Implementowanie i konfigurowanie usług Microsoft Entra Domain Services
Organizacje korzystające z identyfikatora entra firmy Microsoft tylko w chmurze mogą włączyć usługi Microsoft Entra Domain Services dla sieci wirtualnej platformy Azure, a następnie uzyskać nową domenę zarządzaną. Użytkownicy i grupy w identyfikatorze Entra firmy Microsoft są dostępne w nowo utworzonej domenie, która ma usługi katalogowe podobne do lokalnych usług AD DS, w tym zasad grupy, protokołu Kerberos i obsługi protokołu LDAP.
Maszyny wirtualne platformy Azure z systemem Windows można dołączyć do nowo utworzonej domeny i zarządzać nimi przy użyciu podstawowych ustawień zasad grupy. Po włączeniu usług Microsoft Entra Domain Services skróty poświadczeń wymagane do uwierzytelniania NTLM i Kerberos są przechowywane w identyfikatorze Entra firmy Microsoft.
Ponieważ firma Contoso jest organizacją hybrydową, może zintegrować swoje tożsamości z lokalnych usług AD DS z usługami Microsoft Entra Domain Services przy użyciu usługi Microsoft Entra Połączenie. Użytkownicy w organizacjach hybrydowych mogą mieć takie samo środowisko podczas uzyskiwania dostępu do zasobów opartych na domenie w infrastrukturze lokalnej lub podczas uzyskiwania dostępu do zasobów z maszyn wirtualnych, które działają w sieci wirtualnej platformy Azure zintegrowanej z usługami Microsoft Entra Domain Services.
Implementowanie usług Microsoft Entra Domain Services
Aby zaimplementować, skonfigurować i używać usług Microsoft Entra Domain Services, musisz mieć dzierżawę firmy Microsoft Entra utworzoną w ramach subskrypcji firmy Microsoft Entra. Ponadto, aby korzystać z usług Microsoft Entra Domain Services, musisz mieć synchronizację skrótów haseł wdrożonych w usłudze Microsoft Entra Połączenie. Jest to konieczne, ponieważ usługi Microsoft Entra Domain Services zapewniają uwierzytelnianie NTLM i Kerberos, więc poświadczenia użytkowników są wymagane.
Po włączeniu usług Microsoft Entra Domain Services dla dzierżawy należy wybrać nazwę domeny DNS, która będzie używana dla tej usługi. Należy również wybrać domenę, która zostanie zsynchronizowana ze środowiskiem lokalnym.
Uwaga
Nie należy używać istniejącej przestrzeni nazw domen AZURE ani lokalnej domeny DNS.
W poniższej tabeli opisano dostępne opcje nazwy domeny DNS.
| Opcja | Opis |
|---|---|
| Wbudowana nazwa domeny | Domyślnie używana jest wbudowana nazwa domeny katalogu (sufiks .onmicrosoft.com). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie można utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com, więc urząd certyfikacji nie wystawi certyfikatu. |
| Niestandardowe nazwy domen | Najbardziej typowym podejściem jest określenie niestandardowej nazwy domeny, zazwyczaj takiej, której już jesteś właścicielem, i jest routingiem. Jeśli używasz routingu, domena niestandardowa, ruch może prawidłowo przepływać zgodnie z potrzebami w celu obsługi aplikacji. |
| Sufiksy domeny bez routingu | Zazwyczaj zaleca się unikanie sufiksu nazwy domeny nieobsługiwanej, na przykład contoso.local. Sufiks lokalny nie jest routingiem i może powodować problemy z rozpoznawaniem nazw DNS. |
Napiwek
Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych usług przesyłania dalej DNS między istniejącymi przestrzeniami nazw DNS w środowisku.
