Учебное пособие: Создание двустороннего доверительного отношения между лесами в службах доменов Microsoft Entra с локальным доменом в предварительном просмотре.

Вы можете создать доверие леса между доменными службами Microsoft Entra и локальными средами AD DS. Отношения доверия леса позволяют пользователям, приложениям и компьютерам аутентифицироваться в локальном домене из управляемого домена служб доменов или наоборот. Траст леса может помочь пользователям получить доступ к ресурсам в таких сценариях, как:

• Среды, в которых вы не можете синхронизировать хэши паролей или где пользователи входят исключительно с помощью смарт-карт и не знают свой пароль.
• Гибридные сценарии, требующие доступа к локальным доменам.

Вы можете выбрать три возможных направления при создании доверия к лесу в зависимости от того, как пользователям требуется доступ к ресурсам. Доменные службы поддерживают только лесные доверительные отношения. Внешнее доверие к дочернему домену в локальной среде не поддерживается.

Направление доверия	Доступ пользователей
Двустороннее (предварительная версия)	Позволяет пользователям в управляемом домене и локальном домене получать доступ к ресурсам в любом домене.
Односторонняя исходящая	Позволяет пользователям в локальном домене получать доступ к ресурсам в управляемом домене, но не наоборот.
Одностороннее входящее (предварительный просмотр)	Позволяет пользователям в управляемом домене получать доступ к ресурсам в локальном домене.

В этом руководстве описано, как:

• Настройка DNS в локальном домене AD DS для поддержки подключения к доменным службам
• Создание двустороннего доверия леса между управляемым доменом и локальным доменом
• Проверьте и подтвердите отношения доверия леса для аутентификации и доступа к ресурсам

Если у вас нет подписки Azure, создайте учетную запись перед началом.

Необходимые условия

Для работы с этим руководством вам потребуются следующие ресурсы и привилегии:

• Активная подписка Azure.
  • Если у вас нет подписки Azure, вы можете создать учетную запись.
• Клиент Microsoft Entra, связанный с вашей подпиской, может быть либо синхронизирован с локальным каталогом, либо существовать только в облаке.
  • При необходимости создать клиент Microsoft Entra или связать подписку Azure с вашей учетной записью.
• Управляемый домен служб доменов, настроенный с именем личного DNS-домена и действительным SSL-сертификатом.
  • При необходимости создайте и настройте управляемыйдомен служб доменов Microsoft Entra.
• Локальный домен Active Directory, доступный из управляемого домена через VPN или подключение ExpressRoute.
• Администратор приложений и Администратор групп являются ролями Microsoft Entra в вашем арендаторе для изменения экземпляра доменных служб.
• Учетная запись администратора домена в локальном домене с разрешениями на создание и проверку отношений доверия.

Важный

Для управляемого домена необходимо использовать минимум SKU Enterprise. При необходимости изменить номер SKU для управляемого домена.

Вход в Центр администрирования Microsoft Entra

В этом руководстве вы создаете и настраиваете исходящее доверие к лесу из служб домена с помощью административного центра Microsoft Entra. Чтобы приступить к работе, войдите в Центр администрирования Microsoft Entra.

Рекомендации по работе с сетями

Для виртуальной сети, в которой размещён Лес доменных служб, требуется подключение VPN или ExpressRoute к вашему локальному каталогу Active Directory. Приложениям и службам также требуется сетевое подключение к виртуальной сети, в котором размещается лес доменных служб. Сетевое подключение к лесу доменных служб должно всегда быть включено и стабильно, в противном случае пользователи могут не пройти проверку подлинности или получить доступ к ресурсам.

