Zelfstudie: Een door Microsoft Entra Domain Services beheerd domein maken en configureren
Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LDAP, Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory. U gebruikt deze domeinservices zonder domeincontrollers zelf te implementeren, beheren en patchen. Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden met hun bedrijfsreferenties en kunt u bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen.
U kunt een beheerd domein maken met behulp van standaardconfiguratieopties voor netwerken en synchronisatie, of deze instellingen handmatig definiëren. In deze zelfstudie leert u hoe u standaardopties gebruikt voor het maken en configureren van een door Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum.
In deze zelfstudie leert u het volgende:
- Inzicht in DNS-vereisten voor een beheerd domein
- Een beheerd domein maken
- Wachtwoord-hashsynchronisatie inschakelen
Als u geen Azure-abonnement hebt, moet u een account aanmaken voordat u begint.
Voorwaarden
U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:
- Een actief Azure-abonnement.
- Als u geen Azure-abonnement hebt, maak een account.
- Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met ofwel een on-premises directory of een cloud-only directory.
- U hebt toepassingsbeheerder en groepenbeheerder Microsoft Entra-rollen in uw tenant nodig om Domain Services in te schakelen.
- U hebt Domain Services-inzender nodig Azure-rol om de vereiste Domain Services-resources te maken.
- Een virtueel netwerk met DNS-servers die een query kunnen uitvoeren op de benodigde infrastructuur, zoals opslag. DNS-servers die geen algemene internetquery's kunnen uitvoeren, kunnen de mogelijkheid om een beheerd domein te maken blokkeren.
Hoewel dit niet vereist is voor Domain Services, is het raadzaam om selfservice voor wachtwoordherstel (SSPR) te configureren voor de Microsoft Entra-tenant. Gebruikers kunnen hun wachtwoord wijzigen zonder SSPR, maar SSPR helpt als ze hun wachtwoord vergeten en opnieuw moeten instellen.
Belangrijk
U kunt het beheerde domein niet verplaatsen naar een ander abonnement, een andere resourcegroep of een andere regio nadat u het hebt gemaakt. Zorg ervoor dat u het meest geschikte abonnement, de resourcegroep en de regio selecteert wanneer u het beheerde domein implementeert.
Meld u aan bij het Microsoft Entra-beheercentrum
In deze zelfstudie maakt en configureert u het beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrumom aan de slag te gaan.
Een beheerd domein maken
Als u de wizard Microsoft Entra Domain Services inschakelen wilt starten, voert u de volgende stappen uit:
Zoek in het microsoft Entra-beheercentrummenu of op de startpagina naar Domain Servicesen kies vervolgens Microsoft Entra Domain Services.
Selecteer op de pagina van Microsoft Entra Domain Services de optie Microsoft Entra Domain Services maken.
Selecteer het Azure Subscription waarin u het beheerde domein wilt maken.
Selecteer de resourcegroep waartoe het beheerde domein behoort. Kies voor Maak nieuw of selecteer een bestaande resourcegroep.
Wanneer u een beheerd domein maakt, geeft u een DNS-naam op. Er zijn enkele overwegingen wanneer u deze DNS-naam kiest:
- ingebouwde domeinnaam: Standaard wordt de ingebouwde domeinnaam van de map gebruikt (een .onmicrosoft.com achtervoegsel). Als u secure LDAP-toegang tot het beheerde domein via internet wilt inschakelen, kunt u geen digitaal certificaat maken om de verbinding met dit standaarddomein te beveiligen. Microsoft is eigenaar van het .onmicrosoft.com-domein, dus een certificeringsinstantie (CA) geeft geen certificaat uit.
- aangepaste domeinnamen: De meest voorkomende benadering is het opgeven van een aangepaste domeinnaam, meestal een domeinnaam die u al bezit en routeerbaar is. Wanneer u een routeerbaar, aangepast domein gebruikt, kan verkeer zo nodig correct stromen om uw toepassingen te ondersteunen.
- niet-routeerbare domeinachtervoegsels: We raden u over het algemeen aan een niet-routeerbaar domeinnaamachtervoegsel te vermijden, zoals contoso.local. Het achtervoegsel .local is niet routeerbaar en kan problemen met DNS-omzetting veroorzaken.
Tip
Wees voorzichtig met bestaande DNS-naamruimten als u een aangepaste domeinnaam maakt. Hoewel dit wordt ondersteund, kunt u een domeinnaam gebruiken die gescheiden is van een bestaande Azure- of on-premises DNS-naamruimte.
