Samouczek: tworzenie i konfigurowanie domeny zarządzanej usług Microsoft Entra Domain Services z zaawansowanymi opcjami konfiguracji

Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Te usługi domenowe są używane bez samodzielnego wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek. Usługi Domain Services integrują się z istniejącą dzierżawą firmy Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się przy użyciu poświadczeń firmowych, a także zabezpieczanie dostępu do zasobów przy użyciu istniejących grup i kont użytkowników.

Domenę zarządzaną można utworzyć przy użyciu domyślnych opcji konfiguracji sieci i synchronizacji lub ręcznie zdefiniować te ustawienia. W tym samouczku pokazano, jak zdefiniować te zaawansowane opcje konfiguracji, aby utworzyć i skonfigurować domenę zarządzaną usług Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Konfigurowanie ustawień dns i sieci wirtualnej dla domeny zarządzanej
• Tworzenie domeny zarządzanej
• Dodawanie użytkowników administracyjnych do zarządzania domenami
• Włączanie synchronizacji skrótów haseł

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
  • W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
• Aby włączyć usługi Domain Services, potrzebne są role application Administracja istrator i groups Administracja istrator firmy Microsoft w dzierżawie.
• Aby utworzyć wymagane zasoby usług domenowych, musisz mieć rolę współautora usług domenowych platformy Azure.

Mimo że nie jest to wymagane w przypadku usług Domain Services, zaleca się skonfigurowanie samoobsługowego resetowania hasła (SSPR) dla dzierżawy firmy Microsoft Entra. Użytkownicy mogą zmieniać swoje hasło bez samoobsługowego resetowania hasła, ale samoobsługowe resetowanie hasła pomaga, jeśli zapomni hasło i będzie konieczne jego zresetowanie.

Ważne

Po utworzeniu domeny zarządzanej nie można przenieść jej do innej subskrypcji, grupy zasobów ani regionu. Podczas wdrażania domeny zarządzanej należy wybrać najbardziej odpowiednią subskrypcję, grupę zasobów i region.

Zaloguj się do centrum administracyjnego usługi Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.

Tworzenie domeny zarządzanej i konfigurowanie podstawowych ustawień

Aby uruchomić kreatora Włącz usługi Microsoft Entra Domain Services , wykonaj następujące kroki:

1. W menu Centrum administracyjnym firmy Microsoft Entra lub na stronie głównej wybierz pozycję Utwórz zasób.
2. Wprowadź ciąg Domain Services na pasku wyszukiwania, a następnie wybierz pozycję Microsoft Entra Domain Services z sugestii wyszukiwania.
3. Na stronie Microsoft Entra Domain Services wybierz pozycję Utwórz. Zostanie uruchomiony kreator Włącz usługi Microsoft Entra Domain Services .
4. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć domenę zarządzaną.
5. Wybierz grupę zasobów, do której powinna należeć domena zarządzana. Wybierz pozycję Utwórz nową lub wybierz istniejącą grupę zasobów.

Podczas tworzenia domeny zarządzanej należy określić nazwę DNS. Podczas wybierania tej nazwy DNS należy wziąć pod uwagę pewne zagadnienia:

• Wbudowana nazwa domeny: domyślnie jest używana wbudowana nazwa domeny katalogu (sufiks .onmicrosoft.com ). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie możesz utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc urząd certyfikacji nie wystawi certyfikatu.
• Niestandardowe nazwy domen: najpopularniejszym podejściem jest określenie niestandardowej nazwy domeny, zazwyczaj takiej, której już jesteś właścicielem, i jest routingiem. Jeśli używasz routingu, domena niestandardowa, ruch może prawidłowo przepływać zgodnie z potrzebami w celu obsługi aplikacji.
• Sufiksy domeny niezwiązane z routingiem: zwykle zaleca się unikanie sufiksu nazwy domeny bez routingu, takiego jak contoso.local. Sufiks lokalny nie jest routingiem i może powodować problemy z rozpoznawaniem nazw DNS.

