Pojęcia i funkcje lasu zasobów dla usług Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) zapewnia środowisko logowania dla starszych, lokalnych aplikacji biznesowych. Użytkownicy, grupy i skróty haseł użytkowników lokalnych i użytkowników w chmurze są synchronizowane z domeną zarządzaną Azure AD DS. Te synchronizowane skróty haseł zapewniają użytkownikom pojedynczy zestaw poświadczeń, których mogą używać w lokalnych usługach AD DS, Microsoft 365 i Azure Active Directory.

Mimo że bezpieczeństwo i zapewnia dodatkowe korzyści zabezpieczeń, niektóre organizacje nie mogą synchronizować skrótów haseł użytkowników z Azure AD lub Azure AD DS. Użytkownicy w organizacji mogą nie znać hasła, ponieważ używają tylko uwierzytelniania za pomocą karty inteligentnej. Te ograniczenia uniemożliwiają niektórym organizacjom używanie Azure AD DS do przenoszenia lokalnych aplikacji klasycznych na platformę Azure.

Aby zaspokoić te potrzeby i ograniczenia, można utworzyć domenę zarządzaną korzystającą z lasu zasobów. W tym artykule koncepcyjnym wyjaśniono, czym są lasy i jak ufają innym zasobom w celu zapewnienia bezpiecznej metody uwierzytelniania.

Co to są lasy?

Las jest konstrukcją logiczną używaną przez Active Directory Domain Services (AD DS) do grupowania co najmniej jednej domeny. Następnie domeny przechowują obiekty dla użytkowników lub grup i zapewniają usługi uwierzytelniania.

W domenie zarządzanej Azure AD DS las zawiera tylko jedną domenę. Lokalne lasy usług AD DS często zawierają wiele domen. W dużych organizacjach, zwłaszcza po fuzjach i przejęciach, może dojść do wielu lasów lokalnych, z których każda będzie zawierać wiele domen.

Domyślnie domena zarządzana jest tworzona jako las użytkownika . Ten typ lasu synchronizuje wszystkie obiekty z Azure AD, w tym wszystkie konta użytkowników utworzone w lokalnym środowisku usług AD DS. Konta użytkowników mogą bezpośrednio uwierzytelniać się w domenie zarządzanej, na przykład w celu zalogowania się do maszyny wirtualnej przyłączonej do domeny. Las użytkownika działa, gdy można synchronizować skróty haseł, a użytkownicy nie korzystają z wyłącznych metod logowania, takich jak uwierzytelnianie za pomocą karty inteligentnej. Oprócz użytkowników, którzy mogą bezpośrednio uwierzytelniać, użytkownicy w innych lokalnych środowiskach usług AD DS mogą również uwierzytelniać się za pośrednictwem jednokierunkowej relacji zaufania lasu z lokalnych usług AD DS w celu uzyskania dostępu do zasobów w lesie użytkownika domeny zarządzanej.

W lesie zasobów domeny zarządzanej użytkownicy uwierzytelniają się również za pośrednictwem jednokierunkowej relacji zaufania lasu z lokalnych usług AD DS. W przypadku tego podejścia obiekty użytkownika i skróty haseł nie są synchronizowane z domeną zarządzaną. Obiekty i poświadczenia użytkownika istnieją tylko w lokalnych usługach AD DS. Takie podejście umożliwia przedsiębiorstwom hostowanie zasobów i platform aplikacji na platformie Azure, które zależą od uwierzytelniania klasycznego, takiego jak LDAPS, Kerberos lub NTLM, ale wszelkie problemy lub problemy z uwierzytelnianiem są usuwane.

Lasy zasobów zapewniają również możliwość migracji aplikacji metodą "lift-and-shift" po jednym składniku naraz. Wiele starszych aplikacji lokalnych jest wielowarstwowych, często przy użyciu serwera internetowego lub frontonu i wielu składników związanych z bazą danych. Te warstwy utrudniają przenoszenie całej aplikacji do chmury w jednym kroku. Dzięki lasom zasobów możesz przenieść aplikację do chmury w ramach podejścia etapowego, co ułatwia przenoszenie aplikacji na platformę Azure.

Co to są relacje zaufania?

Organizacje, które mają więcej niż jedną domenę, często potrzebują użytkowników do uzyskiwania dostępu do zasobów udostępnionych w innej domenie. Dostęp do tych zasobów udostępnionych wymaga, aby użytkownicy w jednej domenie uwierzytelnili się w innej domenie. Aby zapewnić te możliwości uwierzytelniania i autoryzacji między klientami i serwerami w różnych domenach, musi istnieć relacja zaufania między dwiema domenami.

