Kurz: Vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services s pokročilými možnostmi konfigurace

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování Kerberos/NTLM, které je plně kompatibilní se službou Windows Server Active Directory. Tyto doménové služby využíváte bez nasazení, správy a oprav řadičů domény sami. Domain Services se integruje s vaším stávajícím tenantem Microsoft Entra. Tato integrace umožňuje uživatelům přihlásit se pomocí firemních přihlašovacích údajů a k zabezpečení přístupu k prostředkům můžete použít existující skupiny a uživatelské účty.

Spravovanou doménu můžete vytvořit pomocí výchozích možností konfigurace pro sítě a synchronizaci nebo ručně definovat tato nastavení. V tomto kurzu se dozvíte, jak definovat tyto pokročilé možnosti konfigurace pro vytvoření a konfiguraci spravované domény služby Domain Services pomocí Centra pro správu Microsoft Entra.

V tomto kurzu se naučíte:

• Konfigurace nastavení DNS a virtuální sítě pro spravovanou doménu
• Vytvoření spravované domény
• Přidání správců do správy domény
• Povolení synchronizace hodnot hash hesel

Pokud nemáte předplatné Azure, nejdříve si vytvořte účet, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• K povolení služby Domain Services potřebujete role Microsoft Entra správce aplikací a správce skupin ve vašem tenantovi.
• K vytvoření požadovaných prostředků služby Domain Services potřebujete Přispěvatel služby Domain Services roli Azure.

Přestože služba Domain Services není nutná, doporučuje se nakonfigurovat samoobslužné resetování hesla (SSPR) pro tenanta Microsoft Entra. Uživatelé mohou změnit své heslo bez použití samoobslužného resetování hesla, ale SSPR je užitečné v případě, že heslo zapomenou a potřebují ho resetovat.

Důležitý

Po vytvoření spravované domény ji nemůžete přesunout do jiného předplatného, skupiny prostředků nebo oblasti. Při nasazování spravované domény dbejte na výběr nejvhodnějšího předplatného, skupiny prostředků a oblasti.

Přihlášení k Centru pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do centra pro správu Microsoft Entra.

Vytvoření spravované domény a konfigurace základních nastavení

Pokud chcete spustit průvodce Povolit službu Microsoft Entra Domain Services, proveďte následující kroky:

1. V nabídce Centra pro správu Microsoft Entra nebo na domovské stránce vyberte Vytvořit prostředek.
2. Do vyhledávacího panelu zadejte Domain Services a pak v návrzích hledání zvolte microsoft Entra Domain Services.
3. Na stránce Microsoft Entra Domain Services vyberte Vytvořit. Průvodce Povolit službu Microsoft Entra Domain Services je spuštěn.
4. Vyberte předplatné Azure , ve kterém chcete vytvořit spravovanou doménu.
5. Vyberte skupinu prostředků , do které má spravovaná doména patřit. Zvolte Vytvořit nový nebo vyberte existující skupinu prostředků.

Při vytváření spravované domény zadáte název DNS. Při výběru tohoto názvu DNS je potřeba vzít v úvahu některé aspekty:

• předdefinovaný název domény: Ve výchozím nastavení se používá předdefinovaný název domény adresáře (přípona .onmicrosoft.com). Pokud chcete povolit zabezpečený přístup LDAP ke spravované doméně přes internet, nemůžete vytvořit digitální certifikát pro zabezpečení připojení k této výchozí doméně. Microsoft vlastní doménu .onmicrosoft.com, takže certifikační autorita (CA) nevydá certifikát.
• názvy vlastních domén: Nejběžnějším přístupem je zadat vlastní název domény, obvykle takový, který už vlastníte a směrovatelný. Pokud používáte směrovatelnou vlastní doménu, provoz může podle potřeby správně tokovat, aby podporoval vaše aplikace.
• nesměrovatelné přípony domény: Obecně doporučujeme vyhnout se nesměrovatelné příponě názvu domény, například contoso.local. Přípona .local není směrovatelná a může způsobovat problémy s překladem DNS.

Rada

Pokud vytvoříte vlastní název domény, dávejte pozor na existující DNS jmenné prostory. Doporučujeme použít název domény oddělený od jakéhokoli stávajícího názvového prostoru Azure nebo místního názvového prostoru DNS.

Pokud máte například existující prostor názvů DNS contoso.com, vytvořte spravovanou doménu s vlastním názvem domény aaddscontoso.com. Pokud potřebujete použít protokol SECURE LDAP, musíte registrovat a vlastnit tento vlastní název domény, aby se vygenerovaly požadované certifikáty.

Možná budete muset vytvořit další záznamy DNS pro jiné služby ve vašem prostředí nebo podmíněné služby pro předávání DNS mezi existujícími názvovými prostory DNS ve vašem prostředí. Pokud například spustíte webový server, který hostuje web s využitím kořenového názvu DNS, mohou nastat pojmenovací konflikty, které vyžadují dodatečné záznamy DNS.

V těchto kurzech a článcích s návody se vlastní doména aaddscontoso.com používá jako krátký příklad. Ve všech příkazech zadejte vlastní název domény.

Platí také následující omezení názvů DNS:

• Omezení předpony domény: Nemůžete vytvořit spravovanou doménu s předponou delší než 15 znaků. Předpona zadaného názvu domény (například aaddscontoso v názvu domény aaddscontoso.com) musí obsahovat 15 nebo méně znaků.
• Konflikty názvů sítě: Název domény DNS pro vaši spravovanou doménu by ve virtuální síti ještě neměl existovat. Konkrétně zkontrolujte následující scénáře, které by vedly ke konfliktu názvů:
  • Pokud už máte doménu Active Directory se stejným názvem domény DNS ve virtuální síti Azure.
  • Pokud má virtuální síť, ve které plánujete povolit spravovanou doménu, připojení VPN k vaší místní síti. V tomto scénáři se ujistěte, že ve vaší místní síti nemáte doménu se stejným názvem domény DNS.
  • Pokud máte existující cloudovou službu Azure s tímto názvem ve virtuální síti Azure.

Pokud chcete vytvořit spravovanou doménu, vyplňte pole v okně Základy Centra pro správu Microsoft Entra:

1. Zadejte název domény DNS pro vaši spravovanou doménu s ohledem na předchozí body.

2. Zvolte umístění Azure , ve kterém se má spravovaná doména vytvořit. Pokud zvolíte oblast, která podporuje zóny dostupnosti, prostředky služby Domain Services se distribuují napříč zónami kvůli další redundanci.

   Rada

   Zóny dostupnosti jsou jedinečná fyzická umístění v rámci oblasti Azure. Každá zóna se skládá z jednoho nebo více datacenter vybavených nezávislým napájením, chlazením a sítěmi. Kvůli zajištění odolnosti je ve všech povolených oblastech minimálně tři samostatné zóny.

   Není nic, co byste nakonfigurovali, aby služba Domain Services byla distribuována napříč zónami. Platforma Azure automaticky zpracovává distribuci zón prostředků. Další informace a zobrazení dostupnosti oblastí najdete v tématu Co jsou zóny dostupnosti v Azure?

3. Skladová položka určuje výkon a frekvenci zálohování. Skladovou položku můžete po vytvoření spravované domény změnit, pokud se změní vaše obchodní požadavky nebo požadavky. Další informace viz Koncepty SKU služeb Domain Services.

   Pro účely tohoto kurzu vyberte skladovou položku Standard.

4. les je logická konstrukce používaná službou Active Directory Domain Services ke seskupení jedné nebo více domén.

   

5. Pokud chcete konfigurovat další možnosti ručně, zvolte Další – Síťové. V opačném případě vyberte Zkontrolovat a vytvořit, abyste přijali výchozí možnosti konfigurace, a pak pokračujte do části Nasazení spravované domény. Pokud zvolíte tuto možnost vytvoření, nakonfiguruje se následující výchozí hodnoty:

   • Vytvoří virtuální síť s názvem aadds-vnet, která používá rozsah IP adres 10.0.1.0/24.
   • Vytvoří podsíť s názvem aadds-subnet pomocí rozsahu IP adres 10.0.1.0/24.
   • Synchronizuje všechny uživatele z Microsoft Entra ID do spravované domény.

