Lernprogramm: Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne

Microsoft Entra Domain Services stellen verwaltete Domänendienste bereit, z.B. Domänenbeitritt, Gruppenrichtlinie, LDAP, Kerberos/NTLM-Authentifizierung, die mit Windows Server Active Directory vollständig kompatibel sind. Sie können diese Domänendienste nutzen, ohne selbst Domänencontroller bereitstellen, verwalten und patchen zu müssen. Domain Services ist in Ihren vorhandenen Microsoft Entra-Mandanten integriert. Dank dieser Integration können Benutzer sich mit ihren Unternehmensanmeldeinformationen anmelden, und Sie können vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen zu sichern.

Sie können eine verwaltete Domäne mithilfe der Standardkonfigurationsoptionen für Netzwerk und Synchronisierung erstellen oder diese Einstellungen manuell definieren. In diesem Lernprogramm erfahren Sie, wie Sie mithilfe von Standardoptionen eine verwaltete Domäne für Domänendienste mithilfe des Microsoft Entra Admin Centers erstellen und konfigurieren.

In diesem Tutorial lernen Sie Folgendes:

• Grundlegendes zu DNS-Anforderungen für eine verwaltete Domäne
• Erstellen einer verwalteten Domäne
• Aktivieren der Kennworthashsynchronisierung

Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto , bevor Sie beginnen.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Sie benötigen die Microsoft Entra-Rollen Anwendungsadministrator und Gruppenadministrator in Ihrem Mandanten, um Domänendienste zu aktivieren.
• Sie benötigen die Azure-Rolle Domain Services-Mitwirkender, um die erforderlichen Domain Services-Ressourcen zu erstellen.
• Ein virtuelles Netzwerk mit DNS-Servern, die erforderliche Infrastruktur wie z. B. Speicher abfragen können. DNS-Server, die keine allgemeinen Internetabfragen ausführen können, blockieren möglicherweise die Möglichkeit, eine verwaltete Domäne zu erstellen.

Obwohl für Domänendienste nicht erforderlich, empfiehlt es sich, self-service password reset (SSPR) für den Microsoft Entra-Mandanten zu konfigurieren. Benutzer können ihr Kennwort ohne SSPR ändern, aber SSPR hilft, wenn sie ihr Kennwort vergessen und es zurücksetzen müssen.

Von Bedeutung

Sie können die verwaltete Domäne nach der Erstellung nicht in ein anderes Abonnement, eine ressourcengruppe oder eine andere Region verschieben. Achten Sie darauf, das am besten geeignete Abonnement, die Ressourcengruppe und die Region auszuwählen, wenn Sie die verwaltete Domäne bereitstellen.

Melden Sie sich beim Microsoft Entra Admin Center an

In diesem Lernprogramm erstellen und konfigurieren Sie die verwaltete Domäne mithilfe des Microsoft Entra Admin Centers. Um zu beginnen, melden Sie sich zuerst beim Microsoft Entra Admin Centeran.

Erstellen einer verwalteten Domäne

Führen Sie die folgenden Schritte aus, um den Assistenten " Microsoft Entra Domain Services aktivieren " zu starten:

1. Suchen Sie im Microsoft Entra Admin Center-Menü oder auf der Startseite nach Domänendiensten, und wählen Sie dann Microsoft Entra Domain Services aus.

2. Wählen Sie auf der Seite "Microsoft Entra Domain Services" die Option "Microsoft Entra Domain Services erstellen" aus.

   

3. Wählen Sie das Azure-Abonnement aus, in dem Sie die verwaltete Domäne erstellen möchten.

4. Wählen Sie die Ressourcengruppe aus, zu der die verwaltete Domäne gehören soll. Wählen Sie " Neu erstellen" aus, oder wählen Sie eine vorhandene Ressourcengruppe aus.

