Öğretici: Azure Active Directory Domain Services yönetilen etki alanı oluşturma ve yapılandırma

Azure Active Directory Domain Services (Azure AD DS), Windows Server Active Directory ile tamamen uyumlu olan etki alanına katılma, grup ilkesi, LDAP, Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sağlar. Bu etki alanı hizmetlerini, etki alanı denetleyicilerini kendiniz dağıtmadan, yönetmeden ve düzeltme eki uygulamadan kullanırsınız. Azure AD DS, mevcut Azure AD kiracınızla tümleşir. Bu tümleştirme, kullanıcıların kurumsal kimlik bilgilerini kullanarak oturum açmasına olanak tanır ve kaynaklara erişimin güvenliğini sağlamak için mevcut grupları ve kullanıcı hesaplarını kullanabilirsiniz.

Ağ ve eşitleme için varsayılan yapılandırma seçeneklerini kullanarak yönetilen bir etki alanı oluşturabilir veya bu ayarları el ile tanımlayabilirsiniz. Bu öğreticide, Azure portal kullanarak bir Azure AD DS yönetilen etki alanı oluşturmak ve yapılandırmak için varsayılan seçeneklerin nasıl kullanılacağı gösterilmektedir.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Yönetilen etki alanı için DNS gereksinimlerini anlama
  • Yönetilen etki alanı oluşturma
  • Parola karması eşitlemeyi etkinleştirme

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

Azure AD DS için gerekli olmasa da, Azure AD kiracısı için self servis parola sıfırlama (SSPR) yapılandırmanız önerilir. Kullanıcılar parolalarını SSPR olmadan değiştirebilir, ancak SSPR, parolalarını unuttuklarında ve sıfırlamaları gerektiğinde yardımcı olur.

Önemli

Yönetilen etki alanını oluşturduktan sonra farklı bir aboneliğe, kaynak grubuna, bölgeye, sanal ağa veya alt ağa taşıyamazsınız. Yönetilen etki alanını dağıtırken en uygun aboneliği, kaynak grubunu, bölgeyi, sanal ağı ve alt ağı seçmeye dikkat edin.

Azure portalında oturum açın

Bu öğreticide, Azure portal kullanarak yönetilen etki alanını oluşturup yapılandıracaksınız. Başlamak için önce Azure portal oturum açın.

Yönetilen etki alanı oluşturma

etki alanı hizmetleri Azure AD etkinleştirme sihirbazını başlatmak için aşağıdaki adımları tamamlayın:

  1. Azure portal menüsünde veya Giriş sayfasında, Kaynak oluştur’u seçin.
  2. Arama çubuğuna Etki Alanı Hizmetleri yazın, ardından arama önerilerinden Etki Alanı Hizmetleri'ni Azure AD seçin.
  3. Azure AD Etki Alanı Hizmetleri sayfasında Oluştur'u seçin. Azure AD Etki Alanı Hizmetlerini Etkinleştir sihirbazı başlatılır.
  4. Yönetilen etki alanını oluşturmak istediğiniz Azure Aboneliğini seçin.
  5. Yönetilen etki alanının ait olması gereken Kaynak grubunu seçin. Yeni oluştur'u seçin veya mevcut bir kaynak grubunu seçin.

Yönetilen bir etki alanı oluşturduğunuzda, bir DNS adı belirtirsiniz. Bu DNS adını seçtiğinizde dikkat edilmesi gereken bazı noktalar vardır:

  • Yerleşik etki alanı adı: Varsayılan olarak, dizinin yerleşik etki alanı adı kullanılır ( .onmicrosoft.com soneki). İnternet üzerinden yönetilen etki alanına güvenli LDAP erişimini etkinleştirmek istiyorsanız, bu varsayılan etki alanıyla bağlantının güvenliğini sağlamak için dijital sertifika oluşturamazsınız. Microsoft .onmicrosoft.com etki alanına sahip olduğundan Sertifika Yetkilisi (CA) sertifika vermez.
  • Özel etki alanı adları: En yaygın yaklaşım, genellikle sahip olduğunuz ve yönlendirilebilir bir özel etki alanı adı belirtmektir. Yönlendirilebilir, özel bir etki alanı kullandığınızda, uygulamalarınızı desteklemek için trafik gerektiği gibi doğru şekilde akabilir.
  • Yönlendirilemeyen etki alanı sonekleri: Genellikle contoso.local gibi yönlendirilebilir olmayan bir etki alanı adı sonekini önlemenizi öneririz. .local soneki yönlendirilebilir değildir ve DNS çözümlemesiyle ilgili sorunlara neden olabilir.

İpucu

Özel bir etki alanı adı oluşturursanız, mevcut DNS ad alanlarıyla ilgilenin. Mevcut Azure veya şirket içi DNS ad alanından ayrı bir etki alanı adı kullanmanız önerilir.

Örneğin, contoso.com dns ad alanınız varsa, aaddscontoso.com özel etki alanı adıyla yönetilen bir etki alanı oluşturun. Güvenli LDAP kullanmanız gerekiyorsa, gerekli sertifikaları oluşturmak için bu özel etki alanı adını kaydetmeniz ve sahip olmanız gerekir.

Ortamınızdaki diğer hizmetler için bazı ek DNS kayıtları veya ortamınızdaki mevcut DNS ad alanları arasında koşullu DNS ileticileri oluşturmanız gerekebilir. Örneğin, kök DNS adını kullanarak site barındıran bir web sunucusu çalıştırırsanız, ek DNS girişleri gerektiren adlandırma çakışmaları olabilir.

Bu öğreticilerde ve nasıl yapılır makalelerinde, kısa bir örnek olarak aaddscontoso.com özel etki alanı kullanılır. Tüm komutlarda kendi etki alanı adınızı belirtin.

Aşağıdaki DNS adı kısıtlamaları da geçerlidir:

  • Etki alanı ön eki kısıtlamaları: 15 karakterden uzun bir ön eke sahip yönetilen etki alanı oluşturamazsınız. Belirtilen etki alanı adınızın ön eki (aaddscontoso.com etki alanı adında aaddscontoso gibi) 15 veya daha az karakter içermelidir.
  • Ağ adı çakışmaları: Yönetilen etki alanınızın DNS etki alanı adı sanal ağda zaten mevcut olmamalıdır. Özellikle, ad çakışmasına yol açabilecek aşağıdaki senaryoları denetleyin:
    • Azure sanal ağında aynı DNS etki alanı adına sahip bir Active Directory etki alanınız zaten varsa.
    • Yönetilen etki alanını etkinleştirmeyi planladığınız sanal ağın şirket içi ağınızla vpn bağlantısı varsa. Bu senaryoda, şirket içi ağınızda aynı DNS etki alanı adına sahip bir etki alanınızın olmadığından emin olun.
    • Azure sanal ağında bu ada sahip mevcut bir Azure bulut hizmetiniz varsa.

Yönetilen etki alanı oluşturmak için Azure portal Temel bilgiler penceresindeki alanları tamamlayın:

  1. Önceki noktaları dikkate alarak yönetilen etki alanınız için bir DNS etki alanı adı girin.

  2. Yönetilen etki alanının oluşturulması gereken Azure Konumunu seçin. Azure Kullanılabilirlik Alanları destekleyen bir bölge seçerseniz Azure AD DS kaynakları ek yedeklilik için bölgeler arasında dağıtılır.

    İpucu

    Kullanılabilirlik Alanları, Azure bölgesi içinde fiziksel olarak benzersiz konumlardır. Her alan bağımsız güç, soğutma ve ağ bağlantısı ile donatılmış bir veya daha fazla veri merkezinden oluşur. Dayanıklılığı güvence altına almak için etkinleştirilmiş tüm bölgelerde en az üç ayrı alan vardır.

