Руководство. Присоединение виртуальной машины Windows Server к управляемому домену доменных служб Microsoft Entra
Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимая с Windows Server Active Directory. С помощью управляемого домена доменных служб можно предоставить функции присоединения к домену и управление виртуальными машинами в Azure. В этом руководстве показано, как создать виртуальную машину Windows Server и присоединить ее к управляемому домену.
В этом руководстве описано следующее:
- создание виртуальной машины Windows Server;
- подключение виртуальной машины Windows Server к виртуальной сети Azure;
- Присоединение виртуальной машины к управляемому домену
Если у вас еще нет подписки Azure, создайте учетную запись, прежде чем начинать работу.
Необходимые компоненты
Для работы с этим учебником требуются следующие ресурсы:
- Активная подписка Azure.
- Если у вас еще нет подписки Azure, создайте учетную запись.
- Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости создайте и настройте управляемый домен доменных служб Microsoft Entra.
- Учетная запись пользователя, входящая в управляемый домен.
- Убедитесь, что Microsoft Entra Подключение синхронизацию хэша паролей или самостоятельный сброс пароля, чтобы учетная запись могла войти в управляемый домен.
- Узел Бастиона Azure, развернутый в виртуальной сети доменных служб.
- При необходимости создайте узел Бастиона Azure.
Если у вас уже есть виртуальная машина, которую вы хотите присоединить к домену, перейдите к разделу о присоединении виртуальной машины к управляемому домену.
Вход в Центр администрирования Microsoft Entra
В этом руководстве вы создадите виртуальную машину Windows Server для присоединения к управляемому домену с помощью Центра администрирования Microsoft Entra. Чтобы приступить к работе, войдите в Центр администрирования Microsoft Entra.
Создание виртуальной машины Windows Server
Чтобы продемонстрировать, как присоединить компьютер к управляемому домену, мы для начала создадим виртуальную машину Windows Server. Эта виртуальная машина подключается к виртуальной сети Azure, которая обеспечивает подключение к управляемому домену. Процесс присоединения к управляемому домену аналогичен присоединению к обычному локальному домену доменных служб Active Directory.
Если у вас уже есть виртуальная машина, которую вы хотите присоединить к домену, перейдите к разделу о присоединении виртуальной машины к управляемому домену.
В меню Центра администрирования Microsoft Entra или на домашней странице выберите " Создать ресурс".
Под виртуальной машиной нажмите кнопку "Создать".
В окне "Основы" настройте эти параметры для виртуальной машины. Используйте значения по умолчанию для других параметров.
Параметр Предлагаемое значение Группа ресурсов Выберите или создайте группу ресурсов, например myResourceGroup. Virtual machine name Введите имя виртуальной машины, например myVM. Область/регион Выберите регион для создания виртуальной машины, например Восточная часть США. Изображения Выбор версии Windows Server Username Введите имя пользователя для учетной записи локального администратора виртуальной машины, например azureuser. Пароль Введите и подтвердите надежный пароль для локального администратора, который будет создан на виртуальной машине. Не вводите учетные данные пользователя домена. Windows LAPS не поддерживается. По умолчанию виртуальные машины, созданные в Azure, доступны из Интернета с помощью RDP. При включенном протоколе удаленного рабочего стола крайне вероятны атаки с автоматическим входом, что может привести к отключению учетных записей с типичными именами (например, admin, administrator и т. п.) после многочисленных неудачных попыток входа.
Протокол RDP нужно включать только при необходимости и только для нескольких разрешенных IP-адресов. Такая конфигурация повышает безопасность виртуальной машины и сокращает потенциальную область атаки. Или создайте и используйте узел Бастиона Azure, который разрешает доступ только через Центр администрирования Microsoft Entra через TLS. На следующем шаге этого учебника вы используете узел Бастиона Azure для безопасного подключения к виртуальной машине.
В разделе Общедоступные входящие порты выберите Нет.
По завершении нажмите кнопку "Далее: диски".
В раскрывающемся меню для типа диска ОС выберите "Стандартный SSD", а затем нажмите кнопку "Далее: сеть".
Виртуальная машина должна подключаться к подсети виртуальной сети Azure, которая может взаимодействовать с подсетью, где развернут управляемый домен. Мы рекомендуем развертывать управляемый домен в собственной выделенной подсети. Не развертывайте виртуальную машину в той же подсети, что и управляемый домен.
