Öğretici: Tek bir Active Directory ormanında karma kimlik için federasyon kullanma
Bu öğreticide, federasyon ve Windows Server Active Directory (Windows Server AD) kullanarak Azure'da karma kimlik ortamı oluşturma adımları gösterilmektedir. Oluşturduğunuz karma kimlik ortamını test etmek veya karma kimliğin nasıl çalıştığı hakkında daha fazla bilgi edinmek için kullanabilirsiniz.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Sanal makine oluşturur.
- Bir Windows Server Active Directory ortamı oluşturun.
- Bir Windows Server Active Directory kullanıcısı oluşturun.
- Bir sertifika oluşturun.
- Microsoft Entra kiracısı oluşturun.
- Azure'da karma kimlik yöneticisi hesabı oluşturun.
- Dizinize özel bir alan adı ekleyin.
- Microsoft Entra Connect'i ayarlayın.
- Kullanıcıların senkronize olduğunu test edin ve doğrulayın.
Önkoşullar
Öğreticiyi tamamlamak için şu öğelere ihtiyacınız vardır:
- Hyper-V yüklü bir bilgisayar. Hyper-V'yi bir Windows 10 veya Windows Server 2016 bilgisayarına yüklemenizi öneririz.
- Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
- Sanal makinenin İnternet'e bağlanabilmesi için bir dış ağ bağdaştırıcısı.
- Windows Server 2016'nın bir kopyası.
- Özel bir alan adı doğrulanabilir.
Not
Bu öğreticide, öğretici ortamını hızla oluşturmak için PowerShell betikleri kullanılır. Her betik, betiğin başında bildirilen değişkenleri kullanır. Değişkenleri ortamınızı yansıtacak şekilde değiştirdiğinizden emin olun.
Öğreticideki betikler, Microsoft Entra Connect'i yüklemeden önce genel bir Windows Server Active Directory (Windows Server AD) ortamı oluşturur. Betikler, ilgili öğreticilerde de kullanılır.
Bu öğreticide kullanılan PowerShell betikleri GitHub'da kullanılabilir.
Sanal makine oluşturun
Karma kimlik ortamı oluşturmak için ilk görev, şirket içi Windows Server AD sunucusu olarak kullanılacak bir sanal makine oluşturmaktır.
Not
Konak makinenizde PowerShell'de hiç betik çalıştırmadıysanız, betik çalıştırmadan önce Windows PowerShell ISE'yi yönetici olarak açın ve çalıştırın Set-ExecutionPolicy remotesigned.
Yürütme İlkesi Değişikliği iletişim kutusunda Evet'i seçin.
Sanal makineyi oluşturmak için:
Windows PowerShell ISE'i yönetici olarak açın.
Aşağıdaki komut dosyasını çalıştırın:
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
İşletim sistemini yükleme
Sanal makine oluşturmayı tamamlamak için işletim sistemini yükleyin:
- Hyper-V Yöneticisi'nde sanal makineye çift tıklayın.
- Başlat'ı seçin.
- İstemde, CD veya DVD'den başlatmak için herhangi bir tuşa basın.
- Windows Server başlangıç penceresinde dilinizi ve ardından İleri'yi seçin.
- Şimdi Yükle'yi seçin.
- Lisans anahtarınızı girin ve İleri'yi seçin.
- Lisans koşullarını kabul ediyorum onay kutusunu seçin ve İleri'yi seçin.
- Özel: Yalnızca Windows'u Yükle (Gelişmiş)'i seçin.
- İleri'yi seçin.
- Yükleme tamamlandığında sanal makineyi yeniden başlatın. Oturum açın ve Ardından Windows Update'i denetleyin. VM'nin tam olarak güncel olduğundan emin olmak için tüm güncelleştirmeleri yükleyin.
Windows Server AD önkoşullarını yükleme
Windows Server AD'yi yüklemeden önce önkoşulları yükleyen bir betik çalıştırın:
Windows PowerShell ISE'i yönetici olarak açın.
Set-ExecutionPolicy remotesigned'i çalıştırın. Yürütme İlkesi Değişikliği iletişim kutusunda Tümüne Evet'i seçin.Aşağıdaki komut dosyasını çalıştırın:
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Windows Server AD ortamı oluşturma
Şimdi ortamı oluşturmak için Active Directory Etki Alanı Hizmetleri'ni yükleyin ve yapılandırın:
Windows PowerShell ISE'i yönetici olarak açın.
