Поделиться через


Руководство. Создание и настройка управляемого домена доменных служб Microsoft Entra

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимая с Windows Server Active Directory. Эти доменные службы используются без развертывания, управления и исправления контроллеров домена. Доменные службы интегрируются с существующим клиентом Microsoft Entra. Эта интеграция позволяет пользователям входить с помощью корпоративных учетных данных и использовать существующие группы и учетные записи пользователей для защиты доступа к ресурсам.

Управляемый домен можно создать с помощью параметров конфигурации по умолчанию для сети и синхронизации или вручную определить эти параметры. В этом руководстве показано, как использовать параметры по умолчанию для создания и настройки управляемого домена доменных служб с помощью Центра администрирования Microsoft Entra.

В этом руководстве описано, как:

  • Общие сведения о требованиях DNS для управляемого домена
  • Создание управляемого домена
  • Включение синхронизации хэша паролей

Если у вас нет подписки Azure, создайте учетную запись перед началом работы.

Необходимые условия

Для работы с этим руководством вам потребуются следующие ресурсы и привилегии:

  • Активная подписка Azure.
  • Клиент Microsoft Entra, связанный с вашей подпиской, либо синхронизирован с локальным каталогом, либо с облачным каталогом.
  • Чтобы включить доменные службы, в вашем арендаторе потребуются роли администратора приложений и администратора групп в Microsoft Entra.
  • Вам нужна роль Участник доменных служб в Azure, чтобы создать необходимые ресурсы доменных служб.
  • Виртуальная сеть с DNS-серверами, которая может запрашивать необходимую инфраструктуру, например хранилище. DNS-серверы, которые не могут выполнять общие интернет-запросы, могут блокировать возможность создания управляемого домена.

Хотя не требуется для доменных служб, рекомендуется настроить самостоятельный сброс пароля (SSPR) для клиента Microsoft Entra. Пользователи могут изменять свой пароль без SSPR, но SSPR помогает, если они забыли пароль и должны сбросить его.

ВАЖНЫЙ

Вы не можете переместить управляемый домен в другую подписку, группу ресурсов или регион после его создания. При развертывании управляемого домена необходимо выбрать наиболее подходящую подписку, группу ресурсов и регион.

Вход в Центр администрирования Microsoft Entra

В этом руководстве описано, как создать управляемый домен и настроить его с помощью Центра администрирования Microsoft Entra. Чтобы приступить к работе, войдите в Центр администрирования Microsoft Entra.

Создание управляемого домена

Чтобы запустить мастер включения доменных служб Microsoft Entra, выполните следующие действия.

  1. В меню Центра администрирования Microsoft Entra или на странице главная найдите доменные службы, а затем выберите доменные службы Microsoft Entra.

  2. На странице доменных служб Microsoft Entra выберите Создать доменные службы Microsoft Entra.

    снимок экрана: создание управляемого домена.

  3. Выберите подписку Azure , в которой вы хотите создать управляемый домен.

  4. Выберите группу ресурсов , к которой должен принадлежать управляемый домен. Выберите Создать новую или выбрать существующую группу ресурсов.

При создании управляемого домена укажите DNS-имя. При выборе этого DNS-имени следует учитывать некоторые рекомендации.

  • встроенное доменное имя: По умолчанию используется встроенное доменное имя каталога (суффикс .onmicrosoft.com). Если вы хотите включить безопасный доступ LDAP к управляемому домену через Интернет, вы не можете создать цифровой сертификат для защиты подключения к этому домену по умолчанию. Корпорация Майкрософт владеет доменом .onmicrosoft.com, поэтому центр сертификации (ЦС) не выдает сертификат.
  • пользовательские доменные имена: Наиболее распространенным подходом является указание имени личного домена, которое уже принадлежит и является маршрутизируемым. При использовании маршрутизируемого личного домена трафик может правильно передаваться по мере необходимости для поддержки приложений.
  • Суффиксы домена, не поддерживающие маршрутизацию: Мы обычно рекомендуем избегать суффиксов доменных имен, не поддерживающих маршрутизацию, например contoso.local. Суффикс .local не является маршрутизируемым и может вызвать проблемы с разрешением DNS.