Wenn Sie eine verwaltete Domäne erstellen, geben Sie einen DNS-Namen an. Es gibt einige Überlegungen, wenn Sie diesen DNS-Namen auswählen:

• Integrierter Domänenname: Standardmäßig wird der integrierte Domänenname des Verzeichnisses verwendet (ein .onmicrosoft.com-Suffix). Wenn Sie den sicheren LDAP-Zugriff auf die verwaltete Domäne über das Internet aktivieren möchten, können Sie kein digitales Zertifikat erstellen, um die Verbindung mit dieser Standarddomäne zu sichern. Microsoft besitzt die Domäne ".onmicrosoft.com ", sodass eine Zertifizierungsstelle (Certificate Authority, CA) kein Zertifikat ausstellt.
• Benutzerdefinierte Domänennamen: Der häufigste Ansatz besteht darin, einen benutzerdefinierten Domänennamen anzugeben, in der Regel einen, den Sie bereits besitzen und routingfähig sind. Wenn Sie eine routingfähige benutzerdefinierte Domäne verwenden, kann der Datenverkehr ordnungsgemäß und bedarfsgerecht weitergeleitet werden, um Ihre Anwendungen zu unterstützen.
• Nicht routingfähige Domänensuffixe: Es wird in der Regel empfohlen, ein nicht routingfähiges Domänennamensuffix wie contoso.local zu vermeiden. Das lokale Suffix ist nicht routingfähig und kann Probleme mit der DNS-Auflösung verursachen.

Tipp

Wenn Sie einen benutzerdefinierten Domänennamen erstellen, achten Sie auf vorhandene DNS-Namespaces. Obwohl dies unterstützt wird, sollten Sie einen Domänennamen unabhängig von einem vorhandenen Azure- oder lokalen DNS-Namespace verwenden.

Wenn Sie beispielsweise über einen vorhandenen DNS-Namensraum von contoso.com verfügen, erstellen Sie eine verwaltete Domäne mit dem benutzerdefinierten Domänennamen dscontoso.com. Wenn Sie sicheres LDAP verwenden müssen, müssen Sie diesen benutzerdefinierten Domänennamen registrieren und besitzen, um die erforderlichen Zertifikate zu generieren.

Möglicherweise müssen Sie zusätzliche DNS-Einträge für andere Dienste in Ihrer Umgebung oder bedingte DNS-Weiterleitungen zwischen vorhandenen DNS-Namensräumen in Ihrer Umgebung erstellen. Wenn Sie beispielsweise einen Webserver ausführen, der eine Website mit dem Dns-Stammnamen hostet, können Namenskonflikte auftreten, die zusätzliche DNS-Einträge erfordern.

In diesen Lernprogrammen und Anleitungen wird die benutzerdefinierte Domäne von dscontoso.com als kurzes Beispiel verwendet. Geben Sie in allen Befehlen Ihren eigenen Domänennamen an.

Die folgenden DNS-Namensbeschränkungen gelten ebenfalls:

• Einschränkungen für Domänenpräfixe: Sie können keine verwaltete Domäne mit einem Präfix erstellen, das länger als 15 Zeichen ist. Das Präfix Ihres angegebenen Domänennamens (z. B. dscontoso im dscontoso.com Domänennamen) muss 15 oder weniger Zeichen enthalten.
• Netzwerknamenkonflikte: Der DNS-Domänenname für Ihre verwaltete Domäne sollte nicht bereits im virtuellen Netzwerk vorhanden sein. Überprüfen Sie insbesondere die folgenden Szenarien, die zu einem Namenskonflikt führen würden:
  • Wenn Sie bereits über eine Active Directory-Domäne mit demselben DNS-Domänennamen im virtuellen Azure-Netzwerk verfügen.
  • Wenn das virtuelle Netzwerk, in dem Sie die verwaltete Domäne aktivieren möchten, über eine VPN-Verbindung mit Ihrem lokalen Netzwerk verfügt. Stellen Sie in diesem Szenario sicher, dass Sie nicht über eine Domäne mit demselben DNS-Domänennamen in Ihrem lokalen Netzwerk verfügen.
  • Wenn Sie über einen vorhandenen Azure-Clouddienst mit diesem Namen im virtuellen Azure-Netzwerk verfügen.

Füllen Sie die Felder im Fenster " Grundlagen" im Microsoft Entra Admin Center aus, um eine verwaltete Domäne zu erstellen:

1. Geben Sie einen DNS-Domänennamen für Ihre verwaltete Domäne ein, wobei die vorherigen Punkte berücksichtigt werden.

2. Wählen Sie die Azure-Region aus, in der die verwaltete Domäne erstellt werden soll. Wenn Sie eine Region auswählen, die Azure-Verfügbarkeitszonen unterstützt, werden die Domänendiensteressourcen über Zonen verteilt, um zusätzliche Redundanz zu erzielen.