Есть два основных способа развернуть виртуальную машину и правильно подключить ее к подсети виртуальной сети.
- Создайте или выберите существующую подсеть в той же виртуальной сети, где развернут управляемый домен.
- Выберите подсеть в виртуальной сети Azure, которая подключена к ней через пиринг виртуальной сети Azure.
Если вы выберете подсеть виртуальной сети, которая не подключена к подсети управляемого домена, вы не сможете присоединить к нему виртуальную машину. В этом учебнике мы создадим новую подсеть в виртуальной сети Azure.
В области Сеть выберите виртуальную сеть, в которой развернут управляемый домен, например aaads-vnet.
В этом примере отображается существующая подсеть aaads-subnet, к которой подключен управляемый домен. Не подключайте виртуальную машину к этой подсети. Чтобы создать подсеть для виртуальной машины, выберите Управление конфигурацией подсети.
В окне виртуальной сети выберите в меню слева элемент Адресное пространство. Виртуальная сеть создается с одним адресным пространством 10.0.2.0/24, которое используется для создаваемой по умолчанию сети. Также могут существовать другие подсети, например для рабочих нагрузок или службы "Бастион Azure".
Добавьте еще один диапазон IP-адресов к этой виртуальной сети. Размер этого диапазона адресов и фактические значения IP-адресов следует выбирать с учетом уже развернутых сетевых ресурсов. Этот диапазон IP-адресов не должен перекрываться с существующими диапазонами адресов в Azure или локальной среде. Предоставьте диапазон IP-адресов достаточного размера для размещения всех запланированных виртуальных машин.
В следующем примере добавляется диапазон IP-адресов 10.0.5.0/24. Когда все будет готово, щелкните Сохранить.
Теперь в окне виртуальной сети выберите в меню слева элемент Подсети, а затем щелкните +Подсеть, чтобы добавить подсеть.
Выберите + Подсеть и введите имя подсети, например management. Укажите значение для параметра Диапазон адресов (блок CIDR), например 10.0.5.0/24. Этот диапазон IP-адресов не должен перекрываться другими существующими диапазонами адресов Azure или локальных адресов. Для других параметров сохраните значения по умолчанию и щелкните ОК.
Создание виртуальной сети занимает несколько секунд. Когда создание завершится, щелкните X, чтобы закрыть окно подсети.
Теперь в панели Сети, которую вы открыли для создания виртуальной машины, выберите из раскрывающегося меню созданную подсеть, например management. Здесь также убедитесь, что выбрана правильная подсеть, и не развертывайте виртуальную машину в той же подсети, что и управляемый домен.
Для параметра Общедоступный IP-адрес выберите из раскрывающееся списка значение Нет. Так как в этом руководстве используется Бастион Azure для подключения к системе управления, вам не нужен общедоступный IP-адрес, назначенный виртуальной машине.
Для других параметров сохраните значения по умолчанию и щелкните Управление.
Для параметра Диагностика загрузки укажите значение Выкл. Для других параметров сохраните значения по умолчанию и щелкните Просмотреть и создать.
Проверьте параметры виртуальной машины и щелкните Создать.
Создание виртуальной машины занимает несколько минут. Центр администрирования Microsoft Entra показывает состояние развертывания. Когда виртуальная машина будет готова, выберите Перейти к ресурсу.
Подключение к виртуальной машине Windows Server
Для безопасного подключения к виртуальным машинам используйте узел Бастиона Azure. В Бастионе Azure управляемый узел развертывается в виртуальной сети и обеспечивает веб-подключение RDP или SSH к виртуальным машинам. Для виртуальных машин не требуются общедоступные IP-адреса, и вам не нужно открывать правила группы безопасности сети для внешнего удаленного трафика. Вы подключаетесь к виртуальным машинам с помощью Центра администрирования Microsoft Entra из веб-браузера. При необходимости создайте узел Бастиона Azure.
Чтобы использовать узел-бастион для подключения к вашей виртуальной машине, выполните следующие действия:
В области Обзор виртуальной машины выберите Подключить, а затем — Бастион.
Введите учетные данные для виртуальной машины, указанные в предыдущем разделе, а затем выберите Подключить.
