共用方式為

教學課程:使用進階組態選項建立及設定 Microsoft Entra Domain Services 受控網域

Microsoft Entra Domain Services 提供受控網域服務,例如網域加入、組策略、LDAP、Kerberos/NTLM 驗證,與 Windows Server Active Directory 完全相容。 您不需要自行部署、管理及修補域控制器,即可取用這些網域服務。 Domain Services 會與您的現有 Microsoft Entra 租戶整合。 此整合可讓使用者使用其公司認證登入,而且您可以使用現有的群組和使用者帳戶來保護資源的存取權。

您可以使用網路和同步處理 的預設組態選項來建立受控網域 ,或手動定義這些設定。 本教學課程說明如何使用 Microsoft Entra 系統管理中心來定義這些進階設定選項,以建立及設定 Domain Services 受控網域。

在本教學課程中,您將瞭解如何:

  • 設定受控網域的 DNS 和虛擬網路設定
  • 建立受控網域
  • 將系統管理使用者新增至網域管理
  • 啟用密碼哈希同步處理

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶

先決條件

若要完成本教學課程,您需要下列資源和許可權:

雖然網域服務不需要,但建議 為 Microsoft Entra 租使用者設定自助式密碼重設 (SSPR)。 用戶可以在沒有 SSPR 的情況下變更其密碼,但 SSPR 可協助他們忘記密碼並需要重設密碼。

這很重要

建立受控網域之後,就無法將它移至不同的訂用帳戶、資源群組或區域。 當您部署受控網域時,請小心選取最適當的訂用帳戶、資源群組和區域。

登入 Microsoft Entra 系統管理中心

在本教學課程中,您會使用 Microsoft Entra 系統管理中心來建立及設定受控網域。 若要開始使用,請先登入 Microsoft Entra 系統管理中心

建立受控網域並設定基本設定

若要啟動 啟用 Microsoft Entra Domain Services 精靈,請完成下列步驟:

  1. 在 [Microsoft Entra 系統管理中心] 功能表上,或從 [首頁 ] 頁面上,選取 [ 建立資源]。
  2. 在搜尋列中輸入 Domain Services ,然後從搜尋建議中選擇 [Microsoft Entra Domain Services ]。
  3. 在 [Microsoft Entra Domain Services] 頁面上,選取 [ 建立]。 啟動 [啟用 Microsoft Entra Domain Services 精靈]。
  4. 選取您想要在其中建立受控網域的 Azure 訂用帳戶
  5. 選取受控網域所屬 資源群組。 選擇 建立新的 或選取現有的資源群組。

當您建立受控網域時,您可以指定 DNS 名稱。 以下是選擇此 DNS 名稱時的一些考量:

  • 內建網域名稱:預設會使用目錄的內建網域名稱 (.onmicrosoft.com 尾碼)。 如果您想要透過因特網啟用對受控網域的安全 LDAP 存取,您無法建立數位證書來保護使用此預設網域的連線。 Microsoft擁有 .onmicrosoft.com网域,因此證書頒發機構單位 (CA) 不會簽發憑證。
  • 自訂網域名稱:最常見的方法是指定自訂網域名稱,通常是您已擁有且可路由的名稱。 當您使用可路由的自定義網域時,流量可以按需正確流動以支援您的應用程式。
  • 非可路由網域後綴: 我們通常建議您避免非可路由域名後綴,例如 contoso.local。 .local 尾碼是不可路由的,因此會導致 DNS 解析發生問題。

小提示

如果您建立自訂網域名稱,請注意現有的 DNS 命名空間。 建議使用與任何現有 Azure 或內部部署的 DNS 命名空間不同的網域名稱。

例如,如果您現有的 DNS 名稱空間是 contoso.com,請使用自訂網域名稱 aaddscontoso.com 建立受控網域。 如果您需要使用安全的 LDAP,您必須註冊並擁有這個自訂網域名稱,以產生所需的憑證。

您可能需要為環境中的其他服務建立一些額外的 DNS 記錄,或在環境中現有 DNS 命名空間之間設置條件式 DNS 轉發器。 例如,如果您運行一個利用根 DNS 名稱來架設網站的網頁伺服器,可能會產生命名衝突,需要新增其他的 DNS 條目。

在這些教學課程和作法文章中, aaddscontoso.com 的自定義網域會作為簡短範例使用。 在所有命令中,指定您自己的網域名稱。

下列 DNS 名稱限制也適用於:

  • 網域前置詞限制:您無法使用超過 15 個字元的前置詞來建立受控網域。 您指定的網域名稱的前置詞字元數 (例如,aaddscontoso.com 網域名稱中的 aaddscontoso) 必須少於 15 個字元。
  • 網路名稱衝突:受控網域的 DNS 網域名稱不應已存在於虛擬網路中。 具體來說,請檢查下列會導致名稱衝突的案例:
    • 如果您已經在 Azure 虛擬網路上擁有一個使用相同 DNS 網域名稱的 Active Directory 網域。
    • 您打算啟用受控網域的虛擬網路是否與內部部署網路建立 VPN 連線。 在此案例中,請確定您的內部部署網路上沒有擁有相同 DNS 網域名稱的網域。
    • 您在 Azure 虛擬網路上是否已有使用該名稱的 Azure 雲端服務。

若要建立受控網域,請在 Microsoft Entra 系統管理中心的 [ 基本] 視窗中完成字段:

  1. 針對受控網域輸入 DNS 網域名稱,並考慮先前所述。

  2. 選擇應在其中建立受控網域的 Azure 位置 。 如果您選擇支援可用性區域的區域,網域服務資源會分散到區域以取得額外的備援。

    小提示

    「可用性區域」是 Azure 地區內獨特的實體位置。 每個區域由一或多個數據中心組成,配備獨立電源、冷卻和網路功能。 若要確保復原能力,在所有已啟用的區域中都至少要有三個個別的區域。

    您無需為網域服務進行任何配置以分配到不同的區域。 Azure 平臺會自動處理資源的區域分佈。 如需詳細資訊並查看區域可用性,請參閱 什麼是 Azure 中的可用性區域?

  3. SKU 會決定效能和備份頻率。 如果您的商務需求或需求變更,您可以在建立受控網域之後變更 SKU。 如需詳細資訊,請參閱 Domain Services SKU 概念

    在本教學課程中,選取 Standard SKU。

  4. 樹系是Active Directory網域服務用來群組一或多個網域的邏輯建構。

    設定 Microsoft Entra Domain Services 受控網域的基本設定

  5. 若要手動設定其他選項,請選擇 [下一步 - 網络]。 否則,請選取 [檢閱 + 建立 ] 以接受預設組態選項,然後跳至 [ 部署受控網域] 區段。 當您選擇此建立選項時,會設定下列預設值:

    • 建立名為 aadds-vnet 的 虛擬網路,其使用 10.0.1.0/24 的 IP 位址範圍。
    • 使用 10.0.1.0/24 的 IP 位址範圍,建立名為 aadds-subnet 的子網
    • 將所有使用者從 Microsoft Entra ID 同步到 受控網域。

建立和設定虛擬網路

若要提供連線能力,則需要 Azure 虛擬網路和專用子網。 網域服務會在此虛擬網路子網中啟用。 在本教學課程中,您會建立虛擬網路,不過您可以改為選擇使用現有的虛擬網路。 在這兩種方法中,您必須建立專用子網以供 Domain Services 使用。

小提示

由於您必須在其所在的 VNET 中使用 Microsoft Entra Domain Services 部署的 IP 作為 DNS 解析程式,我們建議如果使用不同的 DNS 服務,應配置 Microsoft Entra Domain Services 本身上的條件式轉寄站,並使用專用的 Azure 虛擬網路。

此專用虛擬網路子網的一些考慮包括下列區域:

  • 子網在其位址範圍中必須至少有 3-5 個可用的 IP 位址,才能支援 Domain Services 資源。
  • 請勿選取用於部署網域服務的 閘道 子網。 不支援將 Domain Services 部署到 閘道 子網。
  • 請勿將任何其他虛擬機部署到子網。 應用程式和 VM 通常會使用網路安全組來保護連線。 在個別子網中執行這些工作負載可讓您套用這些網路安全組,而不會中斷對受控網域的連線。

如需如何規劃和設定虛擬網路的詳細資訊,請參閱 Microsoft Entra Domain Services 網路考慮。

完成 網路 視窗中的欄位,如下所示:

  1. 在 [ 網络 ] 頁面上,從下拉功能表中選擇要部署網域服務的虛擬網路,或選取 [ 新建]。

    1. 如果您選擇建立虛擬網路,請輸入虛擬網路的名稱,例如 myVnet,然後提供地址範圍,例如 10.0.1.0/24
    2. 建立具有清楚名稱的專用子網,例如 DomainServices。 提供地址範圍,例如 10.0.1.0/24

