Samouczek: dołączanie maszyny wirtualnej z systemem Windows Server do domeny zarządzanej usług Microsoft Entra Domain Services
Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Dzięki domenie zarządzanej usług Domain Services można udostępniać funkcje przyłączania do domeny i zarządzanie maszynami wirtualnymi na platformie Azure. W tym samouczku pokazano, jak utworzyć maszynę wirtualną z systemem Windows Server, a następnie dołączyć ją do domeny zarządzanej.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Tworzenie maszyny wirtualnej z systemem Windows Server
- Łączenie maszyny wirtualnej z systemem Windows Server z siecią wirtualną platformy Azure
- Przyłącz maszynę wirtualną do domeny zarządzanej
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.
Wymagania wstępne
Do ukończenia tego samouczka potrzebne są następujące zasoby:
- Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
- Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
- W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
- Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
- W razie potrzeby utwórz i skonfiguruj domenę zarządzaną usług Microsoft Entra Domain Services.
- Konto użytkownika będące częścią domeny zarządzanej.
- Upewnij się, że synchronizacja skrótów haseł programu Microsoft Entra Connect lub samoobsługowe resetowanie haseł została wykonana, aby konto mogło zalogować się do domeny zarządzanej.
- Host usługi Azure Bastion wdrożony w sieci wirtualnej usług Domain Services.
- W razie potrzeby utwórz hosta usługi Azure Bastion.
Jeśli masz już maszynę wirtualną, którą chcesz przyłączyć do domeny, przejdź do sekcji , aby dołączyć maszynę wirtualną do domeny zarządzanej.
Zaloguj się do centrum administracyjnego usługi Microsoft Entra
W tym samouczku utworzysz maszynę wirtualną z systemem Windows Server, aby dołączyć do domeny zarządzanej przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.
Tworzenie maszyny wirtualnej z systemem Windows Server
Aby zobaczyć, jak dołączyć komputer do domeny zarządzanej, utwórzmy maszynę wirtualną z systemem Windows Server. Ta maszyna wirtualna jest połączona z siecią wirtualną platformy Azure, która zapewnia łączność z domeną zarządzaną. Proces dołączania do domeny zarządzanej jest taki sam jak dołączenie do regularnej domeny lokalna usługa Active Directory Domain Services.
Jeśli masz już maszynę wirtualną, którą chcesz przyłączyć do domeny, przejdź do sekcji , aby dołączyć maszynę wirtualną do domeny zarządzanej.
W menu centrum administracyjnym firmy Microsoft Entra lub na stronie głównej wybierz pozycję Utwórz zasób.
Poniżej pozycji Maszyna wirtualna kliknij pozycję Utwórz.
W oknie Podstawowe skonfiguruj te ustawienia dla maszyny wirtualnej. Użyj wartości domyślnych dla innych opcji.
Parametr Sugerowana wartość Grupa zasobów Wybierz lub utwórz grupę zasobów, taką jak myResourceGroup Virtual machine name Wprowadź nazwę maszyny wirtualnej, na przykład myVM Region (Region) Wybierz region, w którym chcesz utworzyć maszynę wirtualną, na przykład Wschodnie stany USA Obraz Wybieranie wersji systemu Windows Server Username Wprowadź nazwę użytkownika konta administratora lokalnego do utworzenia na maszynie wirtualnej, na przykład azureuser Hasło Wprowadź, a następnie potwierdź bezpieczne hasło administratora lokalnego do utworzenia na maszynie wirtualnej. Nie należy określać poświadczeń konta użytkownika domeny. System Windows LAPS nie jest obsługiwany. Domyślnie maszyny wirtualne utworzone na platformie Azure są dostępne z Internetu przy użyciu protokołu RDP. Po włączeniu protokołu RDP prawdopodobnie wystąpią automatyczne ataki związane z logowaniem, co może spowodować wyłączenie kont o typowych nazwach, takich jak administrator lub administrator z powodu wielu nieudanych kolejnych prób logowania.
Protokół RDP powinien być włączony tylko w razie potrzeby i ograniczony do zestawu autoryzowanych zakresów adresów IP. Ta konfiguracja pomaga zwiększyć bezpieczeństwo maszyny wirtualnej i zmniejszyć obszar potencjalnego ataku. Możesz też utworzyć hosta usługi Azure Bastion i użyć go, który zezwala na dostęp tylko za pośrednictwem centrum administracyjnego firmy Microsoft za pośrednictwem protokołu TLS. W następnym kroku tego samouczka użyjesz hosta usługi Azure Bastion, aby bezpiecznie nawiązać połączenie z maszyną wirtualną.
