Tutorial: Membuat kepercayaan hutan dua arah di Microsoft Entra Domain Services dengan domain lokal

Anda dapat membuat kepercayaan hutan antara Microsoft Entra Domain Services dan lingkungan AD DS lokal. Hubungan kepercayaan hutan memungkinkan pengguna, aplikasi, dan komputer mengautentikasi terhadap domain lokal dari domain terkelola Domain Services, atau sebaliknya. Kepercayaan hutan dapat membantu pengguna mengakses sumber daya dalam skenario seperti:

• Lingkungan tempat Anda tidak dapat menyinkronkan hash kata sandi, atau di mana pengguna secara eksklusif masuk menggunakan kartu pintar dan tidak mengetahui kata sandi mereka.
• Skenario hibrid yang memerlukan akses ke domain lokal.

Anda dapat memilih dari tiga arah yang mungkin saat membuat trust hutan, tergantung pada bagaimana pengguna perlu mengakses sumber daya. Layanan Domain hanya mendukung kepercayaan hutan. Trust eksternal ke domain anak di lokasi internal tidak didukung.

Arahan kepercayaan	Akses pengguna
Dua arah	Memungkinkan pengguna di domain terkelola dan domain lokal untuk mengakses sumber daya di salah satu domain.
Keluar satu arah	Memungkinkan pengguna di domain lokal mengakses sumber daya di domain terkelola, tetapi bukan sebaliknya.
Masuk satu arah	Memungkinkan pengguna di domain terkelola mengakses sumber daya di domain lokal.

Dalam tutorial ini, Anda mempelajari cara:

• Mengonfigurasi DNS di domain AD DS lokal untuk mendukung konektivitas Layanan Domain
• Membuat kepercayaan hutan dua arah antara domain terkelola dan domain lokal
• Menguji dan memvalidasi hubungan kepercayaan hutan untuk autentikasi dan akses sumber daya

Jika Anda tidak memiliki langganan Azure, membuat akun sebelum memulai.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, membuat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Bila perlu, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
• Domain terkelola Domain Services yang dikonfigurasi dengan nama domain DNS kustom dan sertifikat SSL yang valid.
  • Jika diperlukan, membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• Domain Active Directory lokal yang dapat dijangkau dari domain terkelola melalui koneksi VPN atau ExpressRoute.
• Administrator Aplikasi dan Administrator Grup peran Microsoft Entra di penyewa Anda untuk memodifikasi instans Layanan Domain.
• Akun Admin Domain di domain lokal yang memiliki izin untuk membuat dan memverifikasi hubungan kepercayaan.

Penting

Anda perlu menggunakan minimal Enterprise SKU untuk domain terkelola Anda. Jika diperlukan, mengubah SKU untuk domain terkelola.

Masuk ke pusat admin Microsoft Entra

Dalam tutorial ini, Anda membuat dan mengonfigurasi trust forest keluar dari Layanan Domain menggunakan Pusat Admin Microsoft Entra. Untuk memulai, pertama-tama masuk ke pusat admin Microsoft Entra .

Pertimbangan jaringan

Jaringan virtual yang menghosting hutan Layanan Domain memerlukan koneksi VPN atau ExpressRoute ke lokasi lokal Active Directory Anda. Aplikasi dan layanan juga memerlukan konektivitas jaringan ke jaringan virtual yang menghosting hutan layanan domain. Konektivitas jaringan ke forest Layanan Domain harus selalu aktif dan stabil, jika tidak, pengguna mungkin gagal mengautentikasi atau mengakses sumber daya.

