Zelfstudie: Een door Microsoft Entra Domain Services beheerd domein maken en configureren met geavanceerde configuratieopties

Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LDAP, Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory. U gebruikt deze domeinservices zonder domeincontrollers zelf te implementeren, beheren en patchen. Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden met hun bedrijfsreferenties en kunt u bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen.

U kunt een beheerd domein maken met behulp van standaardconfiguratieopties voor netwerken en synchronisatie, of deze instellingen handmatig definiëren. In deze zelfstudie leert u hoe u deze geavanceerde configuratieopties definieert voor het maken en configureren van een door Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum.

In deze zelfstudie leert u het volgende:

• DNS- en virtuele netwerkinstellingen configureren voor een beheerd domein
• Een beheerd domein maken
• Gebruikers met beheerdersrechten toevoegen aan domeinbeheer
• Wachtwoord-hashsynchronisatie inschakelen

Als u geen Azure-abonnement hebt, maak dan een account aan voordat u begint.

Voorwaarden

U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:

• Een actief Azure-abonnement.
  • Als u geen Azure-abonnement hebt, maak dan een accountaan.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een directory die alleen in de cloud bestaat.
  • indien nodig een Microsoft Entra-tenant maken of een Azure-abonnement koppelen aan uw account.
• U hebt toepassingsbeheerder en groepenbeheerder Microsoft Entra-rollen in uw tenant nodig om Domain Services in te schakelen.
• U hebt Domain Services-inzender nodig Azure-rol om de vereiste Domain Services-resources te maken.

Hoewel dit niet vereist is voor Domain Services, is het raadzaam om selfservice voor wachtwoordherstel (SSPR) te configureren voor de Microsoft Entra-tenant. Gebruikers kunnen hun wachtwoord wijzigen zonder SSPR, maar SSPR helpt als ze hun wachtwoord vergeten en opnieuw moeten instellen.

Belangrijk

Nadat u een beheerd domein hebt gemaakt, kunt u het niet verplaatsen naar een ander abonnement, een andere resourcegroep of een andere regio. Zorg ervoor dat u het meest geschikte abonnement, de resourcegroep en de regio selecteert wanneer u het beheerde domein implementeert.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze zelfstudie maakt en configureert u het beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrumom aan de slag te gaan.

Een beheerd domein maken en basisinstellingen configureren

Als u de wizard Microsoft Entra Domain Services inschakelen wilt starten, voert u de volgende stappen uit:

1. Selecteer in het microsoft Entra-beheercentrummenu of op de startpaginaEen resource maken.
2. Voer Domain Services in de zoekbalk in en kies vervolgens Microsoft Entra Domain Services in de zoeksuggesties.
3. Op de pagina Microsoft Entra Domain Services, selecteer je Maken. De wizard Microsoft Entra Domain Services inschakelen wordt gestart.
4. Selecteer het Azure Subscription waarin u het beheerde domein wilt maken.
5. Selecteer de resourcegroep waartoe het beheerde domein behoort. Kies ervoor om nieuwe te maken of een bestaande resourcegroep te selecteren.

Wanneer u een beheerd domein maakt, geeft u een DNS-naam op. Er zijn enkele overwegingen wanneer u deze DNS-naam kiest:

• ingebouwde domeinnaam: Standaard wordt de ingebouwde domeinnaam van de map gebruikt (een .onmicrosoft.com achtervoegsel). Als u secure LDAP-toegang tot het beheerde domein via internet wilt inschakelen, kunt u geen digitaal certificaat maken om de verbinding met dit standaarddomein te beveiligen. Microsoft is eigenaar van het .onmicrosoft.com-domein, dus een certificeringsinstantie (CA) geeft geen certificaat uit.
• aangepaste domeinnamen: De meest voorkomende benadering is het opgeven van een aangepaste domeinnaam, meestal een domeinnaam die u al bezit en routeerbaar is. Wanneer u een routeerbaar, aangepast domein gebruikt, kan verkeer zo nodig correct stromen om uw toepassingen te ondersteunen.
• niet-routeerbare domeinachtervoegsels: We raden u over het algemeen aan een niet-routeerbaar domeinnaamachtervoegsel te vermijden, zoals contoso.local. Het achtervoegsel .local is niet routeerbaar en kan problemen met DNS-omzetting veroorzaken.

Tip

Wees voorzichtig met bestaande DNS-naamruimten als u een aangepaste domeinnaam aanmaakt. Het is raadzaam om een domeinnaam te gebruiken die losstaat van een bestaande Azure- of on-premises DNS-naamruimte.

