教學課程:將 Windows Server 虛擬機器加入 Microsoft Entra Domain Services 受控網域
Microsoft Entra Domain Services 提供受控網域服務,例如網域加入、群組原則、LDAP、Kerberos/NTLM 驗證,與 Windows Server Active Directory 完全相容。 透過 Domain Services 受控網域,您可以為 Azure 中的虛擬機器提供網域加入功能和管理。 本教學課程說明如何建立 Windows Server VM,然後將它加入受控網域。
在本教學課程中,您會了解如何:
- 建立 Windows Server VM
- 連線 Windows Server VM 至 Azure 虛擬網路
- 將 VM 加入受控網域
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶。
必要條件
若要完成本教學課程,您需要下列資源:
- 啟用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶, 請建立帳戶 。
- 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者,會與內部部署目錄或僅限雲端目錄同步。
- 如有需要, 請建立 Microsoft Entra 租使用者 ,或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
- 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
- 屬於受控網域一部分的使用者帳戶。
- 請確定已執行 Microsoft Entra 連線密碼雜湊同步處理或自助式密碼重設,讓帳戶能夠登入受控網域。
- 部署在 Domain Services 虛擬網路中的 Azure Bastion 主機。
- 如有需要, 請建立 Azure Bastion 主機 。
如果您已經有想要加入網域的 VM,請跳至 區段以 將 VM 加入受控網域 。
登入 Microsoft Entra 系統管理中心
在本教學課程中,您會建立 Windows Server VM,以使用 Microsoft Entra 系統管理中心加入受控網域。 若要開始使用,請先登入 Microsoft Entra 系統管理中心 。
建立 Windows Server 虛擬機器
若要查看如何將電腦加入受控網域,讓我們建立 Windows Server VM。 此 VM 會連線到提供受控網域連線的 Azure 虛擬網路。 加入受控網域的程式與加入一般內部部署的 Active Directory Domain Services 網域相同。
如果您已經有想要加入網域的 VM,請跳至 區段以 將 VM 加入受控網域 。
從 [Microsoft Entra 系統管理中心] 功能表或 [ 首頁 ] 頁面,選取 [ 建立資源 ]。
從 [開始使用] ,選擇 [Windows Server 2016 Datacenter ]。
在 [ 基本] 視窗中,設定虛擬機器的核心設定。 保留 [可用性] 選項、[映射 ] 和 [大小 ] 的 預設值。
參數 建議的值 資源群組 選取或建立資源群組,例如 myResourceGroup 虛擬機器名稱 輸入 VM 的名稱,例如 myVM 區域 選擇要在中建立 VM 的區域,例如 美國東部 使用者名稱 輸入本機系統管理員帳戶的使用者名稱,以在 VM 上建立,例如 azureuser 密碼 輸入 ,然後確認本機系統管理員在 VM 上建立的安全密碼。 請勿指定網域使用者帳戶的認證。 不支援 Windows LAPS 。 根據預設,在 Azure 中建立的 VM 可以使用 RDP 從網際網路存取。 啟用 RDP 時,可能會發生自動登入攻擊,這可能會因為多次失敗的登入嘗試而停用一般名稱的帳戶,例如 系統管理員 或 系統管理員 。
