教程：在 Microsoft Entra 域服务中与内部部署域创建双向林信任（预览版）

可以在 Microsoft Entra 域服务与内部部署的 AD DS 环境之间创建森林信任。 通过林信任关系，用户、应用程序和计算机可以通过域服务托管域向本地域进行身份验证，反之亦然。 森林信任可帮助用户在以下情况下访问资源：

• 无法同步密码哈希或用户专门使用智能卡登录且不知道其密码的环境。
• 需要访问本地域的混合方案。

创建森林信任时，您可以根据用户访问资源的方式，从三个可能的方向中进行选择。 域服务仅支持林信任。 不支持对本地子域的外部信任。

信任方向	用户访问权限
双向（预览版）	允许托管域和本地域中的用户访问任一域中的资源。
单向传出	允许本地域中的用户访问托管域中的资源，但托管域中的用户不能访问本地域的资源。
单向传入（预览版）	允许托管域中的用户访问本地域中的资源。

本教程介绍如何：

• 配置本地 AD DS 域中的 DNS 以支持域服务连接
• 在托管域和本地域之间创建双向林信任
• 测试和验证林信任关系以进行身份验证和资源访问

如果没有 Azure 订阅，请在开始之前 创建帐户。

先决条件

若要完成本教程，需要以下资源和权限：

• 有效的 Azure 订阅。
  • 如果没有 Azure 订阅，创建帐户。
• 与订阅关联的 Microsoft Entra 租户，与本地目录或纯云目录同步。
  • 如果需要，请创建一个 Microsoft Entra 租户或将 Azure 订阅关联到你的帐户。
• 使用自定义 DNS 域名和有效的 SSL 证书配置的域服务托管域。
  • 如果需要，创建和配置 Microsoft Entra 域服务托管域。
• 可以通过 VPN 或 ExpressRoute 连接从托管域访问的本地 Active Directory 域。
• 需要租户中的应用程序管理员和组管理员 Microsoft Entra 角色才能修改域服务实例。
• 在本地域中有一个有权创建和验证信任关系的域管理员帐户。

重要

至少需要为托管域使用 Enterprise SKU。 如果需要，更改托管域的 SKU。

登录到 Microsoft Entra 管理中心

在本教程中，你将使用 Microsoft Entra 管理中心从域服务创建并配置出站林信任。 若要开始，请先登录到 Microsoft Entra 管理中心。

网络注意事项

托管域服务林的虚拟网络需要与本地 Active Directory 建立 VPN 或 ExpressRoute 连接。 应用程序和服务还需要与托管域服务林的虚拟网络建立网络连接。 与域服务林的网络连接必须始终处于打开状态，否则用户可能无法进行身份验证或访问资源。

在配置域服务中的森林信任之前，请确保 Azure 与本地环境之间的网络满足以下要求：

• 确保防火墙端口允许创建和使用信任所需的流量。 有关需要打开哪些端口才能使用信任的详细信息，请参阅配置 AD DS 信任的防火墙设置。
• 使用专用 IP 地址。 不要依赖于具有动态 IP 地址分配的 DHCP。
• 避免 IP 地址空间重叠，使虚拟网络对等互连和路由能够在 Azure 与本地之间成功通信。
• Azure 虚拟网络需要通过一个网关子网来配置 Azure 站点到站点 (S2S) VPN 或 ExpressRoute 连接。
• 创建具有足够 IP 地址的子网以支持你的方案。
• 请确保域服务有自己的子网，不要将此虚拟网络子网与应用程序 VM 和服务共享。
• 对等互连的虚拟网络不是中转性的。
  • 必须在你要在其中使用对本地 AD DS 环境的域服务林信任的所有虚拟网络之间创建 Azure 虚拟网络对等互连。
• 与本地 Active Directory 林建立持续的网络连接。 请勿使用按需连接。
• 确保域服务林名称与本地 Active Directory 林名称之间存在持续的 DNS 名称解析。

在本地部署域中配置 DNS

若要从本地环境正确解析托管域，可能需要将转发器添加到现有的 DNS 服务器。 若要配置本地环境以与托管域通信，请从本地 AD DS 域的管理工作站完成以下步骤：

1. 选择“启动”>“管理工具”>“DNS”。

2. 选择 DNS 区域，例如 aaddscontoso.com。

3. 选择 条件转发器，然后右键单击并选择 “新建条件转发器...”

