教學課程:將 Windows Server 虛擬機器加入 Microsoft Entra Domain Services 受控網域

  • 文章

Microsoft Entra Domain Services 提供受控網域服務,例如網域加入、群組原則、LDAP、Kerberos/NTLM 驗證,與 Windows Server Active Directory 完全相容。 透過 Domain Services 受控網域,您可以為 Azure 中的虛擬機器提供網域加入功能和管理。 本教學課程說明如何建立 Windows Server VM,然後將它加入受控網域。

在本教學課程中,您會了解如何:

  • 建立 Windows Server VM
  • 連線 Windows Server VM 至 Azure 虛擬網路
  • 將 VM 加入受控網域

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶

必要條件

若要完成本教學課程,您需要下列資源:

如果您已經有想要加入網域的 VM,請跳至 區段以 將 VM 加入受控網域

登入 Microsoft Entra 系統管理中心

在本教學課程中,您會建立 Windows Server VM,以使用 Microsoft Entra 系統管理中心加入受控網域。 若要開始使用,請先登入 Microsoft Entra 系統管理中心

建立 Windows Server 虛擬機器

若要查看如何將電腦加入受控網域,讓我們建立 Windows Server VM。 此 VM 會連線到提供受控網域連線的 Azure 虛擬網路。 加入受控網域的程式與加入一般內部部署的 Active Directory Domain Services 網域相同。

如果您已經有想要加入網域的 VM,請跳至 區段以 將 VM 加入受控網域

  1. 從 [Microsoft Entra 系統管理中心] 功能表或 [ 首頁 ] 頁面,選取 [ 建立資源 ]。

  2. [開始使用] ,選擇 [Windows Server 2016 Datacenter ]。

    Choose to create a Windows Server 2016 Datacenter VM

  3. 在 [ 基本] 視窗中,設定虛擬機器的核心設定。 保留 [可用性] 選項、[映射 ] 和 [大小 ] 的 預設值。

    參數 建議的值
    資源群組 選取或建立資源群組,例如 myResourceGroup
    虛擬機器名稱 輸入 VM 的名稱,例如 myVM
    區域 選擇要在中建立 VM 的區域,例如 美國東部
    使用者名稱 輸入本機系統管理員帳戶的使用者名稱,以在 VM 上建立,例如 azureuser
    密碼 輸入 ,然後確認本機系統管理員在 VM 上建立的安全密碼。 請勿指定網域使用者帳戶的認證。 不支援 Windows LAPS

  4. 根據預設,在 Azure 中建立的 VM 可以使用 RDP 從網際網路存取。 啟用 RDP 時,可能會發生自動登入攻擊,這可能會因為多次失敗的登入嘗試而停用一般名稱的帳戶,例如 系統管理員 系統管理員

    只有在需要時,才應啟用 RDP,並限制為一組授權的 IP 範圍。 此設定有助於改善 VM 的安全性,並減少潛在攻擊的區域。 或者,建立並使用 Azure Bastion 主機,只允許透過 TLS 透過 Microsoft Entra 系統管理中心進行存取。 在本教學課程的下一個步驟中,您會使用 Azure Bastion 主機安全地連線到 VM。

    在 [公用輸入埠 ] 底下 ,選取 [ ]。

  5. 完成後,請選取 [ 下一步:磁片 ]。

  6. 從 OS 磁片類型的 下拉式功能表 中,選擇 [ 標準 SSD ],然後選取 [ 下一步:網路]。

  7. 您的 VM 必須連線到可與受控網域所部署子網通訊的 Azure 虛擬網路子網。 建議您將受控網域部署至自己的專用子網。 請勿將 VM 部署在與受控網域相同的子網中。

    部署 VM 並聯機到適當的虛擬網路子網有兩個主要方式:

    • 在部署受控網域的相同虛擬網路中,建立或選取現有的子網。
    • 在 Azure 虛擬網路中選取使用 Azure 虛擬網路對等互連 連線到它的子網。

    如果您選取未連線到受控網域子網的虛擬網路子網,則無法將 VM 加入受控網域。 在本教學課程中,讓我們在 Azure 虛擬網路中建立新的子網。

    在 [ 網路] 窗格中,選取部署受控網域的虛擬網路,例如 aaads-vnet

  8. 在此範例中,現有的 aaads-subnet 會顯示受控網域已連線。 請勿將您的 VM 連線到此子網。 若要建立 VM 的子網,請選取 [ 管理子網組態 ]。

    Choose to manage the subnet configuration

  9. 在虛擬網路視窗的左側功能表中,選取 [位址空間 ]。 虛擬網路會使用預設子網所使用的單一位址空間 10.0.2.0/24 來建立。 其他子網,例如 工作負載 或 Azure Bastion 也可能已經存在。

    將額外的 IP 位址範圍新增至虛擬網路。 此位址範圍和實際要使用的 IP 位址範圍大小取決於已部署的其他網路資源。 IP 位址範圍不應與 Azure 或內部部署環境中任何現有的位址範圍重迭。 請確定您大小 IP 位址範圍夠大,足以容納您預期要部署到子網中的 VM 數目。

