Deze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LDAP, Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory. Met een beheerd domein van Domain Services kunt u functies voor domeindeelname en beheer bieden aan virtuele machines (VM's) in Azure. In deze zelfstudie ziet u hoe u een Windows Server-VM maakt en deze vervolgens toevoegt aan een beheerd domein.
In deze zelfstudie leert u het volgende:
Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.
Voor het voltooien van deze zelfstudie hebt u de volgende resources nodig:
Als u al een virtuele machine hebt die u lid wilt maken van een domein, slaat u de sectie over en voegt u de virtuele machine toe aan het beheerde domein.
In deze zelfstudie maakt u een Windows Server-VM om deel te nemen aan uw beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrum om aan de slag te gaan.
We gaan een virtuele Windows Server-machine maken om te tonen hoe u een computer kunt toevoegen aan een beheerd domein. Deze VM is verbonden met een virtueel Azure-netwerk dat verbinding maakt met het beheerde domein. Het proces om lid te worden van een beheerd domein is hetzelfde als het lid worden van een gewoon on-premises Active Directory Domain Services-domein.
Als u al een virtuele machine hebt die u lid wilt maken van een domein, slaat u de sectie over en voegt u de virtuele machine toe aan het beheerde domein.
Selecteer een resource maken in het menu van het Microsoft Entra-beheercentrum of op de startpagina.
Klik onder Virtuele machine op Maken.
Configureer deze instellingen voor de virtuele machine in het venster Basisbeginselen . Gebruik de standaardwaarden voor andere opties.
| Parameter | Voorgestelde waarde |
|---|---|
| Resourcegroep | Selecteer of maak een resourcegroep zoals myResourceGroup |
| Virtual machine name | Voer een naam in voor de VM, zoals myVM |
| Regio | Kies de regio waar u uw VM wilt maken, zoals US - oost |
| Afbeelding | Een Windows Server-versie kiezen |
| Username | Voer een gebruikersnaam, zoals azureuser, in voor het account van de lokale beheerder om items op de VM te maken |
| Wachtwoord | Voer een veilig wachtwoord in voor de lokale beheerder om items op de VM te maken, en bevestig dit. Geef geen referenties op voor een account van domeingebruikers. Windows LAPS wordt niet ondersteund. |
Virtuele machines die in Azure worden gemaakt, zijn standaard toegankelijk via internet met behulp van RDP. Als RDP is ingeschakeld, worden er waarschijnlijk geautomatiseerde aanmeldingsaanvallen uitgevoerd, waardoor accounts met algemene namen, zoals admin of beheerder, mogelijk worden uitgeschakeld als gevolg van meerdere mislukte opeenvolgende aanmeldingspogingen.
RDP moet alleen worden ingeschakeld als dit vereist is, en moet worden beperkt tot een reeks geautoriseerde IP-bereiken. Met deze configuratie wordt de beveiliging van de virtuele machine verbeterd en wordt het gebied voor mogelijke aanvallen verminderd. U kunt ook een Azure Bastion-host maken en gebruiken die alleen toegang via het Microsoft Entra-beheercentrum via TLS toestaat. In de volgende stap van deze zelfstudie gebruikt u een Azure Bastion-host om veilig verbinding te maken met de virtuele machine.
Bij Openbare poorten voor inkomend verkeer selecteert u Geen.
Wanneer u klaar bent, selecteert u Volgende: Schijven.
Kies Standard SSD in de vervolgkeuzelijst voor het type besturingssysteemschijf en selecteer vervolgens Volgende: Netwerken.
Uw virtuele machine moet verbinding maken met een subnet van het virtuele Azure-netwerk dat kan communiceren met het subnet waarin uw beheerde domein is geïmplementeerd. Het is raadzaam dat u een beheerd domein hebt geïmplementeerd in een eigen toegewezen subnet. Implementeer uw virtuele machine niet in hetzelfde subnet als uw beheerde domein.