4. 输入其他 DNS 域（如 contoso.com），然后输入该命名空间的 DNS 服务器的 IP 地址，如以下示例所示：

   

5. 选中“在 Active Directory 中存储此条件转发器，并按如下方式复制它”复选框，然后选择“此域中的所有 DNS 服务器”选项，如以下示例所示：

   

   重要

   如果条件转发器存储在林中而不是域中，则条件转发器会失败。

6. 若要创建条件转发器，请选择“确定”。

在本地域中创建双向林信任

本地 AD DS 域需要托管域的双向林信任。 必须在本地 AD DS 域中手动创建此信任;无法从 Microsoft Entra 管理中心创建它。

若要在本地 AD DS 域中配置双向信任，请从本地 AD DS 域的管理工作站以域管理员身份完成以下步骤：

1. 选择“开始”>“管理工具”>“Active Directory 域和信任”。
2. 右键单击域（如 onprem.contoso.com），然后选择 属性。
3. 选择“信任” 选项卡，然后选择“新建信任”。
4. 输入域服务域名的名称，例如 aaddscontoso.com，然后选择 下一步。
5. 选择创建“林信任”的选项，然后创建“双向”信任。
6. 选择创建“仅限此域”的信任。 在下一步中，将在托管域的 Microsoft Entra 管理中心中创建信任。
7. 选择使用 域林级别身份验证，然后输入并确认信任密码。 下一部分也需要在 Microsoft Entra 管理中心输入同一密码。
8. 在接下来的几个窗口中使用默认选项完成每个步骤，然后选择选项“否，不要确认传出信任”。
9. 选择“完成”。

如果环境不再需要林信任，请以域管理员的身份完成以下步骤，以将其从本地域中删除：

1. 选择“开始”>“管理工具”>“Active Directory 域和信任”。
2. 右键单击域（如 onprem.contoso.com），然后选择 属性。
3. 选择“信任”选项卡，然后选择“信任此域的域(内向信任)”，单击要删除的信任，然后单击“删除”。
4. 在“信任”选项卡的“受此域信任的域(外向信任)”，单击要删除的信任，然后单击“删除”。
5. 单击“不，只从本地域删除信任”。

在域服务中创建双向林信任

若要在 Microsoft Entra 管理中心为托管域创建双向信任，请完成以下步骤：

1. 在 Microsoft Entra 管理中心中，搜索并选择 Microsoft Entra 域服务，然后选择托管域，例如 aaddscontoso.com。

2. 从托管域左侧的菜单中选择“信任”，然后选择“+ 添加”以添加信任。

3. 选择“双向”作为信任方向。

4. 输入用于标识信任的显示名称，然后输入本地受信任林的 DNS 名称，例如 onprem.contoso.com。

5. 提供在上一部分用于为本地 AD DS 域配置入站林信任的同一信任密码。

6. 为本地 AD DS 域至少提供两个 DNS 服务器，例如 10.1.1.4 和 10.1.1.5。

7. 准备就绪后，保存出站林信任。

   

如果环境不再需要林信任，请完成以下步骤以将其从域服务中删除：

1. 在 Microsoft Entra 管理中心中，搜索并选择 Microsoft Entra 域服务，然后选择托管域，例如 aaddscontoso.com。
2. 从托管域左侧的菜单中选择“信任”，选择林信任，然后单击“删除”。
3. 提供用于配置林信任的同一信任密码，然后单击“确定”。

验证资源认证

可以使用以下常用方案来验证林信任是否正确对用户进行身份验证以及是否正确访问资源：

• 通过域服务林进行本地用户身份验证
• 以本地用户身份访问域服务林中的资源
  • 启用文件和打印机共享
  • 创建安全组并添加成员
  • 为跨林访问创建文件共享
  • 验证向资源进行的跨林身份验证

通过域服务林进行本地用户身份验证

应已将 Windows Server 虚拟机加入托管域。 使用此虚拟机测试本地用户可以在虚拟机上进行身份验证。 如果需要，创建 Windows VM 并将其加入托管域。

1. 使用 Azure Bastion 和域服务管理员凭据连接到已加入域服务林的 Windows Server VM。

2. 打开命令提示符并使用 whoami 命令显示当前已验证用户的专有名称：

   whoami /fqdn
   

3. 以本地域中的用户身份使用 runas 命令进行身份验证。 在以下命令中，请将 userUpn@trusteddomain.com 替换为受信任本地域中某个用户的 UPN。 该命令会提示输入用户的密码：