Перед настройкой доверия леса в доменных службах убедитесь, что сеть между Azure и локальной средой соответствует следующим требованиям:

• Убедитесь, что порты брандмауэра разрешают трафик, необходимый для создания и использования доверия. Дополнительные сведения о том, какие порты необходимо открыть для использования доверия, см. в разделе Настройка параметров брандмауэра для доверия AD DS.
• Используйте частные IP-адреса. Не полагаться на DHCP с динамическим назначением IP-адресов.
• Избегайте перекрывающихся пространств IP-адресов, чтобы разрешить пиринг виртуальной сети и маршрутизацию для успешного взаимодействия между Azure и локальной средой.
• Для виртуальной сети Azure требуется подсеть шлюза, чтобы настроить vpn- vpn-подключение типа "сеть — сеть" Azure (S2S) или подключение ExpressRoute.
• Создайте подсети с достаточным количеством IP-адресов для поддержки вашего сценария.
• Убедитесь, что доменные службы имеют собственную подсеть, не делитесь этой подсетью виртуальной сети с виртуальными машинами и службами приложений.
• Одноранговые виртуальные сети не являются транзитивными.
  • Пиринги виртуальных сетей Azure должны создаваться между всеми виртуальными сетями, которым требуется доверять лесу доменных служб в локальной среде AD DS.
• Обеспечьте непрерывное сетевое подключение для вашей локальной структуры Active Directory. Не используйте подключения по запросу.
• Убедитесь, что между именем леса доменных служб и локальным именем леса Active Directory существует непрерывное разрешение DNS-имен.

Настройка DNS в локальном домене

Чтобы правильно разрешить управляемый домен из локальной среды, может потребоваться добавить перенаправление на существующие DNS-серверы. Чтобы настроить локальную среду для взаимодействия с управляемым доменом, выполните следующие действия из рабочей станции управления для локального домена AD DS:

1. Выберите Пуск>Администрирование>DNS.

2. Выберите зону DNS, например aaddscontoso.com.

3. Выберите условные пересылки, а затем щелкните правой кнопкой мыши и выберите Новая условная пересылка...

4. Введите ваш другой DNS домен, например contoso.com, затем введите IP-адреса DNS-серверов для этой области имен, как показано в следующем примере:

   

5. Установите флажок "Хранить этот условный сервер пересылки в Active Directory" и настройте его репликацию следующим образом:, затем выберите параметр "Все DNS-серверы в этом домене", как показано в следующем примере:

   

   Важный

   Если условный сервер пересылки хранится в лесу вместо домена, условный сервер пересылки завершается ошибкой.

6. Чтобы создать условный форвардер, нажмите кнопку OK.

Настройка двустороннего доверия лесов в локальном домене

Для локального домена AD DS требуется двустороннее доверие леса для домена под управлением. Это доверие должно быть создано вручную в локальном домене AD DS; Его невозможно создать из Центра администрирования Microsoft Entra.

Чтобы настроить двустороннее доверие в локальном домене AD DS, выполните следующие действия в качестве администратора домена с рабочей станции управления для локального домена AD DS:

1. Выберите Пуск>Администрирование>Доменов и доверия Active Directory.
2. Щелкните правой кнопкой мыши домен, например onprem.contoso.com, а затем выберите Свойства.
3. Выберите вкладку фонды, а затем новый фонд.
4. Введите имя домена доменных служб, например aaddscontoso.com, а затем выберите Далее.
5. Выберите параметр для создания forest trust, затем выберите создание двустороннего доверия.
6. Выберите, чтобы создать доверие только для этого домена . На следующем шаге вы создадите доверие в Центре администрирования Microsoft Entra для управляемого домена.
7. Выберите опцию использования проверки подлинности на уровне леса, затем введите и подтвердите пароль доверительной проверки. Этот же пароль также вводится в Центре администрирования Microsoft Entra в следующем разделе.
8. Перейдите через следующие несколько окон с параметрами по умолчанию, а затем выберите параметр для Нет, не подтверждайте исходящуюдоверенность.
9. Выберите Готово.

Если доверие леса больше не требуется для среды, выполните следующие действия в качестве администратора домена, чтобы удалить его из локального домена:

1. Выберите Пуск>Административные инструменты>Домены и доверие Active Directory.
2. Щелкните правой кнопкой мыши домен, например onprem.contoso.com, а затем выберите Свойства.
3. Выберите вкладку Доверие, затем Домены, которым доверяет этот домен (входящие отношения доверия); щелкните на доверие, которое нужно удалить, и затем щелкните Удалить.
4. На вкладке "Отношения доверия" в разделе Домены, которым доверяет этот домен (исходящие отношения доверия), выберите объект доверия для удаления, затем нажмите "Удалить".
5. Щелкните Нет, удалите доверие только из локального домена.

