Kurz: Připojení virtuálního počítače s Windows Serverem ke spravované doméně služby Microsoft Entra Domain Services

  • Článek

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování Kerberos/NTLM, které je plně kompatibilní se službou Windows Server Active Directory. Se spravovanou doménou domain Services můžete poskytovat funkce a správu připojení k doméně virtuálním počítačům v Azure. V tomto kurzu se dozvíte, jak vytvořit virtuální počítač s Windows Serverem a pak ho připojit ke spravované doméně.

V tomto kurzu se naučíte:

  • Vytvoření virtuálního počítače s Windows Serverem
  • Připojení virtuální počítač s Windows Serverem do virtuální sítě Azure
  • Připojení virtuálního počítače ke spravované doméně

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující zdroje informací:

  • Aktivní předplatné Azure.
  • Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • Uživatelský účet, který je součástí spravované domény.
    • Ujistěte se, že byla provedena synchronizace hodnot hash hesel nebo samoobslužné resetování hesla microsoft Entra Připojení, aby se účet mohl přihlásit ke spravované doméně.
  • Hostitel služby Azure Bastion nasazený ve virtuální síti Domain Services.

Pokud už máte virtuální počítač, ke kterému chcete připojit doménu, přeskočte do části pro připojení virtuálního počítače ke spravované doméně.

Přihlaste se do Centra pro správu Microsoft Entra

V tomto kurzu vytvoříte virtuální počítač s Windows Serverem pro připojení ke spravované doméně pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do Centra pro správu Microsoft Entra.

Vytvoření virtuálního počítače s Windows Serverem

Pokud chcete zjistit, jak připojit počítač ke spravované doméně, vytvoříme virtuální počítač s Windows Serverem. Tento virtuální počítač je připojený k virtuální síti Azure, která poskytuje připojení ke spravované doméně. Proces připojení ke spravované doméně je stejný jako připojování k běžné doméně místní Active Directory Domain Services.

Pokud už máte virtuální počítač, ke kterému chcete připojit doménu, přeskočte do části pro připojení virtuálního počítače ke spravované doméně.

  1. V nabídce Centra pro správu Microsoft Entra nebo na domovské stránce vyberte Vytvořit prostředek.

  2. V nabídce Začínáme zvolte Windows Server 2016 Datacenter.

    Choose to create a Windows Server 2016 Datacenter VM

  3. V okně Základy nakonfigurujte základní nastavení pro virtuální počítač. U možností dostupnosti, image a velikosti ponechte výchozí hodnoty.

    Parametr Navrhovaná hodnota
    Skupina prostředků Vyberte nebo vytvořte skupinu prostředků, například myResourceGroup.
    Virtual machine name Zadejte název virtuálního počítače, například myVM.
    Oblast Zvolte oblast, ve které chcete vytvořit virtuální počítač, například USA – východ.
    Username Zadejte uživatelské jméno pro účet místního správce, které se má vytvořit na virtuálním počítači, například azureuser.
    Password Zadejte a potvrďte zabezpečené heslo, které má místní správce vytvořit na virtuálním počítači. Nezadávejte přihlašovací údaje uživatelského účtu domény. Windows LAPS se nepodporuje.

  4. Ve výchozím nastavení jsou virtuální počítače vytvořené v Azure přístupné z internetu pomocí protokolu RDP. Pokud je povolený protokol RDP, pravděpodobně dojde k automatizovaným útokům na přihlášení, které můžou účty s běžnými názvy, jako je správce nebo správce , zakázat kvůli několika neúspěšným pokusům o přihlášení.

    Protokol RDP by měl být povolený jenom v případě potřeby a omezen na sadu autorizovaných rozsahů IP adres. Tato konfigurace pomáhá zlepšit zabezpečení virtuálního počítače a snížit oblast potenciálního útoku. Nebo vytvořte a použijte hostitele Služby Azure Bastion, který umožňuje přístup pouze prostřednictvím Centra pro správu Microsoft Entra přes protokol TLS. V dalším kroku tohoto kurzu použijete hostitele služby Azure Bastion k bezpečnému připojení k virtuálnímu počítači.

    V části Veřejné příchozí porty vyberte Žádné.

  5. Až budete hotovi, vyberte Další: Disky.

  6. V rozevírací nabídce pro typ disku s operačním systémem zvolte Ssd úrovně Standard a pak vyberte Další: Sítě.

  7. Váš virtuální počítač se musí připojit k podsíti virtuální sítě Azure, do které může komunikovat s podsítí, do které je vaše spravovaná doména nasazená. Doporučujeme nasadit spravovanou doménu do vlastní vyhrazené podsítě. Nenasazujte virtuální počítač do stejné podsítě jako spravovaná doména.

