Samouczek: tworzenie i konfigurowanie domeny zarządzanej usług Azure Active Directory Domain Services przy użyciu zaawansowanych opcji konfiguracji

Azure Active Directory Domain Services (Azure AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z Windows Server Active Directory. Te usługi domenowe są używane bez samodzielnego wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek. Usługa Azure AD DS integruje się z istniejącą dzierżawą usługi Azure AD. Ta integracja umożliwia użytkownikom logowanie się przy użyciu poświadczeń firmowych, a także korzystanie z istniejących grup i kont użytkowników w celu zabezpieczenia dostępu do zasobów.

Domenę zarządzaną można utworzyć przy użyciu domyślnych opcji konfiguracji sieci i synchronizacji lub ręcznie zdefiniować te ustawienia. W tym samouczku przedstawiono sposób definiowania tych zaawansowanych opcji konfiguracji w celu utworzenia i skonfigurowania domeny zarządzanej usługi Azure AD DS przy użyciu Azure Portal.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie ustawień dns i sieci wirtualnej dla domeny zarządzanej
  • Tworzenie domeny zarządzanej
  • Dodawanie użytkowników administracyjnych do zarządzania domenami
  • Włączanie synchronizacji skrótów haseł

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

Mimo że usługa Azure AD DS nie jest wymagana, zaleca się skonfigurowanie samoobsługowego resetowania hasła (SSPR) dla dzierżawy usługi Azure AD. Użytkownicy mogą zmieniać swoje hasło bez samoobsługowego resetowania hasła, ale samoobsługowe resetowanie hasła pomaga, jeśli zapomni hasło i będzie musiał je zresetować.

Ważne

Po utworzeniu domeny zarządzanej nie można przenieść domeny zarządzanej do innej grupy zasobów, sieci wirtualnej, subskrypcji itp. Podczas wdrażania domeny zarządzanej należy wybrać najbardziej odpowiednią subskrypcję, grupę zasobów, region i sieć wirtualną.

Logowanie się do witryny Azure Portal

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu Azure Portal. Aby rozpocząć, najpierw zaloguj się do Azure Portal.

Tworzenie domeny zarządzanej i konfigurowanie podstawowych ustawień

Aby uruchomić kreatora Włączanie usług Azure AD Domain Services , wykonaj następujące kroki:

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
  2. Wprowadź ciąg Domain Services na pasku wyszukiwania, a następnie wybierz pozycję Azure AD Domain Services z sugestii wyszukiwania.
  3. Na stronie Azure AD Domain Services wybierz pozycję Utwórz. Zostanie uruchomiony kreator Włącz usługi Azure AD Domain Services .
  4. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć domenę zarządzaną.
  5. Wybierz grupę zasobów , do której powinna należeć domena zarządzana. Wybierz pozycję Utwórz nową lub wybierz istniejącą grupę zasobów.

Podczas tworzenia domeny zarządzanej należy określić nazwę DNS. Podczas wybierania tej nazwy DNS należy wziąć pod uwagę pewne kwestie:

  • Wbudowana nazwa domeny: Domyślnie jest używana wbudowana nazwa domeny katalogu (sufiks .onmicrosoft.com ). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie możesz utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc urząd certyfikacji nie wystawi certyfikatu.
  • Niestandardowe nazwy domen: Najbardziej typowe podejście polega na określeniu niestandardowej nazwy domeny, zazwyczaj takiej, której już jesteś właścicielem, i jest routingiem. W przypadku korzystania z routingu, domeny niestandardowej ruch może prawidłowo przepływać zgodnie z potrzebami w celu obsługi aplikacji.
  • Sufiksy domeny bez routingu: Zazwyczaj zaleca się unikanie sufiksu nazwy domeny bez routingu, takiego jak contoso.local. Sufiks .local nie jest routingiem i może powodować problemy z rozpoznawaniem nazw DNS.

Porada

Jeśli tworzysz niestandardową nazwę domeny, zadbaj o istniejące przestrzenie nazw DNS. Zaleca się użycie nazwy domeny niezależnie od istniejącej przestrzeni nazw DNS platformy Azure lub lokalnej.

Jeśli na przykład masz istniejącą przestrzeń nazw DNS contoso.com, utwórz domenę zarządzaną z niestandardową nazwą domeny aaddscontoso.com. Jeśli musisz użyć protokołu Secure LDAP, musisz zarejestrować i posiadać tę niestandardową nazwę domeny, aby wygenerować wymagane certyfikaty.

Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych usług przesyłania dalej DNS między istniejącymi przestrzeniami nazw DNS w środowisku. Jeśli na przykład uruchamiasz serwer internetowy hostujący witrynę przy użyciu głównej nazwy DNS, mogą występować konflikty nazewnictwa, które wymagają dodatkowych wpisów DNS.

W tych samouczkach i artykułach z instrukcjami domena niestandardowa aaddscontoso.com jest używana jako krótki przykład. We wszystkich poleceniach określ własną nazwę domeny.

Obowiązują również następujące ograniczenia nazw DNS:

  • Ograniczenia prefiksu domeny: Nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków. Prefiks określonej nazwy domeny (na przykład aaddscontoso w nazwie domeny aaddscontoso.com ) musi zawierać co najmniej 15 znaków.
  • Konflikty nazw sieci: Nazwa domeny DNS domeny zarządzanej nie powinna jeszcze istnieć w sieci wirtualnej. W szczególności sprawdź następujące scenariusze, które mogłyby prowadzić do konfliktu nazw:
    • Jeśli masz już domenę usługi Active Directory o tej samej nazwie domeny DNS w sieci wirtualnej platformy Azure.
    • Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną. W tym scenariuszu upewnij się, że nie masz domeny o tej samej nazwie domeny DNS w sieci lokalnej.
    • Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.

Wypełnij pola w oknie Podstawowe Azure Portal, aby utworzyć domenę zarządzaną:

  1. Wprowadź nazwę domeny DNS dla domeny zarządzanej, biorąc pod uwagę poprzednie punkty.

  2. Wybierz lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana. W przypadku wybrania regionu, który obsługuje Strefy dostępności, zasoby usługi Azure AD DS są dystrybuowane między strefy w celu zapewnienia dodatkowej nadmiarowości.

    Porada

    Strefy dostępności to unikatowe fizyczne lokalizacje w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. W celu zapewnienia odporności istnieją co najmniej trzy osobne strefy we wszystkich włączonych regionach.

    Nie ma nic do skonfigurowania, aby usługi Azure AD DS były dystrybuowane między strefami. Platforma Azure automatycznie obsługuje dystrybucję stref zasobów. Aby uzyskać więcej informacji i wyświetlić dostępność regionów, zobacz Co Strefy dostępności na platformie Azure?

  3. Jednostka SKU określa wydajność i częstotliwość tworzenia kopii zapasowych. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli wymagania biznesowe lub wymagania uległy zmianie. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące jednostek SKU usługi Azure AD DS.

    Na potrzeby tego samouczka wybierz jednostkę SKU w warstwie Standardowa .

  4. Las jest konstrukcją logiczną używaną przez Active Directory Domain Services do grupowania co najmniej jednej domeny. Domyślnie domena zarządzana jest tworzona jako las użytkownika . Ten typ lasu synchronizuje wszystkie obiekty z usługi Azure AD, w tym wszystkie konta użytkowników utworzone w lokalnym środowisku usług AD DS.

    Las zasobów synchronizuje tylko użytkowników i grupy utworzone bezpośrednio w usłudze Azure AD. Skróty haseł dla użytkowników lokalnych nigdy nie są synchronizowane z domeną zarządzaną podczas tworzenia lasu zasobów. Aby uzyskać więcej informacji na temat lasów zasobów , w tym dlaczego można ich używać i jak tworzyć relacje zaufania lasu z lokalnymi domenami usług AD DS, zobacz Omówienie lasów zasobów usługi Azure AD DS.

    Na potrzeby tego samouczka wybierz opcję utworzenia lasu użytkownika .

    Configure basic settings for an Azure AD Domain Services managed domain

  5. Aby ręcznie skonfigurować dodatkowe opcje, wybierz pozycję Dalej — Sieć. W przeciwnym razie wybierz pozycję Przejrzyj i utwórz , aby zaakceptować domyślne opcje konfiguracji, a następnie przejdź do sekcji Wdrażanie domeny zarządzanej. Podczas wybierania tej opcji tworzenia są konfigurowane następujące wartości domyślne:

    • Tworzy sieć wirtualną o nazwie aadds-vnet , która używa zakresu adresów IP 10.0.1.0/24.
    • Tworzy podsieć o nazwie aadds-subnet przy użyciu zakresu adresów IP 10.0.1.0/24.
    • Synchronizuje wszystkich użytkowników z usługi Azure AD z domeną zarządzaną.

Tworzenie i konfigurowanie sieci wirtualnej

Aby zapewnić łączność, potrzebna jest sieć wirtualna platformy Azure i dedykowana podsieć. Usługa Azure AD DS jest włączona w tej podsieci sieci wirtualnej. W tym samouczku utworzysz sieć wirtualną, ale zamiast tego możesz użyć istniejącej sieci wirtualnej. W obu metodach należy utworzyć dedykowaną podsieć do użycia przez usługi Azure AD DS.

Niektóre zagadnienia dotyczące tej dedykowanej podsieci sieci wirtualnej obejmują następujące obszary:

  • Podsieć musi mieć co najmniej 3–5 dostępne adresy IP w swoim zakresie adresów, aby obsługiwać zasoby usług Azure AD DS.
  • Nie wybieraj podsieci bramy do wdrażania usług Azure AD DS. Wdrażanie usług Azure AD DS w podsieci bramy nie jest obsługiwane.
  • Nie wdrażaj żadnych innych maszyn wirtualnych w podsieci. Aplikacje i maszyny wirtualne często używają sieciowych grup zabezpieczeń do zabezpieczania łączności. Uruchamianie tych obciążeń w oddzielnej podsieci umożliwia zastosowanie tych sieciowych grup zabezpieczeń bez zakłócania łączności z domeną zarządzaną.
  • Po włączeniu usługi Azure AD DS nie można przenieść domeny zarządzanej do innej sieci wirtualnej.

Aby uzyskać więcej informacji na temat planowania i konfigurowania sieci wirtualnej, zobacz Zagadnienia dotyczące sieci dla usług Azure Active Directory Domain Services.

Wypełnij pola w oknie Sieć w następujący sposób:

  1. Na stronie Sieć wybierz sieć wirtualną do wdrożenia usług Azure AD DS z menu rozwijanego lub wybierz pozycję Utwórz nową.

    1. Jeśli zdecydujesz się utworzyć sieć wirtualną, wprowadź nazwę sieci wirtualnej, taką jak myVnet, a następnie podaj zakres adresów, taki jak 10.0.1.0/24.
    2. Utwórz dedykowaną podsieć o jasnej nazwie, takiej jak DomainServices. Podaj zakres adresów, taki jak 10.0.1.0/24.

    Create a virtual network and subnet for use with Azure AD Domain Services

    Upewnij się, że wybrano zakres adresów należący do zakresu prywatnych adresów IP. Zakresy adresów IP, które nie należą do przestrzeni adresów publicznych, powodują błędy w usługach Azure AD DS.

  2. Wybierz podsieć sieci wirtualnej, taką jak DomainServices.

  3. Gdy wszystko będzie gotowe, wybierz pozycję Dalej — administracja.

Konfigurowanie grupy administracyjnej

Specjalna grupa administracyjna o nazwie AAD administratorzy kontrolera domeny służy do zarządzania domeną usługi Azure AD DS. Członkowie tej grupy otrzymują uprawnienia administracyjne na maszynach wirtualnych, które są przyłączone do domeny zarządzanej. Na maszynach wirtualnych przyłączonych do domeny ta grupa jest dodawana do lokalnej grupy administratorów. Członkowie tej grupy mogą również używać pulpitu zdalnego do łączenia się zdalnie z maszynami wirtualnymi przyłączonym do domeny.

Ważne

Nie masz uprawnień administratora domeny ani administratora Enterprise w domenie zarządzanej przy użyciu usługi Azure AD DS. Te uprawnienia są zarezerwowane przez usługę i nie są udostępniane użytkownikom w ramach dzierżawy.

Zamiast tego grupa administratorzy kontrolerów domeny AAD umożliwia wykonywanie niektórych uprzywilejowanych operacji. Te operacje obejmują przynależność do grupy administracyjnej na maszynach wirtualnych przyłączonych do domeny i konfigurowanie zasady grupy.

Kreator automatycznie tworzy grupę administratorzy kontrolerów domeny AAD w katalogu usługi Azure AD. Jeśli masz istniejącą grupę o tej nazwie w katalogu usługi Azure AD, kreator wybierze tę grupę. Opcjonalnie możesz dodać dodatkowych użytkowników do tej AAD grupy Administratorzy kontrolera domeny podczas procesu wdrażania. Te kroki można wykonać później.

  1. Aby dodać kolejnych użytkowników do tej AAD grupy Administratorzy kontrolera domeny, wybierz pozycję Zarządzaj członkostwem w grupie.

    Configure group membership of the AAD DC Administrators group

  2. Wybierz przycisk Dodaj członków , a następnie wyszukaj i wybierz użytkowników z katalogu usługi Azure AD. Na przykład wyszukaj własne konto i dodaj je do grupy administratorzy kontrolerów domeny AAD.

  3. W razie potrzeby zmień lub dodaj dodatkowych adresatów dla powiadomień, gdy w domenie zarządzanej istnieją alerty wymagające uwagi.

  4. Gdy wszystko będzie gotowe, wybierz pozycję Dalej — synchronizacja.

Konfigurowanie synchronizacji

Usługa Azure AD DS umożliwia synchronizowanie wszystkich użytkowników i grup dostępnych w usłudze Azure AD lub synchronizacji z zakresem tylko określonych grup. Zakres synchronizacji można teraz zmienić lub po wdrożeniu domeny zarządzanej. Aby uzyskać więcej informacji, zobacz Synchronizacja w zakresie usług Azure AD Domain Services.

  1. Na potrzeby tego samouczka wybierz opcję synchronizacji Wszyscy użytkownicy i grupy. Ta opcja synchronizacji jest opcją domyślną.

    Perform a full synchronization of users and groups from Azure AD

  2. Wybierz pozycję Przejrzyj i utwórz.

Wdrażanie domeny zarządzanej

Na stronie Podsumowanie kreatora przejrzyj ustawienia konfiguracji domeny zarządzanej. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany. Aby ponownie wdrożyć domenę zarządzaną w innej dzierżawie usługi Azure AD w spójny sposób przy użyciu tych opcji konfiguracji, możesz również pobrać szablon do automatyzacji.

  1. Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz. Zostanie wyświetlona uwaga, że po utworzeniu zarządzanego przez usługę Azure AD DS nie można zmienić niektórych opcji konfiguracji, takich jak nazwa DNS lub sieć wirtualna. Aby kontynuować, wybierz przycisk OK.

  2. Proces aprowizacji domeny zarządzanej może potrwać do godziny. W portalu zostanie wyświetlone powiadomienie, które pokazuje postęp wdrażania usługi Azure AD DS. Wybierz powiadomienie, aby wyświetlić szczegółowy postęp wdrożenia.

    Notification in the Azure portal of the deployment in progress

  3. Wybierz grupę zasobów, taką jak myResourceGroup, a następnie wybierz domenę zarządzaną z listy zasobów platformy Azure, takich jak aaddscontoso.com. Karta Przegląd pokazuje, że domena zarządzana jest obecnie wdrażana. Nie można skonfigurować domeny zarządzanej, dopóki nie zostanie ona w pełni aprowizowana.

    Domain Services status during the provisioning state

  4. Gdy domena zarządzana jest w pełni aprowizowana, na karcie Przegląd jest wyświetlany stan domeny Uruchomiono.

    Domain Services status once successfully provisioned

Ważne

Domena zarządzana jest skojarzona z dzierżawą usługi Azure AD. Podczas procesu aprowizacji usługi Azure AD DS tworzy dwie aplikacje Enterprise o nazwie Domain Controller Services i AzureActiveDirectoryDomainControllerServices w dzierżawie usługi Azure AD. Te Enterprise aplikacje są potrzebne do obsługi domeny zarządzanej. Nie usuwaj tych aplikacji.

Aktualizowanie ustawień DNS dla sieci wirtualnej platformy Azure

Po pomyślnym wdrożeniu usług Azure AD DS skonfiguruj sieć wirtualną, aby umożliwić innym połączonym maszynom wirtualnym i aplikacjom korzystanie z domeny zarządzanej. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały dwa adresy IP, na których wdrożono domenę zarządzaną.

  1. Karta Przegląd domeny zarządzanej zawiera kilka kroków wymaganych konfiguracji. Pierwszym krokiem konfiguracji jest zaktualizowanie ustawień serwera DNS dla sieci wirtualnej. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już wyświetlany.

    Wymienione adresy to kontrolery domeny do użycia w sieci wirtualnej. W tym przykładzie te adresy to 10.0.1.4 i 10.0.1.5. Te adresy IP można później znaleźć na karcie Właściwości .

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj . Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.

Porada

Jeśli w poprzednich krokach wybrano istniejącą sieć wirtualną, wszystkie maszyny wirtualne połączone z siecią otrzymają tylko nowe ustawienia DNS po ponownym uruchomieniu. Maszyny wirtualne można ponownie uruchomić przy użyciu Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Włączanie kont użytkowników dla usług Azure AD DS

Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Azure AD DS wymagają skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Usługa Azure AD nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Azure AD DS dla dzierżawy. Ze względów bezpieczeństwa usługa Azure AD nie przechowuje również żadnych poświadczeń haseł w postaci zwykłego tekstu. W związku z tym usługa Azure AD nie może automatycznie generować skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.

Uwaga

Po odpowiednim skonfigurowaniu skróty haseł, których można używać, są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.

Zsynchronizowane informacje o poświadczeniach w usłudze Azure AD nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną — musisz ponownie skonfigurować synchronizację skrótów haseł, aby ponownie przechowywać skróty haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać — usługa Azure AD musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej.

Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług Azure AD DS i Azure AD Połączenie.

Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w usłudze Azure AD w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu usługi Azure AD Połączenie.

Konto użytkownika tylko w chmurze to konto, które zostało utworzone w katalogu usługi Azure AD przy użyciu witryny Azure Portal lub poleceń cmdlet programu Azure AD PowerShell. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.

W tym samouczku będziemy pracować z podstawowym kontem użytkownika tylko w chmurze. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do korzystania z usługi Azure AD Połączenie, zobacz Synchronizowanie skrótów haseł dla kont użytkowników synchronizowanych z lokalnej usługi AD z domeną zarządzaną.

Porada

Jeśli dzierżawa usługi Azure AD ma kombinację użytkowników tylko w chmurze i użytkowników z lokalnej usługi AD, należy wykonać oba zestawy kroków.

W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli korzystać z usług Azure AD DS. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Azure AD. Konto nie jest synchronizowane z usługi Azure AD do usług Azure AD DS do momentu zmiany hasła. Wygaśnie hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą używać usług Azure AD DS, co wymusza zmianę hasła podczas następnego logowania, lub poinstruuj użytkowników chmury, aby ręcznie zmienić swoje hasła. W tym samouczku ręcznie zmieńmy hasło użytkownika.

Aby użytkownik mógł zresetować swoje hasło, należy skonfigurować dzierżawę usługi Azure AD na potrzeby samoobsługowego resetowania hasła.

Aby zmienić hasło użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:

  1. Przejdź do strony usługi Azure AD Panel dostępu pod adresem https://myapps.microsoft.com.

  2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

    Select profile

  3. Na stronie Profil wybierz pozycję Zmień hasło.

  4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło, a następnie wprowadź i potwierdź nowe hasło.

  5. Wybierz pozycję Prześlij.

Po zmianie hasła nowe hasło do użycia w usługach Azure AD DS i pomyślnym zalogowaniu się do komputerów przyłączonych do domeny zarządzanej trwa kilka minut.

Następne kroki

W niniejszym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Konfigurowanie ustawień dns i sieci wirtualnej dla domeny zarządzanej
  • Tworzenie domeny zarządzanej
  • Dodawanie użytkowników administracyjnych do zarządzania domenami
  • Włączanie kont użytkowników dla usług Azure AD DS i generowanie skrótów haseł

Aby wyświetlić tę domenę zarządzaną w akcji, utwórz i dołącz maszynę wirtualną do domeny.