Tutorial: Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services

  • Artikel

Microsoft Entra Domain Services menyediakan layanan domain terkelola seperti gabungan domain, kebijakan grup, LDAP, autentikasi Kerberos/NTLM yang sepenuhnya kompatibel dengan Windows Server Active Directory. Anda menggunakan layanan domain ini tanpa menyebarkan, mengelola, dan melakukan patch pada pengendali domain sendiri. Layanan Domain terintegrasi dengan penyewa Microsoft Entra Anda yang sudah ada. Integrasi ini memungkinkan pengguna masuk menggunakan informasi masuk perusahaan mereka, dan Anda dapat menggunakan grup dan akun pengguna yang ada untuk mengamankan akses ke sumber daya.

Anda dapat membuat domain terkelola menggunakan opsi konfigurasi default untuk jaringan dan sinkronisasi, atau menentukan pengaturan ini secara manual. Tutorial ini menunjukkan kepada Anda cara menggunakan opsi default untuk membuat dan mengonfigurasi domain terkelola Domain Services menggunakan pusat admin Microsoft Entra.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Memahami persyaratan DNS untuk domain terkelola
  • Membuat domain terkelola
  • Mengaktifkan sinkronisasi hash kata sandi

Jika Anda tidak memiliki langganan Azure, buat sebuah akun sebelum Anda memulai.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Langganan Azure aktif.
    • Jika Anda tidak memiliki langganan Azure, buat akun.
  • Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Anda memerlukan peran Administrator Aplikasi dan Administrator Grup Microsoft Entra di penyewa Anda untuk mengaktifkan Layanan Domain.
  • Anda memerlukan peran Azure Kontributor Layanan Domain untuk membuat sumber daya Layanan Domain yang diperlukan.
  • Jaringan virtual dengan server DNS yang dapat meminta infrastruktur yang diperlukan seperti penyimpanan. Server DNS yang tidak dapat menjalankan kueri internet umum dapat mencegah kemampuan untuk membuat domain terkelola.

Meskipun tidak diperlukan untuk Layanan Domain, disarankan untuk mengonfigurasi pengaturan ulang kata sandi mandiri (SSPR) untuk penyewa Microsoft Entra. Pengguna dapat mengubah kata sandi mereka tanpa SSPR, tetapi SSPR membantu jika mereka lupa kata sandi mereka dan perlu mengatur ulang kata sandi tersebut.

Penting

Anda tidak dapat memindahkan domain terkelola ke langganan, grup sumber daya, atau wilayah lain setelah Membuatnya. Berhati-hatilah untuk memilih langganan, grup sumber daya, dan wilayah yang paling sesuai saat Anda menyebarkan domain terkelola.

Masuk ke pusat admin Microsoft Entra

Dalam tutorial ini, Anda membuat dan mengonfigurasi domain terkelola menggunakan pusat admin Microsoft Entra. Untuk memulai, pertama-tama masuk ke pusat admin Microsoft Entra.

Membuat domain terkelola

Untuk meluncurkan wizard Aktifkan Microsoft Entra Domain Services , selesaikan langkah-langkah berikut:

  1. Pada menu pusat admin Microsoft Entra atau dari halaman Beranda , cari Layanan Domain, lalu pilih Microsoft Entra Domain Services.

  2. Pada halaman Microsoft Entra Domain Services, pilih Buat Microsoft Entra Domain Services.

    Screenshot of how to create a managed domain.

