教學課程:建立和設定 Microsoft Entra Domain Services 受控網域
Microsoft Entra Domain Services 提供受控網域服務,例如與 Windows Server Active Directory 完全相容的網域加入、群組原則、LDAP、Kerberos/NTLM 驗證。 您不需要自行部署、管理和修補網域控制站,就可以使用這些網域服務。 Domain Services 會與您的現有 Microsoft Entra 租用戶整合。 這項整合可讓使用者使用其公司認證進行登入,而您可以使用現有的群組和使用者帳戶來保護資源的存取。
您可以使用預設的設定選項建立受控網域,以進行網路連線和同步,或手動定義這些設定。 本教學課程顯示如何使用預設選項,以使用 Microsoft Entra 系統管理中心來建立和設定 Domain Services 受控網域。
在本教學課程中,您會了解如何:
- 了解受控網域的 DNS 需求
- 建立受控網域
- 啟用密碼雜湊同步功能
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶。
必要條件
若要完成本教學課程,您需要下列資源和權限:
- 有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
- 與您的訂用帳戶相關聯的 Microsoft Entra 租用戶,已與內部部署目錄或僅限雲端目錄進行同步處理。
- 您需要租用戶中的應用程式系統管理員和群組系統管理員 Microsoft Entra 角色,才能啟用 Domain Services。
- 您需要 Domain Services 參與者 Azure 角色,才能建立必要的 Domain Services 資源。
- DNS 伺服器可查詢儲存體這類必要基礎結構的虛擬網路。 無法執行一般網際網路查詢的 DNS 伺服器可能會封鎖建立受控網域的能力。
雖然 Domain Services 不需要,但建議針對 Microsoft Entra 租用戶設定自助式密碼重設 (SSPR)。 使用者不需 SSPR 即可變更其密碼,但是如果他們忘記密碼且需要加以重設,SSPR 會協助他們。
重要
在您建立受控網域之後,就無法將其移至不同的訂用帳戶、資源群組或區域。 當您部署受控網域時,請仔細選取最適當的訂用帳戶、資源群組和區域。
登入 Microsoft Entra 系統管理中心
在本教學課程中,您會使用 Microsoft Entra 系統管理中心來建立和設定受控網域。 若要開始使用,請先登入 Microsoft Entra 系統管理中心。
建立受控網域
若要啟動 [啟用 Microsoft Entra Domain Services] 精靈,請完成下列步驟:
在 Microsoft Entra 系統管理中心功能表上,或從 [首頁] 頁面中搜尋 [Domain Services],然後選擇 [Microsoft Entra Domain Services]。
在 [Microsoft Entra Domain Services] 頁面上,選取 [建立 Microsoft Entra Domain Services]。
選取您要在其中建立受控網域的 Azure 訂用帳戶。
選取受控網域應該隸屬的資源群組。 選擇 [新建],或選取現有的資源群組。
在建立受控網域時,您可以指定 DNS 名稱。 以下是選擇此 DNS 名稱時的一些考量:
- 內建網域名稱:預設會使用目錄的內建網域名稱 (.onmicrosoft.com 尾碼)。 如果您想要啟用透過網際網路對受控網域進行安全 LDAP 存取,則無法建立數位憑證來保護對此預設網域建立的連線。 .onmicrosoft.com 網域屬於 Microsoft,因此憑證授權單位不會發行憑證。
- 自訂網域名稱:最常見的方式是指定自訂網域名稱,通常是您已擁有且可路由傳送的名稱。 當您使用可路由的自訂網域時,流量可以視需要正確流動以支援您的應用程式。
- 不可路由傳送的網域尾碼:一般會建議您避免使用不可路由傳送的網域名稱尾碼,例如 contoso.local。 .local 尾碼是不可路由的,因此會導致 DNS 解析發生問題。
提示
如果您建立自訂網域名稱,請注意現有的 DNS 命名空間。 雖然予以支援,但您可能會想要使用與任何現有 Azure 或內部部署 DNS 命名空間不同的網域名稱。
例如,如果您現有的 DNS 名稱空間是 contoso.com,則請使用自訂網域名稱 dscontoso.com 來建立受控網域。 如果您需要使用安全 LDAP,必須註冊並擁有此自訂功能網域名稱,才能產生必要的憑證。
建議您為環境中的其他服務,或環境中現有 DNS 命名空間之間的條件式 DNS 轉寄站,建立一些額外的 DNS 記錄。 例如,如果您使用根 DNS 名稱執行裝載網站的 Web 伺服器,可能會發生需要其他 DNS 項目的命名衝突。
