Esercitazione: Creare e configurare un dominio gestito di Microsoft Entra Domain Services con opzioni di configurazione avanzate

Servizi di dominio Microsoft Entra fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo, LDAP, l'autenticazione Kerberos/NTLM completamente compatibile con Windows Server Active Directory. Questi servizi di dominio vengono usati senza distribuire, gestire e applicare patch ai controller di dominio manualmente. Domain Services si integra con il tenant esistente di Microsoft Entra. Questa integrazione consente agli utenti di accedere usando le proprie credenziali aziendali ed è possibile usare gruppi e account utente esistenti per proteggere l'accesso alle risorse.

È possibile creare un dominio gestito usando le opzioni di configurazione predefinite per la rete e la sincronizzazione oppure definire manualmente queste impostazioni. Questa esercitazione illustra come definire le opzioni di configurazione avanzate per creare e configurare un dominio gestito di Servizi di dominio tramite l'interfaccia di amministrazione di Microsoft Entra.

In questa esercitazione si apprenderà come:

• Configurare le impostazioni dns e di rete virtuale per un dominio gestito
• Creare un dominio gestito
• Aggiungere utenti amministrativi alla gestione del dominio
• Abilitare la sincronizzazione dell'hash delle password

Se non hai una sottoscrizione di Azure, crea un account prima di iniziare.

Prerequisiti

Per completare questa esercitazione, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha un abbonamento a Azure, creare un account.
• Un tenant di Microsoft Entra associato al tuo abbonamento, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, crea un tenant di Microsoft Entra o associa un abbonamento di Azure al tuo account.
• È necessario avere i ruoli di amministratore delle applicazioni e di amministratore dei gruppi nei ruoli di Microsoft Entra nel tenant per abilitare i Servizi di dominio.
• È necessario il ruolo Azure Collaboratore servizi di dominio per creare le risorse di Servizi di dominio necessarie.

Sebbene non sia necessario per Servizi di dominio, è consigliabile configurare la reimpostazione della password self-service (SSPR) per il tenant di Microsoft Entra. Gli utenti possono modificare la password senza SSPR, ma SSPR li aiuta se dimenticano la password e hanno bisogno di reimpostarla.

Importante

Dopo aver creato un dominio gestito, non è possibile spostarlo in una sottoscrizione, un gruppo di risorse o un'area diversa. Prestare attenzione a selezionare la sottoscrizione, il gruppo di risorse e l'area più appropriati quando si distribuisce il dominio gestito.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione si crea e si configura il dominio gestito usando l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere prima all'interfaccia di amministrazione di Microsoft Entra .

Creare un dominio gestito e configurare le impostazioni di base

Per avviare la procedura guidata Abilita Servizi di dominio Microsoft Entra, completare i passaggi seguenti:

1. Nel menu dell'interfaccia di amministrazione di Microsoft Entra o nella pagina Home selezionare Crea una risorsa.
2. Immettere Domain Services nella barra di ricerca, quindi scegliere Microsoft Entra Domain Services dai suggerimenti di ricerca.
3. Nella pagina dei Servizi di dominio Microsoft Entra, selezionare Crea. Viene avviata la procedura guidata Abilita Microsoft Entra Domain Services.
4. Selezionare la sottoscrizione di Azure nella quale si desidera creare il dominio gestito.
5. Selezionare il gruppo di risorse a cui deve appartenere il dominio gestito. Scegli Crea nuovo o seleziona un gruppo di risorse esistente.

Quando si crea un dominio gestito, si specifica un nome DNS. Quando si sceglie questo nome DNS, è necessario tenere presenti alcune considerazioni:

• nome di dominio predefinito: Per impostazione predefinita, viene usato il nome di dominio predefinito della directory (un suffisso .onmicrosoft.com). Se si vuole abilitare l'accesso LDAP sicuro al dominio gestito tramite Internet, non è possibile creare un certificato digitale per proteggere la connessione con questo dominio predefinito. Microsoft possiede il dominio .onmicrosoft.com, quindi un'autorità di certificazione (CA) non emetterà un certificato.
• Nomi di dominio personalizzati: L'approccio più comune consiste nello specificare un nome di dominio personalizzato, in genere uno di cui si è già proprietari ed è instradabile. Quando si usa un dominio personalizzato instradabile, il traffico può fluire correttamente in base alle esigenze per supportare le applicazioni.
• suffissi di dominio non instradabili: In genere è consigliabile evitare un suffisso di nome di dominio non instradabile, ad esempio contoso.local. Il suffisso .local non è instradabile e può causare problemi con la risoluzione DNS.