Создание двустороннего доверия между лесами в службах домена

Чтобы создать двустороннее доверие для управляемого домена в Центре администрирования Microsoft Entra, выполните следующие действия.

1. В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra, а затем выберите управляемый домен, например aaddscontoso.com.

2. В меню слева от управляемого домена выберите Доверительные связи, а затем выберите + Добавить доверительную связь.

3. Выберите двустороннее как направление доверительных отношений.

4. Введите отображаемое имя, определяющее доверие, а затем dns-имя локального доверенного леса, например onprem.contoso.com.

5. Укажите тот же пароль доверия, который использовался для настройки доверия входящего леса для локального домена AD DS в предыдущем разделе.

6. Предоставьте по крайней мере два DNS-сервера для локального домена AD DS, например 10.1.1.4 и 10.1.1.5.

7. Когда все готово, Сохраните исходящее доверие леса.

   

Если доверие леса больше не требуется для среды, выполните следующие действия, чтобы удалить его из доменных служб:

1. В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra, а затем выберите управляемый домен, например aaddscontoso.com.
2. В меню слева от управляемого домена выберите Доверия, выберите доверие и щелкните Удалить.
3. Укажите тот же пароль доверия, который использовался для настройки доверия леса, и нажмите кнопку ОК.

Проверка подлинности ресурсов

Следующие распространенные сценарии позволяют убедиться, что доверие между лесами правильно проверяет подлинность пользователей и обеспечивает доступ к ресурсам:

• Аутентификация пользователей в корпоративной среде из леса доменных служб
• Доступ к ресурсам в структуре служб домена с использованием локальных пользователей
  • Включить общий доступ к файлам и принтерам
  • Создание группы безопасности и добавление участников
  • Создание общей папки для доступа между лесами
  • Проверить аутентификацию между лесами для ресурса

Аутентификация пользователей на локальной инфраструктуре из леса служб домена

Виртуальная машина Windows Server должна быть присоединена к управляемому домену. Используйте эту виртуальную машину для тестирования возможности аутентификации вашего локального пользователя на виртуальной машине. При необходимости можно создать виртуальную машину Windows и затем присоединить ее к управляемому домену.

1. Подключитесь к виртуальной машине Windows Server, присоединенной к лесу доменных служб, с помощью Бастиона Azure и учетных данных администратора доменных служб.

2. Откройте командную строку и используйте команду whoami для отображения различающегося имени текущего пользователя, прошедшего проверку подлинности:

   whoami /fqdn
   

3. Используйте команду runas для проверки подлинности в качестве пользователя из локального домена. В следующей команде замените userUpn@trusteddomain.com на UPN пользователя из доверенного локального домена. Командная строка запрашивает пароль пользователя:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Если проверка подлинности выполнена успешно, откроется новая командная строка. Заголовок новой командной строки содержит running as userUpn@trusteddomain.com.

5. Используйте whoami /fqdn в новой командной строке, чтобы просмотреть различающееся имя прошедшего проверку подлинности пользователя из локальной среды Active Directory.

Доступ к ресурсам в лесу доменных служб с помощью локального пользователя

Из виртуальной машины Windows Server, присоединенной к лесу доменных служб, можно протестировать сценарии. Например, можно проверить, может ли пользователь, выполнивший вход в локальный домен, получить доступ к ресурсам в управляемом домене. В следующих примерах рассматриваются распространенные сценарии тестирования.

Включение общего доступа к файлам и принтерам

1. Подключитесь к виртуальной машине Windows Server, которая присоединена к лесу Domain Services, с помощью Azure Bastion и ваших учетных данных администратора Domain Services.

2. Откройте параметры Windows.

3. Найдите и выберите Центр управления сетями и общим доступом.

4. Выберите параметр Изменить параметры расширенного общего доступа.

5. В Профиль доменавыберите Включение общего доступа к файлам и принтерам, а затем Сохранить изменения.

6. Закройте Центр управления сетями и общим доступом.

Создание группы безопасности и добавление участников

1. Откройте Active Directory Users and Computers.

2. Щелкните правой кнопкой мыши доменное имя, выберите Создать, а затем выберите Организационная единица.

3. В поле имени введите LocalObjects, а затем нажмите ОК.

4. Выберите и щелкните правой кнопкой мыши LocalObjects в области навигации. Выберите Создать, а затем Группу.

5. Введите FileServerAccess в поле Имя группы. Для области группы выберите домен локальной области , а затем нажмите ОК.

6. В области содержимого дважды щелкните FileServerAccess. Выберите "Члены", затем выберите "Добавить", а затем выберите "Расположения".

7. Выберите ваш локальный Active Directory в представлении "Расположение" , затем нажмите ОК.

8. Введите Пользователи домена в поле Введите имена объектов для выбора. Выберите Проверка имен, укажите учетные данные для локальной службы каталогов Active Directory, а затем нажмите ОК.

   Заметка

   Необходимо указать учетные данные, поскольку доверительные отношения являются односторонними. Это означает, что пользователи из управляемого домена доменных служб не могут получать доступ к ресурсам или искать пользователей или группы в доверенном (локальном) домене.

9. Группа пользователей домена из локальной службы Active Directory должна быть членом группы FileServerAccess. Нажмите кнопку ОК, чтобы сохранить группу и закрыть окно.

Создание общей папки для доступа между лесами

1. На виртуальной машине Windows Server, присоединенной к лесу доменных служб, создайте папку и укажите имя, например CrossForestShare.
2. Щелкните папку правой кнопкой мыши и выберите Свойства.
3. Перейдите на вкладку "Безопасность", а затем выберите "Изменить".
4. В диалоговом окне "Разрешения для CrossForestShare" выберите "Добавить".
5. Введите FileServerAccess в поле Введите имена объектов для выбора, затем выберите ОК.
6. Выберите FileServerAccess в списке Группы или имена пользователей. В списке разрешений fileServerAccess выберите Разрешить для разрешений "Изменить" и "Запись", а затем нажмите кнопку ОК.
7. На вкладке Общий доступ выберите Расширенный общий доступ....
8. Выберите Предоставить доступ к папке, а затем введите запоминающееся имя для общего доступа в имя общего доступа, например CrossForestShare.
9. Выберите разрешения. В списке разрешений для всех пользователей выберите Разрешить для разрешения "Изменить".
10. Нажмите кнопку ОК два раза, а затем Закрыть.

Проверка межлесовой аутентификации к ресурсу

1. Войдите на компьютер Windows, присоединенный к локальной службе Active Directory, с помощью учетной записи пользователя из локальной службы Active Directory.

2. Используя проводнике Windows, подключитесь к общей папке, созданной с помощью полного имени узла и общей папки, например \\fs1.aaddscontoso.com\CrossforestShare.

3. Чтобы проверить разрешение на запись, щелкните правой кнопкой мыши на папке, выберите Создать, а затем выберите Текстовый Документ. Используйте имя по умолчанию новый текстовый документ.

   Если разрешения записи заданы правильно, создается новый текстовый документ. Выполните следующие действия, чтобы открыть, изменить и удалить файл соответствующим образом.

4. Чтобы проверить разрешение на чтение, откройте новый текстовый документ.

5. Чтобы проверить разрешение на изменение, сначала добавьте текст в файл, а затем закройте Блокнот. При появлении запроса на сохранение изменений выберите Сохранить.

6. Чтобы проверить разрешение на удаление, кликните правой кнопкой мыши на Новый текстовый документ и выберите Удалить. Выберите Да, чтобы подтвердить удаление файлов.

Дальнейшие действия

В этом руководстве вы узнали, как:

• Настройка DNS в локальной среде AD DS для поддержки подключения к доменным службам
• Создание односторонного доверия леса в локальной среде AD DS
• Создание односторонного доверия к лесу в доменных службах
• Тестирование и проверка отношения доверия для проверки подлинности и доступа к ресурсам

Дополнительные концептуальные сведения о лесу в доменных службах см. в статье Как доверие к лесу работает в доменных службах?.