Návod: Vytvoření obousměrného vztahu důvěryhodnosti doménové struktury ve službě Microsoft Entra Domain Services s místní doménou (Preview)

Mezi službami Microsoft Entra Domain Services a místními prostředími AD DS můžete vytvořit vztah důvěry. Vztah důvěryhodnosti lesa umožňuje uživatelům, aplikacím a počítačům ověřovat se v místní doméně ze spravované domény služby Domain Services, nebo naopak. Lesní důvěra může uživatelům pomoct přistupovat k prostředkům ve scénářích, jako například:

• Prostředí, kde nemůžete synchronizovat hodnoty hash hesel nebo kde se uživatelé přihlašují výhradně pomocí čipových karet a nezná jejich heslo.
• Hybridní scénáře, které vyžadují přístup k místním doménám.

Můžete si vybrat ze tří možných směrů, kdy vytvoříte důvěryhodný vztah v rámci domény, v závislosti na tom, jak uživatelé potřebují přístup k prostředkům. Domain Services podporuje pouze vztahy důvěryhodnosti doménové struktury. Externí důvěryhodnostní vztah s podřízenou doménou v místní infrastruktuře není podporován.

Směr důvěryhodnosti	Přístup uživatelů
Obousměrný (Preview)	Umožňuje uživatelům ve spravované doméně i místní doméně přistupovat k prostředkům v jedné doméně.
Jednosměrná odchozí	Umožňuje uživatelům v místní doméně přistupovat k prostředkům ve spravované doméně, ale ne naopak.
Jednosměrná příchozí (náhled)	Umožňuje uživatelům ve spravované doméně přístup k prostředkům v místní doméně.

V tomto kurzu se naučíte:

• Konfigurace DNS v místní doméně AD DS pro podporu připojení ke službě Domain Services.
• Vytvořte obousměrný vztah důvěryhodnosti lesní domény mezi spravovanou doménou a místní doménou
• Testování a ověření vztahu důvěry lesů pro autentizaci a přístup k prostředkům

Pokud nemáte předplatné Azure, vytvořte si účet, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořit tenanta Microsoft Entra nebo přidružit předplatné Azure k vašemu účtu.
• Spravovaná doména služby Domain Services, která je nakonfigurovaná s vlastním názvem domény DNS a platným certifikátem SSL.
  • V případě potřeby vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
• Místní doména služby Active Directory, která je dostupná ze spravované domény přes připojení VPN nebo ExpressRoute.
• správce aplikací a správce skupin skupiny role Microsoft Entra ve vašem tenantovi pro úpravu instance služby Domain Services.
• Účet správce domény v místní doméně, který má oprávnění k vytváření a ověřování vztahů důvěryhodnosti.

Důležitý

Pro spravovanou doménu musíte použít minimálně skladovou položku Enterprise. V případě potřeby změňte SKU pro spravovanou doménu.

Přihlášení k Centru pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete vztah důvěryhodnosti odchozí doménové struktury ze služby Domain Services pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do centra pro správu Microsoft Entra.

Důležité informace o sítích

Virtuální síť, která je hostitelem doménové struktury Domain Services, potřebuje připojení VPN nebo ExpressRoute k místní službě Active Directory. Aplikace a služby také potřebují síťové připojení k virtuální síti, která je hostitelem doménové struktury Domain Services. Síťové připojení k doménové struktuře služby Domain Services musí být vždy zapnuté a stabilní, jinak se uživatelům nemusí podařit ověřit nebo získat přístup k prostředkům.

Před konfigurací vztahu důvěryhodnosti doménové struktury ve službě Domain Services se ujistěte, že vaše sítě mezi Azure a místním prostředím splňují následující požadavky:

• Ujistěte se, že porty firewallu povolují provoz potřebný k vytvoření a použití důvěryhodného vztahu. Další informace o tom, které porty je potřeba otevřít pro použití důvěryhodných vztahů, naleznete v části Konfigurace nastavení brány firewall pro důvěryhodné vztahy služby AD DS.
• Použijte privátní IP adresy. Nespoléhejte na DHCP s dynamickým přiřazením IP adres.
• Vyhněte se překrývání adresních prostorů IP adres, aby propojení virtuálních sítí a směrování mohly úspěšně komunikovat mezi Azure a místním prostředím.
• Virtuální síť Azure potřebuje podsíť brány ke konfiguraci připojení VPN typu site-to-site (S2S) Azure nebo připojení ExpressRoute.
• Vytvořte podsítě s dostatečnými IP adresami pro podporu vašeho scénáře.
• Ujistěte se, že služba Domain Services má vlastní podsíť, nesdílejte tuto podsíť virtuální sítě s aplikačními virtuálními počítači a službami.
• Partnerské virtuální sítě nejsou tranzitivní.
  • Partnerské vztahy virtuálních sítí Azure musí být vytvořeny mezi všemi virtuálními sítěmi, které chcete používat důvěryhodnost doménové struktury Domain Services s místním prostředím AD DS.
• Zajištění nepřetržitého síťového připojení k místní doménové struktuře služby Active Directory. Nepoužívejte připojení na vyžádání.
• Ujistěte se, že mezi názvem doménové struktury služby Domain Services a názvem vaší místní doménové struktury služby Active Directory existuje nepřetržité řešení názvů DNS.

