Självstudie: Skapa och konfigurera en Azure Active Directory Domain Services-hanterad domän med avancerade konfigurationsalternativ

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänanslutning, grupprincip, LDAP, Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory. Du använder dessa domäntjänster utan att själv distribuera, hantera och korrigera domänkontrollanter. Azure AD DS integreras med din befintliga Azure AD-klientorganisation. Med den här integreringen kan användare logga in med sina företagsautentiseringsuppgifter, och du kan använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser.

Du kan skapa en hanterad domän med standardkonfigurationsalternativ för nätverk och synkronisering, eller manuellt definiera dessa inställningar. Den här självstudien visar hur du definierar de avancerade konfigurationsalternativen för att skapa och konfigurera en Azure AD DS-hanterad domän med hjälp av Azure Portal.

I den här guiden får du lära dig att:

  • Konfigurera DNS- och virtuella nätverksinställningar för en hanterad domän
  • Skapa en hanterad domän
  • Lägga till administrativa användare i domänhantering
  • Aktivera hashsynkronisering för lösenord

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

Även om det inte krävs för Azure AD DS rekommenderar vi att du konfigurerar självbetjäning av lösenordsåterställning (SSPR) för Azure AD-klientorganisationen . Användare kan ändra sitt lösenord utan SSPR, men SSPR hjälper till om de glömmer sitt lösenord och behöver återställa det.

Viktigt

När du har skapat en hanterad domän kan du inte flytta den hanterade domänen till en annan resursgrupp, virtuellt nätverk, prenumeration osv. Var noga med att välja den lämpligaste prenumerationen, resursgruppen, regionen och det virtuella nätverket när du distribuerar den hanterade domänen.

Logga in på Azure Portal

I den här självstudien skapar och konfigurerar du den hanterade domänen med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Skapa en hanterad domän och konfigurera grundläggande inställningar

Starta guiden Aktivera Azure AD Domain Services genom att utföra följande steg:

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.
  2. Ange Domain Services i sökfältet och välj sedan Azure AD Domain Services i sökförslagen.
  3. På sidan Azure AD Domain Services väljer du Skapa. Guiden Aktivera Azure AD Domain Services startas.
  4. Välj den Azure-prenumeration där du vill skapa den hanterade domänen.
  5. Välj den resursgrupp som den hanterade domänen ska tillhöra. Välj skapa ny eller välj en befintlig resursgrupp.

När du skapar en hanterad domän anger du ett DNS-namn. Det finns några saker att tänka på när du väljer det här DNS-namnet:

  • Inbyggt domännamn: Som standard används det inbyggda domännamnet för katalogen (ett . onmicrosoft.com-suffix). Om du vill aktivera säker LDAP-åtkomst till den hanterade domänen via Internet kan du inte skapa ett digitalt certifikat för att skydda anslutningen till den här standarddomänen. Microsoft äger domänen .onmicrosoft.com , så en certifikatutfärdare (CA) utfärdar inte något certifikat.
  • Anpassade domännamn: Den vanligaste metoden är att ange ett anpassat domännamn, vanligtvis ett som du redan äger och är dirigerbart. När du använder en dirigerbar anpassad domän kan trafiken flöda korrekt efter behov för att stödja dina program.
  • Icke-dirigerbara domänsuffix: Vi rekommenderar vanligtvis att du undviker ett icke-dirigerbart domännamnssuffix, till exempel contoso.local. .local-suffixet är inte dirigerbart och kan orsaka problem med DNS-matchning.

Tips

Om du skapar ett anpassat domännamn bör du vara försiktig med befintliga DNS-namnområden. Vi rekommenderar att du använder ett domännamn separat från ett befintligt Azure- eller lokalt DNS-namnutrymme.

Om du till exempel har ett befintligt DNS-namnutrymme på contoso.com skapar du en hanterad domän med det anpassade domännamnet aaddscontoso.com. Om du behöver använda säker LDAP måste du registrera och äga det här anpassade domännamnet för att generera de certifikat som krävs.

