Tutorial: Criar uma relação de confiança de floresta bidirecional no Microsoft Entra Domain Services com um domínio local
É possível criar uma relação de confiança de floresta entre o Microsoft Entra Domain Services e ambientes do AD DS locais. Essa relação de confiança de floresta permite que usuários, aplicativos e computadores se autentiquem em um domínio local por meio do domínio gerenciado do Domain Services. Uma relação de confiança de floresta pode ajudar os usuários a acessar recursos em cenários como:
- Ambientes em que você não pode sincronizar hashes de senha ou em que os usuários se conectam exclusivamente usando cartões inteligentes e não sabem a senha.
- Cenários híbridos que exigem acesso a domínios locais.
Você pode escolher entre três direções possíveis ao criar uma relação de confiança de floresta, dependendo de como os usuários precisam acessar recursos. Os Serviços de Domínio só dão suporte a relações de confiança de floresta. Não há suporte para uma relação de confiança externa para um domínio filho local.
Direção da relação de confiança | Acesso do usuário |
---|---|
Bidirecional | Permite que os usuários no domínio gerenciado e no domínio local acessem recursos em ambos os domínios. |
Unidirecional de saída | Permite que os usuários no domínio local acessem recursos no domínio gerenciado, mas não vice-versa. |
Unidirecional de entrada | Permite que usuários no domínio gerenciado acessem recursos no domínio local. |
Neste tutorial, você aprenderá a:
- Configurar o DNS em um domínio do AD DS local para dar suporte à conectividade do Domain Services
- Criar uma relação de confiança de floresta bidirecional entre o domínio gerenciado e o domínio local
- Testar e validar a relação de confiança de floresta para autenticação e acesso a recursos
Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.
Pré-requisitos
Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:
- Uma assinatura ativa do Azure.
- Caso não tenha uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado do Domain Services configurado com um nome de domínio DNS personalizado e um certificado SSL válido.
- Um domínio do Active Directory local que pode ser acessado do domínio gerenciado por meio de uma conexão VPN ou ExpressRoute.
- Funções do Microsoft Entra Administrador de Aplicativos e Administrador de Grupos em seu locatário para modificar uma instância do Domain Services.
- Uma conta de Administrador de Domínio no domínio local que tem as permissões para criar e verificar relações de confiança.
Importante
Você também precisa usar o mínimo do SKU Enterprise para seu domínio gerenciado. Se necessário, altere o SKU de um domínio gerenciado.
Entre no centro de administração do Microsoft Entra
Neste tutorial, você deve criar e configurar as relações de confiança na floresta de saída do Domain Services utilizando o centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de Administração do Microsoft Entra.
Considerações de rede
A rede virtual que hospeda a floresta do Domain Services precisa de uma conexão VPN ou ExpressRoute com o Active Directory local. Aplicativos e serviços também precisam da conectividade de rede com a rede virtual que hospeda a floresta do Domain Services. A conectividade de rede com a floresta do Domain Services deve estar sempre ativa e estável; caso contrário, os usuários podem falhar ao se autenticar ou ao acessar os recursos.
Antes de configurar uma relação de confiança de floresta no Domain Services, verifique se a rede entre o Azure e o ambiente local atende aos seguintes requisitos:
- Verifique se as portas de firewall permitem o tráfego necessário para criar e usar uma relação de confiança. Para obter mais informações sobre quais portas precisam ser abertas para usar uma relação de confiança, consulte Definir configurações de firewall para relações de confiança do AD DS.
- Usar endereços IP privados. Não confiar no DHCP com a atribuição de endereço IP dinâmico.
- Evitar a sobreposição de espaços de endereço IP para permitir o emparelhamento e o roteamento de rede virtual para se comunicar com êxito entre o Azure e o local.
- Uma rede virtual do Azure precisa de uma sub-rede de gateway para configurar uma conexão de VPN S2S (site a site) do Azure ou do ExpressRoute.
- Criar sub-redes com endereços IP suficientes para dar suporte ao seu cenário.
