Freigeben über

Tutorial: Einen Verbund für hybride Identitäten in einer einzelnen Active Directory-Gesamtstruktur verwenden

In diesem Tutorial erfahren Sie, wie Sie eine Hybrididentitätsumgebung in Azure mithilfe eines Verbunds und Windows Server Active Directory (Windows Server AD) erstellen. Die Hybrididentität-Umgebung, die Sie erstellen, können Sie zu Testzwecken verwenden oder um sich mit der Funktionsweise einer Hybrididentität vertraut zu machen.

Diagramm, das zeigt, wie Sie eine Hybrididentitätsumgebung in Azure mithilfe des Verbunds erstellen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie eine VM.
  • Erstellen Sie eine Windows Server Active Directory-Umgebung.
  • Erstellen Sie einen Windows Server Active Directory-Benutzer.
  • Erstellen eines Zertifikats.
  • Erstellen Sie einen Microsoft Entra-Mandanten.
  • Erstellen Sie ein Hybrididentitätsadministratorkonto in Azure.
  • Fügen Sie eine benutzerdefinierte Domäne zu Ihrem Verzeichnis hinzu.
  • Richten Sie Microsoft Entra Connect ein.
  • Testen und überprüfen Sie, ob Benutzer synchronisiert werden.

Voraussetzungen

Für dieses Tutorial benötigen Sie Folgendes:

Hinweis

In diesem Tutorial werden PowerShell-Skripts verwendet, um die Tutorialumgebung schnell zu erstellen. Jedes Skript verwendet Variablen, die am Anfang des jeweiligen Skripts deklariert werden. Achten Sie darauf, die Variablen entsprechend Ihrer Umgebung zu ändern.

Die Skripts im Tutorial erstellen eine allgemeine Windows Server Active Directory (Windows Server AD)-Umgebung, bevor sie Microsoft Entra Connect installieren. Die Skripts werden auch in verwandten Tutorials verwendet.

Die in diesem Lernprogramm verwendeten PowerShell-Skripts sind auf GitHub verfügbar.

Erstellen eines virtuellen Computers

Beim Erstellen einer Hybrididentitätsumgebung besteht die erste Aufgabe darin, einen virtuellen Computer zu erstellen, der als lokaler Windows Server AD-Servercomputer verwendet wird.

Hinweis

Wenn Sie auf Ihrem Hostcomputer noch nie ein Skript in PowerShell ausgeführt haben, öffnen Sie vor dem Ausführen von Skripts Windows PowerShell ISE als Administrator, und führen Sie Set-ExecutionPolicy remotesigned aus. Wählen Sie im Dialogfeld "Änderung der Ausführungsrichtlinie " "Ja" aus.

So erstellen Sie den virtuellen Computer:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Installieren des Betriebssystems

Installieren Sie das Betriebssystem, um die Erstellung des virtuellen Computers abzuschließen:

  1. Doppelklicken Sie im Hyper-V-Manager auf den virtuellen Computer.
  2. Wählen Sie "Start" aus.
  3. Drücken Sie an der Eingabeaufforderung eine beliebige Taste, um von CD oder DVD zu starten.
  4. Wählen Sie im Windows Server-Startfenster Ihre Sprache und dann "Weiter" aus.
  5. Wählen Sie "Jetzt installieren" aus.
  6. Geben Sie Ihren Lizenzschlüssel ein, und wählen Sie "Weiter" aus.
  7. Aktivieren Sie das Kontrollkästchen "Ich akzeptiere die Lizenzbedingungen ", und wählen Sie "Weiter" aus.
  8. Wählen Sie "Benutzerdefiniert" aus: Nur Windows installieren (erweitert).
  9. Wählen Sie "Weiter" aus.
  10. Starten Sie den virtuellen Computer nach Abschluss der Installation neu. Melden Sie sich an, und überprüfen Sie dann mithilfe von Windows Update, ob neue Updates verfügbar sind. Installieren Sie alle Updates, um sicherzustellen, dass der virtuelle Computer auf dem neuesten Stand ist.

Erforderliche Komponenten für die Installation von Windows Server AD

Führen Sie vor der Installation von Windows Server AD ein Skript aus, das die erforderlichen Komponenten installiert:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie Set-ExecutionPolicy remotesigned aus. Wählen Sie im Dialogfeld "Änderung der Ausführungsrichtlinie " "Ja" für "Alle" aus.

  3. Führen Sie folgendes Skript aus:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Erstellen einer Windows Server AD-Umgebung

Installieren und konfigurieren Sie jetzt Active Directory Domain Services (AD DS), um die Umgebung zu erstellen:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Erstellen eines Windows Server AD-Benutzers

Erstellen Sie als Nächstes ein Testbenutzerkonto. Erstellen Sie dieses Konto in Ihrer lokalen Active Directory-Umgebung. Das Konto wird dann mit Microsoft Entra ID synchronisiert.