W przypadku zaufania domeny mechanizmy uwierzytelniania dla każdej domeny ufają uwierzytelnienia pochodzące z innej domeny. Zaufania pomagają zapewnić kontrolowany dostęp do zasobów udostępnionych w domenie zasobów (domenie zaufania ), sprawdzając, czy przychodzące żądania uwierzytelniania pochodzą z zaufanego urzędu ( zaufanej domeny). Relacje zaufania działają jako mostki, które zezwalają na podróż między domenami tylko zweryfikowanych żądań uwierzytelniania.

Sposób, w jaki zaufanie przekazuje żądania uwierzytelniania, zależy od konfiguracji. Relacje zaufania można skonfigurować na jeden z następujących sposobów:

  • Jednokierunkowe — zapewnia dostęp z zaufanej domeny do zasobów w domenie zaufania.
  • Dwukierunkowy — zapewnia dostęp z każdej domeny do zasobów w innej domenie.

Relacje zaufania można również skonfigurować do obsługi dodatkowych relacji zaufania w jeden z następujących sposobów:

  • Nieprzejeżny — relacja zaufania istnieje tylko między dwiema domenami partnerów zaufania.
  • Przechodnie — zaufanie jest automatycznie rozszerzane na wszystkie inne domeny, którym ufa jeden z partnerów.

W niektórych przypadkach relacje zaufania są automatycznie ustanawiane podczas tworzenia domen. Innym razem należy wybrać typ zaufania i jawnie ustanowić odpowiednie relacje. Określone typy używanych relacji zaufania i struktura tych relacji zaufania zależą od tego, jak jest zorganizowany katalog usług AD DS i czy różne wersje Windows współistnieją w sieci.

Relacje zaufania między dwoma lasami

Relacje zaufania domeny w jednym lesie można rozszerzyć na inny las, ręcznie tworząc jednokierunkową lub dwukierunkową relację zaufania lasu. Relacja zaufania lasu jest przechodnią relacją zaufania, która istnieje tylko między domeną główną lasu a drugą domeną główną lasu.

  • Relacja zaufania lasu jednokierunkowego umożliwia wszystkim użytkownikom w jednym lesie zaufanie do wszystkich domen w drugim lesie.
  • Dwukierunkowa relacja zaufania lasu stanowi przechodnią relację zaufania między każdą domeną w obu lasach.

Przechodniość relacji zaufania lasu jest ograniczona do dwóch partnerów lasu. Zaufanie lasu nie jest rozszerzane na dodatkowe lasy zaufane przez jednego z partnerów.

Diagram of forest trust from Azure AD DS to on-premises AD DS

Można utworzyć różne konfiguracje zaufania domeny i lasu w zależności od struktury usług AD DS organizacji. Azure AD DS obsługuje tylko jednokierunkowe zaufanie lasu. W tej konfiguracji zasoby w domenie zarządzanej mogą ufać wszystkim domenom w lesie lokalnym.

Obsługa technologii zaufania

Relacje zaufania korzystają z różnych usług i funkcji, takich jak DNS, aby zlokalizować kontrolery domeny w lasach partnerskich. Relacje zaufania zależą również od protokołów uwierzytelniania NTLM i Kerberos oraz od mechanizmów autoryzacji i kontroli dostępu opartych na Windows w celu zapewnienia zabezpieczonej infrastruktury komunikacji między domenami i lasami usług AD DS. Poniższe usługi i funkcje ułatwiają obsługę relacji zaufania zakończonych powodzeniem.

DNS

Usługi AD DS wymagają systemu DNS dla lokalizacji kontrolera domeny (DC) i nazewnictwa. W celu pomyślnego działania usług AD DS zapewniana jest następująca obsługa usługi DNS:

  • Usługa rozpoznawania nazw, która umożliwia hostom sieciowym i usługom lokalizowanie kontrolerów domeny.
  • Struktura nazewnictwa, która umożliwia przedsiębiorstwu odzwierciedlanie struktury organizacyjnej w nazwach domen usług katalogowych.

Przestrzeń nazw domeny DNS jest zwykle wdrażana, która dubluje przestrzeń nazw domeny usług AD DS. Jeśli istnieje istniejąca przestrzeń nazw DNS przed wdrożeniem usług AD DS, przestrzeń nazw DNS jest zwykle partycjonowana dla usług AD DS, a poddomena DNS i delegowanie dla katalogu głównego lasu usług AD DS jest tworzone. Dodatkowe nazwy domen DNS są następnie dodawane dla każdej domeny podrzędnej usług AD DS.

System DNS jest również używany do obsługi lokalizacji kontrolerów domeny usług AD DS. Strefy DNS są wypełniane rekordami zasobów DNS, które umożliwiają hostom sieciowym i usługom lokalizowanie kontrolerów domeny usług AD DS.

Aplikacje i logowanie netto

Zarówno aplikacje, jak i usługa Net Logon są składnikami modelu rozproszonego kanału zabezpieczeń Windows. Aplikacje zintegrowane z serwerem Windows i usługami AD DS używają protokołów uwierzytelniania do komunikowania się z usługą Net Logon, aby można było ustanowić bezpieczną ścieżkę, za pomocą której można przeprowadzić uwierzytelnianie.

Protokoły uwierzytelniania

Kontrolery domeny usług AD DS uwierzytelniają użytkowników i aplikacje przy użyciu jednego z następujących protokołów:

  • Protokół uwierzytelniania Kerberos w wersji 5

    • Protokół Kerberos w wersji 5 jest domyślnym protokołem uwierzytelniania używanym przez komputery lokalne z systemem Windows i obsługującymi systemy operacyjne innych firm. Ten protokół jest określony w specyfikacji RFC 1510 i jest w pełni zintegrowany z usługami AD DS, blokiem komunikatów serwera (SMB), protokołem HTTP i zdalnym wywołaniem procedury (RPC), a także aplikacjami klienta i serwera, które korzystają z tych protokołów.
    • Gdy używany jest protokół Kerberos, serwer nie musi kontaktować się z kontrolerem domeny. Zamiast tego klient otrzymuje bilet dla serwera, żądając go z kontrolera domeny w domenie konta serwera. Następnie serwer weryfikuje bilet bez konsultacji z żadnym innym urzędem.
    • Jeśli jakikolwiek komputer zaangażowany w transakcję nie obsługuje protokołu Kerberos w wersji 5, używany jest protokół NTLM.
  • Protokół uwierzytelniania NTLM

    • Protokół NTLM to klasyczny protokół uwierzytelniania sieciowego używany przez starsze systemy operacyjne. Ze względu na zgodność jest ona używana przez domeny usług AD DS do przetwarzania żądań uwierzytelniania sieci, które pochodzą z aplikacji zaprojektowanych dla wcześniejszych Windows klientów i serwerów oraz systemów operacyjnych innych firm.
    • Gdy protokół NTLM jest używany między klientem a serwerem, serwer musi skontaktować się z usługą uwierzytelniania domeny na kontrolerze domeny, aby zweryfikować poświadczenia klienta. Serwer uwierzytelnia klienta, przekazując poświadczenia klienta do kontrolera domeny w domenie konta klienta.
    • Gdy relacją zaufania są połączone dwie domeny lub lasy usług AD DS, żądania uwierzytelniania wysyłane przy użyciu tych protokołów mogą być kierowane w celu zapewnienia dostępu do zasobów w obu lasach.

Autoryzacja i kontrola dostępu

Technologie autoryzacji i zaufania współpracują ze sobą w celu zapewnienia zabezpieczonej infrastruktury komunikacji między domenami lub lasami usług AD DS. Autoryzacja określa poziom dostępu użytkownika do zasobów w domenie. Relacje zaufania ułatwiają autoryzację użytkowników między domenami, udostępniając ścieżkę do uwierzytelniania użytkowników w innych domenach, dzięki czemu ich żądania do udostępnionych zasobów w tych domenach mogą być autoryzowane.

Gdy żądanie uwierzytelnienia w domenie zaufania jest weryfikowane przez zaufaną domenę, jest przekazywane do zasobu docelowego. Zasób docelowy określa następnie, czy autoryzować określone żądanie wykonane przez użytkownika, usługę lub komputer w zaufanej domenie na podstawie konfiguracji kontroli dostępu.

Zaufania zapewniają ten mechanizm sprawdzania poprawności żądań uwierzytelniania przekazywanych do domeny zaufania. Mechanizmy kontroli dostępu na komputerze zasobów określają ostateczny poziom dostępu udzielony żądającemu w zaufanej domenie.

Następne kroki

Aby dowiedzieć się więcej o relacjach zaufania, zobacz Jak działają relacje zaufania lasu w usłudze Azure AD DS?

Aby rozpocząć tworzenie domeny zarządzanej z lasem zasobów, zobacz Tworzenie i konfigurowanie domeny zarządzanej Azure AD DS. Następnie możesz utworzyć relację zaufania lasu wychodzącego z domeną lokalną.