實作及設定 Microsoft Entra Domain Services
使用僅限雲端 Microsoft Entra ID 的組織可以啟用 Azure VNet 的 Microsoft Entra Domain Services,然後取得新的受控網域。 可在新建立的網域中使用 Microsoft Entra ID 中的使用者與群組,其中包含的目錄服務與內部部署 AD DS 類似,可提供群組原則、Kerberos 通訊協定與 LDAP 支援。
您可以將執行 Windows 的 Azure VM,加入新建立的網域,也可以使用基本群組原則設定加以管理。 藉由啟用 Microsoft Entra Domain Services,NTLM 和 Kerberos 驗證所需的認證雜湊會儲存在 Microsoft Entra ID 中。
由於 Contoso 是混合式組織,因此他們可以使用 Microsoft Entra Connect,從內部部署 AD DS 與 Microsoft Entra Domain Services 整合其身分識別。 混合式組織中的使用者在內部部署基礎結構中存取網域資源,或從已整合 Microsoft Entra Domain Services 的 Azure 虛擬網路中執行 VM 存取資源時,將可享有相同體驗。
實作 Microsoft Entra Domain Services
若要實作、設定及使用 Microsoft Entra Domain Services,您必須在 Microsoft Entra 訂用帳戶上建立 Microsoft Entra 租用戶。 此外,若要使用 Microsoft Entra Domain Services,您必須使用 Microsoft Entra Connect 部署密碼雜湊同步。 這是必要步驟,因為 Microsoft Entra Domain Services 會提供 NTLM 與 Kerberos 驗證,所以需要使用者的認證。
當您為租用戶啟用 Microsoft Entra Domain Services 時,必須選取此服務所要使用的 DNS 網域名稱。 您也必須選取將與您內部部署環境同步的網域。
警告
您不應使用現有的 Azure 或內部部署 DNS 網域名稱空間。
下表列出可用的 DNS 網域名稱選項。
| 選項 | 描述 |
|---|---|
| 內建網域名稱 | 根據預設會使用目錄的內建網域名稱 (尾碼為 .onmicrosoft.com)。 若您要允許從網際網路,透過安全的 LDAP 存取受控網域,就無法建立數位憑證來保護對此預設網域的連線。 Microsoft 擁有 .onmicrosoft.com 網域,因此憑證授權單位 (CA) 將不會核發憑證。 |
| 自訂網域名稱 | 最常見的方法是指定自訂網域名稱,通常是您已擁有且可路由的網域名稱。 當您使用可路由的自訂網域時,流量可以視需要正確流動以支援您的應用程式。 |
| 無法路由的網域尾碼 | 我們通常會建議您避免非可路由的網域名稱尾碼,例如 contoso.local。 .local 尾碼表示無法路由,而且可能會導致 DNS 解析的問題。 |
提示
您必須為環境中的其他服務,或環境中現有 DNS 命名空間之間的條件式 DNS 轉寄站,建立額外的 DNS 記錄。
![此螢幕擷取畫面顯示 Azure 入口網站中 [建立 Microsoft Entra Domain Services 精靈] 的 [基本資料] 索引標籤。這些設定已定義如下:資源群組為 ContosoResourceGroup、DNS 網域名稱為 ContosoDemo.com,SKU 為 Enterprise。](../../wwl-azure/implement-hybrid-identity-windows-server/media/m12-create-azure-adds.png)
實作期間,您也必須選取要佈建的樹系類型。 「樹系」是 AD DS 用以將一或多個網域分組的邏輯建構。 共有兩個樹系類型,如下表所述。
| 樹系類型 | 描述 |
|---|---|
| User | 這種類型的樹系會同步來自 Microsoft Entra ID 的所有物件,包括在內部部署 AD DS 環境中建立的任何使用者帳戶。 |
| 資源 | 此樹系類型只會同步直接在 Microsoft Entra ID 中建立的使用者與群組。 |
接下來,您必須選擇建立受控網域所在的 Azure 位置。 若您選擇的區域支援可用性區域,Microsoft Entra Domain Services 資源就會散發到各區域中,作為額外備援之用。