Совет

Если вы создаете имя личного домена, обратите внимание на существующие пространства имен DNS. Хотя она поддерживается, может потребоваться использовать доменное имя, отдельное от существующего пространства имен Azure или локального dns-пространства.

Например, если у вас есть существующее пространство DNS-имен contoso.com, создайте управляемый домен с именем личного домена dscontoso.com. Если необходимо использовать безопасный протокол LDAP, вы должны зарегистрировать и владеть этим пользовательским доменом, чтобы создать необходимые сертификаты.

Может потребоваться создать дополнительные записи DNS для других служб в вашей среде или условные пересылатели DNS между существующими пространствами имен DNS. Например, если вы запускаете веб-сервер, на котором размещается сайт с использованием корневого DNS-имени, могут возникать конфликты именования, требующие дополнительных записей DNS.

В этих учебных материалах и статьях в качестве краткого примера используется пользовательский домен dscontoso.com. Во всех командах укажите собственное доменное имя.

Также применяются следующие ограничения DNS-имени:

  • ограничения префикса домена: Невозможно создать управляемый домен с префиксом дольше 15 символов. Префикс указанного доменного имени (например, dscontoso в доменном имени dscontoso.com) должен содержать 15 или меньше символов.
  • Конфликты сетевых имён: DNS-имя домена для управляемого домена не должно уже существовать в виртуальной сети. В частности, проверьте следующие сценарии, которые привели бы к конфликту имен:
    • Если у вас уже есть домен Active Directory с тем же DNS-именем в виртуальной сети Azure.
    • Если виртуальная сеть, в которой планируется включить управляемый домен, имеет VPN-подключение к локальной сети. В этом сценарии убедитесь, что у вас нет домена с тем же DNS-именем в локальной сети.
    • Если у вас есть облачная служба Azure с таким именем в виртуальной сети Azure.

Заполните поля в окне Основные центра администрирования Microsoft Entra, чтобы создать управляемый домен.

  1. Введите DNS-доменное имя для вашего управляемого домена, принимая во внимание предыдущие моменты.

  2. Выберите регион Azure, в котором необходимо создать управляемый домен. Если выбрать регион, поддерживающий зоны доступности Azure, ресурсы доменных служб распределяются по зонам для дополнительной избыточности.

    Совет

    Зоны доступности — это уникальные физические расположения в регионе Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оснащенных независимым питанием, охлаждением и сетями. Для обеспечения устойчивости существует не менее трех отдельных зон во всех включенных регионах.

    Нет ничего, чтобы настроить распределение доменных служб между зонами. Платформа Azure автоматически обрабатывает распределение ресурсов между зонами. Дополнительные сведения и сведения о доступности регионов см. в разделе Что такое зоны доступности в Azure?.

  3. Номер SKU определяет частоту производительности и резервного копирования. Номер SKU можно изменить после создания управляемого домена, если бизнес-требования или требования изменяются. Дополнительные сведения см. в разделе концепции SKU доменных служб.

    В этом руководстве выберите стандартный SKU . Окно Основы должно выглядеть следующим образом:

    снимок экрана страницы конфигурации

Чтобы быстро создать управляемый домен, можно выбрать Review + create, чтобы принять дополнительные параметры настройки по умолчанию. При выборе этого параметра создания настраиваются следующие значения по умолчанию:

  • Создает виртуальную сеть с именем ds-vnet по умолчанию, которая использует диапазон IP-адресов 10.0.1.0/24.
  • Создает подсеть с именем ds-subnet с помощью диапазона IP-адресов 10.0.1.0/24.
  • Синхронизирует всех пользователей из Microsoft Entra ID в управляемые домены.

Заметка

Не следует использовать общедоступные IP-адреса для виртуальных сетей и их подсетей из-за следующих проблем:

  • Нехватка IP-адреса: общедоступные IP-адреса IPv4 ограничены, и их спрос часто превышает доступное предложение. Кроме того, IP-адреса могут пересекаться с общедоступными конечными точками.

