Поделиться через

Руководство по базовой среде Active Directory

  • Статья

В этом руководстве описывается создание базовой среды Active Directory.

Схема, на которой показана базовая среда Microsoft Entra.

Вы можете использовать среду, созданную в руководстве, для тестирования различных аспектов сценариев гибридного удостоверения и будет обязательным условием для некоторых учебников. Если у вас уже есть существующую среду Active Directory, можно использовать ее в качестве замены. Эта информация предоставляется для лиц, которые могут начинаться с ничего.

Необходимые условия

Ниже приведены предварительные требования, необходимые для выполнения работы с этим руководством.

Заметка

В этом руководстве используются скрипты PowerShell, чтобы вы могли создавать среду учебника в самый быстрый период времени. Каждый из скриптов использует переменные, объявленные в начале скриптов. Переменные можно изменить, чтобы отразить среду.

Скрипты, используемые перед установкой агента подготовки облака Microsoft Entra Connect, создают общую среду Active Directory. Они актуальны для всех учебников.

Копии скриптов PowerShell, которые используются в этом руководстве, доступны на сайте GitHub.

Создание виртуальной машины

Первое, что необходимо сделать, чтобы получить среду гибридного удостоверения и запустить ее, — создать виртуальную машину, которая будет использоваться в качестве сервера локальная служба Active Directory. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Завершение развертывания операционной системы

Чтобы завершить сборку виртуальной машины, необходимо завершить установку операционной системы.

  1. Диспетчер Hyper-V дважды щелкните виртуальную машину
  2. Нажмите кнопку "Пуск".
  3. Вам будет предложено "Нажать любой ключ для загрузки с компакт-диска или DVD-диска". Идти вперед и делать это.
  4. На экране запуска Windows Server выберите язык и нажмите кнопку "Далее".
  5. Нажмите кнопку "Установить сейчас".
  6. Введите ключ лицензии и нажмите кнопку "Далее".
  7. Установите флажок **Я принимаю условия лицензионного соглашения и нажмите кнопку "Далее".
  8. Выбор настраиваемого элемента: установка только Windows (дополнительно)
  9. Нажмите кнопку " Далее"
  10. После завершения установки перезапустите виртуальную машину, войдите и запустите обновления Windows, чтобы убедиться, что виртуальная машина является самой актуальной. Установите последние обновления.

Установка необходимых компонентов Active Directory

Теперь, когда у вас есть виртуальная машина, необходимо выполнить несколько действий перед установкой Active Directory. То есть необходимо переименовать виртуальную машину, задать статический IP-адрес и сведения DNS и установить средства удаленного администрирования сервера. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Создание среды Windows Server AD

Теперь, когда вы создали виртуальную машину, и она была переименована и имеет статический IP-адрес, вы можете перейти к установке и настройке служб домен Active Directory. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Создание пользователя Windows Server AD

Теперь, когда у вас есть наша среда Active Directory, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
# Filename:  4_CreateUser.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Создание клиента Microsoft Entra

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Теперь необходимо создать клиент Microsoft Entra, чтобы синхронизировать пользователей с облаком. Чтобы создать новый клиент Microsoft Entra, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra и войдите с учетной записью с подпиской Microsoft Entra.
  2. Нажмите кнопку " Обзор".
  3. Нажмите кнопку " Управление клиентами".
  4. Нажмите кнопку "Создать".
  5. Укажите имя организации вместе с начальным доменным именем. Затем нажмите кнопку "Создать". Вы создадите каталог.
  6. После завершения этого щелкните ссылку здесь , чтобы управлять каталогом.

Создание администратора гибридного удостоверения в идентификаторе Microsoft Entra

Теперь, когда у вас есть клиент Microsoft Entra, вы создадите учетную запись гибридного администратора удостоверений. Чтобы создать учетную запись администратора гибридного удостоверения, выполните указанные ниже действия.