只有在需要時,才應啟用 RDP,並限制為一組授權的 IP 範圍。 此設定有助於改善 VM 的安全性,並減少潛在攻擊的區域。 或者,建立並使用 Azure Bastion 主機,只允許透過 TLS 透過 Microsoft Entra 系統管理中心進行存取。 在本教學課程的下一個步驟中,您會使用 Azure Bastion 主機安全地連線到 VM。
在 [公用輸入埠 ] 底下 ,選取 [ 無 ]。
完成後,請選取 [ 下一步:磁片 ]。
從 OS 磁片類型的 下拉式功能表 中,選擇 [ 標準 SSD ],然後選取 [ 下一步:網路]。
您的 VM 必須連線到可與受控網域所部署子網通訊的 Azure 虛擬網路子網。 建議您將受控網域部署至自己的專用子網。 請勿將 VM 部署在與受控網域相同的子網中。
部署 VM 並聯機到適當的虛擬網路子網有兩個主要方式:
- 在部署受控網域的相同虛擬網路中,建立或選取現有的子網。
- 在 Azure 虛擬網路中選取使用 Azure 虛擬網路對等互連 連線到它的子網。
如果您選取未連線到受控網域子網的虛擬網路子網,則無法將 VM 加入受控網域。 在本教學課程中,讓我們在 Azure 虛擬網路中建立新的子網。
在 [ 網路] 窗格中,選取部署受控網域的虛擬網路,例如 aaads-vnet
在此範例中,現有的 aaads-subnet 會顯示受控網域已連線。 請勿將您的 VM 連線到此子網。 若要建立 VM 的子網,請選取 [ 管理子網組態 ]。
在虛擬網路視窗的左側功能表中,選取 [位址空間 ]。 虛擬網路會使用預設子網所使用的單一位址空間 10.0.2.0/24 來建立。 其他子網,例如 工作負載 或 Azure Bastion 也可能已經存在。
將額外的 IP 位址範圍新增至虛擬網路。 此位址範圍和實際要使用的 IP 位址範圍大小取決於已部署的其他網路資源。 IP 位址範圍不應與 Azure 或內部部署環境中任何現有的位址範圍重迭。 請確定您大小 IP 位址範圍夠大,足以容納您預期要部署到子網中的 VM 數目。
在下列範例中,會新增額外的 IP 位址範圍 10.0.5.0/24 。 準備好時,請選取 [ 儲存 ]。
接下來,在虛擬網路視窗的左側功能表中,選取 [子網 ],然後選擇 [ + 子網 ] 以新增子網。
選取 [+ 子網 ],然後輸入子網的名稱,例如 管理 。 提供位址範圍 (CIDR 區塊), 例如 10.0.5.0/24 。 請確定此 IP 位址範圍不會與任何其他現有的 Azure 或內部部署位址範圍重迭。 將其他選項保留為預設值,然後選取 [ 確定 ]。
建立子網需要幾秒鐘的時間。 建立之後,請選取 X 以關閉子網視窗。
回到 [ 網路] 窗格以建立 VM,從下拉式功能表中選擇您建立的子網,例如 管理 。 同樣地,請確定您選擇正確的子網,且不會將 VM 部署在與受控網域相同的子網中。
針對 [公用 IP ],從下拉式功能表中選取 [無 ]。 當您在本教學課程中使用 Azure Bastion 來連線到管理時,您不需要指派給 VM 的公用 IP 位址。
將其他選項保留為預設值,然後選取 [ 管理 ]。
將 [開機診斷] 設定 為 [ 關閉 ]。 將其他選項保留為預設值,然後選取 [ 檢閱 + 建立 ]。
檢閱 VM 設定,然後選取 [ 建立 ]。
建立 VM 需要幾分鐘的時間。 Microsoft Entra 系統管理中心會顯示部署的狀態。 一旦 VM 就緒,請選取 [移至資源 ]。
連線至 Windows Server VM
若要安全地連線到您的 VM,請使用 Azure Bastion 主機。 使用 Azure Bastion 時,受控主機會部署到您的虛擬網路,並提供 WEB 型 RDP 或 SSH 連線至 VM。 VM 不需要公用 IP 位址,您不需要開啟外部遠端流量的網路安全性群組規則。 您可以從網頁瀏覽器使用 Microsoft Entra 系統管理中心連線到 VM。 如有需要, 請建立 Azure Bastion 主機 。