    Azure AD DS'nin bölgeler arasında dağıtılması için yapılandırabileceğiniz hiçbir şey yoktur. Azure platformu kaynakların bölge dağıtımını otomatik olarak işler. Daha fazla bilgi edinmek ve bölge kullanılabilirliğini görmek için bkz. Azure'da Kullanılabilirlik Alanları nedir?

  3. SKU, performans ve yedekleme sıklığını belirler. İşletmenizin talepleri veya gereksinimleri değişirse, yönetilen etki alanı oluşturulduktan sonra SKU'yu değiştirebilirsiniz. Daha fazla bilgi için bkz. Azure AD DS SKU kavramları.

    Bu öğretici için Standart SKU'yu seçin.

  4. Orman, Active Directory Domain Services tarafından bir veya daha fazla etki alanını gruplandırmak için kullanılan mantıksal bir yapıdır. Varsayılan olarak, yönetilen bir etki alanı Kullanıcı ormanı olarak oluşturulur. Bu orman türü, şirket içi AD DS ortamında oluşturulan tüm kullanıcı hesapları dahil olmak üzere Azure AD tüm nesneleri eşitler.

    Kaynak ormanı yalnızca doğrudan Azure AD'de oluşturulan kullanıcıları ve grupları eşitler. Kaynak ormanları hakkında neden kullanabileceğiniz ve şirket içi AD DS etki alanlarıyla orman güvenleri oluşturma gibi daha fazla bilgi için bkz. Azure AD DS kaynak ormanlarına genel bakış.

    Bu öğretici için bir Kullanıcı ormanı oluşturmayı seçin.

    Azure AD Domain Services yönetilen etki alanı için temel ayarları yapılandırma

Hızlı bir şekilde yönetilen etki alanı oluşturmak için Gözden geçir ve oluştur'u seçerek ek varsayılan yapılandırma seçeneklerini kabul edebilirsiniz. Bu oluşturma seçeneğini belirlediğinizde aşağıdaki varsayılanlar yapılandırılır:

  • 10.0.2.0/24 IP adresi aralığını kullanan aadds-vnet adlı bir sanal ağ oluşturur.
  • 10.0.2.0/24 IP adresi aralığını kullanarak aadds-subnet adlı bir alt ağ oluşturur.
  • tüm kullanıcıları Azure AD yönetilen etki alanına eşitler.

Bu varsayılan yapılandırma seçeneklerini kabul etmek için Gözden geçir + oluştur'u seçin.

Yönetilen etki alanını dağıtma

Sihirbazın Özet sayfasında, yönetilen etki alanınızın yapılandırma ayarlarını gözden geçirin. Değişiklik yapmak için sihirbazın herhangi bir adımına geri dönebilirsiniz. Bu yapılandırma seçeneklerini kullanarak yönetilen etki alanını tutarlı bir şekilde farklı bir Azure AD kiracıya yeniden dağıtmak için Otomasyon için şablon da indirebilirsiniz.

  1. Yönetilen etki alanını oluşturmak için Oluştur'u seçin. Yönetilen Azure AD DS oluşturulduktan sonra DNS adı veya sanal ağ gibi bazı yapılandırma seçeneklerinin değiştirilebileceğine ilişkin bir not görüntülenir. Devam etmek için Tamam'ı seçin.

  2. Yönetilen etki alanınızı sağlama işlemi bir saate kadar sürebilir. Portalda Azure AD DS dağıtımınızın ilerleme durumunu gösteren bir bildirim görüntülenir. Dağıtımın ayrıntılı ilerleme durumunu görmek için bildirimi seçin.

    Devam eden dağıtımın Azure portal bildirim

  3. Sayfa, dizininizde yeni kaynakların oluşturulması da dahil olmak üzere dağıtım işlemindeki güncelleştirmelerle birlikte yüklenir.

  4. myResourceGroup gibi kaynak grubunuzu seçin ve ardından aaddscontoso.com gibi Azure kaynakları listesinden yönetilen etki alanınızı seçin. Genel Bakış sekmesi, yönetilen etki alanının şu anda Dağıtılıyor olduğunu gösterir. Yönetilen etki alanını tam olarak sağlanana kadar yapılandıramazsınız.