Als u bijvoorbeeld een bestaande DNS-naamruimte van contoso.comhebt, maakt u een beheerd domein met de aangepaste domeinnaam van dscontoso.com. Als u Secure LDAP wilt gebruiken, moet u deze aangepaste domeinnaam registreren en bezitten om de vereiste certificaten te genereren.
Mogelijk moet u enkele extra DNS-records maken voor andere services in uw omgeving of voorwaardelijke DNS-doorstuurservers tussen bestaande DNS-naamruimten in uw omgeving. Als u bijvoorbeeld een webserver uitvoert die als host fungeert voor een site met behulp van de DNS-hoofdnaam, kunnen er naamconflicten zijn die extra DNS-vermeldingen vereisen.
In deze zelfstudies en instructieartikelen wordt het aangepaste domein van dscontoso.com gebruikt als een kort voorbeeld. Geef in alle opdrachten uw eigen domeinnaam op.
De volgende DNS-naambeperkingen zijn ook van toepassing:
- domeinvoorvoegselbeperkingen: U kunt geen beheerd domein maken met een voorvoegsel dat langer is dan 15 tekens. Het voorvoegsel van uw opgegeven domeinnaam (zoals dscontoso- in de dscontoso.com domeinnaam) moet 15 of minder tekens bevatten.
-
netwerknaamconflicten: De DNS-domeinnaam voor uw beheerde domein mag nog niet bestaan in het virtuele netwerk. Controleer met name op de volgende scenario's die leiden tot een naamconflict:
- Als u al een Active Directory-domein met dezelfde DNS-domeinnaam in het virtuele Azure-netwerk hebt.
- Als het virtuele netwerk waarin u het beheerde domein wilt inschakelen, een VPN-verbinding heeft met uw on-premises netwerk. In dit scenario moet u ervoor zorgen dat u geen domein met dezelfde DNS-domeinnaam in uw on-premises netwerk hebt.
- Als u een bestaande Azure-cloudservice met die naam in het virtuele Azure-netwerk hebt.
Vul de velden in het venster Basics van het Microsoft Entra-beheercentrum in om een beheerd domein te maken:
Voer een DNS-domeinnaam in voor uw beheerde domein, rekening houdend met de vorige punten.
Kies de Azure Region waarin het beheerde domein moet worden gemaakt. Als u een regio kiest die Ondersteuning biedt voor Azure-beschikbaarheidszones, worden de Domain Services-resources verdeeld over zones voor extra redundantie.
Tip
Beschikbaarheidszones zijn unieke fysieke locaties binnen een Azure-regio. Elke zone bestaat uit een of meer datacenters die zijn uitgerust met onafhankelijke voeding, koeling en netwerken. Om tolerantie te garanderen, zijn er minimaal drie afzonderlijke zones in alle ingeschakelde regio's.
U hoeft voor Domain Services niets te configureren om over zones te worden gedistribueerd. Het Azure-platform verwerkt automatisch de zonedistributie van resources. Zie Wat zijn beschikbaarheidszones in Azure voor meer informatie en om de beschikbaarheid van regio's te bekijken?.
De SKU bepaalt de prestaties en back-upfrequentie. Als de eisen of vereisten van uw bedrijf veranderen, kunt u de SKU wijzigen nadat het beheerde domein is aangemaakt. Zie Domain Services SKU-conceptenvoor meer informatie.
Voor deze zelfstudie selecteert u de Standard SKU. Het venster Basics moet er als volgt uitzien:
Als u snel een beheerd domein wilt maken, kunt u Beoordelen + maken selecteren om aanvullende standaardconfiguratieopties te accepteren. De volgende standaardinstellingen worden geconfigureerd wanneer u deze optie voor maken kiest:
- Hiermee maakt u standaard een virtueel netwerk met de naam ds-vnet, dat gebruikmaakt van het IP-adresbereik van 10.0.1.0/24.
- Hiermee maakt u een subnet met de naam ds-subnet met behulp van het IP-adresbereik van 10.0.1.0/24.
- Synchroniseert Alle gebruikers van Microsoft Entra ID naar het beheerde domein.
Notitie
Gebruik geen openbare IP-adressen voor virtuele netwerken en hun subnetten vanwege de volgende problemen:
Schaarste van het IP-adres: publieke IPv4-adressen zijn beperkt en de vraag ernaar overschrijdt vaak het beschikbare aanbod. Er zijn mogelijk overlappende IP-adressen met openbare eindpunten.
Beveiligingsrisico's: als u openbare IP-adressen gebruikt voor virtuele netwerken, worden uw apparaten rechtstreeks aan internet blootgesteld, waardoor het risico op onbevoegde toegang en mogelijke aanvallen toeneemt. Zonder de juiste beveiligingsmaatregelen kunnen uw apparaten kwetsbaar worden voor verschillende bedreigingen.
Complexiteit: het beheren van een virtueel netwerk met openbare IP-adressen kan complexer zijn dan het gebruik van privé-IP-adressen, omdat hiervoor externe IP-bereiken nodig zijn en de juiste netwerksegmentatie en -beveiliging moeten worden gegarandeerd.
Het wordt sterk aanbevolen om privé-IP-adressen te gebruiken. Als u een openbaar IP-adres gebruikt, moet u ervoor zorgen dat u de eigenaar/toegewezen gebruiker bent van de gekozen IP-adressen in het openbare bereik dat u hebt gekozen.
Selecteer Beoordelen en maken om deze standaardconfiguratieopties te accepteren.
Het beheerde domein implementeren
Controleer op de pagina Samenvatting van de wizard de configuratie-instellingen voor uw beheerde domein. U kunt teruggaan naar elke stap van de wizard om wijzigingen aan te brengen. Als u een beheerd domein opnieuw wilt implementeren naar een andere Microsoft Entra-tenant op een consistente manier met deze configuratieopties, kunt u ook een sjabloon voor automatisering downloaden.
Als u het beheerde domein wilt maken, selecteert u maken. Er wordt een opmerking weergegeven dat bepaalde configuratieopties, zoals DNS-naam of virtueel netwerk, niet kunnen worden gewijzigd zodra de beheerde Domain Services is gemaakt. Als u wilt doorgaan, selecteert u OK.
Het inrichten van uw beheerde domein kan een uur duren. Er wordt een melding weergegeven in de portal waarin de voortgang van uw Domain Services-implementatie wordt weergegeven.
Wanneer het beheerde domein volledig is ingericht, wordt op het tabblad Overzicht de domeinstatus weergegeven als Actief. Vouw implementatiedetails uit voor koppelingen naar resources zoals het virtuele netwerk en de netwerkresourcegroep.
Belangrijk
Het beheerde domein is gekoppeld aan uw Microsoft Entra-directory. Tijdens het inrichtingsproces maakt Domain Services twee bedrijfstoepassingen met de naam Domain Controller Services en AzureActiveDirectoryDomainControllerServices in de map Microsoft Entra. Deze bedrijfstoepassingen zijn nodig om uw beheerde domein te kunnen onderhouden. Verwijder deze toepassingen niet.
DNS-instellingen voor het virtuele Azure-netwerk bijwerken
Nu Domain Services is geïmplementeerd, configureert u het virtuele netwerk zodat andere verbonden VM's en toepassingen het beheerde domein kunnen gebruiken. Als u deze connectiviteit wilt bieden, werkt u de DNS-serverinstellingen voor uw virtuele netwerk bij zodat deze verwijst naar de twee IP-adressen waar het beheerde domein is geïmplementeerd.
Op het tabblad Overzicht voor uw beheerde domein worden enkele vereiste configuratiestappen weergegeven. De eerste configuratiestap is het bijwerken van DNS-serverinstellingen voor uw virtuele netwerk. Zodra de DNS-instellingen correct zijn geconfigureerd, wordt deze stap niet meer weergegeven.
De vermelde adressen zijn de domeincontrollers voor gebruik in het virtuele netwerk. In dit voorbeeld zijn deze adressen 10.0.1.4 en 10.0.1.5. U kunt deze IP-adressen later vinden op het tabblad Eigenschappen.
Als u de DNS-serverinstellingen voor het virtuele netwerk wilt bijwerken, selecteert u de knop Configureren. De DNS-instellingen worden automatisch geconfigureerd voor uw virtuele netwerk.
Tip
Als u in de vorige stappen een bestaand virtueel netwerk hebt geselecteerd, krijgen vm's die zijn verbonden met het netwerk alleen de nieuwe DNS-instellingen na opnieuw opstarten. U kunt VM's opnieuw opstarten met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of de Azure CLI.
Gebruikersaccounts inschakelen voor Domain Services
Voor het verifiëren van gebruikers in het beheerde domein heeft Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NT LAN Manager (NTLM) en Kerberos-verificatie. Microsoft Entra ID genereert of bewaart geen wachtwoordhashes in de vereiste indeling voor NTLM- of Kerberos-authenticatie totdat u Domain Services voor uw tenant inschakelt. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.
Notitie
Zodra dit is geconfigureerd, worden de bruikbare wachtwoordhashes opgeslagen in het beheerde domein. Als u het beheerde domein verwijdert, worden alle wachtwoordhashes die op dat moment zijn opgeslagen, ook verwijderd.
Gesynchroniseerde referentiegegevens in Microsoft Entra-id kunnen niet opnieuw worden gebruikt als u later een beheerd domein maakt. U moet de wachtwoord-hashsynchronisatie opnieuw configureren om de wachtwoordhashes opnieuw op te slaan. Eerder aan een domein gekoppelde VM's of gebruikers kunnen zich niet onmiddellijk verifiëren. Microsoft Entra-id moet de wachtwoordhashes genereren en opslaan in het nieuwe beheerde domein.
Microsoft Entra Connect-cloudsynchronisatie wordt niet ondersteund met Domain Services. On-premises gebruikers moeten worden gesynchroniseerd met Microsoft Entra Connect om toegang te krijgen tot aan een domein gekoppelde VM's. Zie wachtwoord-hashsynchronisatieproces voor Domain Services en Microsoft Entra Connectvoor meer informatie.
De stappen voor het genereren en opslaan van deze wachtwoordhashes verschillen voor cloudgebruikersaccounts die zijn gemaakt in Microsoft Entra ID versus gebruikersaccounts die vanuit uw on-premises adreslijst worden gesynchroniseerd met Behulp van Microsoft Entra Connect.
Een cloudgebruikersaccount is een account dat is gemaakt in uw Microsoft Entra-directory met behulp van het Microsoft Entra-beheercentrum of PowerShell. Deze gebruikersaccounts worden niet gesynchroniseerd vanuit een on-premises directory.
In deze zelfstudie gaan we werken met een eenvoudig cloudgebruikersaccount. Zie Wachtwoordhashes synchroniseren voor gebruikersaccounts die vanuit uw on-premises AD zijn gesynchroniseerd met uw beheerde domeinvoor meer informatie over de aanvullende stappen die nodig zijn voor het gebruik van Microsoft Entra Connect.
Tip
Als uw Microsoft Entra-directory een combinatie van alleen-cloudgebruikers en gesynchroniseerde gebruikers heeft, moet u beide sets stappen voltooien.
Voor gebruikersaccounts in de cloud moeten gebruikers hun wachtwoorden wijzigen voordat ze Domain Services kunnen gebruiken. Dit wachtwoordwijzigingsproces zorgt ervoor dat de wachtwoordhashes voor Kerberos- en NTLM-verificatie worden gegenereerd en opgeslagen in Microsoft Entra-id. Het account wordt pas gesynchroniseerd vanuit Microsoft Entra-id naar Domain Services als het wachtwoord is gewijzigd. Wachtwoorden laten verlopen voor alle cloudgebruikers in de tenant die Domain Services moeten gebruiken, waardoor een wachtwoordwijziging bij de volgende aanmelding wordt afgedwongen, of cloudgebruikers instrueren om hun wachtwoorden handmatig te wijzigen. Voor deze zelfstudie gaan we handmatig een gebruikerswachtwoord wijzigen.
Voordat een gebruiker het wachtwoord opnieuw kan instellen, moet de Microsoft Entra-tenant worden geconfigureerd voor zelfservice voor wachtwoordreset.
Als u het wachtwoord voor een cloudgebruiker wilt wijzigen, moet de gebruiker de volgende stappen uitvoeren:
Ga naar de Microsoft Entra ID-toegangsportaalpagina op https://myapps.microsoft.com.
Selecteer uw naam in de rechterbovenhoek en kies vervolgens Profiel in de vervolgkeuzelijst.
Selecteer Wachtwoord wijzigenop de pagina Profiel.
Voer op de pagina Wachtwoord wijzigen uw bestaande (oude) wachtwoord in en voer een nieuw wachtwoord in en bevestig dit.
Selecteer verzenden.
Het duurt enkele minuten nadat u uw wachtwoord hebt gewijzigd voordat het nieuwe wachtwoord bruikbaar is in Domain Services en om u aan te melden bij computers die lid zijn van het beheerde domein.
Volgende stappen
In deze zelfstudie hebt u het volgende geleerd:
- Inzicht in DNS-vereisten voor een beheerd domein
- Een beheerd domein maken
- Gebruikers met beheerdersrechten toevoegen aan domeinbeheer
- Gebruikersaccounts inschakelen voor Domain Services en wachtwoordhashes genereren
Configureer een virtueel Azure-netwerk voor toepassingsworkloads voordat u vm's aan een domein koppelt en toepassingen implementeert die gebruikmaken van het beheerde domein.