Sebelum Anda mengonfigurasi forest trust di Layanan Domain, pastikan jaringan Anda antara Azure dan lingkungan di tempat memenuhi persyaratan berikut:

• Pastikan port firewall dan pengendali domain memungkinkan lalu lintas yang diperlukan untuk membuat dan menggunakan kepercayaan. Untuk informasi selengkapnya tentang port mana yang perlu dibuka untuk menggunakan kepercayaan, lihat Mengonfigurasi pengaturan firewall untuk kepercayaan AD DS. Semua pengendali domain di domain yang memiliki kepercayaan dengan Layanan Domain harus membuka port ini.
• Gunakan alamat IP privat. Jangan mengandalkan DHCP dengan penetapan alamat IP dinamis.
• Hindari ruang alamat IP yang tumpang tindih untuk memungkinkan peering dan perutean jaringan virtual agar dapat berhasil berkomunikasi antara Azure dan di lokasi fisik.
• Jaringan virtual Azure memerlukan subnet gateway untuk mengonfigurasi koneksi VPN Azure site-to-site (S2S) atau ExpressRoute.
• Buat subnet dengan alamat IP yang cukup untuk mendukung skenario Anda.
• Pastikan Domain Services memiliki subnetnya sendiri, jangan bagikan subnet jaringan virtual ini dengan VM dan layanan aplikasi.
• Jaringan virtual yang dihubungkan melalui peering TIDAK bersifat transitif.
  • Peering jaringan virtual Azure harus dibuat di antara semua jaringan virtual yang ingin Anda gunakan kepercayaan forest Layanan Domain ke lingkungan AD DS lokal.
• Berikan konektivitas jaringan yang terus menerus ke forest Active Directory lokal Anda. Jangan gunakan koneksi sesuai permintaan.
• Pastikan ada resolusi nama DNS berkelanjutan antara nama forest Domain Services Anda dan nama forest Active Directory lokal Anda.

Mengonfigurasi DNS di domain di tempat

Untuk memecahkan nama domain terkelola dengan benar dari lingkungan on-premises, Anda mungkin perlu menambahkan forwarder ke server DNS yang ada. Untuk mengonfigurasi lingkungan lokal untuk berkomunikasi dengan domain terkelola, selesaikan langkah-langkah berikut dari stasiun kerja manajemen untuk domain AD DS lokal:

1. Pilih Mulai>Alat Administratif>DNS.

2. Pilih zona DNS Anda, seperti aaddscontoso.com.

3. Pilih Pengalih Bersyarat, lalu klik kanan dan pilih Pengalih Bersyarat Baru...

4. Masukkan domain DNS anda yang lain, seperti contoso.com, lalu masukkan alamat IP server DNS untuk namespace tersebut, seperti yang diperlihatkan dalam contoh berikut:

   

5. Centang kotak untuk Simpan penerus kondisional ini di Direktori Aktif, dan replikasi sebagai berikut, lalu pilih opsi untuk Semua server DNS di domain ini, seperti yang diperlihatkan dalam contoh berikut:

   

   Penting

   Jika penerus kondisional disimpan di forest alih-alih domain , penerus kondisional gagal.

6. Untuk membuat penerus bersyarat, pilih OK.

Membuat kepercayaan hutan dua arah di domain lokal

Domain AD DS lokal memerlukan kepercayaan hutan dua arah untuk domain yang dikelola. Kepercayaan ini harus dibuat secara manual di domain AD DS lokal; tidak dapat dibuat dari pusat admin Microsoft Entra.

Untuk mengonfigurasi kepercayaan dua arah di domain AD DS lokal, selesaikan langkah-langkah berikut sebagai Admin Domain dari stasiun kerja manajemen untuk domain AD DS lokal:

1. Pilih Mulai>Alat Administratif>Domain Direktori Aktif dan Kepercayaan.
2. Klik kanan domain, seperti onprem.contoso.com, lalu pilih properti .
3. Pilih tab Kepercayaan, lalu Kepercayaan Baru.
4. Masukkan nama untuk nama domain Domain Services, seperti aaddscontoso.com, lalu pilih Berikutnya.
5. Pilih opsi untuk membuat kepercayaan Forest, kemudian untuk membuat kepercayaan Dua Arah.
6. Pilih untuk membuat kepercayaan untuk Hanya domain ini. Pada langkah berikutnya, Anda membuat kepercayaan di pusat admin Microsoft Entra untuk domain terkelola.
7. Pilih untuk menggunakan autentikasi di seluruh forest, lalu masukkan dan konfirmasi kata sandi kepercayaan. Kata sandi yang sama ini juga dimasukkan di pusat admin Microsoft Entra di bagian berikutnya.
8. Lanjutkan melalui beberapa jendela berikutnya dengan opsi default, lalu pilih opsi untuk Tidak, jangan konfirmasi kepercayaan keluaran.
9. Pilih Selesai.