  3. Pilih Langganan Azure tempat Anda ingin membuat domain terkelola.

  4. Pilih Grup Sumber Daya tempat domain terkelola berada. Pilih Buat baru atau pilih grup sumber daya yang sudah ada.

Saat Anda membuat domain terkelola, Anda menentukan nama DNS. Ada beberapa pertimbangan saat Anda memilih nama DNS ini:

  • Nama domain bawaan: Secara default, nama domain bawaan direktori digunakan (akhiran .onmicrosoft.com). Jika Anda ingin mengaktifkan akses LDAP aman ke domain terkelola melalui internet, Anda tidak dapat membuat sertifikat digital untuk mengamankan koneksi dengan domain default ini. Microsoft memiliki domain .onmicrosoft.com, sehingga Otoritas Sertifikat (CA) tidak akan menerbitkan sertifikat.
  • Nama domain kustom: Pendekatan yang paling umum adalah menentukan nama domain kustom, biasanya yang sudah Anda miliki dan dapat dirutekan. Saat Anda menggunakan domain kustom yang dapat dirutekan, lalu lintas dapat mengalir dengan benar sesuai kebutuhan untuk mendukung aplikasi Anda.
  • Akhiran domain yang tidak dapat dirutekan: Kami biasanya menyarankan Anda menghindari akhiran nama domain yang tidak dapat dirutekan, seperti contoso.local. Akhiran .local tidak dapat dirutekan dan dapat menyebabkan masalah dengan resolusi DNS.

Tip

Jika Anda membuat nama domain kustom, berhati-hatilah dengan ruang nama DNS yang sudah ada. Meskipun didukung, Anda mungkin ingin menggunakan nama domain yang terpisah dari namespace Azure atau DNS lokal yang ada.

Misalnya, jika Anda memiliki ruang nama DNS contoso.com yang sudah ada, buat domain terkelola dengan nama domain kustom dscontoso.com. Jika Anda perlu menggunakan LDAP aman, Anda harus mendaftar dan memiliki nama domain kustom ini untuk menghasilkan sertifikat yang diperlukan.

Anda mungkin perlu membuat beberapa catatan DNS tambahan untuk layanan lain di lingkungan Anda, atau penerus DNS kondisional antara ruang nama DNS yang ada di lingkungan Anda. Misalnya, jika Anda menjalankan server web yang menghosting situs menggunakan nama DNS root, mungkin ada konflik penamaan yang mengharuskan entri DNS tambahan.

Dalam tutorial dan artikel cara penggunaan ini, domain kustom dscontoso.com digunakan sebagai contoh singkat. Di semua perintah, tentukan nama domain Anda sendiri.

Pembatasan nama DNS berikut juga berlaku:

  • Pembatasan awalan domain: Anda tidak dapat membuat domain terkelola dengan panjang awalan lebih dari 15 karakter. Awalan nama domain yang Anda tentukan (seperti dscontoso dalam nama domain dscontoso.com ) harus berisi 15 karakter atau lebih sedikit.
  • Konflik nama jaringan: Nama domain DNS untuk domain terkelola Anda harus belum ada di jaringan virtual. Secara khusus, periksa skenario berikut yang akan menyebabkan konflik nama:
    • Jika Anda telah memiliki domain Direktori Aktif dengan nama domain DNS yang sama di jaringan virtual Azure.
    • Jika jaringan virtual tempat Anda berencana mengaktifkan domain terkelola memiliki koneksi VPN dengan jaringan lokal Anda. Dalam skenario ini, pastikan Anda tidak memiliki domain dengan nama domain DNS yang sama di jaringan lokal Anda.
    • Jika Anda memiliki layanan cloud Azure yang sudah ada dengan nama tersebut di jaringan virtual Azure.

Selesaikan bidang di jendela Dasar pusat admin Microsoft Entra untuk membuat domain terkelola:

  1. Masukkan nama domain DNS untuk domain terkelola Anda, dengan mempertimbangkan poin sebelumnya.

  2. Pilih Wilayah Azure tempat domain terkelola harus dibuat. Jika Anda memilih wilayah yang mendukung Zona Ketersediaan Azure, sumber daya Layanan Domain didistribusikan di seluruh zona untuk redundansi tambahan.