Er zijn twee hoofdmanieren om uw virtuele machine te implementeren en verbinding te laten maken met een geschikt subnet van het virtuele netwerk:
Als u een subnet van een virtueel netwerk selecteert dat niet is verbonden met het subnet voor uw beheerde domein, kunt u de VM niet toevoegen aan het beheerde domein. Voor deze zelfstudie maken we een nieuw subnet in het virtuele Azure-netwerk.
Selecteer in het deelvenster Netwerken het virtuele netwerk waarin uw beheerde domein is geïmplementeerd, zoals aaads-vnet
In dit voorbeeld wordt het bestaande aaads-subnet weergegeven waarmee het beheerde domein is verbonden. Verbind uw virtuele machine niet met dit subnet. Als u een subnet voor de virtuele machine wilt maken, selecteert u Subnetconfiguratie beheren.
Selecteer in het menu aan de linkerkant van het venster Virtueel netwerk Adresruimte. Het virtuele netwerk is gemaakt met één adresruimte van 10.0.2.0/24, dat wordt gebruikt door het standaardsubnet. Andere subnetten, zoals voor workloads of Azure Bastion bestaan mogelijk al.
Voeg een extra IP-adresbereik toe aan het virtuele netwerk. De grootte van dit adresbereik en het daadwerkelijke te gebruiken IP-adresbereik is afhankelijk van andere netwerkresources die al zijn geïmplementeerd. Het IP-adresbereik mag geen overlap vertonen met de bestaande adresbereiken in uw Azure-omgeving of on-premises omgeving. Zorg ervoor dat u het IP-adresbereik voldoende groot hebt gemaakt voor het aantal VM's dat u in het subnet verwacht te implementeren.
In het volgende voorbeeld wordt een extra IP-adresbereik van 10.0.5.0/24 toegevoegd. Selecteer Opslaan wanneer u klaar bent.
Selecteer vervolgens in het menu aan de linkerkant van het venster Virtueel netwerk Subnetten en kies vervolgens + Subnet om een subnet toe te voegen.
Selecteer + Subnet en voer een naam in voor het subnet, zoals beheer. Geef een Adresbereik (CIDR-blok) op, zoals 10.0.5.0/24. Zorg ervoor dat dit IP-adresbereik geen overlap vertoont met andere, bestaande Azure-adresbereiken of on-premises adresbereiken. Houd voor de overige opties de standaardwaarden aan en selecteer daarna OK.
Het duurt een paar seconden voordat het subnet is gemaakt. Zodra het is gemaakt, selecteert u de X om het subnetvenster te sluiten.
Ga terug naar het deelvenster Netwerken om een virtuele machine te maken, kies het subnet dat u hebt gemaakt in de vervolgkeuzelijst, zoals Beheer. Zorg er nogmaals voor dat u het juiste subnet kiest en uw virtuele machine niet in hetzelfde subnet implementeert als uw beheerde domein.
Selecteer Geen in de vervolgkeuzelijst bij Openbaar IP. Wanneer u in deze zelfstudie Azure Bastion gebruikt om verbinding te maken met het beheer, hoeft er geen openbaar IP-adres te zijn toegewezen aan de VM.
Houd voor de overige opties de standaardwaarden aan en selecteer daarna Beheer.
Stel Diagnostische gegevens over opstarten in op Uit. Houd voor de overige opties de standaardwaarden aan, en selecteer daarna Controleren en maken.
Controleer de instellingen van de VM en selecteer vervolgens Maken.
Het duurt een paar minuten om de virtuele machine te maken. In het Microsoft Entra-beheercentrum wordt de status van de implementatie weergegeven. Zodra de VM klaar is, selecteert u Ga naar resource.
Gebruik een Azure Bastion-host om veilig verbinding te maken met uw VM's. Met Azure Bastion wordt een beheerde host geïmplementeerd in uw virtuele netwerk, waarmee wordt voorzien in webgebaseerde RDP- of SSH-verbindingen met VM's. Er zijn geen openbare IP-adressen vereist voor de VM's en u hoeft geen regels voor netwerkbeveiligingsgroepen te openen voor extern verkeer. U maakt verbinding met vm's via het Microsoft Entra-beheercentrum vanuit uw webbrowser. Maak een Azure Bastion-host als dat nodig is.
Als u een Bastion-host wilt gebruiken om verbinding te maken met uw virtuele machine, voert u de volgende stappen uit:
Selecteer in het deelvenster Overzicht voor uw virtuele machine Verbinding maken en vervolgens Bastion.
Voer de referenties in voor uw virtuele machine die u in de vorige sectie hebt opgegeven en selecteer vervolgens Verbinding maken.
Laat, indien nodig, uw webbrowser pop-ups openen voor de weer te geven Bastion-verbinding. Het duurt een paar seconden om de verbinding met uw virtuele machine te maken.
Nu de virtuele machine is gemaakt en een webgebaseerde RDP-verbinding tot stand is gebracht met behulp van Azure Bastion, gaan we nu de Windows Server-VM aan het beheerde domein toevoegen. Het proces is gelijk als die van een computer die verbinding maakt met een gewoon on-premises Active Directory Domain Services-domein.
Als Serverbeheer niet standaard wordt geopend wanneer u zich aanmeldt bij de VM, selecteert u het menu Start en kiest u vervolgens Serverbeheer.
Selecteer in het linkerdeelvenster van het venster Serverbeheer de optie Lokale server. Kies onder Eigenschappen in het rechterdeelvenster Werkgroep.
Selecteer in het venster Systeemeigenschappen Wijzigen om lid te worden van het beheerde domein.
Geef in het vak Domein de naam op van uw beheerde domein, zoals aaddscontoso.com en selecteer vervolgens OK.
Voer de domeinreferenties in om lid te worden van het domein. Geef referenties op voor een gebruiker die deel uitmaakt van het beheerde domein. Het account moet deel uitmaken van het beheerde domein of de Microsoft Entra-tenant: accounts van externe mappen die zijn gekoppeld aan uw Microsoft Entra-tenant, kunnen niet correct worden geverifieerd tijdens het domeindeelnameproces.
U kunt de accountreferenties op een van de volgende manieren opgeven:
contosoadmin@aaddscontoso.onmicrosoft.com. Er zijn een aantal veelvoorkomende use-cases waarbij de UPN-indeling betrouwbaar kan worden gebruikt om u aan te melden bij het domein in plaats van de SAMAccountName-indeling : AADDSCONTOSO\contosoadmin.Het duurt een paar seconden om deze aan het beheerde domein toe te voegen. Wanneer dit is voltooid, wordt u met het volgende bericht welkom geheten bij het domein:
Selecteer OK om door te gaan.
Start de VM opnieuw op om het proces te voltooien om lid te worden van het beheerde domein.
Tip
U kunt een virtuele machine met behulp van PowerShell aan een domein toevoegen met de cmdlet Add-Computer. In het volgende voorbeeld wordt het domein AADDSCONTOSO toegevoegd en wordt de virtuele machine opnieuw opgestart. Voer desgevraagd de referenties in voor een gebruiker die deel uitmaakt van het beheerde domein:
Add-Computer -DomainName AADDSCONTOSO -Restart
Als u een virtuele machine aan een domein wilt toevoegen zonder ermee verbinding te maken en de verbinding handmatig te configureren, kunt u de cmdlet Set-AzVmAdDomainExtension van Azure PowerShell gebruiken.
Zodra de Windows Server-VM opnieuw is opgestart, worden alle beleidsregels die in het beheerde domein worden toegepast naar de VM gepusht. U kunt zich nu ook aanmelden bij de virtuele Windows Server-machine met behulp van de juiste domeinreferenties.
In de volgende zelfstudie gebruikt u deze Windows Server-VM om de beheerprogramma's te installeren waarmee u het beheerde domein kunt beheren. Als u niet wilt doorgaan in deze reeks zelfstudies, raadpleegt u de volgende stappen om de VM te verwijderen. Ga anders verder met de volgende zelfstudie.