W obszarze Publiczne porty wejściowe wybierz pozycję Brak.
Po zakończeniu wybierz pozycję Dalej: Dyski.
Z menu rozwijanego dla typu dysku systemu operacyjnego wybierz pozycję Ssd w warstwie Standardowa, a następnie wybierz pozycję Dalej: Sieć.
Maszyna wirtualna musi nawiązać połączenie z podsiecią sieci wirtualnej platformy Azure, która może komunikować się z podsiecią, w ramach którego jest wdrażana domena zarządzana. Zalecamy wdrożenie domeny zarządzanej we własnej dedykowanej podsieci. Nie wdrażaj maszyny wirtualnej w tej samej podsieci co domena zarządzana.
Istnieją dwa główne sposoby wdrażania maszyny wirtualnej i nawiązywania połączenia z odpowiednią podsiecią sieci wirtualnej:
- Utwórz istniejącą podsieć lub wybierz istniejącą podsieć w tej samej sieci wirtualnej co wdrożona domena zarządzana.
- Wybierz podsieć w sieci wirtualnej platformy Azure, która jest z nią połączona przy użyciu komunikacji równorzędnej sieci wirtualnych platformy Azure.
Jeśli wybierzesz podsieć sieci wirtualnej, która nie jest połączona z podsiecią domeny zarządzanej, nie będzie można dołączyć maszyny wirtualnej do domeny zarządzanej. W tym samouczku utworzymy nową podsieć w sieci wirtualnej platformy Azure.
W okienku Sieć wybierz sieć wirtualną, w której wdrożono domenę zarządzaną, na przykład aaads-vnet
W tym przykładzie istniejąca podsieć aaads-jest wyświetlana, że domena zarządzana jest połączona z. Nie należy łączyć maszyny wirtualnej z tą podsiecią. Aby utworzyć podsieć dla maszyny wirtualnej, wybierz pozycję Zarządzaj konfiguracją podsieci.
W menu po lewej stronie okna sieci wirtualnej wybierz pozycję Przestrzeń adresowa. Sieć wirtualna jest tworzona z jedną przestrzenią adresową 10.0.2.0/24, która jest używana przez domyślną podsieć. Inne podsieci, takie jak obciążenia lub usługa Azure Bastion, również mogą już istnieć.
Dodaj dodatkowy zakres adresów IP do sieci wirtualnej. Rozmiar tego zakresu adresów i rzeczywisty zakres adresów IP do użycia zależy od innych już wdrożonych zasobów sieciowych. Zakres adresów IP nie powinien pokrywać się z żadnymi istniejącymi zakresami adresów na platformie Azure ani w środowisku lokalnym. Upewnij się, że rozmiar zakresu adresów IP jest wystarczająco duży dla liczby maszyn wirtualnych, które mają zostać wdrożone w podsieci.
W poniższym przykładzie zostanie dodany dodatkowy zakres adresów IP 10.0.5.0/24 . Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Następnie w menu po lewej stronie okna sieci wirtualnej wybierz pozycję Podsieci, a następnie wybierz pozycję + Podsieć, aby dodać podsieć.
Wybierz pozycję + Podsieć, a następnie wprowadź nazwę podsieci, taką jak zarządzanie. Podaj zakres adresów (blok CIDR), taki jak 10.0.5.0/24. Upewnij się, że ten zakres adresów IP nie nakłada się na żadną inną istniejącą platformę Azure ani zakresy adresów lokalnych. Pozostaw inne opcje jako wartości domyślne, a następnie wybierz przycisk OK.
Utworzenie podsieci trwa kilka sekund. Po utworzeniu wybierz znak X , aby zamknąć okno podsieci.
Wróć do okienka Sieć , aby utworzyć maszynę wirtualną, wybierz podsieć utworzoną z menu rozwijanego, na przykład zarządzanie. Ponownie upewnij się, że wybrano poprawną podsieć i nie wdrażaj maszyny wirtualnej w tej samej podsieci co domena zarządzana.
