите флажок "Я принимаю условия лицензии" и нажмите кнопку Далее.
8. Выберите вариант Пользовательская: установить только Windows (расширенная)
9. Нажмите кнопку Далее
10. Когда установка завершится, перезапустите виртуальную машину, выполните вход и запустите обновление Windows, чтобы обеспечить актуальность виртуальной машины. Установите последние обновления.

Установка необходимых компонентов для Active Directory

После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   # Filename:    2_ADPrep_CP.ps1
   # Description: Prepares your environment for Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $ipaddress = "10.0.1.118" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.118"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "CP1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   #Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Создание среды AD для Windows Server

Итак, вы создали виртуальную машину, переименовали ее и назначили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   # Filename:    3_InstallAD_CP.ps1
   # Description: Creates an on-premises AD environment.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "fabrikam.com"
   $DomaninNetBIOSName = "FABRIKAM"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install AD DS, DNS and GPMC 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create New AD Forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Создание пользователя AD для Windows Server

Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Выполните следующие действия.

1. Откройте интегрированную среду сценариев PowerShell от имени администратора.

2. Запустите указанный ниже скрипт.

   # Filename:    4_CreateUser_CP.ps1
   # Description: Creates a user in Active Directory.  This is part of
   #              the Azure AD Connect password hash sync tutorial.
   #
   # DISCLAIMER:
   # Copyright (c) Microsoft Corporation. All rights reserved. This 
   # script is made available to you without any express, implied or 
   # statutory warranty, not even the implied warranty of 
   # merchantability or fitness for a particular purpose, or the 
   # warranty of title or non-infringement. The entire risk of the 
   # use or the results from the use of this script remains with you.
   #
   #
   #
   #
   #Declare variables
   $Givenname = "Anna"
   $Surname = "Ringdal"
   $Displayname = "Anna Ringdal"
   $Name = "aringdal"
   $Password = "Pass1w0rd"
   $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Заключение

Теперь у вас есть среда, которую можно использовать для работы с доступными руководствами и тестирования дополнительных функций, предоставляемых облачной синхронизацией.

Следующие шаги

• Что собой представляет подготовка?
• Что такое Microsoft Entra Cloud Sync?