    在下列範例中,會新增額外的 IP 位址範圍 10.0.5.0/24 。 準備好時,請選取 [ 儲存 ]。

    Add an additional virtual network IP address range

  10. 接下來,在虛擬網路視窗的左側功能表中,選取 [子網 ],然後選擇 [ + 子網 ] 以新增子網。

  11. 選取 [+ 子網 ],然後輸入子網的名稱,例如 管理 提供位址範圍 (CIDR 區塊), 例如 10.0.5.0/24 。 請確定此 IP 位址範圍不會與任何其他現有的 Azure 或內部部署位址範圍重迭。 將其他選項保留為預設值,然後選取 [ 確定 ]。

    Create a subnet configuration

  12. 建立子網需要幾秒鐘的時間。 建立之後,請選取 X 以關閉子網視窗。

  13. 回到 [ 網路] 窗格以建立 VM,從下拉式功能表中選擇您建立的子網,例如 管理 。 同樣地,請確定您選擇正確的子網,且不會將 VM 部署在與受控網域相同的子網中。

  14. 針對 [公用 IP ],從下拉式功能表中選取 [無 ]。 當您在本教學課程中使用 Azure Bastion 來連線到管理時,您不需要指派給 VM 的公用 IP 位址。

  15. 將其他選項保留為預設值,然後選取 [ 管理 ]。

  16. 將 [開機診斷] 設定 為 [ 關閉 ]。 將其他選項保留為預設值,然後選取 [ 檢閱 + 建立 ]。

  17. 檢閱 VM 設定,然後選取 [ 建立 ]。

建立 VM 需要幾分鐘的時間。 Microsoft Entra 系統管理中心會顯示部署的狀態。 一旦 VM 就緒,請選取 [移至資源 ]。

Go to the VM resource once it's successfully created

連線至 Windows Server VM

若要安全地連線到您的 VM,請使用 Azure Bastion 主機。 使用 Azure Bastion 時,受控主機會部署到您的虛擬網路,並提供 WEB 型 RDP 或 SSH 連線至 VM。 VM 不需要公用 IP 位址,您不需要開啟外部遠端流量的網路安全性群組規則。 您可以從網頁瀏覽器使用 Microsoft Entra 系統管理中心連線到 VM。 如有需要, 請建立 Azure Bastion 主機

若要使用 Bastion 主機連線到您的 VM,請完成下列步驟:

  1. 在 VM 的 [概觀 ] 窗格中,選取 [連線 ],然後 選取 [Bastion ]。

    Connect to Windows virtual machine using Bastion

  2. 輸入您在上一節中指定的 VM 認證,然後選取 [連線 ]。

    Connect through the Bastion host

如有需要,請允許網頁瀏覽器開啟快顯,以顯示 Bastion 連線。 建立 VM 的連線需要幾秒鐘的時間。

將 VM 加入受控網域

建立 VM 並使用 Azure Bastion 建立的 Web 型 RDP 連線,現在讓我們將 Windows Server 虛擬機器加入受控網域。 此程式與連線到一般 內部部署的 Active Directory Domain Services 網域的電腦相同。

  1. 如果您 登入 VM 時預設不會開啟伺服器管理員 ,請選取 [開始 ] 功能表,然後選擇 [伺服器管理員 ]。

  2. 在 [伺服器管理員] 視窗的 左窗格中,選取 [ 本機伺服器 ]。 右窗格的 [屬性] 下,選擇 [工作組 ]。

    Open Server Manager on the VM and edit the workgroup property

  3. 在 [ 系統屬性] 視窗中,選取 [變更 ] 以加入受控網域。

    Choose to change the workgroup or domain properties

  4. 在 [ 網域 ] 方塊中,指定受控網域的名稱,例如 aaddscontoso.com ,然後選取 [ 確定 ]。

    Specify the managed domain to join

  5. 輸入網域認證以加入網域。 提供屬於受控網域一部分之使用者的認證。 帳戶必須是受控網域或 Microsoft Entra 租使用者的一部分 - 與 Microsoft Entra 租使用者相關聯的外部目錄帳戶無法在加入網域程式期間正確驗證。

    帳號憑證可以透過下列其中一種方式來指定:

    • UPN 格式 (建議) - 輸入使用者帳戶的使用者主體名稱 (UPN) 尾碼,如 Microsoft Entra ID 中所設定。 例如,使用者 contosoadmin 的 UPN 尾碼會是 contosoadmin@aaddscontoso.onmicrosoft.com 。 有幾個常見的使用案例,UPN 格式可以可靠地用來登入網域,而不是 SAMAccountName 格式:
      • 如果使用者的 UPN 前置詞很長,例如 deehasareallylongname,SAMAccountName 可能會自動產生。
      • 如果您的 Microsoft Entra 租使用者中有多個使用者具有相同的 UPN 前置詞,例如 dee ,則其 SAMAccountName 格式可能會自動產生。
    • SAMAccountName 格式 - 以 SAMAccountName 格式輸入帳戶名稱 。 例如, 使用者 contosoadmin 的 SAMAccountName 會是 AADDSCONTOSO\contosoadmin

  6. 加入受控網域需要幾秒鐘的時間。 完成時,下列訊息會歡迎您前往網域:

    Welcome to the domain

    選取確定以繼續。

  7. 若要完成加入受控網域的程式,請重新開機 VM。

提示

您可以使用 PowerShell 搭配 Add-Computer Cmdlet 來網域加入 VM。 下列範例會 聯結 AADDSCONTOSO 網域,然後重新開機 VM。 出現提示時,輸入屬於受控網域一部分之使用者的認證:

Add-Computer -DomainName AADDSCONTOSO -Restart

若要將 VM 加入網域,而不需連線並手動設定連線,您可以使用 Set-AzVmAdDomainExtension Azure PowerShell Cmdlet。

一旦 Windows Server VM 重新開機,受控網域中套用的任何原則就會推送至 VM。 您現在也可以使用適當的網域認證登入 Windows Server VM。

清除資源

在下一個教學課程中,您會使用此 Windows Server VM 來安裝管理工具,讓您管理受控網域。 如果您不想繼續本教學課程系列,請檢閱下列清除步驟來 刪除 VM 。 否則, 請繼續進行下一個教學課程

從受控網域取消加入 VM

若要從受控網域移除 VM,請再次遵循步驟,將 VM 加入網域 。 加入宣告工作組,而不是加入受控網域,例如預設 的 WORKGROUP 。 VM 重新開機之後,電腦物件會從受控網域中移除。

如果您 刪除 VM 而不加入網域,則會在 Domain Services 中保留孤立的電腦物件。

刪除 VM

如果您未使用此 Windows Server VM,請使用下列步驟刪除 VM:

  1. 從左側功能表中,選取 [資源群組]
  2. 選擇您的資源群組,例如 myResourceGroup
  3. 選擇您的 VM,例如 myVM ,然後選取 [ 刪除 ]。 選取 [ ] 以確認資源刪除。 刪除 VM 需要幾分鐘的時間。
  4. 刪除 VM 時,請選取 OS 磁片、網路介面卡,以及具有 myVM 前置 詞的任何其他資源,並加以刪除。

針對加入網域的問題進行疑難排解

Windows Server VM 應該成功加入受控網域,就像一般內部部署電腦加入Active Directory 網域服務網域一樣。 如果 Windows Server VM 無法加入受控網域,表示發生連線或認證相關問題。 請檢閱下列疑難排解區段,以成功加入受控網域。

連線能力問題

如果您沒有收到要求認證加入網域的提示,則發生連線問題。 VM 無法連線到虛擬網路上的受控網域。

嘗試上述每個疑難排解步驟之後,請嘗試再次將 Windows Server VM 加入受控網域。

  • 確認 VM 已連線到網域服務已啟用的相同虛擬網路,或具有對等互連網路連線。
  • 嘗試 Ping 受控網域的 DNS 功能變數名稱,例如 ping aaddscontoso.com
    • 如果 Ping 要求失敗,請嘗試 Ping 受控網域的 IP 位址,例如 ping 10.0.0.4 。 當您從 Azure 資源清單中選取受控網域時,環境 IP 位址會顯示在 [屬性 ] 頁面上。
    • 如果您可以 Ping IP 位址,但無法偵測網域,DNS 可能會設定不正確。 確認受控網域的 IP 位址已設定為虛擬網路的 DNS 伺服器。
  • 嘗試使用 ipconfig /flushdns 命令排清虛擬機器上的 DNS 解析程式快取。

如果您收到要求認證加入網域的提示,但在輸入這些認證之後發生錯誤,VM 就能夠連線到受控網域。 您提供的認證不會接著讓 VM 加入受控網域。

嘗試上述每個疑難排解步驟之後,請嘗試再次將 Windows Server VM 加入受控網域。

  • 請確定您指定的使用者帳戶屬於受控網域。
  • 確認帳戶是受控網域或 Microsoft Entra 租使用者的一部分。 與 Microsoft Entra 租使用者相關聯的外部目錄帳戶無法在加入網域程式期間正確驗證。
  • 請嘗試使用 UPN 格式來指定認證,例如 contosoadmin@aaddscontoso.onmicrosoft.com 。 如果您的租使用者中有許多使用者具有相同 UPN 前置詞,或 UPN 前置詞過長, 則帳戶的 SAMAccountName 可能會自動產生。 在這些情況下, 您帳戶的 SAMAccountName 格式可能與您在內部部署網域中使用的專案不同。
  • 檢查您是否已啟用 受控網域的密碼同步 處理。 如果沒有此設定步驟,受控網域中就不會有必要的密碼雜湊,以正確驗證您的登入嘗試。
  • 等候密碼同步處理完成。 當使用者帳戶的密碼變更時,Microsoft Entra ID 中的自動背景同步處理會更新 Domain Services 中的密碼。 密碼需要一些時間才能用於加入網域。

下一步

在本教學課程中,您已了解如何:

  • 建立 Windows Server VM
  • 連線至 Azure 虛擬網路的 Windows Server VM
  • 將 VM 加入受控網域

若要管理受控網域,請使用 Active Directory 管理員istrative Center (ADAC) 設定管理 VM。

在管理 VM 上安裝管理工具