W obszarze Publiczny adres IP wybierz pozycję Brak z menu rozwijanego. W przypadku używania usługi Azure Bastion w tym samouczku do nawiązywania połączenia z zarządzaniem nie potrzebujesz publicznego adresu IP przypisanego do maszyny wirtualnej.
Pozostaw inne opcje jako wartości domyślne, a następnie wybierz pozycję Zarządzanie.
Ustaw opcję Diagnostyka rozruchu na Wyłączone. Pozostaw inne opcje jako wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
Przejrzyj ustawienia maszyny wirtualnej, a następnie wybierz pozycję Utwórz.
Utworzenie maszyny wirtualnej trwa kilka minut. Centrum administracyjne firmy Microsoft Entra pokazuje stan wdrożenia. Gdy maszyna wirtualna będzie gotowa, wybierz pozycję Przejdź do zasobu.
Nawiązywanie połączenia z maszyną wirtualną z systemem Windows Server
Aby bezpiecznie nawiązać połączenie z maszynami wirtualnymi, użyj hosta usługi Azure Bastion. W usłudze Azure Bastion zarządzany host jest wdrażany w sieci wirtualnej i zapewnia internetowe połączenia RDP lub SSH z maszynami wirtualnymi. Dla maszyn wirtualnych nie są wymagane żadne publiczne adresy IP i nie trzeba otwierać reguł sieciowej grupy zabezpieczeń dla ruchu zdalnego zewnętrznego. Nawiąż połączenie z maszynami wirtualnymi przy użyciu centrum administracyjnego firmy Microsoft Entra w przeglądarce internetowej. W razie potrzeby utwórz hosta usługi Azure Bastion.
Aby nawiązać połączenie z maszyną wirtualną przy użyciu hosta usługi Bastion, wykonaj następujące kroki:
W okienku Przegląd maszyny wirtualnej wybierz pozycję Połącz, a następnie pozycję Bastion.
Wprowadź poświadczenia maszyny wirtualnej określonej w poprzedniej sekcji, a następnie wybierz pozycję Połącz.
W razie potrzeby zezwól przeglądarce internetowej na otwieranie wyskakujących okienek dla połączenia usługi Bastion. Nawiązanie połączenia z maszyną wirtualną zajmuje kilka sekund.
Przyłącz maszynę wirtualną do domeny zarządzanej
Po utworzeniu maszyny wirtualnej i nawiązaniu internetowego połączenia RDP przy użyciu usługi Azure Bastion dołączmy teraz maszynę wirtualną z systemem Windows Server do domeny zarządzanej. Ten proces jest taki sam jak komputer łączący się z zwykłą lokalna usługa Active Directory domeną usług Domain Services.
Jeśli Menedżer serwera nie jest domyślnie otwierana podczas logowania się do maszyny wirtualnej, wybierz menu Start, a następnie wybierz pozycję Menedżer serwera.
W lewym okienku okna Menedżer serwera wybierz pozycję Serwer lokalny. W obszarze Właściwości w okienku po prawej stronie wybierz pozycję Grupa robocza.
W oknie Właściwości systemu wybierz pozycję Zmień, aby dołączyć do domeny zarządzanej.
W polu Domena określ nazwę domeny zarządzanej, taką jak aaddscontoso.com, a następnie wybierz przycisk OK.
Wprowadź poświadczenia domeny, aby dołączyć do domeny. Podaj poświadczenia dla użytkownika będącego częścią domeny zarządzanej. Konto musi być częścią domeny zarządzanej lub dzierżawy firmy Microsoft Entra — konta z katalogów zewnętrznych skojarzonych z dzierżawą firmy Microsoft Entra nie mogą poprawnie uwierzytelniać się podczas procesu przyłączania do domeny.
Poświadczenia konta można określić na jeden z następujących sposobów:
- Format nazwy UPN (zalecane) — wprowadź sufiks głównej nazwy użytkownika (UPN) dla konta użytkownika zgodnie z konfiguracją w polu Microsoft Entra ID. Na przykład sufiks nazwy UPN użytkownika contosoadmin to
contosoadmin@aaddscontoso.onmicrosoft.com
. Istnieje kilka typowych przypadków użycia, w których można niezawodnie używać formatu NAZWY UPN do logowania się do domeny, a nie formatu SAMAccountName :- Jeśli prefiks nazwy UPN użytkownika jest długi, taki jak deehasareallylongname, nazwa SAMAccountName może zostać wygenerowana automatycznie.