Suggerimento

Se si crea un nome di dominio personalizzato, prestare attenzione agli spazi dei nomi DNS esistenti. È consigliabile usare un nome di dominio separato da qualsiasi spazio dei nomi DNS locale o di Azure esistente.

Ad esempio, se si dispone di uno spazio dei nomi DNS esistente di contoso.com, creare un dominio gestito con il nome di dominio personalizzato di aaddscontoso.com. Se è necessario usare LDAP sicuro, è necessario registrare e possedere questo nome di dominio personalizzato per generare i certificati necessari.

Potrebbe essere necessario creare alcuni record DNS aggiuntivi per altri servizi nell'ambiente o server d'inoltro DNS condizionale tra gli spazi dei nomi DNS esistenti nell'ambiente. Ad esempio, se si esegue un server Web che ospita un sito usando il nome DNS radice, possono verificarsi conflitti di denominazione che richiedono voci DNS aggiuntive.

In queste esercitazioni e articoli sulle procedure, il dominio personalizzato di aaddscontoso.com viene usato come breve esempio. In tutti i comandi specificare il proprio nome di dominio.

Si applicano anche le restrizioni seguenti per i nomi DNS:

• restrizioni relative al prefisso di dominio: Non è possibile creare un dominio gestito con un prefisso più lungo di 15 caratteri. Il prefisso del nome di dominio specificato, ad esempio aaddscontoso nel nome di dominio aaddscontoso.com, deve contenere 15 o meno caratteri.
• Conflitti tra nomi di rete: Il nome di dominio DNS per il dominio gestito non deve esistere già nella rete virtuale. In particolare, controllare gli scenari seguenti che potrebbero causare un conflitto di nomi:
  • Se si ha già un dominio di Active Directory con lo stesso nome di dominio DNS nella rete virtuale di Azure.
  • Se la rete virtuale in cui si prevede di abilitare il dominio gestito ha una connessione VPN con la rete locale. In questo scenario, assicurarsi di non avere un dominio con lo stesso nome di dominio DNS nella rete locale.
  • Se si dispone di un servizio cloud di Azure esistente con tale nome nella rete virtuale di Azure.

Per creare un dominio gestito, completare i campi nella finestra Informazioni di base dell'interfaccia di amministrazione di Microsoft Entra:

1. Immettere un nome di dominio DNS per il dominio gestito, tenendo conto dei punti precedenti.

2. Scegli la posizione di Azure in cui il dominio gestito deve essere creato. Se si sceglie un'area che supporta le zone di disponibilità, le risorse di Servizi di dominio vengono distribuite tra zone per maggiore ridondanza.

   Suggerimento

   Le zone di disponibilità sono posizioni fisiche univoche all'interno di un'area di Azure. Ogni zona è costituita da uno o più data center dotati di alimentazione, raffreddamento e rete indipendenti. Per garantire la resilienza, sono presenti almeno tre zone separate in tutte le aree abilitate.

   Non è necessario configurare per la distribuzione di Servizi di dominio tra le zone. La piattaforma Azure gestisce automaticamente la distribuzione della zona delle risorse. Per altre informazioni e per visualizzare la disponibilità dell'area, vedere Che cosa sono le zone di disponibilità in Azure?

3. Lo SKU determina le prestazioni e la frequenza di backup. È possibile modificare lo SKU dopo aver creato il dominio gestito se le esigenze o i requisiti aziendali cambiano. Per altre informazioni, vedere concetti relativi agli SKU dei servizi di dominio.

   Per questa esercitazione, selezionare lo SKU standard .

4. Una foresta è un costrutto logico usato da Servizi di dominio Active Directory per raggruppare uno o più domini.

   

5. Per configurare manualmente opzioni aggiuntive, scegliere Avanti - Rete. In caso contrario, selezionare Rivedi e crea per accettare le opzioni di configurazione predefinite, quindi passare alla sezione per Distribuire il dominio gestito. Quando si sceglie questa opzione di creazione, vengono configurate le impostazioni predefinite seguenti:

   • Crea una rete virtuale denominata aadds-vnet che usa l'intervallo di indirizzi IP di 10.0.1.0/24.
   • Crea una subnet denominata aadds-subnet usando l'intervallo di indirizzi IP di 10.0.1.0/24.
   • Sincronizza Tutti gli utenti da Microsoft Entra ID nel dominio gestito.

