Tutorial: crear y configurar un dominio administrado de Microsoft Entra Domain Services con opciones de configuración avanzadas
Microsoft Entra Domain Services proporciona servicios de dominio administrado, como unión a dominio, directiva de grupo, LDAP, autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory. Estos servicios de dominio se usan sin necesidad de implementar, administrar ni aplicar revisiones a los controladores de dominio. Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión con sus credenciales corporativas y, además, le permite usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos.
Puede crear un dominio administrado con las opciones de configuración predeterminadas de sincronización y redes o definir manualmente estos valores. En este tutorial se muestra cómo definir esas opciones de configuración avanzadas para crear y configurar un dominio administrado de Domain Services usando el centro de administración de Microsoft Entra.
En este tutorial, aprenderá a:
- Configuración de DNS y los parámetros de red virtual para un dominio administrado
- Creación de un dominio administrado
- Incorporación de usuarios administrativos a la administración de dominios
- Habilitación de la sincronización de hash de contraseñas
Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.
Prerrequisitos
Para completar este tutorial, necesitará los siguientes recursos y privilegios:
- Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
- Necesita los roles de Administrador de aplicaciones y Administrador de grupos de Microsoft Entra en su inquilino para habilitar Domain Services.
- Necesita el rol de Azure Colaborador de Domain Services para crear los recursos de Domain Services necesarios.
Aunque no es necesario para Domain Services, se recomienda configurar el restablecimiento de contraseña de autoservicio (SSPR) para el inquilino de Microsoft Entra. Los usuarios pueden cambiar su contraseña sin SSPR, pero este les ayuda si olvidan la contraseña y necesitan restablecerla.
Importante
Una vez que haya creado un dominio administrado, no puede trasladarlo a otra suscripción, grupo de recursos o región. Tenga cuidado a la hora de seleccionar la suscripción, el grupo de recursos y la región más adecuados al implementar el dominio administrado.
Iniciar sesión en el centro de administración de Microsoft Entra
En este tutorial, creará y configurará el dominio administrado mediante el centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.
Creación de un dominio administrado y configuración de las opciones básicas
Para iniciar el asistente Habilitar servicios de dominio de Microsoft Entra, complete los siguientes pasos:
- En el menú del centro de administración de Microsoft Entra o en la página Inicio, seleccione Crear un recurso.
- Escriba Domain Services en la barra de búsqueda y, a continuación, elija Microsoft Entra Domain Services en las sugerencias de búsqueda.
- En la página de Microsoft Entra Domain Services, seleccione Crear. Se inicia el Asistente para habilitar Microsoft Entra Domain Services.
- Seleccione la suscripción de Azure en la que desea crear el dominio administrado.
- Seleccione el grupo de recursos al que debería pertenecer el dominio administrado. Elija Crear nuevo o seleccione un grupo de recursos existente.
Cuando se crea un dominio administrado, se especifica un nombre DNS. Hay algunas consideraciones que se deben tener en cuenta al elegir este nombre DNS:
- Nombre de dominio integrado: de forma predeterminada, se usa el nombre de dominio integrado del directorio (un sufijo .onmicrosoft.com). Si se quiere habilitar el acceso LDAP seguro al dominio administrado a través de Internet, no se puede crear un certificado digital para proteger la conexión con este dominio predeterminado. Microsoft es el propietario del dominio .onmicrosoft.com, por lo que una entidad de certificación no emitirá un certificado.
- Nombres de dominio personalizados: el enfoque más común consiste en especificar un nombre de dominio personalizado, normalmente uno que ya se posee y es enrutable. Cuando se usa un dominio personalizado enrutable, el tráfico puede fluir correctamente según sea necesario para admitir las aplicaciones.
- Sufijos de dominio no enrutables: por lo general, se recomienda evitar un sufijo de nombre de dominio no enrutable, como contoso.local. El sufijo .local no es enrutable y puede provocar problemas con la resolución de DNS.
