Поделиться через

Подготовка служб Упрощенного каталога Active Directory для подготовки из идентификатора Microsoft Entra

  • Статья

В следующей документации приведены сведения о подготовке установки служб Active Directory с упрощенным каталогом (AD LDS). Это можно использовать в качестве примера каталога LDAP для устранения неполадок или демонстрации подготовки пользователей из идентификатора Microsoft Entra в каталог LDAP.

Подготовка каталога LDAP

Если у вас еще нет сервера каталогов, приведены следующие сведения, которые помогут создать тестовую среду AD LDS. При этом способе установки используются PowerShell и ADAMInstall.exe с файлом ответов. Этот документ не содержит подробных сведений о AD LDS. Дополнительные сведения см. в статье Службы Active Directory облегченного доступа к каталогам.

Если у вас уже есть AD LDS или другой сервер каталогов, вы можете пропустить это содержимое и продолжить работу с руководством: ECMA Подключение узел узла LDAP для установки и настройки узла соединителя ECMA.

Создайте SSL-сертификат, тестовый каталог и установите AD LDS.

Используйте скрипт PowerShell из раздела Приложение А. Скрипт выполняет следующие действия:

  1. Создает самозаверяющий сертификат, который будет использоваться соединителем LDAP.
  2. Создает каталог для журнала установки компонентов.
  3. Экспортирует сертификат в личном хранилище в каталог.
  4. Импортирует сертификат в доверенный корневой каталог локального компьютера.
  5. Устанавливает роль AD LDS на виртуальной машине.

На виртуальной машине Windows Server, где вы используете для тестирования соединителя LDAP, измените сценарий, чтобы соответствовать имени компьютера, а затем запустите сценарий с помощью Windows PowerShell с правами администратора.

Создание экземпляра AD LDS

Теперь, когда роль установлена, необходимо создать экземпляр AD LDS. Чтобы создать экземпляр, можно использовать приведенный ниже файл ответов. Этот файл установит экземпляр без использования пользовательского интерфейса.

Скопируйте содержимое из раздела Приложение B в Блокнот и сохраните его как файл answer.txt в каталоге C:\Windows\ADAM.

Откройте командную строку с правами администратора и выполните следующий исполняемый файл:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

Создание контейнеров и учетной записи службы для AD LDS

Используйте скрипт PowerShell из раздела Приложение C. Скрипт выполняет следующие действия:

  1. Создает контейнер для учетной записи службы, которая будет использоваться с соединителем LDAP.
  2. Создает контейнер для облачных пользователей, в которых пользователи будут подготовлены.
  3. Создает учетную запись службы в AD LDS.
  4. Включает учетную запись службы.
  5. Добавляет учетную запись службы в роль ad LDS Администратор istrator.

На виртуальной машине Windows Server вы используете для тестирования соединителя LDAP выполнение скрипта с помощью Windows PowerShell с правами администратора.

Предоставьте сетевым службам разрешения на чтение SSL-сертификата.

Чтобы обеспечить работу протокола SSL, необходимо предоставить созданному сертификату разрешение NETWORK SERVICE на чтение. Чтобы предоставить разрешения:

  1. Перейдите в каталог C:\Program Data\Microsoft\Crypto\Keys.
  2. Щелкните правой кнопкой мыши расположенный здесь системный файл. Это будет идентификатор GUID. В этом контейнере хранится наш сертификат.
  3. Выбор свойств.
  4. Вверху выберите вкладку "Безопасность ".
  5. Выберите Изменить.
  6. Нажмите кнопку Добавить.
  7. В поле укажите Сетевая служба и щелкните Проверить имена.
  8. Выберите NETWORK SERVICE в списке и щелкните OK.
  9. Нажмите кнопку ОК.
  10. Убедитесь, что учетная запись сетевой службы имеет разрешения на чтение, а также чтение и выполнение, а затем щелкните Применить и ОК.

Проверка подключения SSL с помощью AD LDS

Теперь, когда мы настроили сертификат и предоставили разрешения учетной записи сетевой службы, проверьте подключение, чтобы убедиться, что он работает.

  1. Откройте диспетчер сервера и выберите AD LDS слева.
  2. Щелкните правой кнопкой мыши экземпляр AD LDS и выберите ldp.exe во всплывающем окне. Снимок экрана: расположение инструмента Ldp.
  3. В верхней части окна ldp.exe выберите Connection (Подключение) и Connect (Подключить).
  4. Введите следующие сведения и щелкните ОК.
    • Сервер: APP3
    • Порт: 636
    • Поместите проверка в поле SSLСнимок экрана: конфигурация подключения средства Ldp.
  5. Ответ должен соответствовать примеру ниже. Снимок экрана, на котором показана конфигурация подключения к средству Ldp.
  6. В верхней части окна Connection (Подключение) выберите Bind (Привязать).
  7. Оставьте значения по умолчанию и щелкните ОК. Снимок экрана: операция привязки инструмента Ldp.
  8. Вы выполнили привязку к экземпляру. Снимок экрана: успешное выполнение привязки средства Ldp.

Отключение локальной политики паролей

Сейчас соединитель LDAP подготавливает пользователей с использованием пустого пароля. Эта подготовка не удовлетворяет локальной политике паролей на нашем сервере, поэтому мы отключим ее для тестирования. Чтобы отключить сложность пароля, на сервере, не присоединенном к домену, выполните следующие действия.

Внимание

Так как текущая синхронизация паролей не является функцией локальной подготовки LDAP, корпорация Майкрософт рекомендует использовать AD LDS специально с федеративными приложениями при использовании вместе с AD DS или при обновлении существующих пользователей в экземпляре AD LDS.

  1. На сервере щелкните Пуск, Выполнить и выберите gpedit.msc.
  2. В редакторе локальных групповых политик последовательно выберите "Конфигурация компьютера" > "Параметры Windows" > "Параметры безопасности" > "Политики учетных записей" > "Политика паролей".
  3. Справа дважды щелкните Пароль должен соответствовать требованиям сложности и выберите Отключено. Снимок экрана: параметр требований к сложности.
  4. Щелкните команду Применить и ОК.
  5. Закрытие редактора локальных групповых политик

Затем перейдите к руководству по подготовке пользователей из идентификатора Microsoft Entra в каталог LDAP, чтобы скачать и настроить агент подготовки.

Приложение А. Установка скрипта PowerShell AD LDS

Следующий скрипт PowerShell может использоваться для автоматизации установки Службы Active Directory облегченного доступа к каталогам. Вам потребуется изменить сценарий в соответствии с вашей средой, в частности, измените APP3 на имя узла вашего компьютера.

# Filename: 1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certificate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

Приложение B. Файл ответов

Этот файл используется для автоматизации и создания экземпляра AD LDS. Вы измените этот файл в соответствии с вашей средой; в частности, измените APP3 имя узла сервера.

Внимание

Этот сценарий использует локального администратора для учетной записи службы AD LDS. Во время установки появится запрос на ввод пароля.

Если вы устанавливаете AD LDS на контроллере домена, а не на автономном сервере, необходимо изменить localLDAPPortToListenOn и LocalSSLPortToListonOn на что-то отличное от известных портов для LDAP и LDAP по протоколу SSL. Например, LocalLDAPPortToListenOn=51300 и LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=\*
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Приложение C. Заполнение скрипта PowerShell AD LDS

Скрипт PowerShell для заполнения AD LDS контейнерами и учетной записью службы.

# Filename: 2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"

Следующие шаги