Samouczek: tworzenie i konfigurowanie domeny zarządzanej usług Microsoft Entra Domain Services
Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Te usługi domenowe są używane bez samodzielnego wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek. Domain Services integruje się z istniejącym dzierżawcą Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się przy użyciu poświadczeń firmowych, a także zabezpieczanie dostępu do zasobów przy użyciu istniejących grup i kont użytkowników.
Domenę zarządzaną można utworzyć przy użyciu domyślnych opcji konfiguracji sieci i synchronizacji lub ręcznie zdefiniować te ustawienia. W tym samouczku pokazano, jak używać opcji domyślnych do tworzenia i konfigurowania domeny zarządzanej usług Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra.
Z tego samouczka dowiesz się, jak wykonywać następujące działania:
- Informacje o wymaganiach DNS dotyczących domeny zarządzanej
- Tworzenie domeny zarządzanej
- Włącz synchronizację skrótów haseł
Jeśli nie masz subskrypcji platformy Azure, utwórz konto przed rozpoczęciem.
Warunki wstępne
Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:
- Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
- Tenant Microsoft Entra skojarzony z twoją subskrypcją, zsynchronizowany z lokalnym katalogiem lub katalogiem wyłącznie w chmurze.
- W razie potrzeby utwórz dzierżawę usługi Microsoft Entra lub skojarz subskrypcję platformy Azure z kontem.
- Aby włączyć usługę Domain Services, potrzebujesz ról Microsoft Entra: Administrator aplikacji oraz Administrator grup w swojej dzierżawie.
- Aby utworzyć wymagane zasoby usług katalogowych, potrzebujesz roli współautora usług katalogowych na platformie Azure.
- Sieć wirtualna z serwerami DNS, które mogą wykonywać zapytania dotyczące niezbędnej infrastruktury, takiej jak magazyn. Serwery DNS, które nie mogą wykonywać ogólnych zapytań internetowych, mogą blokować możliwość tworzenia domeny zarządzanej.
Mimo że nie jest to wymagane w przypadku usług Domain Services, zaleca się skonfigurowanie samoobsługowego resetowania hasła (SSPR) dla dzierżawy Microsoft Entra. Użytkownicy mogą zmieniać swoje hasło bez SSPR, ale SSPR pomaga, jeśli zapomną hasło i muszą je zresetować.
Ważny
Nie można przenieść domeny zarządzanej do innej subskrypcji, grupy zasobów lub regionu po jej utworzeniu. Podczas wdrażania domeny zarządzanej należy wybrać najbardziej odpowiednią subskrypcję, grupę zasobów i region.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra
W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego Microsoft Entra.
Tworzenie domeny zarządzanej
Aby uruchomić kreatora Włącz usługi Microsoft Entra Domain Services, wykonaj następujące kroki:
W menu centrum administracyjnego firmy Microsoft Entra lub na stronie Home wyszukaj Domain Services, a następnie wybierz pozycję Microsoft Entra Domain Services.
Na stronie Microsoft Entra Domain Services wybierz pozycję Skonfiguruj usługi Microsoft Entra Domain Services.
Wybierz subskrypcję usługi Azure, w której chcesz utworzyć domenę zarządzaną.
Wybierz grupa zasobów, do której powinna należeć domena zarządzana. Wybierz opcję Utwórz nową lub wybierz istniejącą grupę zasobów.
Podczas tworzenia domeny zarządzanej należy określić nazwę DNS. Podczas wybierania tej nazwy DNS należy wziąć pod uwagę pewne zagadnienia:
- wbudowana nazwa domeny: Domyślnie jest używana wbudowana nazwa domeny katalogu (sufiks .onmicrosoft.com). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie możesz utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com, więc urząd certyfikacji nie wystawi certyfikatu.
- Niestandardowe nazwy domen: Najbardziej typowym podejściem jest określenie niestandardowej nazwy domeny, zazwyczaj takiej, której już jesteś właścicielem i która jest możliwa do trasowania. Kiedy używasz routowalnej, niestandardowej domeny, ruch może prawidłowo przepływać zgodnie z potrzebami, aby wspierać twoje aplikacje.