Jika kepercayaan hutan tidak lagi diperlukan untuk sebuah lingkungan, selesaikan langkah-langkah berikut sebagai Admin Domain untuk menghapusnya dari domain lokal:

1. Pilih Mulai>Alat Administratif>Domain Direktori Aktif dan Kepercayaan.
2. Klik kanan domain, seperti onprem.contoso.com, lalu pilih properti .
3. Pilih tab Kepercayaan, lalu Domain yang mempercayai domain ini (kepercayaan masuk), klik kepercayaan yang akan dihapus, lalu klik Hapus.
4. Pada tab Kepercayaan, di bawah Domain yang dipercaya oleh domain ini (kepercayaan keluar), klik pada kepercayaan yang ingin dihapus, lalu klik Hapus.
5. Klik Tidak, hapus kepercayaan hanya dari domain lokal.

Membuat trust hutan dua arah di Domain Services

Untuk membuat kepercayaan dua arah untuk domain terkelola di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:

1. Di pusat admin Microsoft Entra, cari dan pilih Microsoft Entra Domain Services, lalu pilih domain terkelola Anda, seperti aaddscontoso.com.

2. Dari menu di sisi kiri domain terkelola, pilih Trusts, lalu pilih + Tambahkan kepercayaan.

3. Pilih Dua arah sebagai arah kepercayaan.

4. Masukkan nama tampilan yang mengidentifikasi kepercayaan Anda, lalu nama DNS forest tepercaya di lingkungan lokal, seperti onprem.contoso.com.

5. Masukkan kata sandi kepercayaan yang sama yang digunakan untuk mengonfigurasi kepercayaan masuk forest untuk domain AD DS lokal pada bagian sebelumnya.

6. Sediakan setidaknya dua server DNS untuk domain AD DS lokal, seperti 10.1.1.4 dan 10.1.1.5.

7. Setelah siap, Simpan kepercayaan hutan luar.

   

Jika kepercayaan hutan tidak lagi diperlukan untuk lingkungan, selesaikan langkah-langkah berikut untuk menghapusnya dari Layanan Domain:

1. Di pusat admin Microsoft Entra, cari dan pilih Microsoft Entra Domain Services, lalu pilih domain terkelola Anda, seperti aaddscontoso.com.
2. Dari menu di sisi kiri domain terkelola, pilih Trusts, pilih kepercayaan, dan klik Hapus.
3. Gunakan kata sandi kepercayaan yang sama yang digunakan untuk mengonfigurasi kepercayaan hutan dan kemudian klik OK.

Memverifikasi pembuatan hubungan kepercayaan

Setelah Anda membuat kepercayaan masuk dua arah atau satu arah, Anda dapat memverifikasi kepercayaan masuk (kepercayaan keluar dari domain lokal Anda) dengan menggunakan konsol Domain dan Kepercayaan Active Directory atau dengan alat baris perintah nltest.

Gunakan Active Directory Domains and Trusts untuk memverifikasi sebuah kepercayaan.

Selesaikan langkah-langkah berikut dari pengendali domain AD DS lokal menggunakan akun yang memiliki izin untuk membuat dan memvalidasi hubungan kepercayaan.

1. Pilih Mulai>Alat Administratif>Domain Direktori Aktif dan Kepercayaan.
2. Klik kanan domain Anda dan pilih Properti.
3. Pilih tab Kepercayaan .
4. Di bawah Domain yang dipercaya oleh domain ini (kepercayaan keluar), pilih kepercayaan yang Anda buat.
5. Pilih Properti.
6. Pilih Validasi.
7. Pilih Tidak, jangan validasi kepercayaan masuk.
8. Klik OK.

