Kurz: Vytvoření a konfigurace spravované domény Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování Kerberos/NTLM, které je plně kompatibilní s Windows Server Active Directory. Tyto doménové služby využíváte bez nasazení, správy a oprav řadičů domény sami. Azure AD DS se integruje s existujícím tenantem Azure AD. Tato integrace umožňuje uživatelům přihlásit se pomocí firemních přihlašovacích údajů a pomocí stávajících skupin a uživatelských účtů zabezpečit přístup k prostředkům.

Spravovanou doménu můžete vytvořit pomocí výchozích možností konfigurace pro sítě a synchronizaci nebo můžete tato nastavení definovat ručně. V tomto kurzu se dozvíte, jak pomocí výchozích možností vytvořit a nakonfigurovat spravovanou doménu Azure AD DS pomocí Azure Portal.

V tomto kurzu se naučíte:

  • Vysvětlení požadavků DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Povolení synchronizace hodnoty hash hesel

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

I když azure AD DS nevyžaduje, doporučuje se nakonfigurovat samoobslužné resetování hesla (SSPR) pro tenanta Azure AD. Uživatelé můžou změnit heslo bez SSPR, ale SSPR pomáhá, pokud heslo zapomene a potřebují ho resetovat.

Důležité

Spravovanou doménu nemůžete po vytvoření přesunout do jiného předplatného, skupiny prostředků, oblasti, virtuální sítě nebo podsítě. Při nasazování spravované domény nezapomeňte vybrat nejvhodnější předplatné, skupinu prostředků, oblast, virtuální síť a podsíť.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Azure Portal. Začněte tím, že se nejdřív přihlásíte k Azure Portal.

Vytvoření spravované domény

Pokud chcete spustit průvodce Povolit službu Azure AD Domain Services , proveďte následující kroky:

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
  2. Do vyhledávacího panelu zadejte Domain Services a pak v návrzích hledání zvolte Službu Azure AD Domain Services .
  3. Na stránce Azure AD Domain Services vyberte Vytvořit. Spustí se průvodce povolením služby Azure AD Domain Services .
  4. Vyberte předplatné Azure, ve kterém chcete vytvořit spravovanou doménu.
  5. Vyberte skupinu prostředků , do které má spravovaná doména patřit. Zvolte vytvořit novou nebo vyberte existující skupinu prostředků.

Při vytváření spravované domény zadáte název DNS. Při výběru tohoto názvu DNS je potřeba vzít v úvahu některé aspekty:

  • Předdefinovaný název domény: Ve výchozím nastavení se používá předdefinovaný název domény adresáře (přípona .onmicrosoft.com ). Pokud chcete povolit zabezpečený přístup LDAP ke spravované doméně přes internet, nemůžete vytvořit digitální certifikát pro zabezpečení připojení s touto výchozí doménou. Microsoft vlastní doménu .onmicrosoft.com , takže certifikační autorita (CA) nevydá certifikát.
  • Vlastní názvy domén: Nejběžnějším přístupem je zadat vlastní název domény, obvykle ten, který už vlastníte, a je směrovatelný. Když používáte směrovatelnou, vlastní doménu, provoz může podle potřeby správně přetékat, aby podporoval vaše aplikace.
  • Nesměrovatelné přípony domény: Obecně doporučujeme vyhnout se nesměrovatelné příponě názvu domény, například contoso.local. Přípona .local není směrovatelná a může způsobit problémy s překladem DNS.

Tip

Pokud vytvoříte vlastní název domény, zastarejte se o stávající obory názvů DNS. Doporučuje se použít název domény oddělený od všech existujících názvů Azure nebo místního prostoru názvů DNS.

Pokud máte například existující prostor názvu DNS contoso.com, vytvořte spravovanou doménu s vlastním názvem domény aaddscontoso.com. Pokud potřebujete používat zabezpečený protokol LDAP, musíte tento vlastní název domény zaregistrovat a vlastnit, aby se vygenerovaly požadované certifikáty.