Konfigurace DNS v místní doméně

Pokud chcete správně přeložit spravovanou doménu z místního prostředí, možná budete muset přidat služby předávání na existující servery DNS. Pokud chcete nakonfigurovat místní prostředí pro komunikaci se spravovanou doménou, proveďte následující kroky z pracovní stanice pro správu pro místní doménu SLUŽBY AD DS:

1. Vyberte Spustit>Nástroje pro správuDNS>.

2. Vyberte zónu DNS, například aaddscontoso.com.

3. Vyberte Podmíněné předavače, pak klikněte pravým tlačítkem myši a zvolte Nový podmíněný předavač...

4. Zadejte další domény DNS, například contoso.com, a pak zadejte IP adresy serverů DNS pro tento obor názvů, jak je znázorněno v následujícím příkladu:

   

5. Zaškrtněte políčko pro Uložit tento podmíněný předávací modul ve službě Active Directory a replikujte ho následujícím způsobema pak vyberte možnost pro Všechny servery DNS v této doméně, jak je znázorněno v následujícím příkladu:

   

   Důležitý

   Pokud je podmíněný přeposílač uložený v lesu místo v doméně , podmíněný přeposílač selže.

6. Chcete-li vytvořit podmíněný předávač, vyberte OK.

Vytvořte obousměrné důvěryhodné vztahy lesní struktury v místní doméně

Místní doména AD DS potřebuje obousměrnou důvěryhodnost lesa pro spravovanou doménu. Tento vztah důvěryhodnosti musí být ručně vytvořen v místní doméně služby AD DS; Nejde ho vytvořit z Centra pro správu Microsoft Entra.

Pokud chcete nakonfigurovat obousměrný vztah důvěry v místní doméně AD DS, proveďte následující kroky jako správce domény z pracovní stanice pro správu v rámci místní domény AD DS:

1. Vyberte Start>Nástroje pro správu>Active Directory domény a vztahy důvěryhodnosti.
2. Klikněte pravým tlačítkem myši na doménu, například onprem.contoso.com, a pak vyberte Vlastnosti.
3. Zvolte kartu Důvěry a pak Nová důvěra.
4. Zadejte název domény služby Domain Services, například aaddscontoso.com, a pak vyberte Další.
5. Vyberte možnost vytvoření důvěry intraforestua pak vytvořte obousměrnou důvěru .
6. Zvolte vytvoření důvěryhodnosti pouze pro tuto doménu . V dalším kroku vytvoříte vztah důvěryhodnosti v Centru pro správu Microsoft Entra pro spravovanou doménu.
7. Zvolte použití ověřovánídoménové struktury a pak zadejte a potvrďte heslo důvěryhodnosti. Stejné heslo je také zadáno v Centru pro správu Microsoft Entra v další části.
8. Projděte si několik dalších oken s výchozími možnostmi a pak zvolte možnost pro Ne, nepotvrďte odchozí důvěryhodnost.
9. Vyberte Dokončit.

Pokud už vztah důvěryhodnosti doménové struktury pro prostředí nepotřebujete, proveďte následující kroky jako správce domény a odeberte ho z místní domény:

1. Vyberte Spustit>Nástroje pro správu>Domény a důvěryhodné vztahy služby Active Directory.
2. Klikněte pravým tlačítkem myši na doménu, například onprem.contoso.com, a pak vyberte Vlastnosti.
3. Zvolte záložku Důvěry, potom Domény, které důvěřují této doméně (příchozí důvěry), klikněte na důvěryhodnost k odebrání, a potom klikněte na Odebrat.
4. Na kartě Vztahy důvěryhodnosti klikněte v části Domény důvěryhodné touto doménou (odchozí vztahy důvěryhodnosti), klepněte na vztah důvěryhodnosti, který chcete odebrat, a potom klepněte na tlačítko Odebrat.
5. Klikněte Ne, odeberte důvěru pouze z místní domény.

