Kurz: Vytvoření a konfigurace spravované domény Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, protokol LDAP nebo ověřování Kerberos/NTLM, které jsou plně kompatibilní s Windows Server Active Directory. Tyto doménové služby využíváte bez nasazení, správy a oprav řadičů domény sami. Azure AD DS se integruje s existujícím tenantem Azure AD. Tato integrace umožňuje uživatelům přihlašovat se pomocí podnikových přihlašovacích údajů a k zabezpečení přístupu k prostředkům můžete použít existující skupiny a uživatelské účty.

Spravovanou doménu můžete vytvořit pomocí výchozích možností konfigurace pro sítě a synchronizaci nebo tato nastavení definovat ručně. V tomto kurzu se dozvíte, jak pomocí výchozích možností vytvořit a nakonfigurovat spravovanou doménu Azure AD DS pomocí Azure Portal.

V tomto kurzu se naučíte:

  • Vysvětlení požadavků na DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Povolení synchronizace hodnoty hash hesel

Pokud nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

I když se to pro Azure AD DS nevyžaduje, doporučuje se nakonfigurovat samoobslužné resetování hesla (SSPR) pro tenanta Azure AD. Uživatelé si můžou změnit heslo bez samoobslužného resetování hesla, ale SSPR pomáhá, pokud heslo zapomenou a potřebují ho resetovat.

Důležité

Spravovanou doménu nemůžete po vytvoření přesunout do jiného předplatného, skupiny prostředků, oblasti, virtuální sítě nebo podsítě. Při nasazování spravované domény dbejte na výběr nejvhodnějšího předplatného, skupiny prostředků, oblasti, virtuální sítě a podsítě.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Azure Portal. Začněte tím, že se nejdřív přihlásíte k Azure Portal.

Vytvoření spravované domény

Pokud chcete spustit průvodce povolením Azure AD Domain Services, proveďte následující kroky:

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
  2. Do panelu hledání zadejte Domain Services a pak v návrzích hledání zvolte Azure AD Domain Services.
  3. Na stránce Azure AD Domain Services vyberte Vytvořit. Spustí se průvodce Povolením Azure AD Domain Services.
  4. Vyberte předplatné Azure, ve kterém chcete vytvořit spravovanou doménu.
  5. Vyberte skupinu prostředků , do které má patřit spravovaná doména. Zvolte Vytvořit novou nebo vyberte existující skupinu prostředků.

Při vytváření spravované domény zadáte název DNS. Při výběru tohoto názvu DNS je potřeba vzít v úvahu několik aspektů:

  • Předdefinovaný název domény: Ve výchozím nastavení se používá předdefinovaný název domény adresáře (přípona .onmicrosoft.com ). Pokud chcete povolit zabezpečený přístup LDAP ke spravované doméně přes internet, nemůžete vytvořit digitální certifikát pro zabezpečení připojení k této výchozí doméně. Microsoft vlastní doménu .onmicrosoft.com, takže certifikační autorita (CA) certifikát nevydá.
  • Vlastní názvy domén: Nejběžnějším přístupem je zadání vlastního názvu domény, obvykle té, kterou už vlastníte a která je směrovatelná. Když použijete směrovatelnou vlastní doménu, provoz může podle potřeby správně tekat, aby podporoval vaše aplikace.
  • Nesměrovatelné přípony domény: Obecně doporučujeme vyhnout se nesměrovatelné příponě názvu domény, například contoso.local. Přípona .local není směrovatelná a může způsobit problémy s překladem DNS.

Tip

Pokud vytvoříte vlastní název domény, dávejte pozor na existující obory názvů DNS. Doporučuje se použít název domény oddělený od všech existujících názvů Azure nebo místního prostoru názvů DNS.

Pokud máte například existující prostor názvů DNS contoso.com, vytvořte spravovanou doménu s vlastním názvem domény aaddscontoso.com. Pokud potřebujete použít protokol SECURE LDAP, musíte tento vlastní název domény zaregistrovat a vlastnit, abyste mohli vygenerovat požadované certifikáty.