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Erstellen eines Zertifikats für AD FS

Sie benötigen ein TLS- oder SSL-Zertifikat, das Active Directory-Verbunddienste (AD FS) (AD FS) verwenden wird. Das Zertifikat ist ein selbstsigniertes Zertifikat, und Sie erstellen es nur für Testzwecke. Es wird empfohlen, in einer Produktionsumgebung kein selbstsigniertes Zertifikat zu verwenden.

So erstellen Sie ein Zertifikat:

  1. Öffnen Sie Windows PowerShell ISE als Administrator.

  2. Führen Sie folgendes Skript aus:

    #Declare variables
$DNSname = "adfs.contoso.com"
$Location = "cert:\LocalMachine\My"

#Create a certificate
New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location

Erstellen eines Microsoft Entra-Mandanten

Wenn Sie keins haben, führen Sie die Schritte im Artikel Erstellen eines neuen Mandanten in der Microsoft Entra-ID aus, um einen neuen Mandanten zu erstellen.

Erstellen eines Hybrididentitätsadministratorkontos in Microsoft Entra ID

Die nächste Aufgabe besteht darin, ein Hybrididentitätsadministratorkonto zu erstellen. Dieses Konto wird verwendet, um das Microsoft Entra Connector-Konto während der Microsoft Entra Connect-Installation zu erstellen. Das Microsoft Entra Connector-Konto wird verwendet, um Informationen in Microsoft Entra ID zu schreiben.

Gehen Sie wie folgt vor, um das Hybrididentitätsadministratorkonto zu erstellen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Benutzer

  3. Wählen Sie "Neuer Benutzer>erstellen" aus.

  4. Geben Sie im Bereich "Neuen Benutzer erstellen" einen Anzeigenamen und einen Benutzerprinzipalnamen für den neuen Benutzer ein. Ihr Hybrididentitätsadministratorkonto für den Mandanten wird nun erstellt. Sie können das temporäre Kennwort anzeigen und kopieren.

    1. Wählen Sie unter "Aufgaben" die Option "Rolle hinzufügen" und dann "Hybrididentitätsadministrator" aus.

  5. Wählen Sie dann "Überprüfen" und "Erstellen" aus>.

  6. Melden Sie sich in einem neuen Webbrowserfenster mit dem neuen Hybrididentitätsadministratorkonto und dem temporären Kennwort bei myapps.microsoft.com an.

  7. Wählen Sie ein neues Kennwort für das Hybrididentitätsadministratorkonto aus, und ändern Sie das Kennwort entsprechend.

Hinzufügen eines benutzerdefinierten Domänennamens zu Ihrem Verzeichnis

Nachdem Sie nun über einen Mandanten und ein Hybrididentitätsadministrator-Konto verfügen, fügen Sie Ihre benutzerdefinierte Domäne hinzu, damit sie von Azure verifiziert werden kann.

So fügen Sie einen benutzerdefinierten Domänennamen zu Ihrem Verzeichnis hinzu:

  1. Schließen Sie im [Microsoft Entra Admin Center](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview) unbedingt den Bereich "Alle Benutzer ".

  2. Wählen Sie im linken Menü unter "Verwalten" die Option "Benutzerdefinierte Domänennamen" aus.

  3. Wählen Sie "Benutzerdefinierte Domäne hinzufügen" aus.

    Screenshot der hervorgehobenen Schaltfläche

  4. Geben Sie unter "Benutzerdefinierte Domänennamen" den Namen Ihrer benutzerdefinierten Domäne ein, und wählen Sie dann "Domäne hinzufügen" aus.

  5. In "Benutzerdefinierter Domänenname" werden entweder TXT- oder MX-Informationen angezeigt. Sie müssen diese Informationen zu den DNS-Informationen der Domänenregistrierungsstelle unter Ihrer Domäne hinzufügen. Wechseln Sie zu Ihrer Domänenregistrierungsstelle und geben Sie dort entweder die TXT- oder die MX-Informationen in den DNS-Einstellungen für Ihre Domäne ein.

    Screenshot, der zeigt, wo Sie TXT- oder MX-Informationen erhalten. Durch das Hinzufügen dieser Informationen zu Ihrer Domänenregistrierungsstelle kann Azure Ihre Domäne überprüfen. Die Domänenverifizierung kann bis zu 24 Stunden in Anspruch nehmen.

    Weitere Informationen finden Sie in der Dokumentation zum Hinzufügen einer benutzerdefinierten Domäne .

  6. Um sicherzustellen, dass die Domäne überprüft wird, wählen Sie "Überprüfen" aus.

    Screenshot, der eine Erfolgsmeldung anzeigt, nachdem Sie

Herunterladen und Installieren von Microsoft Entra Connect

Jetzt ist es Zeit, Microsoft Entra Connect herunterzuladen und zu installieren. Verwenden Sie nach der Installation die Expressinstallation.

  1. Laden Sie Microsoft Entra Connect herunter.

  2. Wechseln Sie zu AzureADConnect.msi , und doppelklicken Sie, um die Installationsdatei zu öffnen.

  3. Aktivieren Sie in "Willkommen" das Kontrollkästchen, um den Lizenzbedingungen zuzustimmen, und wählen Sie dann "Weiter" aus.

