Zelfstudie: Een vertrouwensrelatie in twee richtingen maken in Microsoft Entra Domain Services met een on-premises domein (preview)

U kunt een forest trust maken tussen Microsoft Entra Domain Services en on-premises AD DS-omgevingen. Met de bosvertrouwensrelatie kunnen gebruikers, toepassingen en computers authenticeren op een on-premises domein vanuit het beheerde domein van de Domain Services of omgekeerd. Een forestvertrouwensrelatie kan gebruikers helpen bij het verkrijgen van toegang tot resources in scenario's zoals:

• Omgevingen waar u wachtwoordhashes niet kunt synchroniseren of waar gebruikers zich exclusief aanmelden met smartcards en hun wachtwoord niet kennen.
• Hybride scenario's waarvoor toegang tot on-premises domeinen is vereist.

U kunt kiezen uit drie mogelijke richtingen wanneer u een forestvertrouwensrelatie maakt, afhankelijk van hoe gebruikers toegang moeten krijgen tot resources. Domain Services ondersteunt alleen bomentrusts. Een externe vertrouwensrelatie met een on-premises dochterdomein wordt niet ondersteund.

Vertrouwensrichting	Gebruikerstoegang
Tweerichtingsrichting (preview)	Hiermee kunnen gebruikers in zowel het beheerde domein als het on-premises domein toegang krijgen tot resources in beide domeinen.
Uitgaand eenrichting	Hiermee kunnen gebruikers in het on-premises domein toegang krijgen tot resources in het beheerde domein, maar niet andersom.
Binnenkomend in één richting (preview)	Hiermee kunnen gebruikers in het beheerde domein toegang krijgen tot resources in het on-premises domein.

In deze zelfstudie leert u het volgende:

• DNS configureren in een on-premises AD DS-domein ter ondersteuning van Domain Services-connectiviteit
• Een tweerichtingsforestvertrouwensrelatie maken tussen het beheerde domein en het on-premises domein
• De vertrouwensrelatie tussen bossen testen en valideren voor authenticatie en toegang tot bronnen.

Als je geen Azure-abonnement hebt, maak dan een account aan voordat je begint.

Voorwaarden

U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:

• Een actief Azure-abonnement.
  • Als u geen Azure-abonnement hebt, kunt u een accountmaken.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, hetzij gesynchroniseerd met een on-premises directory, hetzij een cloud-only directory.
  • Als het nodig is, een Microsoft Entra-tenant maken of een Azure-abonnement aan uw account koppelen.
• Een beheerd domein van Domain Services dat is geconfigureerd met een aangepaste DNS-domeinnaam en een geldig SSL-certificaat.
  • Indien nodig een door Microsoft Entra Domain Services beheerd domeinmaken en configureren.
• Een on-premises Active Directory-domein dat bereikbaar is vanuit het beheerde domein via een VPN- of ExpressRoute-verbinding.
• Application Administrator en Groups Administrator Microsoft Entra-rollen in uw tenant om een Domain Services-exemplaar te wijzigen.
• Een domeinbeheerdersaccount in het on-premises domein met de machtigingen voor het maken en verifiëren van vertrouwensrelaties.

Belangrijk

U moet minimaal Enterprise--SKU gebruiken voor uw beheerde domein. Wijzig indien nodig de SKU voor een beheerd domein.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze handleiding maakt en configureert u de uitgaande forest trust van Domain Services met behulp van het beheercentrum van Microsoft Entra. Meld u eerst aan bij het Microsoft Entra-beheercentrumom aan de slag te gaan.

Aandachtspunten voor netwerken

Het virtuele netwerk dat als host fungeert voor het Domain Services-forest, heeft een VPN- of ExpressRoute-verbinding met uw on-premises Active Directory nodig. Toepassingen en services hebben ook netwerkconnectiviteit nodig met het virtuele netwerk dat als host fungeert voor het Domain Services-forest. Netwerkconnectiviteit met het Domain Services-forest moet altijd ingeschakeld zijn en stabiel zijn, anders kunnen gebruikers mogelijk geen resources verifiëren of openen.