Možná budete muset vytvořit další záznamy DNS pro jiné služby ve vašem prostředí nebo podmíněné servery pro předávání DNS mezi existujícími prostory názvů DNS ve vašem prostředí. Pokud například spustíte webový server, který hostuje web pomocí kořenového názvu DNS, může docházet ke konfliktům názvů, které vyžadují další záznamy DNS.

V těchto kurzech a článcích s postupy se jako krátký příklad používá vlastní doména aaddscontoso.com . Ve všech příkazech zadejte vlastní název domény.

Platí také následující omezení názvů DNS:

  • Omezení předpon domény: Nemůžete vytvořit spravovanou doménu s předponou delší než 15 znaků. Předpona zadaného názvu domény (například aaddscontoso v aaddscontoso.com názvu domény) musí obsahovat minimálně 15 znaků.
  • Konflikty síťových názvů: Název domény DNS pro vaši spravovanou doménu by ve virtuální síti ještě neměl existovat. Konkrétně zkontrolujte následující scénáře, které by vedly ke konfliktu názvů:
    • Pokud už ve virtuální síti Azure máte doménu Active Directory se stejným názvem domény DNS.
    • Virtuální síť, ve které chcete povolit spravovanou doménu, má připojení VPN k vaší místní síti. V tomto scénáři se ujistěte, že ve své místní síti nemáte doménu se stejným názvem domény DNS.
    • Pokud máte ve virtuální síti Azure existující cloudovou službu Azure s tímto názvem.

Pokud chcete vytvořit spravovanou doménu, vyplňte pole v okně Základy Azure Portal:

  1. Zadejte název domény DNS pro vaši spravovanou doménu a přihlédněte k předchozím bodům.

  2. Zvolte umístění Azure, ve kterém se má spravovaná doména vytvořit. Pokud zvolíte oblast, která podporuje Azure Zóny dostupnosti, prostředky Azure AD DS se distribuují napříč zónami kvůli další redundanci.

    Tip

    Zóny dostupnosti jsou jedinečná fyzická umístění uvnitř oblasti Azure. Každou zónu tvoří jedno nebo několik datacenter vybavených nezávislým napájením, chlazením a sítí. Kvůli odolnosti ve všech aktivovaných oblastech existují minimálně tři samostatné zóny.

    Pro distribuci Azure AD DS napříč zónami nemusíte nic konfigurovat. Platforma Azure automaticky zpracovává zónovou distribuci prostředků. Další informace a informace o dostupnosti v oblastech najdete v tématu Co jsou Zóny dostupnosti v Azure?

  3. Skladová položka určuje výkon a frekvenci zálohování. Pokud se vaše obchodní požadavky nebo požadavky změní, můžete skladovou položku po vytvoření spravované domény změnit. Další informace najdete v tématu koncepty Azure AD SKU DS.

    Pro účely tohoto kurzu vyberte skladovou položku Standard .

  4. Doménová struktura je logická konstrukce používaná Active Directory Domain Services k seskupení jedné nebo více domén. Ve výchozím nastavení se spravovaná doména vytvoří jako doménová struktura uživatele . Tento typ doménové struktury synchronizuje všechny objekty z Azure AD, včetně všech uživatelských účtů vytvořených v místním prostředí SLUŽBY AD DS.

    Doménová struktura prostředků synchronizuje jenom uživatele a skupiny vytvořené přímo v Azure AD. Další informace o doménových strukturách prostředků, včetně toho, proč je můžete použít a jak vytvořit vztah důvěryhodnosti doménové struktury s místními doménami SLUŽBY AD DS, najdete v tématu Přehled doménových struktur prostředků Azure AD DS.

    Pro účely tohoto kurzu se rozhodnete vytvořit doménovou strukturu uživatele .

    Konfigurace základního nastavení pro spravovanou doménu služby Azure AD Domain Services

Pokud chcete rychle vytvořit spravovanou doménu, můžete vybrat Zkontrolovat a vytvořit a přijmout další výchozí možnosti konfigurace. Při výběru této možnosti vytvoření se nakonfigurují následující výchozí hodnoty:

  • Vytvoří virtuální síť s názvem aadds-vnet , která používá rozsah IP adres 10.0.2.0/24.
  • Vytvoří podsíť s názvem aadds-subnet s použitím rozsahu IP adres 10.0.2.0/24.
  • Synchronizuje všechny uživatele z Azure AD do spravované domény.