    Virtuální počítač můžete nasadit dvěma hlavními způsoby a připojit se k příslušné podsíti virtuální sítě:

    • Vytvořte nebo vyberte existující podsíť ve stejné virtuální síti jako vaše spravovaná doména.
    • Vyberte podsíť ve virtuální síti Azure, která je k ní připojená pomocí partnerského vztahu virtuálních sítí Azure.

    Pokud vyberete podsíť virtuální sítě, která není připojená k podsíti pro vaši spravovanou doménu, nemůžete virtuální počítač připojit ke spravované doméně. V tomto kurzu vytvoříme novou podsíť ve virtuální síti Azure.

    V podokně Sítě vyberte virtuální síť, ve které je nasazená vaše spravovaná doména, například aaads-vnet.

  8. V tomto příkladu se zobrazuje existující podsíť aaads-subnet , ke které je spravovaná doména připojená. Nepřipojujte virtuální počítač k této podsíti. Pokud chcete vytvořit podsíť pro virtuální počítač, vyberte Spravovat konfiguraci podsítě.

    Choose to manage the subnet configuration

  9. V levé nabídce okna virtuální sítě vyberte Adresní prostor. Virtuální síť se vytvoří s jedním adresním prostorem 10.0.2.0/24, který se používá ve výchozí podsíti. Jiné podsítě, jako jsou úlohy nebo Azure Bastion, už můžou existovat.

    Přidejte do virtuální sítě další rozsah IP adres. Velikost tohoto rozsahu adres a skutečného rozsahu IP adres, který se má použít, závisí na jiných síťových prostředcích, které jsou už nasazené. Rozsah IP adres by se neměl překrývat s žádnými existujícími rozsahy adres ve vašem prostředí Azure ani v místním prostředí. Ujistěte se, že velikost rozsahu IP adres dostatečně velký pro počet virtuálních počítačů, které očekáváte, že se nasadí do podsítě.

    V následujícím příkladu se přidá další rozsah IP adres 10.0.5.0/24 . Až budete připraveni, vyberte Uložit.

    Add an additional virtual network IP address range

  10. V levé nabídce okna virtuální sítě vyberte Podsítě a pak zvolte + Podsíť a přidejte podsíť .

  11. Vyberte + Podsíť a zadejte název podsítě, například správu. Zadejte rozsah adres (blok CIDR), například 10.0.5.0/24. Ujistěte se, že se tento rozsah IP adres nepřekrývá s žádným jiným existujícím rozsahem adres Azure nebo místním rozsahem adres. U ostatních možností ponechte výchozí hodnoty a pak vyberte OK.

    Create a subnet configuration

  12. Vytvoření podsítě trvá několik sekund. Po vytvoření zavřete okno podsítě výběrem symbolu X .

  13. V podokně Sítě vytvořte virtuální počítač tak, že v rozevírací nabídce vyberete podsíť, kterou jste vytvořili, například správu. Znovu se ujistěte, že zvolíte správnou podsíť a nenasadíte virtuální počítač do stejné podsítě jako spravovaná doména.

  14. V části Veřejná IP adresa vyberte v rozevírací nabídce možnost Žádné . Při použití služby Azure Bastion v tomto kurzu pro připojení ke správě nepotřebujete veřejnou IP adresu přiřazenou k virtuálnímu počítači.

  15. U ostatních možností ponechte výchozí hodnoty a pak vyberte Správa.

  16. Nastavte diagnostiku spouštění na vypnuto. U ostatních možností ponechte výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  17. Zkontrolujte nastavení virtuálního počítače a pak vyberte Vytvořit.

Vytvoření virtuálního počítače trvá několik minut. Centrum pro správu Microsoft Entra zobrazuje stav nasazení. Jakmile je virtuální počítač připravený, vyberte Přejít k prostředku.

Go to the VM resource once it's successfully created

Připojení k virtuálnímu počítači s Windows Serverem

Pokud se chcete bezpečně připojit k virtuálním počítačům, použijte hostitele Služby Azure Bastion. Pomocí služby Azure Bastion se spravovaný hostitel nasadí do vaší virtuální sítě a poskytuje webové připojení RDP nebo SSH k virtuálním počítačům. Virtuální počítače nevyžadují žádné veřejné IP adresy a nemusíte otevírat pravidla skupin zabezpečení sítě pro externí vzdálený provoz. K virtuálním počítačům se připojíte pomocí Centra pro správu Microsoft Entra z webového prohlížeče. V případě potřeby vytvořte hostitele služby Azure Bastion.

Pokud chcete k připojení k virtuálnímu počítači použít hostitele Bastionu, proveďte následující kroky:

  1. V podokně Přehled virtuálního počítače vyberte Připojení a pak Bastion.

    Connect to Windows virtual machine using Bastion

  2. Zadejte přihlašovací údaje pro virtuální počítač, který jste zadali v předchozí části, a pak vyberte Připojení.

    Connect through the Bastion host

V případě potřeby povolte webovému prohlížeči otevření automaticky otevíraných oken pro zobrazení připojení Bastion. Připojení k virtuálnímu počítači trvá několik sekund.

