Sdílet prostřednictvím

Kurz: Vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services

  • Článek

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování Kerberos/NTLM, které je plně kompatibilní se službou Windows Server Active Directory. Tyto doménové služby využíváte bez nasazení, správy a oprav řadičů domény sami. Domain Services se integruje s vaším stávajícím tenantem Microsoft Entra. Tato integrace umožňuje uživatelům přihlásit se pomocí firemních přihlašovacích údajů a k zabezpečení přístupu k prostředkům můžete použít existující skupiny a uživatelské účty.

Spravovanou doménu můžete vytvořit pomocí výchozích možností konfigurace pro sítě a synchronizaci nebo ručně definovat tato nastavení. V tomto kurzu se dozvíte, jak pomocí výchozích možností vytvořit a nakonfigurovat spravovanou doménu služby Domain Services pomocí Centra pro správu Microsoft Entra.

V tomto kurzu se naučíte:

  • Vysvětlení požadavků DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Povolení synchronizace hodnot hash hesel

Pokud nemáte předplatné Azure, vytvořte si účet předtím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Aktivní předplatné Azure.
  • Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • K povolení služby Domain Services potřebujete správce aplikací a správce skupin skupiny role Microsoft Entra ve vašem tenantovi.
  • K vytvoření požadovaných prostředků služby Domain Services potřebujete Přispěvatel služby Domain Services roli Azure.
  • Virtuální síť se servery DNS, které můžou dotazovat potřebnou infrastrukturu, jako je úložiště. Servery DNS, které nemůžou provádět obecné internetové dotazy, můžou blokovat možnost vytvořit spravovanou doménu.

Přestože služba Domain Services není nutná, doporučuje se nakonfigurovat samoobslužné resetování hesla (SSPR) pro tenanta Microsoft Entra. Uživatelé mohou změnit heslo bez použití SSPR, ale SSPR pomáhá, když uživatelé heslo zapomenou a potřebují ho resetovat.

Důležitý

Po vytvoření nemůžete spravovanou doménu přesunout do jiného předplatného, skupiny prostředků nebo oblasti. Při nasazování spravované domény dbejte na výběr nejvhodnějšího předplatného, skupiny prostředků a oblasti.

Přihlášení k Centru pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do centra pro správu Microsoft Entra.

Vytvoření spravované domény

Pokud chcete spustit průvodce Povolit službu Microsoft Entra Domain Services, proveďte následující kroky:

  1. V nabídce Centra pro správu Microsoft Entra nebo na domovské stránce vyhledejte Domain Servicesa pak zvolte služby Microsoft Entra Domain Services .

  2. Na stránce Microsoft Entra Domain Services vyberte Vytvořit službu Microsoft Entra Domain Services.

    snímek obrazovky znázorňuje, jak vytvořit spravovanou doménu.

  3. Vyberte předplatné Azure , ve kterém chcete vytvořit spravovanou doménu.

  4. Vyberte skupinu prostředků , do které má spravovaná doména patřit. Zvolte Vytvořit nový nebo vyberte existující skupinu prostředků.

Při vytváření spravované domény zadáte název DNS. Při výběru tohoto názvu DNS je potřeba vzít v úvahu některé aspekty:

  • předdefinovaný název domény: Ve výchozím nastavení se používá předdefinovaný název domény adresáře (přípona .onmicrosoft.com). Pokud chcete povolit zabezpečený přístup LDAP ke spravované doméně přes internet, nemůžete vytvořit digitální certifikát pro zabezpečení připojení k této výchozí doméně. Microsoft vlastní doménu .onmicrosoft.com, takže certifikační autorita (CA) nevydá certifikát.
  • názvy vlastních domén: Nejběžnějším přístupem je zadat vlastní název domény, typicky ten, který už vlastníte a je směrovatelný. Pokud používáte směrovatelnou vlastní doménu, provoz může podle potřeby správně tokovat, aby podporoval vaše aplikace.
  • nesměrovatelné přípony domény: Obecně doporučujeme vyhnout se nesměrovatelné příponě názvu domény, například contoso.local. Přípona .local není směrovatelná a může způsobovat problémy s překladem DNS.

Spropitné

Pokud vytvoříte vlastní název domény, dávejte pozor na existující obory názvů DNS. Ačkoliv je podporováno, možná budete chtít použít název domény oddělený od jakéhokoli existujícího oboru názvů Azure nebo místního DNS.

