Lab Windows Server 2022 – Module 16 Hybrid Active Directory

Azure AD nay được đổi thành Microsoft Entra ID là một phần của platform as a service (PaaS) và hoạt động như một dịch vụ do Microsoft quản lý trên cloud.

Với Microsoft Entra ID, bạn cũng có quyền truy cập vào một bộ tính năng vốn không có sẵn trong AD DS, chẳng hạn như hỗ trợ xác thực đa yếu tố, bảo vệ danh tính và tự đặt lại mật khẩu. Bạn có thể sử dụng Microsoft Entra ID để cung cấp quyền truy cập an toàn hơn vào các tài nguyên trên Cloud cho các tổ chức và cá nhân.

Là một thành phần của Azure, Microsoft Entra ID có thể hỗ trợ xác thực đa yếu tố như một phần của chiến lược truy cập tổng thể cho các dịch vụ đám mây, do đó cung cấp thêm một lớp bảo mật. Role-based access control (RBAC), self-service password, group management, và device registration cung cấp các giải pháp quản lý danh tính sẵn sàng cho doanh nghiệp. Microsoft Entra ID cũng cung cấp tính năng bảo vệ danh tính nâng cao bên cạnh tính năng báo cáo và cảnh báo nâng cao có thể giúp bạn nhận ra các mối đe dọa hiệu quả hơn.

Directory synchronization cho phép đồng bộ giữa AD DS tại chỗ và Microsoft Entra ID. Các users, groups, và contacts mà bạn chọn từ AD DS sẽ được sao chép vào Microsoft Entra ID. Sau đó, người dùng có thể sử dụng các tài khoản đó để đăng nhập và truy cập các dịch vụ Azure do Microsoft Entra ID xác thực.

Hoàn thành bài lab bạn có thể thực hiện đồng bộ users, groups, và contacts từ AD DS lên Microsoft Entra ID

DIRECTORY SYNCHRONIZATION

CÁC BƯỚC TRIỂN KHAI:

Chuẩn bị directory synchronization
Cấu hình directory synchronization
Quản lý active directory users và groups

A- CHUẨN BỊ

+ PC01: Windows Server 2019/2022 DC (Domain: DOM01.LOCAL)

+ Tài khoản Global Admin Microsoft Azure hay Microsoft 365.

B- THỰC HIỆN HYBRID ACTIVE DIRECTORY

Phần 1: CHUẨN BỊ DIRECTORY SYNCHRONIZATION

Task 1: Cấu Hình UPN

1. Tại máy Domain controller, vào Run gõ lệnh cmd enter, rồi thực hiện lệnh sau để tạo OU HCM (thay nhatnghe và local bằng tên domain của bạn)

Dsadd ou ou=hcm,dc=nhatnghe,dc=local

2. Tiếp tục thực hiện lệnh sau để tạo user trong Ou HCM (thay nhatnghe và local bằng tên domain của bạn)

for /l %a in (1,1,5) do dsadd user cn=u%a,ou=hcm,dc=nhatnghe,dc=local -pwd 1234567890?a -upn u%[email protected]

3. Vào run gõ lệnh DSA.MSC để kiểm tra OU và user vừa tạo

4. Vào Server Manager, tại Server Manager chọn Tool, chọn Active Directory Domains and Trusts

5. Tại của sổ Active Directory Domains and Trusts, phải chuột vào Active Directory Domains and Trusts, chọn Properties_.

6. Tại màn hình UPN Suffixes, trong phần Alternative UPN suffixes: nhập vào nhatnghe.us (tên miền của bạn đã add vào ở Module 1), ấn Add, và OK

7. Vào Start, phải chuột vào Windows PowerShell, chọn Run as administrator

8. Tại Windows PowerShell thực hiện lệnh sau để đổi tất cả các user trong AD từ [email protected] sang [email protected]

Get-ADUser -Filter * -Properties SamAccountName | foreach { Set-ADUser $_ -UserPrincipalName ($_.SamAccountName + “@nhatnghe.us” )}

8. Vào Run gõ lệnh DSA.MSC, phải chuột vào user u1 chọn properties, chọn tab Account, kiểm tra xem đã chuyển sang @nhatnghe.us

Phần 2: CẤU HÌNH DIRECTORY SYNCHRONIZATION

Task 1: Download và cài Azure AD Connect

Tại máy domain vào trình duyệt truy cập vào trang https://portal.office.com.
Đăng nhập vào bằng user global admin
Tại Admin Center, chọn user, chọn active User → Chọn user [email protected]

4. Trong phần Username/Email ấn Edit

5. Tại cửa sổ [email protected]. Trong phần alias nhập vào Holly và chọn @nhatnghe.us ấn add

6. Sau đó ấn Set as primary, ấn Save và Close

7. Sign Out user [email protected], và logon lại bằng user [email protected]

8. Cũng tại trình duyệt, mở một tab mới vào trang https://www.microsoft.com/en-us/download/details.aspx?id=47594

9. Tại trang download Microsoft Azure Active Directory Connect ấn Download_.

10,, Sau khi download xong, phải chuột vào file AzureADConnect ấn Insatll

11. Cửa sổ Security Warning ấn Run, tiến hành cài Azure AD Connect

12. Tại màn hình Welcome to the Microsoft Azure AD Connect Setup Wizard ấn Next

13. Tại màn hình Welcome, chọn I agree to the license terms and privacy notice, ấn Continue.

14. Tại màn hình Express Settings, chọn Customize

15. Giữ nguyên màn hình. Tiếp tục cấu hình Azure AD Connect trong task 2

Task 2: Thiết lập cấu hình Azure AD Connect.

1. Tại màn hình Install required components, không check vào checkbox nào ấn Install

2. Tại màn hình User Sign-in, chọn option Password Hash Synchronization, ấn Next.

3. Tại màn hình Connect to Azure AD, trong phần Username nhập vào [email protected] sau đó nhập password và ấn next

4. Màn hình Connect your directories, ấn Add Directory

5. Tại màn hình AD Forest account, chọn option Create new account và nhập vào nhatnghe\administrator và password ấn Ok.

6. Trở lại màn hình Connect to directories ấn next

7. Tại màn hình Azure AD sign-in configuration ấn Next

8. Màn hình Domain and OU filtering, chọn option Sync selected domains and OUs, chọn domain nhatnghe.local, chỉ check vào OU HCM cần đồng bộ, ấn next.

9. Màn hình Uniquely identifying your users, ấn Next_.

10. Màn hình Filter users and devices, chọn option Synchronize all users and devices ấn Next

11. Mài hình Optional Features để các checkbox mặc định ấn Next

12. Màn hình Ready to configure, chọn checkbox Start the synchronization process when configuration completes ấn Install (chờ quá trình cài khá lâu ~ 10 phút)

13. Màn hình Configuration complete, ấn Exit. (logout và login lại nhatnghe\administrator)

Task 3: Kiểm tra đồng bộ thành công

Cũng tại máy domain controller, vào Start screen, chọn Azure AD Connect và chọn Synchronization Service.

2. Tại Synchronization Service Manager chọn Operations_.

3. Chọn dòng đầu tiên trên cùng và xem cột Start Time và End Time là thời gian đồng bộ mới nhất.

4. Vào Windows Power Shell, thực hiện lệnh sau và ấn Y khi có yêu cầu.

Install-Module MSOnline

5. Lần lượt thực hiện 2 lệnh sau:

Import-Module MSOnline

Connect-MsolService

6. Đăng nhập bằng user và password của [email protected]

7. Tại Power shell thực hiện lệnh sau: để xem thời gian đồng bộ gần nhất

Get-MsolCompanyInformation | fl LastDirSyncTime

8. Mở trình duyệt vào trang https://portal.office.com/admin/default.aspx bằng user và password của [email protected]

9. Tại Admin center, trong phần DirSync Status xem Last directory sync.

10.Vào Active user kiểm tra xem các user từ OU HCM trong AD đã được đồng bộ chưa.

Phần 3: QUẢN LÝ ACTIVE DIRECTORY USERS VÀ GROUPS

Task 1: Tạo user và group mới

Tại máy domain controller vào run gõ lệnh DSA.MSC
Tạo thêm user u6 trong OU HCM

3. Thêm địa chỉ Email cho U6 ([email protected])

4. Trong OU HCM tạo thêm group KeToan là Distribution Universal.

5. Add u1;u2;u3,u4 là thành viên group Ketoan

6. Thêm địa chỉ email cho Group ketoan là [email protected]

7. Tại Nhatnghe.local tạo thêm OU HN, trong OU HN tạo user HN1 (nhớ thêm email address là [email protected])

Task 2: Di chuyển user ra khỏi OU đồng bộ

1. Trở lại Windows Power Shell thực hiện lệnh sau để kiểm tra u4 có trong danh sách user của Office365 không?

Get-MsolUser -Search u4

2. Trở lại DSA.MSC trong OU HCM phải chuột vào U4 chọn all task, chọn Move

3. Chọn OU HN → Ok (move u4 sang OU HN)

Task 3: Di chuyển user vào Ou đồng bộ

Trong OU HN, phải chuột vào user HN1 chọn All task chọn Move

2. Chọn OU HCM → Ok

Task 4: Thay đổi thành viên của group.

Trong OU HCM, phải chuột vào group Ketoan chọn Properties, chọn tab members.
Chọn user u4 remove, trả lời Yes, ấn OK.

Task 5: Thực hiện đồng bộ

Trở lại Windows PowerShell thực hiện lệnh sau để đồng bộ

Start-ADSyncSyncCycle -PolicyType Delta

2. Chờ cho quá trình đồng bộ thành công.

Task 6: Kiểm tra đồng bộ với AD

Tại Máy AD mở trình duyệt vào trang https://portal.office.com bằng user và password của [email protected].
Tại Office 365 Admin Center, menu trái chọn Users, chọn Active Users. Quan sát thấy user u4 đã mất và thế vào đó là u6 và hn1 (có thể phải chờ vài phút mới thấy kết quả – bình tĩnh chờ ..)