Připojení virtuálního počítače ke spravované doméně

S vytvořeným virtuálním počítačem a webovým připojením RDP vytvořeným pomocí služby Azure Bastion teď připojíme virtuální počítač s Windows Serverem ke spravované doméně. Tento proces je stejný jako počítač, který se připojuje k běžné doméně místní Active Directory Domain Services.

  1. Pokud Správce serveru se při přihlášení k virtuálnímu počítači ve výchozím nastavení neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

  2. V levém podokně okna Správce serveru vyberte Místní server. V části Vlastnosti v pravém podokně zvolte Pracovní skupina.

    Open Server Manager on the VM and edit the workgroup property

  3. V okně Vlastnosti systému vyberte změnit připojení ke spravované doméně.

    Choose to change the workgroup or domain properties

  4. Do pole Doména zadejte název spravované domény, například aaddscontoso.com, a pak vyberte OK.

    Specify the managed domain to join

  5. Zadejte přihlašovací údaje domény pro připojení k doméně. Zadejte přihlašovací údaje pro uživatele, který je součástí spravované domény. Účet musí být součástí spravované domény nebo tenanta Microsoft Entra – účty z externích adresářů přidružených k vašemu tenantovi Microsoft Entra se během procesu připojení k doméně nedají správně ověřit.

    Přihlašovací údaje účtu je možné zadat jedním z následujících způsobů:

    • Formát hlavního názvu uživatele (UPN) – zadejte příponu hlavního názvu uživatele (UPN) pro uživatelský účet, jak je nakonfigurováno v Microsoft Entra ID. Například přípona hlavního názvu uživatele (UPN) uživatele contosoadmin by byla contosoadmin@aaddscontoso.onmicrosoft.com. Existuje několik běžných případů použití, kdy se formát hlavního názvu uživatele (UPN) dá spolehlivě použít k přihlášení k doméně místo formátu SAMAccountName :
      • Pokud je předpona hlavního názvu uživatele (UPN) dlouhá, například deehasareallylongname, může se automaticky vygenerovat název SAMAccountName .
      • Pokud má ve vašem tenantovi Microsoft Entra stejnou předponu hlavního názvu uživatele (UPN), například dee, může se automaticky vygenerovat jejich formát SAMAccountName .
    • Formát SAMAccountName – Zadejte název účtu ve formátu SAMAccountName . Například SAMAccountName uživatele contosoadmin bude AADDSCONTOSO\contosoadmin.

  6. Připojení ke spravované doméně trvá několik sekund. Po dokončení vás následující zpráva vítá v doméně:

    Welcome to the domain

    Pokračujte výběrem tlačítka OK.

  7. Pokud chcete dokončit proces připojení ke spravované doméně, restartujte virtuální počítač.

Tip

Virtuální počítač můžete připojit k doméně pomocí PowerShellu pomocí rutiny Add-Computer . Následující příklad připojí doménu AADDSCONTOSO a restartuje virtuální počítač. Po zobrazení výzvy zadejte přihlašovací údaje pro uživatele, který je součástí spravované domény:

Add-Computer -DomainName AADDSCONTOSO -Restart

Pokud chcete virtuální počítač připojit k doméně bez připojení a ručně nakonfigurovat připojení, můžete použít rutinu Set-AzVmAdDomainExtension Azure PowerShellu.

Po restartování virtuálního počítače s Windows Serverem se všechny zásady použité ve spravované doméně nasdílí do virtuálního počítače. Teď se můžete také přihlásit k virtuálnímu počítači s Windows Serverem pomocí příslušných přihlašovacích údajů domény.

Vyčištění prostředků

V dalším kurzu použijete tento virtuální počítač s Windows Serverem k instalaci nástrojů pro správu, které vám umožní spravovat spravovanou doménu. Pokud nechcete pokračovat v této sérii kurzů, projděte si následující kroky čištění a odstraňte virtuální počítač. V opačném případě pokračujte k dalšímu kurzu.

Zrušení připojení virtuálního počítače ze spravované domény

Pokud chcete odebrat virtuální počítač ze spravované domény, postupujte podle kroků znovu a připojte virtuální počítač k doméně. Místo připojení ke spravované doméně se můžete připojit k pracovní skupině, například k výchozí pracovní skupině. Po restartování virtuálního počítače se objekt počítače odebere ze spravované domény.

Pokud odstraníte virtuální počítač bez připojení k doméně, zůstane osamocený objekt počítače ve službě Domain Services.