Du kan behöva skapa ytterligare DNS-poster för andra tjänster i din miljö eller villkorliga DNS-vidarebefordrare mellan befintliga DNS-namnutrymmen i din miljö. Om du till exempel kör en webbserver som är värd för en webbplats med dns-rotnamnet kan det finnas namnkonflikter som kräver ytterligare DNS-poster.

I de här självstudierna och instruktionsartiklarna används den anpassade domänen för aaddscontoso.com som ett kort exempel. I alla kommandon anger du ditt eget domännamn.

Följande DNS-namnbegränsningar gäller också:

  • Begränsningar för domänprefix: Du kan inte skapa en hanterad domän med ett prefix som är längre än 15 tecken. Prefixet för ditt angivna domännamn (till exempel aaddscontoso i aaddscontoso.com domännamn) måste innehålla högst 15 tecken.
  • Nätverksnamnkonflikter: DNS-domännamnet för din hanterade domän bör inte redan finnas i det virtuella nätverket. Mer specifikt söker du efter följande scenarier som skulle leda till en namnkonflikt:
    • Om du redan har en Active Directory-domän med samma DNS-domännamn i det virtuella Azure-nätverket.
    • Om det virtuella nätverk där du planerar att aktivera den hanterade domänen har en VPN-anslutning till ditt lokala nätverk. I det här scenariot kontrollerar du att du inte har en domän med samma DNS-domännamn i ditt lokala nätverk.
    • Om du har en befintlig Azure-molntjänst med det namnet i det virtuella Azure-nätverket.

Fyll i fälten i fönstret Grundläggande i Azure Portal för att skapa en hanterad domän:

  1. Ange ett DNS-domännamn för din hanterade domän, med hänsyn till föregående punkter.

  2. Välj den Azure-plats där den hanterade domänen ska skapas. Om du väljer en region som stöder Tillgänglighetszoner distribueras Azure AD DS-resurserna mellan zoner för ytterligare redundans.

    Tips

    Tillgänglighetszoner är unika fysiska platser inom en Azure-region. Varje zon utgörs av ett eller flera datacenter som är utrustade med oberoende kraft, kylning och nätverk. För att säkerställa återhämtning finns det minst tre separata zoner i alla aktiverade regioner.

    Det finns inget som du kan konfigurera för att Azure AD DS ska distribueras mellan zoner. Azure-plattformen hanterar automatiskt zondistributionen av resurser. Mer information och information om regionstillgänglighet finns i Vad är Tillgänglighetszoner i Azure?

  3. SKU:n avgör prestanda- och säkerhetskopieringsfrekvensen. Du kan ändra SKU:n när den hanterade domänen har skapats om företagets krav eller krav ändras. Mer information finns i Begrepp för Azure AD DS SKU.

    I den här självstudien väljer du standard-SKU :n.

  4. En skog är en logisk konstruktion som används av Active Directory Domain Services för att gruppera en eller flera domäner. Som standard skapas en hanterad domän som en användarskog . Den här typen av skog synkroniserar alla objekt från Azure AD, inklusive användarkonton som skapats i en lokal AD DS-miljö.

    En resursskog synkroniserar endast användare och grupper som skapats direkt i Azure AD. Lösenordshashvärden för lokala användare synkroniseras aldrig till en hanterad domän när du skapar en resursskog. Mer information om resursskogar , inklusive varför du kan använda en och hur du skapar skogsförtroenden med lokala AD DS-domäner, finns i Översikt över Azure AD DS-resursskogar.

    I den här självstudien väljer du att skapa en användarskog .

    Configure basic settings for an Azure AD Domain Services managed domain

  5. Om du vill konfigurera ytterligare alternativ manuellt väljer du Nästa – Nätverk. Annars väljer du Granska + skapa för att acceptera standardkonfigurationsalternativen och går sedan vidare till avsnittet distribuera din hanterade domän. Följande standardinställningar konfigureras när du väljer det här alternativet för att skapa:

    • Skapar ett virtuellt nätverk med namnet aadds-vnet som använder IP-adressintervallet 10.0.1.0/24.
    • Skapar ett undernät med namnet aadds-subnet med IP-adressintervallet 10.0.1.0/24.
    • Synkroniserar Alla användare från Azure AD till den hanterade domänen.