Sugerencia
Si crea un nombre de dominio personalizado, tenga cuidado con los espacios de nombres DNS existentes. Se recomienda usar un nombre de dominio independiente de cualquier espacio de nombres de DNS local o de Azure existentes.
Por ejemplo, si tiene un espacio de nombres de DNS existente para contoso.com, cree un dominio administrado con el nombre de dominio personalizado aaddscontoso.com. Si necesita usar LDAP seguro, debe registrar y poseer este nombre de dominio personalizado para generar los certificados necesarios.
Es posible que tenga que crear algunos registros DNS adicionales para otros servicios del entorno o reenviadores DNS condicionales entre los espacios de nombres de DNS existentes en el entorno. Por ejemplo, si ejecuta un servidor web que hospeda un sitio mediante el nombre DNS raíz, puede haber conflictos de nomenclatura que requieran más entradas DNS.
En estos tutoriales y artículos de procedimientos, el dominio personalizado aaddscontoso.com se usa como ejemplo breve. En todos los comandos, especifique su propio nombre de dominio.
También se aplican las siguientes restricciones de nombre DNS:
- Restricciones de prefijo de dominio: no se puede crear un dominio administrado con un prefijo de más de 15 caracteres. El prefijo del nombre de dominio especificado (por ejemplo, aaddscontoso en el nombre de dominio aaddscontoso.com) debe contener 15 caracteres o menos.
- Conflictos de nombres de red: el nombre de dominio DNS del dominio administrado no puede existir ya en la red virtual. Busque, en concreto, los siguientes escenarios que provocarían un conflicto de nombres:
- Ya tiene un dominio de Active Directory con el mismo nombre de dominio DNS en la red virtual de Azure.
- La red virtual en la que planea habilitar el dominio administrado tiene una conexión VPN con la red local. En este escenario, asegúrese de que no tiene un dominio con el mismo nombre de dominio DNS de la red local.
- Ya dispone de un servicio en la nube de Azure con ese nombre en la red virtual de Azure.
Complete los campos de la ventana Aspectos básicos del centro de administración de Microsoft Entra para crear un dominio administrado:
Escriba un nombre de dominio DNS para el dominio administrado, teniendo en cuenta los puntos anteriores.
Elija la ubicación de Azure en que se debe crear el dominio administrado. Si elige una región que admite Availability Zones, los recursos de Domain Services se distribuyen entre las zonas para conseguir redundancia adicional.
Sugerencia
Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. Para garantizar la resistencia, hay un mínimo de tres zonas independientes en todas las regiones habilitadas.
No es necesario realizar ninguna configuración para que Domain Services se distribuya entre zonas. La plataforma Azure controla automáticamente la distribución en zonas de los recursos. Para más información y consulta de la disponibilidad en las regiones, consulte ¿Qué son las zonas de disponibilidad en Azure?
La SKU determina el rendimiento y la frecuencia de copia de seguridad. Puede cambiar la SKU una vez creado el dominio administrado si cambian sus necesidades o requisitos empresariales. Para más información, consulte Conceptos de SKU de Domain Services.
Para este tutorial, seleccione la SKU Estándar.
Un bosque es una construcción lógica que Active Directory Domain Services utiliza para agrupar uno o más dominios.
Para configurar manualmente opciones adicionales, elija Siguiente - Redes. En caso contrario, seleccione Revisión y creación para aceptar las opciones de configuración predeterminadas y, luego, vaya a la sección Deploy your managed domain (Implementar un dominio administrado). Los siguientes valores predeterminados se configuran al elegir esta opción de creación:
- Crea una red virtual llamada aadds-vnet que usa el intervalo de direcciones IP 10.0.1.0/24.
- Crea una subred denominada aadds-subnet mediante el intervalo de direcciones IP 10.0.1.0/24.
- Sincroniza todos los usuarios de Microsoft Entra ID en el dominio administrado.