Vytvoření obousměrné důvěry mezi doménami ve službě Domain Services

Pokud chcete vytvořit obousměrný vztah důvěryhodnosti pro spravovanou doménu v Centru pro správu Microsoft Entra, proveďte následující kroky:

1. V Centru pro správu Microsoft Entra vyhledejte a vyberte služby Microsoft Entra Domain Servicesa pak vyberte spravovanou doménu, například aaddscontoso.com.

2. V nabídce na levé straně spravované domény vyberte Důvěryhodné vztahya pak zvolte + Přidat důvěryhodný vztah.

3. Jako směr důvěry vyberte možnost Obousměrná.

4. Zadejte zobrazovaný název, který identifikuje vaši důvěru, poté název DNS místního důvěryhodného doménového lesa, například onprem.contoso.com.

5. Zadejte stejné heslo důvěryhodnosti, které bylo použito ke konfiguraci příchozí důvěryhodnosti doménové struktury pro místní doménu služby AD DS v předchozí části.

6. Zadejte alespoň dva servery DNS pro místní doménu služby AD DS, například 10.1.1.4 a 10.1.1.5.

7. Až budete připraveni, Uložit důvěryhodnosti odchozí doménové struktury.

   

Pokud už důvěryhodný vztah lesní struktury není pro prostředí potřeba, proveďte následující kroky a odeberte ho z Doménových služeb:

1. V Centru pro správu Microsoft Entra vyhledejte a vyberte služby Microsoft Entra Domain Servicesa pak vyberte spravovanou doménu, například aaddscontoso.com.
2. V nabídce na levé straně spravované domény vyberte Vztahy důvěryhodnosti, zvolte vztah důvěryhodnosti a klikněte na Odebrat.
3. Zadejte stejné heslo, které jste použili ke konfiguraci lesní důvěry, a klikněte na OK.

Validace ověřování prostředků

Následující běžné scénáře umožňují ověřit, že lesní důvěra správně ověřuje uživatele a přístup k prostředkům:

• ověřování místních uživatelů z doménové struktury služby Domain Services
• Přístup k prostředkům v doménové struktuře Domain Services pomocí místních uživatelů
  • Povolit sdílení souborů a tiskáren
  • Vytvoření skupiny zabezpečení a přidání členů
  • Vytvoření sdílené složky pro přístup mezi doménovými strukturami
  • Ověření mezi lesy u prostředku

Ověřování uživatelů lokálně pomocí doménových služeb

K spravované doméně byste měli mít připojený virtuální počítač s Windows Serverem. Tento virtuální počítač použijte k otestování, že se místní uživatel může ověřit na virtuálním počítači. Pokud je to potřeba, vytvořte virtuální počítač s Windows a připojte ho ke spravované doméně.

1. Připojte se k virtuálnímu počítači s Windows Serverem připojeným k doménové struktuře Domain Services pomocí azure Bastion a přihlašovacích údajů správce služby Domain Services.

2. Otevřete příkazový řádek a pomocí příkazu whoami zobrazte rozlišující název aktuálně ověřeného uživatele:

   whoami /fqdn
   

3. Pomocí příkazu runas se ověřte jako uživatel z místní domény. V následujícím příkazu nahraďte userUpn@trusteddomain.com UPN uživatele z důvěryhodné on-premise domény. Příkaz vás vyzve k zadání hesla uživatele:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Pokud je ověření úspěšné, otevře se nový příkazový řádek. Název nového příkazového řádku obsahuje running as userUpn@trusteddomain.com.

5. Pomocí whoami /fqdn v novém příkazovém řádku zobrazíte rozlišující název ověřeného uživatele z místní služby Active Directory.

Přístup k prostředkům v doménové struktuře Domain Services pomocí lokálního uživatele

Z virtuálního počítače s Windows Serverem připojeným k doménové struktuře Domain Services můžete otestovat scénáře. Můžete například otestovat, jestli má uživatel, který se přihlásí k místní doméně, přístup k prostředkům ve spravované doméně. Následující příklady zahrnují běžné testovací scénáře.

Povolení sdílení souborů a tiskáren

1. Připojte se k virtuálnímu počítači s Windows Serverem připojeným k doménové struktuře Domain Services pomocí azure Bastion a přihlašovacích údajů správce služby Domain Services.