Vytvoření a konfigurace virtuální sítě

K zajištění připojení je potřeba virtuální síť Azure a vyhrazená podsíť. V této podsíti virtuální sítě je povolená služba Domain Services. V tomto kurzu vytvoříte virtuální síť, ale místo toho se můžete rozhodnout použít existující virtuální síť. V obou přístupech musíte vytvořit vyhrazenou podsíť pro použití službou Domain Services.

Rada

Vzhledem k tomu, že musíte jako překladač DNS ve virtuální síti, ve které se nachází, použít IP adresy nasazení služby Microsoft Entra Domain Services, doporučujeme vyhrazenou virtuální síť Azure, pokud používáte jinou službu DNS a konfigurujete podmíněné služby předávání přímo ve službě Microsoft Entra Domain Services.

Mezi důležité informace pro tuto vyhrazenou podsíť virtuální sítě patří následující oblasti:

• Podsíť musí mít v rozsahu adres alespoň 3 až 5 dostupných IP adres, aby podporovala prostředky služby Domain Services.
• Nevybírejte podsíť brány pro nasazení služby Domain Services. Nasazení služby Domain Services do podsítě Gateway se nepodporuje.
• Do podsítě nenasazujte žádné další virtuální počítače. Aplikace a virtuální počítače často používají skupiny zabezpečení sítě k zabezpečení připojení. Spuštění těchto úloh v samostatné podsíti umožňuje použít tyto skupiny zabezpečení sítě bez narušení připojení ke spravované doméně.

Další informace o plánování a konfiguraci virtuální sítě najdete v tématu aspekty sítí pro službu Microsoft Entra Domain Services.

Vyplňte pole v okně sítě následujícím způsobem:

1. Na stránce Síť vyberte v rozevírací nabídce virtuální síť, do které chcete nasadit službu Domain Services, nebo zvolte možnost Vytvořit novou.

   1. Pokud se rozhodnete vytvořit virtuální síť, zadejte název virtuální sítě, například myVnet, zadejte rozsah adres, například 10.0.1.0/24.
   2. Vytvořte vyhrazenou podsíť s jasným názvem, například DomainServices. Zadejte rozsah adres, například 10.0.1.0/24.

   

   Nezapomeňte vybrat rozsah adres, který je v rozsahu privátních IP adres. Rozsahy IP adres, které nevlastníte, které jsou ve veřejném adresní prostoru, způsobují chyby ve službě Domain Services.

2. Vyberte podsíť virtuální sítě, například DomainServices.

3. Až budete připraveni, zvolte Další – administraci.

Konfigurace skupiny pro správu

Ke správě domény Domain Services se používá speciální administrativní skupina s názvem AAD DC Administrators. Členům této skupiny jsou udělena oprávnění správce na virtuálních počítačích, které jsou připojené k spravované doméně. Na virtuálních počítačích připojených k doméně se tato skupina přidá do místní skupiny administrators. Členové této skupiny se také můžou vzdáleně připojit k virtuálním počítačům připojeným k doméně pomocí vzdálené plochy.

Důležitý

Nemáte oprávnění správce domény ani podnikový správce pro spravovanou doménu pomocí služby Domain Services. Služba si tato oprávnění rezervuje a neupřístupňuje je uživatelům v rámci tenanta.

Místo toho skupina AAD DC Administrators umožňuje provádět některé privilegované operace. Mezi tyto operace patří členství ve skupině administrátorů na virtuálních počítačích připojených do domény a konfigurování zásad skupiny.

Průvodce automaticky vytvoří skupinu AAD DC Administrators ve vašem adresáři Microsoft Entra. Pokud máte existující skupinu s tímto názvem v adresáři Microsoft Entra, průvodce tuto skupinu vybere. Volitelně můžete do této skupiny AAD DC Administrators přidat další uživatele během procesu nasazení. Tyto kroky je možné provést později.

1. Pokud chcete do této skupiny správců AAD DC přidat další uživatele, vyberte Spravovat členství ve skupině.

   

2. Vyberte tlačítko Přidat členy a pak vyhledejte a vyberte uživatele z adresáře Microsoft Entra. Například vyhledejte vlastní účet a přidejte ho do skupiny AAD DC Administrators.