Skapa och konfigurera det virtuella nätverket

För att tillhandahålla anslutning krävs ett virtuellt Azure-nätverk och ett dedikerat undernät. Azure AD DS är aktiverat i det här virtuella nätverkets undernät. I den här självstudien skapar du ett virtuellt nätverk, men du kan i stället välja att använda ett befintligt virtuellt nätverk. I endera metoden måste du skapa ett dedikerat undernät för användning av Azure AD DS.

Några överväganden för det här dedikerade virtuella nätverkets undernät omfattar följande områden:

  • Undernätet måste ha minst 3–5 tillgängliga IP-adresser i adressintervallet för att stödja Azure AD DS-resurserna.
  • Välj inte gatewayundernätet för distribution av Azure AD DS. Det går inte att distribuera Azure AD DS till ett Gateway-undernät .
  • Distribuera inga andra virtuella datorer till undernätet. Program och virtuella datorer använder ofta nätverkssäkerhetsgrupper för att skydda anslutningen. Genom att köra dessa arbetsbelastningar i ett separat undernät kan du tillämpa dessa nätverkssäkerhetsgrupper utan att störa anslutningen till din hanterade domän.
  • Du kan inte flytta din hanterade domän till ett annat virtuellt nätverk när du har aktiverat Azure AD DS.

Mer information om hur du planerar och konfigurerar det virtuella nätverket finns i nätverksöverväganden för Azure Active Directory Domain Services.

Fyll i fälten i fönstret Nätverk på följande sätt:

  1. På sidan Nätverk väljer du ett virtuellt nätverk som du vill distribuera Azure AD DS till i den nedrullningsbara menyn eller väljer Skapa nytt.

    1. Om du väljer att skapa ett virtuellt nätverk anger du ett namn för det virtuella nätverket, till exempel myVnet, och anger sedan ett adressintervall, till exempel 10.0.1.0/24.
    2. Skapa ett dedikerat undernät med ett tydligt namn, till exempel DomainServices. Ange ett adressintervall, till exempel 10.0.1.0/24.

    Create a virtual network and subnet for use with Azure AD Domain Services

    Se till att välja ett adressintervall som ligger inom ditt privata IP-adressintervall. IP-adressintervall som du inte äger som finns i det offentliga adressutrymmet orsakar fel i Azure AD DS.

  2. Välj ett virtuellt nätverksundernät, till exempel DomainServices.

  3. När du är klar väljer du Nästa – Administration.

Konfigurera en administrativ grupp

En särskild administrativ grupp med namnet AAD DC-administratörer används för hantering av Azure AD DS-domänen. Medlemmar i den här gruppen beviljas administrativa behörigheter på virtuella datorer som är domänanslutna till den hanterade domänen. På domänanslutna virtuella datorer läggs den här gruppen till i den lokala administratörsgruppen. Medlemmar i den här gruppen kan också använda Fjärrskrivbord för att fjärransluta till domänanslutna virtuella datorer.

Viktigt

Du har inte behörighet som domänadministratör eller företagsadministratör på en hanterad domän med Azure AD DS. Dessa behörigheter är reserverade av tjänsten och görs inte tillgängliga för användare i klientorganisationen.

I stället kan du utföra vissa privilegierade åtgärder i gruppen AAD DC-administratörer. Dessa åtgärder omfattar att tillhöra administrationsgruppen på domänanslutna virtuella datorer och konfigurera grupprincip.

Guiden skapar automatiskt gruppen AAD DC-administratörer i azure AD-katalogen. Om du har en befintlig grupp med det här namnet i Azure AD-katalogen väljer guiden den här gruppen. Du kan också välja att lägga till ytterligare användare i den här gruppen AAD DC-administratörer under distributionsprocessen. De här stegen kan slutföras senare.

  1. Om du vill lägga till ytterligare användare i den här gruppen AAD DC-administratörer väljer du Hantera gruppmedlemskap.

    Configure group membership of the AAD DC Administrators group

  2. Välj knappen Lägg till medlemmar och sök sedan efter och välj användare från azure AD-katalogen. Du kan till exempel söka efter ditt eget konto och lägga till det i gruppen AAD DC-administratörer.

