البرنامج التعليمي: إنشاء وتكوين مجال مُدار Azure Active Directory Domain Services

  • مقالة
  • قراءة خلال 12 دقائق

يوفرActive Directory Domain Services (Microsoft Azure Active Directory DS) خدمات المجال المُدارة مثل الانضمام إلى مجال ونهج المجموعة وبروتوكول الوصول السريع للدليل ومصادقة Kerberos/NTLM المتوافقة تمامًا مع Windows Server Active Directory. إنك تستهلك خدمات المجال هذه دون نشر وحدات تحكم المجال وإدارتها وتصحيحها بنفسك. تتكامل خدمات مجال Microsoft Azure Active Directory مع مستأجر Microsoft Azure Active Directory الحالي. يتيح هذا التكامل للمستخدمين الدخول باستخدام بيانات اعتماد الشركة الخاصة بهم، ويمكنك استخدام المجموعات الحالية وحسابات المستخدمين لتأمين الوصول إلى الموارد.

يمكنك إنشاء مجال مدار باستخدام خيارات الإعدادات الافتراضية لشبكة الاتصال والمزامنة، أو تحديد هذه الإعدادات يدويًا. يوضح لك هذا البرنامج التعليمي كيفية استخدام الخيارات الافتراضية لإنشاء وتكوين مجال مُدار Microsoft Azure Active Directory DS باستخدام مدخل Microsoft Azure.

في هذا البرنامج التعليمي، تتعلم كيفية:

  • فهم متطلبات خادم أسماء المجالات لمجال مُدار
  • إنشاء مجال مُدار
  • تمكين مزامنة تجزئة كلمة المرور

إن لم يكن لديك اشتراك Azure، يتم⁧⁩إنشاء حساب⁧⁩ قبل البدء مجانًا.

المتطلبات الأساسية

لإكمال هذا البرنامج التعليمي، تحتاج إلى الموارد والامتيازات التالية:

يُوصى⁧⁩بتكوين إعادة تعيين كلمة مرور الخدمة الذاتية⁧⁩ لمستأجر Microsoft Azure Active Directory بالرغم من عدم اشتراطها في خدمات نطاق Microsoft Azure Active Directory. يمكن للمستخدمين تغيير كلمة المرور الخاصة بهم بدون إعادة تعيين كلمة مرور الخدمة الذاتية ولكن تظهر أهمية إعادة تعيين كلمة مرور الخدمة الذاتية في حالة نسيان كلمة المرور الخاصة بهم والحاجة إلى إعادة تعيينها.

هام

لا يمكنك نقل المجال المُدار إلى اشتراك أو مجموعة موارد أو منطقة أو شبكة ظاهرية أو شبكة فرعية مختلفة بعد إنشائها. احرص على تحديد الاشتراك الأكثر ملاءمة ومجموعة الموارد والمنطقة والشبكة الظاهرية والشبكة الفرعية عند نشر المجال المُدار.

سجِّل الدخول إلى مدخل Microsoft Azure

يمكنك في هذا البرنامج التعليمي إنشاء وتكوين النطاق المدار باستخدام مدخل Microsoft Azure. وللبدء، قم بتسجيل الدخول أولاً إلى مدخل Microsoft Azure.

إنشاء مجال مُدار

لبدء تشغيل معالج تمكين Microsoft Azure Active Directory Domain Services، أكمل الخطوات التالية:

  1. من قائمة مدخل Microsoft Azure أو من صفحة ⁧⁩Home⁧⁩، حدد ⁧⁩Create a resource⁧⁩.
  2. أدخل ⁧⁩خدمات النطاق⁧⁩ في شريط البحث، ثم اختر ⁧⁩Microsoft Azure Active Directory Domain Services⁧⁩ من اقتراحات البحث.
  3. اختر في صفحة Microsoft Azure Active Directory Domain Services ⁧⁩إنشاء⁧⁩. يتم تشغيل معالج ⁧⁩تمكين Microsoft Azure Active Directory Domain Services⁧⁩.
  4. حدد ⁧⁩اشتراك⁧⁩ Azure الذي تريد إنشاء النطاق المدار فيه.
  5. حدد ⁧⁩مجموعة الموارد⁧⁩ التي سينتمي إليها النطاق المدار. اختر⁧⁩إنشاء جديد⁧⁩ أو تحديد مجموعة موارد موجودة.