Creación y configuración de la red virtual
Para proporcionar conectividad, se necesitan una red virtual de Azure y una subred dedicada. Domain Services estará habilitado en esta subred de la red virtual. En este tutorial creará una red virtual, aunque podría elegir usar una existente. En ambos enfoques, debe crear una subred dedicada para que se use en Domain Services.
Entre las consideraciones para esta subred de red virtual dedicada se incluyen los siguientes aspectos:
- La subred debe tener al menos entre 3 y 5 direcciones IP disponibles en su intervalo de direcciones para admitir los recursos de Domain Services.
- No seleccione la subred de Puerta de enlace para implementar Domain Services. No se admite la implementación de Domain Service en una subred de Puerta de enlace.
- No implemente ninguna otra máquina virtual en la subred. Las aplicaciones y las máquinas virtuales suelen usar grupos de seguridad de red para proteger la conectividad. La ejecución de estas cargas de trabajo en una subred independiente permite aplicar esos grupos de seguridad de red sin interrumpir la conectividad con el dominio administrado.
Para más información sobre cómo planear y configurar la red virtual, consulte Consideraciones de red de Microsoft Entra Domain Services.
Complete los campos de la ventana Red de la siguiente manera:
En la página Red, elija una red virtual para implementar Domain Services en el menú desplegable o seleccione Crear nuevo.
- Si elige crear una red virtual, escriba un nombre para ella, por ejemplo, myVnet y, después, proporcione un intervalo de direcciones, como 10.0.1.0/24.
- Cree una subred dedicada con un nombre claro, por ejemplo DomainServices. Indique un intervalo de direcciones, como 10.0.1.0/24.
Asegúrese de seleccionar un intervalo de direcciones que se encuentre dentro de su intervalo de direcciones IP privadas. Los intervalos de direcciones IP que no son de su propiedad y que se encuentran en el espacio de direcciones públicas provocan errores en Domain Services.
Seleccione una subred de red virtual, como DomainServices.
Cuando esté listo, elija Siguiente - Administración.
Configuración de un grupo administrativo
Para la administración del dominio de Domain Services se usa un grupo administrativo especial denominado Administradores de DC de AAD. A los miembros de este grupo se les conceden permisos administrativos en las máquinas virtuales que están unidas al domino administrado. En las máquinas virtuales unidas al dominio, este grupo se agrega al grupo de administradores locales. Además, los miembros de este grupo también pueden usar Escritorio remoto para conectarse de forma remota a las máquinas virtuales unidas al dominio.
Importante
En los dominios administrados con Domain Services, no tiene permisos de Administrador de dominio ni de Administrador de empresa. Estos permisos están reservados por el servicio y no están disponibles para los usuarios del inquilino.
En su lugar, el grupo Administradores de DC de AAD permite realizar algunas operaciones con privilegios. Estas operaciones incluyen formar parte del grupo de administradores en las máquinas virtuales unidas al dominio y configurar una directiva de grupo.
El asistente crea automáticamente el grupo de administradores de AAD DC en su directorio de Microsoft Entra. Si tiene un grupo existente con este nombre en su directorio de Microsoft Entra, el asistente selecciona este grupo. También puede optar por agregar usuarios adicionales a este grupo de Administradores de DC de AAD durante el proceso de implementación. Estos pasos se pueden completar más adelante.
Para agregar otros usuarios a este grupo de Administradores de DC de AAD, seleccione Administrar pertenencia al grupo.
Seleccione el botón Agregar miembros, luego busque y seleccione usuarios de su directorio de Microsoft Entra. Por ejemplo, busque su propia cuenta y agréguela al grupo Administradores de DC de AAD.
Si lo prefiere, cambie o agregue destinatarios adicionales de las notificaciones cuando haya alertas en el dominio administrado que requieran atención.
Cuando esté listo, elija Siguiente - Sincronización.
