Esercitazione: Creare un trust tra foreste bidirezionale in Microsoft Entra Domain Services con un dominio locale

È possibile creare un trust tra foreste tra Microsoft Entra Domain Services e gli ambienti di Active Directory Domain Services locali. La relazione di trust tra foreste consente a utenti, applicazioni e computer di eseguire l'autenticazione in un dominio locale dal dominio gestito di Servizi di dominio. Un trust tra foreste può aiutare gli utenti ad accedere alle risorse in scenari come:

• Ambienti in cui non è possibile sincronizzare gli hash delle password o in cui gli utenti accedono esclusivamente tramite smart card e non conoscono la password.
• Scenari ibridi che richiedono l'accesso ai domini locali.

È possibile scegliere tra tre possibili direzioni quando si crea un trust tra foreste, a seconda del modo in cui gli utenti devono accedere alle risorse. Domain Services supporta solo trust tra foreste. Un trust esterno a un domian figlio in locale non è supportato.

Direzione attendibilità	Accesso utente
Bidirezionale	Consente agli utenti sia nel dominio gestito che nel dominio locale di accedere alle risorse in entrambi i domini.
Uscita unidirezionale	Consente agli utenti nel dominio locale di accedere alle risorse nel dominio gestito, ma non viceversa.
Ingresso unidirezionale	Consente agli utenti nel dominio gestito di accedere alle risorse nel dominio locale.

In questa esercitazione apprenderai a:

• Configurare DNS in un dominio di Active Directory Domain Services locale per supportare la connettività di Domain Services
• Creare un trust tra foreste bidirezionali tra il dominio gestito e il dominio locale
• Testare e convalidare la relazione di trust tra foreste per l'autenticazione e l'accesso alle risorse

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Dominio gestito di Servizi di dominio configurato con un nome di dominio DNS personalizzato e un certificato SSL valido.
  • Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• Un dominio Active Directory locale raggiungibile dal dominio gestito tramite una connessione VPN o ExpressRoute.
• Ruoli Amministrazione istrator e gruppi Amministrazione istrator di Microsoft Entra nel tenant per modificare un'istanza di Servizi di dominio.
• Un account di dominio Amministrazione nel dominio locale che dispone delle autorizzazioni per creare e verificare le relazioni di trust.

Importante

È necessario usare almeno lo SKU Enterprise per il dominio gestito. Se necessario, cambiare lo SKU di un dominio gestito.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione viene creato e configurato il trust tra foreste in uscita da Servizi di dominio usando l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere prima all'interfaccia di amministrazione di Microsoft Entra.

Considerazioni sulla rete

La rete virtuale che ospita la foresta di Servizi di dominio richiede una connessione VPN o ExpressRoute al Active Directory locale. Le applicazioni e i servizi necessitano anche della connettività di rete alla rete virtuale che ospita la foresta di Servizi di dominio. La connettività di rete alla foresta di Servizi di dominio deve essere sempre attiva e stabile; in caso contrario, gli utenti potrebbero non eseguire l'autenticazione o l'accesso alle risorse.

Prima di configurare un trust tra foreste in Servizi di dominio, assicurarsi che la rete tra Azure e l'ambiente locale soddisfi i requisiti seguenti:

• Assicurarsi che le porte del firewall consentano il traffico necessario per creare e usare un trust. Per altre informazioni sulle porte da aprire per l'uso di un trust, vedere Configurare le impostazioni del firewall per i trust di Active Directory Domain Services.
• Usare indirizzi IP privati. Non basarsi sul protocollo DHCP con l'assegnazione di indirizzi IP dinamici.
• Evitare la sovrapposizione degli spazi indirizzi IP per consentire il peering di reti virtuali e il routing per la comunicazione corretta tra Azure e l'ambiente locale.
• Una rete virtuale di Azure richiede una subnet del gateway per configurare una connessione VPN da sito a sito di Azure (S2S) o ExpressRoute .
• Creare subnet con un numero di indirizzi IP sufficiente per supportare lo scenario.
• Assicurarsi che Domain Services abbia una subnet specifica, non condividere questa subnet di rete virtuale con le macchine virtuali e i servizi dell'applicazione.
• Le reti virtuali con peering NON sono transitive.
  • I peering di rete virtuale di Azure devono essere creati tra tutte le reti virtuali che si vuole usare l'attendibilità della foresta di Servizi di dominio Domain Services per l'ambiente di Active Directory Domain Services locale.
• Fornire connettività di rete continua alla foresta Active Directory locale. Non usare connessioni su richiesta.
• Assicurarsi che sia presente una risoluzione continua dei nomi DNS tra il nome della foresta di Servizi di dominio e il nome della foresta Active Directory locale.

Configurare il DNS nel dominio locale

Per risolvere correttamente il dominio gestito dall'ambiente locale, può essere necessario aggiungere server d'inoltro ai server DNS esistenti. Per configurare l'ambiente locale per comunicare con il dominio gestito, completare i passaggi seguenti da una workstation di gestione per il dominio di Active Directory Domain Services locale:

1. Selezionare Avvia> Amministrazione DNS strumentistrativi.>

2. Selezionare la zona DNS, ad esempio aaddscontoso.com.

3. Selezionare Server d'inoltro condizionale, quindi fare clic con il pulsante destro del codice e scegliere Nuovo server d'inoltro condizionale...

4. Immettere l'altro dominio DNS, ad esempio contoso.com, quindi immettere gli indirizzi IP dei server DNS per tale spazio dei nomi, come illustrato nell'esempio seguente:

   

5. Selezionare la casella Archivia questo server d'inoltro condizionale in Active Directory e replicarlo come indicato di seguito, quindi selezionare l'opzione Tutti i server DNS in questo dominio, come illustrato nell'esempio seguente:

   

   Importante

   Se il server d'inoltro condizionale viene archiviato nella foresta anziché nel dominio, il server d'inoltro condizionale ha esito negativo.

6. Per creare il server d'inoltro condizionale, selezionare OK.

Creare un trust tra foreste bidirezionale nel dominio locale

Il dominio di Active Directory Domain Services locale richiede un trust tra foreste bidirezionale per il dominio gestito. Questo trust deve essere creato manualmente nel dominio di Active Directory Domain Services locale; non può essere creato dall'interfaccia di amministrazione di Microsoft Entra.

Per configurare un trust bidirezionale nel dominio di Active Directory Domain Services locale, completare la procedura seguente come dominio Amministrazione da una workstation di gestione per il dominio di Active Directory Domain Services locale:

1. Selezionare Start Amministrazione istrative Tools Dominio di Active Directory s and Trusts (Strumenti>> Dominio di Active Directory e trust.
2. Fare clic con il pulsante destro del mouse sul dominio, ad esempio onprem.contoso.com, quindi scegliere Proprietà.
3. Scegliere la scheda Trusts (Attendibilità ) e quindi New Trust (Nuovo trust).
4. Immettere il nome di dominio di Domain Services, ad esempio aaddscontoso.com, quindi selezionare Avanti.
5. Selezionare l'opzione per creare un trust tra foreste e quindi creare un trust bidirezionale .
6. Scegliere di creare il trust per Solo questo dominio. Nel passaggio successivo si crea l'attendibilità nell'interfaccia di amministrazione di Microsoft Entra per il dominio gestito.
7. Scegliere di usare l'Autenticazione estesa a tutta la foresta, quindi immettere e confermare una password del trust. Questa stessa password viene immessa anche nell'interfaccia di amministrazione di Microsoft Entra nella sezione successiva.
8. Per le finestre successive lasciare le opzioni predefinite, quindi scegliere l'opzione No, non confermare il trust in uscita.
9. Selezionare Fine.

Se il trust tra foreste non è più necessario per un ambiente, completare i passaggi seguenti come dominio Amministrazione per rimuoverlo dal dominio locale:

1. Selezionare Start Amministrazione istrative Tools Dominio di Active Directory s and Trusts (Strumenti>> Dominio di Active Directory e trust.
2. Fare clic con il pulsante destro del mouse sul dominio, ad esempio onprem.contoso.com, quindi scegliere Proprietà.
3. Scegliere la scheda Attendibilità , quindi Domini che considerano attendibile il dominio (trust in ingresso), fare clic sul trust da rimuovere e quindi fare clic su Rimuovi.
4. Nella scheda Attendibilità, in Domini attendibili da questo dominio (trust in uscita) fare clic sull'attendibilità da rimuovere e quindi su Rimuovi.
5. Fare clic su No, rimuovere l'attendibilità solo dal dominio locale.

Creare un trust tra foreste bidirezionale in Servizi di dominio

Per creare l'attendibilità bidirezionale per il dominio gestito nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Servizi di dominio Microsoft Entra, quindi selezionare il dominio gestito, ad esempio aaddscontoso.com.

2. Nel menu sul lato sinistro del dominio gestito selezionare Trust, quindi scegliere + Aggiungi per aggiungere un trust.

3. Selezionare Bidirezionale come direzione di attendibilità.

4. Immettere un nome visualizzato che identifichi il trust, quindi il nome DNS della foresta attendibile locale, ad esempio onprem.contoso.com.

5. Specificare la stessa password di attendibilità usata per configurare il trust tra foreste in ingresso per il dominio di Active Directory Domain Services locale nella sezione precedente.

6. Specificare almeno due server DNS per il dominio di Active Directory Domain Services locale, ad esempio 10.1.1.4 e 10.1.1.5.

7. Quando si è pronti, salvare il trust tra foreste in uscita.

   

Se il trust tra foreste non è più necessario per un ambiente, completare i passaggi seguenti per rimuoverlo da Servizi di dominio:

1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Servizi di dominio Microsoft Entra, quindi selezionare il dominio gestito, ad esempio aaddscontoso.com.
2. Dal menu sul lato sinistro del dominio gestito selezionare Trust, scegliere l'attendibilità e fare clic su Rimuovi.
3. Specificare la stessa password di attendibilità usata per configurare l'attendibilità della foresta e fare clic su OK.

Convalidare l'autenticazione delle risorse

Gli scenari comuni seguenti consentono di verificare che il trust tra foreste esegua correttamente l'autenticazione degli utenti e l'accesso alle risorse:

• Autenticazione utente locale dalla foresta di Servizi di dominio
• Accedere alle risorse nella foresta di Servizi di dominio usando l'utente locale
  • Abilitare la condivisione di file e stampanti
  • Creare un gruppo di sicurezza e aggiungere membri
  • Creare una condivisione file per l'accesso tra foreste
  • Convalidare l'autenticazione tra foreste a una risorsa

Autenticazione utente locale dalla foresta di Servizi di dominio

È necessario che la macchina virtuale Windows Server sia stata aggiunta al dominio gestito. Usare questa macchina virtuale per verificare che l'utente locale possa eseguire l'autenticazione in una macchina virtuale. Se necessario, creare una macchina virtuale Windows e aggiungerla al dominio gestito.

1. Connessione alla macchina virtuale Windows Server aggiunta alla foresta di Servizi di dominio tramite Azure Bastion e le credenziali di amministratore di Servizi di dominio.

2. Aprire un prompt dei comandi e usare il comando whoami per visualizzare il nome distinto dell'utente attualmente autenticato:

   whoami /fqdn
   

3. Usare il comando runas per eseguire l'autenticazione come utente dal dominio locale. Nel comando seguente sostituire userUpn@trusteddomain.com con il nome dell'entità utente di un utente dal dominio locale attendibile. Il comando richiede l'immissione della password dell'utente:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Se l'autenticazione ha esito positivo, verrà aperto un nuovo prompt dei comandi. Il titolo del nuovo prompt dei comandi include running as userUpn@trusteddomain.com.

5. Usare whoami /fqdn nel nuovo prompt dei comandi per visualizzare il nome distinto dell'utente autenticato da Active Directory locale.

Accedere alle risorse nella foresta di Servizi di dominio usando l'utente locale

Dalla macchina virtuale Windows Server aggiunta alla foresta di Servizi di dominio è possibile testare gli scenari. Ad esempio, è possibile verificare se un utente che accede al dominio locale può accedere alle risorse nel dominio gestito. Gli esempi seguenti illustrano scenari di test comuni.

Abilitare la condivisione di file e stampanti

1. Connessione alla macchina virtuale Windows Server aggiunta alla foresta di Servizi di dominio tramite Azure Bastion e le credenziali di amministratore di Servizi di dominio.

2. Aprire Windows Impostazioni.

3. Cercare e selezionare Centro connessioni di rete e condivisione.

4. Scegliere l'opzione per Modifica impostazioni di condivisione avanzate.

5. In Profilo di dominio selezionare Attiva condivisione file e stampanti e quindi Salva modifiche.

6. Chiudere Centro connessioni di rete e condivisione.

Creare un gruppo di sicurezza e aggiungere membri

1. Aprire Utenti e computer di Active Directory.

2. Fare clic con il pulsante destro del mouse sul nome di dominio, scegliere Nuovo, quindi selezionare Unità organizzativa.

