Tutorial: Criar uma relação de confiança de floresta bidirecional no Microsoft Entra Domain Services com um domínio local (versão prévia)

É possível criar uma relação de confiança de floresta entre o Microsoft Entra Domain Services e ambientes do AD DS locais. A relação de confiança de floresta permite que usuários, aplicativos e computadores se autentiquem em um domínio local a partir do domínio gerenciado dos Serviços de Domínio ou vice-versa. Um trust de floresta pode ajudar os usuários a acessar recursos em situações como:

• Ambientes em que você não pode sincronizar hashes de senha ou em que os usuários se inscrevem exclusivamente usando cartões inteligentes e não sabem sua senha.
• Cenários híbridos que exigem acesso a domínios locais.

Você pode escolher entre três direções possíveis ao criar uma relação de confiança de floresta, dependendo de como os usuários precisam acessar recursos. Os Serviços de Domínio só dão suporte a relações de confiança de floresta. Não há suporte para uma relação de confiança externa para um domínio filho local.

Direção da relação de confiança	Acesso do usuário
Bidirecional (versão prévia)	Permite que os usuários no domínio gerenciado e no domínio local acessem recursos em ambos os domínios.
Unidirecional de saída	Permite que os usuários no domínio local acessem recursos no domínio gerenciado, mas não vice-versa.
Entrada unidirecional (versão prévia)	Permite que os usuários no domínio gerenciado acessem recursos no domínio local.

Neste tutorial, você aprenderá a:

• Configurar o DNS em um domínio do AD DS local para dar suporte à conectividade dos Serviços de Domínio
• Criar uma relação de confiança de floresta bidirecional entre o domínio gerenciado e o domínio local
• Testar e validar a relação de confiança da floresta para autenticação e acesso a recursos

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado dos Serviços de Domínio configurado com um nome de domínio DNS personalizado e um certificado SSL válido.
  • Se necessário, crie e configure um domínio gerenciado pelo Microsoft Entra Domain Services.
• Um domínio do Active Directory local que pode ser acessado do domínio gerenciado por meio de uma conexão VPN ou ExpressRoute.
• Funções do Microsoft Entra Administrador de Aplicativos e Administrador de Grupos em seu locatário para modificar uma instância do Domain Services.
• Uma conta de Administrador de Domínio no domínio local que tem as permissões para criar e verificar relações de confiança.

Importante

Você precisa usar, no mínimo, o SKU Enterprise para o seu domínio gerenciado. Se necessário, altere o SKU de um domínio gerenciado.

Entrar no Centro de administração do Microsoft Entra

Neste tutorial, você criará e configurará a confiança de floresta de saída dos Serviços de Domínio usando o centro de administração do Microsoft Entra. Primeiro, para começar, entre no centro de administração do Microsoft Entra.

Considerações sobre rede

A rede virtual que hospeda a floresta dos Serviços de Domínio precisa de uma conexão VPN ou ExpressRoute com o Active Directory local. Aplicativos e serviços também precisam de conectividade de rede com a rede virtual que hospeda a floresta dos Serviços de Domínio. A conectividade de rede com a floresta dos Serviços de Domínio deve estar sempre ativa e estável, caso contrário, os usuários poderão não autenticar ou acessar recursos.

Antes de configurar uma relação de confiança de floresta no Domain Services, verifique se a rede entre o Azure e o ambiente local atende aos seguintes requisitos:

• Verifique se as portas de firewall permitem o tráfego necessário para criar e usar uma relação de confiança. Para obter mais informações sobre quais portas precisam ser abertas para usar uma relação de confiança, consulte Definir configurações de firewall para relações de confiança do AD DS.
• Use endereços IP privados. Não confie em DHCP com atribuição de endereço IP dinâmico.
• Evite sobreposição de espaços de endereço IP para permitir a comunicação bem-sucedida entre o emparelhamento e o roteamento de redes virtuais, tanto no Azure quanto na infraestrutura local.
• Uma rede virtual do Azure precisa de uma sub-rede de gateway para configurar uma conexão de VPN S2S (site a site) do Azure ou do ExpressRoute.
• Crie sub-redes com endereços IP suficientes para dar suporte ao seu cenário.
• Verifique se os Serviços de Domínio têm sua própria sub-rede, não compartilhe essa sub-rede de rede virtual com VMs e serviços de aplicativo.
• As redes virtuais emparelhadas NÃO são transitivas.
  • Os emparelhamentos de rede virtual do Azure precisam ser criados entre todas as redes virtuais que você deseja usar a relação de confiança de floresta do Domain Services com o ambiente do AD DS local.
• Forneça conectividade de rede contínua à floresta do Active Directory nas suas instalações. Não use conexões sob demanda.
• Verifique se há uma resolução de nomes DNS contínua entre o nome da floresta do Domain Services e o nome da floresta do Active Directory local.