    Tip

    Zona Ketersediaan adalah lokasi nyata yang berada dalam wilayah Azure. Setiap zonanya terdiri dari satu atau beberapa pusat data yang dilengkapi dengan daya, pendinginan, dan jaringan yang independen. Untuk memastikan ketahanan, terdapat minimum tiga zona terpisah di semua wilayah yang diaktifkan.

    Tidak ada yang dapat Anda konfigurasi agar Layanan Domain didistribusikan di seluruh zona. Platform Azure secara otomatis menangani distribusi zona sumber daya. Untuk informasi selengkapnya dan untuk melihat ketersediaan wilayah, lihat Apa itu Zona Ketersediaan di Azure?.

  3. SKU menentukan kinerja dan frekuensi pencadangan. Anda dapat mengubah SKU setelah domain terkelola dibuat jika tuntutan bisnis atau persyaratan Anda berubah. Untuk informasi selengkapnya, lihat Konsep SKU Layanan Domain.

    Untuk tutorial ini, pilih SKU Standar. Jendela Dasar akan terlihat seperti cuplikan layar ini:

    Screenshot of Basics configuration page for a managed domain.

Untuk membuat domain terkelola dengan cepat, Anda dapat memilih Tinjau + buat untuk menerima opsi konfigurasi default tambahan. Default berikut dikonfigurasi saat Anda memilih opsi buat ini:

  • Membuat jaringan virtual, bernama ds-vnet secara default, yang menggunakan rentang alamat IP 10.0.1.0/24.
  • Membuat subnet bernama ds-subnet menggunakan rentang alamat IP 10.0.1.0/24.
  • Menyinkronkan Semua pengguna dari ID Microsoft Entra ke domain terkelola.

Catatan

Anda tidak boleh menggunakan alamat IP publik untuk jaringan virtual dan subnetnya karena masalah berikut:

  • Kelangkaan alamat IP: Alamat IP publik IPv4 terbatas, dan permintaannya sering melebihi pasokan yang tersedia. Selain itu, ada IP yang berpotensi tumpang tindih dengan titik akhir publik.

  • Risiko keamanan: Menggunakan IP publik untuk jaringan virtual mengekspos perangkat Anda langsung ke internet, meningkatkan risiko akses yang tidak sah dan potensi serangan. Tanpa langkah-langkah keamanan yang tepat, perangkat Anda mungkin rentan terhadap berbagai ancaman.

  • Kompleksitas: Mengelola jaringan virtual dengan IP publik bisa lebih kompleks daripada menggunakan IP privat, karena perlu berurusan dengan rentang IP eksternal dan memastikan segmentasi dan keamanan jaringan yang tepat.

Sangat disarankan untuk menggunakan alamat IP privat. Jika Anda menggunakan IP publik, pastikan Anda adalah pemilik/pengguna khusus dari IP yang dipilih di rentang publik yang Anda pilih.

Pilih Tinjau + buat untuk menerima opsi konfigurasi default ini.

Menyebarkan domain terkelola

Pada halaman Ringkasan wizard, tinjau pengaturan konfigurasi untuk domain terkelola Anda. Anda bisa kembali ke langkah wizard mana pun untuk membuat perubahan. Untuk menyebarkan ulang domain terkelola ke penyewa Microsoft Entra yang berbeda dengan cara yang konsisten menggunakan opsi konfigurasi ini, Anda juga dapat Mengunduh templat untuk otomatisasi.

  1. Untuk membuat domain terkelola, pilih Buat. Catatan ditampilkan bahwa opsi konfigurasi tertentu seperti nama DNS atau jaringan virtual tidak dapat diubah setelah Layanan Domain dikelola dibuat. Untuk melanjutkan, pilih OK.

    Screenshot of configuration options for managed domain.

  2. Proses penyediaan domain terkelola Anda bisa membutuhkan waktu hingga satu jam. Pemberitahuan ditampilkan di portal yang menunjukkan kemajuan penyebaran Layanan Domain Anda.