Jika trust dikonfigurasi dengan benar, Anda akan melihat pesan

The outgoing trust has been validated. It is in place and active.

Gunakan nltest untuk memverifikasi kepercayaan

Anda juga dapat memverifikasi kepercayaan dengan menggunakan alat baris perintah nltest. Selesaikan langkah-langkah berikut dari pengendali domain AD DS lokal menggunakan akun yang memiliki izin untuk membuat dan memvalidasi hubungan kepercayaan.

1. Buka prompt perintah yang ditingkatkan pada pengendali domain lokal atau stasiun kerja administratif Anda.

2. Jalankan perintah berikut:

   nltest /sc_verify:<TrustedDomain>
   

   Ganti <TrustedDomain> dengan nama domain Microsoft Entra Domain Services. Jika kepercayaan (trust) valid, perintah mengembalikan pesan sukses.

   

Memvalidasi akses sumber daya

Skenario umum berikut memungkinkan Anda memvalidasi bahwa kepercayaan hutan mengautentikasi pengguna dan memberikan akses ke sumber daya dengan tepat:

• Autentikasi pengguna lokal dari forest Domain Services
• Akseslah sumber daya di hutan Layanan Domain menggunakan pengguna di lokasi
  • Aktifkan berbagi file dan printer
  • Membuat grup keamanan dan menambahkan anggota
  • Membuat saham berkas untuk akses lintas hutan
  • Validasi autentikasi lintas hutan ke sumber daya

Autentikasi pengguna lokal dari forest Layanan Domain

Anda harus memiliki komputer virtual Windows Server yang bergabung ke domain terkelola. Gunakan komputer virtual ini untuk menguji pengguna lokal Anda dapat mengautentikasi pada komputer virtual. Jika diperlukan, membuat VM Windows dan menggabungkannya ke domain terkelola.

1. Sambungkan ke VM Windows Server yang tergabung dalam hutan Layanan Domain menggunakan Azure Bastion dan kredensial administrator Layanan Domain Anda.

2. Buka prompt perintah dan gunakan perintah whoami untuk menampilkan nama khusus pengguna yang saat ini diautentikasi:

   whoami /fqdn
   

3. Gunakan perintah runas untuk mengautentikasi sebagai pengguna dari domain lokal. Dalam perintah berikut, ganti userUpn@trusteddomain.com dengan UPN pengguna dari domain lokal tepercaya. Perintah meminta kata sandi pengguna:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Jika autentikasi berhasil, prompt perintah baru akan terbuka. Judul prompt perintah baru mencakup running as userUpn@trusteddomain.com.

5. Gunakan whoami /fqdn di prompt perintah baru untuk melihat nama khusus pengguna yang diautentikasi dari Active Directory lokal.

Mengakses sumber daya di hutan Layanan Domain menggunakan pengguna di tempat

Dari mesin virtual Windows Server yang terhubung ke hutan Layanan Domain, Anda dapat menguji skenario. Misalnya, Anda dapat menguji apakah pengguna yang masuk ke domain lokal dapat mengakses sumber daya di domain terkelola. Contoh berikut mencakup skenario pengujian umum.

Aktifkan berbagi file dan printer

1. Sambungkan ke VM Windows Server yang tergabung dalam hutan Layanan Domain menggunakan Azure Bastion dan kredensial administrator Layanan Domain Anda.

2. Buka Pengaturan Windows.

3. Cari dan pilih Jaringan dan Pusat Berbagi.

4. Pilih opsi untuk Ubah pengaturan berbagi tingkat lanjut.

5. Di bawah Profil Domain, pilih Aktifkan berbagi file dan printer lalu Simpan perubahan.

6. Tutup Jaringan dan Pusat Berbagi.

Membuat grup keamanan dan menambahkan anggota

1. Buka Active Directory Users and Computers.

2. Pilih kanan nama domain, pilih Baru, lalu pilih Unit Organisasi .

3. Dalam kotak nama, ketik LocalObjects, lalu pilih OK.

4. Pilih dan klik kanan LocalObjects di panel navigasi. Pilih Baru dan kemudian Grup.

5. Ketik FileServerAccess di kotak Nama grup. Untuk Cakupan Grup, pilih domain lokal, lalu pilih OK.

6. Di panel konten, klik dua kali FileServerAccess. Pilih Anggota, pilih untuk Tambahkan, lalu pilih lokasi .

7. Pilih Active Directory lokal Anda dari tampilan Lokasi, lalu pilih OK.

8. Ketik Pengguna Domain di kotak Masukkan nama objek untuk memilih. Pilih Periksa Nama, berikan kredensial untuk Active Directory lokal, lalu pilih OK.