  4. Wählen Sie in den Express-Einstellungen"Anpassen" aus.

  5. Wählen Sie unter "Erforderliche Komponenten installieren" die Option "Installieren" aus.

  6. Bei der Benutzeranmeldung, wählen Sie Verbund mit AD FS, und dann Weiter aus.

    Screenshot: Position der Option zum Auswählen des Verbunds mit AD FS

  7. Geben Sie unter "Mit Microsoft Entra-ID verbinden" den Benutzernamen und das Kennwort des zuvor erstellten Hybrididentitätsadministratorkontos ein, und wählen Sie dann "Weiter" aus.

  8. Wählen Sie unter "Verzeichnisse verbinden" die Option "Verzeichnis hinzufügen" aus. Wählen Sie dann "Neues AD-Konto erstellen" aus, und geben Sie den Benutzernamen und das Kennwort "contoso\Administrator" ein. Wählen Sie "OK" aus.

  9. Wählen Sie "Weiter" aus.

  10. Wählen Sie in der Microsoft Entra-Anmeldekonfiguration"Weiter" aus, ohne alle UPN-Suffixe zu überprüften Domänen zuzuordnen. Wählen Sie "Weiter" aus.

  11. Wählen Sie in der Domänen- und OU-Filterung"Weiter" aus.

  12. Wählen Sie "Weiter" aus, um Ihre Benutzer eindeutig zu identifizieren.

  13. Wählen Sie unter "Benutzer und Geräte filtern" die Option "Weiter" aus.

  14. Wählen Sie in optionalen Features"Weiter" aus.

  15. Geben Sie in den Anmeldeinformationen des Domänenadministrators den Benutzernamen und das Kennwort "contoso\Administrator" ein, und wählen Sie dann "Weiter" aus.

  16. Stellen Sie sicher, dass im AD FS-Farm die Option Neue AD FS-Farm konfigurieren ausgewählt ist.

  17. Wählen Sie " Auf den Verbundservern installiertes Zertifikat verwenden" aus, und wählen Sie dann " Durchsuchen" aus.

  18. Geben Sie im Suchfeld DC1 ein, und wählen Sie ihn in den Suchergebnissen aus. Wählen Sie "OK" aus.

  19. Wählen Sie für die Zertifikatdateiadfs.contoso.com, das von Ihnen erstellte Zertifikat aus. Wählen Sie "Weiter" aus.

    Screenshot, der zeigt, wo die von Ihnen erstellte Zertifikatdatei ausgewählt werden soll.

  20. Wählen Sie auf dem AD FS-Server " Durchsuchen" aus. Geben Sie im Suchfeld DC1 ein, und wählen Sie ihn in den Suchergebnissen aus. Wählen Sie "OK" und dann "Weiter" aus.

    Screenshot, der zeigt, wo der AD FS-Server ausgewählt werden soll.

  21. Wählen Sie unter Webanwendungsproxyserver die Option Weiter aus.

  22. Geben Sie im AD FS-Dienstkonto den Benutzernamen und das Kennwort "contoso\Administrator" ein, und wählen Sie dann "Weiter" aus.

  23. Wählen Sie in der Microsoft Entra-Domäne Ihre überprüfte benutzerdefinierte Domäne und dann "Weiter" aus.

  24. Wählen Sie unter "Bereit zum Konfigurieren" die Option "Installieren" aus.

  25. Wenn die Installation abgeschlossen ist, wählen Sie "Beenden" aus.

  26. Melden Sie sich ab, und melden Sie sich dann erneut an, bevor Sie Synchronization Service Manager oder den Synchronisierungsregel-Editor verwenden.

Überprüfen auf Benutzende im Portal

Als Nächstes überprüfen Sie, ob die Benutzer in Ihrem lokalen Active Directory-Mandanten synchronisiert wurden und sich jetzt in Ihrem Microsoft Entra-Mandanten befinden. Dies kann einige Stunden dauern.

Gehen Sie wie folgt vor, um zu überprüfen, ob die Benutzer synchronisiert wurden:

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Benutzer

  3. Überprüfen Sie, ob die neuen Benutzenden in Ihrem Mandanten angezeigt werden.

    Screenshot, der verifiziert, dass Benutzer in Microsoft Entra-ID synchronisiert wurden.

Mit Benutzerkonto anmelden, um die Synchronisierung zu testen

Melden Sie sich als einer der Benutzer an, um zu testen, ob Benutzer aus Ihrem Windows Server AD-Mandanten mit Ihrem Microsoft Entra-Mandanten synchronisiert werden:

  1. Wechseln Sie zu https://myapps.microsoft.com.

  2. Melden Sie sich mit einem Benutzerkonto an, das in Ihrem neuen Mandanten erstellt wurde.

    Verwenden Sie für den Benutzernamen das Format user@domain.onmicrosoft.com. Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer beim lokalen Active Directory anmeldet.

Sie haben nun erfolgreich eine Hybrididentitätsumgebung eingerichtet, die Sie verwenden können, um Tests durchzuführen und sich mit den Möglichkeiten von Azure vertraut zu machen.

Nächste Schritte

  • Last updated on