Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra Domain Services offre servizi di dominio gestiti, ad esempio aggiunta a un dominio, criteri di gruppo, LDAP e autenticazione Kerberos/NTLM, completamente compatibili con Windows Server Active Directory. Con un dominio gestito di Servizi di dominio, è possibile fornire funzionalità di aggiunta al dominio e gestione alle macchine virtuali (VM) in Azure. Questa esercitazione illustra come creare una macchina virtuale Windows Server e quindi aggiungerla a un dominio gestito.
In questa esercitazione apprenderai a:
- Creare una macchina virtuale Windows Server
- Connettere la macchina virtuale Windows Server a una rete virtuale di Azure
- Aggiungere la macchina virtuale al dominio gestito
Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.
Prerequisiti
Per completare l'esercitazione, sono necessarie le risorse seguenti:
- Una sottoscrizione di Azure attiva.
- Se non si ha una sottoscrizione di Azure, creare un account.
- Un tenant di Microsoft Entra associato alla tua sottoscrizione, sincronizzato sia con una directory locale sia con una directory solo cloud.
- Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
- Un account utente che fa parte del dominio gestito.
- Assicurarsi che sia stata eseguita la sincronizzazione dell'hash delle password di Microsoft Entra Connect o la reimpostazione della password self-service in modo che l'account sia in grado di accedere al dominio gestito.
- Un host Azure Bastion distribuito nella rete virtuale di Domain Services.
- Se necessario, creare un host Azure Bastion.
Se si ha già una macchina virtuale a cui si vuole aggiungere un dominio, passare alla sezione per aggiungere la macchina virtuale al dominio gestito.
Accedere al portale di Azure
In questa esercitazione si crea una macchina virtuale Windows Server da aggiungere al dominio gestito usando il portale di Azure. Per iniziare, accedere prima al portale di Azure .
creare una macchina virtuale Windows Server
Per vedere come aggiungere un computer a un dominio gestito, verrà creata una VM Windows Server. Questa VM è connessa a una rete virtuale di Azure che fornisce la connettività al dominio gestito. La procedura di aggiunta a un dominio gestito è uguale a quella per un normale dominio di Active Directory Domain Services locale.
Se si ha già una macchina virtuale a cui si vuole aggiungere un dominio, passare alla sezione per aggiungere la macchina virtuale al dominio gestito.
Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.
Sotto Macchina virtuale fare clic su Crea.
Nella finestra Informazioni di base configurare queste impostazioni per la macchina virtuale. Usare i valori predefiniti per altre opzioni.
Parametro Valore suggerito Gruppo di risorse Selezionare o creare un gruppo di risorse, ad esempio myResourceGroup Nome della macchina virtuale Immettere un nome per la macchina virtuale, ad esempio myVM Regione Scegliere l'area in cui creare la macchina virtuale, ad esempio Stati Uniti orientali Immagine Scegliere una versione di Windows Server Nome utente Immettere un nome utente per l'account amministratore locale da creare nella macchina virtuale, ad esempio azureuser Parola chiave Immettere e confermare una password sicura per l'amministratore locale da creare nella macchina virtuale. Non specificare le credenziali di un account utente di dominio. Windows LAPS non è supportato. Per impostazione predefinita, le macchine virtuali create in Azure sono accessibili da Internet tramite il protocollo RDP. Quando RDP è abilitato, è probabile che si verifichino attacchi di accesso automatizzati, che possono disabilitare gli account con nomi comuni, ad esempio amministratore o amministratore , a causa di più tentativi di accesso successivi non riusciti.
Il protocollo RDP deve essere abilitato solo quando necessario e limitato a un set di intervalli di indirizzi IP autorizzati. Questa configurazione consente di migliorare la sicurezza della macchina virtuale e di ridurre l'area soggetta a potenziali attacchi. In alternativa, creare e usare un host Azure Bastion che consenta l'accesso solo tramite l'interfaccia di amministrazione di Microsoft Entra tramite TLS. Nel passaggio successivo di questa esercitazione si userà un host Azure Bastion per connettersi in modo sicuro alla macchina virtuale.
In Porte in ingresso pubblicheselezionare Nessuno.
Al termine, selezionare Avanti: Dischi.
Dal menu a discesa per tipo di disco del sistema operativo scegliere SSD Standard, quindi selezionare Avanti: Rete.
La VM deve connettersi a una subnet della rete virtuale di Azure in grado di comunicare con la subnet in cui viene distribuito il dominio gestito. È consigliabile distribuire un dominio gestito in una propria subnet dedicata. Non distribuire la macchina virtuale nella stessa subnet del dominio gestito.