Napiwek

Jeśli tworzysz niestandardową nazwę domeny, zadbaj o istniejące przestrzenie nazw DNS. Zaleca się użycie nazwy domeny niezależnie od istniejącej przestrzeni nazw DNS platformy Azure lub lokalnej.

Jeśli na przykład masz istniejącą przestrzeń nazw DNS contoso.com, utwórz domenę zarządzaną z niestandardową nazwą domeny aaddscontoso.com. Jeśli musisz użyć protokołu Secure LDAP, musisz zarejestrować i posiadać tę niestandardową nazwę domeny, aby wygenerować wymagane certyfikaty.

Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych usług przesyłania dalej DNS między istniejącymi przestrzeniami nazw DNS w środowisku. Jeśli na przykład uruchamiasz serwer internetowy hostujący witrynę przy użyciu głównej nazwy DNS, mogą występować konflikty nazewnictwa, które wymagają dodatkowych wpisów DNS.

W tych samouczkach i artykułach z instrukcjami domena niestandardowa aaddscontoso.com jest używana jako krótki przykład. We wszystkich poleceniach określ własną nazwę domeny.

Obowiązują również następujące ograniczenia nazw DNS:

• Ograniczenia prefiksu domeny: nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków. Prefiks określonej nazwy domeny (na przykład aaddscontoso w nazwie domeny aaddscontoso.com ) musi zawierać 15 lub mniej znaków.
• Konflikty nazw sieci: nazwa domeny DNS dla domeny zarządzanej nie powinna jeszcze istnieć w sieci wirtualnej. W szczególności sprawdź następujące scenariusze, które mogłyby prowadzić do konfliktu nazw:
  • Jeśli masz już domenę usługi Active Directory o tej samej nazwie domeny DNS w sieci wirtualnej platformy Azure.
  • Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną. W tym scenariuszu upewnij się, że nie masz domeny o tej samej nazwie domeny DNS w sieci lokalnej.
  • Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.

Wypełnij pola w oknie Podstawy centrum administracyjnego firmy Microsoft Entra, aby utworzyć domenę zarządzaną:

1. Wprowadź nazwę domeny DNS dla domeny zarządzanej, biorąc pod uwagę poprzednie punkty.

2. Wybierz lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana. Jeśli wybierzesz region obsługujący Strefy dostępności, zasoby usług domenowych są dystrybuowane między strefami w celu zapewnienia dodatkowej nadmiarowości.

   Napiwek

   Strefy dostępności to unikatowe fizyczne lokalizacje w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. W celu zapewnienia odporności istnieją co najmniej trzy osobne strefy we wszystkich włączonych regionach.

   Nie ma nic do skonfigurowania, aby usługi Domain Services były dystrybuowane między strefami. Platforma Azure automatycznie obsługuje dystrybucję stref zasobów. Aby uzyskać więcej informacji i zobaczyć dostępność regionów, zobacz Co to są Strefy dostępności na platformie Azure?

3. Jednostka SKU określa wydajność i częstotliwość tworzenia kopii zapasowych. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli wymagania lub wymagania biznesowe ulegają zmianie. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące jednostek SKU usług domenowych.

   Na potrzeby tego samouczka wybierz jednostkę SKU w warstwie Standardowa .

4. Las jest konstrukcją logiczną używaną przez usługi domena usługi Active Directory do grupowania co najmniej jednej domeny.

   

5. Aby ręcznie skonfigurować dodatkowe opcje, wybierz pozycję Dalej — Sieć. W przeciwnym razie wybierz pozycję Przejrzyj i utwórz , aby zaakceptować domyślne opcje konfiguracji, a następnie przejdź do sekcji Wdrażanie domeny zarządzanej. Podczas wybierania tej opcji tworzenia są konfigurowane następujące wartości domyślne:

   • Tworzy sieć wirtualną o nazwie aadds-vnet , która używa zakresu adresów IP 10.0.1.0/24.
   • Tworzy podsieć o nazwie aadds-subnet przy użyciu zakresu adresów IP 10.0.1.0/24.
   • Synchronizuje wszystkich użytkowników z identyfikatora Entra firmy Microsoft z domeną zarządzaną.