Voordat u een forestvertrouwensrelatie in Domain Services configureert, moet u ervoor zorgen dat uw netwerken tussen Azure en de lokale omgeving aan de volgende vereisten voldoen:

• Zorg ervoor dat firewallpoorten verkeer toestaan dat nodig is om een vertrouwensrelatie te maken en te gebruiken. Zie Firewallinstellingen configureren voor AD DS-vertrouwensrelatiesvoor meer informatie over welke poorten moeten worden geopend voor het gebruik van een vertrouwensrelatie.
• Gebruik privé-IP-adressen. Vertrouw niet op DHCP met dynamische IP-adrestoewijzing.
• Vermijd overlappende IP-adresruimten om peering en routering van virtuele netwerken mogelijk te maken om te communiceren tussen Azure en on-premises.
• Een virtueel Azure-netwerk heeft een gatewaysubnet nodig voor het configureren van een Azure-site-naar-site-VPN- of ExpressRoute--verbinding.
• Maak subnetten met voldoende IP-adressen om uw scenario te ondersteunen.
• Zorg ervoor dat Domain Services een eigen subnet heeft, deel dit subnet van het virtuele netwerk niet met toepassings-VM's en -services.
• Gekoppelde virtuele netwerken zijn NIET transitief.
  • Azure-virtuele netwerkpeerings moeten worden gemaakt tussen alle virtuele netwerken die u wilt gebruiken om de forest-vertrouwensrelatie van Domain Services richting de on-premises AD DS-omgeving in te stellen.
• Zorg voor continue netwerkconnectiviteit met uw on-premises Active Directory-forest. Gebruik geen verbindingen op aanvraag.
• Zorg ervoor dat er continue DNS-naamomzetting is tussen de naam van uw Domain Services-forest en de naam van uw on-premises Active Directory-forest.

DNS configureren in het on-premises domein

Om het beheerde domein correct op te lossen vanuit de on-premises omgeving, moet u mogelijk forwarders toevoegen aan de bestaande DNS-servers. Als u de on-premises omgeving wilt configureren om te communiceren met het beheerde domein, voert u de volgende stappen uit vanaf een beheerwerkstation voor het on-premises AD DS-domein:

1. Selecteer Start>Systeembeheerhulpmiddelen>DNS.

2. Selecteer uw DNS-zone, zoals aaddscontoso.com.

3. Selecteer Voorwaardelijke doorstuurserversen selecteer vervolgens met de rechtermuisknop Nieuwe voorwaardelijke doorstuurserver...

4. Voer uw andere DNS-domein in, zoals contoso.com, en voer vervolgens de IP-adressen van de DNS-servers voor die naamruimte in, zoals wordt weergegeven in het volgende voorbeeld:

   

5. Schakel het selectievakje in voor Deze voorwaardelijke doorstuurserver opslaan in Active Directory en repliceer als volgt. Kies vervolgens de optie voor Alle DNS-servers in dit domein, zoals te zien is in het volgende voorbeeld:

   

   Belangrijk

   Als de voorwaardelijke doorstuurserver is opgeslagen in het forest in plaats van het domein, mislukt de voorwaardelijke doorstuurserver.

6. Als u de voorwaardelijke doorstuurserver wilt maken, selecteert u OK.

Een tweerichtingsforestvertrouwensrelatie maken in het on-premises domein

Het on-premises AD DS-domein heeft een tweerichtingsforestvertrouwensrelatie nodig voor het beheerde domein. Deze vertrouwensrelatie moet handmatig worden gemaakt in het on-premises AD DS-domein; het kan niet worden gemaakt vanuit het Microsoft Entra-beheercentrum.