- Verificar se o Domain Services tem a própria sub-rede, não compartilhar essa sub-rede de rede virtual com VMs de aplicativo e serviços.
- Redes virtuais emparelhadas NÃO são transitivas.
- Os emparelhamentos de rede virtual do Azure devem ser criados entre todas as redes virtuais que você deseja usar a relação de confiança de floresta do Domain Services com o ambiente do AD DS local.
- Fornecer conectividade de rede contínua para sua floresta do Active Directory local. Não usar conexões sob demanda.
- Verifique se há uma resolução de nomes DNS contínua entre o nome da floresta do Domain Services e o nome da floresta do Active Directory local.
Configurar a DNS no domínio local
Para resolver corretamente o domínio gerenciado do ambiente local, talvez seja necessário adicionar encaminhadores aos servidores DNS existentes. Para configurar o ambiente local para se comunicar com o domínio gerenciado, conclua as seguintes etapas de uma estação de trabalho de gerenciamento para o domínio do AD DS local:
Selecione Iniciar>Ferramentas Administrativas>DNS.
Selecione a zona DNS, como aaddscontoso.com.
Selecione Encaminhadores Condicionais, depois selecione com o botão direito do mouse e escolha Novo Encaminhador Condicional...
Insira seu outro Domínio DNS, como contoso.com, em seguida, insira os endereços IP dos servidores DNS para esse namespace, conforme mostrado no seguinte exemplo:
Marque a caixa Armazenar este encaminhador condicional no Active Directory e replicá-lo do seguinte modo e, em seguida, selecione a opção Todos os servidores DNS neste domínio, conforme mostrado no seguinte exemplo:
Importante
Se o encaminhador condicional for armazenado na floresta em vez de no domínio, o encaminhador condicional falhará.
Para criar o encaminhador condicional, selecione OK.
Criar a relação de confiança de floresta bidirecional no domínio local
O domínio do AD DS local precisa de uma relação de confiança de floresta bidirecional para o domínio gerenciado. Essa relação de confiança deve ser criada manualmente no domínio do AD DS local; não pode ser criada a partir do centro de administração do Microsoft Entra.
Para configurar a relação de confiança bidirecional no domínio do AD DS local, conclua as seguintes etapas como um Administrador de Domínio em uma estação de trabalho de gerenciamento para o domínio do AD DS local:
- Selecione Iniciar>Ferramentas Administrativas>Domínios e Relações de Confiança do Active Directory.
- Clique com o botão direito do mouse no domínio, como onprem.contoso.com, e escolha Propriedades.
- Escolha a guia Relações de Confiança e Nova Relação de Confiança.
- Insira o nome de domínio do Domain Services, como aaddscontoso.com, e selecione Avançar.
- Selecione a opção para criar uma Relação de confiança de floresta e, em seguida, para criar uma relação de confiança Bidirecional.
- Escolha criar a relação de confiança para Somente este domínio. Na próxima etapa, você deve criar a confiança no centro de administração do Microsoft Entra para o domínio gerenciado.
- Escolha usar a Autenticação em toda a floresta; em seguida, insira a senha da relação de confiança e confirme-a. Essa mesma senha também é inserida no centro de administração do Microsoft Entra na próxima seção.
- Percorra as próximas janelas com as opções padrão e, em seguida, escolha a opção Não, não confirme a relação de confiança de saída.
- Selecione Concluir.
Se a relação de confiança de floresta não for mais necessária para um ambiente, conclua as seguintes etapas como um Administrador de Domínio para removê-la do domínio local:
- Selecione Iniciar>Ferramentas Administrativas>Domínios e Relações de Confiança do Active Directory.
- Clique com o botão direito do mouse no domínio, como onprem.contoso.com, e escolha Propriedades.
- Escolha a guia Relações de Confiança e Domínios que confiam neste domínio (relações de confiança de entrada) , clique na relação de confiança a ser removida e em Remover.
- Na guia Relações de Confiança, em Domínios em que este domínio confia (relações de confiança de saída) , clique na relação de confiança a ser removida e clique em Remover.