Esistono due modi principali per distribuire la macchina virtuale e connettersi a una subnet di rete virtuale appropriata:
- Creare una subnet, o selezionarne una esistente, nella stessa rete virtuale in cui viene distribuito il dominio gestito.
- Seleziona una subnet in una rete virtuale di Azure che è connessa ad essa utilizzando il peering di rete virtuale di Azure.
Se si seleziona una subnet di rete virtuale non connessa alla subnet del dominio gestito, non è possibile aggiungere la VM al dominio gestito. Per questa esercitazione si creerà una nuova subnet nella rete virtuale di Azure.
Nel riquadro Rete selezionare la rete virtuale in cui viene distribuito il dominio gestito, ad esempio aadds-vnet
In questo esempio viene mostrata la subnet aadds-subnet esistente a cui è connesso il dominio gestito. Non connettere la macchina virtuale a questa subnet. Per creare una subnet per la macchina virtuale, selezionare Gestisci configurazione subnet.
Nel menu a sinistra della finestra della rete virtuale selezionare Spazio indirizzi. La rete virtuale viene creata con un singolo spazio indirizzi 10.0.2.0/24, usato dalla subnet predefinita. Potrebbero esistere anche altre subnet, ad esempio per i carichi di lavoro o Azure Bastion.
Aggiungere un intervallo di indirizzi IP aggiuntivo alla rete virtuale. Le dimensioni di questo intervallo di indirizzi e l'intervallo di indirizzi IP effettivo da usare dipendono dalle altre risorse di rete già distribuite. L'intervallo di indirizzi IP non deve sovrapporsi agli intervalli di indirizzi esistenti nell'ambiente di Azure o in locale. Assicurarsi di scegliere dimensioni dell'intervallo di indirizzi IP sufficienti per il numero di VM che si prevede di distribuire nella subnet.
Nell'esempio seguente viene aggiunto un intervallo di indirizzi IP aggiuntivo di 10.0.5.0/24 . Quando si è pronti, selezionare Salva.
Nel menu a sinistra della finestra della rete virtuale, selezionare Subnets, quindi scegliere + Subnet per aggiungere una subnet.
Selezionare + Subnet, quindi immettere un nome per la subnet, ad esempio la gestione. Specificare un intervallo di indirizzi (blocco CIDR), ad esempio 10.0.5.0/24. Assicurarsi che questo intervallo di indirizzi IP non si sovrapponga ad altri intervalli di indirizzi di Azure o locali esistenti. Lasciare invariate le altre opzioni come valori predefiniti, quindi selezionare OK.
Per la creazione della subnet sono necessari alcuni secondi. Una volta creata, selezionare la X per chiudere la finestra della sottorete.
Nel riquadro Rete per creare una macchina virtuale, scegliere la sottorete creata dal menu a discesa, ad esempio management. Anche in questo caso, assicurarsi di scegliere la subnet corretta e non distribuire la macchina virtuale nella stessa subnet del dominio gestito.
In IP pubblicoselezionare Nessuno dal menu a discesa. Quando si usa Azure Bastion in questa esercitazione per connettersi alla gestione, non è necessario un indirizzo IP pubblico assegnato alla macchina virtuale.
Lasciare invariate le altre opzioni come valori predefiniti, quindi selezionare Gestione.
Impostare Diagnostica di avvio su Disattivato. Lasciare invariate le altre opzioni come valori predefiniti, quindi selezionare Rivedi e crea.
Esaminare le impostazioni della macchina virtuale e quindi selezionare Crea.
La creazione della macchina virtuale richiede alcuni minuti. L'interfaccia di amministrazione di Microsoft Entra mostra lo stato della distribuzione. Quando la macchina virtuale è pronta, selezionare Vai alla risorsa.
Connettersi alla macchina virtuale Windows Server
Per connettersi in modo sicuro alle macchine virtuali, usare un host Azure Bastion. Con Azure Bastion,viene distribuito nella rete virtuale un host gestito che fornisce connessioni RDP o SSH basate sul Web alle macchine virtuali. Per le macchine virtuali non sono necessari indirizzi IP pubblici e non è necessario aprire regole del gruppo di sicurezza di rete per il traffico remoto esterno. Connettersi alle macchine virtuali usando l'interfaccia di amministrazione di Microsoft Entra dal Web browser. Se necessario, creare un host Azure Bastion.
Per usare un host Bastion per connettersi alla macchina virtuale, seguire questa procedura:
Nel riquadro Panoramica per la macchina virtuale selezionare Connetti e quindi Bastion.
Immettere le credenziali per la macchina virtuale specificata nella sezione precedente e quindi selezionare Connetti.
Se necessario, consentire al Web browser di aprire finestre popup per la visualizzazione della connessione Bastion. Per stabilire la connessione con la macchina virtuale sono necessari alcuni secondi.
Aggiungere la macchina virtuale al dominio gestito
Una volta creata la macchina virtuale e dopo aver stabilito una connessione RDP basata sul Web tramite Azure Bastion, si aggiungerà la macchina virtuale Windows Server al dominio gestito. Questa procedura è identica a quella usata per connettere un computer a un normale dominio di Active Directory Domain Services locale.
Se Server Manager non si apre per impostazione predefinita quando si accede alla macchina virtuale, selezionare il menu Start , quindi scegliere Server Manager.
Nel riquadro sinistro della finestra Server Manager selezionare Server locale. In Proprietà nel riquadro destro scegliere Gruppo di lavoro.
Nella finestra Proprietà sistema selezionare Modifica per aggiungere il dominio gestito.
Nella casella Dominio specificare il nome del dominio gestito, ad esempio aaddscontoso.com, quindi selezionare OK.
Immettere le credenziali di dominio per l'aggiunta al dominio. Fornire le credenziali di un utente che fa parte del dominio gestito. L'account deve far parte del dominio gestito o del tenant di Microsoft Entra: gli account delle directory esterne associate al tenant di Microsoft Entra non possono eseguire correttamente l'autenticazione durante il processo di aggiunta al dominio.
Le credenziali dell'account possono essere specificate in uno dei modi seguenti:
-
Formato UPN (scelta consigliata): inserire il suffisso del nome principale utente (UPN) per l'account utente, come configurato in Microsoft Entra ID. Ad esempio, il suffisso UPN dell'utente contosoadmin sarà
contosoadmin@aaddscontoso.onmicrosoft.com. Esistono alcuni casi d'uso comuni in cui il formato UPN può essere usato in modo affidabile per accedere al dominio anziché il formato SAMAccountName :- Se il prefisso UPN di un utente è lungo, ad esempio deehasareallylongname, è possibile che SAMAccountName venga generato automaticamente.
- Se più utenti hanno lo stesso prefisso UPN nel tenant di Microsoft Entra, ad esempio dee, il formato SAMAccountName potrebbe essere generato automaticamente.
-
Formato SAMAccountName : immettere il nome dell'account nel formato SAMAccountName . Ad esempio, samAccountName dell'utente contosoadmin sarà
AADDSCONTOSO\contosoadmin.
-
Formato UPN (scelta consigliata): inserire il suffisso del nome principale utente (UPN) per l'account utente, come configurato in Microsoft Entra ID. Ad esempio, il suffisso UPN dell'utente contosoadmin sarà
L'aggiunta al dominio gestito richiede alcuni secondi. Al termine dell'operazione, viene visualizzato il seguente messaggio di benvenuto nel dominio:
Selezionare OK per continuare.
Per completare la procedura di aggiunta al dominio gestito, riavviare la macchina virtuale.
Suggerimento
È possibile aggiungere una macchina virtuale a un dominio usando PowerShell con il cmdlet Add-Computer . L'esempio seguente aggiunge il dominio AADDSCONTOSO e quindi riavvia la macchina virtuale. Quando richiesto, immettere le credenziali di un utente che fa parte del dominio gestito:
Add-Computer -DomainName AADDSCONTOSO -Restart
Per aggiungere una macchina virtuale senza connettersi e configurare manualmente la connessione, è possibile usare il cmdlet Set-AzVmAdDomainExtension di Azure PowerShell.
Dopo il riavvio della macchina virtuale Windows Server, i criteri applicati nel dominio gestito verranno inviati tramite push nella macchina virtuale. È ora possibile accedere alla macchina virtuale Windows Server VM anche usando le credenziali di dominio appropriate.
Pulire le risorse
Nell'esercitazione successiva questa VM Windows Server verrà usata per installare gli strumenti di gestione che consentono di amministrare il dominio gestito. Se non si vuole continuare in questa serie di esercitazioni, esaminare i passaggi di pulizia seguenti per eliminare la macchina virtuale. In caso contrario, continuare con l'esercitazione successiva.
Rimuovere la VM dal dominio gestito
Per rimuovere la macchina virtuale dal dominio gestito, seguire di nuovo la procedura per aggiungere la macchina virtuale a un dominio. Anziché aggiungere il dominio gestito, scegliere di aggiungere un gruppo di lavoro, ad esempio il WORKGROUP predefinito. Dopo il riavvio della macchina virtuale, l'oggetto computer viene rimosso dal dominio gestito.
Se si elimina la macchina virtuale senza scollegarsi dal dominio, rimane un oggetto computer orfano nei servizi di dominio.