3. Nella casella del nome digitare LocalObjects e quindi selezionare OK.

4. Scegliere e fare clic con il pulsante destro del mouse su LocalObjects nel riquadro di spostamento. Scegliere Nuovo e quindi Gruppo.

5. Digitare FileServerAccess nella casella Nome gruppo. Per Ambito gruppo selezionare Locale dominio, quindi scegliere OK.

6. Nel riquadro del contenuto fare doppio clic su FileServerAccess. Selezionare Membri, scegliere Aggiungi, quindi selezionare Percorsi.

7. Selezionare l'istanza di Active Directory locale dalla visualizzazione Percorsi, quindi scegliere OK.

8. Digitare Utenti del dominio nella casella Immettere i nomi degli oggetti da selezionare. Selezionare Controlla nomi, fornire le credenziali per l'istanza di Active Directory locale, quindi selezionare OK.

   Nota

   È necessario fornire le credenziali perché la relazione di trust è unidirezionale. Ciò significa che gli utenti del dominio gestito di Servizi di dominio non possono accedere alle risorse o cercare utenti o gruppi nel dominio attendibile (locale).

9. Il gruppo Utenti del dominio dell'istanza di Active Directory locale deve essere membro del gruppo FileServerAccess. Selezionare OK per salvare il gruppo e chiudere la finestra.

Creare una condivisione file per l'accesso tra foreste

1. Nella macchina virtuale Windows Server aggiunta alla foresta di Servizi di dominio creare una cartella e specificare il nome, ad esempio CrossForestShare.
2. Fare clic con il pulsante destro del mouse sulla nuova cartella e scegliere Proprietà.
3. Selezionare la scheda Sicurezza e quindi scegliere Modifica.
4. Nella finestra di dialogo Autorizzazioni per CrossForestShare selezionare Aggiungi.
5. Digitare FileServerAccess in Immettere i nomi degli oggetti da selezionare, quindi selezionare OK.
6. Selezionare FileServerAccess dall'elenco Gruppi o nomi utente. Nell'elenco Autorizzazioni per FileServerAccess scegliere Consenti per le autorizzazioni di modifica e scrittura, quindi selezionare OK.
7. Selezionare la scheda Condivisione, quindi scegliere Condivisione avanzata...
8. Scegliere Condividi la cartella, quindi immettere un nome facile da ricordare per la condivisione file in Nome condivisione, ad esempio CrossForestShare.
9. Selezionare Autorizzazioni. Nell'elenco Autorizzazioni per Everyone scegliere Consenti per l'autorizzazione Modifica.
10. Selezionare OK due volte e quindi Chiudi.

Convalidare l'autenticazione tra foreste a una risorsa

1. Accedere a un computer Windows aggiunto all'istanza di Active Directory locale usando un account utente di Active Directory locale.

2. Con Esplora risorse connettersi alla condivisione creata usando il nome host completo e la condivisione, ad esempio \\fs1.aaddscontoso.com\CrossforestShare.

3. Per convalidare l'autorizzazione di scrittura, fare clic con il pulsante destro del mouse sulla cartella, scegliere Nuovo e quindi selezionare Documento di testo. Usare il nome predefinito Nuovo documento di testo.

   Se le autorizzazioni di scrittura sono impostate correttamente, verrà creato un nuovo documento di testo. Completare i passaggi seguenti per aprire, modificare ed eliminare il file in base alle esigenze.

4. Per convalidare l'autorizzazione di lettura, aprire il Nuovo documento di testo.

5. Per convalidare l'autorizzazione di modifica, aggiungere testo al file e chiudere Blocco note. Quando viene richiesto di salvare le modifiche, scegliere Salva.

6. Per convalidare l'autorizzazione di eliminazione, fare clic con il pulsante destro del mouse su Nuovo documento di testo e scegliere Elimina. Scegliere Sì per confermare l'eliminazione del file.

Passaggi successivi

Questa esercitazione ha descritto come:

• Configurare DNS in un ambiente di Active Directory Domain Services locale per supportare la connettività di Domain Services
• Creare un trust tra foreste in ingresso unidirezionale in un ambiente Active Directory Domain Services locale
• Creare un trust tra foreste in uscita unidirezionale in Servizi di dominio
• Testare e convalidare la relazione di trust per l'autenticazione e l'accesso alle risorse

Per altre informazioni concettuali sulla foresta in Servizi di dominio, vedere Come funzionano i trust tra foreste in Servizi di dominio?.