evento
9/04, 15 - 10/04, 12
Codifique o futuro com IA e conecte-se com colegas e especialistas em Java no JDConf 2025.
Registar-se agoraTutorial: Associar uma máquina virtual do Windows Server a um domínio gerenciado dos Serviços de Domínio Microsoft Entra
Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos/NTLM que é totalmente compatível com o Ative Directory do Windows Server. Com um domínio gerido pelos Serviços de Domínio, pode-se proporcionar funcionalidades e gestão de adesão ao domínio para máquinas virtuais (VMs) no Azure. Este tutorial mostra como criar uma VM do Windows Server e, em seguida, associá-la a um domínio gerenciado.
Neste tutorial, irá aprender a:
- Criar uma VM do Windows Server
- Conectar a VM do Windows Server a uma rede virtual do Azure
- Associar a VM ao domínio gerenciado
Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.
Para concluir este tutorial, você precisa dos seguintes recursos:
- Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um tenant do Microsoft Entra ou vincule uma assinatura do Azure à sua conta.
- Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, crie e configure um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- Uma conta de usuário que faz parte do domínio gerenciado.
- Verifique se a sincronização de hash de senha do Microsoft Entra Connect ou a redefinição de senha de autoatendimento foram executadas para que a conta possa entrar no domínio gerenciado.
- Um host do Azure Bastion implantado em sua rede virtual dos Serviços de Domínio.
- Se necessário, crie um host do Azure Bastion.
Se você já tiver uma VM que deseja ingressar no domínio, pule para a seção para associar a VM ao domínio gerenciado.
Neste tutorial, você cria uma VM do Windows Server para ingressar no seu domínio gerenciado usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no centro de administração do Microsoft Entra.
Para ver como associar um computador a um domínio gerenciado, vamos criar uma VM do Windows Server. Essa VM está conectada a uma rede virtual do Azure que fornece conectividade ao domínio gerenciado. O processo para ingressar em um domínio gerenciado é o mesmo que ingressar em um domínio regular dos Serviços de Domínio Ative Directory local.
Se você já tiver uma VM que deseja ingressar no domínio, pule para a seção para associar a VM ao domínio gerenciado.
No menu do centro de administração do Microsoft Entra ou na página inicial , selecione Criar um recurso.
Sob Máquina virtual, clique em Criar.
Na janela Noções básicas, defina essas configurações para a máquina virtual. Use os valores padrão para outras opções.
Parâmetro Valor sugerido Grupo de recursos Selecionar ou criar um grupo de recursos, como myResourceGroup Nome da máquina virtual Insira um nome para a VM, como myVM Região Escolha a região para criar sua VM, como East US Image Escolha uma versão do Windows Server Username Insira um nome de usuário para a conta de administrador local a ser criada na VM, como azureuser Palavra-passe Insira e confirme uma senha segura para o administrador local criar na VM. Não especifique as credenciais de uma conta de usuário de domínio. O Windows LAPS não é suportado. Por padrão, as VMs criadas no Azure são acessíveis a partir da Internet usando RDP. Quando o RDP está ativado, é provável que ocorram ataques de início de sessão automatizados, que podem desativar contas com nomes comuns, como administrador ou administrador , devido a várias tentativas de início de sessão sucessivas falhadas.
O RDP só deve ser ativado quando necessário e limitado a um conjunto de intervalos de IP autorizados. Essa configuração ajuda a melhorar a segurança da VM e reduz a área para possíveis ataques. Ou crie e use um host do Azure Bastion que permita acesso somente por meio do centro de administração do Microsoft Entra sobre TLS. Na próxima etapa deste tutorial, você usa um host do Azure Bastion para se conectar com segurança à VM.
Em Portas de entrada públicas, selecione Nenhuma.
Quando terminar, selecione Avançar: Discos.
No menu suspenso para o tipo de disco do sistema operativo, escolha SSD Padrão e, em seguida, selecione Seguinte: Rede.
Sua VM deve se conectar a uma sub-rede de rede virtual do Azure que possa se comunicar com a sub-rede na qual seu domínio gerenciado está implantado. Recomendamos que um domínio gerenciado seja implantado em sua própria sub-rede dedicada. Não implante sua VM na mesma sub-rede que seu domínio gerenciado.
Há duas maneiras principais de implantar sua VM e conectar-se a uma sub-rede de rede virtual apropriada:
- Crie uma sub-rede ou selecione uma sub-rede existente na mesma rede virtual em que o domínio gerenciado está implantado.