3. V případě potřeby změňte nebo přidejte další příjemce pro oznámení, pokud jsou ve spravované doméně upozornění, která vyžadují pozornost.

4. Až budete připraveni, zvolte Další – Synchronizace.

Konfigurace synchronizace

Domain Services umožňuje synchronizovat všechny uživatele a skupiny dostupné v Microsoft Entra ID nebo synchronizaci s omezením na pouze určité skupiny. Teď můžete změnit obor synchronizace nebo po nasazení spravované domény. Další informace naleznete v části služby Microsoft Entra Domain Services s vymezenou synchronizací.

1. V tomto návodu vyberte synchronizaci Všech uživatelů a skupin. Tato volba synchronizace je výchozí možností.

   Microsoft Entra ID

2. Vyberte Zkontrolovat + vytvořit.

Nasazení spravované domény

Na stránce Souhrn průvodce zkontrolujte nastavení konfigurace pro vaši spravovanou doménu. Pokud chcete provést změny, můžete se vrátit k libovolnému kroku průvodce. Pokud chcete spravovanou doménu znovu nasadit do jiného tenanta Microsoft Entra konzistentním způsobem pomocí těchto možností konfigurace, můžete také Stáhnout šablonu pro automatizaci.

1. Pokud chcete vytvořit spravovanou doménu, vyberte Vytvořit. Poznámka ukazuje, že po vytvoření spravované služby Domain Services nejde změnit určité možnosti konfigurace, jako je název DNS nebo virtuální síť. Chcete-li pokračovat, vyberte OK.

2. Proces zřizování spravované domény může trvat až hodinu. Na portálu se zobrazí oznámení, které ukazuje průběh nasazení služby Domain Services. Výběrem oznámení zobrazíte podrobný průběh nasazení.

   

3. Vyberte skupinu prostředků, například myResourceGroup, a pak v seznamu prostředků Azure, například aaddscontoso.com, zvolte spravovanou doménu. Karta Přehled ukazuje, že spravovaná doména je aktuálně nasazována. Spravovanou doménu nemůžete nakonfigurovat, dokud nebude plně zřízená.

   stavu zřizování

4. Po úplném zřízení spravované domény se na kartě přehledu zobrazuje stav domény jako Spuštěno.

   

Důležitý

Spravovaná doména je přidružená k vašemu tenantovi Microsoft Entra. Během procesu zřizování služba Domain Services vytvoří dvě podnikové aplikace s názvem Domain Controller Services a AzureActiveDirectoryDomainControllerServices v tenantovi Microsoft Entra. Tyto podnikové aplikace jsou potřeba ke službě spravované domény. Tyto aplikace neodstraňovat.

Aktualizace nastavení DNS pro virtuální síť Azure

Když je služba Domain Services úspěšně nasazená, nakonfigurujte virtuální síť tak, aby umožňovala ostatním připojeným virtuálním počítačům a aplikacím používat spravovanou doménu. Pokud chcete toto připojení poskytnout, aktualizujte nastavení serveru DNS pro vaši virtuální síť tak, aby odkazovaly na dvě IP adresy, kde je spravovaná doména nasazená.

1. Na kartě Přehled pro vaši spravovanou doménu se zobrazují některé požadované konfigurační kroky. Prvním krokem konfigurace je aktualizace nastavení serveru DNS pro vaši virtuální síť. Jakmile je nastavení DNS správně nakonfigurované, tento krok se už nezobrazuje.

   Uvedené adresy jsou řadiče domény pro použití ve virtuální síti. V tomto příkladu jsou tyto adresy 10.0.1.4 a 10.0.1.5. Tyto IP adresy najdete později na kartě Vlastnosti.

   

2. Pokud chcete aktualizovat nastavení serveru DNS pro virtuální síť, vyberte tlačítko Konfigurovat. Nastavení DNS se pro vaši virtuální síť nakonfiguruje automaticky.

Rada

Pokud jste v předchozích krocích vybrali existující virtuální síť, všechny virtuální počítače připojené k síti získají nová nastavení DNS jenom po restartování. Virtuální počítače můžete restartovat pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo Azure CLI.