  3. Saat domain terkelola sepenuhnya disediakan, tab Gambaran Umum memperlihatkan status domain sebagai Berjalan. Perluas detail Penyebaran untuk tautan ke sumber daya seperti jaringan virtual dan grup sumber daya jaringan.

    Screenshot of deployment details for a managed domain.

Penting

Domain terkelola dikaitkan dengan direktori Microsoft Entra Anda. Selama proses provisi, Domain Services membuat dua Aplikasi Perusahaan bernama Domain Controller Services dan AzureActiveDirectoryDomainControllerServices di direktori Microsoft Entra. Aplikasi Perusahaan ini diperlukan untuk melayani domain terkelola Anda. Jangan menghapus aplikasi ini.

Memperbarui pengaturan DNS untuk jaringan virtual Azure

Dengan Domain Services berhasil disebarkan, sekarang konfigurasikan jaringan virtual untuk memungkinkan VM dan aplikasi lain yang terhubung menggunakan domain terkelola. Untuk menyediakan konektivitas ini, perbarui pengaturan server DNS untuk jaringan virtual Anda untuk mengarahkan ke dua alamat IP tempat domain terkelola disebarkan.

  1. Tab Gambaran Umum untuk domain terkelola Anda memperlihatkan beberapa Langkah konfigurasi yang diperlukan. Langkah konfigurasi pertama adalah memperbarui pengaturan server DNS untuk jaringan virtual Anda. Setelah pengaturan DNS dikonfigurasi dengan benar, langkah ini tidak lagi diperlihatkan.

    Alamat yang tercantum adalah pengontrol domain untuk digunakan di jaringan virtual. Dalam contoh ini, alamat tersebut adalah 10.0.1.4 dan 10.0.1.5. Anda nantinya dapat menemukan alamat IP ini pada tab Properti.

    Screenshot of Overview page for a managed domain.

  2. Untuk memperbarui pengaturan server DNS untuk jaringan virtual, pilih tombol Konfigurasi. Pengaturan DNS dikonfigurasi secara otomatis untuk jaringan virtual Anda.

Tip

Jika Anda memilih jaringan virtual yang sudah ada di langkah-langkah sebelumnya, VM apa pun yang terhubung ke jaringan hanya mendapatkan pengaturan DNS baru setelah memulai ulang. Anda dapat memulai ulang VM menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Azure CLI.

Mengaktifkan akun pengguna untuk Domain Services

Untuk mengautentikasi pengguna di domain terkelola, Domain Services memerlukan hash kata sandi dalam format yang cocok untuk autentikasi NT LAN Manager (NTLM) dan Kerberos. ID Microsoft Entra tidak menghasilkan atau menyimpan hash kata sandi dalam format yang diperlukan untuk autentikasi NTLM atau Kerberos hingga Anda mengaktifkan Layanan Domain untuk penyewa Anda. Untuk alasan keamanan, ID Microsoft Entra juga tidak menyimpan kredensial kata sandi apa pun dalam bentuk teks yang jelas. Oleh karena itu, ID Microsoft Entra tidak dapat secara otomatis menghasilkan hash kata sandi NTLM atau Kerberos ini berdasarkan kredensial pengguna yang ada.

Catatan

Setelah dikonfigurasi dengan tepat, hash kata sandi yang dapat digunakan disimpan di domain terkelola. Jika Anda menghapus domain terkelola, hash kata sandi apa pun yang disimpan pada saat itu juga dihapus.

Informasi kredensial yang disinkronkan di ID Microsoft Entra tidak dapat digunakan kembali jika nanti Anda membuat domain terkelola - Anda harus mengonfigurasi ulang sinkronisasi hash kata sandi untuk menyimpan hash kata sandi lagi. VM atau pengguna yang bergabung dengan domain sebelumnya tidak akan dapat segera mengautentikasi - ID Microsoft Entra perlu menghasilkan dan menyimpan hash kata sandi di domain terkelola baru.