Creare e configurare la rete virtuale

Per fornire connettività, sono necessarie una rete virtuale di Azure e una subnet dedicata. Domain Services è abilitato in questa subnet di rete virtuale. In questa esercitazione si crea una rete virtuale, anche se è possibile scegliere di usare una rete virtuale esistente. In entrambi gli approcci è necessario creare una subnet dedicata per l'uso da parte di Servizi di dominio.

Alcune considerazioni per questa subnet di rete virtuale dedicata includono le aree seguenti:

• La subnet deve avere almeno 3-5 indirizzi IP disponibili nell'intervallo di indirizzi per supportare le risorse di Servizi di dominio.
• Non selezionare la subnet Gateway per la distribuzione di Servizi di Dominio. Non è supportato distribuire Servizi di dominio in una subnet di gateway .
• Non distribuire altre macchine virtuali nella subnet. Le applicazioni e le macchine virtuali usano spesso gruppi di sicurezza di rete per proteggere la connettività. L'esecuzione di questi carichi di lavoro in una subnet separata consente di applicare tali gruppi di sicurezza di rete senza interrompere la connettività al dominio gestito.

Per altre informazioni su come pianificare e configurare la rete virtuale, vedere considerazioni sulla rete per Microsoft Entra Domain Services.

Completare i campi nella finestra Rete come indicato di seguito:

1. Nella pagina rete, scegliere una rete virtuale in cui distribuire Servizi di dominio dal menu a discesa oppure selezionare Crea nuovo.

   1. Se si sceglie di creare una rete virtuale, immettere un nome per la rete virtuale, ad esempio myVnet, quindi specificare un intervallo di indirizzi, ad esempio 10.0.1.0/24.
   2. Creare una subnet dedicata con un nome chiaro, ad esempio DomainServices. Specificare un intervallo di indirizzi, ad esempio 10.0.1.0/24.

   

   Assicurarsi di selezionare un intervallo di indirizzi compreso nell'intervallo di indirizzi IP privati. Gli intervalli di indirizzi IP di cui non si è proprietari che si trovano nello spazio degli indirizzi pubblici causano errori all'interno di Servizi di dominio.

2. Selezionare una subnet di rete virtuale, ad esempio DomainServices.

3. Quando siete pronti, selezionate Avanti - Amministrazione.

Configurare un gruppo amministrativo

Un gruppo amministrativo speciale denominato AAD DC Administrators viene usato per la gestione del dominio di Servizi di dominio. Ai membri di questo gruppo vengono concesse autorizzazioni amministrative per le macchine virtuali aggiunte a un dominio al dominio gestito. Nelle macchine virtuali unite a un dominio, questo gruppo viene aggiunto al gruppo amministratori locali. I membri di questo gruppo possono anche usare Desktop remoto per connettersi in remoto alle macchine virtuali aggiunte a un dominio.

Importante

Non si dispone di amministratore di dominio o autorizzazioni di amministratore dell'organizzazione in un dominio gestito tramite Servizi di dominio. Il servizio riserva queste autorizzazioni e non le rende disponibili agli utenti all'interno del tenant.

Al contrario, il gruppo amministratori AAD DC consente di eseguire alcune operazioni privilegiate. Queste operazioni includono l'appartenenza al gruppo di amministrazione nelle macchine virtuali aggiunte a un dominio e la configurazione di Criteri di gruppo.

La procedura guidata crea automaticamente il gruppo amministratori di AAD DC nella directory di Microsoft Entra. Se si dispone di un gruppo esistente con questo nome nella directory Microsoft Entra, la procedura guidata seleziona questo gruppo. Facoltativamente, è possibile scegliere di aggiungere altri utenti a questo gruppo di amministratori di AAD DC durante il processo di distribuzione. Questi passaggi possono essere completati in un secondo momento.

1. Per aggiungere altri utenti a questo gruppo AAD DC Administrators, selezionare Gestisci appartenenza al gruppo.

   

2. Selezionare il pulsante Aggiungi membri, quindi cercare e selezionare gli utenti desiderati dalla directory Microsoft Entra. Ad esempio, cercare il proprio account e aggiungerlo al gruppo AAD DC Administrators.