Možná budete muset vytvořit další záznamy DNS pro jiné služby ve vašem prostředí nebo podmíněné předávání DNS mezi existujícími prostory názvů DNS ve vašem prostředí. Pokud například spustíte webový server, který hostuje web pomocí kořenového názvu DNS, může dojít ke konfliktům názvů, které vyžadují další položky DNS.

V těchto kurzech a článcích s postupy se vlastní doména aaddscontoso.com používá jako krátký příklad. Ve všech příkazech zadejte vlastní název domény.

Platí také následující omezení názvů DNS:

  • Omezení předpony domény: Spravovanou doménu s předponou delší než 15 znaků nemůžete vytvořit. Předpona zadaného názvu domény (například aaddscontoso v názvu domény aaddscontoso.com ) musí obsahovat 15 nebo méně znaků.
  • Konflikty názvů sítě: Název domény DNS pro vaši spravovanou doménu by ve virtuální síti ještě neměl existovat. Konkrétně zkontrolujte následující scénáře, které by vedly ke konfliktu názvů:
    • Pokud už máte doménu Active Directory se stejným názvem domény DNS ve virtuální síti Azure.
    • Pokud virtuální síť, ve které chcete povolit spravovanou doménu, má připojení VPN k vaší místní síti. V tomto scénáři se ujistěte, že v místní síti nemáte doménu se stejným názvem domény DNS.
    • Pokud máte existující cloudovou službu Azure s tímto názvem ve virtuální síti Azure.

Vyplňte pole v okně Základy Azure Portal a vytvořte spravovanou doménu:

  1. Zadejte název domény DNS pro vaši spravovanou doménu, a to s ohledem na předchozí body.

  2. Zvolte umístění Azure, ve kterém se má vytvořit spravovaná doména. Pokud zvolíte oblast, která podporuje Azure Zóny dostupnosti, prostředky Azure AD DS se distribuují mezi zóny pro další redundanci.

    Tip

    Zóny dostupnosti jsou jedinečná fyzická umístění uvnitř oblasti Azure. Každou zónu tvoří jedno nebo několik datacenter vybavených nezávislým napájením, chlazením a sítí. Kvůli odolnosti ve všech aktivovaných oblastech existují minimálně tři samostatné zóny.

    Neexistuje nic, co byste nakonfigurovali, aby se služba Azure AD DS distribuoval napříč zónami. Platforma Azure automaticky zpracovává distribuci prostředků v zóně. Další informace a zobrazení dostupnosti oblastí najdete v tématu Co jsou Zóny dostupnosti v Azure?

  3. Skladová položka určuje frekvenci výkonu a zálohování. Skladovou položku můžete změnit po vytvoření spravované domény, pokud vaše obchodní požadavky nebo požadavky změní. Další informace najdete v tématu Koncepty skladové položky azure AD DS.

    V tomto kurzu vyberte skladovou položku Standard .

  4. Doménová struktura je logický konstruktor používaný Active Directory Domain Services k seskupení jedné nebo více domén. Ve výchozím nastavení se spravovaná doména vytvoří jako doménová struktura uživatele . Tento typ doménové struktury synchronizuje všechny objekty z Azure AD, včetně všech uživatelských účtů vytvořených v místním prostředí SLUŽBY AD DS.

    Doménová struktura prostředků synchronizuje pouze uživatele a skupiny vytvořené přímo v Azure AD. Další informace o doménových strukturách prostředků , včetně toho, proč můžete použít jednu doménovou strukturu a jak vytvořit vztahy důvěryhodnosti doménové struktury s místními doménami služby AD DS, najdete v přehledu doménových struktur prostředků Azure AD DS.

    Pro účely tohoto kurzu zvolte vytvoření doménové struktury uživatele .

    Configure basic settings for an Azure AD Domain Services managed domain

Pokud chcete rychle vytvořit spravovanou doménu, můžete vybrat zkontrolovat a vytvořit a přijmout další výchozí možnosti konfigurace. Při výběru této možnosti vytvoření se nakonfigurují následující výchozí hodnoty:

  • Vytvoří virtuální síť s názvem aadds-vnet , která používá rozsah IP adres 10.0.2.0/24.
  • Vytvoří podsíť s názvem aadds-subnet s použitím rozsahu IP adres 10.0.2.0/24.
  • Synchronizuje všechny uživatele z Azure AD do spravované domény.