Eliminare la macchina virtuale
Se non si intende più usare la macchina virtuale Windows Server, eliminarla seguendo questa procedura:
- Nel menu a sinistra selezionare Gruppi di risorse
- Scegliere il gruppo di risorse, ad esempio myResourceGroup.
- Scegliere la macchina virtuale, ad esempio myVM, quindi selezionare Elimina. Selezionare Sì per confermare l'eliminazione della risorsa. Per l'eliminazione della macchina virtuale sono necessari alcuni minuti.
- Quando la macchina virtuale viene eliminata, selezionare il disco del sistema operativo, la scheda di interfaccia di rete e tutte le altre risorse con il prefisso myVM- ed eliminarle.
Risolvere i problemi relativi alla connessione al dominio
La macchina virtuale Windows Server dovrebbe essere aggiunta al dominio gestito nello stesso modo in cui un normale computer locale viene aggiunto a un dominio di Active Directory Domain Services. Se la macchina virtuale Windows Server non può essere aggiunta al dominio gestito, significa che si è verificato un problema di connettività o di credenziali. Vedere le sezioni di risoluzione dei problemi riportate di seguito per aggiungere correttamente la macchina virtuale al dominio gestito.
Problemi di connettività
Se non viene visualizzato un messaggio di richiesta di credenziali per l'aggiunta al dominio, significa che si è verificato un problema di connettività. La macchina virtuale non riesce a raggiungere il dominio gestito nella rete virtuale.
Dopo aver provato ognuno di questi passaggi di risoluzione dei problemi, provare ad aggiungere di nuovo la macchina virtuale Windows Server al dominio gestito.
- Verificare che la macchina virtuale sia connessa alla stessa rete virtuale in cui è abilitato Domain Services o che disponga di una connessione di rete con peering.
- Provare a effettuare il ping del nome DNS del dominio gestito, ad esempio
ping aaddscontoso.com.- Se la richiesta ping ha esito negativo, provare a effettuare il ping degli indirizzi IP per il dominio gestito, ad esempio
ping 10.0.0.4. L'indirizzo IP per l'ambiente viene visualizzato nella pagina Proprietà quando si seleziona il dominio gestito dall'elenco di risorse di Azure. - Se si riesce a effettuare il ping dell'indirizzo IP ma non del dominio, la configurazione del server DNS potrebbe non essere valida. Verificare che gli indirizzi IP del dominio gestito siano configurati come server DNS per la rete virtuale.
- Se la richiesta ping ha esito negativo, provare a effettuare il ping degli indirizzi IP per il dominio gestito, ad esempio
- Provare a scaricare la cache del resolver DNS sulla macchina virtuale usando il comando
ipconfig /flushdns.
Problemi correlati alle credenziali
Se si riceve la richiesta di immettere credenziali per l'aggiunta al dominio ma dopo averle immesse si riceve un errore, la VM è in grado di connettersi al dominio gestito, Tuttavia, le credenziali fornite non consentono alla VM di unirsi al dominio gestito.
Dopo aver provato ognuno di questi passaggi di risoluzione dei problemi, provare ad aggiungere di nuovo la macchina virtuale Windows Server al dominio gestito.
- Assicurarsi che l'account utente specificato appartenga al dominio gestito.
- Verificare che l'account faccia parte del dominio gestito o del tenant di Microsoft Entra. Gli account provenienti da directory esterne associate al tenant di Microsoft Entra non possono eseguire correttamente l'autenticazione durante il processo di aggiunta al dominio.
- Provare a usare il formato UPN per specificare le credenziali, ad esempio
contosoadmin@aaddscontoso.onmicrosoft.com. Se nel tenant sono presenti molti utenti con lo stesso prefisso UPN o se il prefisso UPN è troppo lungo, è possibile che venga generato automaticamente samAccountName per l'account. In questi casi, il formato SAMAccountName per l'account potrebbe essere diverso da quello previsto o usato nel dominio locale. - Verificare di aver abilitato la sincronizzazione delle password nel dominio gestito. Senza questo passaggio di configurazione, gli hash delle password richiesti non saranno presenti nel dominio gestito per autenticare correttamente il tentativo di accesso.
- Attendere il completamento della sincronizzazione delle password. Quando la password di un account utente viene modificata, una sincronizzazione automatica in background da Microsoft Entra ID aggiorna la password in Servizi di dominio. La disponibilità della password per l'aggiunta a un dominio richiede tempo.
Passaggi successivi
In questo tutorial, hai imparato come:
- Creare una macchina virtuale Windows Server
- Connettersi alla macchina virtuale Windows Server in una rete virtuale di Azure
- Aggiungere la macchina virtuale al dominio gestito
Per amministrare il dominio gestito, configurare una macchina virtuale di gestione usando il Centro di amministrazione di Active Directory.