- Selecione uma sub-rede em uma rede virtual do Azure que esteja conectada a ela usando o emparelhamento de rede virtual do Azure.
Se você selecionar uma sub-rede de rede virtual que não esteja conectada à sub-rede do seu domínio gerenciado, não poderá associar a VM ao domínio gerenciado. Para este tutorial, vamos criar uma nova sub-rede na rede virtual do Azure.
No painel Rede, selecione a rede virtual na qual seu domínio gerenciado está implantado, como aaads-vnet
Neste exemplo, a sub-rede existente aaads-subnet é associada ao domínio gerenciado. Não conecte sua VM a essa sub-rede. Para criar uma sub-rede para a VM, selecione Gerenciar configuração de sub-rede.
No menu esquerdo da janela da rede virtual, selecione Espaço de endereço. A rede virtual é criada com um único espaço de endereço de 10.0.2.0/24, que é usado pela sub-rede padrão. Outras sub-redes, como para cargas de trabalho ou Azure Bastion também podem já existir.
Adicione um intervalo de endereços IP adicional à rede virtual. O tamanho desse intervalo de endereços e o intervalo de endereços IP real a ser usado dependem de outros recursos de rede já implantados. O intervalo de endereços IP não deve se sobrepor a nenhum intervalo de endereços existente em seu ambiente do Azure ou local. Certifique-se de dimensionar o intervalo de endereços IP grande o suficiente para o número de VMs que você espera implantar na sub-rede.
No exemplo a seguir, um intervalo de endereços IP adicional de 10.0.5.0/24 é adicionado. Quando estiver pronto, selecione Salvar.
Em seguida, no menu esquerdo da janela da rede virtual, selecione Sub-redes e, em seguida, escolha + Sub-rede para adicionar uma sub-rede.
Selecione + Sub-rede e insira um nome para a sub-rede, como gerenciamento. Forneça um intervalo de endereços (bloco CIDR), como 10.0.5.0/24. Certifique-se de que este intervalo de endereços IP não se sobrepõe a quaisquer outros intervalos de endereços existentes do Azure ou no local. Deixe as outras opções como seus valores padrão e selecione OK.
Leva alguns segundos para criar a sub-rede. Depois de ser criado, selecione o X para fechar a janela da sub-rede.
De volta ao painel Rede para criar uma VM, escolha a sub-rede criada no menu suspenso, como gerenciamento. Novamente, certifique-se de escolher a sub-rede correta e não implantar sua VM na mesma sub-rede que seu domínio gerenciado.
Em IP Público, selecione Nenhum no menu suspenso. Ao usar o Azure Bastion neste tutorial para se conectar ao gerenciamento, você não precisa de um endereço IP público atribuído à VM.
Deixe as outras opções como seus valores padrão e selecione Gerenciamento.
Defina Diagnóstico de Inicialização para Desativado. Deixe as outras opções como valores padrão e selecione Revisar + criar.
Revise as configurações da VM e selecione Criar.
Leva alguns minutos para criar a VM. O centro de administração do Microsoft Entra mostra o status da implantação. Quando a VM estiver pronta, selecione Ir para recurso.
Para se conectar com segurança às suas VMs, use um host do Azure Bastion. Com o Azure Bastion, um host gerenciado é implantado em sua rede virtual e fornece conexões RDP ou SSH baseadas na Web para VMs. Nenhum endereço IP público é necessário para as VMs e você não precisa abrir regras de grupo de segurança de rede para tráfego remoto externo. Você se conecta a VMs usando o centro de administração do Microsoft Entra a partir do seu navegador da Web. Se necessário, crie um host do Azure Bastion.
Para usar um host Bastion para se conectar à sua VM, conclua as seguintes etapas:
No painel Visão geral da sua VM, selecione Conectar e, em seguida, Bastion.
Insira as credenciais para sua VM especificadas na seção anterior e selecione Conectar.
Se necessário, permita que seu navegador abra pop-ups para que a conexão Bastion seja exibida. Leva alguns segundos para fazer a conexão com sua VM.
Com a VM criada e uma conexão RDP baseada na Web estabelecida usando o Azure Bastion, agora vamos unir a máquina virtual do Windows Server ao domínio gerenciado. Esse processo é o mesmo que um computador que se conecta a um domínio regular dos Serviços de Domínio Ative Directory local.
Se o Gerenciador do Servidor não abrir por padrão quando você entrar na VM, selecione o menu Iniciar e escolha Gerenciador do Servidor.