若要使用 Bastion 主機連線到您的 VM,請完成下列步驟:
在 VM 的 [概觀 ] 窗格中,選取 [連線 ],然後 選取 [Bastion ]。
輸入您在上一節中指定的 VM 認證,然後選取 [連線 ]。
如有需要,請允許網頁瀏覽器開啟快顯,以顯示 Bastion 連線。 建立 VM 的連線需要幾秒鐘的時間。
將 VM 加入受控網域
建立 VM 並使用 Azure Bastion 建立的 Web 型 RDP 連線,現在讓我們將 Windows Server 虛擬機器加入受控網域。 此程式與連線到一般 內部部署的 Active Directory Domain Services 網域的電腦相同。
如果您 登入 VM 時預設不會開啟伺服器管理員 ,請選取 [開始 ] 功能表,然後選擇 [伺服器管理員 ]。
在 [伺服器管理員] 視窗的 左窗格中,選取 [ 本機伺服器 ]。 在 右窗格的 [屬性] 下,選擇 [工作組 ]。
在 [ 系統屬性] 視窗中,選取 [變更 ] 以加入受控網域。
在 [ 網域 ] 方塊中,指定受控網域的名稱,例如 aaddscontoso.com ,然後選取 [ 確定 ]。
輸入網域認證以加入網域。 提供屬於受控網域一部分之使用者的認證。 帳戶必須是受控網域或 Microsoft Entra 租使用者的一部分 - 與 Microsoft Entra 租使用者相關聯的外部目錄帳戶無法在加入網域程式期間正確驗證。
帳號憑證可以透過下列其中一種方式來指定:
- UPN 格式 (建議) - 輸入使用者帳戶的使用者主體名稱 (UPN) 尾碼,如 Microsoft Entra ID 中所設定。 例如,使用者 contosoadmin 的 UPN 尾碼會是
contosoadmin@aaddscontoso.onmicrosoft.com
。 有幾個常見的使用案例,UPN 格式可以可靠地用來登入網域,而不是 SAMAccountName 格式:- 如果使用者的 UPN 前置詞很長,例如 deehasareallylongname,SAMAccountName 可能會自動產生。
- 如果您的 Microsoft Entra 租使用者中有多個使用者具有相同的 UPN 前置詞,例如 dee ,則其 SAMAccountName 格式可能會自動產生。
- SAMAccountName 格式 - 以 SAMAccountName 格式輸入帳戶名稱 。 例如, 使用者 contosoadmin 的 SAMAccountName 會是
AADDSCONTOSO\contosoadmin
。
- UPN 格式 (建議) - 輸入使用者帳戶的使用者主體名稱 (UPN) 尾碼,如 Microsoft Entra ID 中所設定。 例如,使用者 contosoadmin 的 UPN 尾碼會是
加入受控網域需要幾秒鐘的時間。 完成時,下列訊息會歡迎您前往網域:
選取確定以繼續。
若要完成加入受控網域的程式,請重新開機 VM。
提示
您可以使用 PowerShell 搭配 Add-Computer Cmdlet 來網域加入 VM。 下列範例會 聯結 AADDSCONTOSO 網域,然後重新開機 VM。 出現提示時,輸入屬於受控網域一部分之使用者的認證:
Add-Computer -DomainName AADDSCONTOSO -Restart
若要將 VM 加入網域,而不需連線並手動設定連線,您可以使用 Set-AzVmAdDomainExtension Azure PowerShell Cmdlet。
一旦 Windows Server VM 重新開機,受控網域中套用的任何原則就會推送至 VM。 您現在也可以使用適當的網域認證登入 Windows Server VM。
清除資源
在下一個教學課程中,您會使用此 Windows Server VM 來安裝管理工具,讓您管理受控網域。 如果您不想繼續本教學課程系列,請檢閱下列清除步驟來 刪除 VM 。 否則, 請繼續進行下一個教學課程 。
從受控網域取消加入 VM
