Tutorial: Creación y configuración de un dominio administrado de Microsoft Entra Domain Services con opciones de configuración avanzadas

Microsoft Entra Domain Services proporciona servicios de dominio administrado, como unión a dominio, directiva de grupo, LDAP, autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory. Estos servicios de dominio se usan sin necesidad de implementar, administrar ni aplicar revisiones a los controladores de dominio. Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión con sus credenciales corporativas y, además, le permite usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos.

Puede crear un dominio administrado mediante opciones de configuración predeterminadas para las redes y la sincronización, o bien definir manualmente esta configuración. En este tutorial se muestra cómo definir esas opciones de configuración avanzadas para crear y configurar un dominio administrado de Domain Services mediante el Centro de administración de Microsoft Entra.

En este tutorial, aprenderá a:

• Configuración de DNS y red virtual para un dominio administrado
• Creación de un dominio administrado
• Adición de usuarios administrativos a la administración de dominios
• Habilitación de la sincronización de hash de contraseñas

Si no tiene una suscripción de Azure, cree una cuenta antes de comenzar.

Prerrequisitos

Para completar este tutorial, necesita los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Necesita los roles de administrador de aplicaciones y administrador de grupos de Microsoft Entra en su tenant para habilitar Domain Services.
• Necesita el rol de Azure Colaborador de Domain Services para crear los recursos de Domain Services necesarios.

Aunque no es necesario para Domain Services, se recomienda configurar el autoservicio de restablecimiento de contraseña (SSPR) para el inquilino de Microsoft Entra. Los usuarios pueden cambiar su contraseña sin SSPR, pero SSPR ayuda si olvidan su contraseña y necesitan restablecerla.

Importante

Después de crear un dominio administrado, no puede moverlo a otra suscripción, grupo de recursos o región. Tenga cuidado de seleccionar la suscripción, el grupo de recursos y la región más adecuados al implementar el dominio administrado.

Iniciar sesión en el Centro de administración de Microsoft Entra

En este tutorial, creará y configurará el dominio administrado mediante el Centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.

Creación de un dominio administrado y configuración de opciones básicas

Para iniciar el asistente Habilitar Microsoft Entra Domain Services , complete los pasos siguientes:

1. En el menú del Centro de administración de Microsoft Entra o en la página Inicio , seleccione Crear un recurso.
2. Escriba Domain Services en la barra de búsqueda y elija Microsoft Entra Domain Services en las sugerencias de búsqueda.
3. En la página Microsoft Entra Domain Services, seleccione Crear. Se inicia el asistente para Habilitar Microsoft Entra Domain Services.
4. Seleccione la suscripción de Azure en la que desea crear el dominio administrado.
5. Seleccione el grupo de recursos al que debe pertenecer el dominio administrado. Elija Crear nuevo o seleccione un grupo de recursos existente.

Al crear un dominio administrado, se especifica un nombre DNS. Hay algunas consideraciones al elegir este nombre DNS:

• Nombre de dominio integrado: De forma predeterminada, se usa el nombre de dominio integrado del directorio (un sufijo .onmicrosoft.com ). Si desea habilitar el acceso LDAP seguro al dominio administrado a través de Internet, no puede crear un certificado digital para proteger la conexión con este dominio predeterminado. Microsoft posee el dominio .onmicrosoft.com , por lo que una entidad de certificación (CA) no emitirá un certificado.
• Nombres de dominio personalizados: El enfoque más común es especificar un nombre de dominio personalizado, normalmente uno que ya posee y que es enrutable. Cuando se usa un dominio personalizado enrutable, el tráfico puede fluir correctamente según sea necesario para admitir las aplicaciones.
• Sufijos de dominio no enrutables: Por lo general, se recomienda evitar un sufijo de nombre de dominio no enrutable, como contoso.local. El sufijo .local no es enrutable y puede causar problemas con la resolución de DNS.

Sugerencia

Si crea un nombre de dominio personalizado, tenga cuidado con los espacios de nombres DNS existentes. Se recomienda usar un nombre de dominio independiente de cualquier espacio de nombres DNS local o de Azure existente.

