Kurz: Připojení virtuálního počítače Windows Serveru ke spravované doméně Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování Kerberos/NTLM, které je plně kompatibilní s Windows Server Active Directory. Se spravovanou doménou Azure AD DS můžete poskytovat funkce a správu připojení k doméně k virtuálním počítačům v Azure. V tomto kurzu se dozvíte, jak vytvořit virtuální počítač Windows Serveru a pak ho připojit ke spravované doméně.

V tomto kurzu se naučíte:

  • Vytvoření virtuálního počítače Windows Serveru
  • Připojení virtuální počítač Windows Serveru do virtuální sítě Azure
  • Připojení virtuálního počítače ke spravované doméně

Pokud nemáte předplatné Azure, vytvořte si účet před zahájením .

Požadavky

K dokončení tohoto kurzu potřebujete následující zdroje informací:

Pokud už máte virtuální počítač, ke kterému chcete připojit doménu, přeskočte do části pro připojení virtuálního počítače ke spravované doméně.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte virtuální počítač Windows Serveru pro připojení ke spravované doméně pomocí Azure Portal. Začněte tím, že se nejprve přihlásíte k Azure Portal.

Vytvoření virtuálního počítače Windows Serveru

Pokud chcete zjistit, jak připojit počítač ke spravované doméně, vytvoříme virtuální počítač Windows Serveru. Tento virtuální počítač je připojený k virtuální síti Azure, která poskytuje připojení ke spravované doméně. Proces připojení spravované domény je stejný jako připojování k běžné doméně místní Active Directory Domain Services.

Pokud už máte virtuální počítač, ke kterému chcete připojit doménu, přeskočte do části pro připojení virtuálního počítače ke spravované doméně.

  1. V nabídce Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. V Začínáme zvolte Windows Server 2016 Datacenter.

    Choose to create a Windows Server 2016 Datacenter VM in the Azure portal

  3. V okně Základy nakonfigurujte základní nastavení virtuálního počítače. U možností dostupnosti, image a velikosti ponechte výchozí hodnoty.

    Parametr Navrhovaná hodnota
    Skupina prostředků Vyberte nebo vytvořte skupinu prostředků, například myResourceGroup.
    Název virtuálního počítače Zadejte název virtuálního počítače, například myVM.
    Oblast Zvolte oblast, ve které chcete virtuální počítač vytvořit, například v oblasti USA – východ.
    Uživatelské jméno Zadejte uživatelské jméno pro účet místního správce, které chcete vytvořit na virtuálním počítači, například azureuser.
    Heslo Zadejte a pak potvrďte zabezpečené heslo, které místní správce vytvoří na virtuálním počítači. Nezadávejte přihlašovací údaje uživatelského účtu domény.
  4. Ve výchozím nastavení jsou virtuální počítače vytvořené v Azure přístupné z internetu pomocí protokolu RDP. Pokud je povolený protokol RDP, pravděpodobně dojde k automatizovaným útokům na přihlášení, které můžou účty s běžnými názvy, jako je správce nebo správce , zakázat kvůli několika neúspěšným pokusům o přihlášení.

    Protokol RDP by měl být povolen pouze v případě potřeby a omezen na sadu autorizovaných rozsahů IP adres. Tato konfigurace pomáhá zlepšit zabezpečení virtuálního počítače a snížit oblast potenciálního útoku. Nebo vytvořte a používejte hostitele Služby Azure Bastion, který umožňuje přístup pouze prostřednictvím Azure Portal přes protokol TLS. V dalším kroku tohoto kurzu použijete hostitele služby Azure Bastion k bezpečnému připojení k virtuálnímu počítači.

    V části Veřejné příchozí porty vyberte Žádné.

  5. Po dokončení vyberte Další: Disky.

  6. V rozevírací nabídce pro typ disku s operačním systémem zvolte SSD úrovně Standard a pak vyberte Další: Sítě.

  7. Virtuální počítač se musí připojit k podsíti virtuální sítě Azure, která může komunikovat s podsítí, do které je vaše spravovaná doména nasazená. Doporučujeme nasadit spravovanou doménu do vlastní vyhrazené podsítě. Virtuální počítač nenasazujte do stejné podsítě jako spravovaná doména.