Odstranění virtuálního počítače

Pokud tento virtuální počítač s Windows Serverem nepoužíváte, odstraňte ho pomocí následujícího postupu:

  1. V nabídce vlevo vyberte skupiny prostředků.
  2. Zvolte skupinu prostředků, například myResourceGroup.
  3. Vyberte svůj virtuální počítač, například myVM, a pak vyberte Odstranit. Výběrem možnosti Ano potvrďte odstranění prostředku. Odstranění virtuálního počítače trvá několik minut.
  4. Po odstranění virtuálního počítače vyberte disk s operačním systémem, kartu síťového rozhraní a všechny další prostředky s předponou myVM a odstraňte je.

Řešení potíží s připojením k doméně

Virtuální počítač s Windows Serverem by se měl úspěšně připojit ke spravované doméně, stejně jako běžný místní počítač by se připojil k doméně Doména služby Active Directory Services. Pokud se virtuální počítač s Windows Serverem nemůže připojit ke spravované doméně, znamená to, že došlo k problému s připojením nebo přihlašovacími údaji. Projděte si následující části pro řešení potíží a úspěšně se připojte ke spravované doméně.

Problémy s připojením

Pokud se nezobrazí výzva k zadání přihlašovacích údajů pro připojení k doméně, dojde k problému s připojením. Virtuální počítač se nemůže spojit se spravovanou doménou ve virtuální síti.

Po vyzkoušení každého z těchto kroků pro řešení potíží se zkuste znovu připojit virtuální počítač s Windows Serverem ke spravované doméně.

  • Ověřte, že je virtuální počítač připojený ke stejné virtuální síti, ve které je povolená služba Domain Services, nebo má připojení k partnerské síti.
  • Zkuste otestovat příkaz ping na název domény DNS spravované domény, například ping aaddscontoso.com.
    • Pokud požadavek ping selže, zkuste otestovat IP adresy pro spravovanou doménu, například ping 10.0.0.4. IP adresa vašeho prostředí se zobrazí na stránce Vlastnosti , když ze seznamu prostředků Azure vyberete spravovanou doménu.
    • Pokud můžete odeslat příkaz ping na IP adresu, ale ne doménu, může být DNS nesprávně nakonfigurovaný. Ověřte, že JSOU IP adresy spravované domény nakonfigurované jako servery DNS pro virtuální síť.
  • Zkuste pomocí příkazu vyprázdnit ipconfig /flushdns mezipaměť překladače DNS na virtuálním počítači.

Pokud se zobrazí výzva k zadání přihlašovacích údajů pro připojení k doméně, ale po zadání těchto přihlašovacích údajů se virtuální počítač může připojit ke spravované doméně. Zadané přihlašovací údaje pak nedovolí virtuálnímu počítači připojit spravovanou doménu.

Po vyzkoušení každého z těchto kroků pro řešení potíží se zkuste znovu připojit virtuální počítač s Windows Serverem ke spravované doméně.

  • Ujistěte se, že zadaný uživatelský účet patří do spravované domény.
  • Ověřte, že je účet součástí spravované domény nebo tenanta Microsoft Entra. Účty z externích adresářů přidružených k vašemu tenantovi Microsoft Entra se během procesu připojení k doméně nedají správně ověřit.
  • Zkuste použít formát hlavního názvu uživatele (UPN) k zadání přihlašovacích údajů, například contosoadmin@aaddscontoso.onmicrosoft.com. Pokud ve vašem tenantovi existuje mnoho uživatelů se stejnou předponou hlavního názvu uživatele (UPN) nebo pokud je předpona hlavního názvu uživatele příliš dlouhá, může se automaticky vygenerovat název SAMAccountName pro váš účet. V těchto případech se formát SAMAccountName pro váš účet může lišit od toho, co očekáváte nebo používáte ve vaší místní doméně.
  • Zkontrolujte, jestli jste povolili synchronizaci hesel se spravovanou doménou. Bez tohoto kroku konfigurace nebudou požadované hodnoty hash hesel ve spravované doméně k správnému ověření vašeho pokusu o přihlášení k dispozici.
  • Počkejte na dokončení synchronizace hesel. Když se změní heslo uživatelského účtu, automatická synchronizace na pozadí z Microsoft Entra ID aktualizuje heslo ve službě Domain Services. Než bude heslo dostupné pro použití připojení k doméně, nějakou dobu trvá.

Další kroky

V tomto kurzu jste se naučili, jak:

  • Vytvoření virtuálního počítače s Windows Serverem
  • Připojení k virtuálnímu počítači s Windows Serverem do virtuální sítě Azure
  • Připojení virtuálního počítače ke spravované doméně

Pokud chcete spravovat spravovanou doménu, nakonfigurujte virtuální počítač pro správu pomocí služby Active Directory Správa istrative Center (ADAC).

Instalace nástrojů pro správu na virtuálním počítači pro správu