Als u bijvoorbeeld een bestaande DNS-naamruimte van contoso.comhebt, maakt u een beheerd domein met de aangepaste domeinnaam van aaddscontoso.com. Als u Secure LDAP wilt gebruiken, moet u deze aangepaste domeinnaam registreren en bezitten om de vereiste certificaten te genereren.

Mogelijk moet u enkele extra DNS-records maken voor andere services in uw omgeving of voorwaardelijke DNS-doorstuurservers tussen bestaande DNS-naamruimten in uw omgeving. Als u bijvoorbeeld een webserver uitvoert die als host fungeert voor een site met behulp van de DNS-hoofdnaam, kunnen er naamconflicten zijn die extra DNS-vermeldingen vereisen.

In deze zelfstudies en instructieartikelen wordt het aangepaste domein van aaddscontoso.com gebruikt als een kort voorbeeld. Geef in alle opdrachten uw eigen domeinnaam op.

De volgende DNS-naambeperkingen zijn ook van toepassing:

• domeinvoorvoegselbeperkingen: U kunt geen beheerd domein maken met een voorvoegsel dat langer is dan 15 tekens. Het voorvoegsel van uw opgegeven domeinnaam (zoals aaddscontoso in de aaddscontoso.com domeinnaam) moet 15 of minder tekens bevatten.
• netwerknaamconflicten: De DNS-domeinnaam voor uw beheerde domein mag nog niet bestaan in het virtuele netwerk. Controleer met name op de volgende scenario's die leiden tot een naamconflict:
  • Als u al een Active Directory-domein met dezelfde DNS-domeinnaam in het virtuele Azure-netwerk hebt.
  • Als het virtuele netwerk waarin u het beheerde domein wilt inschakelen, een VPN-verbinding heeft met uw on-premises netwerk. In dit scenario moet u ervoor zorgen dat u geen domein met dezelfde DNS-domeinnaam in uw on-premises netwerk hebt.
  • Als u een bestaande Azure-cloudservice met die naam in het virtuele Azure-netwerk hebt.

Als u een beheerd domein wilt maken, vult u de velden in het Basics-venster van het Microsoft Entra-beheercentrum in:

1. Voer een DNS-domeinnaam in voor uw beheerde domein, rekening houdend met de vorige punten.

2. Kies de Azure Location waarin het beheerde domein moet worden gemaakt. Als u een regio kiest die beschikbaarheidszones ondersteunt, worden de Domain Services-resources verdeeld over zones voor extra redundantie.

   Fooi

   Beschikbaarheidszones zijn unieke fysieke locaties binnen een Azure-regio. Elke zone bestaat uit een of meer datacenters die zijn uitgerust met onafhankelijke voeding, koeling en netwerken. Om tolerantie te garanderen, zijn er minimaal drie afzonderlijke zones in alle ingeschakelde regio's.

   U hoeft niets te configureren voor Domeindiensten om over zones te worden gedistribueerd. Het Azure-platform verwerkt automatisch de zonedistributie van resources. Zie Wat zijn beschikbaarheidszones in Azure voor meer informatie en om de beschikbaarheid van regio's te bekijken?

3. De SKU bepaalt de prestaties en de back-upfrequentie. U kunt de SKU wijzigen nadat u het beheerde domein hebt gemaakt als de vereisten of vereisten van uw bedrijf veranderen. Zie Domain Services SKU-conceptenvoor meer informatie.

   Voor deze handleiding selecteert u de Standaard SKU.

4. Een forest is een logische constructie die door Active Directory Domain Services wordt gebruikt om een of meer domeinen te groeperen.

   

5. Als u handmatig extra opties wilt configureren, kiest u Volgende - Netwerken. Anders, selecteer Controleren + maken om de standaardconfiguratieopties te accepteren en ga vervolgens direct naar de sectie om uw beheerde domein te implementeren. De volgende standaardinstellingen worden geconfigureerd wanneer u deze optie voor maken kiest:

   • Hiermee maakt u een virtueel netwerk met de naam aadds-vnet- dat gebruikmaakt van het IP-adresbereik van 10.0.1.0/24.
   • Hiermee maakt u een subnet met de naam aadds-subnet met behulp van het IP-adresbereik van 10.0.1.0/24.
   • Synchroniseert Alle gebruikers van Microsoft Entra ID naar het beheerde domein.

Het virtuele netwerk maken en configureren

Voor connectiviteit zijn een virtueel Azure-netwerk en een toegewezen subnet nodig. Domain Services is ingeschakeld in dit subnet van het virtuele netwerk. In deze zelfstudie maakt u een virtueel netwerk, maar u kunt er in plaats daarvan voor kiezen om een bestaand virtueel netwerk te gebruiken. In beide benaderingen moet u een toegewezen subnet maken voor gebruik door Domain Services.

Enkele overwegingen voor dit toegewezen subnet van een virtueel netwerk zijn de volgende gebieden:

• Het subnet moet ten minste 3-5 beschikbare IP-adressen in het adresbereik hebben ter ondersteuning van de Domain Services-resources.
• Selecteer niet het subnet Gateway voor het implementeren van Domain Services. Het wordt niet ondersteund om Domain Services te implementeren in een Gateway subnet.
• Implementeer geen andere virtuele machines in het subnet. Toepassingen en VM's maken vaak gebruik van netwerkbeveiligingsgroepen om de connectiviteit te beveiligen. Als u deze workloads uitvoert in een afzonderlijk subnet, kunt u deze netwerkbeveiligingsgroepen toepassen zonder de connectiviteit met uw beheerde domein te verstoren.

Zie netwerkoverwegingen voor Microsoft Entra Domain Servicesvoor meer informatie over het plannen en configureren van het virtuele netwerk.

Vul de velden in het venster Network als volgt in:

1. Kies op de pagina Network een virtueel netwerk uit de vervolgkeuzelijst om Domain Services in te implementeren, of selecteer Nieuwmaken.

   1. Als u ervoor kiest om een virtueel netwerk te maken, voert u een naam in voor het virtuele netwerk, zoals myVnet-, en geeft u een adresbereik op, zoals 10.0.1.0/24.
   2. Maak een toegewezen subnet met een duidelijke naam, zoals DomainServices. Geef een adresbereik op, zoals 10.0.1.0/24.

   

   Zorg ervoor dat u een adresbereik kiest dat zich binnen uw privé-IP-adresbereik bevindt. IP-adresbereiken die u niet bezit die zich in de openbare adresruimte bevinden, veroorzaken fouten in Domain Services.

2. Selecteer een subnet van een virtueel netwerk, zoals DomainServices.

3. Wanneer u klaar bent, kiest u Volgende - Beheer.

Een beheergroep configureren

Een speciale beheergroep met de naam AAD DC-beheerders wordt gebruikt voor het beheer van het domein Domain Services. Leden van deze groep krijgen beheerdersmachtigingen op virtuele machines die zijn gekoppeld aan het beheerde domein. Op vm's die lid zijn van een domein, wordt deze groep toegevoegd aan de lokale beheerdersgroep. Leden van deze groep kunnen ook Extern bureaublad gebruiken om op afstand verbinding te maken met virtuele machines die lid zijn van een domein.

Belangrijk

U hebt geen Domeinbeheerder of Ondernemingsbeheerder machtigingen voor een beheerd domein met behulp van Domain Services. De service behoudt deze machtigingen voor en maakt ze niet beschikbaar voor gebruikers binnen de tenant.

In plaats daarvan kunt u met de groep AAD DC Administrators enkele bevoegde bewerkingen uitvoeren. Deze bewerkingen omvatten het behoren tot de beheergroep op aan een domein gekoppelde VM's en het configureren van groepsbeleid.

De wizard maakt automatisch de AAD DC Administrators groep in uw Microsoft Entra-directory. Als u een bestaande groep met deze naam in uw Microsoft Entra-directory hebt, selecteert de wizard deze groep. U kunt er eventueel voor kiezen om extra gebruikers toe te voegen aan deze AAD DC-beheerders groep tijdens het implementatieproces. Deze stappen kunnen later worden voltooid.

1. Als u extra gebruikers wilt toevoegen aan deze AAD DC-beheerders groep, selecteert u Groepslidmaatschap beheren.

   

2. Selecteer de knop Leden toevoegen en zoek en selecteer gebruikers in uw Microsoft Entra-directory. Zoek bijvoorbeeld naar uw eigen account en voeg dit toe aan de AAD DC-beheerders groep.

3. Wijzig of voeg, als gewenst, extra ontvangers toe voor meldingen wanneer er alerts in het beheerde domein zijn die aandacht vereisen.