No painel esquerdo da janela Gerenciador do Servidor, selecione Servidor Local. Em Propriedades no painel direito, escolha Grupo de trabalho.
Na janela Propriedades do sistema, selecione Alterar para ingressar no domínio gerenciado.
Na caixa Domínio, especifique o nome do domínio gerenciado, como aaddscontoso.com, e selecione OK.
Insira as credenciais do domínio para ingressar no domínio. Forneça credenciais para um usuário que faz parte do domínio gerenciado. A conta deve fazer parte do domínio gerenciado ou do locatário do Microsoft Entra - contas de diretórios externos associados ao locatário do Microsoft Entra não podem se autenticar corretamente durante o processo de ingresso no domínio.
As credenciais da conta podem ser especificadas de uma das seguintes maneiras:
-
Formato UPN (recomendado) - Insira o sufixo UPN (nome principal do usuário) para a conta de usuário, conforme configurado no ID do Microsoft Entra. Por exemplo, o sufixo UPN do usuário contosoadmin seria
contosoadmin@aaddscontoso.onmicrosoft.com. Há alguns casos de uso comuns em que o formato UPN pode ser usado de forma confiável para entrar no domínio em vez do formato SAMAccountName :- Se o prefixo UPN de um usuário for longo, como deehasareallylongname, o SAMAccountName poderá ser gerado automaticamente.
- Se vários usuários tiverem o mesmo prefixo UPN em seu locatário do Microsoft Entra, como dee, seu formato SAMAccountName poderá ser gerado automaticamente.
-
Formato SAMAccountName - Insira o nome da conta no formato SAMAccountName . Por exemplo, o SAMAccountName do usuário contosoadmin seria
AADDSCONTOSO\contosoadmin.
-
Formato UPN (recomendado) - Insira o sufixo UPN (nome principal do usuário) para a conta de usuário, conforme configurado no ID do Microsoft Entra. Por exemplo, o sufixo UPN do usuário contosoadmin seria
Leva alguns segundos para ingressar no domínio gerenciado. Quando terminar, a seguinte mensagem dá-lhe as boas-vindas ao domínio:
Selecione OK para continuar.
Para concluir o processo de ingresso no domínio gerenciado, reinicie a VM.
Gorjeta
Pode-se associar a VM a um domínio usando o PowerShell com o cmdlet Add-Computer. O exemplo a seguir ingressa no domínio AADDSCONTOSO e reinicia a VM. Quando solicitado, insira as credenciais de um usuário que faz parte do domínio gerenciado:
Add-Computer -DomainName AADDSCONTOSO -Restart
Para ingressar em uma VM no domínio sem se conectar a ela e configurar manualmente a conexão, você pode usar o cmdlet Set-AzVmAdDomainExtension do Azure PowerShell.
Assim que a VM do Windows Server reiniciar, todas as políticas aplicadas no domínio gerido são transmitidas para a VM. Agora você também pode entrar na VM do Windows Server usando as credenciais de domínio apropriadas.
No próximo tutorial, você usa essa VM do Windows Server para instalar as ferramentas de gerenciamento que permitem administrar o domínio gerenciado. Se você não quiser continuar nesta série de tutoriais, revise as etapas de limpeza a seguir para excluir a VM. Caso contrário, continue para o próximo tutorial.
Para remover a VM do domínio gerenciado, siga as etapas novamente para unir a VM a um domínio. Em vez de ingressar no domínio gerenciado, opte por ingressar em um grupo de trabalho, como o WORKGROUP padrão. Após a reinicialização da VM, o objeto de computador é removido do domínio gerenciado.
Se você excluir a VM sem cancelar a associação do domínio, um objeto de computador órfão será deixado nos Serviços de Domínio.
Se você não vai usar essa VM do Windows Server, exclua a VM usando as seguintes etapas:
- No menu à esquerda, selecione Grupos de recursos
- Escolha seu grupo de recursos, como myResourceGroup.
- Escolha sua VM, como myVM, e selecione Excluir. Selecione Sim para confirmar a exclusão do recurso. Leva alguns minutos para excluir a VM.
- Quando a VM for excluída, selecione o disco do sistema operacional, a placa de interface de rede e quaisquer outros recursos com o prefixo myVM- e exclua-os.