Pokud máte například existující prostor názvů DNS contoso.com, vytvořte spravovanou doménu s vlastním názvem domény dscontoso.com. Pokud potřebujete použít protokol SECURE LDAP, musíte registrovat a vlastnit tento vlastní název domény, aby se vygenerovaly požadované certifikáty.

Možná budete muset vytvořit další záznamy DNS pro jiné služby ve vašem prostředí nebo podmíněné služby pro předávání DNS mezi existujícími názvovými prostory DNS ve vašem prostředí. Pokud například spustíte webový server, který je hostitelem webu pomocí kořenového názvu DNS, můžou existovat konflikty pojmenování, které vyžadují další položky DNS.

V těchto kurzech a článcích s postupy se vlastní doména dscontoso.com používá jako krátký příklad. Ve všech příkazech zadejte vlastní název domény.

Platí také následující omezení názvů DNS:

  • Omezení předpony domény: Nemůžete vytvořit spravovanou doménu s předponou delší než 15 znaků. Předpona zadaného názvu domény (například dscontoso v názvu domény dscontoso.com) musí obsahovat 15 nebo méně znaků.
  • Konflikty názvů sítě: Název domény DNS pro vaši spravovanou doménu by ve virtuální síti ještě neměl existovat. Konkrétně zkontrolujte následující scénáře, které by vedly ke konfliktu názvů:
    • Pokud už máte doménu Active Directory se stejným názvem domény DNS ve virtuální síti Azure.
    • Pokud má virtuální síť, ve které chcete povolit spravovanou doménu, připojení VPN k vaší místní síti. V tomto scénáři se ujistěte, že ve vaší místní síti nemáte doménu se stejným názvem domény DNS.
    • Pokud máte existující cloudovou službu Azure s tímto názvem ve virtuální síti Azure.

Vyplňte pole v okně Základy v Centru pro správu Microsoft Entra a vytvořte spravovanou doménu:

  1. Zadejte název domény DNS pro vaši spravovanou doménu s přihlédnutím k předchozím bodům.

  2. Zvolte oblasti Azure, ve které se má spravovaná doména vytvořit. Pokud zvolíte oblast, která podporuje zóny dostupnosti Azure, prostředky služby Domain Services se distribuují napříč zónami pro další redundanci.

    Spropitné

    Zóny dostupnosti jsou jedinečná fyzická umístění v rámci oblasti Azure. Každá zóna se skládá z jednoho nebo více datacenter vybavených nezávislým napájením, chlazením a sítěmi. Kvůli zajištění odolnosti je ve všech povolených oblastech minimálně tři samostatné zóny.

    Není nic, co byste nakonfigurovali, aby služba Domain Services byla distribuována napříč zónami. Platforma Azure automaticky zpracovává distribuci zón prostředků. Další informace a zobrazení dostupnosti oblastí najdete v tématu Co jsou zóny dostupnosti v Azure?.

  3. Skladová položka určuje výkon a frekvenci zálohování. Skladovou položku můžete po vytvoření spravované domény změnit, pokud se změní vaše obchodní požadavky nebo požadavky. Další informace naleznete v sekci Koncepty SKU pro služby doménových služeb.

    Pro účely tohoto kurzu vyberte skladovou položku Standard. Okno Základy by mělo vypadat jako na přiloženém snímku obrazovky:

    snímek obrazovky s konfigurační stránkou Základy pro spravovanou doménu

Pokud chcete rychle vytvořit spravovanou doménu, můžete vybrat Zkontrolovat a vytvořit a přijmout další výchozí možnosti konfigurace. Pokud zvolíte tuto možnost vytvoření, nakonfiguruje se následující výchozí hodnoty:

  • Vytvoří virtuální síť s názvem ds-vnet ve výchozím nastavení, která používá rozsah IP adres 10.0.1.0/24.
  • Vytvoří podsíť s názvem ds-subnet pomocí rozsahu IP adres 10.0.1.0/24.
  • Synchronizuje Všechny uživatele z Microsoft Entra ID do spravované domény.

Poznámka

Kvůli následujícím problémům byste neměli používat veřejné IP adresy pro virtuální sítě a jejich podsítě:

  • nedostatek IP adresy: Veřejné IP adresy IPv4 jsou omezené a jejich poptávka často překračuje dostupnou nabídku. Existují také potenciálně překrývající se IP adresy s veřejnými koncovými body.

  • bezpečnostní rizika: Používání veřejných IP adres pro virtuální sítě zveřejňuje vaše zařízení přímo na internetu, což zvyšuje riziko neoprávněného přístupu a potenciálních útoků. Bez správných bezpečnostních opatření se vaše zařízení mohou stát zranitelnou vůči různým hrozbám.

  • složitost: Správa virtuální sítě s veřejnými IP adresami může být složitější než použití privátních IP adres, protože vyžaduje práci s externími rozsahy IP adres a zajištění správného segmentace a zabezpečení sítě.

Důrazně doporučujeme používat privátní IP adresy. Pokud používáte veřejnou IP adresu, ujistěte se, že jste vlastníkem nebo vyhrazeným uživatelem vybraných IP adres ve vybraném veřejném rozsahu.

Pokud chcete přijmout tyto výchozí možnosti konfigurace, vyberte Zkontrolovat a vytvořit.

Nasazení spravované domény

Na stránce Souhrn průvodce zkontrolujte nastavení konfigurace pro vaši spravovanou doménu. Pokud chcete provést změny, můžete se vrátit k libovolnému kroku průvodce. Pokud chcete spravovanou doménu znovu nasadit do jiného tenanta Microsoft Entra konzistentním způsobem pomocí těchto možností konfigurace, můžete také Stáhnout šablonu pro automatizaci.

  1. Pokud chcete vytvořit spravovanou doménu, vyberte Vytvořit. Zobrazí se poznámka, že po vytvoření spravované služby Domain Services není možné změnit určité možnosti konfigurace, jako je název DNS nebo virtuální síť. Chcete-li pokračovat, vyberte OK.

    Snímek obrazovky s možnostmi konfigurace pro spravovanou doménu

  2. Proces zřizování spravované domény může trvat až hodinu. Na portálu se zobrazí oznámení, které ukazuje průběh nasazení služby Domain Services.

  3. Po úplném zřízení spravované domény se na kartě přehledu zobrazuje stav domény Spuštěno. Rozbalte podrobnosti o nasazení pro odkazy na prostředky, jako je virtuální síť a skupina síťových prostředků.

    snímek obrazovky s podrobnostmi o nasazení spravované domény

Důležitý

Spravovaná doména je přidružená k vašemu adresáři Microsoft Entra. Během procesu zřizování služba Domain Services vytvoří dvě podnikové aplikace s názvem Domain Controller Services a AzureActiveDirectoryDomainControllerServices v adresáři Microsoft Entra. Tyto podnikové aplikace jsou potřeba ke službě spravované domény. Tyto aplikace neodstraňovat.

Aktualizace nastavení DNS pro virtuální síť Azure

Když je služba Domain Services úspěšně nasazená, nakonfigurujte virtuální síť tak, aby umožňovala ostatním připojeným virtuálním počítačům a aplikacím používat spravovanou doménu. Pokud chcete toto připojení poskytnout, aktualizujte nastavení serveru DNS pro vaši virtuální síť tak, aby odkazovaly na dvě IP adresy, kde je spravovaná doména nasazená.

  1. Na kartě Přehled pro vaši spravovanou doménu se zobrazují některé požadované kroky konfigurace. Prvním krokem konfigurace je aktualizace nastavení serveru DNS pro vaši virtuální síť. Jakmile je nastavení DNS správně nakonfigurované, tento krok se už nezobrazuje.

    Uvedené adresy jsou řadiče domény pro použití ve virtuální síti. V tomto příkladu jsou tyto adresy 10.0.1.4 a 10.0.1.5. Později tyto IP adresy najdete na kartě Vlastnosti.

    snímek obrazovky se stránkou Přehled spravované domény

  2. Pokud chcete aktualizovat nastavení serveru DNS pro virtuální síť, vyberte tlačítko Konfigurovat. Nastavení DNS se pro vaši virtuální síť nakonfiguruje automaticky.

Spropitné

Pokud jste v předchozích krocích vybrali existující virtuální síť, všechny virtuální počítače připojené k síti získají nová nastavení DNS jenom po restartování. Virtuální počítače můžete restartovat pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo Azure CLI.