- sufiksy domeny bez routingu: Zazwyczaj zaleca się unikanie sufiksu nazwy domeny bez routingu, takiego jak contoso.local. Sufiks .local nie jest routowalny i może powodować problemy z rozpoznawaniem nazw DNS.
Wskazówka
Jeśli tworzysz niestandardową nazwę domeny, zadbaj o istniejące przestrzenie nazw DNS. Chociaż jest to obsługiwane, możesz chcieć użyć nazwy domeny, odrębnej od jakiejkolwiek istniejącej przestrzeni nazw DNS w Azure lub lokalnych.
Jeśli na przykład masz istniejącą przestrzeń nazw DNS contoso.com, utwórz domenę zarządzaną przy użyciu niestandardowej nazwy domeny dscontoso.com. Jeśli musisz użyć protokołu Secure LDAP, musisz zarejestrować i posiadać tę niestandardową nazwę domeny, aby wygenerować wymagane certyfikaty.
Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku albo warunkowych przekierowań DNS między istniejącymi przestrzeniami nazw DNS w środowisku. Jeśli na przykład uruchamiasz serwer internetowy hostujący witrynę przy użyciu głównej nazwy DNS, mogą występować konflikty nazewnictwa, które wymagają dodatkowych wpisów DNS.
W tych samouczkach i artykułach z instrukcjami domena niestandardowa dscontoso.com jest używana jako krótki przykład. We wszystkich poleceniach określ własną nazwę domeny.
Obowiązują również następujące ograniczenia nazw DNS:
- ograniczenia prefiksu domeny: Nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków. Prefiks określonej nazwy domeny (na przykład dscontoso w nazwie domeny dscontoso.com) musi zawierać 15 lub mniej znaków.
-
Konflikty nazw sieci: Nazwa domeny DNS dla domeny zarządzanej nie powinna jeszcze istnieć w sieci wirtualnej. W szczególności sprawdź następujące scenariusze, które mogłyby prowadzić do konfliktu nazw:
- Jeśli masz już domenę usługi Active Directory o tej samej nazwie domeny DNS w sieci wirtualnej platformy Azure.
- Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną. W tym scenariuszu upewnij się, że nie masz domeny o tej samej nazwie domeny DNS w sieci lokalnej.
- Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.
Wypełnij pola w oknie Basics w centrum administracyjnym firmy Microsoft Entra, aby utworzyć domenę zarządzaną:
Wprowadź nazwę domeny DNS dla domeny zarządzanej, uwzględniając poprzednie kwestie.
Wybierz region usługi Azure, w którym ma zostać utworzona domena zarządzana. Jeśli wybierzesz region obsługujący strefy dostępności platformy Azure, zasoby usług domenowych są dystrybuowane między strefami w celu zapewnienia dodatkowej nadmiarowości.
Napiwek
Strefy dostępności to unikatowe lokalizacje fizyczne w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. Aby zapewnić odporność, w wszystkich regionach z włączoną obsługą istnieje co najmniej trzy oddzielne strefy.
Nie ma nic do skonfigurowania, aby usługi Domain Services były dystrybuowane między strefami. Platforma Azure automatycznie obsługuje dystrybucję stref zasobów. Aby uzyskać więcej informacji i zobaczyć dostępność regionów, zobacz Co to są strefy dostępności na platformie Azure?.
Jednostka SKU określa wydajność i częstotliwość tworzenia kopii zapasowych. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli wymagania lub wymagania biznesowe ulegają zmianie. Aby uzyskać więcej informacji, zapoznaj się z pojęciami dotyczącymi SKU usług Domenowych .
W tym samouczku wybierz SKU Standard. Okno podstawowe powinno wyglądać następująco jak na tym zrzucie ekranu:
Aby szybko utworzyć domenę zarządzaną, możesz wybrać pozycję Przejrzyj i utwórz, aby zaakceptować dodatkowe domyślne opcje konfiguracji. Podczas wybierania tej opcji tworzenia są konfigurowane następujące wartości domyślne:
- Tworzy sieć wirtualną o nazwie ds-vnet domyślnie, która używa zakresu adresów IP 10.0.1.0/24.
- Tworzy podsieć o nazwie ds-subnet przy użyciu zakresu adresów IP 10.0.1.0/24.
- Synchronizuje wszystkich użytkowników z identyfikatora Entra firmy Microsoft z domeną zarządzaną.
Notatka
Nie należy używać publicznych adresów IP dla sieci wirtualnych i ich podsieci z powodu następujących problemów:
niedobór adresu IP: publiczne adresy IP IPv4 są ograniczone, a ich zapotrzebowanie często przekracza dostępną podaż. Ponadto istnieją potencjalnie nakładające się adresy IP z publicznymi punktami końcowymi.
Zagrożenia bezpieczeństwa: użycie publicznych adresów IP dla sieci wirtualnych uwidacznia urządzenia bezpośrednio w Internecie, zwiększając ryzyko nieautoryzowanego dostępu i potencjalnych ataków. Bez odpowiednich środków bezpieczeństwa urządzenia mogą stać się narażone na różne zagrożenia.
złożoność: Zarządzanie siecią wirtualną przy użyciu publicznych adresów IP może być bardziej złożone niż używanie prywatnych adresów IP, ponieważ wymaga obsługi zewnętrznych zakresów adresów IP i zapewnienia prawidłowego segmentacji sieci i zabezpieczeń.
Zdecydowanie zaleca się używanie prywatnych adresów IP. Jeśli używasz publicznego adresu IP, upewnij się, że jesteś właścicielem/dedykowanym użytkownikiem wybranych adresów IP w wybranym zakresie publicznym.
Wybierz pozycję Przejrzyj i utwórz, aby zaakceptować te domyślne opcje konfiguracji.
Wdrażanie domeny zarządzanej
Na stronie Podsumowanie kreatora przejrzyj ustawienia domeny zarządzanej. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany. Aby ponownie wdrożyć domenę zarządzaną w innej dzierżawie Microsoft Entra w spójny sposób przy użyciu tych opcji konfiguracji, możesz również pobrać szablon do automatyzacji.
Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz. Zostanie wyświetlona uwaga, że po utworzeniu usługi Domain Services zarządzanej nie można zmienić niektórych opcji konfiguracji, takich jak nazwa DNS lub sieć wirtualna. Aby kontynuować, wybierz pozycję OK.
Proces aprowizacji domeny zarządzanej może potrwać do godziny. W portalu zostanie wyświetlone powiadomienie z postępem wdrażania usług Domenowych.
Gdy domena zarządzana jest w pełni skonfigurowana, karta Przegląd wyświetla stan domeny jako Uruchomiona. Rozwiń szczegóły wdrożenia, aby uzyskać linki do zasobów, takich jak sieć wirtualna i grupa zasobów sieciowych.
Ważny
Domena zarządzana jest skojarzona z katalogiem Microsoft Entra. Podczas procesu aprowizacji usługa Domain Services tworzy dwie aplikacje korporacyjne o nazwie Domain Controller Services i AzureActiveDirectoryDomainControllerServices w katalogu Microsoft Entra. Te aplikacje dla przedsiębiorstw są potrzebne do obsługi domeny zarządzanej. Nie usuwaj tych aplikacji.
Aktualizowanie ustawień DNS dla sieci wirtualnej platformy Azure
Po pomyślnym wdrożeniu usług Domain Services skonfiguruj teraz sieć wirtualną, aby zezwolić innym połączonym maszynom wirtualnym i aplikacjom na korzystanie z domeny zarządzanej. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały dwa adresy IP, w których wdrożono domenę zarządzaną.
Karta Przegląd dla domeny zarządzanej zawiera niektóre kroki konfiguracji Wymagane. Pierwszym krokiem konfiguracji jest zaktualizowanie ustawień serwera DNS dla sieci wirtualnej. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już wyświetlany.