A VM do Windows Server deve ingressar com êxito no domínio gerenciado, da mesma forma que um computador local comum ingressaria em um domínio dos Serviços de Domínio Ative Directory. Se a VM do Windows Server não puder ingressar no domínio gerenciado, isso indica que há um problema relacionado à conectividade ou às credenciais. Analise as seções de solução de problemas a seguir para ingressar com êxito no domínio gerenciado.
Se você não receber uma solicitação solicitando credenciais para ingressar no domínio, há um problema de conectividade. A VM não pode acessar o domínio gerenciado na rede virtual.
Depois de tentar cada uma dessas etapas de solução de problemas, tente associar a VM do Windows Server ao domínio gerenciado novamente.
- Verifique se a VM está conectada à mesma rede virtual em que os Serviços de Domínio estão habilitados ou se tem uma conexão de rede emparelhada.
- Tente executar ping no nome de domínio DNS do domínio gerenciado, como
ping aaddscontoso.com.- Se a solicitação de ping falhar, tente executar ping nos endereços IP do domínio gerenciado, como
ping 10.0.0.4. O endereço IP do seu ambiente é exibido na página Propriedades quando você seleciona o domínio gerenciado na sua lista de recursos do Azure. - Se você pode executar ping no endereço IP, mas não no domínio, o DNS pode estar configurado incorretamente. Confirme se os endereços IP do domínio gerenciado estão configurados como servidores DNS para a rede virtual.
- Se a solicitação de ping falhar, tente executar ping nos endereços IP do domínio gerenciado, como
- Tente liberar o cache do resolvedor de DNS na máquina virtual usando o
ipconfig /flushdnscomando.
Caso receba um aviso pedindo credenciais para ingressar no domínio, mas depois de inserir essas credenciais ocorrer um erro, a VM está capaz de se conectar ao domínio gerido. As credenciais fornecidas não permitem que a VM ingresse no domínio gerenciado.
Depois de tentar cada uma dessas etapas de solução de problemas, tente associar a VM do Windows Server ao domínio gerenciado novamente.
- Verifique se a conta de usuário especificada pertence ao domínio gerenciado.
- Confirme se a conta faz parte do domínio gerido ou do inquilino Microsoft Entra. As contas de diretórios externos associadas ao inquilino do Microsoft Entra não podem ser autenticadas corretamente durante o processo de união ao domínio.
- Tente usar o formato UPN para especificar credenciais, como
contosoadmin@aaddscontoso.onmicrosoft.com. Se houver muitos usuários com o mesmo prefixo UPN em seu locatário ou se seu prefixo UPN for muito longo, o SAMAccountName para sua conta poderá ser gerado automaticamente. Nesses casos, o formato SAMAccountName para sua conta pode ser diferente do que você espera ou usa em seu domínio local. - Verifique se você ativou a sincronização de senha para seu domínio gerenciado. Sem esta etapa de configuração, os hashes de senha necessários não estarão presentes no domínio gerenciado para autenticar corretamente sua tentativa de entrada.
- Aguarde até que a sincronização de senha seja concluída. Quando a senha de uma conta de usuário é alterada, uma sincronização automática em segundo plano do Microsoft Entra ID atualiza a senha nos Serviços de Domínio. Leva algum tempo para que a senha esteja disponível para uso de associação ao domínio.
Neste tutorial, ficou a saber como:
- Criar uma VM do Windows Server
- Conectar-se à VM do Windows Server a uma rede virtual do Azure
- Associar a VM ao domínio gerenciado
Para administrar seu domínio gerenciado, configure uma VM de gerenciamento usando o Centro Administrativo do Ative Directory (ADAC).
Recursos adicionais
Formação
Módulo
Implementar uma identidade híbrida com o Windows Server - Training
Implementar uma identidade híbrida com o Windows Server
Certificação
Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications
Como administrador híbrido do Windows Server, você integra ambientes do Windows Server aos serviços do Azure e gerencia o Windows Server em redes locais.
Documentação
-
Neste tutorial, você aprenderá a criar e configurar uma máquina virtual do Windows que você usa para administrar o domínio gerenciado dos Serviços de Domínio Microsoft Entra.
-
Tutorial - Criar um domínio gerenciado dos Serviços de Domínio Microsoft Entra - Microsoft Entra ID
Neste tutorial, você aprenderá a criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra usando o centro de administração do Microsoft Entra.
-
Neste tutorial, você aprenderá a criar e configurar uma sub-rede de rede virtual do Azure ou emparelhamento de rede para um domínio gerenciado dos Serviços de Domínio Microsoft Entra usando o centro de administração do Microsoft Entra.