При необходимости разрешите веб-браузеру открывать всплывающие окна для отображения подключения Бастиона. Подключение к виртуальной машине займет несколько секунд.
Присоединение виртуальной машины к управляемому домену
После создания виртуальной машины и веб-подключения RDP, установленного с помощью Бастиона Azure, присоединим виртуальную машину Windows Server к управляемому домену. Процесс будет таким же, как и при присоединении к обычному локальному домену доменных служб Active Directory.
Если диспетчер сервера не открывается по умолчанию при входе в виртуальную машину, откройте меню Пуск, а затем выберите Диспетчер сервера.
В левой области окна диспетчера серверов выберите Локальный сервер. В разделе Свойства в правой области выберите Рабочая группа.
В окне Свойства системы выберите Изменить для присоединения к управляемому домену.
В поле Домен укажите имя управляемого домена, например aaddscontoso.com, а затем щелкните ОК.
Введите учетные данные для присоединения к домену. Укажите учетные данные пользователя, принадлежащего управляемому домену. Учетная запись должна быть частью управляемого домена или клиента Microsoft Entra. Учетные записи из внешних каталогов, связанных с клиентом Microsoft Entra, не могут правильно пройти проверку подлинности во время процесса присоединения к домену.
Учетные данные учетной записи можно задать одним из следующих способов.
- Формат имени участника-пользователя (рекомендуется) — введите суффикс имени участника-пользователя (UPN) для учетной записи пользователя, как указано в идентификаторе Microsoft Entra. В этом примере суффикс UPN для пользователя contosoadmin имеет значение
contosoadmin@aaddscontoso.onmicrosoft.com
. Существует несколько распространенных вариантов использования, когда формат имени участника-пользователя можно использовать надежно для входа в домен, а не для формата SAMAccountName :- Если префикс имени участника-пользователя слишком длинный (например, joehasareallylongname), можно создавать имя SAMAccountName автоматически.
- Если несколько пользователей имеют один и тот же префикс имени участника-пользователя в клиенте Microsoft Entra, например dee, их формат SAMAccountName может быть автоматически сформирован.
- Формат SAMAccountName: введите имя учетной записи в формате SAMAccountName. Например, для пользователя contosoadmin параметр SAMAccountName имеет значение
AADDSCONTOSO\contosoadmin
.
- Формат имени участника-пользователя (рекомендуется) — введите суффикс имени участника-пользователя (UPN) для учетной записи пользователя, как указано в идентификаторе Microsoft Entra. В этом примере суффикс UPN для пользователя contosoadmin имеет значение
Присоединение к управляемому домену занимает несколько секунд. Когда этот процесс завершится, появится сообщение с приветствием.
Для продолжения выберите ОК.
Чтобы завершить процесс присоединения к управляемому домену, перезапустите виртуальную машину.
Совет
Вы можете присоединить виртуальную машину к домену с помощью PowerShell, используя командлет Add-Computer. Следующий пример присоединяет виртуальную машину к домену AADDSCONTOSO и перезапускает ее. В ответ на приглашение введите учетные данные пользователя, входящего в управляемый домен.
Add-Computer -DomainName AADDSCONTOSO -Restart
Чтобы присоединить к домену виртуальную машину, не подключаясь к ней и не настраивая подключение вручную, вы также можете воспользоваться командлетом Azure PowerShell под названием Set-AzVmAdDomainExtension.
После перезапуска виртуальной машины Windows Server на нее отправляются все политики, настроенные в управляемом домене. Также вы после этого сможете войти на виртуальную машину Windows Server, используя соответствующие учетные данные домена.
Очистка ресурсов
В следующем учебнике вы используете эту виртуальную машину Windows Server для установки средств управления, которые позволяют администрировать управляемый домен. Если вы не хотите продолжать работу с этой серией учебников, воспользуйтесь описанными ниже шагами для очистки, чтобы удалить виртуальную машину. В противном случае перейдите к следующему учебнику.
Отсоединение виртуальной машины от управляемого домена
Чтобы удалить виртуальную машину из управляемого домена, выполните еще раз шаги по присоединению виртуальной машины к домену, но вместо управляемого домена выберите для присоединения рабочую группу, например РАБОЧУЮ ГРУППУ по умолчанию. После перезагрузки виртуальной машины объект-компьютер будет удален из управляемого домена.
Если удалить виртуальную машину без подключения из домена, в доменных службах остается потерянный объект компьютера.