Wymienione adresy to kontrolery domeny do użycia w sieci wirtualnej. W tym przykładzie te adresy są 10.0.1.4 i 10.0.1.5. Te adresy IP można później znaleźć na karcie Właściwości .
Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj. Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.
Napiwek
Jeśli w poprzednich krokach wybrano istniejącą sieć wirtualną, wszystkie maszyny wirtualne połączone z siecią otrzymają tylko nowe ustawienia DNS po ponownym uruchomieniu. Maszyny wirtualne można ponownie uruchomić przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu wiersza polecenia platformy Azure.
Włączanie kont użytkowników dla usług Domain Services
Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Domain Services wymagają skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Microsoft Entra ID nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos, dopóki nie włączysz Usług domenowych dla swojej dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.
Notatka
Po odpowiednim skonfigurowaniu skróty haseł do użycia są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.
Zsynchronizowane informacje o poświadczeniach w identyfikatorze Entra firmy Microsoft nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną — należy ponownie skonfigurować synchronizację skrótów haseł w celu ponownego przechowywania skrótów haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać się — identyfikator Entra firmy Microsoft musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej.
synchronizacja z chmurą programu Microsoft Entra Connect nie jest obsługiwana w usługach Domain Services. Użytkownicy lokalni muszą być synchronizowani przy użyciu programu Microsoft Entra Connect w celu uzyskania dostępu do maszyn wirtualnych przyłączonych do domeny. Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług Domain Services i Microsoft Entra Connect.
Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w usłudze Microsoft Entra ID w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu programu Microsoft Entra Connect.
Konto użytkownika tylko w chmurze to konto utworzone w katalogu Microsoft Entra przy użyciu centrum administracyjnego firmy Microsoft lub programu PowerShell. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.
W tym samouczku pracujmy z podstawowym kontem użytkownika działającym tylko w chmurze. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do korzystania z programu Microsoft Entra Connect, zobacz Synchronizowanie skrótów haseł dla kont użytkowników synchronizowanych z lokalnej usługi AD z domeną zarządzaną.
Napiwek
Jeśli katalog Microsoft Entra ma kombinację użytkowników tylko chmurowych i zsynchronizowanych, należy wykonać oba zestawy kroków.
W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmieniać swoje hasła, zanim będą mogli korzystać z usług Domain Services. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Microsoft Entra ID. Konto nie jest synchronizowane z usługi Microsoft Entra ID do usług Domain Services, dopóki hasło nie zostanie zmienione. Hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą korzystać z usług domenowych, powinny wygasnąć, co wymusi zmianę hasła przy kolejnej próbie logowania, albo poinstruuj użytkowników chmury, aby samodzielnie zmienili swoje hasła. W ramach tego samouczka ręcznie zmienimy hasło użytkownika.
Aby użytkownik mógł zresetować swoje hasło, dzierżawa usługi Microsoft Entra musi być skonfigurowana na potrzeby samoobsługowego resetowania hasła.
Aby zmienić hasło użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:
Przejdź do strony Microsoft Entra ID Access Panel pod https://myapps.microsoft.com.
W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.
Na stronie profilu wybierz pozycję Zmień hasło.
Na stronie Zmień hasło wprowadź istniejące (stare) hasło, a następnie wprowadź i potwierdź nowe hasło.
Wybierz pozycję Prześlij.
Aby nowe hasło mogło być używane w usługach domenowych i aby można było pomyślnie zalogować się do komputerów przyłączonych do zarządzanej domeny, potrzeba kilku minut po zmianie hasła.
Następne kroki
W tym samouczku nauczyłeś się, jak:
- Informacje o wymaganiach DNS dotyczących domeny zarządzanej
- Tworzenie domeny zarządzanej
- Dodawanie użytkowników administracyjnych do zarządzania domenami
- Włączanie kont użytkowników dla usług Domain Services i generowanie skrótów haseł
Przed dołączeniem do domeny maszyn wirtualnych i wdrożeniem aplikacji korzystających z domeny zarządzanej należy skonfigurować sieć wirtualną platformy Azure dla obciążeń aplikacji.