عند إنشاء نطاق مدار، يمكنك تحديد اسم نظام أسماء النطاقات. تطبق بعض الاعتبارات عند اختيار اسم نظام أسماء النطاقات المذكور:

  • اسم النطاق المتكوين: يُستخدم، بشكل افتراضي، اسم النطاق المتكوين من الدليل (لاحقة .onmicrosoft.com). إذا كنت ترغب في تمكين الوصول إلى بروتوكول النفاذ إلى الدليل البسيط في النطاق المدار عبر الإنترنت، لن تتمكن من إنشاء شهادة رقمية لتأمين الاتصال مع هذا النطاق الافتراضي. تمتلك مايكروسوفت نطاق .onmicrosoft.com، ولذا لن تُصدر هيئة الشهادات أي شهادة.
  • أسماء المجالات المخصصة: الأسلوب الأكثر شيوعاً هو تحديد اسم مجال مخصص، عادة ما يكون الاسم الذي تملكه بالفعل وقابلاً للتوجيه. عند استخدام مجال مخصص قابل للتوجيه، يمكن أن تتدفق حركة المرور بشكل صحيح حسب الحاجة لدعم التطبيقات الخاصة بك.
  • لواحق النطاق غير القابل للتوجيه: نوصي بشكل عام بتجنب لاحقة اسم النطاق غير القابل للتوجيه، مثل contoso.local. تُعد لاحقة محلياً غير قابلة للتوجيه ويمكن أن تسبب مشاكل في دقة خادم أسماء النطاقات.

تلميح

إذا قمت بإنشاء اسم نطاق مخصص، فتوخَّ الحذر فيما يتعلق بمساحات أسماء نظام أسماء النطاقات الحالية. يوصى باستخدام اسم نطاق منفصل عن مساحة اسم نظام أسماء النطاقات في Azure أو الأسماء المحلية الموجودة.

على سبيل المثال، إذا كانت لديك مساحة اسم خادم أسماء مجالات موجودة من contoso.com، فقم بإنشاء مجال مدار باسم مجال مخصص aaddscontoso.com. إذا كنت بحاجة إلى استخدام بروتوكول الوصول السريع للدليل آمناً، يجب عليك تسجيل وامتلاك اسم المجال المخصص هذا لإنشاء الشهادات المطلوبة.

قد تحتاج إلى إنشاء بعض السجلات الإضافية لخادم نظام أسماء النطاقات الإضافية للخدمات الأخرى في بيئتك أو ناقلات خادم نظام أسماء النطاقات المشروطة بين مساحات اسم نظام أسماء النطاقات في بيئتك. على سبيل المثال، إذا قمت بتشغيل خادم ويب يستضيف أي موقع باستخدام اسم نظام أسماء النطاقات الصرفة، فقد تتعارض التسمية بما يتطلب إدخالات إضافية في نظام أسماء النطاقات.

يُستخدم في هذه البرامج التعليمية والمقالات النطاق المخصص ⁧⁩aaddscontoso.com⁧⁩ كمثال قصير. حدد في كافة الأوامر اسم النطاق الخاص بك.

