教學課程：使用進階組態選項建立及設定 Microsoft Entra Domain Services 受控網域

Microsoft Entra Domain Services 提供受控網域服務，例如網域加入、群組原則、LDAP、Kerberos/NTLM 驗證，與 Windows Server Active Directory 完全相容。 您不需要自行部署、管理和修補網域控制站，就可以使用這些網域服務。 Domain Services 會與您的現有 Microsoft Entra 租使用者整合。 此整合可讓使用者使用其公司認證登入，而且您可以使用現有的群組和使用者帳戶來保護資源的存取權。

您可以使用 網路和同步處理的預設組態選項 來建立受控網域，或手動定義這些設定。 本教學課程說明如何定義這些進階組態選項，以使用 Microsoft Entra 系統管理中心建立及設定 Domain Services 受控網域。

在本教學課程中，您會了解如何：

• 設定受控網域的 DNS 和虛擬網路設定
• 建立受控網域
• 將系統管理使用者新增至網域管理
• 啟用密碼雜湊同步功能

如尚未擁有 Azure 訂用帳戶，請在開始之前先建立帳戶。

必要條件

若要完成本教學課程，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。
  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶 。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
• 您需要 租使用者中的 Application 管理員istrator 和 Groups 管理員istrator Microsoft Entra 角色，才能啟用 Domain Services。
• 您需要 Domain Services 參與者 Azure 角色，才能建立必要的 Domain Services 資源。

雖然網域服務並非必要，但建議為 Microsoft Entra 租使用者設定自助式密碼重設 （SSPR）。 使用者可以在沒有 SSPR 的情況下變更其密碼，但 SSPR 可協助他們忘記密碼並需要重設密碼。

重要

建立受控網域之後，就無法將它移至不同的訂用帳戶、資源群組或區域。 當您部署受控網域時，請小心選取最適當的訂用帳戶、資源群組和區域。

登入 Microsoft Entra 系統管理中心

在本教學課程中，您會使用 Microsoft Entra 系統管理中心來建立和設定受控網域。 若要開始使用，請先登入 Microsoft Entra 系統管理中心 。

建立受控網域並設定基本設定

若要啟動啟用 Microsoft Entra Domain Services 精靈，請完成下列步驟：

1. 在 [Microsoft Entra 系統管理中心] 功能表上，或從 [首頁 ] 頁面上，選取 [建立資源 ]。
2. 在搜尋列中輸入 Domain Services ，然後從搜尋建議中選擇 [Microsoft Entra Domain Services ]。
3. 在 [Microsoft Entra Domain Services] 頁面上，選取 [ 建立 ]。 [ 啟用 Microsoft Entra Domain Services 精靈] 已啟動。
4. 選取您要在其中建立受控網域的 Azure 訂 用帳戶。
5. 選取受控網域所屬的資源群組 。 選擇 [ 新建] 或選取現有的資源群組。

當您建立受控網域時，您可以指定 DNS 名稱。 當您選擇此 DNS 名稱時，有一些考慮：

• 內建功能變數名稱： 根據預設，會使用目錄的內建功能變數名稱（ .onmicrosoft.com 尾碼）。 如果您想要透過網際網路啟用對受控網域的安全 LDAP 存取，您無法建立數位憑證來保護使用此預設網域的連線。 Microsoft 擁有 .onmicrosoft.com 網域，因此憑證授權單位單位 （CA） 不會簽發憑證。
• 自訂功能變數名稱： 最常見的方法是指定自訂功能變數名稱，通常是您已經擁有且可路由傳送的功能變數名稱。 當您使用可路由的自訂網域時，流量可以視需要正確流動以支援您的應用程式。
• 不可路由網域尾碼： 我們通常建議您避免非可路由功能變數名稱尾碼，例如 contoso.local 。 .local 尾碼無法路由傳送，而且可能會導致 DNS 解析的問題。

提示

如果您建立自訂功能變數名稱，請小心現有的 DNS 命名空間。 建議使用與任何現有 Azure 或內部部署 DNS 名稱空間分開的功能變數名稱。

例如，如果您有現有的 DNS 名稱空間 contoso.com ，請使用自訂功能變數名稱建立受控網域 aaddscontoso.com 。 如果您需要使用安全 LDAP，您必須註冊並擁有此自訂功能變數名稱，才能產生必要的憑證。

您可能需要為環境中的其他服務建立一些額外的 DNS 記錄，或環境中現有 DNS 名稱空間之間的條件式 DNS 轉寄站。 例如，如果您執行使用根 DNS 名稱裝載網站的 Web 服務器，可能會發生需要其他 DNS 專案的命名衝突。

在這些教學課程和作法文章中，aaddscontoso.com 的 自訂網域會作為簡短範例使用。 在所有命令中，指定您自己的功能變數名稱。

下列 DNS 名稱限制也適用于：

• 網域前置詞限制： 您無法建立前置詞超過 15 個字元的受控網域。 指定功能變數名稱的前置詞（例如 aaddscontoso.com 功能變數名稱中的 aaddscontoso ）必須包含 15 個字元或更少。
• 網路名稱衝突： 受控網域的 DNS 功能變數名稱不應已存在於虛擬網路中。 具體來說，請檢查下列會導致名稱衝突的案例：
  • 如果您已經有 Azure 虛擬網路上具有相同 DNS 功能變數名稱的 Active Directory 網域。
  • 如果您打算啟用受控網域的虛擬網路具有與內部部署網路的 VPN 連線。 在此案例中，請確定您的內部部署網路上沒有具有相同 DNS 功能變數名稱的網域。
  • 如果您有 Azure 虛擬網路上具有該名稱的現有 Azure 雲端服務。

完成 Microsoft Entra 系統管理中心 [基本] 視窗中的欄位 ，以建立受控網域：

1. 輸入 受控網域的 DNS 功能變數名稱 ，並考慮先前的要點。

2. 選擇應在其中建立受控網域的 Azure 位置 。 如果您選擇支援可用性區域的區域，網域服務資源會分散到區域以取得額外的備援。

   提示

   「可用性區域」是 Azure 地區內獨特的實體位置。 每個區域都是由一或多個資料中心所組成，配備了獨立的電力、冷卻系統及網路系統。 若要確保復原能力，在所有已啟用的區域中都至少要有三個個別的區域。

   您不需要設定網域服務分散到區域。 Azure 平臺會自動處理資源的區域分佈。 如需詳細資訊並查看區域可用性，請參閱 什麼是 Azure 中的可用性區域？

3. SKU 會決定效能和備份頻率。 如果您的商務需求或需求變更，您可以在建立受控網域之後變更 SKU。 如需詳細資訊，請參閱 Domain Services SKU 概念 。

   在本教學課程中，選取 標準 SKU。

4. 樹 系 是Active Directory 網域服務用來群組一或多個網域的邏輯建構。

   

5. 若要手動設定其他選項，請選擇 [ 下一步 - 網路]。 否則，請選取 [ 檢閱 + 建立 ] 以接受預設組態選項，然後跳至 [ 部署受控網域 ] 區段。 當您選擇此建立選項時，會設定下列預設值：

   • 建立名為 aadds-vnet 的虛擬網路，其使用 10.0.1.0/24 的 IP 位址範圍 。
   • 使用 10.0.1.0/24 的 IP 位址範圍 ，建立名為 aadds-subnet 的子網 。
   • 將 Microsoft Entra ID 的所有使用者 同步處理到受控網域。

建立和設定虛擬網路

若要提供連線能力，則需要 Azure 虛擬網路和專用子網。 網域服務會在此虛擬網路子網中啟用。 在本教學課程中，您會建立虛擬網路，不過您可以改為選擇使用現有的虛擬網路。 在這兩種方法中，您必須建立專用子網以供 Domain Services 使用。

此專用虛擬網路子網的一些考慮包括下欄區域：

• 子網在其位址範圍中必須至少有 3-5 個可用的 IP 位址，才能支援 Domain Services 資源。
• 請勿選取 用於部署網域服務的閘道 子網。 不支援將 Domain Services 部署到閘道 子網。
• 請勿將任何其他虛擬機器部署到子網。 應用程式和 VM 通常會使用網路安全性群組來保護連線。 在個別子網中執行這些工作負載可讓您套用這些網路安全性群組，而不會中斷對受控網域的連線。

如需如何規劃和設定虛擬網路的詳細資訊，請參閱 Microsoft Entra Domain Services 的網路考慮。

完成 [ 網路] 視窗中的欄位，如下所示：

1. 在 [ 網路 ] 頁面上，從下拉式功能表中選擇要部署網域服務的虛擬網路，或選取 [ 新建 ]。

   1. 如果您選擇建立虛擬網路，請輸入虛擬網路的名稱，例如 myVnet ，然後提供位址範圍，例如 10.0.1.0/24 。
   2. 建立具有清楚名稱的專用子網，例如 DomainServices 。 提供位址範圍，例如 10.0.1.0/24 。

   

   請務必挑選私人 IP 位址範圍內的位址範圍。 您沒有在公用位址空間中擁有的 IP 位址範圍會導致網域服務內發生錯誤。

2. 選取虛擬網路子網，例如 DomainServices 。

3. 準備好時，請選擇 [下一步 - 管理員設定 ]。

設定系統管理群組

名為 AAD DC 管理員istrators 的特殊系統管理群組可用來管理 Domain Services 網域。 此群組的成員會獲授與已加入受控網域之 VM 的系統管理許可權。 在已加入網域的 VM 上，此群組會新增至本機系統管理員群組。 此群組的成員也可以使用遠端桌面從遠端連線到已加入網域的 VM。

重要

您沒有 網域管理員istrator 或 Enterprise 管理員istrator 許可權，使用 Domain Services 在受控網域上。 這些許可權會由服務保留，且不會提供給租使用者內的使用者使用。

相反地， AAD DC 管理員istrators 群組可讓您執行某些特殊許可權作業。 這些作業包括屬於已加入網域的 VM 上的系統管理群組，以及設定群組原則。

精靈會自動在 Microsoft Entra 目錄中建立 AAD DC 管理員istrators 群組。 如果您的 Microsoft Entra 目錄中有具有此名稱的現有群組，精靈會選取此群組。 您可以選擇在部署程式期間，選擇將其他使用者新增至此 AAD DC 管理員istrators 群組。 這些步驟稍後可以完成。

1. 若要將其他使用者新增至此 AAD DC 管理員istrators 群組，請選取 [ 管理群組成員資格 ]。

   

2. 選取 [ 新增成員] 按鈕，然後搜尋並選取 Microsoft Entra 目錄中的使用者。 例如，搜尋您自己的帳戶，並將它新增至 AAD DC 管理員istrators 群組。

3. 如有需要，請在受控網域中有需要注意的警示時，變更或新增通知的其他收件者。

4. 準備就緒時，請選擇 [ 下一步 - 同步處理 ]。

設定同步處理

Domain Services 可讓您同步處理 Microsoft Entra ID 中可用的所有使用者 和群組，或 只同步 處理特定群組的範圍 。 您現在可以變更同步處理範圍，或部署受控網域之後。 如需詳細資訊，請參閱 Microsoft Entra Domain Services 範圍同步處理 。

1. 在本教學課程中，選擇同步 處理 [所有使用者 和群組]。 此同步處理選擇是預設選項。

   

2. 選取 [檢閱 + 建立]。

部署受控網域

在精靈的 [ 摘要 ] 頁面上，檢閱受控網域的組態設定。 您可以回到精靈的任何步驟進行變更。 若要使用這些組態選項，以一致的方式將受控網域重新部署到不同的 Microsoft Entra 租使用者，您也可以 下載用於自動化 的範本。

1. 若要建立受控網域，請選取 [ 建立 ]。 請注意，建立受控網域服務之後，就無法變更某些組態選項，例如 DNS 名稱或虛擬網路。 若要繼續，請選取 [確定]。

2. 布建受控網域的程式最多可能需要一小時的時間。 入口網站中會顯示通知，其中顯示網域服務部署的進度。 選取通知以查看部署的詳細進度。

   

3. 選取您的資源群組，例如 myResourceGroup ，然後從 Azure 資源清單中選擇受控網域，例如 aaddscontoso.com 。 [概觀 ] 索引 標籤會顯示受控網域目前正在 部署 。 在完全布建受控網域之前，您無法設定受控網域。

   

4. 完全布建受控網域時，[ 概觀 ] 索引標籤會顯示網域狀態為 [正在執行 ]。

   

重要

受控網域與您的 Microsoft Entra 租使用者相關聯。 在布建程式期間，Domain Services 會在 Microsoft Entra 租使用者中建立兩個名為 Domain Controller Services 和 AzureActiveDirectoryDomainControllerServices 的企業應用程式。 需要這些企業應用程式才能服務受控網域。 請勿刪除這些應用程式。

更新 Azure 虛擬網路的 DNS 設定

成功部署網域服務後，現在將虛擬網路設定為允許其他連線的 VM 和應用程式使用受控網域。 若要提供此連線能力，請更新虛擬網路的 DNS 伺服器設定，以指向部署受控網域的兩個 IP 位址。

1. 受控網域的 [ 概觀 ] 索引標籤會顯示一些 必要的設定步驟 。 第一個組態步驟是更新虛擬網路的 DNS 伺服器設定。 正確設定 DNS 設定之後，就不會再顯示此步驟。

   列出的位址是用於虛擬網路的網域控制站。 在此範例中，這些位址是 10.0.1.4 和 10.0.1.5 。 您稍後可以在 [ 屬性 ] 索引標籤上找到這些 IP 位址。

   

2. 若要更新虛擬網路的 DNS 伺服器設定，請選取 [ 設定 ] 按鈕。 您的虛擬網路會自動設定 DNS 設定。

提示

如果您在先前的步驟中選取現有的虛擬網路，任何連線到網路的 VM 只會在重新開機後取得新的 DNS 設定。 您可以使用 Microsoft Entra 系統管理中心、 Microsoft Graph PowerShell 或 Azure CLI 重新開機 VM。

啟用 Domain Services 的使用者帳戶

若要驗證受控網域上的使用者，Domain Services 需要密碼雜湊，其格式適用于 NT LAN Manager （NTLM） 和 Kerberos 驗證。 在您為租使用者啟用 Domain Services 之前，Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式產生或儲存密碼雜湊。 基於安全性考量，Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此，Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。

注意

適當設定之後，可使用的密碼雜湊會儲存在受控網域中。 如果您刪除受控網域，也會刪除儲存在該時間點的任何密碼雜湊。

如果您稍後建立受控網域，將無法重複使用 Microsoft Entra ID 中的同步認證資訊 - 您必須重新設定密碼雜湊同步處理，才能再次儲存密碼雜湊。 先前加入網域的 VM 或使用者將無法立即驗證 - Microsoft Entra ID 必須產生密碼雜湊，並將密碼雜湊儲存在新受控網域中。

如需詳細資訊，請參閱 網域服務和 Microsoft Entra 連線 的密碼雜湊同步處理常式。

針對在 Microsoft Entra ID 中建立的僅限雲端使用者帳戶產生和儲存這些密碼雜湊的步驟，與使用 Microsoft Entra Connect 從內部部署目錄同步的使用者帳戶的步驟不同。

僅限雲端使用者帳戶是使用 Microsoft Entra 系統管理中心或 Microsoft Graph PowerShell Cmdlet 在 Microsoft Entra 目錄中建立的帳戶。 這些使用者帳戶不會從內部部署目錄同步。

在本教學課程中，讓我們使用基本的僅限雲端使用者帳戶。 如需使用 Microsoft Entra 連線所需之額外步驟的詳細資訊，請參閱 同步處理從內部部署 AD 同步處理至受控網域 之使用者帳戶的密碼雜湊。

提示

如果您的 Microsoft Entra 租使用者有來自內部部署 AD 的僅限雲端使用者和使用者的組合，您需要完成這兩組步驟。

針對僅限雲端的使用者帳戶，使用者必須先變更其密碼，才能使用 Domain Services。 此密碼變更程式會使 Kerberos 和 NTLM 驗證的密碼雜湊產生並儲存在 Microsoft Entra ID 中。 在密碼變更之前，帳戶不會從 Microsoft Entra ID 同步處理到網域服務。 租使用者中需要使用 Domain Services 的所有雲端使用者密碼過期，這會在下一次登入時強制變更密碼，或指示雲端使用者手動變更其密碼。 在本教學課程中，讓我們手動變更使用者密碼。

使用者必須先設定 Microsoft Entra 租 使用者進行自助式密碼重設，才能重設 其密碼。

若要變更僅限雲端使用者的密碼，使用者必須完成下列步驟：

1. 移至 位於 的 Microsoft Entra ID 存取面板 頁面 https://myapps.microsoft.com 。

2. 在右上角選取您的名稱，然後從下拉式功能表中選擇 [設定檔 ]。

   

3. 在 [ 設定檔] 頁面上，選取 [ 變更密碼 ]。

4. 在 [ 變更密碼] 頁面上，輸入您的現有 （舊） 密碼，然後輸入並確認新的密碼。

5. 選取送出。

將新密碼變更為可在網域服務中使用，並成功登入已加入受控網域的電腦，需要幾分鐘的時間。

下一步

在本教學課程中，您已了解如何：

• 設定受控網域的 DNS 和虛擬網路設定
• 建立受控網域
• 將系統管理使用者新增至網域管理
• 啟用網域服務的使用者帳戶並產生密碼雜湊

若要查看此受控網域的運作情形，請建立虛擬機器並加入網域。

將 Windows Server 虛擬機器加入受控網域