Samouczek: tworzenie i konfigurowanie domeny zarządzanej usługi Azure Active Directory Domain Services

Usługa Azure Active Directory Domain Services (Azure AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z Windows Server Active Directory. Te usługi domeny są używane bez samodzielnego wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek. Azure AD DS integruje się z istniejącą dzierżawą Azure AD. Dzięki tej integracji użytkownicy mogą logować się przy użyciu poświadczeń firmowych, a do zabezpieczania dostępu do zasobów można używać istniejących grup i kont użytkowników.

Domenę zarządzaną można utworzyć przy użyciu domyślnych opcji konfiguracji dla sieci i synchronizacji lub ręcznie zdefiniować te ustawienia. W tym samouczku pokazano, jak używać opcji domyślnych do tworzenia i konfigurowania domeny zarządzanej Azure AD DS przy użyciu Azure Portal.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Informacje o wymaganiach dns dotyczących domeny zarządzanej
  • Tworzenie domeny zarządzanej
  • Włączanie synchronizacji skrótów haseł

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

Chociaż nie jest to wymagane w przypadku Azure AD DS, zaleca się skonfigurowanie samoobsługowego resetowania hasła (SSPR) dla dzierżawy Azure AD. Użytkownicy mogą zmieniać swoje hasło bez samoobsługowego resetowania hasła, ale samoobsługowe resetowanie hasła pomaga w przypadku zapomnienia hasła i zresetowania go.

Ważne

Nie można przenieść domeny zarządzanej do innej subskrypcji, grupy zasobów lub regionu po jej utworzeniu. Podczas wdrażania domeny zarządzanej należy wybrać najbardziej odpowiednią subskrypcję, grupę zasobów i region.

Logowanie się do witryny Azure Portal

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu Azure Portal. Aby rozpocząć, najpierw zaloguj się do Azure Portal.

Tworzenie domeny zarządzanej

Aby uruchomić kreatora Włączanie usług Azure AD Domain Services, wykonaj następujące kroki:

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
  2. Wprowadź ciąg Domain Services na pasku wyszukiwania, a następnie wybierz pozycję Azure AD Domain Services z sugestii wyszukiwania.
  3. Na stronie usługi Azure AD Domain Services wybierz pozycję Utwórz. Zostanie uruchomiony kreator Włącz usługi Azure AD Domain Services.
  4. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć domenę zarządzaną.
  5. Wybierz grupę zasobów , do której powinna należeć domena zarządzana. Wybierz pozycję Utwórz nową lub wybierz istniejącą grupę zasobów.

Podczas tworzenia domeny zarządzanej należy określić nazwę DNS. Podczas wybierania tej nazwy DNS należy wziąć pod uwagę pewne zagadnienia:

  • Wbudowana nazwa domeny: Domyślnie jest używana wbudowana nazwa domeny katalogu ( sufiks .onmicrosoft.com ). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie możesz utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc urząd certyfikacji nie wystawia certyfikatu.
  • Niestandardowe nazwy domen: Najbardziej typowym podejściem jest określenie niestandardowej nazwy domeny, zazwyczaj takiej, która jest już właścicielem i jest routable. W przypadku korzystania z routable, domeny niestandardowej ruch może prawidłowo przepływać zgodnie z potrzebami w celu obsługi aplikacji.
  • Sufiksy domeny bez routingu: Zazwyczaj zaleca się unikanie sufiksu nazwy domeny nieobsługiwnej, takiego jak contoso.local. Sufiks lokalny nie jest routingiem i może powodować problemy z rozpoznawaniem nazw DNS.

Porada

Jeśli tworzysz niestandardową nazwę domeny, zadbaj o istniejące przestrzenie nazw DNS. Zaleca się użycie nazwy domeny niezależnie od istniejącej przestrzeni nazw DNS platformy Azure lub lokalnej.

Jeśli na przykład masz istniejącą przestrzeń nazw DNS contoso.com, utwórz domenę zarządzaną z niestandardową nazwą domeny aaddscontoso.com. Jeśli musisz użyć protokołu Secure LDAP, musisz zarejestrować i posiadać tę niestandardową nazwę domeny, aby wygenerować wymagane certyfikaty.

Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych usług przesyłania dalej DNS między istniejącymi przestrzeniami nazw DNS w środowisku. Jeśli na przykład uruchomisz serwer internetowy hostujący lokację przy użyciu głównej nazwy DNS, mogą występować konflikty nazewnictwa, które wymagają dodatkowych wpisów DNS.

W tych samouczkach i artykułach z instrukcjami domena niestandardowa aaddscontoso.com jest używana jako krótki przykład. We wszystkich poleceniach określ własną nazwę domeny.

Obowiązują również następujące ograniczenia nazw DNS:

  • Ograniczenia prefiksu domeny: Nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków. Prefiks określonej nazwy domeny (na przykład aaddscontoso w nazwie domeny aaddscontoso.com ) musi zawierać 15 lub mniej znaków.
  • Konflikty nazw sieci: Nazwa domeny DNS dla domeny zarządzanej nie powinna jeszcze istnieć w sieci wirtualnej. W szczególności sprawdź następujące scenariusze, które mogłyby prowadzić do konfliktu nazw:
    • Jeśli masz już domenę usługi Active Directory o tej samej nazwie domeny DNS w sieci wirtualnej platformy Azure.
    • Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną. W tym scenariuszu upewnij się, że nie masz domeny o tej samej nazwie domeny DNS w sieci lokalnej.
    • Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.

Wypełnij pola w oknie Podstawy Azure Portal, aby utworzyć domenę zarządzaną:

  1. Wprowadź nazwę domeny DNS dla domeny zarządzanej, biorąc pod uwagę poprzednie punkty.

  2. Wybierz lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana. Jeśli wybierzesz region obsługujący usługę Azure Strefy dostępności, zasoby Azure AD DS są dystrybuowane między strefy w celu zapewnienia dodatkowej nadmiarowości.

    Porada

    Strefy dostępności to unikatowe fizyczne lokalizacje w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. W celu zapewnienia odporności istnieją co najmniej trzy osobne strefy we wszystkich włączonych regionach.

    Nie ma nic do skonfigurowania, aby Azure AD DS były dystrybuowane między strefami. Platforma Azure automatycznie obsługuje dystrybucję stref zasobów. Aby uzyskać więcej informacji i zobaczyć dostępność regionów, zobacz Co Strefy dostępności na platformie Azure?

  3. Jednostka SKU określa wydajność i częstotliwość tworzenia kopii zapasowych. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli wymagania biznesowe lub wymagania zostaną zmienione. Aby uzyskać więcej informacji, zobacz pojęcia dotyczące jednostki SKU ds Azure AD.

    Na potrzeby tego samouczka wybierz jednostkę SKU w warstwie Standardowa .

  4. Las jest konstrukcją logiczną używaną przez Active Directory Domain Services do grupowania co najmniej jednej domeny.

    Konfigurowanie podstawowych ustawień dla domeny zarządzanej usług Azure AD Domain Services

Aby szybko utworzyć domenę zarządzaną, możesz wybrać pozycję Przejrzyj i utwórz , aby zaakceptować dodatkowe domyślne opcje konfiguracji. Następujące wartości domyślne są konfigurowane podczas wybierania tej opcji tworzenia:

  • Tworzy sieć wirtualną o nazwie aadds-vnet , która używa zakresu adresów IP 10.0.2.0/24.
  • Tworzy podsieć o nazwie aadds-subnet przy użyciu zakresu adresów IP 10.0.2.0/24.
  • Synchronizuje wszystkich użytkowników z Azure AD do domeny zarządzanej.

Wybierz pozycję Przejrzyj i utwórz , aby zaakceptować te domyślne opcje konfiguracji.

Wdrażanie domeny zarządzanej

Na stronie Podsumowanie kreatora przejrzyj ustawienia konfiguracji domeny zarządzanej. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany. Aby ponownie wdrożyć domenę zarządzaną w innej dzierżawie Azure AD w spójny sposób przy użyciu tych opcji konfiguracji, możesz również pobrać szablon automatyzacji.

  1. Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz. Zostanie wyświetlona uwaga, że po utworzeniu Azure AD DS zarządzanej przez usługę Azure AD DS nie można zmienić niektórych opcji konfiguracji, takich jak nazwa DNS lub sieć wirtualna. Aby kontynuować, wybierz przycisk OK.

  2. Proces aprowizacji domeny zarządzanej może potrwać do godziny. W portalu zostanie wyświetlone powiadomienie pokazujące postęp wdrażania Azure AD DS. Wybierz powiadomienie, aby wyświetlić szczegółowy postęp wdrożenia.

    Powiadomienie w Azure Portal w toku wdrożenia

  3. Strona zostanie załadowana wraz z aktualizacjami procesu wdrażania, w tym utworzeniem nowych zasobów w katalogu.

  4. Wybierz grupę zasobów, taką jak myResourceGroup, a następnie wybierz domenę zarządzaną z listy zasobów platformy Azure, takich jak aaddscontoso.com. Karta Przegląd pokazuje, że domena zarządzana jest obecnie wdrażana. Nie można skonfigurować domeny zarządzanej, dopóki nie zostanie ona w pełni aprowizowana.

    Stan usług Domenowych w stanie aprowizacji

  5. Gdy domena zarządzana jest w pełni aprowizowana, na karcie Przegląd jest wyświetlany stan domeny Uruchomiono.

    Stan usług Domenowych po pomyślnym aprowizacji

Ważne

Domena zarządzana jest skojarzona z dzierżawą Azure AD. Podczas procesu aprowizacji usługi Azure AD DS tworzy dwie aplikacje dla przedsiębiorstw o nazwie Domain Controller Services i AzureActiveDirectoryDomainControllerServices w dzierżawie Azure AD. Te aplikacje dla przedsiębiorstw są potrzebne do obsługi domeny zarządzanej. Nie usuwaj tych aplikacji.

Aktualizowanie ustawień DNS dla sieci wirtualnej platformy Azure

Po pomyślnym wdrożeniu Azure AD DS należy skonfigurować sieć wirtualną tak, aby zezwalała innym połączonym maszynom wirtualnym i aplikacjom na korzystanie z domeny zarządzanej. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały dwa adresy IP, na których wdrożono domenę zarządzaną.

  1. Karta Przegląd domeny zarządzanej zawiera kilka kroków wymaganych konfiguracji. Pierwszym krokiem konfiguracji jest zaktualizowanie ustawień serwera DNS dla sieci wirtualnej. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już wyświetlany.

    Wymienione adresy to kontrolery domeny do użycia w sieci wirtualnej. W tym przykładzie te adresy to 10.0.2.4 i 10.0.2.5. Te adresy IP można później znaleźć na karcie Właściwości .

    Konfigurowanie ustawień DNS dla sieci wirtualnej przy użyciu adresów IP usług Azure AD Domain Services

  2. Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj . Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.

Porada

Jeśli w poprzednich krokach wybrano istniejącą sieć wirtualną, wszystkie maszyny wirtualne połączone z siecią otrzymają tylko nowe ustawienia DNS po ponownym uruchomieniu. Maszyny wirtualne można ponownie uruchomić przy użyciu Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Włączanie kont użytkowników dla usług Azure AD DS

Aby uwierzytelnić użytkowników w domenie zarządzanej, Azure AD DS wymaga skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Azure AD nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos, dopóki nie włączysz Azure AD DS dla dzierżawy. Ze względów bezpieczeństwa Azure AD również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym Azure AD nie może automatycznie wygenerować tych skrótów haseł NTLM lub Kerberos na podstawie istniejących poświadczeń użytkowników.

Uwaga

Po odpowiednim skonfigurowaniu skróty haseł, których można używać, są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.

Zsynchronizowane informacje o poświadczeniach w Azure AD nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną — należy ponownie skonfigurować synchronizację skrótów haseł, aby ponownie przechowywać skróty haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać — Azure AD musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej.

Azure AD Connect Cloud Sync nie jest obsługiwana w usługach Azure AD DS. Aby można było uzyskiwać dostęp do maszyn wirtualnych przyłączonych do domeny, użytkownicy lokalni muszą być synchronizowani przy użyciu programu Azure AD Connect. Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług Azure AD DS i Azure AD Connect.

Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w Azure AD w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu programu Azure AD Connect.

Konto użytkownika tylko w chmurze to konto, które zostało utworzone w katalogu usługi Azure AD przy użyciu witryny Azure Portal lub poleceń cmdlet programu Azure AD PowerShell. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.

W tym samouczku będziemy pracować z podstawowym kontem użytkownika tylko w chmurze. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do korzystania z programu Azure AD Connect, zobacz Synchronizowanie skrótów haseł dla kont użytkowników synchronizowanych z lokalną usługą AD z domeną zarządzaną.

Porada

Jeśli dzierżawa Azure AD ma kombinację użytkowników i użytkowników tylko w chmurze z lokalnej usługi AD, należy wykonać oba zestawy kroków.

W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli używać Azure AD DS. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w Azure AD. Konto nie jest synchronizowane z Azure AD do Azure AD DS, dopóki hasło nie zostanie zmienione. Wygaśnie hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą używać Azure AD DS, co wymusza zmianę hasła podczas następnego logowania, lub poinstruuj użytkowników chmury, aby ręcznie zmienili swoje hasła. W tym samouczku ręcznie zmieńmy hasło użytkownika.

Aby użytkownik mógł zresetować swoje hasło, należy skonfigurować dzierżawę Azure AD na potrzeby samoobsługowego resetowania haseł.

Aby zmienić hasło użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:

  1. Przejdź do strony Azure AD Panel dostępu pod adresem https://myapps.microsoft.com.

  2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

    Wybieranie profilu

  3. Na stronie Profil wybierz pozycję Zmień hasło.

  4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło, a następnie wprowadź i potwierdź nowe hasło.

  5. Wybierz pozycję Prześlij.

Po zmianie hasła nowe hasło do użycia w usłudze Azure AD DS i pomyślnym zalogowaniu się do komputerów przyłączonych do domeny zarządzanej trwa kilka minut.

Następne kroki

W niniejszym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Informacje o wymaganiach dns dotyczących domeny zarządzanej
  • Tworzenie domeny zarządzanej
  • Dodawanie użytkowników administracyjnych do zarządzania domenami
  • Włączanie kont użytkowników dla usług Azure AD DS i generowanie skrótów haseł

Przed dołączeniem maszyn wirtualnych do domeny i wdrożeniem aplikacji korzystających z domeny zarządzanej należy skonfigurować sieć wirtualną platformy Azure dla obciążeń aplikacji.