   Tipp

   Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren. Zur Gewährleistung der Resilienz sind in allen aktivierten Regionen mindestens drei separate Zonen vorhanden.

   Für die Verteilung auf Zonen für Domain Services fällt für Sie kein Konfigurationsaufwand an. Die Verteilung der Ressourcen auf Zonen wird von der Azure-Plattform automatisch durchgeführt. Weitere Informationen, z. B. zur regionalen Verfügbarkeit, finden Sie unter Was sind Verfügbarkeitszonen in Azure?.

3. Die SKU bestimmt die Leistung und Sicherungshäufigkeit. Sie können die SKU ändern, nachdem die verwaltete Domäne erstellt wurde, wenn sich Ihre geschäftlichen Anforderungen ändern. Weitere Informationen finden Sie unter SKU-Konzepte für Domänendienste.

   Wählen Sie für dieses Tutorial die SKU Standard aus. Das Fenster "Grundlagen" sollte wie folgt aussehen:

   

Um schnell eine verwaltete Domäne zu erstellen, können Sie "Überprüfen" und "Erstellen" auswählen, um zusätzliche Standardkonfigurationsoptionen zu akzeptieren. Die folgenden Standardwerte werden konfiguriert, wenn Sie diese Option zum Erstellen auswählen:

• Erstellt standardmäßig ein virtuelles Netzwerk namens ds-vnet , das den IP-Adressbereich von 10.0.1.0/24 verwendet.
• Erstellt ein Subnetz namens ds-subnet unter Verwendung des IP-Adressbereichs von 10.0.1.0/24.
• Synchronisiert alle Benutzer von Microsoft Entra-ID mit der verwalteten Domäne.

Hinweis

Sie sollten aufgrund der folgenden Probleme keine öffentlichen IP-Adressen für virtuelle Netzwerke und deren Subnetze verwenden:

• Knappheit der IP-Adressen: Öffentliche IPv4-Adressen sind begrenzt, und ihre Nachfrage überschreitet häufig das verfügbare Angebot. Außerdem gibt es potenziell überlappende IPs mit öffentlichen Endpunkten.

• Sicherheitsrisiken: Die Verwendung öffentlicher IPs für virtuelle Netzwerke macht Ihre Geräte direkt im Internet verfügbar, wodurch das Risiko eines nicht autorisierten Zugriffs und potenzieller Angriffe erhöht wird. Ohne angemessene Sicherheitsmaßnahmen können Ihre Geräte anfällig für verschiedene Bedrohungen werden.

• Komplexität: Das Verwalten eines virtuellen Netzwerks mit öffentlichen IPs kann komplexer sein als die Verwendung privater IPs, da es den Umgang mit externen IP-Bereichen erfordert und eine ordnungsgemäße Netzwerksegmentierung und Sicherheit gewährleistet.

Es wird dringend empfohlen, private IP-Adressen zu verwenden. Wenn Sie eine öffentliche IP verwenden, stellen Sie sicher, dass Sie der Besitzer/dedizierte Benutzer der ausgewählten IP-Adressen im öffentlichen Bereich sind, den Sie ausgewählt haben.

Wählen Sie "Überprüfen" und "Erstellen" aus, um diese Standardkonfigurationsoptionen zu akzeptieren.

Bereitstellen der verwalteten Domäne

Überprüfen Sie auf der Seite "Zusammenfassung " des Assistenten die Konfigurationseinstellungen für Ihre verwaltete Domäne. Sie können zu jedem Schritt des Assistenten zurückgehen, um Änderungen vorzunehmen. Zum erneuten Bereitstellen einer verwalteten Domäne für einen anderen Microsoft Entra-Mandanten mithilfe dieser Konfigurationsoptionen können Sie auch eine Vorlage für die Automatisierung herunterladen.

1. Um die verwaltete Domäne zu erstellen, wählen Sie "Erstellen" aus. Es wird eine Notiz angezeigt, dass bestimmte Konfigurationsoptionen wie DNS-Name oder virtuelles Netzwerk nicht geändert werden können, nachdem die verwalteten Domänendienste erstellt wurden. Wählen Sie OK aus, um fortzufahren.

   

2. Der Bereitstellungsprozess Ihrer verwalteten Domäne kann bis zu einer Stunde dauern. Im Portal wird eine Benachrichtigung angezeigt, die den Fortschritt Der Bereitstellung von Domänendiensten anzeigt.