Удаление виртуальной машины
Если вы не намерены использовать эту виртуальную машину Windows Server, удалите ее с помощью следующей процедуры.
- В меню слева выберите Группы ресурсов.
- Выберите группу ресурсов, например myResourceGroup.
- Выберите виртуальную машину, например myVM, а затем щелкните Удалить. Выберите Да, чтобы подтвердить удаление ресурса. Удаление виртуальной машины занимает несколько минут.
- После удаления виртуальной машины выберите диск операционной системы, сетевой интерфейс и другие ресурсы с префиксом myVM- и удалите их.
Устранение неполадок при присоединении к домену
Виртуальная машина Windows Server должна успешно присоединиться к управляемому домену точно так же, как обычный локальный компьютер к домену доменных служб Active Directory. Если виртуальная машина Windows Server не может присоединиться к управляемому домену, значит, существуют проблемы с подключением или учетными данными. Изучите следующие разделы по устранению неполадок, чтобы успешно присоединиться к управляемому домену.
Проблемы с подключением
Если не отображается приглашение для ввода учетных данных на присоединение к домену, это означает проблему с подключением. Виртуальная машина не может связаться с управляемым доменом в виртуальной сети.
После каждого из предложенных шагов по устранению неполадок повторяйте попытку присоединить виртуальную машину Windows Server к управляемому домену.
- Убедитесь, что виртуальная машина подключена к той же виртуальной сети, в которую включены доменные службы или имеет одноранговое сетевое подключение.
- Выполните проверку связи по DNS-имени управляемого домена, например
ping aaddscontoso.com
.- Если проверка связи завершается сбоем, повторите попытку для IP-адресов управляемого домена, например
ping 10.0.0.4
. IP-адрес для вашей среды отображается на странице Свойства при выборе управляемого домена из списка ресурсов Azure. - Если есть связь с IP-адресом, но не с доменом, это может указывать на неправильную настройку DNS. Проверьте, указаны ли IP-адреса домена как DNS-серверы для виртуальной сети.
- Если проверка связи завершается сбоем, повторите попытку для IP-адресов управляемого домена, например
- Попробуйте очистить кэш сопоставителя DNS на виртуальной машине с помощью команды
ipconfig /flushdns
.
Проблемы, связанные с учетными данными
Если появляется запрос на ввод учетных данных для присоединения к домену, но после их ввода вы получаете сообщение об ошибке, значит, виртуальная машина может подключиться к управляемому домену, но не с указанными учетными данными.
После каждого из предложенных шагов по устранению неполадок повторяйте попытку присоединить виртуальную машину Windows Server к управляемому домену.
- Убедитесь, что используемая учетная запись пользователя принадлежит к управляемому домену.
- Убедитесь, что учетная запись является частью управляемого домена или клиента Microsoft Entra. Учетные записи из внешних каталогов, связанных с клиентом Microsoft Entra, не могут правильно пройти проверку подлинности во время процесса присоединения к домену.
- Для указания учетных данных рекомендуется использовать формат имени участника-пользователя, например
contosoadmin@aaddscontoso.onmicrosoft.com
. Если в клиенте зарегистрировано много пользователей с одинаковым префиксом имени участника-пользователя или если этот префикс слишком длинный, имя для входа в формате SAMAccountName для вашей учетной записи может создаваться автоматически. В таких случаях имя для входа в формате SAMAccountName для вашей учетной записи может отличаться от ожидаемого или используемого в локальном домене. - Обязательно включите синхронизацию паролей с управляемым доменом. Без этого шага настройки в управляемом домене не будет необходимых хэшей паролей, что не позволит выполнить аутентификацию при попытке входа.
- Дождитесь, пока завершится синхронизация паролей. При изменении пароля учетной записи пользователя автоматическая фоновая синхронизация с идентификатором Microsoft Entra обновляет пароль в доменных службах. Использовать пароль для присоединения к домену можно будет через некоторое время.
Следующие шаги
Из этого руководства вы узнали, как:
- создание виртуальной машины Windows Server;
- подключение виртуальной машины Windows Server к виртуальной сети Azure;
- Присоединение виртуальной машины к управляемому домену
Для администрирования управляемого домена настройте виртуальную машину управления с помощью Центра администрирования Active Directory (ADAC).