3. Se necessario, modificare o aggiungere altri destinatari per le notifiche quando sono presenti avvisi nel dominio gestito che richiedono attenzione.

4. Quando si è pronti, scegliere Avanti - Sincronizzazione.

Configurare la sincronizzazione

Servizi di dominio consente di sincronizzare tutti gli utenti e i gruppi di disponibili in Microsoft Entra ID o un con ambito sincronizzazione solo di gruppi specifici. È possibile modificare l'ambito di sincronizzazione ora o dopo la distribuzione del dominio gestito. Per ulteriori informazioni, vedere sincronizzazione con ambito dei servizi di dominio di Microsoft Entra.

1. Per questa esercitazione scegliere di sincronizzare Tutti gli utenti e i gruppi. Questa scelta di sincronizzazione è l'opzione predefinita.

   

2. Selezionare Rivedi e crea.

Distribuire il dominio gestito

Nella pagina Riepilogo della procedura guidata, esaminare le impostazioni di configurazione per il tuo dominio gestito. È possibile tornare a qualsiasi passaggio della procedura guidata per apportare modifiche. Per ridistribuire un dominio gestito in un tenant Microsoft Entra diverso in modo coerente usando queste opzioni di configurazione, è anche possibile Scaricare un modello per l'automazione.

1. Per creare il dominio gestito, selezionare Crea. Si noti che alcune opzioni di configurazione, ad esempio il nome DNS o la rete virtuale, non possono essere modificate dopo la creazione del servizio di dominio. Per continuare, selezionare OK.

2. Il processo di provisioning del dominio gestito può richiedere fino a un'ora. Nel portale viene visualizzata una notifica che mostra lo stato di avanzamento della distribuzione di Servizi di dominio. Selezionare la notifica per visualizzare lo stato di avanzamento dettagliato per la distribuzione.

   

3. Selezionare il gruppo di risorse, ad esempio myResourceGroup, quindi scegliere il dominio gestito dall'elenco delle risorse di Azure, ad esempio aaddscontoso.com. La scheda panoramica mostra che il dominio gestito è attualmente Distribuzione. Non è possibile configurare il dominio gestito finché non viene eseguito il provisioning completo.

   

4. Quando viene eseguito il provisioning completo del dominio gestito, nella scheda panoramica viene visualizzato lo stato del dominio come In esecuzione.

   

Importante

Il dominio gestito è associato al tenant di Microsoft Entra. Durante il processo di provisioning, Domain Services crea due applicazioni aziendali denominate Domain Controller Services e AzureActiveDirectoryDomainControllerServices nel tenant di Microsoft Entra. Queste applicazioni aziendali sono necessarie per gestire il dominio gestito. Non eliminare queste applicazioni.

Aggiornare le impostazioni DNS per la rete virtuale di Azure

Dopo aver distribuito correttamente Domain Services, configurare ora la rete virtuale per consentire ad altre macchine virtuali e applicazioni connesse di usare il dominio gestito. Per fornire questa connettività, aggiornare le impostazioni del server DNS per la rete virtuale in modo che puntino ai due indirizzi IP in cui viene distribuito il dominio gestito.

1. La scheda Panoramica per il dominio gestito mostra alcuni passaggi necessari di configurazione . Il primo passaggio di configurazione consiste nell'aggiornare le impostazioni del server DNS per la rete virtuale. Dopo aver configurato correttamente le impostazioni DNS, questo passaggio non viene più visualizzato.

   Gli indirizzi elencati sono i controller di dominio da usare nella rete virtuale. In questo esempio, tali indirizzi sono 10.0.1.4 e 10.0.1.5. In seguito è possibile trovare questi indirizzi IP nella scheda Proprietà.

   

2. Per aggiornare le impostazioni del server DNS per la rete virtuale, selezionare il pulsante Configura. Le impostazioni DNS vengono configurate automaticamente per la rete virtuale.

Suggerimento

Se è stata selezionata una rete virtuale esistente nei passaggi precedenti, tutte le macchine virtuali connesse alla rete ottengono solo le nuove impostazioni DNS dopo un riavvio. È possibile riavviare le macchine virtuali usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShello l'interfaccia della riga di comando di Azure.