- Jeśli wielu użytkowników ma ten sam prefiks nazwy UPN w dzierżawie firmy Microsoft Entra, na przykład dee, ich format SAMAccountName może zostać wygenerowany automatycznie.
- Format SAMAccountName — wprowadź nazwę konta w formacie SAMAccountName . Na przykład nazwa SAMAccountName użytkownika contosoadmin to
AADDSCONTOSO\contosoadmin
.
- Format nazwy UPN (zalecane) — wprowadź sufiks głównej nazwy użytkownika (UPN) dla konta użytkownika zgodnie z konfiguracją w polu Microsoft Entra ID. Na przykład sufiks nazwy UPN użytkownika contosoadmin to
Dołączenie do domeny zarządzanej trwa kilka sekund. Po zakończeniu następujący komunikat z zadowoleniem przyjmuje domenę:
Naciśnij OK, aby kontynuować.
Aby ukończyć proces dołączania do domeny zarządzanej, uruchom ponownie maszynę wirtualną.
Napiwek
Maszynę wirtualną można przyłączyć do domeny przy użyciu programu PowerShell za pomocą polecenia cmdlet Add-Computer . Poniższy przykład dołącza do domeny AADDSCONTOSO , a następnie ponownie uruchamia maszynę wirtualną. Po wyświetleniu monitu wprowadź poświadczenia użytkownika będącego częścią domeny zarządzanej:
Add-Computer -DomainName AADDSCONTOSO -Restart
Aby przyłączyć maszynę wirtualną do domeny bez łączenia się z nią i ręcznie skonfigurować połączenie, możesz użyć polecenia cmdlet Set-AzVmAdDomainExtension programu Azure PowerShell.
Po ponownym uruchomieniu maszyny wirtualnej z systemem Windows Server wszystkie zasady zastosowane w domenie zarządzanej są wypychane do maszyny wirtualnej. Teraz możesz również zalogować się do maszyny wirtualnej z systemem Windows Server przy użyciu odpowiednich poświadczeń domeny.
Czyszczenie zasobów
W następnym samouczku użyjesz tej maszyny wirtualnej z systemem Windows Server do zainstalowania narzędzi do zarządzania, które umożliwiają administrowanie domeną zarządzaną. Jeśli nie chcesz kontynuować pracy z tej serii samouczków, zapoznaj się z poniższymi krokami czyszczenia, aby usunąć maszynę wirtualną. W przeciwnym razie przejdź do następnego samouczka.
Odłącz maszynę wirtualną od domeny zarządzanej
Aby usunąć maszynę wirtualną z domeny zarządzanej, wykonaj ponownie kroki, aby dołączyć maszynę wirtualną do domeny. Zamiast dołączać do domeny zarządzanej, wybierz opcję dołączenia do grupy roboczej, takiej jak domyślna grupa ROBOCZA. Po ponownym uruchomieniu maszyny wirtualnej obiekt komputera zostanie usunięty z domeny zarządzanej.
Jeśli usuniesz maszynę wirtualną bez odłączenia się od domeny, w usługach domenowych pozostanie oddzielony obiekt komputera.
Usuwanie maszyny wirtualnej
Jeśli nie używasz tej maszyny wirtualnej z systemem Windows Server, usuń maszynę wirtualną, wykonując następujące kroki:
- W menu po lewej stronie wybierz pozycję Grupy zasobów
- Wybierz grupę zasobów, taką jak myResourceGroup.
- Wybierz maszynę wirtualną, taką jak myVM, a następnie wybierz pozycję Usuń. Wybierz pozycję Tak , aby potwierdzić usunięcie zasobu. Usunięcie maszyny wirtualnej może potrwać kilka minut.
- Po usunięciu maszyny wirtualnej wybierz dysk systemu operacyjnego, kartę interfejsu sieciowego i wszystkie inne zasoby z prefiksem myVM i usuń je.
Rozwiązywanie problemów z przyłączaniami do domeny
Maszyna wirtualna z systemem Windows Server powinna pomyślnie dołączyć do domeny zarządzanej, tak samo jak zwykły komputer lokalny, przyłączyłby się do domeny usług domena usługi Active Directory. Jeśli maszyna wirtualna z systemem Windows Server nie może dołączyć do domeny zarządzanej, oznacza to, że występuje problem związany z łącznością lub poświadczeniami. Przejrzyj następujące sekcje rozwiązywania problemów, aby pomyślnie dołączyć domenę zarządzaną.