Povolení uživatelských účtů pro Domain Services

Aby bylo možné ověřovat uživatele ve spravované doméně, služba Domain Services potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování NT LAN Manager (NTLM) a Kerberos. Microsoft Entra ID nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Domain Services. Z bezpečnostních důvodů Microsoft Entra ID také neukládá žádné přihlašovací údaje v prostém textu. Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.

Poznámka

Po správné konfiguraci se použitelné hodnoty hash hesel ukládají do spravované domény. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.

Synchronizované informace o přihlašovacích údajích v ID Microsoft Entra se nedají znovu použít, pokud později vytvoříte spravovanou doménu – je nutné znovu nakonfigurovat synchronizaci hodnot hash hesel, aby se hodnoty hash hesel ukládaly znovu. Dříve připojené virtuální počítače nebo uživatelé k doméně se nebudou moct okamžitě ověřit – ID Microsoft Entra potřebuje vygenerovat a uložit hodnoty hash hesel v nové spravované doméně.

synchronizace cloudu Microsoft Entra Connect není podporována službou Domain Services. Aby mohli mít přístup k virtuálním počítačům připojeným k doméně, musí být místní uživatelé synchronizovaní pomocí služby Microsoft Entra Connect. Další informace naleznete v tématu Proces synchronizace hodnot hash hesel pro Domain Services a Microsoft Entra Connect.

Postup vygenerování a ukládání těchto hodnot hash hesel se liší u uživatelských účtů jen v cloudu vytvořených v Microsoft Entra ID a uživatelských účtech, které se synchronizují z místního adresáře pomocí microsoft Entra Connect.

Uživatelský účet jen pro cloud je účet, který byl vytvořen v adresáři Microsoft Entra pomocí Centra pro správu Microsoft Entra nebo PowerShellu. Tyto uživatelské účty se nesynchronují z místního adresáře.

V tomto kurzu pojďme pracovat se základním uživatelským účtem jen pro cloud. Další informace o dalších krocích potřebných k používání služby Microsoft Entra Connect najdete v tématu Synchronizace hodnot hash hesel pro uživatelské účty synchronizované z místní služby AD do spravované domény.

Spropitné

Pokud má váš adresář Microsoft Entra kombinaci výhradně cloudových a synchronizovaných uživatelů, musíte dokončit obě sady kroků.

V případě uživatelských účtů jen pro cloud musí uživatelé před použitím služby Domain Services změnit svá hesla. Tento proces změny hesla způsobí, že se vygenerují a ukládají hodnoty hash hesel pro ověřování Kerberos a NTLM v Microsoft Entra ID. Účet se nesynchronuje z ID Microsoft Entra do Domain Services, dokud se nezmění heslo. Buď vyprší platnost hesel pro všechny cloudové uživatele v tenantovi, kteří potřebují používat Domain Services, což vynutí změnu hesla při příštím přihlášení, nebo dát cloudovým uživatelům pokyn, aby si heslo změnili ručně. V tomto kurzu ručně změníme uživatelské heslo.

Aby uživatel mohl resetovat heslo, musí být tenant Microsoft Entra nakonfigurovaný pro samoobslužné resetování hesla.

Pokud chcete změnit heslo jenom pro uživatele cloudu, musí uživatel provést následující kroky:

  1. Přejděte na stránku přístupového panelu Microsoft Entra ID na https://myapps.microsoft.com.

  2. V pravém horním rohu vyberte své jméno a v rozevírací nabídce zvolte Profil.

    snímek obrazovky s výběrem profilu

  3. Na stránce Profil vyberte Změnit heslo.

  4. Na stránce Změnit heslo zadejte stávající (staré) heslo a zadejte a potvrďte nové heslo.

  5. Vyberte Odeslat.

Po změně hesla trvá několik minut, než nové heslo začne fungovat ve službě Doménové služby a umožní úspěšné přihlášení k počítačům připojeným ke spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

  • Vysvětlení požadavků DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Přidání správců do správy domény
  • Umožněte uživatelské účty pro Domain Services a vygenerujte hash hesel

Než se připojíte k virtuálním počítačům a nasadíte aplikace, které používají spravovanou doménu, nakonfigurujte virtuální síť Azure pro úlohy aplikací.

Konfigurace virtuální sítě Azure pro úlohy aplikací pro použití spravované domény