  3. Om du vill kan du ändra eller lägga till ytterligare mottagare för meddelanden när det finns aviseringar i den hanterade domänen som kräver uppmärksamhet.

  4. När du är klar väljer du Nästa – Synkronisering.

Konfigurera synkronisering

Med Azure AD DS kan du synkronisera alla användare och grupper som är tillgängliga i Azure AD, eller en begränsad synkronisering av endast specifika grupper. Du kan ändra synkroniseringsomfånget nu eller när den hanterade domänen har distribuerats. Mer information finns i Azure AD Domain Services-omfångssynkronisering.

  1. I den här självstudien väljer du att synkronisera Alla användare och grupper. Det här synkroniseringsvalet är standardalternativet.

    Perform a full synchronization of users and groups from Azure AD

  2. Välj Granska + skapa.

Distribuera den hanterade domänen

På sidan Sammanfattning i guiden granskar du konfigurationsinställningarna för din hanterade domän. Du kan gå tillbaka till alla steg i guiden för att göra ändringar. Om du vill distribuera om en hanterad domän till en annan Azure AD-klientorganisation på ett konsekvent sätt med de här konfigurationsalternativen kan du även ladda ned en mall för automatisering.

  1. Om du vill skapa den hanterade domänen väljer du Skapa. En anteckning visas om att vissa konfigurationsalternativ som DNS-namn eller virtuellt nätverk inte kan ändras när azure AD DS-hanterade har skapats. Om du vill fortsätta väljer du OK.

  2. Det kan ta upp till en timme att etablera den hanterade domänen. Ett meddelande visas i portalen som visar förloppet för din Azure AD DS-distribution. Välj meddelandet för att se detaljerad förlopp för distributionen.

    Notification in the Azure portal of the deployment in progress

  3. Välj din resursgrupp, till exempel myResourceGroup, och välj sedan din hanterade domän i listan över Azure-resurser, till exempel aaddscontoso.com. Fliken Översikt visar att den hanterade domänen för närvarande distribueras. Du kan inte konfigurera den hanterade domänen förrän den är helt etablerad.

    Domain Services status during the provisioning state

  4. När den hanterade domänen är helt etablerad visar fliken Översikt domänstatus som Körs.

    Domain Services status once successfully provisioned

Viktigt

Den hanterade domänen är associerad med din Azure AD-klientorganisation. Under etableringsprocessen skapar Azure AD DS två företagsprogram med namnet Domain Controller Services och AzureActiveDirectoryDomainControllerServices i Azure AD-klientorganisationen. Dessa företagsprogram behövs för att betjäna din hanterade domän. Ta inte bort dessa program.

Uppdatera DNS-inställningarna för det virtuella Azure-nätverket

När Azure AD DS har distribuerats konfigurerar du nu det virtuella nätverket så att andra anslutna virtuella datorer och program kan använda den hanterade domänen. För att tillhandahålla den här anslutningen uppdaterar du DNS-serverinställningarna för ditt virtuella nätverk så att de pekar på de två IP-adresser där den hanterade domänen distribueras.

  1. På fliken Översikt för din hanterade domän visas några konfigurationssteg som krävs. Det första konfigurationssteget är att uppdatera DNS-serverinställningarna för ditt virtuella nätverk. När DNS-inställningarna har konfigurerats korrekt visas inte längre det här steget.

    Adresserna som anges är domänkontrollanter för användning i det virtuella nätverket. I det här exemplet är dessa adresser 10.0.1.4 och 10.0.1.5. Du kan senare hitta dessa IP-adresser på fliken Egenskaper .

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. Om du vill uppdatera DNS-serverinställningarna för det virtuella nätverket väljer du knappen Konfigurera . DNS-inställningarna konfigureras automatiskt för ditt virtuella nätverk.

Tips

Om du valde ett befintligt virtuellt nätverk i föregående steg får alla virtuella datorer som är anslutna till nätverket bara de nya DNS-inställningarna efter en omstart. Du kan starta om virtuella datorer med hjälp av Azure Portal, Azure PowerShell eller Azure CLI.

