Lernprogramm: Erstellen und Konfigurieren einer verwalteten Domäne von Microsoft Entra Domain Services mit erweiterten Konfigurationsoptionen

Microsoft Entra Domain Services stellen verwaltete Domänendienste bereit, z.B. Domänenbeitritt, Gruppenrichtlinie, LDAP, Kerberos/NTLM-Authentifizierung, die mit Windows Server Active Directory vollständig kompatibel sind. Sie können diese Domänendienste nutzen, ohne selbst Domänencontroller bereitstellen, verwalten und patchen zu müssen. Domain Services ist in Ihren vorhandenen Microsoft Entra-Mandanten integriert. Dank dieser Integration können Benutzer sich mit ihren Unternehmensanmeldeinformationen anmelden, und Sie können vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen zu sichern.

Sie können eine verwaltete Domäne mithilfe der Standardkonfigurationsoptionen für Netzwerk und Synchronisierung erstellen oder diese Einstellungen manuell definieren. In diesem Lernprogramm erfahren Sie, wie Sie diese erweiterten Konfigurationsoptionen zum Erstellen und Konfigurieren einer verwalteten Domäne für Domänendienste mithilfe des Microsoft Entra Admin Centers definieren.

In diesem Tutorial lernen Sie Folgendes:

• Konfigurieren von DNS- und virtuellen Netzwerkeinstellungen für eine verwaltete Domäne
• Erstellen einer verwalteten Domäne
• Hinzufügen von Administrativen Benutzern zur Domänenverwaltung
• Aktivieren der Kennworthashsynchronisierung

Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto , bevor Sie beginnen.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Sie benötigen die Microsoft Entra-Rollen Anwendungsadministrator und Gruppenadministrator in Ihrem Mandanten, um Domänendienste zu aktivieren.
• Sie benötigen die Azure-Rolle Domain Services-Mitwirkender, um die erforderlichen Domain Services-Ressourcen zu erstellen.

Obwohl für Domänendienste nicht erforderlich, empfiehlt es sich, self-service password reset (SSPR) für den Microsoft Entra-Mandanten zu konfigurieren. Benutzer können ihr Kennwort ohne SSPR ändern, aber SSPR hilft, wenn sie ihr Kennwort vergessen und es zurücksetzen müssen.

Von Bedeutung

Nachdem Sie eine verwaltete Domäne erstellt haben, können Sie sie nicht in ein anderes Abonnement, eine andere Ressourcengruppe oder region verschieben. Achten Sie darauf, das am besten geeignete Abonnement, die Ressourcengruppe und die Region auszuwählen, wenn Sie die verwaltete Domäne bereitstellen.

Melden Sie sich beim Microsoft Entra Admin Center an

In diesem Lernprogramm erstellen und konfigurieren Sie die verwaltete Domäne mithilfe des Microsoft Entra Admin Centers. Um zu beginnen, melden Sie sich zuerst beim Microsoft Entra Admin Centeran.

Erstellen einer verwalteten Domäne und Konfigurieren grundlegender Einstellungen

Führen Sie die folgenden Schritte aus, um den Assistenten " Microsoft Entra Domain Services aktivieren " zu starten:

1. Wählen Sie im Microsoft Entra Admin Center-Menü oder auf der Startseite die Option "Ressource erstellen" aus.
2. Geben Sie Domänendienste in die Suchleiste ein, und wählen Sie dann microsoft Entra Domain Services aus den Suchvorschlägen aus.
3. Wählen Sie auf der Seite "Microsoft Entra Domain Services" die Option "Erstellen" aus. Der Assistent " Microsoft Entra Domain Services aktivieren" wird gestartet.
4. Wählen Sie das Azure-Abonnement aus, in dem Sie die verwaltete Domäne erstellen möchten.
5. Wählen Sie die Ressourcengruppe aus, zu der die verwaltete Domäne gehören soll. Wählen Sie " Neu erstellen" aus, oder wählen Sie eine vorhandene Ressourcengruppe aus.

Wenn Sie eine verwaltete Domäne erstellen, geben Sie einen DNS-Namen an. Es gibt einige Überlegungen, wenn Sie diesen DNS-Namen auswählen:

• Integrierter Domänenname: Standardmäßig wird der integrierte Domänenname des Verzeichnisses verwendet (ein .onmicrosoft.com-Suffix). Wenn Sie den sicheren LDAP-Zugriff auf die verwaltete Domäne über das Internet aktivieren möchten, können Sie kein digitales Zertifikat erstellen, um die Verbindung mit dieser Standarddomäne zu sichern. Microsoft besitzt die Domäne ".onmicrosoft.com ", sodass eine Zertifizierungsstelle (Certificate Authority, CA) kein Zertifikat ausstellt.
• Benutzerdefinierte Domänennamen: Der häufigste Ansatz besteht darin, einen benutzerdefinierten Domänennamen anzugeben, in der Regel einen, den Sie bereits besitzen und routingfähig sind. Wenn Sie eine routingfähige benutzerdefinierte Domäne verwenden, kann der Datenverkehr ordnungsgemäß und bedarfsgerecht weitergeleitet werden, um Ihre Anwendungen zu unterstützen.
• Nicht routingfähige Domänensuffixe: Es wird in der Regel empfohlen, ein nicht routingfähiges Domänennamensuffix wie contoso.local zu vermeiden. Das lokale Suffix ist nicht routingfähig und kann Probleme mit der DNS-Auflösung verursachen.

Tipp

Wenn Sie einen benutzerdefinierten Domänennamen erstellen, achten Sie auf vorhandene DNS-Namespaces. Es wird empfohlen, einen Domänennamen getrennt von einem vorhandenen Azure- oder lokalen DNS-Namensraum zu verwenden.

Wenn Sie beispielsweise über einen vorhandenen DNS-Namensraum von contoso.com verfügen, erstellen Sie eine verwaltete Domäne mit dem benutzerdefinierten Domänennamen aaddscontoso.com. Wenn Sie sicheres LDAP verwenden müssen, müssen Sie diesen benutzerdefinierten Domänennamen registrieren und besitzen, um die erforderlichen Zertifikate zu generieren.

Möglicherweise müssen Sie zusätzliche DNS-Einträge für andere Dienste in Ihrer Umgebung oder bedingte DNS-Weiterleitungen zwischen vorhandenen DNS-Namensräumen in Ihrer Umgebung erstellen. Wenn Sie beispielsweise einen Webserver ausführen, der eine Website mit dem Dns-Stammnamen hostet, können Namenskonflikte auftreten, die zusätzliche DNS-Einträge erfordern.

In diesen Lernprogrammen und Anleitungen wird die benutzerdefinierte Domäne von aaddscontoso.com als kurzes Beispiel verwendet. Geben Sie in allen Befehlen Ihren eigenen Domänennamen an.

Die folgenden DNS-Namensbeschränkungen gelten ebenfalls:

• Einschränkungen für Domänenpräfixe: Sie können keine verwaltete Domäne mit einem Präfix erstellen, das länger als 15 Zeichen ist. Das Präfix Ihres angegebenen Domänennamens (z. B. aaddscontoso im aaddscontoso.com Domänennamen) muss 15 oder weniger Zeichen enthalten.
• Netzwerknamenkonflikte: Der DNS-Domänenname für Ihre verwaltete Domäne sollte nicht bereits im virtuellen Netzwerk vorhanden sein. Überprüfen Sie insbesondere die folgenden Szenarien, die zu einem Namenskonflikt führen würden:
  • Wenn Sie bereits über eine Active Directory-Domäne mit demselben DNS-Domänennamen im virtuellen Azure-Netzwerk verfügen.
  • Wenn das virtuelle Netzwerk, in dem Sie die verwaltete Domäne aktivieren möchten, über eine VPN-Verbindung mit Ihrem lokalen Netzwerk verfügt. Stellen Sie in diesem Szenario sicher, dass Sie nicht über eine Domäne mit demselben DNS-Domänennamen in Ihrem lokalen Netzwerk verfügen.
  • Wenn Sie über einen vorhandenen Azure-Clouddienst mit diesem Namen im virtuellen Azure-Netzwerk verfügen.

Um eine verwaltete Domäne zu erstellen, füllen Sie die Felder im Fenster " Grundlagen " im Microsoft Entra Admin Center aus:

1. Geben Sie einen DNS-Domänennamen für Ihre verwaltete Domäne ein, wobei die vorherigen Punkte berücksichtigt werden.

2. Wählen Sie den Azure-Speicherort aus, an dem die verwaltete Domäne erstellt werden soll. Wenn Sie eine Region auswählen, die Verfügbarkeitszonen unterstützt, werden die Domänendiensteressourcen über Zonen verteilt, um zusätzliche Redundanz zu erzielen.

   Tipp

   Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren. Zur Gewährleistung der Resilienz sind in allen aktivierten Regionen mindestens drei separate Zonen vorhanden.

   Für die Verteilung auf Zonen für Domain Services fällt für Sie kein Konfigurationsaufwand an. Die Verteilung der Ressourcen auf Zonen wird von der Azure-Plattform automatisch durchgeführt. Weitere Informationen und informationen zur Verfügbarkeit von Regionen finden Sie unter Was sind Verfügbarkeitszonen in Azure?

3. Die SKU bestimmt die Leistung und Sicherungshäufigkeit. Sie können die SKU nach dem Erstellen der verwalteten Domäne ändern, wenn sich Ihre geschäftlichen Anforderungen ändern. Weitere Informationen finden Sie unter SKU-Konzepte für Domänendienste.

   Wählen Sie für dieses Tutorial die SKU Standard aus.

4. Eine Gesamtstruktur ist ein logisches Konstrukt, das von Active Directory Domain Services zum Gruppieren einer oder mehrerer Domänen verwendet wird.

   

5. Um zusätzliche Optionen manuell zu konfigurieren, wählen Sie "Weiter – Netzwerk" aus. Wählen Sie andernfalls "Überprüfen+ erstellen " aus, um die Standardkonfigurationsoptionen zu akzeptieren, und fahren Sie dann mit dem Abschnitt fort, um Ihre verwaltete Domäne bereitzustellen. Die folgenden Standardwerte werden konfiguriert, wenn Sie diese Option zum Erstellen auswählen:

   • Erstellt ein virtuelles Netzwerk namens aadds-vnet , das den IP-Adressbereich von 10.0.1.0/24 verwendet.
   • Erstellt ein Subnetz mit dem Namen aadds-subnet unter Verwendung des IP-Adressbereichs von 10.0.1.0/24.
   • Synchronisiert alle Benutzer von Microsoft Entra-ID mit der verwalteten Domäne.

Erstellen und Konfigurieren des virtuellen Netzwerks

Um Konnektivität bereitzustellen, sind ein virtuelles Azure-Netzwerk und ein dediziertes Subnetz erforderlich. Domänendienste sind in diesem virtuellen Netzwerk-Subnetz aktiviert. In diesem Lernprogramm erstellen Sie ein virtuelles Netzwerk, können aber stattdessen ein vorhandenes virtuelles Netzwerk verwenden. Bei beiden Ansätzen müssen Sie ein dediziertes Subnetz für die Verwendung durch Domänendienste erstellen.

Tipp

Da Sie die Microsoft Entra Domain Services-Bereitstellungs-IPs als DNS-Resolver im VNET verwenden müssen, in dem es sich befindet, empfehlen wir ein dediziertes virtuelles Azure-Netzwerk, wenn Sie einen anderen DNS-Dienst verwenden und bedingte Weiterleitungen für Microsoft Entra Domain Services selbst konfigurieren.

Einige Überlegungen für dieses dedizierte virtuelle Netzwerk-Subnetz umfassen die folgenden Bereiche:

• Das Subnetz muss mindestens 3 bis 5 verfügbare IP-Adressen im Adressbereich haben, um die Domänendiensteressourcen zu unterstützen.
• Wählen Sie nicht das Gateway-Subnetz für die Bereitstellung von Domänendiensten aus. Es wird nicht unterstützt, Domänendienste in einem Gateway-Subnetz bereitzustellen.
• Stellen Sie keine anderen virtuellen Computer im Subnetz bereit. Anwendungen und VMs verwenden häufig Netzwerksicherheitsgruppen, um die Konnektivität zu sichern. Wenn Sie diese Workloads in einem separaten Subnetz ausführen, können Sie diese Netzwerksicherheitsgruppen anwenden, ohne die Verbindung mit Ihrer verwalteten Domäne zu unterbrechen.

Weitere Informationen zum Planen und Konfigurieren des virtuellen Netzwerks finden Sie unter Netzwerküberlegungen für Microsoft Entra Domain Services.

Füllen Sie die Felder im Netzwerkfenster wie folgt aus:

1. Wählen Sie auf der Seite "Netzwerk " ein virtuelles Netzwerk aus, in dem Domänendienste im Dropdownmenü bereitgestellt werden sollen, oder wählen Sie " Neu erstellen" aus.

   1. Wenn Sie ein virtuelles Netzwerk erstellen möchten, geben Sie einen Namen für das virtuelle Netzwerk ein, z. B. myVnet, und geben Sie dann einen Adressbereich an, z. B. 10.0.1.0/24.
   2. Erstellen Sie ein dediziertes Subnetz mit einem eindeutigen Namen, z. B. DomainServices. Geben Sie einen Adressbereich an, z. B. 10.0.1.0/24.

   

   Stellen Sie sicher, dass Sie einen Adressbereich auswählen, der sich innerhalb Ihres privaten IP-Adressbereichs befindet. IP-Adressbereiche, die Sie nicht besitzen, die sich im öffentlichen Adressbereich befinden, verursachen Fehler innerhalb der Domänendienste.

2. Wählen Sie ein virtuelles Netzwerk-Subnetz aus, z. B. DomainServices.

3. Wenn Sie bereit sind, wählen Sie "Weiter – Verwaltung" aus.

Konfigurieren einer administrativen Gruppe

Eine spezielle administrative Gruppe namens "AAD DC Administrators " wird für die Verwaltung der Domäne "Domain Services" verwendet. Mitgliedern dieser Gruppe werden Administratorberechtigungen für VMs erteilt, die der verwalteten Domäne beigetreten sind. Auf in die Domäne eingebundenen VMs wird diese Gruppe der lokalen Administratorgruppe hinzugefügt. Mitglieder dieser Gruppe können auch Remotedesktop verwenden, um eine Remoteverbindung mit in die Domäne eingebundenen VMs herzustellen.

Von Bedeutung

Sie verfügen nicht über Domänenadministrator - oder Unternehmensadministratorberechtigungen für eine verwaltete Domäne mithilfe von Domänendiensten. Der Dienst behält sich diese Berechtigungen vor und stellt sie benutzern innerhalb des Mandanten nicht zur Verfügung.

Stattdessen können Sie in der Gruppe "AAD DC-Administratoren " einige privilegierte Vorgänge ausführen. Diese Vorgänge umfassen die Zugehörigkeit zur Verwaltungsgruppe auf in die Domäne eingebundenen VMs und das Konfigurieren von Gruppenrichtlinien.

Der Assistent erstellt automatisch die Gruppe "AAD DC-Administratoren " in Ihrem Microsoft Entra-Verzeichnis. Wenn Sie über eine vorhandene Gruppe mit diesem Namen in Ihrem Microsoft Entra-Verzeichnis verfügen, wählt der Assistent diese Gruppe aus. Sie können optional während des Bereitstellungsprozesses weitere Benutzer zu dieser AAD DC-Administratorgruppe hinzufügen. Diese Schritte können später abgeschlossen werden.

1. Wenn Sie dieser AAD DC-Administratorgruppe weitere Benutzer hinzufügen möchten, wählen Sie "Gruppenmitgliedschaft verwalten" aus.

   

2. Wählen Sie die Schaltfläche " Mitglieder hinzufügen " aus, und suchen Sie dann nach Benutzern aus Ihrem Microsoft Entra-Verzeichnis, und wählen Sie sie aus. Suchen Sie beispielsweise nach Ihrem eigenen Konto, und fügen Sie es der Gruppe "AAD DC-Administratoren" hinzu .

3. Ändern Oder fügen Sie bei Bedarf zusätzliche Empfänger für Benachrichtigungen hinzu, wenn in der verwalteten Domäne Warnungen vorhanden sind, die Aufmerksamkeit erfordern.

4. Wenn Sie bereit sind, wählen Sie "Weiter – Synchronisierung" aus.

Konfigurieren der Synchronisierung

Mit Domänendiensten können Sie alle In Microsoft Entra-ID verfügbaren Benutzer und Gruppen oder eine bereichsbezogene Synchronisierung nur bestimmter Gruppen synchronisieren. Sie können den Synchronisierungsbereich jetzt oder nach der Bereitstellung der verwalteten Domäne ändern. Weitere Informationen finden Sie unter Microsoft Entra Domain Services mit Bereichssynchronisierung.

1. Wählen Sie für dieses Lernprogramm aus, dass alle Benutzer und Gruppen synchronisiert werden sollen. Diese Synchronisierungsoption ist die Standardoption.

   

2. Klicken Sie auf Überprüfen + erstellen.

Bereitstellen der verwalteten Domäne

Überprüfen Sie auf der Seite "Zusammenfassung " des Assistenten die Konfigurationseinstellungen für Ihre verwaltete Domäne. Sie können jederzeit zu jedem Schritt des Assistenten zurückkehren, um Änderungen vorzunehmen. Zum erneuten Bereitstellen einer verwalteten Domäne für einen anderen Microsoft Entra-Mandanten mithilfe dieser Konfigurationsoptionen können Sie auch eine Vorlage für die Automatisierung herunterladen.

1. Um die verwaltete Domäne zu erstellen, wählen Sie "Erstellen" aus. Eine Notiz zeigt an, dass bestimmte Konfigurationsoptionen wie DNS-Name oder virtuelles Netzwerk nicht geändert werden können, nachdem die verwalteten Domänendienste erstellt wurden. Wählen Sie OK aus, um fortzufahren.

2. Der Bereitstellungsprozess Ihrer verwalteten Domäne kann bis zu einer Stunde dauern. Im Portal wird eine Benachrichtigung angezeigt, die den Fortschritt Der Bereitstellung von Domänendiensten anzeigt. Wählen Sie die Benachrichtigung aus, um den detaillierten Fortschritt für die Bereitstellung anzuzeigen.

   

3. Wählen Sie Ihre Ressourcengruppe aus, z. B. myResourceGroup, und wählen Sie dann Ihre verwaltete Domäne aus der Liste der Azure-Ressourcen aus, z. B. aaddscontoso.com. Auf der Registerkarte "Übersicht " wird gezeigt, dass die verwaltete Domäne zurzeit bereitgestellt wird. Sie können die verwaltete Domäne erst konfigurieren, wenn sie vollständig bereitgestellt wird.

   

4. Wenn die verwaltete Domäne vollständig bereitgestellt wird, zeigt die Registerkarte Übersicht den Domänenstatus als Aktiv an.

   

Von Bedeutung

Die verwaltete Domäne ist Ihrem Microsoft Entra-Mandanten zugeordnet. Während des Bereitstellungsprozesses erstellt Domain Services zwei Enterprise-Anwendungen namens Domain Controller Services und AzureActiveDirectoryDomainControllerServices im Microsoft Entra-Mandanten. Diese Unternehmensanwendungen werden benötigt, um Ihre verwaltete Domäne zu verwalten. Löschen Sie diese Anwendungen nicht.

Aktualisieren von DNS-Einstellungen für das virtuelle Azure-Netzwerk

Nachdem Domänendienste erfolgreich bereitgestellt wurden, konfigurieren Sie nun das virtuelle Netzwerk, damit andere verbundene VMs und Anwendungen die verwaltete Domäne verwenden können. Um diese Konnektivität bereitzustellen, aktualisieren Sie die DNS-Servereinstellungen für Ihr virtuelles Netzwerk so, dass sie auf die beiden IP-Adressen verweist, an denen die verwaltete Domäne bereitgestellt wird.

1. Auf der Registerkarte "Übersicht " für Ihre verwaltete Domäne werden einige erforderliche Konfigurationsschritte angezeigt. Der erste Konfigurationsschritt besteht darin, DNS-Servereinstellungen für Ihr virtuelles Netzwerk zu aktualisieren. Nachdem die DNS-Einstellungen richtig konfiguriert wurden, wird dieser Schritt nicht mehr angezeigt.

   Die aufgeführten Adressen sind die Domänencontroller für die Verwendung im virtuellen Netzwerk. In diesem Beispiel sind diese Adressen 10.0.1.4 und 10.0.1.5. Sie finden diese IP-Adressen später auf der Registerkarte "Eigenschaften ".

   

2. Um die DNS-Servereinstellungen für das virtuelle Netzwerk zu aktualisieren, wählen Sie die Schaltfläche " Konfigurieren " aus. Die DNS-Einstellungen werden automatisch für Ihr virtuelles Netzwerk konfiguriert.

Tipp

Wenn Sie in den vorherigen Schritten ein vorhandenes virtuelles Netzwerk ausgewählt haben, erhalten alle virtuellen Computer, die mit dem Netzwerk verbunden sind, nur die neuen DNS-Einstellungen nach einem Neustart. Sie können virtuelle Computer über das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Azure CLI neu starten.

Aktivieren von Benutzerkonten für Domänendienste

Um Benutzer*innen in der verwalteten Domäne authentifizieren zu können, benötigt Domain Services Kennworthashes in einem Format, das für die Authentifizierung über NT LAN Manager (NTLM) und Kerberos geeignet ist. Microsoft Entra ID generiert oder speichert erst dann Kennworthashes in dem für die NTLM- oder Kerberos-Authentifizierung erforderlichen Format, wenn Sie Domain Services für Ihren Mandanten aktivieren. Aus Sicherheitsgründen speichert Microsoft Entra ID Kennwörter nicht als Klartext. Daher kann Microsoft Entra ID diese NTLM- oder Kerberos-Kennworthashes nicht automatisch auf der Grundlage bereits vorhandener Anmeldeinformationen von Benutzern generieren.

Hinweis

Nach entsprechender Konfiguration werden die verwendbaren Kennworthashes in der verwalteten Domäne gespeichert. Wenn Sie die verwaltete Domäne löschen, werden alle zu diesem Zeitpunkt gespeicherten Kennworthashes ebenfalls gelöscht.

Synchronisierte Anmeldeinformationen in der Microsoft Entra-ID können nicht erneut verwendet werden, wenn Sie später eine verwaltete Domäne erstellen . Sie müssen die Kennworthashsynchronisierung neu konfigurieren, um die Kennworthashes erneut zu speichern. Zuvor domänenverknüpfte VMs oder Benutzer können nicht unmittelbar authentifiziert werden – Microsoft Entra ID muss die Kennworthashes in der neuen verwalteten Domäne generieren und speichern.

Weitere Informationen finden Sie unter Prozess zur Kennworthashsynchronisierung für Domain Services und Microsoft Entra Connect.

Die Schritte zum Erzeugen und Speichern dieser Passwort-Hashes unterscheiden sich bei zwei Arten von Benutzerkonten:

• Cloudgeschützte Benutzerkonten, die in der Microsoft Entra-ID erstellt wurden.
• Benutzerkonten, die mit Microsoft Entra Connect aus Ihrem lokalen Verzeichnis synchronisiert werden.

Ein reines Cloudbenutzerkonto ist ein Konto, das in Ihrem Microsoft Entra-Verzeichnis entweder mit dem Microsoft Entra Admin Center oder den Microsoft Graph PowerShell-Cmdlets erstellt wurde. Diese Benutzerkonten werden nicht von einem lokalen Verzeichnis aus synchronisiert.

In diesem Lernprogramm arbeiten wir mit einem einfachen reinen Cloudbenutzerkonto. Weitere Informationen zu den zusätzlichen Schritten, die für die Verwendung von Microsoft Entra Connect erforderlich sind, finden Sie in Synchronisieren von Passworthashes für Benutzerkonten, die von dem lokalen AD mit der verwalteten Domäne synchronisiert werden.

Tipp

Wenn Ihr Microsoft Entra-Mandant über eine Kombination aus reinen Cloudbenutzern und Benutzern aus Ihrem lokalen AD verfügt, müssen Sie beide Schritte ausführen.

Bei reinen Cloudbenutzerkonten müssen Benutzer ihre Kennwörter ändern, bevor sie Domänendienste verwenden können. Diese Kennwortänderung führt dazu, dass die Kennworthashes für die Kerberos- und NTLM-Authentifizierung in Microsoft Entra ID generiert und gespeichert werden. Das Konto wird erst dann von Microsoft Entra ID mit Domain Services synchronisiert, wenn das Kennwort geändert wird. Läuft entweder die Kennwörter für alle Cloudbenutzer im Mandanten ab, die Domänendienste verwenden müssen, wodurch eine Kennwortänderung bei der nächsten Anmeldung erzwungen wird, oder weisen Sie Cloudbenutzer an, ihre Kennwörter manuell zu ändern. In diesem Lernprogramm ändern wir manuell ein Benutzerkennwort.

Bevor ein Benutzer sein Kennwort zurücksetzen kann, muss der Microsoft Entra-Mandant für die Self-Service-Kennwortzurücksetzung konfiguriert werden.

Um das Kennwort für einen reinen Cloudbenutzer zu ändern, muss der Benutzer die folgenden Schritte ausführen:

1. Wechseln Sie zur Microsoft Entra ID Access Panel-Seite unter https://myapps.microsoft.com.

2. Wählen Sie in der oberen rechten Ecke Ihren Namen aus, und wählen Sie dann im Dropdownmenü " Profil " aus.

   

3. Wählen Sie auf der Profilseite " Kennwort ändern" aus.

4. Geben Sie auf der Seite "Kennwort ändern " Ihr vorhandenes (altes) Kennwort ein, und bestätigen Sie dann ein neues Kennwort.

5. Wählen Sie "Absenden" aus.

Es dauert ein paar Minuten, nachdem Sie Ihr Kennwort geändert haben, damit das neue Kennwort in Domänendiensten verwendet werden kann und sich erfolgreich bei Computern anmelden kann, die der verwalteten Domäne beigetreten sind.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

• Konfigurieren von DNS- und virtuellen Netzwerkeinstellungen für eine verwaltete Domäne
• Erstellen einer verwalteten Domäne
• Hinzufügen von Administrativen Benutzern zur Domänenverwaltung
• Benutzerkonten für Verzeichnisdienste aktivieren und Kennworthashes generieren

Um diese verwaltete Domäne in Aktion zu sehen, erstellen Und verbinden Sie einen virtuellen Computer mit der Domäne.

Verbinden eines virtuellen Windows Server-Computers mit Ihrer verwalteten Domäne