教學課程：使用內部部署網域在 Microsoft Entra Domain Services 中建立雙向樹系信任

您可以在 Microsoft Entra Domain Services 與內部部署 AD DS 環境之間建立樹系信任。 樹系信任關係可讓使用者、應用程式和計算機從 Domain Services 受控網域對內部部署網域進行驗證。 樹系信任可協助使用者在下列案例中存取資源：

• 您無法同步處理密碼哈希的環境，或用戶獨佔使用智慧卡登入且不知道其密碼的環境。
• 需要存取內部部署網域的混合式案例。

您可以根據使用者存取資源的方式，從建立樹系信任時，從三個可能的方向中進行選擇。 Domain Services 僅支援樹系信任。 不支持內部部署子 domian 的外部信任。

信任方向	使用者存取
雙向	可讓受控網域和內部部署網域中的使用者存取任一網域中的資源。
單向傳出	可讓內部部署網域中的使用者存取受控網域中的資源，但反之亦然。
單向傳入	允許受控網域中的使用者存取內部部署網域中的資源。

在本教學課程中，您會了解如何：

• 在內部部署 AD DS 網域中設定 DNS 以支援網域服務連線
• 建立受控網域與內部部署網域之間的雙向樹系信任
• 測試和驗證樹系信任關係以進行驗證和資源存取

如尚未擁有 Azure 訂用帳戶，請在開始之前先建立帳戶。

必要條件

若要完成本教學課程，您需要下列資源和權限：

• 有效的 Azure 訂閱。
  • 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶的關聯。
• 以自定義 DNS 功能變數名稱和有效的 SSL 憑證設定的 Domain Services 受控網域。
  • 如有需要， 請建立及設定 Microsoft Entra Domain Services 受控網域。
• 可透過 VPN 或 ExpressRoute 連線從受控網域連線的 內部部署的 Active Directory 網域。
• 應用程式 管理員 istrator 和 Groups 管理員 istrator 租使用者中的 Microsoft Entra 角色來修改 Domain Services 實例。
• 內部部署網域中的網域 管理員 帳戶，具有建立和驗證信任關係的許可權。

重要

您必須為受控網域使用最少的企業 SKU。 如有需要， 請變更受控網域的SKU。

登入 Microsoft Entra 系統管理中心

在本教學課程中，您會使用 Microsoft Entra 系統管理中心，從 Domain Services 建立和設定輸出樹系信任。 若要開始使用，請先登入 Microsoft Entra 系統管理中心。

網路考量

裝載 Domain Services 樹系的虛擬網路需要 VPN 或 ExpressRoute 連線到您的 內部部署的 Active Directory。 應用程式和服務也需要網路連線到裝載 Domain Services 樹系的虛擬網路。 網域服務樹系的網路連線必須一律開啟且穩定，否則使用者可能無法驗證或存取資源。

在網域服務中設定樹系信任之前，請確定 Azure 與內部部署環境之間的網路功能符合下列需求：

• 請確定防火牆埠允許建立和使用信任所需的流量。 如需需要開啟哪些埠才能使用信任的詳細資訊，請參閱 設定AD DS信任的防火牆設定。
• 使用私人IP位址。 請勿依賴具有動態IP位址指派的 DHCP。
• 避免重疊的IP位址空間，以允許虛擬網路對等互連和路由在 Azure 與內部部署之間成功通訊。
• Azure 虛擬網路需要閘道子網，才能設定 Azure 站對站 VPN 或 ExpressRoute 連線。
• 建立具有足夠IP位址的子網，以支援您的案例。
• 請確定 Domain Services 有自己的子網，請勿與應用程式 VM 和服務共用此虛擬網路子網。
• 對等互連的虛擬網路無法轉移。
  • 您必須在您想要使用網域服務樹系信任的內部部署AD DS環境的所有虛擬網路之間建立 Azure 虛擬網路對等互連。
• 提供您 內部部署的 Active Directory 樹系的持續網路連線。 請勿使用隨選連線。
• 請確定網域服務樹系名稱與 內部部署的 Active Directory 樹系名稱之間有連續的 DNS 名稱解析。

設定內部部署網域中的 DNS

若要從內部部署環境正確地解析受控網域，建議您將轉寄站新增至現有的 DNS 伺服器。 若要設定內部部署環境以與受控網域通訊，請從內部部署 AD DS 網域的管理工作站完成下列步驟：

1. 選取 [開始> 管理員 工具>DNS]。

2. 選取您的 DNS 區域，例如 aaddscontoso.com。

3. 選取 [條件式轉寄站]，然後以滑鼠右鍵按下並選擇 [ 新增條件轉寄站...]。

4. 輸入其他 DNS 網域，例如 contoso.com，然後輸入該命名空間 DNS 伺服器的 IP 位址，如下列範例所示：

   

5. 核取 [在 Active Directory 中儲存此條件式轉寄站] 的方塊，然後選取此網域中 [所有 DNS 伺服器] 的選項，如下列範例所示：

   

