教學課程:在 Azure Active Directory Domain Services 中建立內部部署網域的輸出樹系信任

您可以建立從 Azure AD DS 到一或多個內部部署 AD DS 環境的單向輸出信任。 此信任關係可讓使用者、應用程式和電腦向 Azure AD DS 受控網域中的內部部署網域進行驗證。 樹系信任可以協助使用者在如下案例中存取資源:

  • 無法同步密碼雜湊的環境,或使用者專門使用智慧卡登入,卻不知道其密碼的環境。
  • 仍然需要存取內部部署網域的混合式案例。

可以同時在資源樹系和使用者樹系網域類型中建立信任。 資源樹系網域類型會自動封鎖已從內部部署網域同步至 Azure AD DS 的任何使用者帳戶進行同步。 這是用於信任的最安全網域類型,因為其確保在使用者進行驗證時不會發生 UPN 衝突。 在使用者樹系中建立的信任原本就不安全,但可讓您更有彈性地從 Azure AD 進行同步。

從 Azure AD DS 到內部部署 AD DS 的樹系信任圖表

在本教學課程中,您會了解如何:

  • 在內部部署 AD DS 環境中設定 DNS,以支援 Azure AD DS 連線能力
  • 在內部部署 AD DS 環境中建立單向的輸入樹系信任
  • 在 Azure AD DS 中建立單向輸出樹系信任
  • 測試和驗證信任關係以進行驗證和資源存取

如果您沒有 Azure 訂用帳戶,請先建立帳戶再開始。

必要條件

若要完成此教學課程,您需要下列資源和權限:

登入 Azure 入口網站

在本教學課程中,您會使用 Azure 入口網站從 Azure AD DS 建立和設定輸出樹系信任。 若要開始使用,請先登入 Azure 入口網站。 您需要租用戶中的應用程式管理員群組管理員 Azure AD 角色,才能修改 Azure AD DS 執行個體。

網路考量

裝載 Azure AD DS 樹系的虛擬網路需要內部部署 Active Directory 的網路連線。 應用程式和服務也需要對裝載 Azure AD DS 樹系的虛擬網路進行網路連線。 Azure AD DS 樹系的網路連線必須一律開啟且保持穩定,否則使用者可能無法驗證或存取資源。

在 Azure AD DS 中設定樹系信任之前,請確定 Azure 與內部部署環境之間的網路功能符合下列需求:

  • 使用私人 IP 位址。 不要依賴具有動態 IP 位址指派的 DHCP。
  • 避免重疊的 IP 位址空間,讓虛擬網路對等互連和路由能夠成功地在 Azure 與內部部署之間通訊。
  • Azure 虛擬網路需要閘道子網路來設定 Azure 站對站 (S2S) VPNExpressRoute 連線。
  • 建立具有足夠 IP 位址的子網路,以支援您的案例。
  • 請確定 Azure AD DS 有自己的子網路,請勿與應用程式 VM 和服務共用此虛擬網路子網路。
  • 對等互連虛擬網路「不可」轉移。
    • 您必須在要使用 Azure AD DS 樹系信任至內部部署 AD DS 環境的所有虛擬網路之間建立 Azure 虛擬網路對等互連。
  • 提供內部部署 Active Directory 樹系的持續網路連線能力。 請勿使用指定連線。
  • 請確定您的 Azure AD DS 樹系名稱與內部部署 Active Directory 樹系名稱之間有持續的名稱解析 (DNS)。

設定內部部署網域中的 DNS

若要從內部部署環境正確地解析受控網域,建議您將轉寄站新增至現有的 DNS 伺服器。 如果您尚未將內部部署環境設定為可與受控網域通訊,請從內部部署 AD DS 網域的管理工作站完成下列步驟:

  1. 選取 [開始]>[系統管理工具]>[DNS]。

  2. 選取您的 DNS 區域,例如 aaddscontoso.com。

  3. 選取 [條件式轉寄站],然後以滑鼠右鍵按一下並選擇 [新增條件式轉寄站...]

  4. 輸入其他 DNS 網域,例如 contoso.com,然後輸入該命名空間的 DNS 伺服器 IP 位址,如下列範例所示:

    如何新增和設定 DNS 伺服器條件式轉寄站的螢幕擷取畫面。

  5. 勾選 [在 Active Directory 中儲存此條件式轉寄站,並複寫如下] 方塊,然後選取 [此網域中的所有 DNS 伺服器] 選項,如下列範例所示:

    如何選取此網域中所有 DNS 伺服器的螢幕擷取畫面。

    重要

    如果條件式轉寄站儲存在「樹系」中,而不是「網域」中,條件式轉寄站就會失敗。

  6. 若要建立條件式轉寄站,請選取 [確定]。

在內部部署網域中建立輸入樹系信任

內部部署 AD DS 網域需要受控網域的連入樹系信任。 此信任必須以手動方式在內部部署 AD DS 網域中建立,無法從 Azure 入口網站建立。

若要在內部部署 AD DS 網域設定輸入信任,請從內部部署 AD DS 網域的管理工作站完成下列步驟:

  1. 選取 [開始]>[系統管理工具]>[Active Directory 網域及信任]。
  2. 以滑鼠右鍵按一下網域,例如 onprem.contoso.com,然後選取 [屬性]。
  3. 選擇 [信任] 索引標籤,然後選擇 [新增信任]。
  4. 輸入 Azure AD DS 網域名稱,例如 aaddscontoso.com,然後選取 [下一步]。
  5. 選取選項以建立樹系信任,然後建立單向: 連入 信任。
  6. 選擇為僅此網域建立信任。 在下一個步驟中,您會在 Azure 入口網站中建立受控網域的信任。
  7. 選擇使用全樹系驗證,然後輸入並確認信任密碼。 在下一節中,也需要在 Azure 入口網站中輸入相同的密碼。
  8. 使用預設選項逐步執行接下來的幾個視窗,然後選擇 [否,不要確認外寄信任] 的選項。
  9. 選取 [完成]。

如果環境不再需要樹系信任,請完成下列步驟,將其從內部部署網域中移除:

  1. 選取 [開始]>[系統管理工具]>[Active Directory 網域及信任]。
  2. 以滑鼠右鍵按一下網域,例如 onprem.contoso.com,然後選取 [屬性]。
  3. 選擇 [信任] 索引標籤,然後選擇 [信任這個網域的網域 (連入的信任)],按一下要移除的信任,然後按一下 [移除]。
  4. 在 [信任] 索引標籤的 [被這個網域所信任的網域 (連出的信任)] 下,按一下要移除的信任,然後按一下 [移除]。
  5. 按一下 [否,只將信任從本機網域移除]

在 Azure AD DS 中建立輸出樹系信任

將內部部署 AD DS 網域設定為解析受控網域和所建立的輸入樹系信任時,現在就會建立輸出樹系信任。 此輸出樹系信任會完成內部部署 AD DS 網域與受控網域之間的信任關係。

若要在 Azure 入口網站中建立受控網域的輸出信任,請完成下列步驟:

  1. 在 Azure 入口網站中,搜尋並選取 [Azure AD Domain Services],然後選取您的受控網域,例如 aaddscontoso.com。

  2. 從受控網域左側的功能表中選取 [信任],然後選擇 [+ 新增] 信任。

  3. 輸入顯示名稱來識別您的信任,然後輸入內部部署信任的樹系 DNS 名稱,例如 onprem.contoso.com。

  4. 提供在上一節中設定內部部署 AD DS 網域的輸入樹系信任時,使用的相同信任密碼。

  5. 為內部部署 AD DS 網域提供至少兩部 DNS 伺服器,例如 10.1.1.4 和 10.1.1.5。

  6. 準備好時,儲存輸出樹系信任。

    在 Azure 入口網站中建立輸出樹系信任

如果環境不再需要樹系信任,請完成下列步驟,將其從 Azure AD DS 中移除:

  1. 在 Azure 入口網站中,搜尋並選取 [Azure AD Domain Services],然後選取您的受控網域,例如 aaddscontoso.com。
  2. 從受控網域左側的功能表中選取 [信任],選擇信任,然後按一下 [移除]。
  3. 提供用來設定樹系信任的相同信任密碼,然後按一下 [確定]。

驗證資源驗證

下列常見案例可讓您驗證樹系信任是否正確地驗證使用者和資源的存取權:

來自 Azure AD DS 樹系的內部部署使用者驗證

您應該已將 Windows Server 虛擬機器加入受控網域。 使用這部虛擬機器來測試您的內部部署使用者是否可以在虛擬機器上進行驗證。 如有需要,請建立 Windows VM,並將其加入受控網域

  1. 使用 Azure Bastion 和您的 Azure AD DS 管理員認證,連線到已加入 Azure AD DS 樹系的 Windows Server VM。

  2. 開啟命令提示字元,然後使用 whoami 命令來顯示目前已驗證使用者的辨別名稱:

    whoami /fqdn
    
  3. 使用 runas 命令,以來自內部部署網域的使用者身分進行驗證。 在下列命令中,以來自受信任內部部署網域之使用者的 UPN 取代 userUpn@trusteddomain.com。 此命令會提示您輸入使用者密碼:

    Runas /u:userUpn@trusteddomain.com cmd.exe
    
  4. 如果驗證成功,就會開啟新的命令提示字元。 新命令提示字元的標題包含 running as userUpn@trusteddomain.com

  5. 在新的命令提示字元中使用 whoami /fqdn,以從內部部署 Active Directory 檢視已驗證使用者的辨別名稱。

使用內部部署使用者存取 Azure AD DS 樹系中的資源

使用已加入 Azure AD DS 樹系的 Windows Server VM 時,您可以測試案例,也就是當使用者從內部部署網域中的電腦向內部部署網域的使用者進行驗證時,是否可以存取樹系中裝載的資源。 下列範例會示範如何建立和測試各種常見的案例。

