Руководство по базовой среде Active Directory
В этом руководстве показано, как создать базовую среду Active Directory.
Созданную по инструкциям из этого руководства среду можно использовать для тестирования разных аспектов в гибридных сценариях идентификации. Прохождение этого руководства является необходимым условием для работы с некоторыми другими руководствами. Если у вас уже есть среда Active Directory, вы можете использовать ее. Эта информация предоставляется для лиц, которые могут начинаться с ничего.
Это руководство состоит из следующих разделов.
Необходимые компоненты
Для работы с этим учебником требуется следующее:
- Компьютер с установленным Hyper-V. Это рекомендуется сделать на компьютере с Windows 10 или Windows Server 2016 .
- Внешний сетевой адаптер для связи виртуальной машины с Интернетом.
- Подписка Azure
- Копия Windows Server 2016.
- Microsoft .NET Framework 4.7.1
Примечание.
В этом учебнике используются скрипты PowerShell, что позволяет создать учебную среду в минимальные сроки. В каждом скрипте применяются переменные, которые объявляются в начале скрипта. Эти переменные можно и нужно изменить в соответствии с особенностями вашей среды.
Скрипты, используемые перед установкой агента подготовки облака Microsoft Entra Подключение, создают общую среду Active Directory. Они актуальны для всех руководств.
Копии сценариев PowerShell, используемых в этом руководстве, можно найти на сайте GitHub здесь.
Создание виртуальной машины
Первое, что нужно сделать для подготовки среды гибридной идентификации к работе, — это создать виртуальную машину, которая будет служить локальным сервером Active Directory. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Завершение развертывания операционной системы
Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.
- В диспетчере Hyper-V дважды щелкните виртуальную машину.
- Нажмите кнопку "Запустить".
- Вам будет предложено нажать любую клавишу для загрузки с компакт-диска или DVD-диска. Сделайте это.
- На начальном экране Windows Server выберите язык и нажмите кнопку Далее.
- Нажмите Установить.
- Введите ключ лицензии и нажмите кнопку Далее.
- Установите флажок "Я принимаю условия лицензии" и нажмите кнопку Далее.
- Выберите вариант Пользовательская: установить только Windows (расширенная)
- Нажмите кнопку Далее
- Когда установка завершится, перезапустите виртуальную машину, выполните вход и запустите обновление Windows, чтобы обеспечить актуальность виртуальной машины. Установите последние обновления.
Установка необходимых компонентов для Active Directory
После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Создание среды AD для Windows Server
Итак, вы создали виртуальную машину, переименовали ее и назначили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomaninNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Создание пользователя AD для Windows Server
Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
# Filename: 4_CreateUser.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Создание клиента Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Теперь необходимо создать клиент Microsoft Entra, чтобы синхронизировать пользователей с облаком. Чтобы создать новый клиент Microsoft Entra, выполните указанные ниже действия.
- Войдите в Центр администрирования Microsoft Entra и войдите с учетной записью с подпиской Microsoft Entra.
- Щелкните Обзор.
- Нажмите кнопку " Управление клиентами".
- Выберите Создать.
- Укажите имя организации с первоначальным доменным именем. Затем выберите Создать. В результате будет создан каталог.
- По завершении щелкните ссылку здесь, чтобы перейти к управлению каталогом.
Создание глобального администратора в идентификаторе Microsoft Entra
Теперь, когда у вас есть клиент Microsoft Entra, вы создадите учетную запись глобального администратора. Чтобы создать учетную запись глобального администратора, выполните указанные ниже действия.
- В разделе "Управление" выберите "Пользователи".
- Выберите пункт Все пользователи, а затем выберите + Новый пользователь.
- Укажите имя и имя пользователя. Это будет глобальный Администратор istrator для клиента. Вы также хотите изменить ролькаталога на глобального администратора. Вы также можете отобразить временный пароль. По завершении нажмите кнопку "Создать".
- По завершении откройте новую вкладку в браузере и выполните вход на странице myapps.microsoft.com, используя новую учетную запись глобального администратора и временный пароль.
- Смените пароль глобального администратора и запомните новый пароль.
Необязательное действие: дополнительный сервер и лес
В этом необязательном разделе показано, как создать дополнительный сервер и (или) лес. Это можно использовать в некоторых более сложных руководствах, таких как Пилотная программа для Microsoft Entra Подключение для облачной синхронизации.
Если вам нужен только дополнительный сервер, завершите процесс после шага Создание виртуальной машины и присоедините полученный сервер к ранее созданному домену.
Создание виртуальной машины
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
# Filename: 1_CreateVM_CP.ps1 # Description: Creates a VM to be used in the tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you. # # # # #Declare variables $VMName = 'CP1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\CP1\CP1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Завершение развертывания операционной системы
Чтобы завершить создание виртуальной машины, необходимо завершить установку операционной системы.
- В диспетчере Hyper-V дважды щелкните виртуальную машину.
- Нажмите кнопку "Запустить".
- Вам будет предложено нажать любую клавишу для загрузки с компакт-диска или DVD-диска. Сделайте это.
- На начальном экране Windows Server выберите язык и нажмите кнопку Далее.
- Нажмите Установить.
- Введите ключ лицензии и нажмите кнопку Далее.
- Установите флажок "Я принимаю условия лицензии" и нажмите кнопку Далее.
- Выберите вариант Пользовательская: установить только Windows (расширенная)
- Нажмите кнопку Далее
- Когда установка завершится, перезапустите виртуальную машину, выполните вход и запустите обновление Windows, чтобы обеспечить актуальность виртуальной машины. Установите последние обновления.
Установка необходимых компонентов для Active Directory
После этого нужно выполнить еще несколько действий перед установкой Active Directory. В частности, вам нужно переименовать виртуальную машину, задать статический IP-адрес и указать сведения DNS, а также установить средства удаленного администрирования сервера. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
# Filename: 2_ADPrep_CP.ps1 # Description: Prepares your environment for Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $ipaddress = "10.0.1.118" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.118" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "CP1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw #Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Создание среды AD для Windows Server
Итак, вы создали виртуальную машину, переименовали ее и назначили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
# Filename: 3_InstallAD_CP.ps1 # Description: Creates an on-premises AD environment. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "fabrikam.com" $DomaninNetBIOSName = "FABRIKAM" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Создание пользователя AD для Windows Server
Теперь, когда среда Active Directory создана, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Выполните следующие действия.
Откройте интегрированную среду сценариев PowerShell от имени администратора.
Запустите указанный ниже скрипт.
# Filename: 4_CreateUser_CP.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Anna" $Surname = "Ringdal" $Displayname = "Anna Ringdal" $Name = "aringdal" $Password = "Pass1w0rd" $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Заключение
Теперь у вас есть среда, которую можно использовать для работы с доступными руководствами и тестирования дополнительных функций, предоставляемых облачной синхронизацией.