Aşağıdaki komut dosyasını çalıştırın:
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Windows Server AD kullanıcısı oluşturma
Ardından bir test kullanıcı hesabı oluşturun. Bu hesabı şirket içi Active Directory ortamınızda oluşturun. Hesap daha sonra Microsoft Entra Id ile eşitlenir.
Windows PowerShell ISE'i yönetici olarak açın.
Aşağıdaki komut dosyasını çalıştırın:
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
AD FS için sertifika oluşturma
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) tarafından kullanılacak bir TLS veya SSL sertifikasına ihtiyacınız vardır. Sertifika otomatik olarak imzalanan bir sertifikadır ve bunu yalnızca test için kullanmak üzere oluşturursunuz. Üretim ortamında otomatik olarak imzalanan sertifika kullanmamanızı öneririz.
Sertifika oluşturmak için:
Windows PowerShell ISE'i yönetici olarak açın.
Aşağıdaki komut dosyasını çalıştırın:
#Declare variables $DNSname = "adfs.contoso.com" $Location = "cert:\LocalMachine\My" #Create a certificate New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
Microsoft Entra kiracısı oluşturun
Kiracınız yoksa, yeni bir kiracı oluşturmak için Microsoft Entra Id'de yeni kiracı oluşturma makalesindeki adımları izleyin.
Microsoft Entra Id'de Karma Kimlik Yöneticisi hesabı oluşturma
Sonraki görev bir Karma Kimlik Yöneticisi hesabı oluşturmaktır. Bu hesap, Microsoft Entra Connect yüklemesi sırasında Microsoft Entra Connector hesabını oluşturmak için kullanılır. Microsoft Entra Connector hesabı, Microsoft Entra Id'ye bilgi yazmak için kullanılır.
Karma Kimlik Yöneticisi hesabını oluşturmak için:
Microsoft Entra yönetim merkezinde oturum açın.
KimlikKullanıcılar>>
Önce Yeni kullanıcı'yı, sonra Yeni kullanıcı oluştur'u seçin. >.
Yeni kullanıcı oluştur bölmesinde, yeni kullanıcı için bir Görünen ad ve kullanıcı asıl adı girin. Kiracı için Karma Kimlik Yöneticisi hesabınızı oluşturuyorsunuz. Geçici parolayı gösterebilir ve kopyalayabilirsiniz.
- Atamalar'ın altında Rol ekle'yi ve ardından Karma Kimlik Yöneticisi'ni seçin.
Ardından Gözden Geçir ve Oluştur'u> seçin.
Yeni bir web tarayıcısı penceresinde, yeni Karma Kimlik Yöneticisi hesabını ve geçici parolayı kullanarak oturum açın
myapps.microsoft.com.Karma Kimlik Yöneticisi hesabı için yeni bir parola seçin ve parolayı değiştirin.
Dizininize özel bir alan adı ekleyin
Artık bir kiracınız ve Hibrit Kimlik Yöneticisi hesabınız olduğuna göre, Azure'ın doğrulayabilmesi için özel alan adınızı ekleyin.
Dizine bir özel etki alanı adı eklemek için:
[Microsoft Entra yönetim merkezi]()https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview içinde Tüm kullanıcılar bölmesini kapatmayı unutmayın.
Soldaki menüde Yönet'in altında, Özel alan adları'nı seçin.
Özel etki alanı ekle'yi seçin.
Özel etki alanı adları alanına özel etki alanınızın adını girin ve etki alanı ekle'yi seçin.
Özel etki alanı adı bölümünde TXT veya MX bilgileri gösterilir. Bu bilgileri etki alanınızın altındaki etki alanı kayıt şirketinin DNS bilgilerine eklemeniz gerekir. Etki alanı kayıt şirketinize gidin ve etki alanınızın DNS ayarlarına TXT veya MX bilgilerini girin.
Bu bilgileri etki alanı kayıt şirketinize eklemek, Azure'ın etki alanınızı doğrulamasını sağlar. Etki alanı doğrulaması 24 saate kadar sürebilir.Daha fazla bilgi için özel bir etki alanı ekleme belgelerine bakın.
Etki alanının doğrulandığından emin olmak için Doğrula'yı seçin.
Microsoft Entra Connect'i indirme ve yükleme
Artık Microsoft Entra Connect'i indirip yükleme zamanı geldi. Yüklendikten sonra hızlı yüklemeyi kullanacaksınız.
Microsoft Entra Connect'i indirin.
AzureADConnect.msi gidin ve çift tıklayarak yükleme dosyasını açın.