Por ejemplo, si tiene un espacio de nombres DNS existente de contoso.com, cree un dominio administrado con el nombre de dominio personalizado de aaddscontoso.com. Si necesita usar LDAP seguro, debe registrar y poseer este nombre de dominio personalizado para generar los certificados necesarios.

Es posible que tenga que crear algunos registros DNS adicionales para otros servicios del entorno o reenviadores DNS condicionales entre espacios de nombres DNS existentes en su entorno. Por ejemplo, si ejecuta un servidor web que hospeda un sitio mediante el nombre DNS raíz, puede haber conflictos de nomenclatura que requieran entradas DNS adicionales.

En estos tutoriales y artículos de procedimientos, el dominio personalizado de aaddscontoso.com se usa como ejemplo corto. En todos los comandos, especifique su propio nombre de dominio.

También se aplican las siguientes restricciones de nombre DNS:

• Restricciones de prefijo de dominio: No se puede crear un dominio administrado con un prefijo de más de 15 caracteres. El prefijo del nombre de dominio especificado (como aaddscontoso en el aaddscontoso.com nombre de dominio) debe contener 15 o menos caracteres.
• Conflictos de nombres de red: El nombre de dominio DNS del dominio administrado aún no debe existir en la red virtual. En concreto, compruebe los siguientes escenarios que provocarían un conflicto de nombres:
  • Si ya tiene un dominio de Active Directory con el mismo nombre de dominio DNS en la red virtual de Azure.
  • Si la red virtual en la que planea habilitar el dominio administrado tiene una conexión VPN con la red local. En este escenario, asegúrese de que no tiene un dominio con el mismo nombre de dominio DNS en la red local.
  • Si tiene un servicio en la nube de Azure existente con ese nombre en la red virtual de Azure.

Para crear un dominio administrado, complete los campos de la ventana Aspectos básicos del Centro de administración de Microsoft Entra:

1. Escriba un nombre de dominio DNS para el dominio administrado, teniendo en cuenta los puntos anteriores.

2. Elija la ubicación de Azure en la que se debe crear el dominio administrado. Si elige una región que admita Availability Zones, los recursos de Domain Services se distribuyen entre zonas para obtener redundancia adicional.

   Sugerencia

   Las zonas de disponibilidad son ubicaciones físicas exclusivas dentro de una región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. Para garantizar la resistencia, hay un mínimo de tres zonas independientes en todas las regiones habilitadas.

   No es necesario realizar ninguna configuración para que Domain Services se distribuya entre zonas. La plataforma Azure controla automáticamente la distribución en zonas de los recursos. Para más información y ver la disponibilidad de regiones, consulte ¿Qué son las zonas de disponibilidad en Azure?

3. La SKU determina la frecuencia de rendimiento y copia de seguridad. Puede cambiar la SKU después de crear el dominio administrado si cambian las demandas o los requisitos empresariales. Para más información, consulte Conceptos de SKU de Domain Services.

   Para este tutorial, seleccione la SKU Estándar.

4. Un bosque es una construcción lógica usada por Active Directory Domain Services para agrupar uno o varios dominios.

   

5. Para configurar manualmente opciones adicionales, elija Siguiente: Redes. De lo contrario, seleccione Revisar y crear para aceptar las opciones de configuración predeterminadas y, a continuación, vaya a la sección Implementar el dominio administrado. Los valores predeterminados siguientes se configuran al elegir esta opción de creación:

   • Crea una red virtual denominada aadds-vnet que usa el intervalo de direcciones IP 10.0.1.0/24.
   • Crea una subred denominada aadds-subnet mediante el intervalo de direcciones IP de 10.0.1.0/24.
   • Sincroniza Todos los usuarios del identificador de Entra de Microsoft en el dominio administrado.