- Clique em Não, remover apenas a relação de confiança do domínio local.
Criar uma relação de confiança de floresta bidirecional no Domain Services
Para criar a relação de confiança bidirecional para o domínio gerenciado no centro de administração do Microsoft Entra, conclua as seguintes etapas:
No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Services e, em seguida, selecione seu domínio gerenciado, como aaddscontoso.com.
No menu esquerdo do domínio gerenciado, selecione Relações de confiança e, em seguida, escolha para + Adicionar uma relação de confiança.
Selecione Bidirecional como a direção da relação de confiança.
Insira um nome de exibição que identifique sua relação de confiança e o nome DNS da floresta confiável local, como onprem.contoso.com.
Forneça a mesma senha da relação de confiança que foi usada para configurar a relação de confiança de floresta de entrada para o domínio do AD DS local na seção anterior.
Forneça, no mínimo, dois servidores DNS para o domínio do AD DS local, como 10.1.1.4 e 10.1.1.5.
Quando estiver pronto, Salve a relação de confiança de floresta de saída.
Se a relação de confiança de floresta não for mais necessária para um ambiente, conclua as seguintes etapas para removê-la do Domain Services:
- No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Services e, em seguida, selecione seu domínio gerenciado, como aaddscontoso.com.
- No menu do lado esquerdo do domínio gerenciado, selecione Relações de Confiança, escolha a relação de confiança e clique em Remover.
- Forneça a mesma senha de confiança que foi usada para configurar a relação de confiança de floresta e clique em OK.
Validar a autenticação de recurso
Os seguintes cenários comuns permitem que você valide se a relação de confiança de floresta autentica corretamente os usuários e o acesso a recursos:
- Autenticação de usuário local da floresta do Domain Services
- Acessar recursos na floresta do Domain Services usando o usuário local
Autenticação de usuário local da floresta do Domain Services
Você deverá ter a máquina virtual do Windows Server ingressada no domínio gerenciado. Use esta máquina virtual para testar se o usuário local pode se autenticar em uma máquina virtual. Se necessário, crie uma VM do Windows e ingresse-a no domínio gerenciado.
Conecte-se à VM do Windows Server ingressada na floresta do Domain Services usando o Azure Bastion e suas credenciais de administrador do Domain Services.
Abra um prompt de comando e use o comando
whoami
para mostrar o nome diferenciado do usuário autenticado no momento:whoami /fqdn
Use o comando
runas
para se autenticar como um usuário no domínio local. No comando a seguir, substituauserUpn@trusteddomain.com
pelo UPN de um usuário do domínio local confiável. O comando solicita a senha do usuário:Runas /u:userUpn@trusteddomain.com cmd.exe
Se a autenticação for bem-sucedida, um novo prompt de comando será aberto. O título do novo prompt de comando inclui
running as userUpn@trusteddomain.com
.Use
whoami /fqdn
no novo prompt de comando para ver o nome diferenciado do usuário autenticado no Active Directory local.
Acessar recursos na floresta do Domain Services usando o usuário local
Na VM do Windows Server ingressada na floresta do Domain Services, você pode testar cenários. Por exemplo, você pode testar se um usuário que entra no domínio local pode acessar recursos no domínio gerenciado. Os exemplos a seguir abrangem cenários de teste comuns.
Habilitar compartilhamento de arquivos e impressora
Conecte-se à VM do Windows Server ingressada na floresta do Domain Services usando o Azure Bastion e suas credenciais de administrador do Domain Services.
Abra as Configurações do Windows.
Pesquise e selecione Central de Rede e Compartilhamento.
Escolha a opção para as configurações Alterar compartilhamento avançado.
No Perfil de Domínio, selecione Ativar compartilhamento de arquivos e impressora e, em seguida, Salvar alterações.
Feche a Central de Rede e Compartilhamento.
Criar um grupo de segurança e adicionar membros
Abra Computadores e Usuários do Active Directory.
