Kurz: Připojení virtuálního počítače s Windows Serverem k spravované doméně Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, protokol LDAP nebo ověřování Kerberos/NTLM, které jsou plně kompatibilní s Windows Server Active Directory. Pomocí spravované domény Azure AD DS můžete virtuálním počítačům v Azure poskytovat funkce připojení k doméně a správu. V tomto kurzu se dozvíte, jak vytvořit virtuální počítač s Windows Serverem a pak ho připojit ke spravované doméně.

V tomto kurzu se naučíte:

• Vytvoření virtuálního počítače s Windows Serverem
• Připojení virtuálního počítače s Windows Serverem k virtuální síti Azure
• Připojení virtuálního počítače ke spravované doméně

Pokud nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující zdroje informací:

• Musíte mít aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte si účet.
• Tenant Azure Active Directory přidružený k vašemu předplatnému, synchronizovaný s místním adresářem nebo výhradně cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Azure Active Directory nebo přidružte předplatné Azure ke svému účtu.
• Ve vašem tenantovi Azure AD je povolená a nakonfigurovaná spravovaná doména Azure Active Directory Domain Services.
  • V případě potřeby vytvořte a nakonfigurujte spravovanou doménu Azure Active Directory Domain Services.
• Uživatelský účet, který je součástí spravované domény.
  • Ujistěte se, že byla provedena synchronizace hodnot hash hesel Azure AD Connect nebo samoobslužné resetování hesla, aby se účet mohl přihlásit ke spravované doméně.
• Hostitel Služby Azure Bastion nasazený ve vaší virtuální síti Azure AD DS.
  • V případě potřeby vytvořte hostitele služby Azure Bastion.

Pokud už máte virtuální počítač, ke kterému se chcete připojit k doméně, přeskočte k části a připojte virtuální počítač ke spravované doméně.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte virtuální počítač s Windows Serverem pro připojení ke spravované doméně pomocí Azure Portal. Začněte tím, že se nejdřív přihlásíte k Azure Portal.

Vytvoření virtuálního počítače s Windows Serverem

Pokud chcete zjistit, jak připojit počítač ke spravované doméně, vytvoříme virtuální počítač s Windows Serverem. Tento virtuální počítač je připojený k virtuální síti Azure, která poskytuje připojení ke spravované doméně. Proces připojení ke spravované doméně je stejný jako připojení k běžné doméně místní Active Directory Domain Services.

Pokud už máte virtuální počítač, ke kterému se chcete připojit k doméně, přeskočte k části a připojte virtuální počítač ke spravované doméně.

1. V nabídce Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

2. V části Začínáme zvolte Windows Server 2016 Datacenter.

   

3. V okně Základy nakonfigurujte základní nastavení virtuálního počítače. Ponechte výchozí hodnoty pro Možnosti dostupnosti, Image a Velikost.

   Parametr	Navrhovaná hodnota
   Skupina prostředků	Vyberte nebo vytvořte skupinu prostředků, například myResourceGroup.
   Název virtuálního počítače	Zadejte název virtuálního počítače, například myVM.
   Oblast	Zvolte oblast, ve které se má virtuální počítač vytvořit, například USA – východ.
   Uživatelské jméno	Zadejte uživatelské jméno pro účet místního správce, který se má na virtuálním počítači vytvořit, například azureuser.
   Heslo	Zadejte a potvrďte zabezpečené heslo, které má místní správce vytvořit na virtuálním počítači. Nezadávejte přihlašovací údaje účtu uživatele domény.

4. Ve výchozím nastavení jsou virtuální počítače vytvořené v Azure přístupné z internetu pomocí protokolu RDP. Pokud je povolený protokol RDP, pravděpodobně dojde k automatizovaným útokům na přihlášení, které můžou kvůli několika neúspěšným pokusům o přihlášení zakázat účty s běžnými jmény, jako je správce nebo správce .

   Protokol RDP by měl být povolený jenom v případě potřeby a omezený na sadu autorizovaných rozsahů IP adres. Tato konfigurace pomáhá zlepšit zabezpečení virtuálního počítače a snižuje prostor pro potenciální útok. Nebo vytvořte a použijte hostitele Služby Azure Bastion, který umožňuje přístup pouze prostřednictvím Azure Portal přes protokol TLS. V dalším kroku tohoto kurzu použijete hostitele Azure Bastion k zabezpečenému připojení k virtuálnímu počítači.

   V části Veřejné příchozí porty vyberte Žádné.

5. Po dokončení vyberte Další: Disky.

6. V rozevírací nabídce pro typ disku s operačním systémem zvolte SSD úrovně Standard a pak vyberte Další: Sítě.

7. Virtuální počítač se musí připojit k podsíti virtuální sítě Azure, která může komunikovat s podsítí, ve které je vaše spravovaná doména nasazená. Doporučujeme, aby se spravovaná doména nasadila do vlastní vyhrazené podsítě. Virtuální počítač nenasazujte ve stejné podsíti jako spravovaná doména.