Als u een tweerichtingsvertrouwensrelatie in het on-premises AD DS-domein wilt configureren, voert u de volgende stappen uit als domeinbeheerder vanaf een beheerwerkstation voor het on-premises AD DS-domein:

1. Selecteer Start>Beheertools>Active Directory-domeinen en -vertrouwen.
2. Klik met de rechtermuisknop op het domein, zoals onprem.contoso.com, en selecteer Eigenschappen.
3. Kies tabblad Vertrouwen, vervolgens Nieuwe vertrouwensrelatie.
4. Voer de naam in voor de Domain Services-domeinnaam, zoals aaddscontoso.com, en selecteer vervolgens Volgende.
5. Selecteer de optie om een Forest-vertrouwensrelatiete maken en kies vervolgens om een tweerichtingsvertrouwensrelatie te maken.
6. Kies ervoor om vertrouwen te creëren voor alleen dit domein. In de volgende stap maakt u de vertrouwensrelatie in het Microsoft Entra-beheercentrum voor het beheerde domein.
7. Kies ervoor om forestbrede verificatie te gebruikenen voer vervolgens een vertrouwenswachtwoord in en bevestig dit. Hetzelfde wachtwoord wordt ook ingevoerd in het Microsoft Entra-beheercentrum in de volgende sectie.
8. Doorloop de volgende vensters met standaardopties en kies vervolgens de optie voor Nee, bevestig geen uitgaande vertrouwensrelatie.
9. Selecteer voltooien.

Als de forest trust niet meer nodig is voor een omgeving, voer dan de volgende stappen uit als domeinbeheerder om deze te verwijderen uit het on-premises domein:

1. Selecteer Start>Systeembeheer>Active Directory Domeinen en Vertrouwen.
2. Klik met de rechtermuisknop op het domein, zoals onprem.contoso.com, en selecteer Eigenschappen.
3. Kies het tabblad Vertrouwen en vervolgens Domeinen die dit domein vertrouwen (binnenkomende vertrouwensrelaties), klik op de vertrouwensrelatie die u wilt verwijderen en klik daarna op Verwijderen.
4. Klik op het tabblad Vertrouwensrelaties onder Domeinen die worden vertrouwd door dit domein (uitgaande vertrouwensrelaties)op de vertrouwensrelatie die u wilt verwijderen en klik vervolgens op Verwijderen.
5. Klik op Nee, verwijder de vertrouwensrelatie alleen uit het lokale domein.

Een tweerichtingsforestvertrouwensrelatie maken in Domain Services

Voer de volgende stappen uit om de tweerichtingsvertrouwensrelatie voor het beheerde domein in het Microsoft Entra-beheercentrum te maken:

1. Zoek en selecteer in het Microsoft Entra-beheercentrum Microsoft Entra Domain Servicesen selecteer vervolgens uw beheerde domein, zoals aaddscontoso.com.

2. Selecteer in het menu aan de linkerkant van het beheerde domein Vertrouwensrelatiesen kies er vervolgens voor om + een vertrouwensrelatie toe te voegen.

3. Selecteer tweerichtings- als vertrouwensrichting.

4. Voer een weergavenaam in waarmee uw vertrouwensrelatie wordt geïdentificeerd en voer vervolgens de dns-naam van het on-premises vertrouwde forest in, zoals onprem.contoso.com.

5. Geef hetzelfde vertrouwenswachtwoord op dat is gebruikt voor het configureren van de inkomende forestvertrouwensrelatie voor het on-premises AD DS-domein in de vorige sectie.

6. Geef ten minste twee DNS-servers op voor het on-premises AD DS-domein, zoals 10.1.1.4 en 10.1.1.5.

7. Wanneer u klaar bent, de uitgaande forestvertrouwensrelatie opslaan.

   

Als de forest trust niet meer nodig is voor een omgeving, voert u de volgende stappen uit om deze te verwijderen van Domain Services:

1. Zoek en selecteer in het Microsoft Entra-beheercentrum Microsoft Entra Domain Servicesen selecteer vervolgens uw beheerde domein, zoals aaddscontoso.com.
2. Selecteer in het menu aan de linkerkant van het beheerde domein Vertrouwensrelaties, kies de vertrouwensrelatie en klik op verwijderen.
3. Geef hetzelfde vertrouwenswachtwoord op dat is gebruikt voor het configureren van de bosvertrouwensrelatie en klik op OK.