Abilitare gli account utente per i servizi di dominio

Per autenticare gli utenti nel dominio gestito, Domain Services richiede hash delle password in un formato adatto per l'autenticazione NT LAN Manager (NTLM) e Kerberos. Microsoft Entra ID non genera o archivia gli hash delle password nel formato necessario per l'autenticazione NTLM o Kerberos fino a quando non si abilita Servizi di dominio per il tenant. Per motivi di sicurezza, Anche Microsoft Entra ID non archivia credenziali password in formato non crittografato. Pertanto, Microsoft Entra ID non può generare automaticamente questi hash delle password NTLM o Kerberos in base alle credenziali esistenti degli utenti.

Nota

Dopo la configurazione appropriata, gli hash delle password utilizzabili vengono archiviati nel dominio gestito. Se si elimina il dominio gestito, vengono eliminati anche gli hash delle password archiviati in quel punto.

Le informazioni sulle credenziali sincronizzate in Microsoft Entra ID non possono essere riutilizzate se in un secondo momento si crea un dominio gestito. È necessario riconfigurare la sincronizzazione dell'hash delle password per archiviare nuovamente gli hash delle password. Le macchine virtuali aggiunte a un dominio o gli utenti in precedenza non possono eseguire immediatamente l'autenticazione. Microsoft Entra ID deve generare e archiviare gli hash delle password nel nuovo dominio gestito.

Per ulteriori informazioni, consultare il processo di sincronizzazione dell'hash delle password per i Servizi di dominio e Microsoft Entra Connect .

I passaggi per generare e archiviare questi hash delle password sono diversi per due tipi di account utente:

• Account utente creati solo nel cloud in Microsoft Entra ID.
• Account utente sincronizzati dalla directory locale tramite Microsoft Entra Connect.

Un account utente esclusivamente cloud è un account creato nella directory di Microsoft Entra utilizzando l'interfaccia di amministrazione di Microsoft Entra o i cmdlet di Microsoft Graph PowerShell. Questi account utente non vengono sincronizzati da una directory locale.

In questa esercitazione lavoreremo con un account utente di base solo cloud. Per ulteriori informazioni sui passaggi aggiuntivi necessari per utilizzare Microsoft Entra Connect, vedere Sincronizzare gli hash delle password per gli account utente sincronizzati dall'istanza locale di AD al dominio gestito.

Suggerimento

Se il tenant di Microsoft Entra ha una combinazione di utenti solo cloud e utenti dal tuo AD locale, è necessario completare entrambi i set di passaggi.

Per gli account utente solo cloud, gli utenti devono modificare le password prima di poter usare Servizi di dominio. Questo processo di modifica della password causa la generazione e l'archiviazione degli hash delle password per l'autenticazione Kerberos e NTLM in Microsoft Entra ID. L'account non viene sincronizzato da Microsoft Entra ID a Servizi di dominio fino a quando la password non viene modificata. Scadranno le password per tutti gli utenti cloud nel tenant che devono usare Servizi di dominio, che forzano una modifica della password all'accesso successivo o indicare agli utenti cloud di modificare manualmente le password. Per questa esercitazione, è possibile modificare manualmente una password utente.

Prima che un utente possa reimpostare la password, il tenant di Microsoft Entra deve essere configurato per la reimpostazione della password self-service.

Per modificare la password per un utente solo cloud, l'utente deve completare i passaggi seguenti:

1. Passare alla pagina Pannello di accesso Microsoft Entra ID su https://myapps.microsoft.com.

2. Nell'angolo in alto a destra, seleziona il tuo nome, quindi scegli Profilo dal menu a discesa.

   

3. Nella pagina profilo , selezionare Modifica password.

4. Nella pagina Modifica password immettere la password esistente (precedente), quindi immettere e confermare una nuova password.

5. Selezionare Invia.

L'uso della nuova password in Servizi di dominio e l'accesso ai computer aggiunti al dominio gestito richiede alcuni minuti dopo aver modificato la password.

Passaggi successivi

In questa esercitazione si è appreso come:

• Configurare le impostazioni dns e di rete virtuale per un dominio gestito
• Creare un dominio gestito
• Aggiungere utenti amministrativi alla gestione del dominio
• Abilitare gli account utente per Domain Services e generare hash delle password

Per visualizzare questo dominio gestito in azione, creare e aggiungere una macchina virtuale al dominio.

Aggiungere una macchina virtuale Windows Server al dominio gestito