Implementera och konfigurera Microsoft Entra Domain Services
Organisationer som endast använder Microsoft Entra-ID för molnet kan aktivera Microsoft Entra Domain Services för ett virtuellt Azure-nätverk och sedan hämta en ny hanterad domän. Användare och grupper i Microsoft Entra-ID är tillgängliga i den nyligen skapade domänen, som har katalogtjänster som liknar lokala AD DS, inklusive grupprincip, Kerberos-protokoll och LDAP-stöd.
Du kan ansluta virtuella Azure-datorer som kör Windows till den nyligen skapade domänen och du kan hantera dem med hjälp av grundläggande grupprincip inställningar. Genom att aktivera Microsoft Entra Domain Services lagras hashar för autentiseringsuppgifter som krävs för NTLM- och Kerberos-autentisering i Microsoft Entra-ID.
Eftersom Contoso är en hybridorganisation kan de integrera sina identiteter från sin lokala AD DS med Microsoft Entra Domain Services med hjälp av Microsoft Entra Connect. Användare i hybridorganisationer kan ha samma upplevelse när de kommer åt domänbaserade resurser i en lokal infrastruktur eller när de kommer åt resurser från virtuella datorer som körs i ett virtuellt Azure-nätverk som integreras med Microsoft Entra Domain Services.
Implementera Microsoft Entra Domain Services
Om du vill implementera, konfigurera och använda Microsoft Entra Domain Services måste du ha en Microsoft Entra-klientorganisation som skapats i en Microsoft Entra-prenumeration. Om du vill använda Microsoft Entra Domain Services måste du dessutom ha lösenordshashsynkronisering distribuerad med Microsoft Entra Connect. Detta är nödvändigt eftersom Microsoft Entra Domain Services tillhandahåller NTLM- och Kerberos-autentisering, så användarnas autentiseringsuppgifter krävs.
När du aktiverar Microsoft Entra Domain Services för din klient måste du välja det DNS-domännamn som du ska använda för den här tjänsten. Du måste också välja den domän som du ska synkronisera med din lokala miljö.
Varning
Du bör inte använda ett befintligt Azure- eller lokalt DNS-domännamnsutrymme.
I följande tabell beskrivs tillgängliga DNS-domännamnsalternativ.
| Alternativ | Description |
|---|---|
| Inbyggt domännamn | Som standard används katalogens inbyggda domännamn (ett .onmicrosoft.com-suffix). Om du vill aktivera säker LDAP-åtkomst till den hanterade domänen via Internet kan du inte skapa ett digitalt certifikat för att skydda anslutningen till den här standarddomänen. Microsoft äger domänen .onmicrosoft.com, så en certifikatutfärdare (CA) utfärdar inget certifikat. |
| Egna domännamn | Den vanligaste metoden är att ange ett anpassat domännamn, vanligtvis ett som du redan äger och som kan dirigeras. När du använder en dirigerbar, anpassad domän kan trafiken flöda korrekt efter behov för att stödja dina program. |
| Icke-utfällbara domänsuffix | Vi rekommenderar vanligtvis att du undviker ett icke-utfällbart domännamnssuffix, till exempel contoso.local. .local-suffixet kan inte dirigeras och kan orsaka problem med DNS-matchning. |
Dricks
Du kan behöva skapa ytterligare DNS-poster för andra tjänster i din miljö eller villkorliga DNS-vidarebefordrare mellan befintliga DNS-namnområden i din miljö.
Under implementeringen måste du också välja vilken typ av skog som ska etableras. En skog är en logisk konstruktion som används av AD DS för att gruppera en eller flera domäner. Det finns två skogstyper enligt beskrivningen i följande tabell.
| Skogstyp | Description |
|---|---|
| User | Den här typen av skog synkroniserar alla objekt från Microsoft Entra-ID, inklusive användarkonton som skapats i en lokal AD DS-miljö. |
| Resurs | Den här typen av skog synkroniserar endast användare och grupper som skapats direkt i Microsoft Entra-ID. |
Därefter måste du välja den Azure-plats där den hanterade domänen ska skapas. Om du väljer en region som stöder tillgänglighetszoner distribueras Microsoft Entra Domain Services-resurserna mellan zoner för ytterligare redundans.