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. 如果身份验证成功，将打开新的命令提示符。 新命令提示符的标题包括 running as userUpn@trusteddomain.com。

5. 使用新命令提示符中的 whoami /fqdn 来查看本地 Active Directory 中经过身份验证的用户的专有名称。

使用本地用户访问域服务树中的资源

在已加入域服务林的 Windows Server VM 上，您可以测试场景。 例如，可以测试登录到本地域的用户是否可以访问托管域中的资源。 以下示例介绍常见测试方案。

启用文件和打印机共享

1. 使用 Azure Bastion 和域服务管理员凭据连接到已加入域服务林的 Windows Server VM。

2. 打开“Windows 设置”。

3. 搜索并选择“网络和共享中心”。

4. 选择“更改高级共享设置”的选项。

5. 在 域配置文件下，选择 打开文件和打印机共享，然后 保存更改。

6. 关闭 网络和共享中心。

创建安全组并添加成员

1. 打开“Active Directory 用户和计算机”。

2. 右键单击域名，选择 新建，然后选择 组织单位。

3. 在名称框中键入“LocalObjects”，然后选择“确定”。

4. 选择并右键单击导航窗格中的 LocalObjects。 依次选择“新建”、“组”。

5. 在 组名称 框中键入 FileServerAccess。 对于“组作用域”，选择“域本地”，然后选择“确定”。

6. 在内容窗格中，双击 FileServerAccess。 依次选择“成员”、“添加”、“位置”。

7. 从 位置 视图中选择本地 Active Directory，然后选择“确定”。

8. 在“输入要选择的对象名称”框中键入“域用户”。 选择“检查名称”，提供本地 Active Directory 的凭据，然后选择“确定”。

   注意

   必须提供凭据，因为信任关系只是一种方式。 这意味着来自域服务托管域的用户无法访问资源或搜索受信任（本地）域中的用户或组。

9. 来自本地 Active Directory 的 域用户 组应是 FileServerAccess 组的成员。 选择 “确定” 以保存组并关闭窗口。

创建用于跨林访问的文件共享

1. 在加入域服务林的 Windows Server VM 上，创建一个文件夹并提供名称，例如 CrossForestShare。
2. 右键单击文件夹，然后选择 属性。
3. 选择“安全”选项卡，然后选择“编辑”。
4. 在“CrossForestShare 的权限”对话框中，选择“添加”。
5. 在“输入要选择的对象名称”中键入“FileServerAccess”，然后选择“确定”。
6. 从“组或用户名称”列表中选择“FileServerAccess”。 在“FileServerAccess 的权限”列表中，对“修改”和“写入”权限选择“允许”，然后选择“确定”。
7. 选择 共享 选项卡，然后选择 高级共享...。
8. 选择“共享此文件夹”，然后在“共享名称”中为该文件共享输入一个易记的名称，例如“CrossForestShare”。
9. 选择“权限”。 在“每个人的权限”列表中，对“更改”权限选择“允许”。
10. 选择“确定”两次，然后选择“关闭”。

验证向资源进行的跨林身份验证

1. 使用本地 Active Directory 中的用户帐户登录到已加入本地 Active Directory 的 Windows 计算机。

2. 使用完全限定的主机名和共享名称（例如 \\fs1.aaddscontoso.com\CrossforestShare）通过“Windows 资源管理器”连接到你创建的共享。

3. 若要验证写入权限，请在文件夹中右键单击，选择 新建，然后选择 文本文档。 使用默认名称 新文本文档。

   如果正确设置了写入权限，则会创建新的文本文档。 完成以下步骤以根据需要打开、编辑和删除文件。

4. 若要验证读取权限，请打开 新文本文档。

5. 若要验证修改权限，请在文件中添加文本，然后关闭“记事本”。 当系统提示保存更改时，请选择 保存。

6. 若要验证删除权限，请右键单击 “新建文本文档” 并选择 “删除”。 选择 “是” 以确认文件删除。

后续步骤

在本教程中，您学到了如何：

• 在本地 AD DS 环境中配置 DNS 以支持域服务连接
• 在本地 AD DS 环境中创建单向入站林信任
• 在域服务中创建单向出站林信任
• 测试和验证身份验证和资源访问的信任关系

有关域服务中森林的更多概念性信息，请参阅 域服务中的林信任是如何工作的？。