Hoş Geldiniz'de, lisans koşullarını kabul etmek için onay kutusunu seçin ve ardından Devam'ı seçin.
Hızlı ayarlar'da Özelleştir'i seçin.
Gerekli bileşenleri yükle bölümünde Yükle'yi seçin.
Kullanıcı oturum açma bölümünde AD FS ile Federasyon seçeneğini seçin ve ardından İleri seçin.
Microsoft Entra Id'ye bağlan bölümünde, daha önce oluşturduğunuz Karma Kimlik Yöneticisi hesabının kullanıcı adını ve parolasını girin ve İleri'yi seçin.
Dizinlerinizi bağlayın bölümünde Dizin ekle'yi seçin. Ardından Yeni AD hesabı oluştur'u seçin ve contoso\Administrator kullanıcı adı ve parolasını girin. Tamam'ı seçin.
İleri'yi seçin.
Microsoft Entra oturum açma yapılandırmasında , Tüm UPN soneklerini doğrulanmış etki alanlarıyla eşleştirmeden devam et seçeneğini işaretleyin. İleri'yi seçin. Etki alanı ve OU filtreleme bölümünde İleri'yi seçin.
Kullanıcılarınızı benzersiz olarak tanımlama bölümünde İleri'yi seçin.
Kullanıcıları ve cihazları filtrele bölümünde İleri'yi seçin.
İsteğe bağlı özellikler bölümünde İleri'yi seçin.
Etki Alanı Yöneticisi kimlik bilgileri bölümünde contoso\Administrator kullanıcı adı ve parolasını girin ve İleri'yi seçin.
AD FS grubunda Yeni AD FS grubu yapılandır'ın seçili olduğundan emin olun.
Federasyon sunucularına yüklenmiş bir sertifikayı kullan'ı seçin ve ardından Gözat'a tıklayın.
Arama kutusuna DC1 yazın ve arama sonuçlarında seçin. Tamam'ı seçin.
Sertifika Dosyası için, oluşturduğunuz sertifika olan adfs.contoso.com seçin. İleri'yi seçin.
AD FS sunucusunda Gözat'ı seçin. Arama kutusuna DC1 yazın ve arama sonuçlarında seçin. Tamam öğesini ve sonra İleri öğesini seçin.
Web uygulaması proxy sunucularında İleri'yi seçin.
AD FS hizmet hesabı'nda contoso\Administrator kullanıcı adı ve parolasını girin ve İleri'yi seçin.
Microsoft Entra Domain'de doğrulanmış özel etki alanınızı seçin ve ardından İleri'yi seçin.
Yapılandırmaya hazır bölümünde Yükle'yi seçin.
Yükleme tamamlandığında Çıkış'ı seçin.
Eşitleme Hizmeti Yöneticisi veya Eşitleme Kuralı Düzenleyicisi'ni kullanmadan önce oturumunuzu kapatıp tekrar açın.
Portalda kullanıcıları kontrol et
Şimdi, şirket içindeki Active Directory kiracınızdaki kullanıcıların senkronize olduğunu ve artık Microsoft Entra kiracınızda bulunduğunu doğrulayacaksınız. Bu bölümün tamamlanması birkaç saat sürebilir.
Kullanıcıların eşitlendiğini doğrulamak için:
Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
Identity>Kullanıcılar>Tüm kullanıcılar seçeneklerine göz atın
Yeni kullanıcıların kiracınızda göründüğünü doğrulayın.
Eşitlemeyi test etmek için kullanıcı hesabıyla oturum açma
Windows Server AD kiracınızdaki kullanıcıların Microsoft Entra kiracınızla eşitlendiğini test etmek için, kullanıcılardan biri olarak oturum açın:
Şuraya git: https://myapps.microsoft.com .
Yeni kiracınızda oluşturulmuş bir kullanıcı hesabıyla oturum açın.
Kullanıcı adı için biçimini
user@domain.onmicrosoft.comkullanın. Kullanıcının şirket içi Active Directory oturum açmak için kullandığı parolayı kullanın.
Azure'ın sunduğu olanakları test etmek ve öğrenmek için kullanabileceğiniz bir karma kimlik ortamını başarıyla ayarladınız.
Sonraki adımlar
- Microsoft Entra Connect donanım ve önkoşullarını gözden geçirin.
- Microsoft Entra Connect'te özelleştirilmiş ayarları kullanmayı öğrenin.
- Microsoft Entra Connect ve federasyon hakkında daha fazla bilgi edinin.