Aktivera användarkonton för Azure AD DS

För att autentisera användare på den hanterade domänen behöver Azure AD DS lösenordshashvärden i ett format som är lämpligt för NT LAN Manager (NTLM) och Kerberos-autentisering. Azure AD genererar eller lagrar inte lösenordshashvärden i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Azure AD DS för din klientorganisation. Av säkerhetsskäl lagrar Azure AD inte heller några autentiseringsuppgifter för lösenord i klartext. Därför kan Azure AD inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashvärden baserat på användarnas befintliga autentiseringsuppgifter.

Anteckning

När de har konfigurerats korrekt lagras de användbara lösenordshashvärdena i den hanterade domänen. Om du tar bort den hanterade domänen tas även eventuella lösenordshashvärden som lagras vid den tidpunkten bort.

Synkroniserad information om autentiseringsuppgifter i Azure AD kan inte återanvändas om du senare skapar en hanterad domän – du måste konfigurera om synkroniseringen av lösenordshash för att lagra lösenordshasharna igen. Tidigare domänanslutna virtuella datorer eller användare kan inte autentiseras omedelbart – Azure AD måste generera och lagra lösenordshashvärden i den nya hanterade domänen.

Mer information finns i Synkroniseringsprocessen för lösenordshash för Azure AD DS och Azure AD Anslut.

Stegen för att generera och lagra dessa lösenordshashvärden skiljer sig åt för molnbaserade användarkonton som skapats i Azure AD jämfört med användarkonton som synkroniseras från din lokala katalog med Hjälp av Azure AD Anslut.

Ett endast molnbaserat användarkonto är ett konto som skapats i Azure AD-katalogen med antingen Azure Portal eller Azure AD PowerShell-cmdletar. Dessa användarkonton synkroniseras inte från en lokal katalog.

I den här självstudien ska vi arbeta med ett grundläggande molnbaserat användarkonto. Mer information om de ytterligare steg som krävs för att använda Azure AD-Anslut finns i Synkronisera lösenordshashvärden för användarkonton som synkroniserats från din lokala AD till din hanterade domän.

Tips

Om din Azure AD-klientorganisation har en kombination av molnbaserade användare och användare från din lokala AD måste du slutföra båda stegen.

För endast molnbaserade användarkonton måste användarna ändra sina lösenord innan de kan använda Azure AD DS. Den här lösenordsändringsprocessen gör att lösenordshasher för Kerberos- och NTLM-autentisering genereras och lagras i Azure AD. Kontot synkroniseras inte från Azure AD till Azure AD DS förrän lösenordet har ändrats. Antingen upphör lösenorden för alla molnanvändare i klientorganisationen som behöver använda Azure AD DS, vilket tvingar fram en lösenordsändring vid nästa inloggning, eller instruera molnanvändare att manuellt ändra sina lösenord. I den här självstudien ska vi ändra ett användarlösenord manuellt.

Innan en användare kan återställa sitt lösenord måste Azure AD-klientorganisationen konfigureras för lösenordsåterställning med självbetjäning.

Om du vill ändra lösenordet för en molnbaserad användare måste användaren utföra följande steg:

  1. Gå till sidan Azure AD Åtkomstpanelen på https://myapps.microsoft.com.

  2. I det övre högra hörnet väljer du ditt namn och sedan Profil på den nedrullningsbara menyn.

    Select profile

  3. På sidan Profil väljer du Ändra lösenord.

  4. På sidan Ändra lösenord anger du ditt befintliga (gamla) lösenord och anger och bekräftar sedan ett nytt lösenord.

  5. Välj Skicka.

Det tar några minuter efter att du har ändrat ditt lösenord för att det nya lösenordet ska kunna användas i Azure AD DS och att logga in på datorer som är anslutna till den hanterade domänen.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Konfigurera DNS- och virtuella nätverksinställningar för en hanterad domän
  • Skapa en hanterad domän
  • Lägga till administrativa användare i domänhantering
  • Aktivera användarkonton för Azure AD DS och generera lösenordshashvärden

Om du vill se den hanterade domänen i praktiken skapar och ansluter du en virtuell dator till domänen.