Kommentar
Du behöver inte konfigurera Att Microsoft Entra Domain Services ska distribueras mellan zoner. Azure-plattformen hanterar automatiskt zonfördelningen av resurser.
Du måste också välja ett VNet som du ska ansluta den här tjänsten till. Eftersom Microsoft Entra Domain Services tillhandahåller funktioner för lokala resurser måste du ha ett virtuellt nätverk mellan dina lokala miljöer och Azure-miljöer.
Under etableringen skapar Microsoft Entra Domain Services två företagsprogram i din Microsoft Entra-klientorganisation. Dessa program behövs för att betjäna din hanterade domän och därför bör du inte ta bort dessa program. Företagsprogram är:
- Domänkontrollanttjänster.
- AzureActiveDirectoryDomainControllerServices.
När du har distribuerat Microsoft Entra Domain Services-instansen måste du konfigurera det virtuella nätverket så att andra anslutna virtuella datorer och program kan använda den hanterade domänen. För att kunna tillhandahålla den här anslutningen måste du uppdatera DNS-serverinställningarna för ditt virtuella nätverk så att de pekar på DE IP-adresser som är associerade med din Microsoft Entra Domain Services-instans.
För att autentisera användare på den hanterade domänen behöver Microsoft Entra Domain Services lösenordshashvärden i ett format som är lämpligt för NTLM- och Kerberos-autentisering. Microsoft Entra-ID genererar eller lagrar inte lösenordshashvärden i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Microsoft Entra Domain Services för din klientorganisation. Av säkerhetsskäl lagrar Inte heller Microsoft Entra-ID några autentiseringsuppgifter för lösenord i klartext. Microsoft Entra-ID kan därför inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashvärden baserat på användarnas befintliga autentiseringsuppgifter. När de användbara lösenordshasherna har konfigurerats lagras de i den Microsoft Entra Domain Services-hanterade domänen.
Kommentar
Om du tar bort den Microsoft Entra Domain Services-hanterade domänen tas även eventuella lösenordshashvärden som lagras vid den tidpunkten bort.
Synkroniserad information om autentiseringsuppgifter i Microsoft Entra-ID kan inte återanvändas om du senare skapar en Microsoft Entra Domain Services-hanterad domän – du måste konfigurera om synkroniseringen av lösenordshash för att lagra lösenordshasharna igen. Tidigare domänanslutna virtuella datorer eller användare kommer inte att kunna autentiseras omedelbart – Microsoft Entra-ID måste generera och lagra lösenordshasherna i den nya hanterade domänen Microsoft Entra Domain Services.
Stegen för att generera och lagra dessa lösenordshashvärden skiljer sig åt för molnbaserade användarkonton som skapats i Microsoft Entra-ID jämfört med användarkonton som synkroniseras från din lokala katalog med hjälp av Microsoft Entra Connect. Ett molnbaserat användarkonto är ett konto som skapades i din Microsoft Entra-katalog med antingen cmdletarna Azure Portal eller Microsoft Graph PowerShell. Dessa användarkonton synkroniseras inte från en lokal katalog.
För endast molnbaserade användarkonton måste användarna ändra sina lösenord innan de kan använda Microsoft Entra Domain Services. Den här lösenordsändringsprocessen gör att lösenordshasherna för Kerberos-autentisering och NTLM-autentisering genereras och lagras i Microsoft Entra-ID. Kontot synkroniseras inte från Microsoft Entra-ID till Microsoft Entra Domain Services förrän lösenordet har ändrats. Antingen upphör lösenorden för alla molnanvändare i klientorganisationen som behöver använda Microsoft Entra Domain Services, vilket tvingar fram en lösenordsändring vid nästa inloggning, eller instruera molnanvändare att manuellt ändra sina lösenord.
Dricks
Innan en användare kan återställa sitt lösenord måste du konfigurera Microsoft Entra-klientorganisationen för lösenordsåterställning med självbetjäning.
Mer att läsa
Läs mer i följande dokument.
- Självstudie: Skapa och konfigurera en hanterad Domän för Microsoft Entra Medtra med avancerade konfigurationsalternativ.
- Självstudie: Skapa ett skogsförtroende för utgående trafik till en lokal domän i Microsoft Entra Domain Services (förhandsversion)
- Implementera synkronisering av lösenordshash med Microsoft Entra Connect Sync.