تنطبق قيود أسماء خادم أسماء DNS على المجالات التالية أيضاً:

  • قيود بادئة المجال: لا يمكنك إنشاء مجال مدار باستخدام بادئة أطول من 15 حرفاً. يجب أن تحتوي بادئة اسم المجال المحدد (مثل aaddscontoso في اسم المجال aaddscontoso.com) على 15 حرفاً أو أقل.
  • تعارضات اسم الشبكة: يجب ألا يوجد اسم مجال خادم أسماء المجالات للمجال المدار مسبقاً في الشبكة الظاهرية. تحقق بشكل خاص من توافر السيناريوهات التالية التي قد تؤدي إلى تعارض الاسم:
    • إذا كان لديك بالفعل نطاق Active Directory يحمل نفس اسم نطاق نظام أسماء النطاقات على شبكة اتصال Azure الافتراضية.
    • إذا كانت الشبكة الافتراضية التي تخطط لتمكين النطاق المدار بها تتصل بشبكة خاصة افتراضية مع الشبكة المحلية. تأكد في هذا السيناريو من عدم وجود نطاق بنفس اسم نطاق نظام أسماء النطاقات على شبكة الاتصال المحلية.
    • إذا كانت لديك خدمة سحابة Azure موجودة بهذا الاسم على شبكة Azure الظاهرية.

أكمل الخانات في نافذة⁧⁩أساسيات⁧⁩ لمدخل Microsoft Azure لإنشاء نطاق مدار:

  1. أدخل ⁧⁩اسم نطاق نظام اسماء النطاقات⁧⁩ للنطاق المدار الخاص بك مع مراعاة النقاط السابقة.

  2. اختر موقع Azure الذي يجب إنشاء المجال المدار فيه. إذا اخترت منطقة تدعم مناطق توفر Azure، فسيتم توزيع موارد Microsoft Azure Active Directory DS عبر المناطق للحصول على تكرار إضافي.

    تلميح

    مناطق التوفر هي مواقع مادية فريدة داخل منطقة Azure. تتكون كل منطقة من مركز بيانات واحد أو أكثر مزودًا بالطاقة المستقلة والتبريد والشبكات. لضمان المرونة، هناك ما لا يقل عن ثلاث مناطق منفصلة في جميع المناطق المُمكّنة.

    لا يوجد شيء يمكنك تكوينه لخدمات مجال Azure DS ليتم توزيعه عبر المناطق. تعالج منصة Azure توزيع المنطقة للموارد تلقائيًا. للمزيد من المعلومات وللاطلاع على توافر مناطق الخدمة، راجع ⁧⁩ما هي مناطق توافر الخدمة في Azure؟⁧

  3. تستهدف⁧⁩وحدة إدارة المخزون⁧⁩ الأداء وتكرار النسخ الاحتياطي. يمكنك تغيير وحدة إدارة المخزون بعد إنشاء النطاق المدار إذا تغيرت متطلبات نشاطك التجاري. للمزيد من المعلومات، راجع ⁧⁩مفاهيم وحدة إدارة مخزون خدمات نطاق Microsoft Azure Active Directory⁧⁩.

    اختر لهذا البرنامج التعليمي، وحدة إدارة المخزون⁧⁩القياسية⁧⁩.

  4. تُعد ⁧⁩الخوادم الأم⁧⁩ بمثابة بناء منطقي يستخدم في خدمات نطاق Active Directory لتجميع نطاق واحد أو أكثر. بشكل افتراضي، يتم إنشاء مجال مدار كخوادم أم لمستخدم. يقوم هذا النوع من الخوادم الأم بمزامنة كافة العناصر من Azure AD، بما في ذلك أي حسابات مستخدمين تم إنشاؤها في بيئة AD DS الداخلي.

    تقوم الخوادم الأم للموارد بمزامنة المستخدمين والمجموعات التي تم إنشاؤها مباشرة في Microsoft Azure Active Directory فقط. لمزيد من المعلومات حول الخوادم الأم للموارد، بما في ذلك لماذا قد تستخدم واحدة وكيفية إنشاء مجموعات الخوادم الأم مع مجالات AD DS المحلية، راجع نظرة عامة على الخوادم الأم Microsoft Azure Active Directory DS.

    اختر لهذا البرنامج التعليمي إنشاء الخوادم الأم⁧⁩للمستخدم⁧⁩.