Configurar o DNS no domínio local

Para resolver corretamente o domínio gerenciado do ambiente local, talvez seja necessário adicionar encaminhadores aos servidores DNS existentes. Para configurar o ambiente local para se comunicar com o domínio gerenciado, conclua as seguintes etapas de uma estação de trabalho de gerenciamento para o domínio do AD DS local:

1. Selecione Iniciar>Ferramentas Administrativas>DNS.

2. Selecione sua zona DNS, como aaddscontoso.com.

3. Selecione Encaminhadores Condicionais, depois selecione com o botão direito do mouse e escolha Novo Encaminhador Condicional...

4. Insira o seu outro Domínio DNS , como contoso.com, e insira os endereços IP dos servidores DNS para esse namespace, conforme mostrado no exemplo a seguir:

   

5. Marque a caixa de Armazene esse encaminhador condicional no Active Directory e replique-o da seguinte maneira, em seguida, selecione a opção para Todos os servidores DNS neste domínio, conforme mostrado no exemplo a seguir:

   

   Importante

   Se o encaminhador condicional estiver armazenado na floresta , em vez do domínio , o encaminhador condicional falhará.

6. Para criar o encaminhador condicional, selecione OK.

Criar a relação de confiança de floresta bidirecional no domínio local

O domínio do AD DS local precisa de uma relação de confiança de floresta bidirecional para o domínio gerenciado. Essa confiança deve ser criada manualmente no domínio do AD DS local; ele não pode ser criado a partir do Centro de administração do Microsoft Entra.

Para configurar uma relação de confiança bidirecional no domínio do AD DS local, conclua as seguintes etapas como administrador de domínio de uma estação de trabalho de gerenciamento para o domínio do AD DS local:

1. Selecione Iniciar>Ferramentas Administrativas>Domínios e Relações de Confiança do Active Directory.
2. Clique com o botão direito do mouse no domínio, por exemplo, onprem.contoso.com, e selecione Propriedades.
3. Escolha a guia Relações de Confiança e Nova Relação de Confiança.
4. Insira o nome de domínio para Serviços de Domínio, como aaddscontoso.com, e selecione Avançar.
5. Selecione a opção para criar uma Relação de confiança de floresta e, em seguida, para criar uma relação de confiança Bidirecional.
6. Escolha criar a relação de confiança para Somente este domínio. Na próxima etapa, você criará a confiança no Centro de administração do Microsoft Entra para o domínio gerenciado.
7. Escolha usar a Autenticação em toda a floresta; em seguida, insira a senha da relação de confiança e confirme-a. Essa mesma senha também é inserida no Centro de administração do Microsoft Entra na próxima seção.
8. Percorra as próximas janelas com as opções padrão e, em seguida, escolha a opção Não, não confirme a relação de confiança de saída.
9. Selecione Concluir.

Se a relação de confiança de floresta não for mais necessária para um ambiente, conclua as seguintes etapas como um Administrador de Domínio para removê-la do domínio local:

1. Selecione Iniciar>Ferramentas Administrativas>Domínios e Relações de Confiança do Active Directory.
2. Clique com o botão direito do mouse no domínio, como onprem.contoso.com, e escolha Propriedades.
3. Escolha a guia Relações de Confiança e Domínios que confiam neste domínio (relações de confiança de entrada), clique na relação de confiança a ser removida e em Remover.
4. Na guia Relações de Confiança, em Domínios em que este domínio confia (relações de confiança de saída), clique na relação de confiança a ser removida e clique em Remover.
5. Clique em Não, remova a confiança apenas do domínio local.