  1. В разделе "Управление" выберите "Пользователи".
    Снимок экрана: меню
  2. Выберите всех пользователей и нажмите кнопку +Создать пользователя.
  3. Укажите имя и имя пользователя для этого пользователя. Это будет администратор гибридных удостоверений для клиента. Вы также хотите изменить роль каталога на гибридного администратора удостоверений. Вы также можете отобразить временный пароль. По завершении нажмите кнопку "Создать".
  4. После завершения работы откройте новый веб-браузер и войдите в myapps.microsoft.com с помощью новой учетной записи администратора гибридного удостоверения и временного пароля.
  5. Измените пароль администратора гибридных удостоверений на то, что вы запомните.

Необязательно: другой сервер и лес

Ниже приведен дополнительный раздел, который содержит шаги по созданию другого сервера и леса. Это можно использовать в некоторых более сложных руководствах, таких как Пилотная программа microsoft Entra Connect для облачной синхронизации.

Если вам нужен только другой сервер, можно остановиться после шага виртуальной машины и присоединить сервер к существующему домену, созданному выше.

Создание виртуальной машины

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
# Filename:  1_CreateVM_CP.ps1
# Description: Creates a VM to be used in the tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$VMName = 'CP1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\CP1\CP1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch 

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Завершение развертывания операционной системы

Чтобы завершить сборку виртуальной машины, необходимо завершить установку операционной системы.

  1. Диспетчер Hyper-V дважды щелкните виртуальную машину
  2. Нажмите кнопку "Пуск".
  3. Вам будет предложено "Нажать любой ключ для загрузки с компакт-диска или DVD-диска". Идти вперед и делать это.
  4. На экране запуска Windows Server выберите язык и нажмите кнопку "Далее".
  5. Нажмите кнопку "Установить сейчас".
  6. Введите ключ лицензии и нажмите кнопку "Далее".
  7. Установите флажок **Я принимаю условия лицензионного соглашения и нажмите кнопку "Далее".
  8. Выбор настраиваемого элемента: установка только Windows (дополнительно)
  9. Нажмите кнопку " Далее"
  10. После завершения установки перезапустите виртуальную машину, войдите и запустите обновления Windows, чтобы убедиться, что виртуальная машина является самой актуальной. Установите последние обновления.

Установка необходимых компонентов Active Directory

Теперь, когда у вас есть виртуальная машина, необходимо выполнить несколько действий перед установкой Active Directory. То есть необходимо переименовать виртуальную машину, задать статический IP-адрес и сведения DNS и установить средства удаленного администрирования сервера. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
# Filename:  2_ADPrep_CP.ps1
# Description: Prepares your environment for Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$ipaddress = "10.0.1.118" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.118"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "CP1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

#Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Создание среды Windows Server AD

Теперь, когда вы создали виртуальную машину, и она была переименована и имеет статический IP-адрес, вы можете перейти к установке и настройке служб домен Active Directory. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
# Filename:  3_InstallAD_CP.ps1
# Description: Creates an on-premises AD environment. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "fabrikam.com"
$DomaninNetBIOSName = "FABRIKAM"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Создание пользователя Windows Server AD

Теперь, когда у вас есть наша среда Active Directory, вам потребуется тестовая учетная запись. Эта учетная запись будет создана в локальной среде AD, а затем синхронизирована с идентификатором Microsoft Entra. Сделайте следующее:

  1. Откройте среда сценариев PowerShell от имени администратора.
  2. Выполните следующий скрипт.
# Filename:  4_CreateUser_CP.ps1
# Description: Creates a user in Active Directory. This is part of
#       the Azure AD Connect password hash sync tutorial.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Givenname = "Anna"
$Surname = "Ringdal"
$Displayname = "Anna Ringdal"
$Name = "aringdal"
$Password = "Pass1w0rd"
$Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Заключение

Теперь у вас есть среда, которая может использоваться для существующих учебников и для тестирования других функций облачной синхронизации.

Дальнейшие действия