Povolení uživatelských účtů pro Domain Services

Aby bylo možné ověřovat uživatele ve spravované doméně, služba Domain Services potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování NT LAN Manager (NTLM) a Kerberos. Microsoft Entra ID nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Domain Services. Z bezpečnostních důvodů Microsoft Entra ID také neuchovává žádné heslové údaje v čisté textové podobě. Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.

Poznámka

Po správné konfiguraci se použitelné hodnoty hash hesel ukládají do spravované domény. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.

Synchronizované informace o přihlašovacích údajích v ID Microsoft Entra se nedají znovu použít, pokud později vytvoříte spravovanou doménu – je nutné znovu nakonfigurovat synchronizaci hodnot hash hesel, aby se hodnoty hash hesel ukládaly znovu. Dříve připojené virtuální počítače nebo uživatelé k doméně se nemůžou okamžitě ověřit – ID Microsoft Entra musí vygenerovat a uložit hodnoty hash hesel v nové spravované doméně.

Další informace naleznete v tématu Proces synchronizace hodnot hash hesel pro Domain Services a Microsoft Entra Connect.

Postup generování a ukládání těchto hodnot hash hesel se liší pro dva typy uživatelských účtů:

• Uživatelské účty pouze v cloudu vytvořené v Microsoft Entra ID.
• Uživatelské účty synchronizované z místního adresáře pomocí microsoft Entra Connect.

Uživatelský účet pouze v cloudu je účet, který byl vytvořen v adresáři Microsoft Entra pomocí Centra pro správu Microsoft Entra nebo rutiny Microsoft Graph PowerShellu. Tyto uživatelské účty se nesynchronují z místního adresáře.

V tomto kurzu pojďme pracovat se základním uživatelským účtem jen pro cloud. Další informace o dalších krocích potřebných k používání služby Microsoft Entra Connect najdete v tématu Synchronizace hodnot hash hesel pro uživatelské účty synchronizované z místní služby AD do spravované domény.

Rada

Pokud má váš tenant Microsoft Entra kombinaci výhradně cloudových uživatelů a uživatelů z místní služby AD, musíte provést obě sady kroků.

V případě uživatelských účtů jen pro cloud musí uživatelé před použitím služby Domain Services změnit svá hesla. Tento proces změny hesla způsobí, že se vygenerují a ukládají hodnoty hash hesel pro ověřování Kerberos a NTLM v Microsoft Entra ID. Účet se nesynchronuje z ID Microsoft Entra do Domain Services, dokud se nezmění heslo. Buď vyprší platnost hesel pro všechny cloudové uživatele v tenantovi, kteří potřebují používat Domain Services, což vynutí změnu hesla při příštím přihlášení, nebo dát cloudovým uživatelům pokyn, aby si heslo změnili ručně. V tomto kurzu ručně změníme uživatelské heslo.

Aby uživatel mohl resetovat heslo, musí být tenant Microsoft Entra nakonfigurovaný pro samoobslužné resetování hesla.

Pokud chcete změnit heslo jenom pro uživatele cloudu, musí uživatel provést následující kroky:

1. Přejděte na stránku přístupového panelu Microsoft Entra ID na https://myapps.microsoft.com.

2. V pravém horním rohu vyberte své jméno a v rozevírací nabídce zvolte Profil.

   

3. Na stránce Profil vyberte Změnit heslo.

4. Na stránce Změnit heslo zadejte stávající (staré) heslo a zadejte a potvrďte nové heslo.

5. Vyberte Odeslat.

Po změně hesla trvá několik minut, než je nové heslo použitelné ve službě Domain Services a umožní úspěšné přihlášení k počítačům připojeným ke spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

• Konfigurace nastavení DNS a virtuální sítě pro spravovanou doménu
• Vytvoření spravované domény
• Přidání správců do správy domény
• Povolení uživatelských účtů pro služby domény a generování hashových hesel

Pokud chcete zobrazit tuto spravovanou doménu v akci, vytvořte a připojte virtuální počítač k doméně.

Připojení virtuálního počítače s Windows Serverem k spravované domény