   Nota

   Anda harus memberikan kredensial karena hubungan kepercayaan hanya satu cara. Ini berarti pengguna dari domain terkelola Domain Services tidak dapat mengakses sumber daya atau mencari pengguna atau grup di domain tepercaya (lokal).

9. Grup Pengguna Domain dari Direktori Aktif lokal Anda harus menjadi anggota grup FileServerAccess. Pilih OK untuk menyimpan grup dan menutup jendela.

Membuat berbagi file untuk akses lintas forest

1. Pada VM Windows Server yang tergabung dengan forest Domain Services, buat folder dan beri nama seperti CrossForestShare.
2. Pilih kanan folder dan pilih properti .
3. Pilih tab Keamanan, lalu pilih Edit.
4. Dalam kotak dialog Izin untuk CrossForestShare, pilih Tambahkan.
5. Ketik FileServerAccess di Masukkan nama objek untuk memilih, lalu pilih OK.
6. Pilih FileServerAccess dari daftar Grup atau nama pengguna. Dalam daftar Izin untuk FileServerAccess, pilih Izinkan untuk izin Ubah dan Tulis, lalu pilih OK.
7. Pilih tab Berbagi, lalu pilih Berbagi Tingkat Lanjut ….
8. Pilih Bagikan folder ini, lalu masukkan nama yang mudah diingat untuk berbagi file di Nama berbagi seperti CrossForestShare.
9. Pilih Izin. Di daftar Izin untuk Semua Orang, pilih Izinkan untuk izin Perubahan.
10. Pilih OK dua kali lalu Tutup.

Validasi autentikasi lintas-hutan pada sumber daya

1. Masuk ke komputer Windows yang bergabung ke Active Directory lokal Anda menggunakan akun pengguna dari Active Directory lokal Anda.

2. Menggunakan Windows Explorer, sambungkan ke share yang Anda buat dengan menggunakan nama host lengkap yang memenuhi syarat dan share seperti \\fs1.aaddscontoso.com\CrossforestShare.

3. Untuk memvalidasi izin tulis, pilih kanan di folder, pilih New, lalu pilih Text Document. Gunakan nama default Dokumen Teks Baru.

   Jika izin tulis diatur dengan benar, dokumen teks baru dibuat. Selesaikan langkah-langkah berikut untuk membuka, mengedit, dan menghapus file yang sesuai.

4. Untuk memvalidasi izin baca, buka Dokumen Teks Baru.

5. Untuk memvalidasi izin modifikasi, tambahkan teks ke file dan tutup Notepad. Ketika diminta untuk menyimpan perubahan, pilih Simpan.

6. Untuk memvalidasi izin penghapusan, pilih kanan Dokumen Teks Baru dan pilih Hapus. Pilih Ya untuk mengonfirmasi penghapusan file.

Langkah berikutnya

Dalam tutorial ini, Anda belajar cara:

• Mengonfigurasi DNS di lingkungan AD DS lokal untuk mendukung konektivitas Layanan Domain
• Membuat trust hutan satu arah masuk di lingkungan AD DS di tempat
• Buatlah kepercayaan terarah satu arah keluar pada Kepercayaan Hutan di Layanan Domain
• Menguji dan memvalidasi hubungan kepercayaan untuk autentikasi dan akses sumber daya

Untuk informasi konseptual selengkapnya tentang hutan di Layanan Domain, lihat Bagaimana cara kerja kepercayaan hutan di Layanan Domain?.