Configuración de la sincronización
Domain Services le permite sincronizar todos los usuarios y grupos disponibles en Microsoft Entra ID, o bien realizar una sincronización con alcance solo de grupos concretos. Puede cambiar el ámbito de sincronización ahora o una vez implementado el dominio administrado. Para obtener más información, consulte Sincronización con ámbito de Microsoft Entra Domain Services.
Para este tutorial, elija la sincronización de Todos los usuarios y grupos. Esta es la opción predeterminada de sincronización.
Seleccione Revisar + crear.
Eliminación del dominio administrado
En la página Resumen del asistente, revise la configuración del dominio administrado. Puede volver a cualquier paso del asistente para realizar cambios. Para volver a implementar un dominio administrado en un inquilino de Microsoft Entra diferente de manera consistente usando estas opciones de configuración, también puede descargar una plantilla para automatización.
Para crear el dominio administrado, seleccione Crear. Aparece una nota que indica que determinadas opciones de configuración, como el nombre de DNS o la red virtual, no se pueden cambiar después de que se ha creado la instancia administrada de Domain Services. Para continuar, seleccione Aceptar.
El proceso de aprovisionamiento del dominio administrado puede tardar hasta una hora. En el portal se muestra una notificación que señala el progreso de la implementación de Domain Services. Seleccione la notificación para ver el progreso detallado de la implementación.
Seleccione el grupo de recursos, como myResourceGroup y, a continuación, elija el dominio administrado en la lista de recursos de Azure, como aaddscontoso.com. La pestaña Información general muestra que el dominio administrado se está Implementando. No se puede configurar el dominio administrado hasta que está totalmente aprovisionado.
Cuando el dominio administrado está aprovisionado por completo, la pestaña Información general muestra el estado del dominio como En ejecución.
Importante
El dominio administrado está asociado a su inquilino de Microsoft Entre. Durante el proceso de aprovisionamiento, Domain Services crea dos aplicaciones empresariales, Domain Controller Services y AzureActiveDirectoryDomainControllerServices en el inquilino de Microsoft Entra. Estas aplicaciones empresariales se necesitan para dar servicio al dominio administrado. No las elimine.
Actualización de la configuración DNS para Azure Virtual Network
Ahora que Domain Services se ha implementado correctamente, es el momento de configurar la red virtual para permitir que otras máquinas virtuales y aplicaciones conectadas usen el dominio administrado. Para proporcionar esta conectividad, actualice la configuración del servidor DNS de la red virtual de modo que apunte a las dos direcciones IP donde se ha implementado el dominio administrado.
En la pestaña Información general del dominio administrado se muestran algunos de los Pasos de configuración necesarios. El primer paso de configuración es la actualización de la configuración de servidores DNS para la red virtual. Cuando la configuración de DNS esté correctamente establecida, ya no se mostrará este paso.
Las direcciones que aparecen son los controladores de dominio que se usan en la red virtual. En este ejemplo, las direcciones son 10.0.1.4 y 10.0.1.5. Más adelante puede encontrar estas direcciones IP en la pestaña Propiedades.
Seleccione el botón Configurar para actualizar la configuración del servidor DNS de la red virtual. Los valores de DNS se configuran automáticamente para la red virtual.
Sugerencia
Si ha seleccionado una red virtual existente en los pasos anteriores, las máquinas virtuales conectadas a la red solo obtendrán la nueva configuración de DNS después de un reinicio. Puede reiniciar las máquinas virtuales usando el Centro de administración Microsoft Entra, Microsoft Graph PowerShell o la CLI de Azure.
Habilitar cuentas de usuario para Domain Services
Para autenticar a los usuarios en el dominio administrado, Domain Services necesita los hash de las contraseñas en un formato adecuado para la autenticación de NT LAN Manager (NTLM) y Kerberos. Microsoft Entra ID no genera ni almacena hash de contraseña en el formato necesario para la autenticación NTLM o Kerberos hasta que habilite Domain Services para su inquilino. Por motivos de seguridad, Microsoft Entra ID tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar. Por consiguiente, Microsoft Entra ID no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios.