   Virtuální počítač můžete nasadit dvěma hlavními způsoby, jak se připojit k příslušné podsíti virtuální sítě:

   • Vytvořte nebo vyberte existující podsíť ve stejné virtuální síti, ve které je nasazená vaše spravovaná doména.
   • Vyberte podsíť ve virtuální síti Azure, která je k ní připojená pomocí partnerského vztahu virtuálních sítí Azure.

   Pokud vyberete podsíť virtuální sítě, která není připojená k podsíti pro vaši spravovanou doménu, nemůžete virtuální počítač připojit ke spravované doméně. Pro účely tohoto kurzu vytvoříme novou podsíť ve virtuální síti Azure.

   V podokně Sítě vyberte virtuální síť, ve které je vaše spravovaná doména nasazená, například aaads-vnet.

8. V tomto příkladu je znázorněna existující podsíť aaads-, ke které je spravovaná doména připojená. Nepřipojujte virtuální počítač k této podsíti. Pokud chcete pro virtuální počítač vytvořit podsíť, vyberte Spravovat konfiguraci podsítě.

   

9. V levé nabídce okna virtuální sítě vyberte Adresní prostor. Virtuální síť se vytvoří s jedním adresním prostorem 10.0.2.0/24, který používá výchozí podsíť. Můžou už existovat i jiné podsítě , například pro úlohy nebo Azure Bastion.

   Přidejte do virtuální sítě další rozsah IP adres. Velikost tohoto rozsahu adres a skutečný rozsah IP adres, které se mají použít, závisí na jiných síťových prostředcích, které jsou už nasazené. Rozsah IP adres by se neměl překrývat s žádnými existujícími rozsahy adres ve vašem prostředí Azure ani v místním prostředí. Ujistěte se, že máte dostatečně velký rozsah IP adres pro počet virtuálních počítačů, které plánujete nasadit do podsítě.

   V následujícím příkladu se přidá další rozsah IP adres 10.0.5.0/24 . Až budete připravení, vyberte Uložit.

   

10. Potom v levé nabídce okna virtuální sítě vyberte Podsítě a pak zvolte + Podsíť a přidejte podsíť.

11. Vyberte + Podsíť a zadejte název podsítě, například správa. Zadejte rozsah adres (blok CIDR), například 10.0.5.0/24. Ujistěte se, že se tento rozsah IP adres nepřekrývá s žádným jiným existujícím rozsahem adres Azure nebo místními rozsahy adres. U ostatních možností ponechte výchozí hodnoty a pak vyberte OK.

    

12. Vytvoření podsítě trvá několik sekund. Po vytvoření zavřete výběrem X okno podsítě.

13. Vraťte se do podokna Sítě a vytvořte virtuální počítač a v rozevírací nabídce vyberte podsíť, kterou jste vytvořili, například správa. Znovu se ujistěte, že jste zvolili správnou podsíť a nenasazujte virtuální počítač ve stejné podsíti jako spravovaná doména.

14. V části Veřejná IP adresa vyberte v rozevírací nabídce Žádná . Vzhledem k tomu, že v tomto kurzu používáte Azure Bastion pro připojení ke správě, nepotřebujete k virtuálnímu počítači přiřazovat veřejnou IP adresu.

15. U ostatních možností ponechte výchozí hodnoty a pak vyberte Správa.

16. Nastavte Diagnostiku spouštění na Vypnuto. U ostatních možností ponechte výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

17. Zkontrolujte nastavení virtuálního počítače a pak vyberte Vytvořit.

Vytvoření virtuálního počítače trvá několik minut. Azure Portal zobrazuje stav nasazení. Jakmile bude virtuální počítač připravený, vyberte Přejít k prostředku.

Připojení k virtuálnímu počítači s Windows Serverem

Pokud se chcete bezpečně připojit k virtuálním počítačům, použijte hostitele Služby Azure Bastion. Se službou Azure Bastion se do virtuální sítě nasadí spravovaný hostitel, který k virtuálním počítačům poskytuje webová připojení RDP nebo SSH. Virtuální počítače nevyžadují žádné veřejné IP adresy a pro externí vzdálený provoz nemusíte otevírat pravidla skupin zabezpečení sítě. K virtuálním počítačům se připojujete pomocí Azure Portal z webového prohlížeče. V případě potřeby vytvořte hostitele Služby Azure Bastion.