Vyberte Zkontrolovat a vytvořit a přijměte tyto výchozí možnosti konfigurace.

Nasazení spravované domény

Na stránce Souhrn v průvodci zkontrolujte nastavení konfigurace pro vaši spravovanou doménu. Pokud chcete provést změny, můžete se vrátit k libovolnému kroku průvodce. Pokud chcete znovu nasadit spravovanou doménu do jiného tenanta Azure AD konzistentním způsobem pomocí těchto možností konfigurace, můžete si také stáhnout šablonu pro automatizaci.

  1. Pokud chcete vytvořit spravovanou doménu, vyberte Vytvořit. Zobrazí se poznámka, že některé možnosti konfigurace, jako je název DNS nebo virtuální síť, nelze po vytvoření Azure AD spravovaného ds změnit. Pokud chcete pokračovat, vyberte OK.

  2. Proces zřizování spravované domény může trvat až hodinu. Na portálu se zobrazí oznámení o průběhu nasazení Azure AD DS. Výběrem oznámení zobrazíte podrobný průběh nasazení.

    Oznámení v Azure Portal probíhajícího nasazení

  3. Stránka se načte s aktualizacemi procesu nasazení, včetně vytvoření nových prostředků ve vašem adresáři.

  4. Vyberte svoji skupinu prostředků, například myResourceGroup, a pak ze seznamu prostředků Azure zvolte spravovanou doménu, například aaddscontoso.com. Na kartě Přehled se zobrazuje, že spravovaná doména se aktuálně nasazuje. Spravovanou doménu nemůžete nakonfigurovat, dokud nebude plně zřízená.

    Stav služby Domain Services během stavu zřizování

  5. Když je spravovaná doména plně zřízená, zobrazí se na kartě Přehled stav domény jako Spuštěno.

    Stav služby Domain Services po úspěšném zřízení

Důležité

Spravovaná doména je přidružená k vašemu tenantovi Azure AD. Během procesu zřizování vytvoří Azure AD DS v tenantovi Azure AD dvě podnikové aplikace s názvem Domain Controller Services a AzureActiveDirectoryDomainControllerServices. Tyto podnikové aplikace jsou potřeba ke službě vaší spravované domény. Neodstraňovat tyto aplikace.

Aktualizace nastavení DNS pro virtuální síť Azure

Po úspěšném nasazení Azure AD DS teď nakonfigurujte virtuální síť tak, aby ostatní připojené virtuální počítače a aplikace mohly používat spravovanou doménu. Pokud chcete toto připojení poskytnout, aktualizujte nastavení serveru DNS pro vaši virtuální síť tak, aby odkazovaly na dvě IP adresy, na kterých je spravovaná doména nasazená.

  1. Na kartě Přehled spravované domény se zobrazují některé požadované kroky konfigurace. Prvním krokem konfigurace je aktualizace nastavení serveru DNS pro vaši virtuální síť. Po správné konfiguraci nastavení DNS se tento krok už nezobrazuje.

    Uvedené adresy jsou řadiče domény pro použití ve virtuální síti. V tomto příkladu jsou tyto adresy 10.0.2.4 a 10.0.2.5. Tyto IP adresy můžete později najít na kartě Vlastnosti .

    Konfigurace nastavení DNS pro virtuální síť pomocí IP adres Azure AD Domain Services

  2. Pokud chcete aktualizovat nastavení serveru DNS pro virtuální síť, vyberte tlačítko Konfigurovat . Nastavení DNS se pro vaši virtuální síť nakonfiguruje automaticky.

Tip

Pokud jste v předchozích krocích vybrali existující virtuální síť, všechny virtuální počítače připojené k síti získají nové nastavení DNS až po restartování. Virtuální počítače můžete restartovat pomocí Azure Portal, Azure PowerShell nebo Azure CLI.

