Felügyelt Microsoft Entra Domain Services-tartomány létrehozása Azure Resource Manager-sablonnal
A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP, a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directoryval. Ezeket a tartományi szolgáltatásokat a tartományvezérlők üzembe helyezése, kezelése és javítása nélkül használhatja. A Domain Services integrálható a meglévő Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók vállalati hitelesítő adataikkal jelentkezzenek be, és a meglévő csoportokkal és felhasználói fiókokkal biztonságossá teheti az erőforrásokhoz való hozzáférést.
Ez a cikk bemutatja, hogyan hozhat létre felügyelt tartományt egy Azure Resource Manager-sablonnal. A támogató erőforrások az Azure PowerShell használatával jönnek létre.
Előfeltételek
A cikk elvégzéséhez a következő erőforrásokra van szüksége:
- Az Azure PowerShell telepítése és konfigurálása.
- Szükség esetén kövesse az utasításokat az Azure PowerShell-modul telepítéséhez és az Azure-előfizetéshez való csatlakozáshoz.
- Győződjön meg arról, hogy az Csatlakozás-AzAccount parancsmaggal jelentkezik be az Azure-előfizetésbe.
- Telepítse és konfigurálja az MS Graph PowerShellt.
- Ha szükséges, kövesse az utasításokat az MS Graph PowerShell modul telepítéséhez és a Microsoft Entra-azonosítóhoz való csatlakozáshoz.
- Győződjön meg arról, hogy a Csatlakozás-MgGraph parancsmaggal jelentkezik be a Microsoft Entra-bérlőbe.
- A tartományi szolgáltatások engedélyezéséhez alkalmazás-Rendszergazda istrator és csoportok Rendszergazda istrator Microsoft Entra-szerepkörökre van szüksége a bérlőben.
- A szükséges Domain Services-erőforrások létrehozásához Tartományi szolgáltatások közreműködői Azure-szerepkörre van szüksége.
DNS-elnevezési követelmények
A Domain Services által felügyelt tartomány létrehozásakor meg kell adnia egy DNS-nevet. A DNS-név kiválasztásakor figyelembe kell vennie néhány szempontot:
- Beépített tartománynév: Alapértelmezés szerint a címtár beépített tartományneve lesz használatban ( .onmicrosoft.com utótag). Ha biztonságos LDAP-hozzáférést szeretne engedélyezni a felügyelt tartományhoz az interneten keresztül, nem hozhat létre digitális tanúsítványt az alapértelmezett tartománnyal való kapcsolat biztonságossá tételéhez. A Microsoft a .onmicrosoft.com tartomány tulajdonosa, így a hitelesítésszolgáltató nem állít ki tanúsítványt.
- Egyéni tartománynevek: A leggyakoribb módszer egy egyéni tartománynév megadása, amely általában az Ön tulajdonában van, és nem módosítható. Ha egy irányítható, egyéni tartományt használ, a forgalom szükség szerint megfelelően haladhat az alkalmazások támogatásához.
- Nem módosítható tartomány utótagok: Általában azt javasoljuk, hogy kerülje a nem átirányítható tartománynév utótagját, például contoso.local. A .local utótag nem módosítható, és problémákat okozhat a DNS-feloldással kapcsolatban.
Tipp.
Ha egyéni tartománynevet hoz létre, gondoskodjon a meglévő DNS-névterekről. Ajánlott a meglévő Azure-beli vagy helyszíni DNS-névtértől eltérő tartománynevet használni.
Ha például már rendelkezik contoso.com DNS-névterével, hozzon létre egy felügyelt tartományt a aaddscontoso.com egyéni tartománynevével. Ha biztonságos LDAP-t kell használnia, regisztrálnia kell ezt az egyéni tartománynevet a szükséges tanúsítványok létrehozásához.
Előfordulhat, hogy további DNS-rekordokat kell létrehoznia a környezet más szolgáltatásaihoz, vagy feltételes DNS-továbbítókat kell létrehoznia a környezet meglévő DNS-névterei között. Ha például egy olyan webkiszolgálót futtat, amely a gyökér DNS-névvel üzemeltet egy webhelyet, elnevezési ütközések lehetnek, amelyek további DNS-bejegyzéseket igényelnek.
Ebben a példában és útmutatókban a aaddscontoso.com egyéni tartományát használjuk rövid példaként. Minden parancsban adja meg a saját tartománynevét.
A következő DNS-névkorlátozások is érvényesek:
- Tartományelőtag-korlátozások: 15 karakternél hosszabb előtagú felügyelt tartomány nem hozható létre. A megadott tartománynév (például a aaddscontoso.com tartománynév aaddscontoso) előtagjának 15 vagy kevesebb karaktert kell tartalmaznia.
- Hálózati névütközések: A felügyelt tartomány DNS-tartományneve nem létezhet még a virtuális hálózaton. Konkrétan ellenőrizze az alábbi forgatókönyveket, amelyek névütközéshez vezetnek.
- Ha már rendelkezik olyan Active Directory-tartománnyal, amelynek DNS-tartományneve megegyezik az Azure-beli virtuális hálózaton.
- Ha a felügyelt tartomány engedélyezését tervező virtuális hálózat VPN-kapcsolattal rendelkezik a helyszíni hálózattal. Ebben a forgatókönyvben győződjön meg arról, hogy nem rendelkezik ugyanazzal a DNS-tartománynévvel a helyszíni hálózaton.
- Ha már rendelkezik ilyen nevű Azure-felhőszolgáltatással az Azure-beli virtuális hálózaton.
Szükséges Microsoft Entra-erőforrások létrehozása
A Domain Serviceshez szolgáltatásnévre és Microsoft Entra-csoportra van szükség. Ezek az erőforrások lehetővé teszik, hogy a felügyelt tartomány szinkronizálja az adatokat, és meghatározza, hogy mely felhasználók rendelkeznek rendszergazdai engedélyekkel a felügyelt tartományban.
Először regisztrálja a Microsoft Entra Domain Services erőforrás-szolgáltatót a Register-AzResourceProvider parancsmaggal:
Register-AzResourceProvider -ProviderNamespace Microsoft.AAD
Hozzon létre egy Microsoft Entra-szolgáltatásnevet a Domain Services New-MgServicePrincipal parancsmagjának használatával a kommunikációhoz és a hitelesítéshez. A rendszer egy adott alkalmazásazonosítót használ Tartományvezérlő-szolgáltatások néven 2565bd9d-da50-47d4-8b85-4c97f669dc36 azonosítóval az Azure Globalhoz. Más Azure-felhők esetén keresse meg a 6ba9a5d4-8456-4118-b521-9c5ca10cdf84 értéket.
New-MgServicePrincipal
Most hozzon létre egy Microsoft Entra-csoportot AAD DC Rendszergazda istrators néven a New-MgGroup parancsmaggal. A csoporthoz felvett felhasználók ezután engedélyt kapnak a felügyelt tartomány felügyeleti feladatainak elvégzésére.
New-MgGroup -DisplayName "AAD DC Administrators" `
-Description "Delegated group to administer Microsoft Entra Domain Services" `
-SecurityEnabled:$true -MailEnabled:$false `
-MailNickName "AADDCAdministrators"
Az AAD DC Rendszergazda istrators csoport létrehozásával adjon hozzá egy felhasználót a csoporthoz a New-MgGroupMember parancsmaggal. Először az AAD DC Rendszergazda istrators csoportobjektum-azonosítóját a Get-MgGroup parancsmaggal kapja meg, majd a kívánt felhasználó objektumazonosítóját a Get-MgUser parancsmaggal.