Criar uma relação de confiança de floresta bidirecional no Domain Services

Para criar a relação de confiança bidirecional para o domínio gerenciado no Centro de administração do Microsoft Entra, conclua as seguintes etapas:

1. No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Servicese selecione seu domínio gerenciado, como aaddscontoso.com.

2. No menu esquerdo do domínio gerenciado, selecione Relações de confiança e, em seguida, escolha para + Adicionar uma relação de confiança.

3. Selecione Bidirecional como a direção da relação de confiança.

4. Insira um nome de exibição que identifique sua relação de confiança e o nome DNS da floresta confiável local, como onprem.contoso.com.

5. Forneça a mesma senha da relação de confiança que foi usada para configurar a relação de confiança de floresta de entrada para o domínio do AD DS local na seção anterior.

6. Forneça pelo menos dois servidores DNS para o domínio do AD DS local, como 10.1.1.4 e 10.1.1.5.

7. Quando estiver pronto, Salve a relação de confiança de floresta de saída.

   

Se a relação de confiança de floresta não for mais necessária para um ambiente, conclua as seguintes etapas para removê-la do Domain Services:

1. No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Servicese selecione seu domínio gerenciado, como aaddscontoso.com.
2. No menu do lado esquerdo do domínio gerenciado, selecione Relações de Confiança, escolha a relação de confiança e clique em Remover.
3. Forneça a mesma senha de confiança que foi usada para configurar a relação de confiança de floresta e clique em OK.

Validar a autenticação de recursos

Os seguintes cenários comuns permitem que você valide se a relação de confiança de floresta autentica corretamente os usuários e o acesso a recursos:

• Autenticação de usuário local da floresta do Domain Services
• Acesse recursos na floresta de Serviços de Domínio usando o usuário local
  • Habilitar o compartilhamento de arquivos e impressoras
  • Criar um grupo de segurança e adicionar membros
  • Criar um compartilhamento de arquivos para acesso entre florestas
  • Validar a autenticação entre florestas para um recurso

Autenticação de usuário local na floresta do Domain Services

Você deverá ter a máquina virtual do Windows Server ingressada no domínio gerenciado. Use essa máquina virtual para testar se o usuário local pode se autenticar em uma máquina virtual. Se necessário, crie uma VM do Windows e ingresse-a no domínio gerenciado.

1. Conecte-se à VM do Windows Server ingressada na floresta do Domain Services usando o Azure Bastion e suas credenciais de administrador do Domain Services.

2. Abra um prompt de comando e use o comando whoami para mostrar o nome diferenciado do usuário autenticado no momento:

   whoami /fqdn
   

3. Use o comando runas para se autenticar como um usuário do domínio local. No comando a seguir, substitua userUpn@trusteddomain.com pelo UPN de um usuário do domínio local confiável. O comando solicita a senha do usuário:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Se a autenticação for bem-sucedida, um novo prompt de comando será aberto. O título do novo prompt de comando inclui running as userUpn@trusteddomain.com.

5. Use whoami /fqdn no novo prompt de comando para exibir o nome diferenciado do usuário autenticado do Active Directory local.

Acessar recursos na floresta dos Serviços de Domínio usando o usuário local

Na VM do Windows Server ingressada na floresta do Domain Services, você pode testar cenários. Por exemplo, você pode testar se um usuário que entra no domínio local pode acessar recursos no domínio gerenciado. Os exemplos a seguir abrangem cenários de teste comuns.

Habilitar o compartilhamento de arquivos e impressoras

1. Conecte-se à VM do Windows Server ingressada na floresta do Domain Services usando o Azure Bastion e suas credenciais de administrador do Domain Services.