3. Wenn die verwaltete Domäne vollständig bereitgestellt wird, zeigt die Registerkarte Übersicht den Domänenstatus als Aktiv an. Erweitern Sie Die Bereitstellungsdetails für Links zu Ressourcen wie dem virtuellen Netzwerk und der Netzwerkressourcengruppe.

   

Von Bedeutung

Die verwaltete Domäne ist Ihrem Microsoft Entra-Verzeichnis zugeordnet. Während des Bereitstellungsprozesses erstellt Domain Services zwei Enterprise-Anwendungen namens Domain Controller Services und AzureActiveDirectoryDomainControllerServices im Microsoft Entra-Verzeichnis. Diese Unternehmensanwendungen werden benötigt, um Ihre verwaltete Domäne zu verwalten. Löschen Sie diese Anwendungen nicht.

Aktualisieren von DNS-Einstellungen für das virtuelle Azure-Netzwerk

Nachdem Domänendienste erfolgreich bereitgestellt wurden, konfigurieren Sie nun das virtuelle Netzwerk, damit andere verbundene VMs und Anwendungen die verwaltete Domäne verwenden können. Um diese Konnektivität bereitzustellen, aktualisieren Sie die DNS-Servereinstellungen für Ihr virtuelles Netzwerk so, dass sie auf die beiden IP-Adressen verweist, an denen die verwaltete Domäne bereitgestellt wird.

1. Auf der Registerkarte "Übersicht " für Ihre verwaltete Domäne werden einige erforderliche Konfigurationsschritte angezeigt. Der erste Konfigurationsschritt besteht darin, DNS-Servereinstellungen für Ihr virtuelles Netzwerk zu aktualisieren. Nachdem die DNS-Einstellungen richtig konfiguriert wurden, wird dieser Schritt nicht mehr angezeigt.

   Die aufgeführten Adressen sind die Domänencontroller für die Verwendung im virtuellen Netzwerk. In diesem Beispiel sind diese Adressen 10.0.1.4 und 10.0.1.5. Sie finden diese IP-Adressen später auf der Registerkarte "Eigenschaften ".

   

2. Um die DNS-Servereinstellungen für das virtuelle Netzwerk zu aktualisieren, wählen Sie die Schaltfläche " Konfigurieren " aus. Die DNS-Einstellungen werden automatisch für Ihr virtuelles Netzwerk konfiguriert.

Tipp

Wenn Sie in den vorherigen Schritten ein vorhandenes virtuelles Netzwerk ausgewählt haben, erhalten alle virtuellen Computer, die mit dem Netzwerk verbunden sind, nur die neuen DNS-Einstellungen nach einem Neustart. Sie können virtuelle Computer über das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Azure CLI neu starten.

Aktivieren von Benutzerkonten für Domänendienste

Um Benutzende in der verwalteten Domäne authentifizieren zu können, benötigt Domain Services Kennworthashes in einem Format, das für die Authentifizierung über NT LAN Manager (NTLM) und Kerberos geeignet ist. Microsoft Entra ID generiert oder speichert erst dann Kennworthashes in dem für die NTLM- oder Kerberos-Authentifizierung erforderlichen Format, wenn Sie Domain Services für Ihren Mandanten aktivieren. Aus Sicherheitsgründen speichert Microsoft Entra ID Kennwörter nicht als Klartext. Daher kann Microsoft Entra ID diese NTLM- oder Kerberos-Kennworthashes nicht automatisch auf der Grundlage bereits vorhandener Anmeldeinformationen von Benutzern generieren.

Hinweis

Nach entsprechender Konfiguration werden die verwendbaren Kennwort-Hashes in der verwalteten Domäne gespeichert. Wenn Sie die verwaltete Domäne löschen, werden alle zu diesem Zeitpunkt gespeicherten Kennworthashes ebenfalls gelöscht.

Synchronisierte Anmeldeinformationen in Microsoft Entra ID können nicht wiederverwendet werden, wenn Sie später eine verwaltete Domäne erstellen. Sie müssen die Kennworthashsynchronisierung neu konfigurieren, um die Kennworthashes erneut zu speichern. VMs oder Benutzer, die zuvor in eine Domäne eingebunden wurden, können sich nicht sofort authentifizieren – Microsoft Entra ID muss die Kennworthashes in der neuen verwalteten Domäne generieren und speichern.

Die Microsoft Entra Cloud-Synchronisierung wird mit Domänendiensten nicht unterstützt. Lokale Benutzer müssen mithilfe der Microsoft Entra Connect-Synchronisierung synchronisiert werden, um auf in die Domäne eingebundene VMs zugreifen zu können. Die Verbindungssynchronisierung muss unter Windows Server 2022, Windows Server 2019 oder Windows Server 2016 installiert sein. Weitere Informationen finden Sie unter Prozess zur Kennworthashsynchronisierung für Domain Services und Microsoft Entra Connect.

Zum Generieren und Speichern dieser Kennworthashes müssen für in Microsoft Entra ID erstellte reine Cloudbenutzerkonten andere Schritte ausgeführt werden als für Benutzerkonten, die mit Microsoft Entra Connect aus Ihrem lokalen Verzeichnis synchronisiert werden.

Ein reines Cloudbenutzerkonto ist ein Konto, das mit dem Microsoft Entra Admin Center oder PowerShell in Ihrem Microsoft Entra-Verzeichnis erstellt wurde. Diese Benutzerkonten werden nicht von einem lokalen Verzeichnis aus synchronisiert.

In diesem Lernprogramm arbeiten wir mit einem einfachen reinen Cloudbenutzerkonto. Weitere Informationen zu den zusätzlichen Schritten, die für die Verwendung von Microsoft Entra Connect erforderlich sind, finden Sie in Synchronisieren von Passworthashes für Benutzerkonten, die von dem lokalen AD mit der verwalteten Domäne synchronisiert werden.

Tipp

Wenn Ihr Microsoft Entra-Verzeichnis über eine Kombination aus reinen Cloudbenutzenden und synchronisierten Benutzenden verfügt, müssen beide Prozeduren durchgeführt werden.

Bei reinen Cloudbenutzerkonten müssen Benutzer ihre Kennwörter ändern, bevor sie Domänendienste verwenden können. Diese Kennwortänderung führt dazu, dass die Kennworthashes für die Kerberos- und NTLM-Authentifizierung in Microsoft Entra ID generiert und gespeichert werden. Das Konto wird erst dann von Microsoft Entra ID mit Domain Services synchronisiert, wenn das Kennwort geändert wird. Läuft entweder die Kennwörter für alle Cloudbenutzer im Mandanten ab, die Domänendienste verwenden müssen, wodurch eine Kennwortänderung bei der nächsten Anmeldung erzwungen wird, oder weisen Sie Cloudbenutzer an, ihre Kennwörter manuell zu ändern. In diesem Lernprogramm ändern wir manuell ein Benutzerkennwort.

Bevor ein Benutzer sein Kennwort zurücksetzen kann, muss der Microsoft Entra-Mandant für die Self-Service-Kennwortzurücksetzung konfiguriert werden.

Um das Kennwort für einen reinen Cloudbenutzer zu ändern, muss der Benutzer die folgenden Schritte ausführen:

1. Wechseln Sie zur Microsoft Entra ID Access Panel-Seite unter https://myapps.microsoft.com.

2. Wählen Sie in der oberen rechten Ecke Ihren Namen aus, und wählen Sie dann im Dropdownmenü " Profil " aus.

   

3. Wählen Sie auf der Profilseite " Kennwort ändern" aus.

4. Geben Sie auf der Seite "Kennwort ändern " Ihr vorhandenes (altes) Kennwort ein, und bestätigen Sie dann ein neues Kennwort.

5. Wählen Sie "Absenden" aus.

Es dauert ein paar Minuten, nachdem Sie Ihr Kennwort geändert haben, damit das neue Kennwort in Domänendiensten verwendet werden kann und sich erfolgreich bei Computern anmelden kann, die der verwalteten Domäne beigetreten sind.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

• Grundlegendes zu DNS-Anforderungen für eine verwaltete Domäne
• Erstellen einer verwalteten Domäne
• Hinzufügen von Administrativen Benutzern zur Domänenverwaltung
• Aktivieren von Benutzerkonten für Domain Services und Generieren von Kennworthashes

Konfigurieren Sie vor dem Domänenbeitritt von VMs und der Bereitstellung von Anwendungen, die die verwaltete Domäne verwenden, ein virtuelles Azure-Netzwerk für Anwendungsworkloads.

Konfigurieren des virtuellen Azure-Netzwerks für Anwendungsworkloads für die Verwendung Ihrer verwalteten Domäne