将 Microsoft Entra 域服务与 RDS 部署集成

可以在远程桌面服务部署中使用 Microsoft Entra 域服务代替 Windows Server Active Directory。 借助 Microsoft Entra 域服务,可将现有 Microsoft Entra 标识与经典 Windows 工作负载一起使用。

通过 Microsoft Entra 域服务,可以:

  • 为云中生成的组织创建一个具有本地域的 Azure 环境。
  • 使用用于本地和在线环境的同一标识,创建一个隔离的 Azure 环境,无需创建站点到站点 VPN 或 ExpressRoute。

将 Microsoft Entra 域服务集成到远程桌面部署后,你的体系结构将如下所示:

An architecture diagram showing RDS with Microsoft Entra Domain Services

要了解此体系结构与其他 RDS 部署方案的比较,请查看远程桌面服务体系结构

若要深入了解 Microsoft Entra 域服务,请查看 Microsoft Entra 域服务概述如何确定 Microsoft Entra 域服务是否适合你的用例

使用以下信息并通过 RDS 部署 Microsoft Entra 域服务。

先决条件

在将 Microsoft Entra ID 中的标识用于 RDS 部署之前,请配置 Microsoft Entra ID 以保存用户标识的哈希密码。 云中生成的组织不需要在其目录中进行任何其他更改,但是,本地组织需要允许密码哈希在 Microsoft Entra ID 中同步并存储,对于某些组织而言,这可能是不允许的。 进行此配置更改后,用户必须重置密码。

部署 Microsoft Entra 域服务和 RDS

使用以下步骤部署 Microsoft Entra 域服务和 RDS。

  1. 启用 Microsoft Entra 域服务。 请注意,链接的文章将:

    • 引导用户创建合适的 Microsoft Entra 组以管理域。
    • 在可能需要强制用户更改其密码以便其帐户能使用 Microsoft Entra 域服务时突出显示。
  2. 设置 RDS。 你可以使用 Azure 模板,也可以手动部署 RDS。

    • 使用现有 AD 模板。 确保自定义以下内容:

      • 设置

        • 资源组:使用要在其中创建 RDS 资源的资源组。

          注意

          现在,这必须是 Azure 资源管理器虚拟网络所在的同一资源组。

        • Dns 标签前缀:输入你希望用户用于访问 RD Web 的 URL。

        • Ad 域名:输入 Microsoft Entra 实例的全名,例如“contoso.onmicrosoft.com”或“contoso.com”。

        • Ad Vnet 名称Ad 子网名称:输入在创建 Azure 资源管理器虚拟网络时使用的相同值。 这是 RDS 资源将连接到的子网。

        • 管理员用户名管理员密码:输入管理员用户的凭据,而该用户是 Microsoft Entra ID 中 AAD DC 管理员组的成员。

      • 模板

        • 删除 dnsServers 的所有属性:从 Azure 快速入门模板页面中选择编辑模板后,搜索“dnsServers”并删除该属性。

          例如,在删除 dnsServers 属性之前:

          Azure quickstart template with dnsSettings property

          下面是删除属性之后的同一文件:

          Azure quickstart template with dnsSettings property removed

    • 手动部署 RDS