2. Otevřete Nastavení systému Windows.

3. Vyhledejte a vyberte Centrum sítí a sdílení.

4. Zvolte možnost Změnit pokročilé nastavení sdílení.

5. V profilu domény zvolte Zapnout sdílení souborů a tiskáren a poté Uložit změny.

6. Zavřete Centrum síťových připojení a sdílení.

Vytvoření skupiny zabezpečení a přidání členů

1. Otevřete Uživatelé a počítače služby Active Directory.

2. Pravým tlačítkem myši vyberte název domény, zvolte Novýa pak vyberte organizační jednotku.

3. Do pole název zadejte LocalObjectsa pak vyberte OK.

4. V navigačním podokně vyberte a klikněte pravým tlačítkem na LocalObjects. Vyberte Nový a pak Skupina.

5. Do pole název skupiny zadejte FileServerAccess. V oboru skupiny vyberte Místní doména, poté zvolte OK.

6. V podokně obsahu poklikejte na FileServerAccess. Vyberte Členy, zvolte Přidata pak vyberte Umístění.

7. V zobrazení Umístění vyberte svou místní službu Active Directory a pak zvolte OK.

8. Zadejte Domain Users do pole Zadejte názvy objektů, které chcete vybrat. Vyberte Kontrola názvů, zadejte přihlašovací údaje pro místní službu Active Directory a pak vyberte OK.

   Poznámka

   Přihlašovací údaje musíte zadat, protože vztah důvěryhodnosti je jen jedním ze způsobů. To znamená, že uživatelé ze spravované domény Domain Services nemají přístup k prostředkům ani nemůžou vyhledávat uživatele nebo skupiny v důvěryhodné (místní) doméně.

9. Skupina Domain Users z místní služby Active Directory by měla být členem skupiny FileServerAccess. Výběrem OK uložte skupinu a zavřete okno.

Vytvoření sdílení souborů pro přístup mezi doménovými strukturami

1. Na virtuálním počítači s Windows Serverem připojeným k doménové struktuře Domain Services vytvořte složku a zadejte název, například CrossForestShare.
2. Vyberte složku pravým tlačítkem a zvolte Vlastnosti.
3. Vyberte kartu Zabezpečení a pak zvolte Upravit.
4. V dialogovém okně Permissions for CrossForestShare vyberte Přidat.
5. Napište FileServerAccess do Zadejte názvy objektů, které chcete vybrat, a pak vyberte OK.
6. Ze seznamu Skupiny nebo uživatelská jména vyberte FileServerAccess. V seznamu oprávnění FileServerAccess zvolte Povolit pro oprávnění Upravit a Zapsat, a potom vyberte OK.
7. Vyberte kartu Sdílení a pak zvolte Rozšířené sdílení....
8. Zvolte Sdílet tuto složkua zadejte zapamatovatelný název sdílené složky v Název sdílené složky, například CrossForestShare.
9. Vyberte Oprávnění. V seznamu Oprávnění pro všechny zvolte Povolit pro oprávnění Změnit.
10. Vyberte OK dvakrát a potom Zavřít.

Ověřit autentizaci napříč doménovými strukturami u prostředku

1. Přihlaste se k počítači s Windows připojeným k místní službě Active Directory pomocí uživatelského účtu z místní služby Active Directory.

2. Pomocí Průzkumníka Windowsse připojte ke sdílené složce, kterou jste vytvořili, pomocí plně kvalifikovaného názvu hostitele a sdílené složky, například \\fs1.aaddscontoso.com\CrossforestShare.

3. Pokud chcete ověřit oprávnění k zápisu, vyberte ve složce pravým tlačítkem myši, zvolte Novýa pak vyberte textový dokument. Použijte výchozí název nový textový dokument.

   Pokud jsou oprávnění k zápisu správně nastavená, vytvoří se nový textový dokument. Provedením následujících kroků otevřete, upravte a odstraňte soubor podle potřeby.

4. Chcete-li ověřit oprávnění ke čtení, otevřete nový textový dokument.

5. Chcete-li ověřit oprávnění k úpravě, přidejte do souboru text a zavřete Poznámkový blok. Po zobrazení výzvy k uložení změn zvolte Uložit.

6. Pokud chcete ověřit oprávnění k odstranění, vyberte pravým tlačítkem Nový textový dokument a zvolte Odstranit. Pokud chcete potvrdit odstranění souboru, zvolte Ano.

Další kroky

V tomto kurzu jste se naučili:

• Konfigurace DNS v místním prostředí SLUŽBY AD DS pro podporu připojení ke službě Domain Services
• Vytvoření jednosměrného vztahu důvěryhodnosti příchozí doménové struktury v místním prostředí SLUŽBY AD DS
• Vytvoření jednosměrného vztahu důvěryhodnosti odchozí doménové struktury ve službě Domain Services
• Otestovat a validovat vztah důvěry pro autentizaci a přístup k prostředkům

Další koncepční informace o lesích ve službě Domain Services najdete v tématu Jak fungují důvěryhodné vztahy ve službě Domain Services?.