Výběrem možnosti Zkontrolovat a vytvořit přijměte tyto výchozí možnosti konfigurace.

Nasazení spravované domény

Na stránce Souhrn průvodce zkontrolujte nastavení konfigurace pro vaši spravovanou doménu. Pokud chcete provést změny, můžete se vrátit k libovolnému kroku průvodce. Pokud chcete spravovanou doménu znovu nasadit do jiného tenanta Azure AD konzistentním způsobem pomocí těchto možností konfigurace, můžete si také stáhnout šablonu pro automatizaci.

  1. Pokud chcete vytvořit spravovanou doménu, vyberte Vytvořit. Zobrazí se poznámka, že po vytvoření spravované služby Azure AD DS nejde změnit určité možnosti konfigurace, jako je název DNS nebo virtuální síť. Chcete-li pokračovat, vyberte OK.

  2. Proces zřizování spravované domény může trvat až hodinu. Na portálu se zobrazí oznámení, které ukazuje průběh nasazení služby Azure AD DS. Výběrem oznámení zobrazíte podrobný průběh nasazení.

    Notification in the Azure portal of the deployment in progress

  3. Stránka se načte s aktualizacemi procesu nasazení, včetně vytvoření nových prostředků ve vašem adresáři.

  4. Vyberte skupinu prostředků, například myResourceGroup, a pak ze seznamu prostředků Azure, jako je například aaddscontoso.com, zvolte spravovanou doménu. Na kartě Přehled je vidět, že spravovaná doména se právě nasazuje. Spravovanou doménu nemůžete nakonfigurovat, dokud nebude plně zřízená.

    Domain Services status during the provisioning state

  5. Po úplném zřízení spravované domény se na kartě Přehled zobrazí stav domény jako Spuštěno.

    Domain Services status once successfully provisioned

Důležité

Spravovaná doména je přidružená k vašemu tenantovi Azure AD. Během procesu zřizování vytvoří Služba Azure AD DS dvě Enterprise aplikace s názvem Domain Controller Services a AzureActiveDirectoryDomainControllerServices v tenantovi Azure AD. Tyto Enterprise aplikace jsou potřeba ke službě spravované domény. Tyto aplikace neodstraňovat.

Aktualizace nastavení DNS pro virtuální síť Azure

S úspěšně nasazenou službou Azure AD DS teď nakonfigurujte virtuální síť tak, aby umožňovala ostatním připojeným virtuálním počítačům a aplikacím používat spravovanou doménu. Pokud chcete toto připojení poskytnout, aktualizujte nastavení serveru DNS pro vaši virtuální síť tak, aby odkazovaly na dvě IP adresy, kde je spravovaná doména nasazená.

  1. Na kartě Přehled pro vaši spravovanou doménu se zobrazují některé požadované kroky konfigurace. Prvním krokem konfigurace je aktualizace nastavení serveru DNS pro vaši virtuální síť. Jakmile je nastavení DNS správně nakonfigurované, tento krok se už nezobrazuje.

    Uvedené adresy jsou řadiče domény pro použití ve virtuální síti. V tomto příkladu jsou tyto adresy 10.0.2.4 a 10.0.2.5. Tyto IP adresy můžete později najít na kartě Vlastnosti .

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. Pokud chcete aktualizovat nastavení serveru DNS pro virtuální síť, vyberte tlačítko Konfigurovat . Nastavení DNS se pro vaši virtuální síť nakonfiguruje automaticky.

Tip

Pokud jste v předchozích krocích vybrali existující virtuální síť, všechny virtuální počítače připojené k síti po restartování získají pouze nová nastavení DNS. Virtuální počítače můžete restartovat pomocí Azure Portal, Azure PowerShell nebo Azure CLI.