Az alábbi példában a fiók felhasználói objektumazonosítója admin@contoso.onmicrosoft.coma következő egyszerű felhasználónévvel: . Cserélje le ezt a felhasználói fiókot az AAD DC Rendszergazda istrators csoporthoz hozzáadni kívánt felhasználó UPN-jével:
# First, retrieve the object ID of the newly created 'AAD DC Administrators' group.
$GroupObjectId = Get-MgGroup `
-Filter "DisplayName eq 'AAD DC Administrators'" | `
Select-Object Id
# Now, retrieve the object ID of the user you'd like to add to the group.
$UserObjectId = Get-MgUser `
-Filter "UserPrincipalName eq 'admin@contoso.onmicrosoft.com'" | `
Select-Object Id
# Add the user to the 'AAD DC Administrators' group.
New-MgGroupMember -GroupId $GroupObjectId.Id -DirectoryObjectId $UserObjectId.Id
Végül hozzon létre egy erőforráscsoportot a New-AzResourceGroup parancsmaggal. Az alábbi példában az erőforráscsoport neve myResourceGroup , és a westus régióban jön létre. Használja a saját nevét és a kívánt régiót:
New-AzResourceGroup `
-Name "myResourceGroup" `
-Location "WestUS"
Ha olyan régiót választ, amely támogatja a rendelkezésre állási zónákat, a tartományi szolgáltatások erőforrásai zónák között vannak elosztva a további redundancia érdekében. A rendelkezésreállási zónák fizikailag elkülönített helyek egy Azure-régión belül. Minden rendelkezésreállási zóna egy vagy több, független áramforrással, hűtéssel és hálózatkezelési megoldással ellátott adatközpontból áll. A rugalmasság biztosítása érdekében minden engedélyezett régióban legalább három elkülönített zóna található.
Nincs mit konfigurálnia a Domain Services zónák közötti elosztásához. Az Azure-platform automatikusan kezeli az erőforrások zónaeloszlását. További információkért és a régiók elérhetőségének megtekintéséhez tekintse meg az Azure rendelkezésre állási zónáinak ismertetése című témakört.
Tartományi szolgáltatások erőforrásdefiníciója
A Resource Manager-erőforrásdefiníció részeként a következő konfigurációs paraméterek szükségesek:
| Paraméter | Érték |
|---|---|
| Tartománynév | A felügyelt tartomány DNS-tartományneve, figyelembe véve az előtagok és ütközések elnevezésének korábbi pontjait. |
| filteredSync | A Domain Services lehetővé teszi a Microsoft Entra-azonosítóban elérhető összes felhasználó és csoport szinkronizálását, vagy csak bizonyos csoportok hatókörön belüli szinkronizálását. A hatókörön belüli szinkronizálásról további információt a Microsoft Entra Domain Services hatókörön belüli szinkronizálásában talál. |
| értesítés Gépház | Ha a felügyelt tartományban riasztások jönnek létre, e-mail-értesítések küldhetők. Az Azure-bérlő globális rendszergazdái és az AAD DC Rendszergazda istrators csoport tagjai engedélyezhetők ezekhez az értesítésekhez. Igény szerint más címzetteket is hozzáadhat az értesítésekhez, ha vannak olyan riasztások, amelyek figyelmet igényelnek. |
| domainConfigurationType | Alapértelmezés szerint egy felügyelt tartomány felhasználói erdőként jön létre. Ez az erdőtípus szinkronizálja a Microsoft Entra-azonosító összes objektumát, beleértve a helyszíni AD DS-környezetben létrehozott felhasználói fiókokat is. Felhasználói erdő létrehozásához nem kell tartománykonfigurációs értéket megadnia. Az erőforráserdők csak a közvetlenül a Microsoft Entra-azonosítóban létrehozott felhasználókat és csoportokat szinkronizálják. Állítsa az értéket ResourceTrusting értékre erőforráserdő létrehozásához. Az erőforráserdőkkel kapcsolatos további információkért, beleértve azt is, hogy miért használhat ilyet, és hogyan hozhat létre erdőmegbízhatóságokat helyszíni AD DS-tartományokkal, tekintse meg a Domain Services erőforrás-erdőinek áttekintését. |
Az alábbi sűrített paraméterek definíciója bemutatja, hogyan deklarálják ezeket az értékeket. A rendszer létrehoz egy aaddscontoso.com nevű felhasználói erdőt, amely a Microsoft Entra-azonosító összes felhasználójával szinkronizálva van a felügyelt tartományba:
"parameters": {
"domainName": {
"value": "aaddscontoso.com"
},
"filteredSync": {
"value": "Disabled"
},
"notificationSettings": {
"value": {
"notifyGlobalAdmins": "Enabled",
"notifyDcAdmins": "Enabled",
"additionalRecipients": []
}
},
[...]