    Sağlama durumu sırasında Etki Alanı Hizmetleri durumu

  5. Yönetilen etki alanı tam olarak sağlandığında , Genel Bakış sekmesi etki alanı durumunu Çalışıyor olarak gösterir.

    Başarıyla sağlandıktan sonra Etki Alanı Hizmetleri durumu

Önemli

Yönetilen etki alanı, Azure AD kiracınızla ilişkilendirilir. Sağlama işlemi sırasında Azure AD DS, Azure AD kiracısında Domain Controller Services ve AzureActiveDirectoryDomainControllerServices adlı iki Kurumsal Uygulama oluşturur. Yönetilen etki alanınıza hizmet vermek için bu Kurumsal Uygulamalar gereklidir. Bu uygulamaları silmeyin.

Azure sanal ağı için DNS ayarlarını güncelleştirme

Azure AD DS başarıyla dağıtıldığında, sanal ağı diğer bağlı VM'lerin ve uygulamaların yönetilen etki alanını kullanmasına izin verecek şekilde yapılandırın. Bu bağlantıyı sağlamak için, sanal ağınızın DNS sunucusu ayarlarını yönetilen etki alanının dağıtıldığı iki IP adresine işaret eden şekilde güncelleştirin.

  1. Yönetilen etki alanınızın Genel Bakış sekmesinde bazı Gerekli yapılandırma adımları gösterilir. İlk yapılandırma adımı, sanal ağınız için DNS sunucusu ayarlarını güncelleştirmektir. DNS ayarları doğru yapılandırıldıktan sonra bu adım artık gösterilmez.

    Listelenen adresler, sanal ağda kullanılmak üzere etki alanı denetleyicileridir. Bu örnekte, bu adresler 10.0.2.4 ve 10.0.2.5'tir. Bu IP adreslerini daha sonra Özellikler sekmesinde bulabilirsiniz.

    Azure AD Etki Alanı Hizmetleri IP adresleriyle sanal ağınız için DNS ayarlarını yapılandırma

  2. Sanal ağın DNS sunucusu ayarlarını güncelleştirmek için Yapılandır düğmesini seçin. DNS ayarları sanal ağınız için otomatik olarak yapılandırılır.

İpucu

Önceki adımlarda mevcut bir sanal ağı seçtiyseniz, ağa bağlı tüm VM'ler yalnızca yeniden başlatma sonrasında yeni DNS ayarlarını alır. vm'leri Azure portal, Azure PowerShell veya Azure CLI kullanarak yeniden başlatabilirsiniz.

Azure AD DS için kullanıcı hesaplarını etkinleştirme

Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için, Azure AD DS'ye NT LAN Manager (NTLM) ve Kerberos kimlik doğrulaması için uygun bir biçimde parola karmaları gerekir. Azure AD, kiracınız için Azure AD DS'yi etkinleştirene kadar NTLM veya Kerberos kimlik doğrulaması için gereken biçimde parola karmaları oluşturmaz veya depolamaz. Güvenlik nedeniyle, Azure AD parola kimlik bilgilerini düz metin biçiminde depolamaz. Bu nedenle, Azure AD kullanıcıların mevcut kimlik bilgilerine göre bu NTLM veya Kerberos parola karmalarını otomatik olarak oluşturamaz.

Not

Uygun şekilde yapılandırıldıktan sonra, kullanılabilir parola karmaları yönetilen etki alanında depolanır. Yönetilen etki alanını silerseniz, o noktada depolanan parola karmaları da silinir.

daha sonra yönetilen bir etki alanı oluşturursanız, Azure AD eşitlenmiş kimlik bilgileri yeniden kullanılamaz. Parola karmalarını yeniden depolamak için parola karması eşitlemesini yeniden yapılandırmanız gerekir. Daha önce etki alanına katılmış VM'ler veya kullanıcılar hemen kimlik doğrulaması yapamayacaktır; Azure AD parola karmalarını yeni yönetilen etki alanında oluşturması ve depolaması gerekir.