    Configure basic settings for an Azure AD Domain Services managed domain

لإنشاء مجال مدار بسرعة، يمكنك تحديد مراجعة + إنشاء لقبول خيارات إعدادات افتراضية إضافية. يتم تكوين الإعدادات الافتراضية التالية عند اختيار خيار الإنشاء هذا:

  • إنشاء شبكة اتصال افتراضية تسمى aadds-vnet تستخدم نطاق عنوان IP من 10.0.2.0/24.
  • إنشاء شبكة فرعية تسمى aadds-subnet باستخدام نطاق عنوان IP 10.0.2.0/24.
  • مزامنة كافة المستخدمين من Microsoft Azure Active Directory في المجال المُدار.

حدد مراجعة + إنشاء لقبول خيارات التكوين الافتراضية هذه.

نشر المجال المدار

في صفحة ⁧⁩ملخص⁧⁩ المعالج، راجع إعدادات تكوين النطاق المدار. يمكنك العودة إلى أي خطوة في المعالج لإجراء تغييرات. لإعادة نشر نطاق مدار إلى مستأجر Microsoft Azure Active Directory مختلف بطريقة متناسقة باستخدام خيارات التكوين المذكورة، يمكنك أيضًا ⁧⁩تنزيل قالب للأتمتة⁧⁩.

  1. لإنشاء المجال المُدار، حدد إنشاء. يتم عرض ملاحظة أنه لا يمكن تغيير خيارات تكوين معينة مثل اسم خادم أسماء المجال أو الشبكة الظاهرية بمجرد إنشاء Microsoft Azure Active Directory DS المدارة. للمتابعة، حدد موافق.

  2. قد تستغرق عملية توفير النطاق المدار قرابة الساعة. يُعرض إشعار في المدخل يظهر تقدم نشر خدمات نطاق Microsoft Azure Active Directory. اختر الإشعار للاطلاع على السير التفصيلي للنشر.

    Notification in the Azure portal of the deployment in progress

  3. سيتم تحميل الصفحة مع التحديثات على عملية النشر، بما في ذلك إنشاء موارد جديدة في الدليل الخاص بك.

  4. حدد مجموعة الموارد، مثل myResourceGroup، ثم اختر المجال المُدار من قائمة موارد Azure، مثل aaddscontoso.com. تُظهر علامة التبويب ⁧⁩نظرة عامة⁧⁩ أن النطاق المدار يتم ⁧⁩نشره⁧⁩حاليًا. لا يمكنك تكوين النطاق المدار لحين توفيره بالكامل.

    Domain Services status during the provisioning state

  5. عند توفير النطاق المدار بالكامل، تظهر علامة التبويب ⁧⁩نظرة عامة⁧⁩ حالة المجال بأنها قيد⁧⁩التشغيل⁧⁩.

    Domain Services status once successfully provisioned

هام

يتصل النطاق المدار بمستأجر Microsoft Azure Active Directory. في أثناء عملية التوفير، تُنشأ خدمات تطاق Microsoft Azure Active Directory تطبيقين للمؤسسة باسم ⁧⁩خدمات وحدة تحكم النطاق⁧⁩ و⁧⁩AzureActiveDirectoryDomainControllerServices⁧⁩ في مستأجر Microsoft Azure Active Directory. يُشترط توافر هذه التطبيقات المؤسسية لخدمة النطاق المدار. لا تحذف هذه التطبيقات.

حدث إعدادات نظام أسماء النطاقات في الشبكة الظاهرية في Azure

عند نشر خدمات نطاق Microsoft Azure Active Directory بنجاح، قم بتكوين الشبكة الظاهرية للسماح للأجهزة الظاهرية والتطبيقات الأخرى المتصلة باستخدام النطاق المدار. ولتوفير هذا الاتصال، حدث إعدادات خادم نظام أسماء النطاقات لشبكة الاتصال الظاهرية للإشارة إلى عنواني بروتوكول الإنترنت حيث يتم نشر النطاق المدار.

  1. تعرض علامة التبويب ⁧⁩نظرة عامة⁧⁩ للنطاق المدار الخاص بك بعض ⁧⁩خطوات التكوين المطلوبة⁧⁩. تتمثل الخطوة الأولى للتكوين في تحديث إعدادات خادم نظام أسماء النطاقات لشبكة الاتصال الظاهرية. بمجرد تكوين إعدادات نظام أسماء النطاقات بشكل صحيح، لن تُعرض هذه الخطوة.