  • Риски безопасности. Использование публичных IP-адресов для виртуальных сетей напрямую выставляет ваши устройства в Интернет, увеличивая риск несанкционированного доступа и потенциальных атак. Без соответствующих мер безопасности устройства могут стать уязвимыми для различных угроз.

  • сложность. Управление виртуальной сетью с общедоступными IP-адресами может быть более сложным, чем использование частных IP-адресов, так как требуется иметь дело с внешними диапазонами IP-адресов и обеспечить правильную сегментацию сети и безопасность.

Настоятельно рекомендуется использовать частные IP-адреса. Если вы используете общедоступный IP-адрес, убедитесь, что вы являетесь владельцем или выделенным пользователем выбранных IP-адресов в выбранном общедоступном диапазоне.

Выберите Проверить и создать, чтобы принять эти параметры конфигурации по умолчанию.

Развертывание управляемого домена

На странице Сводка мастера просмотрите параметры конфигурации для управляемого домена. Вы можете вернуться к любому шагу мастера, чтобы внести изменения. Чтобы согласованно перенести управляемый домен в другой клиент Microsoft Entra с использованием этих параметров конфигурации, можно также скачать шаблон для автоматизации.

  1. Чтобы создать управляемый домен, выберите Создать. Появится примечание о том, что некоторые параметры конфигурации, такие как DNS-имя или виртуальная сеть, не могут быть изменены после создания доменных служб. Чтобы продолжить, нажмите кнопку ОК.

    снимок экрана: параметры конфигурации управляемого домена.

  2. Процесс подготовки управляемого домена может занять до часа. На портале отображается уведомление, показывающее ход развертывания доменных служб.

  3. Когда управляемый домен полностью подготовлен, вкладка Обзора отображает состояние домена как Работает. Разверните сведения о развертывании для ссылок на ресурсы, такие как виртуальная сеть и сетевая группа ресурсов.

    снимок экрана со сведениями о развертывании управляемого домена.

Важный

Управляемый домен связан с каталогом Microsoft Entra. Во время процесса предоставления доменные службы создают два корпоративных приложения, названных Domain Controller Services и AzureActiveDirectoryDomainControllerServices в каталоге Microsoft Entra. Эти корпоративные приложения необходимы для обслуживания управляемого домена. Не удаляйте эти приложения.

Обновление параметров DNS для виртуальной сети Azure

После успешного развертывания доменных служб теперь настройте виртуальную сеть, чтобы разрешить другим подключенным виртуальным машинам и приложениям использовать управляемый домен. Чтобы обеспечить это подключение, обновите параметры DNS-сервера для виртуальной сети, чтобы указать на два IP-адреса, в которых развернут управляемый домен.

  1. На вкладке Обзор вашего управляемого домена отображаются необходимые шаги настройки. Первым шагом конфигурации является обновление параметров DNS-сервера для виртуальной сети. После правильной настройки параметров DNS этот шаг больше не отображается.

    Перечисленные адреса — это контроллеры домена для использования в виртуальной сети. В этом примере эти адреса 10.0.1.4 и 10.0.1.5. Эти IP-адреса можно найти на вкладке «Свойства».

    снимок экрана страницы обзора управляемого домена.

  2. Чтобы обновить параметры DNS-сервера для виртуальной сети, нажмите кнопку Настроить. Параметры DNS настраиваются автоматически для виртуальной сети.

Совет

Если вы выбрали существующую виртуальную сеть на предыдущих шагах, все виртуальные машины, подключенные к сети, получают только новые параметры DNS после перезагрузки. Вы можете перезапустить виртуальные машины с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или Azure CLI.

Включение учетных записей пользователей для доменных служб

Для проверки подлинности пользователей в управляемом домене доменные службы должны иметь хэши паролей в формате, подходящем для проверки подлинности NT LAN Manager (NTLM) и Kerberos. Идентификатор Microsoft Entra не создает хэши паролей и не сохраняет хэши паролей в формате, необходимом для проверки подлинности NTLM или Kerberos, пока не включите доменные службы для вашего клиента. По соображениям безопасности идентификатор Microsoft Entra также не сохраняет учетные данные паролей в виде чистотекстового текста. Таким образом, идентификатор Microsoft Entra не может автоматически создавать эти хэши паролей NTLM или Kerberos на основе существующих учетных данных пользователей.