Pokud chcete pro připojení k virtuálnímu počítači použít hostitele Bastionu, proveďte následující kroky:

1. V podokně Přehled virtuálního počítače vyberte Připojit a pak Bastion.

   

2. Zadejte přihlašovací údaje pro virtuální počítač, které jste zadali v předchozí části, a pak vyberte Připojit.

   

V případě potřeby povolte webovému prohlížeči otevírání automaticky otevíraných oken, aby se zobrazilo připojení Bastion. Vytvoření připojení k virtuálnímu počítači trvá několik sekund.

Připojení virtuálního počítače ke spravované doméně

Po vytvoření virtuálního počítače a webovém připojení RDP vytvořeném pomocí služby Azure Bastion teď připojíme virtuální počítač s Windows Serverem ke spravované doméně. Tento proces je stejný jako počítač, který se připojuje k běžné doméně místní Active Directory Domain Services.

1. Pokud se Správce serveru při přihlášení k virtuálnímu počítači ve výchozím nastavení neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

2. V levém podokně okna Správce serveru vyberte Místní server. V části Vlastnosti v pravém podokně zvolte Pracovní skupina.

   

3. V okně Vlastnosti systému vyberte Změnit a připojte se ke spravované doméně.

   

4. Do pole Doména zadejte název spravované domény, například aaddscontoso.com, a pak vyberte OK.

   

5. Zadejte přihlašovací údaje domény pro připojení k doméně. Zadejte přihlašovací údaje pro uživatele, který je součástí spravované domény. Účet musí být součástí spravované domény nebo Azure AD tenanta – účty z externích adresářů přidružených k vašemu Azure AD tenantovi se během procesu připojení k doméně nemůžou správně ověřit.

   Přihlašovací údaje účtu je možné zadat jedním z následujících způsobů:

   • Formát UPN (doporučeno) – Zadejte příponu hlavního názvu uživatele (UPN) pro uživatelský účet nakonfigurovanou v Azure AD. Například přípona hlavního názvu uživatele (UPN) uživatele contosoadmin by byla contosoadmin@aaddscontoso.onmicrosoft.com. Existuje několik běžných případů použití, kdy se k přihlášení k doméně dá spolehlivě použít formát hlavního názvu uživatele (UPN) místo formátu SAMAccountName :
     • Pokud je předpona hlavního názvu uživatele (UPN) dlouhá, například deehasareallylongname, může být samAccountName automaticky vygenerována.
     • Pokud má ve vašem tenantovi Azure AD stejnou předponu hlavního názvu uživatele (UPN) více uživatelů, například dee, může se automaticky vygenerovat jejich formát SAMAccountName.
   • Formát SAMAccountName – zadejte název účtu ve formátu SAMAccountName . Například SAMAccountName uživatele contosoadmin bude AADDSCONTOSO\contosoadmin.

6. Připojení ke spravované doméně trvá několik sekund. Po dokončení vás do domény uvítá následující zpráva:

   

   Pokračujte výběrem tlačítka OK.

7. Pokud chcete dokončit proces připojení ke spravované doméně, restartujte virtuální počítač.

Tip

Virtuální počítač můžete připojit k doméně pomocí PowerShellu pomocí rutiny Add-Computer . Následující příklad připojí doménu AADDSCONTOSO a pak restartuje virtuální počítač. Po zobrazení výzvy zadejte přihlašovací údaje uživatele, který je součástí spravované domény:

Add-Computer -DomainName AADDSCONTOSO -Restart

Pokud chcete virtuální počítač připojit k doméně bez připojení k němu a ručně nakonfigurovat připojení, můžete použít rutinu Set-AzVmAdDomainExtension Azure PowerShell.

Po restartování virtuálního počítače s Windows Serverem se do virtuálního počítače nasdílí všechny zásady použité ve spravované doméně. Teď se také můžete přihlásit k virtuálnímu počítači s Windows Serverem pomocí příslušných přihlašovacích údajů domény.

Vyčištění prostředků

V dalším kurzu použijete tento virtuální počítač s Windows Serverem k instalaci nástrojů pro správu, které vám umožní spravovat spravovanou doménu. Pokud nechcete pokračovat v této sérii kurzů, projděte si následující postup vyčištění virtuálního počítače. V opačném případě pokračujte dalším kurzem.

Zrušení připojení virtuálního počítače ke spravované doméně

Pokud chcete virtuální počítač odebrat ze spravované domény, znovu postupujte podle pokynů a připojte ho k doméně. Místo připojení ke spravované doméně zvolte připojení k pracovní skupině, například k výchozí pracovní skupině WORKGROUP. Po restartování virtuálního počítače se objekt počítače odebere ze spravované domény.

Pokud odstraníte virtuální počítač, aniž byste se odpojí s doménou, zůstane objekt osamocený počítač v Azure AD DS.