Problemy z połączeniem
Jeśli nie zostanie wyświetlony monit z prośbą o dołączenie poświadczeń do domeny, wystąpi problem z łącznością. Maszyna wirtualna nie może nawiązać połączenia z domeną zarządzaną w sieci wirtualnej.
Po wypróbowaniu każdego z tych kroków rozwiązywania problemów spróbuj ponownie dołączyć maszynę wirtualną z systemem Windows Server do domeny zarządzanej.
- Sprawdź, czy maszyna wirtualna jest połączona z tą samą siecią wirtualną, w którą włączono usługi Domain Services, lub ma równorzędne połączenie sieciowe.
- Spróbuj wysłać polecenie ping do nazwy domeny DNS domeny zarządzanej, takiej jak
ping aaddscontoso.com
.- Jeśli żądanie ping nie powiedzie się, spróbuj wysłać polecenie ping do adresów IP domeny zarządzanej, na przykład
ping 10.0.0.4
. Adres IP środowiska jest wyświetlany na stronie Właściwości po wybraniu domeny zarządzanej z listy zasobów platformy Azure. - Jeśli możesz wysłać polecenie ping do adresu IP, ale nie domeny, usługa DNS może być niepoprawnie skonfigurowana. Upewnij się, że adresy IP domeny zarządzanej są skonfigurowane jako serwery DNS dla sieci wirtualnej.
- Jeśli żądanie ping nie powiedzie się, spróbuj wysłać polecenie ping do adresów IP domeny zarządzanej, na przykład
- Spróbuj opróżnić pamięć podręczną programu rozpoznawania nazw DNS na maszynie wirtualnej przy użyciu
ipconfig /flushdns
polecenia .
Problemy związane z poświadczeniami
Jeśli zostanie wyświetlony monit z prośbą o dołączenie poświadczeń do domeny, ale po wprowadzeniu tych poświadczeń zostanie wyświetlony błąd, maszyna wirtualna może nawiązać połączenie z domeną zarządzaną. Podane poświadczenia nie pozwalają następnie maszynie wirtualnej dołączyć do domeny zarządzanej.
Po wypróbowaniu każdego z tych kroków rozwiązywania problemów spróbuj ponownie dołączyć maszynę wirtualną z systemem Windows Server do domeny zarządzanej.
- Upewnij się, że określone konto użytkownika należy do domeny zarządzanej.
- Upewnij się, że konto jest częścią domeny zarządzanej lub dzierżawy firmy Microsoft Entra. Konta z katalogów zewnętrznych skojarzonych z dzierżawą firmy Microsoft Entra nie mogą poprawnie uwierzytelniać się podczas procesu przyłączania do domeny.
- Spróbuj użyć formatu nazwy UPN, aby określić poświadczenia, takie jak
contosoadmin@aaddscontoso.onmicrosoft.com
. Jeśli w dzierżawie istnieje wielu użytkowników z tym samym prefiksem nazwy UPN lub jeśli prefiks nazwy UPN jest nadmiernie długi, nazwa SAMAccountName dla twojego konta może zostać wygenerowana automatycznie. W takich przypadkach format SAMAccountName dla twojego konta może być inny niż oczekiwany lub używany w domenie lokalnej. - Sprawdź, czy włączono synchronizację haseł w domenie zarządzanej. Bez tego kroku konfiguracji wymagane skróty haseł nie będą obecne w domenie zarządzanej w celu poprawnego uwierzytelnienia próby logowania.
- Poczekaj na ukończenie synchronizacji haseł. Po zmianie hasła konta użytkownika automatyczna synchronizacja w tle z identyfikatora Entra firmy Microsoft aktualizuje hasło w usługach Domain Services. Udostępnienie hasła do użycia przy przyłączeniu do domeny zajmuje trochę czasu.
Następne kroki
W tym samouczku zawarto informacje na temat wykonywania następujących czynności:
- Tworzenie maszyny wirtualnej z systemem Windows Server
- Nawiązywanie połączenia z maszyną wirtualną z systemem Windows Server z siecią wirtualną platformy Azure
- Przyłącz maszynę wirtualną do domeny zarządzanej
Aby administrować domeną zarządzaną, skonfiguruj maszynę wirtualną zarządzania przy użyciu Centrum administracyjnego usługi Active Directory (ADAC).