}
Ezután a rendszer a következő tömörített Resource Manager-sablon erőforrástípust használja a felügyelt tartomány definiálásához és létrehozásához. Egy Azure-beli virtuális hálózatnak és alhálózatnak már léteznie kell, vagy létre kell hoznia a Resource Manager-sablon részeként. A felügyelt tartomány ehhez az alhálózathoz van csatlakoztatva.
"resources": [
{
"apiVersion": "2017-06-01",
"type": "Microsoft.AAD/DomainServices",
"name": "[parameters('domainName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Network/virtualNetworks/', parameters('vnetName'))]"
],
"properties": {
"domainName": "[parameters('domainName')]",
"subnetId": "[concat('/subscriptions/', subscription().subscriptionId, '/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', parameters('vnetName'), '/subnets/', parameters('subnetName'))]",
"filteredSync": "[parameters('filteredSync')]",
"notificationSettings": "[parameters('notificationSettings')]"
}
},
[...]
]
Ezek a paraméterek és erőforrástípus egy szélesebb Körű Resource Manager-sablon részeként használhatók felügyelt tartományok üzembe helyezéséhez, ahogyan az az alábbi szakaszban látható.
Felügyelt tartomány létrehozása mintasablon használatával
Az alábbi teljes Resource Manager-mintasablon létrehoz egy felügyelt tartományt, valamint a támogatott virtuális hálózat, alhálózat és hálózati biztonsági csoportszabályokat. A felügyelt tartomány védelméhez és a forgalom megfelelő áramlásának biztosításához a hálózati biztonsági csoport szabályaira van szükség. Létrejön egy aaddscontoso.com DNS-nevű felhasználói erdő, amelyen minden felhasználó szinkronizálva van a Microsoft Entra-azonosítóból:
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"apiVersion": {
"value": "2017-06-01"
},
"domainConfigurationType": {
"value": "FullySynced"
},
"domainName": {
"value": "aaddscontoso.com"
},
"filteredSync": {
"value": "Disabled"
},
"location": {
"value": "westus"
},
"notificationSettings": {
"value": {
"notifyGlobalAdmins": "Enabled",
"notifyDcAdmins": "Enabled",
"additionalRecipients": []
}
},
"subnetName": {
"value": "aadds-subnet"
},
"vnetName": {
"value": "aadds-vnet"
},
"vnetAddressPrefixes": {
"value": [
"10.1.0.0/24"
]
},
"subnetAddressPrefix": {
"value": "10.1.0.0/24"
},
"nsgName": {
"value": "aadds-nsg"
}
},
"resources": [
{
"apiVersion": "2017-06-01",
"type": "Microsoft.AAD/DomainServices",
"name": "[parameters('domainName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Network/virtualNetworks/', parameters('vnetName'))]"
],
"properties": {
"domainName": "[parameters('domainName')]",
"subnetId": "[concat('/subscriptions/', subscription().subscriptionId, '/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', parameters('vnetName'), '/subnets/', parameters('subnetName'))]",
"filteredSync": "[parameters('filteredSync')]",
"domainConfigurationType": "[parameters('domainConfigurationType')]",
"notificationSettings": "[parameters('notificationSettings')]"
}
},
{
"type": "Microsoft.Network/NetworkSecurityGroups",
"name": "[parameters('nsgName')]",
"location": "[parameters('location')]",
"properties": {
"securityRules": [
{
"name": "AllowSyncWithAzureAD",