   重要

   如果條件式轉寄站儲存在 樹 系中，而不是 網域，條件式轉寄站就會失敗。

6. 若要建立條件式轉寄站，請選取 [ 確定]。

在內部部署網域中建立雙向樹系信任

內部部署 AD DS 網域需要受控網域的雙向樹系信任。 此信任必須在內部部署 AD DS 網域中手動建立;無法從 Microsoft Entra 系統管理中心建立。

若要在內部部署 AD DS 網域中設定雙向信任，請從內部部署 AD DS 網域的管理工作站完成下列步驟 管理員：

1. 選取 [開始> 管理員 工具> Active Directory 網域 和信任]。
2. 以滑鼠右鍵按兩下網域，例如 onprem.contoso.com，然後選取 [ 屬性]。
3. 選擇 [信任] 索引 標籤，然後選擇 [新增信任]。
4. 輸入 Domain Services 功能變數名稱，例如 aaddscontoso.com，然後選取[ 下一步]。
5. 選取選項以建立 樹系信任，然後建立 雙向 信任。
6. 選擇為僅此網域建立信任。 在下一個步驟中，您會在受控網域的 Microsoft Entra 系統管理中心建立信任。
7. 選擇使用全樹系驗證，然後輸入並確認信任密碼。 下一節的 Microsoft Entra 系統管理中心也會輸入相同的密碼。
8. 使用預設選項逐步執行接下來的幾個視窗，然後選擇 [否，不要確認外寄信任] 的選項。
9. 選取 [完成]。

如果環境不再需要樹系信任，請完成下列步驟作為網域 管理員，以從內部部署網域中移除它：

1. 選取 [開始> 管理員 工具> Active Directory 網域 和信任]。
2. 以滑鼠右鍵按兩下網域，例如 onprem.contoso.com，然後選取 [ 屬性]。
3. 依序選擇 [信任] 索引標籤、 信任此網域的 [網域]、按兩下要移除的信任，然後按兩下 [ 移除]。
4. 在 [信任] 索引標籤的 [此網域信任的網域] 底下 ，按兩下要移除的信任，然後按兩下 [移除]。
5. 按兩下 [ 否]，僅從本機網域移除信任。

在 Domain Services 中建立雙向樹系信任

若要在 Microsoft Entra 系統管理中心建立受控網域的雙向信任，請完成下列步驟：

1. 在 Microsoft Entra 系統管理中心中，搜尋並選取 [Microsoft Entra Domain Services]，然後選取您的受控網域，例如 aaddscontoso.com。

2. 從受控網域左側的功能表中，選取 [ 信任]，然後選擇 [ + 新增 信任]。

3. 選取 [雙向 ] 作為信任方向。

4. 輸入識別您信任的顯示名稱，然後輸入內部部署受信任樹系 DNS 名稱，例如 onprem.contoso.com。

5. 提供用於在上一節中為內部部署 AD DS 網域設定輸入樹系信任的相同信任密碼。

6. 為內部部署 AD DS 網域提供至少兩部 DNS 伺服器，例如 10.1.1.4 和 10.1.1.5。

7. 準備就緒時， 請儲存 輸出樹系信任。

   

如果環境不再需要樹系信任，請完成下列步驟，將它從 Domain Services 中移除：

1. 在 Microsoft Entra 系統管理中心中，搜尋並選取 [Microsoft Entra Domain Services]，然後選取您的受控網域，例如 aaddscontoso.com。
2. 從受控網域左側的功能表中，選取 [信任]，選擇信任，然後按兩下 [ 移除]。
3. 提供用來設定樹系信任的相同信任密碼，然後按兩下 [ 確定]。

驗證資源驗證

下列常見案例可讓您驗證樹系信任是否正確地驗證使用者和資源的存取權：

• 來自 Domain Services 樹系的內部部署用戶驗證
• 使用內部部署使用者存取 Domain Services 樹系中的資源
  • 啟用檔案及印表機共用
  • 建立安全性群組並新增成員
  • 建立跨樹系存取的檔案共用
  • 驗證資源的跨樹系驗證

來自 Domain Services 樹系的內部部署用戶驗證

您應該已將 Windows Server 虛擬機加入受控網域。 使用這部虛擬機器來測試您的內部部署使用者是否可以在虛擬機器上進行驗證。 如有需要， 請建立 Windows VM 並將它加入受控網域。

1. 使用 連線 加入網域服務樹系的 Windows Server VMAzure Bastion 和您的 Domain Services 系統管理員認證。

2. 開啟命令提示字元，然後使用 whoami 命令來顯示目前已驗證使用者的辨別名稱：

   whoami /fqdn
   

3. 使用 runas 命令，以來自內部部署網域的使用者身分進行驗證。 在下列命令中，以來自受信任內部部署網域之使用者的 UPN 取代 userUpn@trusteddomain.com。 此命令會提示您輸入使用者密碼：

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. 如果驗證成功，就會開啟新的命令提示字元。 新命令提示字元的標題包含 running as userUpn@trusteddomain.com。