2. Abra as Configurações do Windows .

3. Pesquise e selecione Central de Rede e Compartilhamento.

4. Escolha a opção para as configurações Alterar compartilhamento avançado.

5. No Perfil de Domínio, selecione Ativar compartilhamento de arquivos e impressora e, em seguida, Salvar alterações.

6. Feche a Central de Rede e Compartilhamento.

Criar um grupo de segurança e adicionar membros

1. Abra Computadores e Usuários do Active Directory.

2. Selecione o nome de domínio com o botão direito do mouse, escolha Novoe selecione Unidade Organizacional.

3. Na caixa de nome, digite LocalObjectse selecione OK.

4. Selecione e clique com o botão direito do mouse LocalObjects no painel de navegação. Selecione Novo e depois Grupo.

5. Digite FileServerAccess na caixa Nome do grupo. Para o Escopo do Grupo, selecione Local do domínio e, em seguida, OK.

6. No painel de conteúdo, clique duas vezes FileServerAccess. Selecione Membros, escolha Adicionar e selecione Locais.

7. Selecione o Active Directory local na visualização Local e escolha OK.

8. Digite os Usuários de Domínio na caixa Insira os nomes de objeto a serem selecionados. Selecione Verificação de Nomes, forneça as credenciais para o Active Directory local e selecione OK.

   Nota

   Você deve fornecer credenciais porque a relação de confiança é apenas uma maneira. Isso significa que os usuários do domínio gerenciado dos Serviços de Domínio não podem acessar recursos nem pesquisar usuários ou grupos no domínio confiável (local).

9. O grupo Usuários de Domínio do Active Directory local deve integrar o grupo FileServerAccess. Selecione OK para salvar o grupo e fechar a janela.

Criar um compartilhamento de arquivos para acesso entre florestas

1. Na VM do Windows Server ingressada na floresta do Domain Services, crie uma pasta e forneça um nome como CrossForestShare.
2. Selecione com o botão direito do mouse a pasta e escolha Propriedades.
3. Na guia Segurança e, em seguida, escolha Editar.
4. Na caixa de diálogo Permissões para CrossForestShare, selecione Adicionar.
5. Digite FileServerAccess no Insira os nomes de objeto para selecionare selecione OK.
6. Selecione FileServerAccess na lista Grupos ou nomes de usuário. Na lista Permissões para FileServerAccess, escolha Permitir para as permissões Modificar e Gravar; em seguida, selecione OK.
7. Selecione a guia Compartilhamento, em seguida, escolha Compartilhamento Avançado....
8. Escolha Compartilhar esta pasta e, em seguida, insira um nome fácil de memorizar para o compartilhamento de arquivo em Nome do compartilhamento como CrossForestShare.
9. Selecione Permissões. Na lista Permissões para Todos, escolha Permitir para a permissão Alterar.
10. Selecione OK duas vezes e, em seguida, Fechar.

Validar a autenticação entre florestas para um recurso

1. Entre em um computador Windows associado ao Active Directory local usando uma conta de usuários do seu Active Directory.

2. Usando o Windows Explorer, conecte-se ao compartilhamento que você criou usando o nome de host totalmente qualificado e o compartilhamento, como \\fs1.aaddscontoso.com\CrossforestShare.

3. Para validar a permissão de gravação, selecione com o botão direito do mouse na pasta, escolha Novoe selecione Documento de Texto. Use o nome padrão novo documento de texto.

   Se as permissões de gravação forem definidas corretamente, um novo documento de texto será criado. Conclua as etapas a seguir para abrir, editar e excluir o arquivo conforme apropriado.

4. Para validar a permissão de leitura, abra Novo Documento de Texto.

5. Para validar a permissão Modificar, adicione texto ao arquivo e feche o Bloco de Notas. Quando solicitado a salvar as alterações, escolha Salvar.

6. Para validar a permissão de exclusão, clique com o botão direito em Novo Documento de Texto e escolha Excluir. Escolha Sim para confirmar a exclusão do arquivo.

Próximas etapas

Neste tutorial, você aprendeu a:

• Configurar o DNS em um ambiente do AD DS local para dar suporte à conectividade dos Serviços de Domínio
• Criar uma relação de confiança de floresta de entrada unidirecional em um ambiente do AD DS local
• Criar uma relação de confiança de floresta de saída unidirecional no Domain Services
• Testar e validar a relação de confiança para autenticação e acesso a recursos

Para obter mais informações conceituais sobre a floresta no Domain Services, confira Como funcionam as relações de confiança de floresta no Domain Services?.