Tworzenie i konfigurowanie sieci wirtualnej

Aby zapewnić łączność, wymagana jest sieć wirtualna platformy Azure i dedykowana podsieć. Usługi domenowe są włączone w tej podsieci sieci wirtualnej. W tym samouczku utworzysz sieć wirtualną, ale zamiast tego możesz użyć istniejącej sieci wirtualnej. W obu metodach należy utworzyć dedykowaną podsieć do użycia przez usługi Domain Services.

Niektóre zagadnienia dotyczące tej dedykowanej podsieci sieci wirtualnej obejmują następujące obszary:

• Podsieć musi mieć co najmniej 3–5 dostępne adresy IP w zakresie adresów, aby obsługiwać zasoby usług Domenowych.
• Nie wybieraj podsieci bramy do wdrażania usług domenowych. Wdrażanie usług Domain Services w podsieci bramy nie jest obsługiwane.
• Nie wdrażaj żadnych innych maszyn wirtualnych w podsieci. Aplikacje i maszyny wirtualne często używają sieciowych grup zabezpieczeń do zabezpieczania łączności. Uruchomienie tych obciążeń w oddzielnej podsieci umożliwia zastosowanie tych sieciowych grup zabezpieczeń bez zakłócania łączności z domeną zarządzaną.

Aby uzyskać więcej informacji na temat planowania i konfigurowania sieci wirtualnej, zobacz Zagadnienia dotyczące sieci dla usług Microsoft Entra Domain Services.

Wypełnij pola w oknie Sieć w następujący sposób:

1. Na stronie Sieć wybierz sieć wirtualną do wdrożenia usług domenowych z menu rozwijanego lub wybierz pozycję Utwórz nową.

   1. Jeśli zdecydujesz się utworzyć sieć wirtualną, wprowadź nazwę sieci wirtualnej, taką jak myVnet, a następnie podaj zakres adresów, taki jak 10.0.1.0/24.
   2. Utwórz dedykowaną podsieć o jasnej nazwie, takiej jak DomainServices. Podaj zakres adresów, taki jak 10.0.1.0/24.

   

   Upewnij się, że wybrano zakres adresów należący do zakresu prywatnych adresów IP. Zakresy adresów IP, które nie należą do przestrzeni adresów publicznych, powodują błędy w usługach Domenowych.

2. Wybierz podsieć sieci wirtualnej, taką jak DomainServices.

3. Gdy wszystko będzie gotowe, wybierz pozycję Dalej — Administracja istration.

Konfigurowanie grupy administracyjnej

Specjalna grupa administracyjna o nazwie AAD DC Administracja istrators służy do zarządzania domeną usług domenowych. Członkowie tej grupy mają przyznane uprawnienia administracyjne na maszynach wirtualnych, które są przyłączone do domeny zarządzanej. Na maszynach wirtualnych przyłączonych do domeny ta grupa jest dodawana do lokalnej grupy administratorów. Członkowie tej grupy mogą również łączyć się zdalnie z maszynami wirtualnymi przyłączonym do domeny za pomocą pulpitu zdalnego.

Ważne

Nie masz uprawnień Administracja istratora domeny ani Administracja istratora przedsiębiorstwa w domenie zarządzanej przy użyciu usług Domain Services. Te uprawnienia są zarezerwowane przez usługę i nie są udostępniane użytkownikom w ramach dzierżawy.

Zamiast tego grupa kontrolerów domeny usługi AAD Administracja istrators umożliwia wykonywanie niektórych uprzywilejowanych operacji. Te operacje obejmują przynależność do grupy administracyjnej na maszynach wirtualnych przyłączonych do domeny i konfigurowanie zasad grupy.

Kreator automatycznie tworzy grupę Administracja istratorów kontrolera domeny usługi AAD w katalogu Microsoft Entra. Jeśli masz istniejącą grupę o tej nazwie w katalogu Microsoft Entra, kreator wybierze tę grupę. Opcjonalnie możesz dodać dodatkowych użytkowników do tej grupy Administracja istratorów kontrolera domeny usługi AAD podczas procesu wdrażania. Te kroki można wykonać później.

1. Aby dodać kolejnych użytkowników do tej grupy Administracja istratorów kontrolera domeny usługi AAD, wybierz pozycję Zarządzaj członkostwem w grupie.

   

2. Wybierz przycisk Dodaj członków, a następnie wyszukaj i wybierz użytkowników z katalogu Microsoft Entra. Na przykład wyszukaj własne konto i dodaj je do grupy Administracja istratorów kontrolera domeny usługi AAD.

3. W razie potrzeby zmień lub dodaj dodatkowych adresatów dla powiadomień, gdy istnieją alerty w domenie zarządzanej, które wymagają uwagi.

4. Gdy wszystko będzie gotowe, wybierz pozycję Dalej — Synchronizacja.

Konfigurowanie synchronizacji

Usługi Domain Services umożliwiają synchronizowanie wszystkich użytkowników i grup dostępnych w usłudze Microsoft Entra ID lub synchronizacji w zakresie tylko określonych grup. Zakres synchronizacji można teraz zmienić lub po wdrożeniu domeny zarządzanej. Aby uzyskać więcej informacji, zobacz Synchronizacja w zakresie usług Microsoft Entra Domain Services.

1. Na potrzeby tego samouczka wybierz opcję synchronizowania wszystkich użytkowników i grup. Ta opcja synchronizacji jest opcją domyślną.

   

2. Wybierz pozycję Przejrzyj i utwórz.

Wdrażanie domeny zarządzanej

Na stronie Podsumowanie kreatora przejrzyj ustawienia konfiguracji domeny zarządzanej. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany. Aby ponownie wdrożyć domenę zarządzaną w innej dzierżawie firmy Microsoft Entra w spójny sposób przy użyciu tych opcji konfiguracji, możesz również pobrać szablon automatyzacji.

1. Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz. Zostanie wyświetlona uwaga, że po utworzeniu usługi Domain Services zarządzanej nie można zmienić niektórych opcji konfiguracji, takich jak nazwa DNS lub sieć wirtualna. Aby kontynuować, wybierz przycisk OK.

2. Proces aprowizacji domeny zarządzanej może potrwać do godziny. W portalu zostanie wyświetlone powiadomienie z postępem wdrażania usług Domenowych. Wybierz powiadomienie, aby wyświetlić szczegółowy postęp wdrożenia.

   

3. Wybierz grupę zasobów, taką jak myResourceGroup, a następnie wybierz domenę zarządzaną z listy zasobów platformy Azure, takich jak aaddscontoso.com. Karta Przegląd pokazuje, że domena zarządzana jest obecnie wdrażana. Nie można skonfigurować domeny zarządzanej, dopóki nie zostanie ona w pełni aprowizowana.

   

4. Gdy domena zarządzana jest w pełni aprowizowana, karta Przegląd wyświetla stan domeny jako Uruchomiono.

   

Ważne

Domena zarządzana jest skojarzona z dzierżawą firmy Microsoft Entra. Podczas procesu aprowizacji usługi Domain Services tworzą dwie aplikacje dla przedsiębiorstw o nazwie Domain Controller Services i AzureActiveDirectoryDomainControllerServices w dzierżawie firmy Microsoft Entra. Te aplikacje dla przedsiębiorstw są potrzebne do obsługi domeny zarządzanej. Nie usuwaj tych aplikacji.

Aktualizowanie ustawień DNS dla sieci wirtualnej platformy Azure

Po pomyślnym wdrożeniu usług Domain Services skonfiguruj teraz sieć wirtualną, aby zezwolić innym połączonym maszynom wirtualnym i aplikacjom na korzystanie z domeny zarządzanej. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały dwa adresy IP, w których wdrożono domenę zarządzaną.

1. Karta Przegląd dla domeny zarządzanej zawiera kilka kroków konfiguracji Wymagane. Pierwszym krokiem konfiguracji jest zaktualizowanie ustawień serwera DNS dla sieci wirtualnej. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już wyświetlany.

   Wymienione adresy to kontrolery domeny do użycia w sieci wirtualnej. W tym przykładzie te adresy to 10.0.1.4 i 10.0.1.5. Te adresy IP można później znaleźć na karcie Właściwości .

   

2. Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj . Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.

Napiwek

Jeśli w poprzednich krokach wybrano istniejącą sieć wirtualną, wszystkie maszyny wirtualne połączone z siecią otrzymają tylko nowe ustawienia DNS po ponownym uruchomieniu. Maszyny wirtualne można ponownie uruchomić przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu wiersza polecenia platformy Azure.

Włączanie kont użytkowników dla usług Domain Services

Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Domain Services wymagają skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Identyfikator entra firmy Microsoft nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Domain Services dla dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.

Uwaga

Po odpowiednim skonfigurowaniu skróty haseł do użycia są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.

Zsynchronizowane informacje o poświadczeniach w identyfikatorze Entra firmy Microsoft nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną — należy ponownie skonfigurować synchronizację skrótów haseł w celu ponownego przechowywania skrótów haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać się — identyfikator Entra firmy Microsoft musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej.

Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług domenowych i microsoft Entra Połączenie.

Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w usłudze Microsoft Entra ID w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu usługi Microsoft Entra Połączenie.

Konto użytkownika tylko w chmurze to konto utworzone w katalogu Microsoft Entra przy użyciu centrum administracyjnego firmy Microsoft Entra lub poleceń cmdlet programu PowerShell programu Microsoft Graph. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.

W tym samouczku współpracujmy z podstawowym kontem użytkownika tylko w chmurze. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do korzystania z usługi Microsoft Entra Połączenie, zobacz Synchronizowanie skrótów haseł dla kont użytkowników synchronizowanych z lokalnej usługi AD z domeną zarządzaną.

Napiwek

Jeśli dzierżawa firmy Microsoft Entra ma kombinację użytkowników i użytkowników korzystających tylko z chmury z lokalnej usługi AD, należy wykonać oba zestawy kroków.

W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmieniać swoje hasła, zanim będą mogli korzystać z usług Domain Services. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Microsoft Entra ID. Konto nie jest synchronizowane z usługi Microsoft Entra ID do usług Domain Services, dopóki hasło nie zostanie zmienione. Wygasną hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą korzystać z usług Domain Services, co wymusza zmianę hasła podczas następnego logowania, lub poinstruuj użytkowników chmury, aby ręcznie zmienili swoje hasła. W tym samouczku ręcznie zmieńmy hasło użytkownika.

Aby użytkownik mógł zresetować swoje hasło, dzierżawa firmy Microsoft Entra musi być skonfigurowana do samoobsługowego resetowania hasła.

Aby zmienić hasło użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:

1. Przejdź do strony microsoft Entra ID Panel dostępu pod adresem https://myapps.microsoft.com.

2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

   

3. Na stronie Profil wybierz pozycję Zmień hasło.

4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło, a następnie wprowadź i potwierdź nowe hasło.

5. Wybierz Prześlij.

Po zmianie hasła nowe hasło do użycia w usługach Domain Services i pomyślnym zalogowaniu się do komputerów przyłączonych do domeny zarządzanej trwa kilka minut.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Konfigurowanie ustawień dns i sieci wirtualnej dla domeny zarządzanej
• Tworzenie domeny zarządzanej
• Dodawanie użytkowników administracyjnych do zarządzania domenami
• Włączanie kont użytkowników dla usług Domain Services i generowanie skrótów haseł

Aby zobaczyć, jak działa ta domena zarządzana, utwórz i dołącz maszynę wirtualną do domeny.

Dołączanie maszyny wirtualnej z systemem Windows Server do domeny zarządzanej