Selecione com o botão direito do mouse o nome de domínio, escolha Novo e, em seguida, selecione Unidade Organizacional.
Na caixa de nome, digite LocalObjects e, em seguida, selecione OK.
Selecione e clique com o botão direito do mouse em LocalObjects no painel de navegação. Selecione Novo e, em seguida, Grupo.
Digite FileServerAccess na caixa Nome do grupo. Para o Escopo do Grupo, selecione Local do domínio e, em seguida, OK.
No painel de conteúdo, clique duas vezes em FileServerAccess. Selecione Membros, escolha Adicionar e selecione Locais.
Selecione o Active Directory local na exibição Localização e escolha OK.
Digite os Usuários de Domínio na caixa Insira os nomes de objeto a serem selecionados. Selecione Verificar Nomes, forneça credenciais para o Active Directory local e, em seguida, selecione OK.
Observação
Você deve fornecer credenciais porque a relação de confiança é somente unidirecional. Isso significa que os usuários do domínio gerenciado do Domain Services não podem acessar recursos nem pesquisar usuários ou grupos no domínio confiável (local).
O grupo Usuários de Domínio do seu Active Directory local deve ser membro do grupo FileServerAccess. Selecione OK para salvar o grupo e fechar a janela.
Criar um compartilhamento de arquivo para acesso entre florestas
- Na VM do Windows Server ingressada na floresta do Domain Services, crie uma pasta e forneça um nome como CrossForestShare.
- Selecione com o botão direito do mouse a pasta e escolha Propriedades.
- Na guia Segurança e, em seguida, escolha Editar.
- Na caixa de diálogo Permissões para CrossForestShare, selecione Adicionar.
- Digite FileServerAccess em Insira os nomes de objeto a serem selecionados e, em seguida, selecione OK.
- Selecione FileServerAccess na lista Grupos ou nomes de usuário. Na lista Permissões para FileServerAccess, escolha Permitir para as permissões Modificar e Gravar; em seguida, selecione OK.
- Selecione a guia Compartilhamento e escolha Compartilhamento Avançado… .
- Escolha Compartilhar esta pasta e, em seguida, insira um nome fácil de memorizar para o compartilhamento de arquivo em Nome do compartilhamento como CrossForestShare.
- Selecione Permissões. Na lista Permissões para Todos, escolha Permitir para a permissão Alterar.
- Selecione OK duas vezes e, em seguida, Fechar.
Validar a autenticação entre florestas para um recurso
Entre em um computador Windows ingressado em seu Active Directory local usando uma conta de usuário do Active Directory local.
Usando o Windows Explorer, conecte-se ao compartilhamento que você criou usando o nome de host totalmente qualificado e o compartilhamento, como
\\fs1.aaddscontoso.com\CrossforestShare
.Para validar a permissão de gravação, selecione com o botão direito do mouse a pasta, escolha Novo e, em seguida, selecione Documento de Texto. Use o nome padrão Novo Documento de Texto.
Se as permissões de gravação estiverem definidas corretamente, um documento de texto será criado. Conclua as etapas a seguir para abrir, editar e excluir o arquivo conforme apropriado.
Para validar a permissão Ler, abra Novo Documento de Texto.
Para validar a permissão Modificar, adicione texto ao arquivo e feche o Bloco de Notas. Quando for solicitado a salvar as alterações, escolha Salvar.
Para validar a permissão Excluir, selecione com o botão direito do mouse Novo Documento de Texto e escolha Excluir. Escolha Sim para confirmar a exclusão do arquivo.
Próximas etapas
Neste tutorial, você aprendeu a:
- Configurar o DNS em um ambiente local do AD DS para dar suporte à conectividade do Domain Services
- Criar uma relação de confiança de floresta de entrada unidirecional em um ambiente do AD DS local
- Criar uma relação de confiança de floresta de saída unidirecional no Domain Services
- Testar e validar a relação de confiança para autenticação e acesso a recursos
Para obter mais informações conceituais sobre a floresta no Domain Services, confira Como funcionam as relações de confiança de floresta no Domain Services?.