4. Wanneer u klaar bent, kiest u Volgende - Synchronisatie.

Synchronisatie configureren

Met Domain Services kunt u alle gebruikers en groepen synchroniseren die beschikbaar zijn in Microsoft Entra ID, of een gescope synchronisatie van alleen specifieke groepen. U kunt het synchronisatiebereik nu wijzigen of zodra het beheerde domein is geïmplementeerd. Zie synchronisatiebereik van Microsoft Entra Domain Servicesvoor meer informatie.

1. Voor deze zelfstudie kiest u ervoor om Alle gebruikers en groepen te synchroniseren. Deze synchronisatiekeuze is de standaardoptie.

   

2. Selecteer Beoordelen enmaken.

Het beheerde domein implementeren

Controleer op de pagina Samenvatting van de wizard de configuratie-instellingen voor uw beheerde domein. U kunt teruggaan naar elke stap van de wizard om wijzigingen aan te brengen. Als u een beheerd domein opnieuw wilt implementeren naar een andere Microsoft Entra-tenant op een consistente manier met deze configuratieopties, kunt u ook een sjabloon voor automatisering downloaden.

1. Als u het beheerde domein wilt maken, selecteert u maken. Er wordt een opmerking weergegeven dat bepaalde configuratieopties, zoals DNS-naam of virtueel netwerk, niet kunnen worden gewijzigd zodra de beheerde Domain Services is gemaakt. Als u wilt doorgaan, selecteert u OK.

2. Het inrichten van uw beheerde domein kan een uur duren. Er wordt een melding weergegeven in de portal waarin de voortgang van uw Domain Services-implementatie wordt weergegeven. Selecteer de melding om gedetailleerde voortgang voor de implementatie te bekijken.

   

3. Selecteer uw resourcegroep, zoals myResourceGroup, en kies vervolgens uw beheerde domein in de lijst met Azure-resources, zoals aaddscontoso.com. Op het tabblad Overzicht ziet u dat het beheerde domein momenteel aan het implementerenis. U kunt het beheerde domein pas configureren als het volledig is ingericht.

   

4. Wanneer het beheerde domein volledig is ingericht, wordt de domeinstatus op het tabblad Overzicht weergegeven als Actief.

   

Belangrijk

Het beheerde domein is gekoppeld aan uw Microsoft Entra-tenant. Tijdens het inrichtingsproces maakt Domain Services twee bedrijfstoepassingen met de naam Domain Controller Services en AzureActiveDirectoryDomainControllerServices in de Microsoft Entra-tenant. Deze bedrijfstoepassingen zijn nodig om uw beheerde domein te kunnen onderhouden. Verwijder deze toepassingen niet.

DNS-instellingen voor het virtuele Azure-netwerk bijwerken

Nu Domain Services is geïmplementeerd, configureert u het virtuele netwerk zodat andere verbonden VM's en toepassingen het beheerde domein kunnen gebruiken. Als u deze connectiviteit wilt bieden, werkt u de DNS-serverinstellingen voor uw virtuele netwerk bij zodat deze verwijst naar de twee IP-adressen waar het beheerde domein is geïmplementeerd.

1. Op het tabblad Overzicht voor uw beheerde domein worden enkele vereiste configuratiestappen weergegeven. De eerste configuratiestap is het bijwerken van DNS-serverinstellingen voor uw virtuele netwerk. Zodra de DNS-instellingen correct zijn geconfigureerd, wordt deze stap niet meer weergegeven.

   De vermelde adressen zijn de domeincontrollers voor gebruik in het virtuele netwerk. In dit voorbeeld zijn deze adressen 10.0.1.4 en 10.0.1.5. U kunt deze IP-adressen later vinden op het tabblad Eigenschappen.

   

2. Als u de DNS-serverinstellingen voor het virtuele netwerk wilt bijwerken, selecteert u de knop Configureren. De DNS-instellingen worden automatisch geconfigureerd voor uw virtuele netwerk.

Tip

Als u in de vorige stappen een bestaand virtueel netwerk hebt geselecteerd, krijgen vm's die zijn verbonden met het netwerk alleen de nieuwe DNS-instellingen na opnieuw opstarten. U kunt VM's opnieuw opstarten met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShellof de Azure CLI.

Gebruikersaccounts inschakelen voor Domain Services

Voor het verifiëren van gebruikers in het beheerde domein heeft Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NT LAN Manager (NTLM) en Kerberos-verificatie. Microsoft Entra ID genereert of slaat wachtwoordhashes niet op in het vereiste formaat voor NTLM- of Kerberos-authenticatie tot u Domain Services voor uw tenant inschakelt. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.