    建立虛擬網路和子網以搭配 Microsoft Entra Domain Services 使用

    請務必選擇在您的私人 IP 位址範圍內的位址。 您沒有在公用位址空間中擁有的IP位址範圍會導致網域服務內發生錯誤。

  2. 選取虛擬網路子網,例如 DomainServices

  3. 準備就緒時,請選擇 [ 下一步 - 系統管理]。

設定系統管理群組

名為 AAD DC Administrators 的特殊系統管理群組用於管理 Domain Services 網域。 此群組的成員擁有已加入受控網域之 VM 的管理權限。 在已加入網域的 VM 上,此群組會新增至本機系統管理員群組。 此群組的成員也可以使用遠端桌面從遠端連線到已加入網域的 VM。

這很重要

您沒有使用 Domain Services 管理受控網域的 網域管理員企業系統管理員 許可權。 此服務會保留這些許可權,且不會讓租使用者內的使用者使用這些許可權。

相反地, AAD DC 系統管理員 群組可讓您執行一些特殊許可權作業。 這些作業包括屬於連線到網域的 VM 上的管理群組,以及設定群組原則。

精靈會自動在 Microsoft Entra 目錄中建立 AAD DC Administrators 群組。 如果您的 Microsoft Entra 目錄中有具有此名稱的現有群組,精靈會選取此群組。 您可以選擇在部署程式期間,將其他使用者新增至此 AAD DC Administrators 群組。 這些步驟稍後可以完成。

  1. 若要將其他使用者新增至此 AAD DC Administrators 群組,請選取 [管理群組成員資格]。

    設定 AAD DC 系統管理員群組的群組成員資格

  2. 選取 [ 新增成員] 按鈕,然後搜尋並選取您Microsoft Entra 目錄中的使用者。 例如,搜尋您自己的帳戶,並將它新增至 AAD DC Administrators 群組。

  3. 如有需要,請在受控網域中有需要注意的警示時,變更或新增通知的其他收件者。

  4. 準備就緒時,請選擇 [下一步 - 同步處理]。

設定同步處理

Domain Services 可讓您同步 Microsoft Entra ID 中可用的「所有」使用者和群組,或僅對特定群組進行「限域」同步。 您現在可以變更同步處理範圍,或部署受控網域之後。 如需詳細資訊,請參閱 Microsoft Entra Domain Services 範圍同步處理

  1. 在本教程中,選擇同步所有使用者和群組。 此同步處理選擇是預設選項。

    從 Microsoft Entra 識別碼執行使用者和群組的完整同步處理

  2. 選擇 檢閱 + 創建

部署受控網域

在精靈的 [摘要] 頁面上,檢閱受控網域的組態設定。 您可以回到精靈的任何步驟進行變更。 若要使用這些組態選項,以一致的方式將受控網域重新部署到不同的 Microsoft Entra 租使用者,您也可以 下載自動化範本

  1. 若要建立受控網域,請選取 [建立 建立]。 請注意,建立受控網域服務之後,就無法變更某些組態選項,例如 DNS 名稱或虛擬網路。 若要繼續,請選擇 [確定]

  2. 布建受控網域的程序最多需要一小時。 入口網站中會顯示通知,其中顯示網域服務部署的進度。 選取通知以查看部署的詳細進度。

    Microsoft Entra 系統管理中心中的部署進行中通知

  3. 選取您的資源群組,例如 myResourceGroup,然後從 Azure 資源清單中選擇受控網域,例如 aaddscontoso.com。 [ 概觀 ] 索引標籤會顯示受控網域目前正在 部署。 在完全布建受控網域之前,您無法設定受控網域。

    布建狀態期間的網域服務狀態

  4. 當管理的網域完全布建時,[概觀] 索引標籤會顯示網域狀態為 執行中

    網域服務成功布建後的狀態

這很重要

受控網域與您的 Microsoft Entra 租使用者相關聯。 在布建程式期間,Domain Services 會在 Microsoft Entra 租使用者中建立兩個名為 Domain Controller ServicesAzureActiveDirectoryDomainControllerServices 的企業應用程式。 需要這些企業應用程式才能服務受控網域。 請勿刪除這些應用程式。

更新 Azure 虛擬網路的 DNS 設定

成功部署網域服務后,現在將虛擬網路設定為允許其他連線的 VM 和應用程式使用受控網域。 若要提供此連線能力,請更新虛擬網路的 DNS 伺服器設定,以指向部署受控網域的兩個 IP 位址。

  1. 受控網域的 [概觀] 索引標籤會顯示 必要設定步驟。 第一個組態步驟是更新虛擬網路的 DNS 伺服器設定。 正確設定 DNS 設定之後,就不會再顯示此步驟。