Povolení uživatelských účtů pro Azure AD DS

K ověřování uživatelů ve spravované doméně potřebuje Azure AD DS hodnoty hash hesel ve formátu vhodném pro ověřování NTLM (NTLM) a Kerberos. Azure AD negeneruje ani neukládá hodnoty hash hesel ve formátu požadovaném pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte Azure AD DS. Z bezpečnostních důvodů Azure AD také neukládá žádné přihlašovací údaje hesla ve formátu prostého textu. Proto Azure AD nemůže automaticky generovat hodnoty hash hesel protokolu NTLM nebo Kerberos na základě existujících přihlašovacích údajů uživatelů.

Poznámka

Po správné konfiguraci jsou použitelné hodnoty hash hesel uloženy ve spravované doméně. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.

Synchronizované informace o přihlašovacích údajích v Azure AD se nedají znovu použít, pokud později vytvoříte spravovanou doménu – musíte překonfigurovat synchronizaci hodnot hash hesel, aby se hodnoty hash hesel uložily znovu. Dříve připojené virtuální počítače nebo uživatelé k doméně se nebudou moct okamžitě ověřit – Azure AD je potřeba vygenerovat a uložit hodnoty hash hesel v nové spravované doméně.

Azure AD Connect Cloud Sync nepodporuje Azure AD DS. Aby měli místní uživatelé přístup k virtuálním počítačům připojeným k doméně, musí být synchronizovaní pomocí Azure AD Connect. Další informace najdete v tématu Proces synchronizace hodnot hash hesel pro Azure AD DS a Azure AD Connect.

Postup generování a ukládání těchto hodnot hash hesel se liší pro uživatelské účty vytvořené pouze Azure AD v cloudu a uživatelské účty, které se synchronizují z místního adresáře pomocí Azure AD Connect.

Uživatelský účet jenom cloudu je účet vytvořený v adresáři služby Azure AD pomocí webu Azure Portal nebo rutin Azure AD PowerShellu. Tyto uživatelské účty se nesynchronují z místního adresáře.

V tomto kurzu pracujeme se základním uživatelským účtem, který je jenom v cloudu. Další informace o dalších krocích potřebných k použití Azure AD Connect najdete v tématu Synchronizace hodnot hash hesel pro uživatelské účty synchronizované z místní služby AD do spravované domény.

Tip

Pokud má váš Azure AD tenant kombinaci výhradně cloudových uživatelů a uživatelů z místní služby AD, musíte provést obě sady kroků.

U uživatelských účtů, které jsou jenom v cloudu, musí si uživatelé před použitím Azure AD DS změnit hesla. Tento proces změny hesla způsobí, že se hodnoty hash hesel pro ověřování protokolu Kerberos a NTLM vygenerují a uloží do Azure AD. Účet se nesynchronuje z Azure AD do Azure AD DS, dokud se nezmění heslo. Buď vyprší platnost hesel pro všechny uživatele cloudu v tenantovi, kteří potřebují používat Azure AD DS, což vynutí změnu hesla při příštím přihlášení, nebo dát uživatelům cloudu pokyn, aby si hesla změnili ručně. V tomto kurzu ručně změníme uživatelské heslo.

Aby si uživatel mohl resetovat heslo, musí být Azure AD tenant nakonfigurovaný pro samoobslužné resetování hesla.

Pokud chcete změnit heslo pro uživatele výhradně v cloudu, musí uživatel provést následující kroky:

  1. Přejděte na stránku Azure AD Přístupový panel na adrese https://myapps.microsoft.com.

  2. V pravém horním rohu vyberte své jméno a pak v rozevírací nabídce zvolte Profil .

    Výběr profilu

  3. Na stránce Profil vyberte Změnit heslo.

  4. Na stránce Změnit heslo zadejte své stávající (staré) heslo a pak zadejte a potvrďte nové heslo.

  5. Vyberte Odeslat.

Po změně hesla trvá několik minut, než bude nové heslo použitelné v Azure AD DS a úspěšně se přihlásíte k počítačům připojeným ke spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

  • Vysvětlení požadavků NA DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Přidání správců do správy domény
  • Povolení uživatelských účtů pro Azure AD DS a generování hodnot hash hesel

Než se připojíte k virtuálním počítačům a nasadíte aplikace, které používají spravovanou doménu, nakonfigurujte virtuální síť Azure pro úlohy aplikací.