Notitie

Zodra dit is geconfigureerd, worden de bruikbare wachtwoordhashes opgeslagen in het beheerde domein. Als u het beheerde domein verwijdert, worden alle wachtwoordhashes die op dat moment zijn opgeslagen, ook verwijderd.

Gesynchroniseerde referentiegegevens in Microsoft Entra-id kunnen niet opnieuw worden gebruikt als u later een beheerd domein maakt. U moet de wachtwoord-hashsynchronisatie opnieuw configureren om de wachtwoordhashes opnieuw op te slaan. Eerder aan een domein gekoppelde VM's of gebruikers kunnen niet onmiddellijk worden geverifieerd. Microsoft Entra-id moet de wachtwoordhashes genereren en opslaan in het nieuwe beheerde domein.

Zie wachtwoord-hashsynchronisatieproces voor Domain Services en Microsoft Entra Connectvoor meer informatie.

De stappen voor het genereren en opslaan van deze wachtwoordhashes zijn verschillend voor twee typen gebruikersaccounts:

• Gebruikersaccounts die alleen in de cloud zijn gemaakt in Microsoft Entra-id.
• Gebruikersaccounts die vanuit uw on-premises directory worden gesynchroniseerd met behulp van Microsoft Entra Connect.

Een cloudgebruikersaccount is een account dat is gemaakt in uw Microsoft Entra-directory met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph PowerShell-cmdlets. Deze gebruikersaccounts worden niet gesynchroniseerd vanuit een on-premises directory.

In deze zelfstudie gaan we werken met een eenvoudig cloudgebruikersaccount. Zie Wachtwoordhashes synchroniseren voor gebruikersaccounts die vanuit uw on-premises AD zijn gesynchroniseerd met uw beheerde domeinvoor meer informatie over de aanvullende stappen die nodig zijn voor het gebruik van Microsoft Entra Connect.

Tip

Als uw Microsoft Entra-tenant een combinatie van cloudgebruikers en gebruikers uit uw on-premises AD heeft, moet u beide sets stappen voltooien.

Voor gebruikersaccounts in de cloud moeten gebruikers hun wachtwoorden wijzigen voordat ze Domain Services kunnen gebruiken. Dit wachtwoordwijzigingsproces zorgt ervoor dat de wachtwoordhashes voor Kerberos- en NTLM-verificatie worden gegenereerd en opgeslagen in Microsoft Entra-id. Het account wordt pas gesynchroniseerd vanuit Microsoft Entra-id naar Domain Services als het wachtwoord is gewijzigd. Zorg ervoor dat de wachtwoorden voor alle cloudgebruikers in de tenant die Domain Services moeten gebruiken, verlopen, wat leidt tot een verplichte wachtwoordwijziging bij de volgende aanmelding, of instrueer cloudgebruikers om hun wachtwoorden handmatig te wijzigen. Voor deze zelfstudie gaan we handmatig een gebruikerswachtwoord wijzigen.

Voordat een gebruiker het wachtwoord opnieuw kan instellen, moet de Microsoft Entra-tenant worden geconfigureerd voor selfservice voor wachtwoordherstel.

Als u het wachtwoord voor een cloudgebruiker wilt wijzigen, moet de gebruiker de volgende stappen uitvoeren:

1. Ga naar de Microsoft Entra ID Access Panel-pagina op https://myapps.microsoft.com.

2. Selecteer uw naam in de rechterbovenhoek en kies vervolgens Profiel in de vervolgkeuzelijst.

   

3. Selecteer op de Profiel pagina Wachtwoord wijzigen.

4. Voer op de pagina Wachtwoord wijzigen uw bestaande (oude) wachtwoord in en voer een nieuw wachtwoord in en bevestig dit.

5. Selecteer verzenden.

Het duurt enkele minuten nadat u uw wachtwoord hebt gewijzigd voordat het nieuwe wachtwoord bruikbaar is in Domain Services en om u aan te melden bij computers die lid zijn van het beheerde domein.

Volgende stappen

In deze zelfstudie hebt u het volgende geleerd:

• DNS- en virtuele netwerkinstellingen configureren voor een beheerd domein
• Een beheerd domein maken
• Gebruikers met beheerdersrechten toevoegen aan domeinbeheer
• Gebruikersaccounts inschakelen voor Domain Services en wachtwoordhashes genereren

Als u dit beheerde domein in actie wilt zien, maakt en koppelt u een virtuele machine aan het domein.

een virtuele Windows Server-machine toevoegen aan uw beheerde domein