啟用檔案及印表機共用

  1. 使用 Azure Bastion 和您的 Azure AD DS 管理員認證,連線到已加入 Azure AD DS 樹系的 Windows Server VM。

  2. 開啟 Windows 設定,然後搜尋並選取 [網路和共用中心]。

  3. 選擇 [變更進階共用] 設定選項。

  4. 在 [網域設定檔]下,選取 [開啟檔案及印表機共用] 然後選取 [儲存變更]。

  5. 關閉網路和共用中心

建立安全性群組並新增成員

  1. 開啟 [Active Directory 使用者及電腦]。

  2. 在網域名稱上按一下滑鼠右鍵,選擇 [新增],然後選取 [組織單位]。

  3. 在 [名稱] 方塊中,輸入 LocalObjects,然後選取 [確定]。

  4. 選取並以滑鼠右鍵按一下瀏覽窗格中的 LocalObjects。 選取 [新增],然後選取 [群組]。

  5. 在 [群組名稱] 方塊中,輸入 FileServerAccess。 在 [群組範圍] 中,選取 [網域本機],然後選擇 [確定]。

  6. 在內容窗格中,按兩下 FileServerAccess。 選取 [成員],選擇 [新增],然後選取 [位置]。

  7. 位置檢視中選取您的內部部署 Active Directory,然後選擇 [確定]。

  8. 在 [輸入要選取的物件名稱] 方塊中輸入「網域使用者」。 選取 [檢查名稱]並提供內部部署 Active Directory 的認證,然後選取 [確定]。

    注意

    您必須提供認證,因為信任關係只有單向。 這表示來自 Azure AD DS 受控網域的使用者無法存取資源,也無法在受信任的 (內部部署) 網域中搜尋使用者或群組。

  9. 來自內部部署 Active Directory 的網域使用者群組應該是 FileServerAccess 群組的成員。 選取 [確定] 儲存群組並關閉視窗。

建立跨樹系存取的檔案共用

  1. 在已加入 Azure AD DS 樹系的 Windows Server VM 上,建立資料夾並提供名稱,例如 CrossForestShare
  2. 以滑鼠右鍵按一下資料夾,然後選擇 [屬性]。
  3. 選取 [安全性] 索引標籤,接著選取 [編輯]。
  4. 在 [CrossForestShare 權限] 對話方塊中,選取 [新增]。
  5. 輸入物件名稱以選取中輸入 FileServerAccess,然後選取 [確定]。
  6. 從 [群組或使用者名稱] 清單中選取 FileServerAccess。 在 [FileServerAccess 權限] 清單中,針對 [修改] 和 [寫入] 權限選擇 [允許],然後選取 [確定]。
  7. 選取 [共用] 索引標籤,然後選擇 [進階共用...]。
  8. 選擇 [共用此資料夾],然後在 [共用名稱] 中,為檔案共用輸入易記的名稱,例如 CrossForestShare。
  9. 選取 [權限]。 在 [每個人的權限] 清單中,針對 [變更] 權限選擇 [允許]。
  10. 選取 [確定] 兩次,然後選取 [關閉]。

驗證資源的跨樹系驗證

  1. 使用內部部署 Active Directory 的使用者帳戶,登入已加入內部部署 Active Directory 的 Windows 電腦。

  2. 使用 Windows 檔案總管連線到您使用完整主機名稱和共用 (例如 \\fs1.aaddscontoso.com\CrossforestShare) 所建立的共用。

  3. 若要驗證寫入權限,請在資料夾中按一下滑鼠右鍵,選擇 [新增],然後選取 [文字文件]。 使用預設名稱新增文字檔

    如果已正確設定寫入權限,則會建立新的文字檔。 接下來的步驟將會適當地開啟、編輯及刪除檔案。

  4. 若要驗證讀取權限,請開啟新增文字文件

  5. 若要驗證修改權限,請將文字新增至檔案,然後關閉記事本。 當系統提示您儲存變更時,請選擇 [儲存]。

  6. 若要驗證刪除權限,請以滑鼠右鍵選取 [新增文字文件],然後選擇 [刪除]。 選擇 [是] 確認檔案刪除。

後續步驟

在本教學課程中,您已了解如何:

  • 在內部部署 AD DS 環境中設定 DNS,以支援 Azure AD DS 連線能力
  • 在內部部署 AD DS 環境中建立單向的輸入樹系信任
  • 在 Azure AD DS 中建立單向輸出樹系信任
  • 測試和驗證信任關係以進行驗證和資源存取

如需有關 Azure AD DS 中樹系類型的詳細概念資訊,請參閱什麼是資源樹系?樹系信任如何在 Azure AD DS 中運作?