Odstranění virtuálního počítače

Pokud tento virtuální počítač s Windows Serverem nebudete používat, odstraňte ho pomocí následujícího postupu:

1. V nabídce vlevo vyberte Skupiny prostředků.
2. Zvolte skupinu prostředků, například myResourceGroup.
3. Zvolte svůj virtuální počítač, například myVM, a pak vyberte Odstranit. Výběrem možnosti Ano potvrďte odstranění prostředku. Odstranění virtuálního počítače trvá několik minut.
4. Po odstranění virtuálního počítače vyberte disk s operačním systémem, síťovou kartu a všechny další prostředky s předponou myVM- a odstraňte je.

Řešení potíží s připojením k doméně

Virtuální počítač s Windows Serverem by se měl úspěšně připojit ke spravované doméně stejným způsobem, jako by se běžný místní počítač připojil k Active Directory Domain Services doméně. Pokud se virtuální počítač s Windows Serverem nemůže připojit ke spravované doméně, znamená to, že došlo k problému s připojením nebo přihlašovacími údaji. Pokud chcete úspěšně připojit spravovanou doménu, projděte si následující části řešení potíží.

Problémy s připojením

Pokud se nezobrazí výzva s výzvou k zadání přihlašovacích údajů pro připojení k doméně, dojde k problému s připojením. Virtuální počítač se nemůže připojit ke spravované doméně ve virtuální síti.

Po vyzkoušení každého z těchto kroků při řešení potíží zkuste virtuální počítač s Windows Serverem znovu připojit ke spravované doméně.

• Ověřte, že je virtuální počítač připojený ke stejné virtuální síti, ve které je povolená Azure AD DS nebo má partnerské síťové připojení.
• Zkuste příkazem ping zadat název domény DNS spravované domény, například ping aaddscontoso.com.
  • Pokud požadavek ping selže, zkuste příkazem ping odeslat příkaz ping ip adresy pro spravovanou doménu, například ping 10.0.0.4. IP adresa vašeho prostředí se zobrazí na stránce Vlastnosti , když vyberete spravovanou doménu ze seznamu prostředků Azure.
  • Pokud můžete příkazem ping zadat IP adresu, ale ne doménu, může být dns nesprávně nakonfigurovaný. Ověřte, že JSOU IP adresy spravované domény nakonfigurované jako servery DNS pro virtuální síť.
• Zkuste na virtuálním počítači vyprázdnit mezipaměť překladače ipconfig /flushdns DNS pomocí příkazu .

Problémy související s přihlašovacími údaji

Pokud se zobrazí výzva s výzvou k zadání přihlašovacích údajů pro připojení k doméně, ale po zadání těchto přihlašovacích údajů dojde k chybě, virtuální počítač se může připojit ke spravované doméně. Zadané přihlašovací údaje pak virtuálnímu počítači nedovolí připojit se ke spravované doméně.

Po vyzkoušení každého z těchto kroků při řešení potíží zkuste virtuální počítač s Windows Serverem znovu připojit ke spravované doméně.

• Ujistěte se, že zadaný uživatelský účet patří do spravované domény.
• Ověřte, že je účet součástí spravované domény nebo tenanta Azure AD. Účty z externích adresářů přidružených k vašemu tenantovi Azure AD se během procesu připojení k doméně nemůžou správně ověřit.
• Zkuste zadat přihlašovací údaje pomocí formátu UPN, například contosoadmin@aaddscontoso.onmicrosoft.com. Pokud je ve vašem tenantovi mnoho uživatelů se stejnou předponou hlavního názvu uživatele (UPN) nebo pokud je předpona hlavního názvu uživatele (UPN) příliš dlouhá, může se automaticky vygenerovat název SAMAccountName pro váš účet. V těchto případech se formát SAMAccountName pro váš účet může lišit od toho, co očekáváte nebo používáte ve své místní doméně.
• Zkontrolujte, že jste povolili synchronizaci hesel do spravované domény. Bez tohoto kroku konfigurace nebudou ve spravované doméně k dispozici požadované hodnoty hash hesel pro správné ověření vašeho pokusu o přihlášení.
• Počkejte na dokončení synchronizace hesel. Když se změní heslo uživatelského účtu, automatická synchronizace na pozadí z Azure AD aktualizuje heslo v Azure AD DS. Nějakou dobu trvá, než bude heslo k dispozici pro použití připojení k doméně.

Další kroky

V tomto kurzu jste se naučili:

• Vytvoření virtuálního počítače s Windows Serverem
• Připojení k virtuálnímu počítači s Windows Serverem k virtuální síti Azure
• Připojení virtuálního počítače ke spravované doméně

Pokud chcete spravovat spravovanou doménu, nakonfigurujte virtuální počítač pro správu pomocí Centra správy služby Active Directory (ADAC).

Instalace nástrojů pro správu na virtuální počítač pro správu