    العناوين المذكورة هي وحدات تحكم المجال للاستخدام في شبكة الاتصال الظاهرية. في هذا المثال، هذه العناوين هي 10.0.2.4 و10.0.2.5. يمكنك العثور على عناوين IP هذه لاحقًا في علامة التبويب خصائص.

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. لتحديث إعدادات خادم نظام أسماء النطاقات للشبكة الظاهرية، اختر زر⁧⁩تكوين⁧⁩. تتم تكوين إعدادات نظام أسماء النطاقات تلقائيًا لشبكة الاتصال الظاهرية.

تلميح

إذا اخترت شبكة ظاهرية موجودة في الخطوات السابقة، تحصل الأجهزة الظاهرية المتصلة بالشبكة فقط على إعدادات نظام أسماء النطاقات الجديدة بعد إعادة التشغيل. يمكنك إعادة تشغيل الأجهزة الافتراضية باستخدام مدخل Microsoft Azure، أو Azure PowerShell، أو Azure CLI.

تمكين حسابات المستخدمين لـ Azure AD DS

لإجراء مصادقة المستخدمين في النطاق المدار، تشترط خدمات نطاق Microsoft Azure Active Directory حفظ كلمة المرور بصيغة تناسب NT LAN Manager (NTLM) ومصادقة Kerberos. لا يقوم Azure AD بإنشاء أو تخزين تجزئة كلمات المرور بالتنسيق المطلوب لمصادقة NTLM أو Kerberos حتى تقوم بتمكين Azure AD DS للمستأجر الخاص بك. لأسباب أمنية، لا يقوم Microsoft Azure Active Directory أيضًا بتخزين أي بيانات اعتماد لكلمة المرور في نموذج نصي واضح. لذلك، لا يتمكن Azure AD من إنشاء تجزئة كلمة المرور NTLM أو Kerberos تلقائيًا استنادًا إلى بيانات اعتماد المستخدمين الموجودة.

ملاحظة

وبمجرد التكوين بشكل صحيح، تُخزن كلمة المرور المحفوظة القابلة للاستخدام في النطاق المدار. إذا حذفت النطاق المدار، فسيُحفظ كذلك حفظ كلمة المرور المخزنة.

لا يمكن إعادة استخدام معلومات الاعتماد المزامنة في Microsoft Azure Active Directory إذا أنشأت لاحقًا نطاقًا مدارًا - ولكن يتعين إعادة تكوين مزامنة حفظ كلمة المرور لتخزين حفظ كلمة المرور من جديد. لن تتمكن الأجهزة الظاهرية المنضمة إلى المجال سابقًا أو المستخدمون من المصادقة الفورية - يحتاج Microsoft Azure Active Directory إلى إنشاء وتخزين تجزئة كلمة المرور في المجال المُدار الجديد.

لا يتم دعم Azure AD Connect Cloud Sync مع Azure AD DS. يحتاج المستخدمون المحليون إلى المزامنة باستخدام Microsoft Azure Active Directory Connect حتى يتمكنوا من الوصول إلى الأجهزة الظاهرية المنضمة إلى المجال. لمزيد من المعلومات، راجع عملية مزامنة تجزئة كلمة المرور في Microsoft Azure Active Directory DS وMicrosoft Azure Active Directory Connect.

تختلف خطوات إنشاء وتخزين تجزئة كلمة المرور لحسابات المستخدمين الخاصة بالسحابة فقط التي تم إنشاؤها في Azure AD مقابل حسابات المستخدمين التي تتم مزامنتها من الدليل الداخلي باستخدام Azure AD Connect.

حساب المستخدم الموجود على سحابة فقط هو حساب تم إنشاؤه في دليل Microsoft Azure Active Directory الخاص بك باستخدام إما مدخل Microsoft Azure أو أوامر Microsoft Azure Active Directory PowerShell cmdlets. لا تتم مزامنة حسابات المستخدمين هذه من دليل الداخلي.