Creación y configuración de la red virtual

Para proporcionar conectividad, se necesitan una red virtual de Azure y una subred dedicada. Domain Services está habilitado en esta subred de red virtual. En este tutorial, creará una red virtual, aunque podría optar por usar una red virtual existente. En cualquier enfoque, debe crear una subred dedicada para su uso por los Servicios de Dominio.

Sugerencia

Dado que debe usar las direcciones IP de implementación de Microsoft Entra Domain Services como resolver DNS en la red virtual en la que reside, se recomienda utilizar una red virtual dedicada de Azure si utiliza un servicio DNS diferente y configura reenviadores condicionales en Microsoft Entra Domain Services.

Algunas consideraciones para esta subred de red virtual dedicada incluyen las siguientes áreas:

• La subred debe tener al menos 3-5 direcciones IP disponibles en su intervalo de direcciones para admitir los recursos de Domain Services.
• No seleccione la subred de Gateway para implementar Servicios de dominio. No se admite la implementación de Domain Services en una subred de puerta de enlace .
• No implemente ninguna otra máquina virtual en la subred. Las aplicaciones y las máquinas virtuales suelen usar grupos de seguridad de red para proteger la conectividad. La ejecución de estas cargas de trabajo en una subred independiente le permite aplicar esos grupos de seguridad de red sin interrumpir la conectividad con el dominio administrado.

Para obtener más información sobre cómo planear y configurar la red virtual, consulte Consideraciones de redes para Microsoft Entra Domain Services.

Complete los campos de la ventana Red de la siguiente manera:

1. En la página Red , elija una red virtual en la que implementar Domain Services en en el menú desplegable o seleccione Crear nuevo.

   1. Si decide crear una red virtual, escriba un nombre para la red virtual, como myVnet, proporcione un intervalo de direcciones, como 10.0.1.0/24.
   2. Cree una subred dedicada con un nombre claro, como DomainServices. Proporcione un intervalo de direcciones, como 10.0.1.0/24.

   

   Asegúrese de elegir un intervalo de direcciones que esté dentro del intervalo de direcciones IP privadas. Los intervalos de direcciones IP que no posee que estén en el espacio de direcciones públicas provocan errores en Domain Services.

2. Seleccione una subred de red virtual, como DomainServices.

3. Cuando esté listo, elija Siguiente- Administración.

Configuración de un grupo administrativo

Se usa un grupo administrativo especial denominado AAD DC Administrators para la administración del dominio de Servicios de Dominio. A los miembros de este grupo se les conceden permisos administrativos en máquinas virtuales unidas al dominio administrado. En las máquinas virtuales unidas a un dominio, este grupo se agrega al grupo de administradores locales. Los miembros de este grupo también pueden usar Escritorio remoto para conectarse de forma remota a máquinas virtuales unidas a un dominio.

Importante

No tiene permisos de administrador de dominio ni de administrador de empresa en un dominio administrado mediante Domain Services. El servicio reserva estos permisos y no los hace disponibles para los usuarios del inquilino.

En su lugar, el grupo Administradores de controlador de dominio de AAD le permite realizar algunas operaciones con privilegios. Estas operaciones incluyen pertenecer al grupo de administración en máquinas virtuales unidas a un dominio y configurar la directiva de grupo.

El asistente crea automáticamente el grupo Administradores de AAD DC en el directorio de Microsoft Entra. Si tiene un grupo existente con este nombre en el directorio De Microsoft Entra, el asistente selecciona este grupo. Opcionalmente, puede optar por agregar usuarios adicionales a este grupo administradores de controlador de dominio de AAD durante el proceso de implementación. Estos pasos se pueden completar más adelante.

1. Para agregar usuarios adicionales a este grupo AAD DC Administrators, seleccione Administrar pertenencia al grupo.

   

2. Seleccione el botón Agregar miembros y, a continuación, busque y seleccione usuarios en su directorio de Microsoft Entra. Por ejemplo, busque su propia cuenta y agrégala al grupo Administradores de AAD DC.

3. Si lo desea, cambie o agregue destinatarios adicionales para las notificaciones cuando haya alertas en el dominio administrado que requieran atención.