Povolení uživatelských účtů pro Azure AD DS

K ověřování uživatelů ve spravované doméně potřebuje Služba Azure AD DS hodnoty hash hesel ve formátu, který je vhodný pro ověřování NT LAN Manager (NTLM) a Kerberos. Azure AD nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je nutný pro ověřování NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Azure AD DS. Z bezpečnostníchdůvodůchm údajům azure AD také neukládá žádné přihlašovací údaje pro heslo ve formátu prostého textu Proto Azure AD nemůže tyto hodnoty hash hesel NTLM nebo Kerberos automaticky generovat na základě existujících přihlašovacích údajů uživatelů.

Poznámka

Po správné konfiguraci se použitelné hodnoty hash hesel ukládají ve spravované doméně. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.

Synchronizované informace o přihlašovacích údajích ve službě Azure AD nejde znovu použít, pokud později vytvoříte spravovanou doménu – synchronizaci hodnot hash hesel je nutné znovu nakonfigurovat tak, aby se hodnoty hash hesel ukládaly znovu. Dříve virtuální počítače připojené k doméně nebo uživatelé se nebudou moct okamžitě ověřit – Azure AD musí vygenerovat a uložit hodnoty hash hesel v nové spravované doméně.

Azure AD Připojení Cloud Sync se ve službě Azure AD DS nepodporuje. Aby bylo možné přistupovat k virtuálním počítačům připojeným k doméně, musí být místní uživatelé synchronizovaní pomocí azure AD Připojení. Další informace najdete v tématu Proces synchronizace hodnot hash hesel pro Azure AD DS a Azure AD Připojení.

Postup pro vygenerování a ukládání těchto hodnot hash hesel se liší u uživatelských účtů vytvořených v Azure AD a uživatelských účtů, které se synchronizují z místního adresáře pomocí azure AD Připojení.

Uživatelský účet jenom cloudu je účet vytvořený v adresáři služby Azure AD pomocí webu Azure Portal nebo rutin Azure AD PowerShellu. Tyto uživatelské účty se nesynchronují z místního adresáře.

V tomto kurzu pojďme pracovat se základním uživatelským účtem jen pro cloud. Další informace o dalších krocích potřebných k používání služby Azure AD Připojení najdete v tématu Synchronizace hodnot hash hesel pro uživatelské účty synchronizované z místní služby AD do spravované domény.

Tip

Pokud má váš tenant Azure AD kombinaci uživatelů a uživatelů jen pro cloud z místní služby AD, musíte provést obě sady kroků.

U uživatelských účtů jen pro cloud musí uživatelé změnit svá hesla, aby mohli používat Azure AD DS. Tento proces změny hesla způsobí vygenerování a ukládání hodnot hash hesel pro ověřování Kerberos a NTLM ve službě Azure AD. Účet se nesynchronuje z Azure AD do Azure AD DS, dokud se nezmění heslo. Buď vyprší platnost hesel pro všechny cloudové uživatele v tenantovi, kteří potřebují používat Azure AD DS, což vynutí změnu hesla při příštím přihlášení, nebo dát cloudovým uživatelům pokyn, aby si hesla ručně změnili. V tomto kurzu ručně změníme uživatelské heslo.

Aby uživatel mohl resetovat heslo, musí být tenant Azure AD nakonfigurovaný pro samoobslužné resetování hesla.

Pokud chcete změnit heslo pro uživatele jen pro cloud, musí uživatel provést následující kroky:

  1. Přejděte na stránku azure AD Přístupový panel na adrese https://myapps.microsoft.com.

  2. V pravém horním rohu vyberte své jméno a pak v rozevírací nabídce zvolte Profil .

    Select profile

  3. Na stránce Profil vyberte Změnit heslo.

  4. Na stránce Změnit heslo zadejte stávající (staré) heslo a pak zadejte a potvrďte nové heslo.

  5. Vyberte Odeslat.

Po změně hesla pro nové heslo ve službě Azure AD DS a úspěšném přihlášení k počítačům připojeným ke spravované doméně trvá několik minut.

Další kroky

V tomto kurzu jste se naučili:

  • Vysvětlení požadavků DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Přidání správců uživatelů do správy domény
  • Povolení uživatelských účtů pro Azure AD DS a generování hodnot hash hesel

Než se připojíte k virtuálním počítačům a nasadíte aplikace, které používají spravovanou doménu, nakonfigurujte virtuální síť Azure pro úlohy aplikací.