Nota:
Una vez configurados correctamente, los hash de las contraseñas que se pueden usar se almacenan en el dominio administrado. Si elimina el dominio administrado, también se eliminarán los hash de las contraseñas que haya almacenados en ese momento.
La información de credenciales sincronizadas en Microsoft Entra ID no se puede reutilizar si luego crea un dominio administrado; debe reconfigurar la sincronización de hash de contraseña para almacenar los hashes de contraseña nuevamente. Las máquinas virtuales o los usuarios previamente unidos al dominio no podrán autenticarse inmediatamente: Microsoft Entra ID necesita generar y almacenar los hashes de contraseña en el nuevo dominio administrado.
Para más información, consulte Proceso de sincronización de hash de contraseñas para Domain Services y Microsoft Entra Connect.
Los pasos necesarios para generar y almacenar estos hash de contraseña son diferentes según se trate de cuentas de usuario solo de nube creadas en Microsoft Entra o de las cuentas de usuarios que se sincronizan desde el directorio local mediante Microsoft Entra Connect.
Una cuenta de usuario solo en la nube es una cuenta que se ha creado en su directorio de Microsoft Entra usando el Centro de administración de Microsoft Entra o los cmdlets de Microsoft Graph PowerShell. Estas cuentas de usuario no se sincronizan desde un directorio local.
En este tutorial, vamos a trabajar con una cuenta de usuario básica solo de nube. Para más información sobre los pasos adicionales necesarios para usar Microsoft Entra Connect, consulte Sincronización de los hash de contraseña para las cuentas de usuario sincronizadas desde la instancia local de AD con el dominio administrado.
Sugerencia
Si el inquilino de Microsoft Entra tiene una combinación entre usuarios solo de nube y usuarios de la instancia local de AD, debe realizar ambos procedimientos.
En el caso de las cuentas de usuario solo de nube, los usuarios deben cambiar sus contraseñas para poder usar Domain Services. Este proceso de cambio de contraseña hace que los valores hash de contraseña para la autenticación Kerberos y NTLM se generen y almacenen en Microsoft Entra ID. La cuenta no se sincroniza desde Microsoft Entra ID a Domain Services hasta que se cambia la contraseña. Puede hacer expirar las contraseñas de todos los usuarios en la nube del inquilino que tenga que usar Domain Services, lo que fuerza un cambio de contraseña en el siguiente inicio de sesión, o bien indicarles que cambien sus contraseñas manualmente. En este tutorial vamos a cambiar manualmente una contraseña de usuario.
Para que un usuario pueda restablecer su contraseña, el inquilino de Microsoft Entra debe estar configurado para el autoservicio de restablecimiento de contraseña.
Para cambiar la contraseña de un usuario solo de nube, el usuario debe completar los pasos siguientes:
Vaya a la página del Panel de acceso de Microsoft Entra ID en https://myapps.microsoft.com.
En la esquina superior derecha, seleccione su nombre y, a continuación, elija Perfil en el menú desplegable.
En la página Perfil, seleccione Cambiar contraseña.
En la página Cambiar contraseña, escriba la contraseña existente (anterior) y luego escriba y confirme una nueva contraseña.
Seleccione Submit (Enviar).
Tras el cambio, la nueva contraseña tarda unos minutos en poder usarse en Domain Services y en iniciar sesión en los equipos unidos al dominio administrado.
Pasos siguientes
En este tutorial, ha aprendido a:
- Configuración de DNS y los parámetros de red virtual para un dominio administrado
- Creación de un dominio administrado
- Incorporación de usuarios administrativos a la administración de dominios
- Habilitación de cuentas de usuario para Domain Services y generación de hash de contraseña
Para ver este dominio administrado en acción, cree una máquina virtual y únala al dominio.