4. Cuando esté listo, elija Siguiente: sincronización.

Configuración de la sincronización

Domain Services le permite sincronizar todos los usuarios y grupos disponibles en microsoft Entra ID o una sincronización con ámbito de solo grupos específicos. Puede cambiar el ámbito de sincronización ahora o una vez implementado el dominio administrado. Para obtener más información, consulte Sincronización con alcance en Microsoft Entra Domain Services.

1. En este tutorial, elija sincronizar todos los usuarios y grupos. Esta opción de sincronización es la opción predeterminada.

   

2. Selecciona Revisar + crear.

Implementación del dominio administrado

En la página Resumen del asistente, revise los valores de configuración del dominio administrado. Puede volver a cualquier paso del asistente para realizar cambios. Para volver a implementar un dominio administrado en otro inquilino de Microsoft Entra de forma coherente con estas opciones de configuración, también puede descargar una plantilla para la automatización.

1. Para crear el dominio administrado, seleccione Crear. Una nota muestra que determinadas opciones de configuración, como el nombre DNS o la red virtual, no se pueden cambiar una vez que se crean los Servicios de dominio administrados. Para continuar, seleccione Aceptar.

2. El proceso de aprovisionamiento del dominio administrado puede tardar hasta una hora. Se muestra una notificación en el portal que muestra el progreso de la implementación de Domain Services. Seleccione la notificación para ver el progreso detallado de la implementación.

   

3. Seleccione el grupo de recursos, como myResourceGroup y elija el dominio administrado en la lista de recursos de Azure, como aaddscontoso.com. En la pestaña Información general se muestra que el dominio administrado está implementando actualmente. No se puede configurar el dominio administrado hasta que se aprovisione por completo.

   

4. Cuando el dominio administrado está completamente aprovisionado, la pestaña Información general muestra el estado del dominio como En ejecución.

   

Importante

El dominio administrado está asociado al inquilino de Microsoft Entra. Durante el proceso de aprovisionamiento, Domain Services crea dos aplicaciones empresariales denominadas Domain Controller Services y AzureActiveDirectoryDomainControllerServices en el inquilino de Microsoft Entra. Estas aplicaciones empresariales son necesarias para atender el dominio administrado. No elimine estas aplicaciones.

Actualización de la configuración de DNS para la red virtual de Azure

Con Domain Services implementado correctamente, configure la red virtual para permitir que otras máquinas virtuales y aplicaciones conectadas usen el dominio administrado. Para proporcionar esta conectividad, actualice la configuración del servidor DNS de la red virtual para que apunte a las dos direcciones IP donde se implementa el dominio administrado.

1. En la pestaña Información general del dominio administrado se muestran algunos pasos de configuración necesarios. El primer paso de configuración es actualizar la configuración del servidor DNS para la red virtual. Una vez configurada correctamente la configuración de DNS, este paso ya no se muestra.

   Las direcciones enumeradas son los controladores de dominio que se usan en la red virtual. En este ejemplo, esas direcciones son 10.0.1.4 y 10.0.1.5. Más adelante puede encontrar estas direcciones IP en la pestaña Propiedades .

   

2. Para actualizar la configuración del servidor DNS de la red virtual, seleccione el botón Configurar . La configuración de DNS se configura automáticamente para la red virtual.

Sugerencia

Si seleccionó una red virtual existente en los pasos anteriores, las máquinas virtuales conectadas a la red solo obtienen la nueva configuración de DNS después de un reinicio. Puede reiniciar las máquinas virtuales mediante el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o la CLI de Azure.

Habilitación de cuentas de usuario para Domain Services

Para autenticar a los usuarios en el dominio administrado, Domain Services necesita hashes de contraseña en un formato adecuado para la autenticación NT LAN Manager (NTLM) y Kerberos. Microsoft Entra ID no genera ni almacena hashes de contraseña en el formato necesario para la autenticación mediante NTLM o Kerberos hasta que habilite los Servicios de Dominio para su inquilino. Por motivos de seguridad, Microsoft Entra ID tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar. Por consiguiente, Microsoft Entra ID no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios.

Nota:

Una vez configurado correctamente, los hash de contraseña utilizables se almacenan en el dominio administrado. Si elimina el dominio administrado, también se eliminan los hashes de contraseña almacenados en ese momento.

No se puede volver a usar la información de credenciales sincronizada en microsoft Entra ID si posteriormente crea un dominio administrado; debe volver a configurar la sincronización de hash de contraseñas para volver a almacenar los hash de contraseñas. Las máquinas virtuales o los usuarios previamente unidos a un dominio no se pueden autenticar inmediatamente: el identificador de Microsoft Entra debe generar y almacenar los hash de contraseña en el nuevo dominio administrado.

Para obtener más información, consulte Proceso de sincronización de hash de contraseña para Domain Services y Microsoft Entra Connect.

Los pasos para generar y almacenar estos hash de contraseña son diferentes para dos tipos de cuentas de usuario:

• Cuentas de usuario solo en la nube creadas en microsoft Entra ID.
• Cuentas de usuario que se sincronizan desde el directorio local mediante Microsoft Entra Connect.

Una cuenta de usuario solo en la nube es una cuenta que se creó en el directorio de Microsoft Entra mediante el Centro de administración de Microsoft Entra o los cmdlets de PowerShell de Microsoft Graph. Estas cuentas de usuario no se sincronizan desde un directorio local.

En este tutorial, vamos a trabajar con una cuenta de usuario básica solo en la nube. Para obtener más información sobre los pasos adicionales necesarios para usar Microsoft Entra Connect, consulte Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain(Sincronizar hash de contraseñas para cuentas de usuario sincronizadas desde el AD local al dominio administrado).

Sugerencia

Si su entidad de Microsoft Entra tiene una combinación de usuarios solo en la nube y usuarios de su Active Directory local, debe completar ambos conjuntos de pasos.

En el caso de las cuentas de usuario solo en la nube, los usuarios deben cambiar sus contraseñas para poder usar Domain Services. Este proceso de cambio de contraseña hace que los hashes de contraseña para la autenticación Kerberos y NTLM se generen y almacenen en microsoft Entra ID. La cuenta no se sincroniza de Microsoft Entra ID a Domain Services hasta que se cambia la contraseña. O expira las contraseñas para todos los usuarios en la nube del arrendatario que necesitan usar Domain Services, lo cual obliga a un cambio de contraseña en el siguiente inicio de sesión, o indica a los usuarios en la nube que cambien sus contraseñas manualmente. En este tutorial, vamos a cambiar manualmente una contraseña de usuario.

Para que un usuario pueda restablecer su contraseña, el inquilino de Microsoft Entra debe configurarse para el autoservicio de restablecimiento de contraseña.

Para cambiar la contraseña de un usuario solo en la nube, el usuario debe completar los pasos siguientes:

1. Vaya a la página del Panel de acceso de Microsoft Entra ID en https://myapps.microsoft.com.

2. En la esquina superior derecha, seleccione su nombre y, a continuación, elija Perfil en el menú desplegable.

   

3. En la página Perfil, seleccione Cambiar contraseña.

4. En la página Cambiar contraseña , escriba la contraseña existente (antigua) y, a continuación, escriba y confirme una nueva contraseña.

5. Seleccione Enviar.

Tarda unos minutos después de cambiar la contraseña para que la nueva contraseña se pueda usar en Domain Services y para iniciar sesión correctamente en los equipos unidos al dominio administrado.

Pasos siguientes

En este tutorial, ha aprendido a:

• Configuración de DNS y red virtual para un dominio administrado
• Creación de un dominio administrado
• Adición de usuarios administrativos a la administración de dominios
• Habilitación de cuentas de usuario para Domain Services y generación de hashes de contraseña

Para ver este dominio administrado en acción, cree y una una una máquina virtual al dominio.

Unión de una máquina virtual de Windows Server al dominio administrado