注意
您無須設定將 Microsoft Entra Domain Services 散發到各區域。 Azure 平台會自動管理資源的區域散發。
您也必須選取此服務所要連線的 VNet。 因為 Microsoft Entra Domain Services 提供內部部署資源的功能,所以您的本機與 Azure 環境之間,必須具有 VNet。
![此螢幕擷取畫面顯示 Azure 入口網站中 [建立 Microsoft Entra Domain Services 精靈] 的 [網路] 索引標籤。系統管理員輸入了虛擬網路與子網路詳細資料。](../../wwl-azure/implement-hybrid-identity-windows-server/media/m12-create-azure-adds-2.png)
在佈建期間,Microsoft Entra Domain Services 會在您的 Microsoft Entra 租用戶中建立兩個企業應用程式。 這些應用程式是服務您受控網域的必要項目,因此不應刪除。 這些企業應用程式是:
- 網域控制站服務。
- Azure Active Directory Domain Controller Services。
部署 Microsoft Entra Domain Services 執行個體後必須設定 VNet,才能讓其他連線的 VM 與應用程式使用受控網域。 若要提供此連線,必須更新 VNet 的 DNS 伺服器設定,將其指向與您 Azure AD DS 執行個體連結的 IP 位址。
若要驗證受控網域上的使用者,Microsoft Entra Domain Services 需要格式適合 NTLM 和 Kerberos 驗證的密碼雜湊。 在您為租用戶啟用 Microsoft Entra Domain Services 之前,Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式產生或儲存密碼雜湊。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。 設定密碼雜湊之後,其就會儲存在 Microsoft Entra Domain Services 受控網域中。
注意
若您刪除 Microsoft Entra Domain ServicesS 受控網域,將會一併刪除那時儲存的所有密碼雜湊。
當您在之後建立 Microsoft Entra Domain Services 受控網域時,將無法再重複使用 Microsoft Entra ID 中同步的認證資訊。您必須重新設定密碼雜湊同步,才能再次儲存密碼雜湊。 Microsoft Entra ID 必須在新的 Microsoft Entra Domain Services 受控網域中產生密碼雜湊和加以儲存,因此先前加入網域的 VM 或使用者將無法立即進行驗證。
針對在 Microsoft Entra ID 中建立的僅限雲端使用者帳戶產生和儲存這些密碼雜湊的步驟,與使用 Microsoft Entra Connect 從內部部署目錄同步的使用者帳戶的步驟不同。 僅限雲端使用者帳戶是使用 Azure 入口網站或 Microsoft Graph PowerShell Cmdlet 在 Microsoft Entra 目錄中建立的帳戶。 這些使用者帳戶不會從內部部署目錄同步。
針對僅限雲端的使用者帳戶,使用者必須先變更其密碼,才能使用 Microsoft Entra Domain Services。 此密碼變更流程會在 Microsoft Entra ID 中產生並儲存 Kerberos 驗證與 NTLM 驗證的密碼雜湊。 帳戶不會從 Microsoft Entra ID 同步至 Microsoft Entra Domain Services,直到密碼變更為止。 請將租用戶中所有需要使用 Microsoft Entra Domain Services 的雲端使用者密碼設為過期 (這會在下次登入時強制變更密碼),或是指示雲端使用者手動變更密碼。
提示
您必須先將 Microsoft Entra 租用戶設定為自助式密碼重設,使用者才能重設他們的密碼。
延伸閱讀
若要深入了解,請檢閱下列文件。
- 教學課程:使用進階設定選項建立及設定 Microsoft Entra Domain Services 受控網域 。
- 教學課程:在 Microsoft Entra Domain Services 中建立內部部署網域的輸出樹系信任 (預覽版)
- 使用 Microsoft Entra Connect 同步處理實作密碼雜湊同步。