Resource-authenticatie valideren

In de volgende veelvoorkomende scenario's kunt u valideren of forest-trusts gebruikers correct authenticeert en toegang biedt tot resources.

• On-premises gebruikersverificatie vanuit het Domain Services-forest
• Toegang tot resources in het Domain Services-forest met behulp van een on-premises gebruiker
  • het delen van bestanden en printers inschakelen
  • Een beveiligingsgroep maken en leden toevoegen
  • Een bestandsshare maken voor toegang tussen forests
  • Cross-forest authenticatie valideren voor resources

On-premises gebruikersverificatie vanuit het Domain Services-forest

U moet beschikken over een virtuele Windows Server-machine die is gekoppeld aan het beheerde domein. Gebruik deze virtuele machine om te testen of uw on-premises gebruiker kan authenticeren op een virtuele machine. Indien nodig een Virtuele Windows-machine maken en deze toevoegen aan het beheerde domein.

1. Maak verbinding met de Windows Server-VM die is gekoppeld aan het Domain Services-forest met behulp van Azure Bastion- en uw Domain Services-beheerdersreferenties.

2. Open een opdrachtprompt en gebruik de opdracht whoami om de distinguished name van de huidige geauthenticeerde gebruiker weer te geven.

   Console

   whoami /fqdn
   

3. Gebruik de opdracht runas om als gebruiker te verifiëren vanuit het on-premises domein. Vervang in de volgende opdracht userUpn@trusteddomain.com door de UPN van een gebruiker uit het vertrouwde on-premises domein. De opdracht vraagt u om het wachtwoord van de gebruiker:

   Console

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Als de verificatie is geslaagd, wordt er een nieuwe opdrachtprompt geopend. De titel van de nieuwe opdrachtprompt bevat running as userUpn@trusteddomain.com.

5. Gebruik whoami /fqdn in de nieuwe opdrachtprompt om de onderscheidende naam van de geverifieerde gebruiker uit de on-premises Active Directory weer te geven.

Toegang tot resources in het Domain Services-forest met behulp van een on-premises gebruiker

Vanuit de Windows Server-VM die is gekoppeld aan het Domain Services-forest, kunt u scenario's testen. U kunt bijvoorbeeld testen of een gebruiker die zich aanmeldt bij het on-premises domein toegang heeft tot resources in het beheerde domein. De volgende voorbeelden hebben betrekking op veelvoorkomende testscenario's.

Bestands- en printerdeling inschakelen

1. Maak verbinding met de Windows Server-VM die is gekoppeld aan het Domain Services-forest met behulp van Azure Bastion- en uw Domain Services-beheerdersreferenties.

2. Open Windows-instellingen.

3. Zoek en selecteer netwerk- en deelcentrum.

4. Kies de optie voor Wijzig geavanceerde instellingen voor delen.

5. Selecteer binnen het Domeinprofielde optie Bestands- en printerdeling inschakelen en klik vervolgens op Wijzigingen opslaan.

6. Sluit netwerk- en deelcentrum.

Een beveiligingsgroep maken en leden toevoegen

1. Open Active Directory Gebruikers en Computers.

2. Selecteer met de rechtermuisknop de domeinnaam, kies Nieuween selecteer vervolgens organisatie-eenheid.

3. Typ in het naamvak LocalObjectsen selecteer OK.

4. Selecteer en klik met de rechtermuisknop op LocalObjects in het navigatiedeelvenster. Selecteer Nieuw en vervolgens Groep.

5. Typ FileServerAccess- in het veld Groepsnaam. Selecteer voor de groepsomvang het lokale domein en kies vervolgens OK.

6. Dubbelklik in het inhoudsvenster op FileServerAccess-. Selecteer leden, kies toevoegen, en selecteer vervolgens locaties.

