Microsoft Entra Domain Services implementeren en configureren
Organisaties die gebruikmaken van microsoft Entra ID in de cloud kunnen Microsoft Entra Domain Services inschakelen voor een Azure-VNet en vervolgens een nieuw beheerd domein ophalen. Gebruikers en groepen in Microsoft Entra-id zijn beschikbaar in het zojuist gemaakte domein, dat adreslijstservices heeft die vergelijkbaar zijn met on-premises AD DS, waaronder Groepsbeleid, Kerberos-protocol en LDAP-ondersteuning.
U kunt Virtuele Azure-machines waarop Windows wordt uitgevoerd, toevoegen aan het zojuist gemaakte domein en u kunt deze beheren met behulp van basisinstellingen voor groepsbeleid. Door Microsoft Entra Domain Services in te schakelen, worden referentie-hashes die vereist zijn voor NTLM- en Kerberos-verificatie opgeslagen in Microsoft Entra-id.
Omdat Contoso een hybride organisatie is, kunnen ze hun identiteiten van hun on-premises AD DS integreren met Microsoft Entra Domain Services met behulp van Microsoft Entra Connect. Gebruikers in hybride organisaties kunnen dezelfde ervaring hebben bij het openen van resources op basis van een domein in een on-premises infrastructuur of bij het openen van resources vanaf VM's die worden uitgevoerd in een virtueel Azure-netwerk dat is geïntegreerd met Microsoft Entra Domain Services.
Microsoft Entra Domain Services implementeren
Als u Microsoft Entra Domain Services wilt implementeren, configureren en gebruiken, moet u beschikken over een Microsoft Entra-tenant die is gemaakt in een Microsoft Entra-abonnement. Als u Bovendien Microsoft Entra Domain Services wilt gebruiken, moet u wachtwoord-hashsynchronisatie hebben geïmplementeerd met Microsoft Entra Connect. Dit is nodig omdat Microsoft Entra Domain Services NTLM- en Kerberos-verificatie biedt, zodat de referenties van gebruikers vereist zijn.
Wanneer u Microsoft Entra Domain Services inschakelt voor uw tenant, moet u de DNS-domeinnaam selecteren die u voor deze service gaat gebruiken. U moet ook het domein selecteren dat u wilt synchroniseren met uw on-premises omgeving.
Let op
U mag geen bestaande Azure- of on-premises DNS-domeinnaamruimte gebruiken.
In de volgende tabel worden de beschikbare OPTIES voor DNS-domeinnamen beschreven.
| Optie | Omschrijving |
|---|---|
| Ingebouwde domeinnaam | Standaard wordt de ingebouwde domeinnaam van de map gebruikt (een .onmicrosoft.com achtervoegsel). Als u secure LDAP-toegang tot het beheerde domein via internet wilt inschakelen, kunt u geen digitaal certificaat maken om de verbinding met dit standaarddomein te beveiligen. Microsoft is de eigenaar van het domein .onmicrosoft.com, dus een Certificate Authority (CA) zal geen certificaat uitgeven. |
| Aangepaste domeinnamen | De meestgebruikte methode is via het opgeven van een aangepaste domeinnaam, vaak een domein waarvan u al de eigenaar bent en waarnaar kan worden gerouteerd. Wanneer u een routeerbaar, aangepast domein gebruikt, kan verkeer op de juiste manier stromen om uw toepassingen te ondersteunen. |
| Niet-routable domeinachtervoegsels | Over het algemeen wordt u aangeraden een niet-routable domeinnaamachtervoegsel, zoals contoso.local, te vermijden. Het achtervoegsel .local is niet routeerbaar en kan problemen veroorzaken met de DNS-resolutie. |
Tip
Mogelijk moet u extra DNS-records maken voor andere services in uw omgeving of voorwaardelijke DNS-doorstuurservers tussen bestaande DNS-naamruimten in uw omgeving.
Tijdens de implementatie moet u ook selecteren welk type forest moet worden ingericht. Een forest is een logische constructie die door AD DS wordt gebruikt om een of meer domeinen te groeperen. Er zijn twee foresttypen, zoals beschreven in de volgende tabel.
| Foresttype | Omschrijving |
|---|---|
| User | Dit type forest synchroniseert alle objecten van Microsoft Entra ID, inclusief alle gebruikersaccounts die zijn gemaakt in een on-premises AD DS-omgeving. |
| Bron | Dit type forest synchroniseert alleen gebruikers en groepen die rechtstreeks in Microsoft Entra-id zijn gemaakt. |
Vervolgens moet u de Azure-locatie kiezen waarin het beheerde domein moet worden gemaakt. Als u een regio kiest die beschikbaarheidszones ondersteunt, worden de Microsoft Entra Domain Services-resources verdeeld over zones voor extra redundantie.
Notitie
U hoeft Microsoft Entra Domain Services niet te configureren voor distributie tussen zones. Het Azure-platform beheert automatisch de zonedistributie van resources.
U moet ook een VNet selecteren waarmee u deze service verbindt. Omdat Microsoft Entra Domain Services functionaliteit biedt voor on-premises resources, moet u een VNet hebben tussen uw lokale en Azure-omgevingen.
Tijdens het inrichten maakt Microsoft Entra Domain Services twee bedrijfstoepassingen in uw Microsoft Entra-tenant. Deze toepassingen zijn nodig om uw beheerde domein te onderhouden en daarom moet u deze toepassingen niet verwijderen. De bedrijfstoepassingen zijn:
- Domeincontrollerservices.
- AzureActiveDirectoryDomainControllerServices.
Nadat u het Microsoft Entra Domain Services-exemplaar hebt geïmplementeerd, moet u het VNet configureren om andere verbonden VM's en toepassingen in te schakelen voor het gebruik van het beheerde domein. Als u deze connectiviteit wilt bieden, moet u de DNS-serverinstellingen voor uw VNet bijwerken om te verwijzen naar de IP-adressen die zijn gekoppeld aan uw Microsoft Entra Domain Services-exemplaar.
Voor het verifiëren van gebruikers in het beheerde domein heeft Microsoft Entra Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NTLM- en Kerberos-verificatie. Microsoft Entra ID genereert of slaat wachtwoordhashes niet op in de indeling die is vereist voor NTLM- of Kerberos-verificatie totdat u Microsoft Entra Domain Services inschakelt voor uw tenant. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers. Nadat de bruikbare wachtwoordhashes zijn geconfigureerd, worden ze opgeslagen in het door Microsoft Entra Domain Services beheerde domein.
Notitie
Als u het door Microsoft Entra Domain Services beheerde domein verwijdert, worden alle wachtwoordhashes die op dat moment zijn opgeslagen, ook verwijderd.
Gesynchroniseerde referentiegegevens in Microsoft Entra-id kunnen niet opnieuw worden gebruikt als u later een door Microsoft Entra Domain Services beheerd domein maakt. U moet de wachtwoord-hashsynchronisatie opnieuw configureren om de wachtwoordhashes opnieuw op te slaan. Eerder aan een domein gekoppelde VM's of gebruikers kunnen niet onmiddellijk worden geverifieerd. Microsoft Entra-id moet de wachtwoordhashes genereren en opslaan in het nieuwe beheerde domein van Microsoft Entra Domain Services.
De stappen voor het genereren en opslaan van deze wachtwoordhashes verschillen voor cloudgebruikersaccounts die zijn gemaakt in Microsoft Entra ID versus gebruikersaccounts die vanuit uw on-premises adreslijst worden gesynchroniseerd met Behulp van Microsoft Entra Connect. Een cloudgebruikersaccount is een account dat is gemaakt in uw Microsoft Entra-directory met behulp van Azure Portal of Microsoft Graph PowerShell-cmdlets . Deze gebruikersaccounts zijn niet gesynchroniseerd vanuit een on-premises map.
Voor gebruikersaccounts in de cloud moeten gebruikers hun wachtwoorden wijzigen voordat ze Microsoft Entra Domain Services kunnen gebruiken. Dit wachtwoordwijzigingsproces zorgt ervoor dat de wachtwoordhashes voor Kerberos-verificatie en NTLM-verificatie worden gegenereerd en opgeslagen in Microsoft Entra-id. Het account wordt pas gesynchroniseerd vanuit Microsoft Entra ID naar Microsoft Entra Domain Services nadat het wachtwoord is gewijzigd. Verlopen de wachtwoorden voor alle cloudgebruikers in de tenant die Microsoft Entra Domain Services moeten gebruiken, waardoor een wachtwoordwijziging wordt afdwingen bij de volgende aanmelding, of cloudgebruikers de opdracht geven om hun wachtwoorden handmatig te wijzigen.
Tip
Voordat een gebruiker het wachtwoord opnieuw kan instellen, moet u de Microsoft Entra-tenant configureren voor selfservice voor wachtwoordherstel.
Meer artikelen
Raadpleeg de volgende documenten voor meer informatie.
- Zelfstudie: Een door Microsoft Entra Domain Services beheerd domein maken en configureren met geavanceerde configuratieopties.
- Zelfstudie: Een uitgaande forestvertrouwensrelatie maken naar een on-premises domein in Microsoft Entra Domain Services (preview)
- Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync.