Tutorial: Creación y configuración de un dominio administrado de Microsoft Entra Domain Services
Microsoft Entra Domain Services proporciona servicios de dominio administrado, como unión a dominio, directiva de grupo, LDAP, autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory. Estos servicios de dominio se usan sin necesidad de implementar, administrar ni aplicar revisiones a los controladores de dominio. Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión con sus credenciales corporativas y, además, le permite usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos.
Puede crear un dominio administrado con las opciones de configuración predeterminadas de sincronización y redes o definir manualmente estos valores. Este tutorial muestra cómo usar las opciones predeterminadas para crear y configurar un dominio administrado de Domain Services usando el centro de administración de Microsoft Entra.
En este tutorial, aprenderá a:
- Requisitos de DNS para un dominio administrado
- Creación de un dominio administrado
- Habilitación de la sincronización de hash de contraseñas
Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.
Prerrequisitos
Para completar este tutorial, necesitará los siguientes recursos y privilegios:
- Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
- Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
- Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
- Necesita los roles de Administrador de aplicaciones y Administrador de grupos de Microsoft Entra en su inquilino para habilitar Domain Services.
- Necesita el rol de Azure Colaborador de Domain Services para crear los recursos de Domain Services necesarios.
- Una red virtual con servidores DNS que pueden consultar la infraestructura necesaria, como el almacenamiento. Los servidores DNS que no pueden realizar consultas generales en Internet pueden bloquear la capacidad de crear un dominio administrado.
Aunque no es necesario para Domain Services, se recomienda configurar el restablecimiento de contraseña de autoservicio (SSPR) para el inquilino de Microsoft Entra. Los usuarios pueden cambiar su contraseña sin SSPR, pero este les ayuda si olvidan la contraseña y necesitan restablecerla.
Importante
No puede trasladar el dominio administrado a otra suscripción, grupo de recursos o región después de crearlo. Tenga cuidado a la hora de seleccionar la suscripción, el grupo de recursos y la región más adecuados al implementar el dominio administrado.
Iniciar sesión en el centro de administración de Microsoft Entra
En este tutorial, creará y configurará el dominio administrado mediante el centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.
Creación de un dominio administrado
Para iniciar el asistente Habilitar servicios de dominio de Microsoft Entra, complete los siguientes pasos:
En el menú del Centro de administración de Microsoft Entra o en la página Inicio, busque Domain Services. Luego, elija Microsoft Entra Domain Services .
En la página Microsoft Entra Domain Services, seleccione Crear Microsoft Entra Domain Services.
Seleccione la suscripción de Azure en la que desea crear el dominio administrado.
Seleccione el grupo de recursos al que debería pertenecer el dominio administrado. Elija Crear nuevo o seleccione un grupo de recursos existente.
Cuando se crea un dominio administrado, se especifica un nombre DNS. Hay algunas consideraciones que se deben tener en cuenta al elegir este nombre DNS:
- Nombre de dominio integrado: de forma predeterminada, se usa el nombre de dominio integrado del directorio (un sufijo .onmicrosoft.com). Si se quiere habilitar el acceso LDAP seguro al dominio administrado a través de Internet, no se puede crear un certificado digital para proteger la conexión con este dominio predeterminado. Microsoft es el propietario del dominio .onmicrosoft.com, por lo que una entidad de certificación no emitirá un certificado.
- Nombres de dominio personalizados: el enfoque más común consiste en especificar un nombre de dominio personalizado, normalmente uno que ya se posee y es enrutable. Cuando se usa un dominio personalizado enrutable, el tráfico puede fluir correctamente según sea necesario para admitir las aplicaciones.
- Sufijos de dominio no enrutables: por lo general, se recomienda evitar un sufijo de nombre de dominio no enrutable, como contoso.local. El sufijo .local no es enrutable y puede provocar problemas con la resolución de DNS.
Sugerencia
Si crea un nombre de dominio personalizado, tenga cuidado con los espacios de nombres DNS existentes. Aunque se admite, es posible que quiera usar un nombre de dominio independiente de cualquier espacio de nombres DNS local o de Azure existente.
Por ejemplo, si tiene un espacio de nombres de DNS existente para contoso.com, cree un dominio administrado con el nombre de dominio personalizado dscontoso.com. Si necesita usar LDAP seguro, debe registrar y poseer este nombre de dominio personalizado para generar los certificados necesarios.
Es posible que tenga que crear algunos registros DNS adicionales para otros servicios del entorno o reenviadores DNS condicionales entre los espacios de nombres de DNS existentes en el entorno. Por ejemplo, si ejecuta un servidor web que hospeda un sitio mediante el nombre DNS raíz, puede haber conflictos de nomenclatura que requieran más entradas DNS.
En estos tutoriales y artículos de procedimientos, el dominio personalizado dscontoso.com se usa como ejemplo breve. En todos los comandos, especifique su propio nombre de dominio.
También se aplican las siguientes restricciones de nombre DNS:
- Restricciones de prefijo de dominio: no se puede crear un dominio administrado con un prefijo de más de 15 caracteres. El prefijo del nombre de dominio especificado (por ejemplo, dscontoso en el nombre de dominio dscontoso.com) debe contener 15 caracteres o menos.
- Conflictos de nombres de red: el nombre de dominio DNS del dominio administrado no puede existir ya en la red virtual. Busque, en concreto, los siguientes escenarios que provocarían un conflicto de nombres:
- Ya tiene un dominio de Active Directory con el mismo nombre de dominio DNS en la red virtual de Azure.
- La red virtual en la que planea habilitar el dominio administrado tiene una conexión VPN con la red local. En este escenario, asegúrese de que no tiene un dominio con el mismo nombre de dominio DNS de la red local.
- Ya dispone de un servicio en la nube de Azure con ese nombre en la red virtual de Azure.
Complete los campos de la ventana Aspectos básicos del centro de administración de Microsoft Entra para crear un dominio administrado:
Escriba un nombre de dominio DNS para el dominio administrado, teniendo en cuenta los puntos anteriores.
Elija la Región de Azure en que se debe crear el dominio administrado. Si elige una región que admite Azure Availability Zones, los recursos de Domain Services se distribuyen entre las zonas para conseguir redundancia adicional.
Sugerencia
Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. Para garantizar la resistencia, hay un mínimo de tres zonas independientes en todas las regiones habilitadas.
No es necesario realizar ninguna configuración para que Domain Services se distribuya entre zonas. La plataforma Azure controla automáticamente la distribución en zonas de los recursos. Para más información y ver la disponibilidad regional, consulte ¿Qué son las zonas de disponibilidad en Azure?
La SKU determina el rendimiento y la frecuencia de copia de seguridad. Puede cambiar la SKU una vez creado el dominio administrado si cambian sus necesidades o requisitos empresariales. Para más información, consulte Conceptos de SKU de Domain Services.
Para este tutorial, seleccione la SKU Estándar. La ventana Aspectos básicos debe tener un aspecto similar a esta captura de pantalla:
Para crear rápidamente un dominio administrado, puede seleccionar Revisión y creación para aceptar otras opciones de configuración predeterminadas. Los siguientes valores predeterminados se configuran al elegir esta opción de creación:
- Crea una red virtual denominada ds-vnet de forma predeterminada, que usa el intervalo de direcciones IP de 10.0.1.0/24.
- Crea una subred denominada ds-subnet mediante el intervalo de direcciones IP de 10.0.1.0/24.
- Sincroniza todos los usuarios de Microsoft Entra ID en el dominio administrado.
Nota:
No debe usar direcciones IP públicas para redes virtuales y sus subredes debido a los siguientes problemas:
Escasez de las direcciones IP: las direcciones IP públicas IPv4 son limitadas y su demanda suele superar el suministro disponible. Además, hay direcciones IP potencialmente superpuestas con puntos de conexión públicos.
Riesgos de seguridad: el uso de direcciones IP públicas para redes virtuales expone los dispositivos directamente a Internet, lo que aumenta el riesgo de acceso no autorizado y posibles ataques. Sin medidas de seguridad adecuadas, los dispositivos pueden convertirse en vulnerables a diversas amenazas.
Complejidad: la administración de una red virtual con direcciones IP públicas puede ser más compleja que el uso de direcciones IP privadas, ya que requiere trabajar con intervalos IP externos y garantizar una segmentación y seguridad de red adecuadas.
Se recomienda encarecidamente usar direcciones IP privadas. Si usa una dirección IP pública, asegúrese de que es el propietario o el usuario dedicado de las direcciones IP elegidas en el intervalo público que escogió.
Seleccione Revisión y creación para aceptar estas opciones de configuración predeterminadas.
Eliminación del dominio administrado
En la página Resumen del asistente, revise la configuración del dominio administrado. Puede volver a cualquier paso del asistente para realizar cambios. Para volver a implementar un dominio administrado en un inquilino de Microsoft Entra diferente de manera consistente usando estas opciones de configuración, también puede descargar una plantilla para automatización.
Para crear el dominio administrado, seleccione Crear. Aparece una nota que indica que determinadas opciones de configuración, como el nombre de DNS o la red virtual, no se pueden cambiar después de que se ha creado la instancia administrada de Domain Services. Para continuar, seleccione Aceptar.
El proceso de aprovisionamiento del dominio administrado puede tardar hasta una hora. En el portal se muestra una notificación que señala el progreso de la implementación de Domain Services.
Cuando el dominio administrado está aprovisionado por completo, la pestaña Información general muestra el estado del dominio como En ejecución. Expanda Detalles de implementación para ver vínculos a recursos como la red virtual y el grupo de recursos de red.
Importante
El dominio administrado está asociado a su directorio de Microsoft Entra. Durante el proceso de aprovisionamiento, Domain Services crea dos aplicaciones empresariales, Domain Controller Services y AzureActiveDirectoryDomainControllerServices en el directorio de Microsoft Entra. Estas aplicaciones empresariales se necesitan para dar servicio al dominio administrado. No las elimine.
Actualización de la configuración DNS para Azure Virtual Network
Ahora que Domain Services se ha implementado correctamente, es el momento de configurar la red virtual para permitir que otras máquinas virtuales y aplicaciones conectadas usen el dominio administrado. Para proporcionar esta conectividad, actualice la configuración del servidor DNS de la red virtual de modo que apunte a las dos direcciones IP donde se ha implementado el dominio administrado.
En la pestaña Información general del dominio administrado se muestran algunos de los Pasos de configuración necesarios. El primer paso de configuración es la actualización de la configuración de servidores DNS para la red virtual. Cuando la configuración de DNS esté correctamente establecida, ya no se mostrará este paso.
Las direcciones que aparecen son los controladores de dominio que se usan en la red virtual. En este ejemplo, las direcciones son 10.0.1.4 y 10.0.1.5. Más adelante puede encontrar estas direcciones IP en la pestaña Propiedades.
Seleccione el botón Configurar para actualizar la configuración del servidor DNS de la red virtual. Los valores de DNS se configuran automáticamente para la red virtual.
Sugerencia
Si ha seleccionado una red virtual existente en los pasos anteriores, las máquinas virtuales conectadas a la red solo obtendrán la nueva configuración de DNS después de un reinicio. Puede reiniciar las máquinas virtuales usando el Centro de administración Microsoft Entra, Microsoft Graph PowerShell o la CLI de Azure.
Habilitar cuentas de usuario para Domain Services
Para autenticar a los usuarios en el dominio administrado, Domain Services necesita los hash de las contraseñas en un formato adecuado para la autenticación de NT LAN Manager (NTLM) y Kerberos. Microsoft Entra ID no genera ni almacena hash de contraseña en el formato necesario para la autenticación NTLM o Kerberos hasta que habilite Domain Services para su inquilino. Por motivos de seguridad, Microsoft Entra ID tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar. Por consiguiente, Microsoft Entra ID no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios.
Nota:
Una vez configurados correctamente, los hash de las contraseñas que se pueden usar se almacenan en el dominio administrado. Si elimina el dominio administrado, también se eliminarán los hash de las contraseñas que haya almacenados en ese momento.
La información de credenciales sincronizadas en Microsoft Entra ID no se puede reutilizar si luego crea un dominio administrado; debe reconfigurar la sincronización de hash de contraseña para almacenar los hashes de contraseña nuevamente. Las máquinas virtuales o los usuarios previamente unidos al dominio no podrán autenticarse inmediatamente: Microsoft Entra ID necesita generar y almacenar los hashes de contraseña en el nuevo dominio administrado.
no se admite la sincronización en la nube de Microsoft Entra Connect con Domain Services. Los usuarios locales deben sincronizarse mediante Microsoft Entra Connect para poder acceder a las máquinas virtuales unidas a un dominio. Para más información, consulte Proceso de sincronización de hash de contraseñas para Domain Services y Microsoft Entra Connect.
Los pasos necesarios para generar y almacenar estos hash de contraseña son diferentes según se trate de cuentas de usuario solo de nube creadas en Microsoft Entra o de las cuentas de usuarios que se sincronizan desde el directorio local mediante Microsoft Entra Connect.
Una cuenta de usuario solo en la nube es una cuenta que se creó en su directorio de Microsoft Entra usando el centro de administración de Microsoft Entra o PowerShell. Estas cuentas de usuario no se sincronizan desde un directorio local.
En este tutorial, vamos a trabajar con una cuenta de usuario básica solo de nube. Para más información sobre los pasos adicionales necesarios para usar Microsoft Entra Connect, consulte Sincronización de los hash de contraseña para las cuentas de usuario sincronizadas desde la instancia local de AD con el dominio administrado.
Sugerencia
Si el directorio de Microsoft Entra tiene una combinación de usuarios solo en la nube y sincronizados, debe completar ambos conjuntos de pasos.
En el caso de las cuentas de usuario solo de nube, los usuarios deben cambiar sus contraseñas para poder usar Domain Services. Este proceso de cambio de contraseña hace que los valores hash de contraseña para la autenticación Kerberos y NTLM se generen y almacenen en Microsoft Entra ID. La cuenta no se sincroniza desde Microsoft Entra ID a Domain Services hasta que se cambia la contraseña. Puede hacer expirar las contraseñas de todos los usuarios en la nube del inquilino que tenga que usar Domain Services, lo que fuerza un cambio de contraseña en el siguiente inicio de sesión, o bien indicarles que cambien sus contraseñas manualmente. En este tutorial vamos a cambiar manualmente una contraseña de usuario.
Para que un usuario pueda restablecer su contraseña, el inquilino de Microsoft Entra debe estar configurado para el autoservicio de restablecimiento de contraseña.
Para cambiar la contraseña de un usuario solo de nube, el usuario debe completar los pasos siguientes:
Vaya a la página del Panel de acceso de Microsoft Entra ID en https://myapps.microsoft.com.
En la esquina superior derecha, seleccione su nombre y, a continuación, elija Perfil en el menú desplegable.
En la página Perfil, seleccione Cambiar contraseña.
En la página Cambiar contraseña, escriba la contraseña existente (anterior) y luego escriba y confirme una nueva contraseña.
Seleccione Submit (Enviar).
Tras el cambio, la nueva contraseña tarda unos minutos en poder usarse en Domain Services y en iniciar sesión en los equipos unidos al dominio administrado.
Pasos siguientes
En este tutorial, ha aprendido a:
- Requisitos de DNS para un dominio administrado
- Creación de un dominio administrado
- Incorporación de usuarios administrativos a la administración de dominios
- Habilitación de cuentas de usuario para Domain Services y generación de hash de contraseña
Antes de unir a un dominio las máquinas virtuales y de implementar las aplicaciones que usan el dominio administrado, configure una red virtual de Azure para las cargas de trabajo de aplicación.