7. Selecteer uw on-premises Active Directory in de weergave Locatie en kies vervolgens OK.

8. Typ Domeingebruikers in het vak Voer de objectnamen in om te selecteren. Kies Namen controleren, geef referenties op voor de on-premises Active Directory en kies vervolgens OK.

   Notitie

   U moet referenties opgeven omdat de vertrouwensrelatie slechts één manier is. Dit betekent dat gebruikers uit het beheerde domein van Domain Services geen toegang hebben tot bronnen of gebruikers of groepen kunnen zoeken in het vertrouwde (on-premises) domein.

9. De domeingebruikers groep uit uw on-premises Active Directory moet lid zijn van de FileServerAccess-groep. Selecteer OK om de groep op te slaan en het venster te sluiten.

Een bestandsshare maken voor toegang tussen forests

1. Maak op de Windows Server-VM die is gekoppeld aan het Domain Services-forest een map en geef een naam op, zoals CrossForestShare.
2. Selecteer met de rechtermuisknop de map en kies Eigenschappen.
3. Selecteer het tabblad Beveiliging en kies vervolgens Bewerken.
4. Selecteer in het dialoogvenster Permissions for CrossForestShareAdd.
5. Typ FileServerAccess- in Voer de objectnamen in omte selecteren en selecteer vervolgens OK.
6. Selecteer FileServerAccess uit de lijst Groepen of gebruikersnamen. Kies in de lijst Machtigingen voor FileServerAccessToestaan voor de machtigingen Wijzigen en Schrijven en selecteer OK.
7. Selecteer het tabblad Delen en kies Geavanceerd delen....
8. Kies Deel deze mapen voer een gedenkwaardige naam in voor de bestanddeling bij Deelnaam, zoals CrossForestShare.
9. Selecteer toestemmingen. Kies in de lijst Machtigingen voor iedereen de optie Toestaan voor de machtiging Wijzigen.
10. Selecteer OK twee keer en sluiten.

Cross-forest authenticatie valideren voor een resource

1. Meld u aan bij een Windows-computer die is gekoppeld aan uw on-premises Active Directory met behulp van een gebruikersaccount van uw on-premises Active Directory.

2. Gebruik Windows Verkennerom verbinding te maken met de share die u hebt gemaakt, via de volledig gekwalificeerde hostnaam en de share zoals \\fs1.aaddscontoso.com\CrossforestShare.

3. Als u de schrijfmachtiging wilt valideren, selecteert u met de rechtermuisknop in de map, kiest u Nieuween selecteert u vervolgens Tekstdocument. Gebruik de standaardnaam Nieuw tekstdocument.

   Als de schrijfmachtigingen juist zijn ingesteld, wordt er een nieuw tekstdocument gemaakt. Voer de volgende stappen uit om het bestand te openen, te bewerken en te verwijderen.

4. Als u de leesmachtiging wilt valideren, opent u Nieuw tekstdocument.

5. Als u de wijzigingsmachtiging wilt valideren, voegt u tekst toe aan het bestand en sluit u Kladblok. Wanneer u wordt gevraagd om wijzigingen op te slaan, kiest u Opslaan.

6. Als u de machtiging verwijderen wilt valideren, selecteert u met de rechtermuisknop nieuw tekstdocument en kiest u Verwijderen. Kies Ja- om het verwijderen van bestanden te bevestigen.

Volgende stappen

In deze zelfstudie hebt u het volgende geleerd:

• DNS configureren in een on-premises AD DS-omgeving ter ondersteuning van Domain Services-connectiviteit
• Een eenrichtingsvertrouwensrelatie voor binnenkomende forests maken in een on-premises AD DS-omgeving
• Een eenrichtings-uitgaand bosvertrouwen instellen in Domain Services
• De vertrouwensrelatie voor verificatie en resourcetoegang testen en valideren

Voor meer conceptuele informatie over forests in Domain Services, zie Hoe werken vertrouwensrelaties tussen forests in Domain Services?.