"properties": {
"access": "Allow",
"priority": 101,
"direction": "Inbound",
"protocol": "Tcp",
"sourceAddressPrefix": "AzureActiveDirectoryDomainServices",
"sourcePortRange": "*",
"destinationAddressPrefix": "*",
"destinationPortRange": "443"
}
},
{
"name": "AllowPSRemoting",
"properties": {
"access": "Allow",
"priority": 301,
"direction": "Inbound",
"protocol": "Tcp",
"sourceAddressPrefix": "AzureActiveDirectoryDomainServices",
"sourcePortRange": "*",
"destinationAddressPrefix": "*",
"destinationPortRange": "5986"
}
},
{
"name": "AllowRD",
"properties": {
"access": "Allow",
"priority": 201,
"direction": "Inbound",
"protocol": "Tcp",
"sourceAddressPrefix": "CorpNetSaw",
"sourcePortRange": "*",
"destinationAddressPrefix": "*",
"destinationPortRange": "3389"
}
}
]
},
"apiVersion": "2018-04-01"
},
{
"type": "Microsoft.Network/virtualNetworks",
"name": "[parameters('vnetName')]",
"location": "[parameters('location')]",
"apiVersion": "2018-04-01",
"dependsOn": [
"[concat('Microsoft.Network/NetworkSecurityGroups/', parameters('nsgName'))]"
],
"properties": {
"addressSpace": {
"addressPrefixes": "[parameters('vnetAddressPrefixes')]"
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "[parameters('subnetAddressPrefix')]",
"networkSecurityGroup": {
"id": "[concat('/subscriptions/', subscription().subscriptionId, '/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/NetworkSecurityGroups/', parameters('nsgName'))]"
}
}
}
]
}
}
],
"outputs": {}
}
Ez a sablon az előnyben részesített üzembe helyezési módszerrel helyezhető üzembe, például a Microsoft Entra felügyeleti központtal, az Azure PowerShell-lel vagy egy CI/CD-folyamattal. Az alábbi példa a New-AzResourceGroupDeployment parancsmagot használja. Adja meg saját erőforráscsoportnevét és sablonfájlnevét:
New-AzResourceGroupDeployment -ResourceGroupName "myResourceGroup" -TemplateFile <path-to-template>
Az erőforrás létrehozása és az irányítás powerShell-parancssorba való visszajuttatása néhány percet vesz igénybe. A felügyelt tartomány továbbra is ki van építve a háttérben, és akár egy órát is igénybe vehet az üzembe helyezés befejezéséhez. A Microsoft Entra Felügyeleti központban a felügyelt tartomány Áttekintés lapján az üzemelő példány aktuális állapota látható.
Amikor a Microsoft Entra felügyeleti központ azt mutatja, hogy a felügyelt tartomány befejeződött, a következő feladatokat kell elvégezni:
- Frissítse a virtuális hálózat DNS-beállításait, hogy a virtuális gépek megtalálják a tartományhoz való csatlakozáshoz vagy hitelesítéshez használt felügyelt tartományt.
- A DNS konfigurálásához válassza ki a felügyelt tartományt a portálon. Az Áttekintés ablakban a rendszer kéri, hogy automatikusan konfigurálja ezeket a DNS-beállításokat.
- Engedélyezze a jelszó-szinkronizálást a Domain Services szolgáltatásba, hogy a végfelhasználók a vállalati hitelesítő adataikkal jelentkezzenek be a felügyelt tartományba.
Következő lépések
Ha működés közben szeretné látni a felügyelt tartományt, csatlakoztathat tartományt egy Windows rendszerű virtuális géphez, konfigurálhatja a biztonságos LDAP-t, és konfigurálhatja a jelszókivonat-szinkronizálást.