若要從受控網域移除 VM,請再次遵循步驟,將 VM 加入網域 。 加入宣告工作組,而不是加入受控網域,例如預設 的 WORKGROUP 。 VM 重新開機之後,電腦物件會從受控網域中移除。
如果您 刪除 VM 而不加入網域,則會在 Domain Services 中保留孤立的電腦物件。
刪除 VM
如果您未使用此 Windows Server VM,請使用下列步驟刪除 VM:
- 從左側功能表中,選取 [資源群組]
- 選擇您的資源群組,例如 myResourceGroup 。
- 選擇您的 VM,例如 myVM ,然後選取 [ 刪除 ]。 選取 [ 是 ] 以確認資源刪除。 刪除 VM 需要幾分鐘的時間。
- 刪除 VM 時,請選取 OS 磁片、網路介面卡,以及具有 myVM 前置 詞的任何其他資源,並加以刪除。
針對加入網域的問題進行疑難排解
Windows Server VM 應該成功加入受控網域,就像一般內部部署電腦加入Active Directory 網域服務網域一樣。 如果 Windows Server VM 無法加入受控網域,表示發生連線或認證相關問題。 請檢閱下列疑難排解區段,以成功加入受控網域。
連線能力問題
如果您沒有收到要求認證加入網域的提示,則發生連線問題。 VM 無法連線到虛擬網路上的受控網域。
嘗試上述每個疑難排解步驟之後,請嘗試再次將 Windows Server VM 加入受控網域。
- 確認 VM 已連線到網域服務已啟用的相同虛擬網路,或具有對等互連網路連線。
- 嘗試 Ping 受控網域的 DNS 功能變數名稱,例如
ping aaddscontoso.com
。- 如果 Ping 要求失敗,請嘗試 Ping 受控網域的 IP 位址,例如
ping 10.0.0.4
。 當您從 Azure 資源清單中選取受控網域時,環境 IP 位址會顯示在 [屬性 ] 頁面上。 - 如果您可以 Ping IP 位址,但無法偵測網域,DNS 可能會設定不正確。 確認受控網域的 IP 位址已設定為虛擬網路的 DNS 伺服器。
- 如果 Ping 要求失敗,請嘗試 Ping 受控網域的 IP 位址,例如
- 嘗試使用
ipconfig /flushdns
命令排清虛擬機器上的 DNS 解析程式快取。
認證相關問題
如果您收到要求認證加入網域的提示,但在輸入這些認證之後發生錯誤,VM 就能夠連線到受控網域。 您提供的認證不會接著讓 VM 加入受控網域。
嘗試上述每個疑難排解步驟之後,請嘗試再次將 Windows Server VM 加入受控網域。
- 請確定您指定的使用者帳戶屬於受控網域。
- 確認帳戶是受控網域或 Microsoft Entra 租使用者的一部分。 與 Microsoft Entra 租使用者相關聯的外部目錄帳戶無法在加入網域程式期間正確驗證。
- 請嘗試使用 UPN 格式來指定認證,例如
contosoadmin@aaddscontoso.onmicrosoft.com
。 如果您的租使用者中有許多使用者具有相同 UPN 前置詞,或 UPN 前置詞過長, 則帳戶的 SAMAccountName 可能會自動產生。 在這些情況下, 您帳戶的 SAMAccountName 格式可能與您在內部部署網域中使用的專案不同。 - 檢查您是否已啟用 受控網域的密碼同步 處理。 如果沒有此設定步驟,受控網域中就不會有必要的密碼雜湊,以正確驗證您的登入嘗試。
- 等候密碼同步處理完成。 當使用者帳戶的密碼變更時,Microsoft Entra ID 中的自動背景同步處理會更新 Domain Services 中的密碼。 密碼需要一些時間才能用於加入網域。
下一步
在本教學課程中,您已了解如何:
- 建立 Windows Server VM
- 連線至 Azure 虛擬網路的 Windows Server VM
- 將 VM 加入受控網域
若要管理受控網域,請使用 Active Directory 管理員istrative Center (ADAC) 設定管理 VM。