    列出的位址是用於虛擬網路的域控制器。 在此範例中,這些位址 10.0.1.410.0.1.5。 您稍後可以在 [屬性] 索引卷標上找到這些IP位址。

    使用 Microsoft Entra Domain Services IP 位址設定虛擬網路的 DNS 設定

  2. 若要更新虛擬網路的 DNS 伺服器設定,請選取 [設定] 按鈕。 您的虛擬網路會自動設定 DNS 設定。

小提示

如果您在先前的步驟中選取現有的虛擬網路,任何連線到網路的 VM 只會在重新啟動後取得新的 DNS 設定。 您可以使用 Microsoft Entra 系統管理中心、 Microsoft Graph PowerShell 或 Azure CLI 重新啟動 VM。

啟用 Domain Services 的用戶帳戶

若要驗證受控網域上的使用者,Domain Services 需要密碼哈希,其格式適用於NT LAN Manager (NTLM) 和 Kerberos 驗證。 Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式產生或儲存密碼哈希,直到您為租用戶啟用 Domain Services 為止。 基於安全性考慮,Microsoft Entra ID 也不會以純文本格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼哈希。

備註

適當設定之後,可使用的密碼哈希會儲存在受控網域中。 如果您刪除受控網域,也會刪除儲存在該時間點的任何密碼哈希。

如果您稍後建立受控網域,就無法重複使用Microsoft Entra ID 中的同步認證資訊 - 您必須重新設定密碼哈希同步處理,才能再次儲存密碼哈希。 先前加入網域的 VM 或使用者無法立即驗證 - Microsoft Entra ID 必須產生密碼哈希,並將密碼哈希儲存在新受控網域中。

如需詳細資訊,請參閱 Domain Services 和 Microsoft Entra Connect的密碼哈希同步處理程式。

產生與儲存這些密碼哈希的步驟在兩種類型的使用者帳戶中不同:

  • Microsoft Entra ID 中建立的僅限雲端用戶帳戶。
  • 使用 Microsoft Entra Connect 從內部部署目錄同步的使用者帳戶。

僅限雲端的用戶帳戶是使用 Microsoft Entra 系統管理中心或 Microsoft Graph PowerShell Cmdlet 在 Microsoft Entra 目錄中建立的帳戶。 這些使用者帳戶未從本地部署的目錄進行同步。

在本教程中,讓我們使用基本的僅雲端用戶帳戶。 如需有關使用 Microsoft Entra Connect 所需之額外步驟的詳細資訊,請參閱 同步處理從內部部署 AD 同步至受控網域之使用者帳戶的密碼哈希

小提示

如果您的 Microsoft Entra 租戶有僅限雲端的使用者和來自內部部署 AD 的使用者的組合,您需要完成這兩組步驟。

針對僅限雲端的用戶帳戶,用戶必須先變更其密碼,才能使用 Domain Services。 此密碼變更過程會生成 Kerberos 和 NTLM 驗證的密碼雜湊,並將其儲存在 Microsoft Entra ID 中。 在密碼更新之前,帳戶不會從 Microsoft Entra ID 同步到 Domain Services。 租使用者中需要使用 Domain Services 的所有雲端用戶密碼過期,這會在下一次登入時強制變更密碼,或指示雲端使用者手動變更其密碼。 在本教學課程中,讓我們手動變更用戶密碼。

在用戶可以重設其密碼之前,Microsoft Entra 租用戶必須 設定自助式密碼重設功能

若要變更僅限雲端使用者的密碼,用戶必須完成下列步驟:

  1. 前往 https://myapps.microsoft.com的 Microsoft Entra ID 存取面板頁面。

  2. 在右上角選取您的名稱,然後從下拉選單中選擇 [配置檔]

    選擇設定檔

  3. 在 [設定檔] 頁面上,選取 [變更密碼]

  4. 在 [變更密碼 頁面上,輸入您的現有 (舊) 密碼,然後輸入並確認新的密碼。

  5. 選取 提交

在您更改密碼後,需要幾分鐘時間,新密碼才能在網域服務中使用,並成功登入已加入受控網域的電腦。

後續步驟

在本教學課程中,您已了解如何:

  • 設定受控網域的 DNS 和虛擬網路設定
  • 建立受控網域
  • 將系統管理使用者新增至網域管理
  • 啟用網域服務的用戶帳戶併產生密碼哈希

若要查看此受控網域的運作情形,請建立虛擬機並加入網域。

將 Windows Server 虛擬機加入受控網域

  • Last updated on