دعونا في هذا البرنامج التعليمي نستخدم حساب مستخدم سحابي أساسي فقط. للمزيد من المعلومات حول الخطوات الإضافية المطلوبة لاستخدام Microsoft Azure Active Directory Connect، راجع ⁧⁩مزامنة حف كلمة المرور لحسابات المستخدمين التي تمت مزامنتها من دليل Azure المحلي إلى النطاق المدار ⁧⁩.

تلميح

إذا كان مستأجر Microsoft Azure Active Directory يضم مجموعة من المستخدمين الخاصة بالسحابة والمستخدمين في تطبيق AD المحلي فقط، ستحتاج إلى إكمال مجموعتي الخطوات.

بالنسبة إلى حسابات المستخدمين الخاصة بالسحابة فقط، يتعين على المستخدمين تغيير كلمات المرور الخاصة بهم قبل أن يتمكنوا من استخدام Azure AD DS. تؤدي عملية تغيير كلمة المرور إلى إنشاء وتخزين مصادقة حفظ كلمة المرور في Kerberos وNTLM في Azure AD. لا تتم مزامنة الحساب من Azure AD إلى Azure AD DS حتى يتم تغيير كلمة المرور. إما أن تنهي صلاحية كلمات المرور لجميع مستخدمي السحابة في المستأجر الذين يحتاجون إلى استخدام Azure AD DS، ما يفرض عليهم تغيير كلمة المرور عند تسجيل الدخول التالي، أو إرشاد مستخدمي السحابة إلى تغيير كلمات المرور الخاصة بهم يدويًا. لنتعلم في هذا البرنامج التعليمي كيفية تغيير كلمة مرور المستخدم يدويًا.

قبل أن يتمكن المستخدم من إعادة تعيين كلمة المرور خاصتهم⁧⁩تجرى تكوين مستأجر Microsoft Azure Active Directory لإعادة تعيين كلمة مرور الخدمة الذاتية⁧⁩.

لتغيير كلمة مرور المستخدم لحساب مستخدم خاص بالسحابة فقط، يُكمل المستخدم الخطوات التالية:

  1. انتقل إلى صفحة Microsoft Azure Active Directory Access Panel في ⁧⁩⁧ https://myapps.microsoft.com ⁩⁧⁩.

  2. في الزاوية العلوية اليمنى، حدد اسمك ثم اختر ⁧⁩ملف التعريف⁧⁩ من القائمة المنسدلة.

    Select profile

  3. في صفحة ⁧⁩ملف التعريف،⁧⁩ حدد ⁧⁩تغيير كلمة المرور⁧⁩.

  4. في صفحة ⁧⁩تغيير كلمة المرور⁧⁩، أدخل كلمة المرور الحالية (القديمة)، ثم أدخل كلمة مرور جديدة وأكد على ذلك.

  5. حدد "Submit".

يستغرق الأمر بضع دقائق بعد تغيير كلمة المرور الخاصة بك لتصبح كلمة المرور الجديدة قابلة للاستخدام في خدمات نطاق Microsoft Azure Active Directory ويمكن تسجيل الدخول بنجاح إلى أجهزة الكمبيوتر المتصلة بالنطاق المدار.

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية:

  • فهم متطلبات خادم أسماء المجالات لمجال مُدار
  • إنشاء مجال مُدار
  • إضافة مستخدمين إداريين إلى إدارة النطاق
  • تمكين حسابات مستخدمي Microsoft Azure Active Directory DS وإنشاء تجزئة كلمة المرور

قبل أن تقوم بضم الأجهزة الظاهرية إلى المجال ونشر التطبيقات التي تستخدم المجال المُدار، قم بتكوين شبكة اتصال ظاهرية Azure لأحمال العمل للتطبيقات.

تكوين شبكة Azure الظاهرية لأحمال العمل للتطبيقات لاستخدام المجال المُدار