Podczas implementacji należy również wybrać typ lasu do aprowizacji. Las jest konstrukcją logiczną używaną przez usługi AD DS do grupowania co najmniej jednej domeny. Istnieją dwa typy lasów, zgodnie z opisem w poniższej tabeli.
| Typ lasu | opis |
|---|---|
| Użytkownika | Ten typ lasu synchronizuje wszystkie obiekty z identyfikatora Entra firmy Microsoft, w tym wszystkie konta użytkowników utworzone w lokalnym środowisku usług AD DS. |
| Zasób | Ten typ lasu synchronizuje tylko użytkowników i grupy utworzone bezpośrednio w identyfikatorze Entra firmy Microsoft. |
Następnie należy wybrać lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana. Jeśli wybierzesz region obsługujący strefy dostępności, zasoby usług Microsoft Entra Domain Services są dystrybuowane między strefami w celu zapewnienia dodatkowej nadmiarowości.
Uwaga
Nie musisz konfigurować usług Microsoft Entra Domain Services do dystrybucji między strefami. Platforma Azure automatycznie zarządza dystrybucją stref zasobów.
Musisz również wybrać sieć wirtualną, z którą połączysz tę usługę. Ponieważ usługi Microsoft Entra Domain Services udostępniają funkcje zasobów lokalnych, musisz mieć sieć wirtualną między środowiskami lokalnymi a środowiskami platformy Azure.
Podczas aprowizacji usługi Microsoft Entra Domain Services tworzą dwie aplikacje dla przedsiębiorstw w dzierżawie firmy Microsoft Entra. Te aplikacje są potrzebne do obsługi domeny zarządzanej i dlatego nie należy usuwać tych aplikacji. Aplikacje dla przedsiębiorstw to:
- Usługi kontrolera domeny.
- AzureActiveDirectoryDomainControllerServices.
Po wdrożeniu wystąpienia usług Microsoft Entra Domain Services należy skonfigurować sieć wirtualną, aby umożliwić innym połączonym maszynom wirtualnym i aplikacjom używanie domeny zarządzanej. Aby zapewnić tę łączność, należy zaktualizować ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały adresy IP skojarzone z wystąpieniem usług Microsoft Entra Domain Services.
Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Microsoft Entra Domain Services wymagają skrótów haseł w formacie odpowiednim do uwierzytelniania NTLM i Kerberos. Identyfikator Entra firmy Microsoft nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Microsoft Entra Domain Services dla dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników. Po skonfigurowaniu skrótów haseł do użycia są one przechowywane w domenie zarządzanej przez usługi Microsoft Entra Domain Services.
Uwaga
Jeśli usuniesz domenę zarządzaną przez usługi Microsoft Entra Domain Services, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.
Zsynchronizowane informacje o poświadczeniach w identyfikatorze Entra firmy Microsoft nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną przez usługi Microsoft Entra Domain Services — należy ponownie skonfigurować synchronizację skrótów haseł w celu ponownego przechowywania skrótów haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać się — identyfikator Entra firmy Microsoft musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej usług Microsoft Entra Domain Services.
Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w usłudze Microsoft Entra ID w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu usługi Microsoft Entra Połączenie. Konto użytkownika tylko w chmurze to konto utworzone w katalogu Microsoft Entra przy użyciu witryny Azure Portal lub poleceń cmdlet programu PowerShell programu Microsoft Graph. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.
W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli korzystać z usług Microsoft Entra Domain Services. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i uwierzytelniania NTLM w usłudze Microsoft Entra ID. Konto nie jest synchronizowane z usługi Microsoft Entra ID do usług Microsoft Entra Domain Services, dopóki hasło nie zostanie zmienione. Wygasną hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą korzystać z usług Microsoft Entra Domain Services, co wymusza zmianę hasła podczas następnego logowania, lub poinstruuj użytkowników chmury, aby ręcznie zmienili swoje hasła.
Napiwek
Aby użytkownik mógł zresetować swoje hasło, należy skonfigurować dzierżawę usługi Microsoft Entra na potrzeby samoobsługowego resetowania hasła.
Materiały uzupełniające
Aby dowiedzieć się więcej, zapoznaj się z następującymi dokumentami.
- Samouczek: tworzenie i konfigurowanie domeny zarządzanej usług Microsoft Entra Domain Services przy użyciu zaawansowanych opcji konfiguracji.
- Samouczek: tworzenie zaufania lasu wychodzącego do domeny lokalnej w usługach Microsoft Entra Domain Services (wersja zapoznawcza)
- Zaimplementuj synchronizację skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.