Заметка

После правильной настройки хэши паролей, доступные для использования, хранятся в управляемом домене. При удалении управляемого домена все хэши паролей, хранящиеся в этой точке, также удаляются.

Синхронизированные учетные данные в идентификаторе Microsoft Entra не могут использоваться повторно, если позже создадите управляемый домен, необходимо повторно настроить синхронизацию хэша паролей для сохранения хэшей паролей. Ранее присоединенные к домену виртуальные машины или пользователи не смогут немедленно пройти проверку подлинности. Идентификатор Microsoft Entra должен создавать и хранить хэши паролей в новом управляемом домене.

Облачная синхронизация Microsoft Entra Connect не поддерживается с доменными службами. Локальные пользователи должны синхронизироваться с помощью Microsoft Entra Connect, чтобы иметь доступ к виртуальным машинам, присоединенным к домену. Дополнительные сведения см. в разделе процесс синхронизации хэшей паролей для доменных служб и Microsoft Entra Connect.

Действия по созданию и хранению хэшей паролей отличаются для учетных записей пользователей только для облака, созданных в Microsoft Entra ID, и учетных записей пользователей, синхронизированных из локального каталога с помощью Microsoft Entra Connect.

Облачная учетная запись пользователя — это учетная запись, созданная в каталоге Microsoft Entra с помощью Центра администрирования Microsoft Entra или PowerShell. Эти учетные записи пользователей не синхронизируются из локального каталога.

В этом руководстве мы работаем с базовой облачной учетной записью пользователя. Дополнительные сведения о дополнительных шагах, необходимых для использования Microsoft Entra Connect, см. в разделе Синхронизация хэшей паролей для учетных записей пользователей, синхронизированных с локальной AD с управляемым доменом.

Совет

Если в каталоге Microsoft Entra есть сочетание облачных и синхронизированных пользователей, необходимо выполнить оба набора шагов.

Для облачных учетных записей пользователей пользователи должны изменить пароли, прежде чем они смогут использовать доменные службы. Этот процесс изменения пароля приводит к созданию и хранению хэшей паролей для проверки подлинности Kerberos и NTLM в идентификаторе Microsoft Entra. Учетная запись не синхронизируется с идентификатором Microsoft Entra с доменными службами, пока пароль не будет изменен. Либо истекает срок действия паролей для всех облачных пользователей в клиенте, которым требуется использовать доменные службы, которые принудительно изменяют пароль при следующем входе, либо указывают облачным пользователям вручную изменять пароли. В этом руководстве мы вручную изменим пароль пользователя.

Прежде чем пользователь сможет сбросить пароль, клиент Microsoft Entra должен быть настроен для самостоятельного сброса пароля.

Чтобы изменить пароль только для облачного пользователя, пользователь должен выполнить следующие действия:

  1. Перейдите на страницу панели доступа Microsoft Entra ID по адресу https://myapps.microsoft.com.

  2. В правом верхнем углу выберите ваше имя, а затем выберите Профиль в выпадающем меню.

    снимок экрана: выбор профиля.

  3. На странице профиля выберите Изменить пароль.

  4. На странице Изменение пароля введите существующий (старый) пароль, а затем введите и подтвердите новый пароль.

  5. Выберите Отправить.

Через несколько минут после изменения пароля новый пароль можно будет использовать в доменных службах и успешно входить в учетные записи на компьютерах, подключенных к управляемому домену.

Дальнейшие действия

В этом руководстве вы узнали, как:

  • Общие сведения о требованиях DNS для управляемого домена
  • Создание управляемого домена
  • Добавление административных пользователей в управление доменами
  • Включение учетных записей пользователей для доменных служб и создание хэшей паролей

Перед присоединением к домену виртуальными машинами и развертыванием приложений, использующих управляемый домен, настройте виртуальную сеть Azure для рабочих нагрузок приложений.