Azure AD Connect Cloud Sync, Azure AD DS ile desteklenmez. Etki alanına katılmış VM'lere erişebilmek için şirket içi kullanıcıların Azure AD Connect kullanılarak eşitlenmesi gerekir. Daha fazla bilgi için bkz. Azure AD DS ve Azure AD Connect için parola karması eşitleme işlemi.

Bu parola karmalarını oluşturma ve depolama adımları, Azure AD Connect kullanılarak şirket içi dizininizden eşitlenen kullanıcı hesaplarıyla Azure AD oluşturulan yalnızca bulut kullanıcı hesapları için farklıdır.

Yalnızca bulutta yer alan bir kullanıcı hesabı, Azure portal veya Azure AD PowerShell cmdlet’leri kullanılarak Azure AD dizininizde oluşturulmuş bir hesaptır. Bu kullanıcı hesapları şirket içi dizinden eşitlenmez.

Bu öğreticide, temel bir yalnızca bulut kullanıcı hesabıyla çalışalım. Azure AD Connect'i kullanmak için gereken ek adımlar hakkında daha fazla bilgi için bkz. Şirket içi AD'nizden yönetilen etki alanınıza eşitlenen kullanıcı hesapları için parola karmalarını eşitleme.

İpucu

Azure AD kiracınızda yalnızca bulut kullanıcıları ve şirket içi AD'nizdeki kullanıcıların birleşimi varsa, her iki adım kümesini de tamamlamanız gerekir.

Yalnızca bulut kullanıcı hesapları için kullanıcıların Azure AD DS kullanabilmeleri için önce parolalarını değiştirmeleri gerekir. Bu parola değiştirme işlemi Kerberos ve NTLM kimlik doğrulaması için parola karmalarının oluşturulmasına ve Azure AD depolanmasına neden olur. Parola değiştirilene kadar hesap Azure AD'den Azure AD DS'ye eşitlenmez. Kiracıdaki Azure AD DS kullanması gereken ve bir sonraki oturum açma işleminde parola değişikliğini zorunlu hale getiren tüm bulut kullanıcılarının parolalarının süresinin dolmasını sağlayın veya bulut kullanıcılarına parolalarını el ile değiştirmelerini sağlayın. Bu öğretici için bir kullanıcı parolasını el ile değiştirelim.

Kullanıcının parolasını sıfırlayabilmesi için önce Azure AD kiracısının self servis parola sıfırlama için yapılandırılması gerekir.

Yalnızca bulut kullanan bir kullanıcının parolasını değiştirmek için kullanıcının aşağıdaki adımları tamamlaması gerekir:

  1. konumundaki https://myapps.microsoft.comAzure AD Erişim Paneli sayfasına gidin.

  2. Sağ üst köşede adınızı seçin ve ardından açılan menüden Profil'i seçin.

    Profil seçme

  3. Profil sayfasında Parolayı değiştir'i seçin.

  4. Parolayı değiştir sayfasında mevcut (eski) parolanızı girin ve yeni bir parola girip onaylayın.

  5. Gönder’i seçin.

Yeni parolanın Azure AD DS'de kullanılabilir olması ve yönetilen etki alanına katılmış bilgisayarlarda başarıyla oturum açması için parolanızı değiştirmeniz birkaç dakika sürer.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • Yönetilen etki alanı için DNS gereksinimlerini anlama
  • Yönetilen etki alanı oluşturma
  • Etki alanı yönetimine yönetici kullanıcıları ekleme
  • Azure AD DS için kullanıcı hesaplarını etkinleştirme ve parola karmaları oluşturma

VM'lere etki alanına katılmadan ve yönetilen etki alanını kullanan uygulamaları dağıtmadan önce, uygulama iş yükleri için bir Azure sanal ağı yapılandırın.