5. 在新的命令提示字元中使用 whoami /fqdn，以從內部部署 Active Directory 檢視已驗證使用者的辨別名稱。

使用內部部署使用者存取 Domain Services 樹系中的資源

從已加入網域服務樹系的 Windows Server VM，您可以測試案例。 例如，您可以測試登入內部部署網域的使用者是否可以存取受控網域中的資源。 下列範例涵蓋常見的測試案例。

啟用檔案及印表機共用

1. 使用 連線 加入網域服務樹系的 Windows Server VMAzure Bastion 和您的 Domain Services 系統管理員認證。

2. 開啟 Windows 設定。

3. 搜尋並選取 [ 網路和共用中心]。

4. 選擇 [變更進階共用] 設定選項。

5. 在 [網域設定檔]下，選取 [開啟檔案及印表機共用] 然後選取 [儲存變更]。

6. 關閉網路和共用中心。

建立安全性群組並新增成員

1. 開啟 [Active Directory 使用者及電腦]。

2. 在網域名稱上按一下滑鼠右鍵，選擇 [新增]，然後選取 [組織單位]。

3. 在 [名稱] 方塊中，輸入 LocalObjects，然後選取 [確定]。

4. 選取並以滑鼠右鍵按一下瀏覽窗格中的 LocalObjects。 選取 [新增]，然後選取 [群組]。

5. 在 [群組名稱] 方塊中，輸入 FileServerAccess。 在 [群組範圍] 中，選取 [網域本機]，然後選擇 [確定]。

6. 在內容窗格中，按兩下 FileServerAccess。 選取 [成員]，選擇 [新增]，然後選取 [位置]。

7. 從位置檢視中選取您的內部部署 Active Directory，然後選擇 [確定]。

8. 在 [輸入要選取的物件名稱] 方塊中輸入「網域使用者」。 選取 [檢查名稱]並提供內部部署 Active Directory 的認證，然後選取 [確定]。

   注意

   您必須提供認證，因為信任關係只有單向。 這表示來自 Domain Services 受控網域的使用者無法存取資源，或搜尋受信任 （內部部署） 網域中的使用者或群組。

9. 來自內部部署 Active Directory 的網域使用者群組應該是 FileServerAccess 群組的成員。 選取 [確定] 儲存群組並關閉視窗。

建立跨樹系存取的檔案共用

1. 在已加入 Domain Services 樹系的 Windows Server VM 上，建立資料夾並提供 CrossForestShare 等名稱。
2. 以滑鼠右鍵按一下資料夾，然後選擇 [屬性]。
3. 選取 [安全性] 索引標籤，接著選取 [編輯]。
4. 在 [CrossForestShare 權限] 對話方塊中，選取 [新增]。
5. 在 輸入物件名稱以選取中輸入 FileServerAccess，然後選取 [確定]。
6. 從 [群組或使用者名稱] 清單中選取 FileServerAccess。 在 [FileServerAccess 權限] 清單中，針對 [修改] 和 [寫入] 權限選擇 [允許]，然後選取 [確定]。
7. 選取 [共用] 索引標籤，然後選擇 [進階共用...]。
8. 選擇 [共用此資料夾]，然後在 [共用名稱] 中，為檔案共用輸入易記的名稱，例如 CrossForestShare。
9. 選取 [權限]。 在 [每個人的權限] 清單中，針對 [變更] 權限選擇 [允許]。
10. 選取 [確定] 兩次，然後選取 [關閉]。

驗證資源的跨樹系驗證

1. 使用內部部署 Active Directory 的使用者帳戶，登入已加入內部部署 Active Directory 的 Windows 電腦。

2. 使用 Windows 檔案總管連線到您使用完整主機名稱和共用 (例如 \\fs1.aaddscontoso.com\CrossforestShare) 所建立的共用。

3. 若要驗證寫入權限，請在資料夾中按一下滑鼠右鍵，選擇 [新增]，然後選取 [文字文件]。 使用預設名稱新增文字檔。

   如果已正確設定寫入權限，則會建立新的文字檔。 請完成下列步驟，以視需要開啟、編輯和刪除檔案。

4. 若要驗證讀取權限，請開啟新增文字文件。

5. 若要驗證修改權限，請將文字新增至檔案，然後關閉記事本。 當系統提示您儲存變更時，請選擇 [儲存]。

6. 若要驗證刪除權限，請以滑鼠右鍵選取 [新增文字文件]，然後選擇 [刪除]。 選擇 [是] 確認檔案刪除。

下一步

在本教學課程中，您已了解如何：

• 在內部部署 AD DS 環境中設定 DNS 以支援 Domain Services 連線能力
• 在內部部署 AD DS 環境中建立單向的輸入樹系信任
• 在 Domain Services 中建立單向輸出樹系信任
• 測試和驗證信任關係以進行驗證和資源存取

如需 Domain Services 中樹系的詳細資訊，請參閱 樹系信任如何在 Domain Services 中運作？。