Als u de virtuele machine uit het beheerde domein wilt verwijderen, volgt u weer de stappen om de virtuele machine toe te voegen aan een domein. In plaats van deze aan het beheerde domein toe te voegen, kiest u ervoor om deze aan een werkgroep toe te voegen, zoals de standaard WORKGROUP. Nadat de VM opnieuw is opgestart, wordt het computerobject verwijderd uit het beheerde domein.
Als u de virtuele machine verwijdert zonder dat u zich niet aan het domein hoeft te koppelen, blijft er een zwevend computerobject over in Domain Services.
Als u deze Windows Server-VM niet gaat gebruiken, verwijdert u de VM via de volgende stappen:
De Windows Server-VM moet worden toegevoegd aan het beheerde domein, op dezelfde manier als een normale on-premises computer zou worden toegevoegd aan een Active Directory Domain Services domein. Als de Windows Server-VM geen lid kan worden van het beheerde domein, wordt hiermee aangegeven dat er een probleem is met de connectiviteit of met betrekking tot referenties. Raadpleeg de volgende secties voor probleemoplossing om lid te worden van het beheerde domein.
Als u niet wordt om referenties om lid te kunnen worden van het domein, is er een probleem met de verbinding. De VM kan het beheerde domein niet bereiken op het virtuele netwerk.
Probeer, als u elk van deze probleemoplossingsstappen hebt geprobeerd, de Windows Server-VM opnieuw aan het beheerde domein toe te voegen.
ping aaddscontoso.com.
ping 10.0.0.4. Het IP-adres voor uw omgeving wordt weergegeven op de pagina Eigenschappen wanneer u het beheerde domein selecteert in uw lijst met Azure-resources.ipconfig /flushdns-opdracht.Als u wordt gevraagd om referenties voor deelname aan het domein, maar vervolgens een foutmelding wordt weergegeven nadat u deze referenties hebt ingevoerd, kan de virtuele machine verbinding maken met het beheerde domein. Met de referenties die u hebt ingevoerd, kan de VM niet aan het beheerde domein worden toegevoegd.
Probeer, als u elk van deze probleemoplossingsstappen hebt geprobeerd, de Windows Server-VM opnieuw aan het beheerde domein toe te voegen.
contosoadmin@aaddscontoso.onmicrosoft.com. Als er veel gebruikers zijn met hetzelfde UPN-voorvoegsel in uw tenant, of als uw UPN-voorvoegsel te lang is, kan de SAMAccountName voor uw account automatisch worden gegenereerd. In dergelijke gevallen kan de SAMAccountName-indeling voor uw account afwijken van wat u verwacht of gebruikt in uw on-premises domein.In deze zelfstudie heeft u het volgende geleerd:
Als u uw beheerde domein wilt beheren, configureert u een beheer-VM met behulp van het Active Directory-beheercentrum (ADAC).
Training
Module
Hybride identiteit implementeren met Windows Server - Training
Hybride identiteit implementeren met Windows Server
Certificering
Microsoft Gecertificeerd: Windows Server Hybride Beheerder Associate - Certifications
Als hybride beheerder van Windows Server integreert u Windows Server-omgevingen met Azure-services en beheert u Windows Server in on-premises netwerken.
Documentatie
Zelfstudie: Een beheer-VM maken voor Microsoft Entra Domain Services - Microsoft Entra ID
In deze zelfstudie leert u hoe u een virtuele Windows-machine maakt en configureert die u gebruikt voor het beheren van door Microsoft Entra Domain Services beheerd domein.
Zelfstudie: Een door Microsoft Entra Domain Services beheerd domein maken - Microsoft Entra ID
In deze zelfstudie leert u hoe u een door Microsoft Entra Domain Services beheerd domein maakt en configureert met behulp van het Microsoft Entra-beheercentrum.
In deze zelfstudie leert u hoe u een subnet van een virtueel Azure-netwerk of netwerkpeering maakt en configureert voor een door Microsoft Entra Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum.