Samouczek: tworzenie i konfigurowanie domeny zarządzanej usług Microsoft Entra Domain Services z zaawansowanymi opcjami konfiguracji

Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Te usługi domenowe są używane bez samodzielnego wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek. Usługi Domain Services integrują się z istniejącym dzierżawcą Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się przy użyciu poświadczeń firmowych, a także zabezpieczanie dostępu do zasobów przy użyciu istniejących grup i kont użytkowników.

Domenę zarządzaną można utworzyć przy użyciu domyślnych opcji konfiguracji sieci i synchronizacji lub ręcznie zdefiniować te ustawienia. W tym samouczku pokazano, jak zdefiniować te zaawansowane opcje konfiguracji, aby utworzyć i skonfigurować domenę zarządzaną usług Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra.

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

• Konfigurowanie ustawień dns i sieci wirtualnej dla domeny zarządzanej
• Tworzenie domeny zarządzanej
• Dodawanie użytkowników administracyjnych do zarządzania domenami
• Włącz synchronizację skrótów haseł

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto .

Warunki wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Tenant Microsoft Entra powiązany z twoją subskrypcją, zsynchronizowany z katalogiem lokalnym lub tylko w chmurze.
  • W razie potrzeby utwórz dzierżawcę Microsoft Entra lub skojarz subskrypcję Azure z twoim kontem.
• Aby włączyć usługi Domain Services, potrzebujesz ról administratora aplikacji i administratora grup Microsoft Entra w dzierżawie.
• Aby utworzyć wymagane zasoby usług domenowych, musisz mieć rolę współautora usług domenowych platformy Azure.

Mimo że nie jest to wymagane w przypadku usług Domain Services, zaleca się skonfigurowanie samoobsługowego resetowania hasła (SSPR) dla dzierżawy Microsoft Entra. Użytkownicy mogą zmieniać swoje hasło bez samoobsługowego resetowania hasła (SSPR), ale samoobsługowe resetowanie hasła (SSPR) pomaga, jeśli zapomną hasło i będą musieli je zresetować.

Ważny

Po utworzeniu domeny zarządzanej nie można przenieść jej do innej subskrypcji, grupy zasobów ani regionu. Podczas wdrażania domeny zarządzanej należy wybrać najbardziej odpowiednią subskrypcję, grupę zasobów i region.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.

Tworzenie domeny zarządzanej i konfigurowanie podstawowych ustawień

Aby uruchomić kreatora Włącz usługi Microsoft Entra Domain Services, wykonaj następujące kroki:

1. W menu Centrum administracyjnym firmy Microsoft Entra lub na stronie głównej wybierz pozycję Utwórz zasób.
2. Wprowadź Domain Services na pasku wyszukiwania, a następnie wybierz Microsoft Entra Domain Services z sugestii wyszukiwania.
3. Na stronie Microsoft Entra Domain Services wybierz pozycję Utwórz. Zostanie uruchomiony kreator Włącz usługi Microsoft Entra Domain Services .
4. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć domenę zarządzaną.
5. Wybierz grupę zasobów , do której powinna należeć domena zarządzana. Wybierz pozycję Utwórz nową lub wybierz istniejącą grupę zasobów.

Podczas tworzenia domeny zarządzanej należy określić nazwę DNS. Podczas wybierania tej nazwy DNS należy wziąć pod uwagę pewne zagadnienia:

• Wbudowana nazwa domeny: Domyślnie jest używana wbudowana nazwa domeny katalogu (sufiks .onmicrosoft.com ). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie możesz utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc urząd certyfikacji nie wystawi certyfikatu.
• Niestandardowe nazwy domen: Najbardziej typowym podejściem jest podanie niestandardowej nazwy domeny, zazwyczaj takiej, której już jesteś właścicielem i którą można kierować. Jeśli używasz przekierowywalnej, niestandardowej domeny, ruch może prawidłowo przepływać zgodnie z potrzebami, wspierając twoje aplikacje.
• Nieroutowalne sufiksy domen: Zazwyczaj zaleca się unikanie nieroutowalnego sufiksu nazwy domeny, na przykład contoso.local. Sufiks .local nie można routować i może powodować problemy z rozpoznawaniem nazw DNS.

Napiwek

Jeśli tworzysz niestandardową nazwę domeny, zadbaj o istniejące przestrzenie nazw DNS. Zaleca się użycie nazwy domeny niezależnie od istniejącej przestrzeni nazw DNS platformy Azure lub lokalnej.

Jeśli na przykład masz istniejącą przestrzeń nazw DNS contoso.com, utwórz domenę zarządzaną z niestandardową nazwą domeny aaddscontoso.com. Jeśli musisz użyć protokołu Secure LDAP, musisz zarejestrować i posiadać tę niestandardową nazwę domeny, aby wygenerować wymagane certyfikaty.

Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych przekierowań DNS między istniejącymi przestrzeniami nazw DNS w środowisku. Jeśli na przykład uruchamiasz serwer internetowy hostujący witrynę przy użyciu głównej nazwy DNS, mogą występować konflikty nazewnictwa, które wymagają dodatkowych wpisów DNS.

W tych samouczkach i artykułach z instrukcjami domena niestandardowa aaddscontoso.com jest używana jako krótki przykład. We wszystkich poleceniach określ własną nazwę domeny.

Obowiązują również następujące ograniczenia nazw DNS:

• Ograniczenia prefiksu domeny: Nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków. Prefiks określonej nazwy domeny (na przykład aaddscontoso w nazwie domeny aaddscontoso.com ) musi zawierać 15 lub mniej znaków.
• Konflikty nazw sieci: Nazwa domeny DNS dla domeny zarządzanej nie powinna jeszcze istnieć w sieci wirtualnej. W szczególności sprawdź następujące scenariusze, które mogłyby prowadzić do konfliktu nazw:
  • Jeśli masz już domenę usługi Active Directory o tej samej nazwie domeny DNS w sieci wirtualnej platformy Azure.
  • Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną. W tym scenariuszu upewnij się, że nie masz domeny o tej samej nazwie domeny DNS w sieci lokalnej.
  • Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.

Aby utworzyć domenę zarządzaną, wypełnij pola w oknie Podstawy centrum administracyjnego firmy Microsoft Entra:

1. Wprowadź nazwę domeny DNS dla domeny zarządzanej, biorąc pod uwagę poprzednie punkty.

2. Wybierz lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana. Jeśli wybierzesz region obsługujący strefy dostępności, zasoby usług domenowych są dystrybuowane między strefami w celu zapewnienia dodatkowej nadmiarowości.

   Napiwek

   Strefy dostępności to unikatowe lokalizacje fizyczne w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. Aby zapewnić odporność, w wszystkich regionach z włączoną obsługą istnieje co najmniej trzy oddzielne strefy.

   Nie ma nic do skonfigurowania, aby usługi Domain Services były dystrybuowane między strefami. Platforma Azure automatycznie obsługuje dystrybucję stref zasobów. Aby uzyskać więcej informacji i wyświetlić dostępność regionów, zobacz Co to są strefy dostępności na platformie Azure?

3. Jednostka SKU określa wydajność i częstotliwość tworzenia kopii zapasowych. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli zmieniają się wymagania biznesowe. Aby uzyskać więcej informacji, zobacz pojęcia dotyczące SKU usług Domain Services .

   Na potrzeby tego samouczka wybierz SKU w wersji Standardowa.

4. Las jest konstrukcją logiczną używaną przez usługi domenowe Active Directory do grupowania co najmniej jednej domeny.

   

5. Aby ręcznie skonfigurować dodatkowe opcje, wybierz pozycję Dalej — Sieć. W przeciwnym razie wybierz pozycję Przejrzyj i utwórz , aby zaakceptować domyślne opcje konfiguracji, a następnie przejdź do sekcji Wdrażanie domeny zarządzanej. Podczas wybierania tej opcji tworzenia są konfigurowane następujące wartości domyślne:

   • Tworzy sieć wirtualną o nazwie aadds-vnet , która używa zakresu adresów IP 10.0.1.0/24.
   • Tworzy podsieć o nazwie aadds-subnet przy użyciu zakresu adresów IP 10.0.1.0/24.
   • Synchronizuje wszystkich użytkowników z identyfikatora Entra firmy Microsoft z domeną zarządzaną.

Tworzenie i konfigurowanie sieci wirtualnej

Aby zapewnić łączność, wymagana jest sieć wirtualna platformy Azure i dedykowana podsieć. Usługi domenowe są włączone w tej podsieci sieci wirtualnej. W tym samouczku utworzysz sieć wirtualną, ale zamiast tego możesz użyć istniejącej sieci wirtualnej. W obu metodach należy utworzyć dedykowaną podsieć do użycia przez usługi Domain Services.

Napiwek

Ponieważ należy użyć adresów IP wdrożeń Microsoft Entra Domain Services jako rozwiązywaczy DNS w sieci wirtualnej, w której się znajduje, zalecamy dedykowaną sieć wirtualną platformy Azure, jeżeli korzystasz z innej usługi DNS oraz konfigurujesz przekierowania warunkowe w ramach Microsoft Entra Domain Services.

Niektóre zagadnienia dotyczące tej dedykowanej podsieci sieci wirtualnej obejmują następujące obszary:

• Podsieć musi mieć co najmniej 3–5 dostępnych adresów IP w zakresie adresów, aby obsługiwać zasoby usług domenowych.
• Nie wybieraj podsieci Gateway do wdrażania usług domenowych. Nie obsługuje się wdrażania Domain Services w podsieci bramy .
• Nie wdrażaj żadnych innych maszyn wirtualnych w podsieci. Aplikacje i maszyny wirtualne często używają sieciowych grup zabezpieczeń do zabezpieczania łączności. Uruchomienie tych obciążeń w oddzielnej podsieci umożliwia zastosowanie tych sieciowych grup zabezpieczeń bez zakłócania łączności z domeną zarządzaną.

Aby uzyskać więcej informacji na temat planowania i konfigurowania sieci wirtualnej, zobacz Zagadnienia dotyczące sieci dla usług Microsoft Entra Domain Services.

Wypełnij pola w oknie Sieć w następujący sposób:

1. Na stronie Sieć wybierz sieć wirtualną do wdrożenia usług domenowych z menu rozwijanego lub wybierz pozycję Utwórz nową.

   1. Jeśli zdecydujesz się utworzyć sieć wirtualną, wprowadź nazwę sieci wirtualnej, taką jak myVnet, a następnie podaj zakres adresów, taki jak 10.0.1.0/24.
   2. Utwórz dedykowaną podsieć o jasnej nazwie, takiej jak DomainServices. Podaj zakres adresów, taki jak 10.0.1.0/24.

   

   Upewnij się, że wybrano zakres adresów należący do zakresu prywatnych adresów IP. Zakresy adresów IP, które są w publicznej przestrzeni adresowej, ale do których nie masz praw, powodują błędy w usługach domenowych.

2. Wybierz podsieć sieci wirtualnej, taką jak DomainServices.

3. Gdy wszystko będzie gotowe, wybierz pozycję Dalej — Administracja.

Konfigurowanie grupy administracyjnej

Specjalna grupa administracyjna o nazwie AAD DC Administrators służy do zarządzania domeną usług Domain Services. Członkowie tej grupy mają przyznane uprawnienia administracyjne na maszynach wirtualnych, które są przyłączone do domeny zarządzanej. Na maszynach wirtualnych przyłączonych do domeny ta grupa jest dodawana do lokalnej grupy administratorów. Członkowie tej grupy mogą również łączyć się zdalnie z maszynami wirtualnymi przyłączonym do domeny za pomocą pulpitu zdalnego.

Ważny

Nie masz uprawnień administratora domeny ani administratora przedsiębiorstwa w domenie zarządzanej przy użyciu usług Domain Services. Usługa rezerwuje te uprawnienia i nie udostępnia ich użytkownikom w ramach dzierżawy.

Zamiast tego grupa Administratorzy usługi AAD DC umożliwia wykonywanie niektórych uprzywilejowanych operacji. Te operacje obejmują przynależność do grupy administracyjnej na maszynach wirtualnych przyłączonych do domeny i konfigurowanie zasad grupy.

Kreator automatycznie tworzy grupę AAD DC Administrators w katalogu Microsoft Entra. Jeśli masz istniejącą grupę o tej nazwie w katalogu Microsoft Entra, kreator wybierze tę grupę. Możesz opcjonalnie dodać dodatkowych użytkowników do tej grupy AAD DC Administrators podczas procesu wdrożenia. Te kroki można wykonać później.

1. Aby dodać kolejnych użytkowników do tej grupy AAD DC Administrators, wybierz Zarządzaj członkostwem w grupie.

   Konfigurowanie członkostwa w grupie AAD DC Administrators

2. Wybierz przycisk Dodaj członków , a następnie wyszukaj i wybierz użytkowników z katalogu Microsoft Entra. Na przykład wyszukaj własne konto i dodaj je do grupy Administratorzy AAD DC.

3. W razie potrzeby zmień lub dodaj dodatkowych adresatów dla powiadomień, gdy istnieją alerty w domenie zarządzanej, które wymagają uwagi.

4. Gdy wszystko będzie gotowe, wybierz pozycję Dalej — Synchronizacja.

Konfigurowanie synchronizacji

Usługi Domain Services umożliwiają synchronizowanie wszystkich użytkowników i grup dostępnych w usłudze Microsoft Entra ID lub synchronizacji w zakresie tylko określonych grup. Zakres synchronizacji można teraz zmienić lub po wdrożeniu domeny zarządzanej. Aby uzyskać więcej informacji, zobacz Synchronizacja w zakresie usług Microsoft Entra Domain Services.

1. Na potrzeby tego samouczka wybierz opcję synchronizowania wszystkich użytkowników i grup. Ta opcja synchronizacji jest opcją domyślną.

   

2. Wybierz pozycję Przejrzyj i utwórz.

Wdrażanie domeny zarządzanej

Na stronie Podsumowanie kreatora przejrzyj ustawienia konfiguracji domeny zarządzanej. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany. Aby w spójny sposób ponownie wdrożyć zarządzaną domenę w innej dzierżawie Microsoft Entra, używając tych opcji konfiguracji, możesz również pobrać szablon do automatyzacji.

1. Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz. Uwaga zawiera informację, że po utworzeniu usług domenowych nie można zmienić niektórych opcji konfiguracji, takich jak nazwa DNS lub sieć wirtualna. Aby kontynuować, wybierz przycisk OK.

2. Proces aprowizacji domeny zarządzanej może potrwać do godziny. W portalu zostanie wyświetlone powiadomienie z postępem wdrażania usług Domenowych. Wybierz powiadomienie, aby wyświetlić szczegółowy postęp wdrożenia.

   

3. Wybierz grupę zasobów, taką jak myResourceGroup, a następnie wybierz domenę zarządzaną z listy zasobów platformy Azure, takich jak aaddscontoso.com. Karta Przegląd pokazuje, że domena zarządzana jest obecnie wdrażana. Nie można skonfigurować domeny zarządzanej, dopóki nie zostanie ona w pełni aprowizowana.

   

4. Gdy domena zarządzana jest w pełni aprowizowana, karta Przegląd wyświetla stan domeny jako Uruchomiono.

   

Ważny

Domena zarządzana jest skojarzona z dzierżawą Microsoft Entra. Podczas procesu konfigurowania, Domain Services tworzy dwie aplikacje korporacyjne o nazwie Domain Controller Services i AzureActiveDirectoryDomainControllerServices w dzierżawie Microsoft Entra. Te aplikacje dla przedsiębiorstw są potrzebne do obsługi domeny zarządzanej. Nie usuwaj tych aplikacji.

Aktualizowanie ustawień DNS dla sieci wirtualnej platformy Azure

Po pomyślnym wdrożeniu usług Domain Services skonfiguruj teraz sieć wirtualną, aby zezwolić innym połączonym maszynom wirtualnym i aplikacjom na korzystanie z domeny zarządzanej. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały dwa adresy IP, w których wdrożono domenę zarządzaną.

1. Karta Przegląd dla zarządzanej domeny pokazuje kilka wymaganych kroków konfiguracji. Pierwszym krokiem konfiguracji jest zaktualizowanie ustawień serwera DNS dla sieci wirtualnej. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już wyświetlany.

   Wymienione adresy to kontrolery domeny do użycia w sieci wirtualnej. W tym przykładzie te adresy to 10.0.1.4 i 10.0.1.5. Te adresy IP można później znaleźć na karcie Właściwości .

   

2. Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj . Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.

Napiwek

Jeśli w poprzednich krokach wybrano istniejącą sieć wirtualną, wszystkie maszyny wirtualne połączone z siecią otrzymają tylko nowe ustawienia DNS po ponownym uruchomieniu. Maszyny wirtualne można ponownie uruchomić przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu wiersza polecenia platformy Azure.

Włączanie kont użytkowników dla usług Domain Services

Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Domain Services wymagają skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Identyfikator Microsoft Entra ID nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos, aż do momentu włączenia Domain Services dla twojej dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.

Notatka

Po odpowiednim skonfigurowaniu skróty haseł do użycia są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.

Zsynchronizowane informacje o poświadczeniach w identyfikatorze Entra firmy Microsoft nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną — należy ponownie skonfigurować synchronizację skrótów haseł w celu ponownego przechowywania skrótów haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie mogą natychmiast uwierzytelniać się — identyfikator entra firmy Microsoft musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej.

Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług Domenowych i Microsoft Entra Connect.

Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku dwóch typów kont użytkowników:

• Konta użytkowników tylko w chmurze utworzone w usłudze Microsoft Entra ID.
• Konta użytkowników synchronizowane z katalogu lokalnego przy użyciu programu Microsoft Entra Connect.

Konto użytkownika, które istnieje wyłącznie w chmurze, to konto, które zostało utworzone w katalogu Microsoft Entra przy użyciu centrum administracyjnego Microsoft Entra lub poleceń cmdlet programu Microsoft Graph PowerShell. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.

W tym samouczku współpracujmy z podstawowym kontem użytkownika tylko w chmurze. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do korzystania z programu Microsoft Entra Connect, zobacz Synchronizowanie skrótów haseł dla kont użytkowników synchronizowanych z lokalnej usługi AD z domeną zarządzaną.

Napiwek

Jeśli dzierżawa Microsoft Entra zawiera zarówno użytkowników korzystających wyłącznie z chmury, jak i użytkowników z lokalnej usługi AD, należy wykonać oba zestawy kroków.

W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmieniać swoje hasła, zanim będą mogli korzystać z usług Domain Services. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Microsoft Entra ID. Konto nie jest synchronizowane z usługi Microsoft Entra ID do usług Domain Services, dopóki hasło nie zostanie zmienione. Spowoduj wygaśnięcie haseł dla wszystkich użytkowników chmury w dzierżawie, którzy muszą korzystać z usług Domain Services, co wymusi zmianę hasła podczas następnego logowania, lub poinstruuj użytkowników chmury, aby ręcznie zmienili swoje hasła. W tym samouczku nauczymy się ręcznie zmienić hasło użytkownika.

Aby użytkownik mógł zresetować swoje hasło, dzierżawa firmy Microsoft Entra musi być skonfigurowana do samoobsługowego resetowania hasła.

Aby zmienić hasło użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:

1. Przejdź do strony Microsoft Entra ID Access Panel pod https://myapps.microsoft.com.

2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

   

3. Na stronie Profil wybierz pozycję Zmień hasło.

4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło, a następnie wprowadź i potwierdź nowe hasło.

5. Wybierz pozycję Prześlij.

Zajmuje kilka minut po zmianie hasła, zanim nowe hasło będzie dostępne w usługach domenowych i możliwe będzie pomyślne zalogowanie się do komputerów przyłączonych do zarządzanej domeny.

Następne kroki

W tym samouczku nauczyłeś się, jak:

• Konfigurowanie ustawień dns i sieci wirtualnej dla domeny zarządzanej
• Tworzenie domeny zarządzanej
• Dodawanie użytkowników administracyjnych do zarządzania domenami
• Włączanie kont użytkowników dla usług Domain Services i generowanie skrótów haseł

Aby zobaczyć, jak działa ta domena zarządzana, utwórz i dołącz maszynę wirtualną do domeny.

Dołączanie maszyny wirtualnej z systemem Windows Server do domeny zarządzanej