AZ-802 Chương 03 5 Labs Ngày tạo: 22/05/2026

Quản trị AD DS trong môi trường Hybrid Identity

Thiết kế và vận hành hybrid identity với Microsoft Entra ID, UPN, custom domain, sync readiness và troubleshooting.

Thông tin thực hành

Exam: AZ-802 — Windows Server Hybrid Administrator

Ngày tạo: 22/05/2026

Nền tảng: Windows Server 2022/2025 lab, Windows 11, Azure, WAC

Ưu tiên: PowerShell/CLI trước, GUI là cách 02

Lý thuyết gắn gọn

Hybrid identity

Hybrid identity cho phép người dùng dùng cùng một danh tính để truy cập tài nguyên on-premises và cloud. AD DS nội bộ thường được đồng bộ lên Microsoft Entra ID.

Microsoft Entra Connect / Cloud Sync

Microsoft Entra Connect và Cloud Sync đồng bộ identity từ AD DS lên Microsoft Entra ID. Entra Connect phù hợp môi trường phức tạp; Cloud Sync nhẹ hơn và quản lý qua cloud nhiều hơn.

UPN suffix

UPN suffix là phần sau dấu @ trong tên đăng nhập, ví dụ [email protected]. Trong hybrid identity, UPN nên khớp với domain public đã xác minh trong Entra ID.

Password hash sync / PTA / Federation

Password Hash Sync đồng bộ hash mật khẩu lên cloud. Pass-through Authentication xác thực qua agent nội bộ. Federation dùng hệ thống liên kết danh tính như AD FS và phức tạp hơn.

Hybrid sign-in troubleshooting

Troubleshooting đăng nhập hybrid cần kiểm tra UPN, trạng thái sync, duplicate object, license, Conditional Access và sign-in logs trong Entra ID.

Ghi chú tình huống doanh nghiệp

  • Không áp cấu hình trực tiếp lên production. Dùng OU/lab server/snapshot trước.
  • Ưu tiên PowerShell để lặp lại được, audit được và dùng trong automation.
  • GUI/WAC/Server Manager dùng để đối chiếu, vận hành hoặc đào tạo người mới.
  • Mỗi lab cần có evidence: output lệnh, Event Log, screenshot hoặc trạng thái Azure resource.

Bài tập lab step-by-step

LAB-011 PowerShell Windows Server Windows Admin Center Server Manager/MMC

Chuẩn bị UPN suffix cho hybrid

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Server Manager/MMC

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở Windows Terminal bằng quyền Administrator.
  2. Đặt IP tĩnh và đổi tên server nếu cần.
  3. Cài hoặc kiểm tra role AD DS bằng PowerShell.
  4. Tạo/cấu hình domain, OU, user, group hoặc GPO theo nội dung lab.
  5. Kiểm tra bằng `dcdiag`, `repadmin /replsummary` hoặc lệnh AD PowerShell.
  6. Mở ADUC/GPMC/DNS Manager để đối chiếu GUI.
  7. Ghi lại output, screenshot và lỗi nếu có.
  8. Cleanup object demo hoặc quay lại snapshot VM.
PowerShell / CLI mẫu
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.local -InstallDNS
Get-ADDomainController -Filter * | Select-Object HostName,Site,IPv4Address

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-012 PowerShell Windows Server Windows Admin Center Server Manager/MMC

Thiết kế Entra Connect topology

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Server Manager/MMC

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở Windows Terminal bằng quyền Administrator.
  2. Đặt IP tĩnh và đổi tên server nếu cần.
  3. Cài hoặc kiểm tra role AD DS bằng PowerShell.
  4. Tạo/cấu hình domain, OU, user, group hoặc GPO theo nội dung lab.
  5. Kiểm tra bằng `dcdiag`, `repadmin /replsummary` hoặc lệnh AD PowerShell.
  6. Mở ADUC/GPMC/DNS Manager để đối chiếu GUI.
  7. Ghi lại output, screenshot và lỗi nếu có.
  8. Cleanup object demo hoặc quay lại snapshot VM.
PowerShell / CLI mẫu
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.local -InstallDNS
Get-ADDomainController -Filter * | Select-Object HostName,Site,IPv4Address

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-013 PowerShell Windows Server Windows Admin Center Server Manager/MMC

Tạo sync readiness checklist

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Server Manager/MMC

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở Windows Terminal bằng quyền Administrator.
  2. Đặt IP tĩnh và đổi tên server nếu cần.
  3. Cài hoặc kiểm tra role AD DS bằng PowerShell.
  4. Tạo/cấu hình domain, OU, user, group hoặc GPO theo nội dung lab.
  5. Kiểm tra bằng `dcdiag`, `repadmin /replsummary` hoặc lệnh AD PowerShell.
  6. Mở ADUC/GPMC/DNS Manager để đối chiếu GUI.
  7. Ghi lại output, screenshot và lỗi nếu có.
  8. Cleanup object demo hoặc quay lại snapshot VM.
PowerShell / CLI mẫu
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.local -InstallDNS
Get-ADDomainController -Filter * | Select-Object HostName,Site,IPv4Address

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-014 PowerShell Windows Server Windows Admin Center Server Manager/MMC

Troubleshoot sign-in hybrid

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Server Manager/MMC

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở Windows Terminal bằng quyền Administrator.
  2. Đặt IP tĩnh và đổi tên server nếu cần.
  3. Cài hoặc kiểm tra role AD DS bằng PowerShell.
  4. Tạo/cấu hình domain, OU, user, group hoặc GPO theo nội dung lab.
  5. Kiểm tra bằng `dcdiag`, `repadmin /replsummary` hoặc lệnh AD PowerShell.
  6. Mở ADUC/GPMC/DNS Manager để đối chiếu GUI.
  7. Ghi lại output, screenshot và lỗi nếu có.
  8. Cleanup object demo hoặc quay lại snapshot VM.
PowerShell / CLI mẫu
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.local -InstallDNS
Get-ADDomainController -Filter * | Select-Object HostName,Site,IPv4Address

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-015 PowerShell Windows Server Windows Admin Center Server Manager/MMC

Tạo tài liệu identity runbook

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Server Manager/MMC

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở Windows Terminal bằng quyền Administrator.
  2. Đặt IP tĩnh và đổi tên server nếu cần.
  3. Cài hoặc kiểm tra role AD DS bằng PowerShell.
  4. Tạo/cấu hình domain, OU, user, group hoặc GPO theo nội dung lab.
  5. Kiểm tra bằng `dcdiag`, `repadmin /replsummary` hoặc lệnh AD PowerShell.
  6. Mở ADUC/GPMC/DNS Manager để đối chiếu GUI.
  7. Ghi lại output, screenshot và lỗi nếu có.
  8. Cleanup object demo hoặc quay lại snapshot VM.
PowerShell / CLI mẫu
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName corp.contoso.local -InstallDNS
Get-ADDomainController -Filter * | Select-Object HostName,Site,IPv4Address

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

← Chương trước Chương sau →
Zalo