Sinkronisasi cloud Microsoft Entra Koneksi tidak didukung dengan Domain Services. Pengguna lokal perlu disinkronkan menggunakan Microsoft Entra Koneksi agar dapat mengakses VM yang bergabung dengan domain. Untuk informasi selengkapnya, lihat Proses sinkronisasi hash kata sandi untuk Domain Services dan Microsoft Entra Koneksi.

Langkah-langkah untuk menghasilkan dan menyimpan hash kata sandi ini berbeda untuk akun pengguna khusus cloud yang dibuat di ID Microsoft Entra versus akun pengguna yang disinkronkan dari direktori lokal Anda menggunakan Microsoft Entra Koneksi.

Akun pengguna khusus cloud adalah akun yang dibuat di direktori Microsoft Entra Anda dengan menggunakan pusat admin Microsoft Entra atau PowerShell. Akun pengguna ini tidak disinkronkan dari direktori lokal.

Dalam tutorial ini, mari kita bekerja dengan akun pengguna khusus cloud dasar. Untuk informasi selengkapnya tentang langkah-langkah tambahan yang diperlukan untuk menggunakan Microsoft Entra Koneksi, lihat Menyinkronkan hash kata sandi untuk akun pengguna yang disinkronkan dari AD lokal Anda ke domain terkelola Anda.

Tip

Jika direktori Microsoft Entra Anda memiliki kombinasi pengguna khusus cloud dan disinkronkan, Anda perlu menyelesaikan kedua rangkaian langkah.

Untuk akun pengguna khusus cloud, pengguna harus mengubah kata sandi mereka sebelum mereka dapat menggunakan Layanan Domain. Proses perubahan kata sandi ini menyebabkan hash kata sandi untuk autentikasi Kerberos dan NTLM dihasilkan dan disimpan di ID Microsoft Entra. Akun tidak disinkronkan dari ID Microsoft Entra ke Layanan Domain hingga kata sandi diubah. Kedaluwarsa kata sandi untuk semua pengguna cloud di penyewa yang perlu menggunakan Layanan Domain, yang memaksa perubahan kata sandi pada masuk berikutnya, atau menginstruksikan pengguna cloud untuk mengubah kata sandi mereka secara manual. Untuk tutorial ini, mari kita mengubah kata sandi pengguna secara manual.

Sebelum pengguna dapat mengatur ulang kata sandi mereka, penyewa Microsoft Entra harus dikonfigurasi untuk pengaturan ulang kata sandi layanan mandiri.

Untuk mengubah kata sandi untuk pengguna khusus cloud, pengguna harus menyelesaikan langkah-langkah berikut:

  1. Buka halaman Panel Akses ID Microsoft Entra di https://myapps.microsoft.com.

  2. Di pojok kanan atas, pilih nama Anda, lalu pilih Profil dari menu drop-down.

    Screenshot of how to select a profile.

  3. Di halaman Profil, pilih Ubah kata sandi.

  4. Pada halaman Ubah kata sandi, masukkan kata sandi yang sudah ada (lama), lalu masukkan dan konfirmasi kata sandi baru.

  5. Pilih Kirim.

Dibutuhkan beberapa menit setelah Anda mengubah kata sandi agar kata sandi baru dapat digunakan di Layanan Domain dan berhasil masuk ke komputer yang bergabung ke domain terkelola.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara:

  • Memahami persyaratan DNS untuk domain terkelola
  • Membuat domain terkelola
  • Menambahkan pengguna administratif ke manajemen domain
  • Aktifkan akun pengguna untuk Layanan Domain dan hasilkan hash kata sandi

Sebelum Anda bergabung dengan VM domain dan menyebarkan aplikasi yang menggunakan domain terkelola, konfigurasikan jaringan virtual Azure untuk beban kerja aplikasi.

Konfigurasi jaringan virtual Azure untuk beban kerja aplikasi untuk menggunakan domain terkelola Anda