在這些教學課程和操作說明文章中,自訂網域 dscontoso.com 會用作簡短範例。 在所有命令中,指定您自己的網域名稱。
下列 DNS 名稱限制也適用於此:
- 網域前置詞限制:您無法使用超過 15 個字元的前置詞來建立受控網域。 所指定網域名稱的前置詞 (例如,dscontoso.com 網域名稱中的 dscontoso) 必須包含 15 (含) 個以內的字元。
- 網路名稱衝突:受控網域的 DNS 網域名稱不應該已存在於虛擬網路中。 具體而言,請檢閱下列會導致名稱衝突的案例:
- Azure 虛擬網路上是否已有包含相同 DNS 網域名稱的 Active Directory 網域。
- 您打算啟用受控網域的虛擬網路是否與內部部署網路建立 VPN 連線。 在此案例中,確定您在內部部署網路上沒有使用相同 DNS 網域名稱的網域。
- 您在 Azure 虛擬網路上是否已有使用該名稱的 Azure 雲端服務。
完成 Microsoft Entra 系統管理中心 [基本資料] 視窗中的欄位,以建立受控網域:
輸入受控網域的 DNS 網域名稱,並將前面幾項列入考慮。
選擇應該在其中建立受控網域的 Azure「區域」。 如果您選擇可支援 Azure 可用性區域的區域,則 Domain Services 資源會跨區域分散,以供額外的備援。
提示
「可用性區域」是 Azure 地區內獨特的實體位置。 每個區域都是由一或多個資料中心所組成,配備了獨立的電力、冷卻系統及網路系統。 若要確保復原能力,在所有已啟用的區域中都至少要有三個個別的區域。
您不需要設定,Domain Services 就會跨區域分散。 Azure 平台會自動處理在區域之間分散資源。 如需詳細資訊及查看區域可用性,請參閱什麼是 Azure 中的可用性區域?。
SKU 可決定效能和備份頻率。 如果您的商務需求或要求條件有所變更,您可以在受控網域建立後變更 SKU。 如需詳細資訊,請參閱 Domain Services SKU 概念。
在本教學課程中,請選取標準 SKU。 [基本資料] 視窗看起來應該如下列螢幕擷取畫面:
若要快速建立受控網域,您可以選取 [檢閱 + 建立],以接受其他預設的設定選項。 當您選擇此建立選項時,系統會設定下列預設值:
- 預設會建立名為 ds-vnet 的虛擬網路,而其會使用 IP 位址範圍 10.0.1.0/24。
- 建立使用 IP 位址範圍 10.0.1.0/24 且名為 ds-subnet 的子網路。
- 將「所有」使用者從 Microsoft Entra ID 同步處理至受控網域。
注意
因為下列問題,所以您不應該針對虛擬網路和其子網路使用公用 IP 位址:
IP 位址的稀缺性:IPv4 公用 IP 位址有限,而且其需求通常會超過可用的供應。 此外,可能會有與公用端點重疊的 IP。
安全性風險:針對虛擬網路使用公用 IP 會直接向網際網路公開您的裝置,進而增加未經授權存取和潛在攻擊的風險。 如果沒有適當的安全性措施,則您的裝置可能會容易受到各種威脅的攻擊。
複雜度:使用公用 IP 來管理虛擬網路會比使用私人 IP 更為複雜,因為其需要處理外部 IP 範圍,並確保適當的網路分割和安全性。
強烈建議使用私人 IP 位址。 如果您使用公用 IP,則請確定您是所選擇公用範圍內所選擇 IP 的擁有者/專用使用者。
選取 [檢閱 + 建立] 以接受這些預設的設定選項。
部署受控網域
在精靈的 [摘要] 頁面上,檢閱受控網域的組態設定。 您可以返回精靈的任何步驟以進行變更。 若要使用這些設定選項以一致的方式將受控網域重新部署至不同的 Microsoft Entra 租用戶,您也可以「下載用於自動化的範本」。
若要建立受控網域,請選取 [建立]。 系統會顯示注意事項,告知您某些設定選項 (例如 DNS 名稱或虛擬網路) 在 Domain Services 受控網域建立之後就無法變更。 若要繼續,請選取 [確定]。
佈建受控網域的程序可能需要一小時的時間。 在入口網站中,會顯示可顯示 Domain Services 部署進度的通知。
當受控網域完整佈建時,[概觀] 索引標籤會將網域狀態顯示為 [執行中]。 展開虛擬網路和網路資源群組這類資源連結的「部署詳細資料」。
重要
受控網域與您的 Microsoft Entra 目錄相關聯。 在佈建程序期間,Domain Services 會在 Microsoft Entra 目錄中建立名為 Domain Controller Services 和 AzureActiveDirectoryDomainControllerServices 的企業應用程式。 處理受控網域時需要這些企業應用程式。 不要刪除這些應用程式。
更新 Azure 虛擬網路的 DNS 設定
成功部署 Domain Services 之後,現在請將虛擬網路設定為允許其他已連線的 VM 和應用程式使用受控網域。 若要提供此連線,請更新虛擬網路的 DNS 伺服器設定,使其指向其中部署受控網域的兩個 IP 位址。
受控網域的 [概觀] 索引標籤會顯示一些必要的設定步驟。 第一個設定步驟是更新虛擬網路的 DNS 伺服器設定。 正確設定 DNS 的設定之後,就不會再顯示此步驟。
列出的位址是要在虛擬網路中使用的網域控制站。 在此範例中,這些位址是 10.0.1.4 和 10.0.1.5。 您稍後可以在 [屬性] 索引標籤上找到這些 IP 位址。
若要更新虛擬網路的 DNS 伺服器設定,請選取 [設定] 按鈕。 系統會自動為您的虛擬網路設定 DNS 設定。
提示
如果您在先前步驟中選取現有的虛擬網路,則任何連線到網路的 VM 都只會在重新開機後取得新的 DNS 設定。 您可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Azure CLI 來重新啟動 VM。
啟用 Domain Services 的使用者帳戶
若要在受控網域上驗證使用者,Domain Services 需要格式適用於 NT LAN Manager (NTLM) 和 Kerberos 驗證的密碼雜湊。 除非您針對租用戶啟用 Domain Services,否則 Microsoft Entra ID 不會產生或儲存 NTLM 或 Kerberos 驗證所需格式的密碼雜湊。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。
注意
正確設定後,可用的密碼雜湊就會儲存在受控網域中。 如果您刪除受控網域,當時已儲存的任何密碼雜湊也會一併刪除。
如果您稍後建立受控網域,則無法重複使用 Microsoft Entra ID 中已同步處理的認證資訊 - 您必須重新設定密碼雜湊同步處理,才能再次儲存密碼雜湊。 先前已加入網域的 VM 或使用者將無法立即進行驗證 - Microsoft Entra ID 需要在新的受控網域中產生和儲存密碼雜湊。
Domain Services 不支援 Microsoft Entra Connect 雲端同步處理。 內部部署使用者需要使用 Microsoft Entra Connect 進行同步處理,才能存取已加入網域的 VM。 如需詳細資訊,請參閱 Domain Services 和 Microsoft Entra Connect 的密碼雜湊同步處理程序。
針對在 Microsoft Entra ID 中建立的僅限雲端使用者帳戶產生和儲存這些密碼雜湊的步驟,與使用 Microsoft Entra Connect 從內部部署目錄同步的使用者帳戶的步驟不同。
僅限雲端使用者帳戶是使用 Microsoft Entra 系統管理中心或 PowerShell 在 Microsoft Entra 目錄中所建立的帳戶。 這些使用者帳戶不會從內部部署目錄同步。
在本教學課程中,讓我們使用基本的僅限雲端使用者帳戶。 如需使用 Microsoft Entra Connect 所需的其他步驟詳細資訊,請參閱同步處理從內部部署 AD 同步處理至受控網域的使用者帳戶密碼雜湊。
提示
如果您的 Microsoft Entra 目錄結合僅限雲端和已同步處理的使用者,則您需要完成這兩組步驟。
針對僅限雲端使用者帳戶,使用者必須先變更其密碼,才能使用 Domain Services。 此密碼變更程序會導致在 Microsoft Entra ID 中產生和儲存的 Kerberos 和 NTLM 驗證密碼雜湊。 除非變更密碼,否則帳戶不會從 Microsoft Entra ID 同步處理到 Domain Services。 針對租用戶中所有需要使用 Domain Services 的雲端使用者使其密碼過期 (這會在下一次登入時強制變更密碼),或者指示雲端使用者手動變更其密碼。 在本教學課程中,我們將手動變更使用者密碼。
Microsoft Entra 租用戶必須先設定為可進行自助式密碼重設,使用者才能重設其密碼。
若要變更僅限雲端使用者的密碼,使用者必須完成下列步驟:
前往 [Microsoft Entra ID 存取面板] 頁面:https://myapps.microsoft.com。
在右上角選取您的名稱,然後從下拉式功能表中選擇 [設定檔]。
在 [設定檔] 頁面上,選取 [變更密碼]。
在 [變更密碼] 頁面上,輸入您現有 (舊的) 密碼,然後輸入新密碼並加以確認。
選取 [提交]。
變更密碼之後,需要幾分鐘的時間,新密碼才能在 Domain Services 中使用,以及成功登入已加入受控網域的電腦。
下一步
在本教學課程中,您已了解如何:
- 了解受控網域的 DNS 需求
- 建立受控網域
- 將系統管理使用者新增至網域管理
- 啟用 Domain Services 的使用者帳戶並產生密碼雜湊
在您將 VM 加入網域並部署使用受控網域的應用程式之前,請先設定適用於應用程式工作負載的 Azure 虛擬網路。