    Virtuální počítač můžete nasadit dvěma hlavními způsoby a připojit se k příslušné podsíti virtuální sítě:

    Pokud vyberete podsíť virtuální sítě, která není připojená k podsíti pro vaši spravovanou doménu, nemůžete virtuální počítač připojit ke spravované doméně. V tomto kurzu vytvoříme novou podsíť ve virtuální síti Azure.

    V podokně Sítě vyberte virtuální síť, ve které je nasazená vaše spravovaná doména, například aaads-vnet.

  8. V tomto příkladu se zobrazí existující podsíť aaads-subnet , ke které je spravovaná doména připojená. Nepřipojujte virtuální počítač k této podsíti. Pokud chcete vytvořit podsíť pro virtuální počítač, vyberte Spravovat konfiguraci podsítě.

    Choose to manage the subnet configuration in the Azure portal

  9. V levé nabídce okna virtuální sítě vyberte Adresní prostor. Virtuální síť se vytvoří s jedním adresním prostorem 10.0.2.0/24, který se používá ve výchozí podsíti. Jiné podsítě, jako jsou úlohy nebo Azure Bastion, už můžou existovat.

    Přidejte do virtuální sítě další rozsah IP adres. Velikost tohoto rozsahu adres a skutečného rozsahu IP adres, který se má použít, závisí na dalších síťových prostředcích, které jsou již nasazené. Rozsah IP adres by se neměl překrývat s žádnými existujícími rozsahy adres ve vašem prostředí Azure nebo v místním prostředí. Ujistěte se, že velikost rozsahu IP adres dostatečně velký pro počet virtuálních počítačů, které očekáváte, že se nasadí do podsítě.

    V následujícím příkladu se přidá další rozsah IP adres 10.0.5.0/24 . Až budete připraveni, vyberte Uložit.

    Add an additional virtual network IP address range in the Azure portal

  10. Potom v levé nabídce okna virtuální sítě vyberte Podsítě a pak zvolte + Podsíť a přidejte podsíť .

  11. Vyberte + Podsíť a zadejte název podsítě, například správu. Zadejte rozsah adres (blok CIDR), například 10.0.5.0/24. Ujistěte se, že se tento rozsah IP adres nepřekrývá s jinými existujícími rozsahy adres Azure ani s místními rozsahy adres. Ostatní možnosti ponechte jako výchozí hodnoty a pak vyberte OK.

    Create a subnet configuration in the Azure portal

  12. Vytvoření podsítě trvá několik sekund. Po vytvoření zavřete okno podsítě výběrem symbolu X .

  13. V podokně Sítě vytvořte virtuální počítač tak, že v rozevírací nabídce vyberete podsíť, kterou jste vytvořili, například správu. Znovu se ujistěte, že zvolíte správnou podsíť a nenasadíte virtuální počítač do stejné podsítě jako spravovaná doména.

  14. Jako veřejnou IP adresu vyberte v rozevírací nabídce možnost Žádné . Při použití služby Azure Bastion v tomto kurzu pro připojení ke správě nepotřebujete veřejnou IP adresu přiřazenou virtuálnímu počítači.

  15. Ostatní možnosti ponechte jako výchozí hodnoty a pak vyberte Správa.

  16. Nastavte diagnostiku spouštění na vypnuto. Ostatní možnosti ponechte jako výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  17. Zkontrolujte nastavení virtuálního počítače a pak vyberte Vytvořit.

Vytvoření virtuálního počítače trvá několik minut. Azure Portal zobrazuje stav nasazení. Jakmile je virtuální počítač připravený, vyberte Přejít k prostředku.

Go to the VM resource in the Azure portal once it's successfully created

Připojení k virtuálnímu počítači s Windows Serverem

Pokud se chcete bezpečně připojit k virtuálním počítačům, použijte hostitele Služby Azure Bastion. Se službou Azure Bastion se spravovaný hostitel nasadí do vaší virtuální sítě a poskytuje webové připojení RDP nebo SSH k virtuálním počítačům. Virtuální počítače nevyžadují žádné veřejné IP adresy a nemusíte otevírat pravidla skupin zabezpečení sítě pro externí vzdálený provoz. Připojíte se k virtuálním počítačům pomocí Azure Portal z webového prohlížeče. V případě potřeby vytvořte hostitele služby Azure Bastion.

Pokud chcete k připojení k virtuálnímu počítači použít hostitele Bastionu, proveďte následující kroky:

  1. V podokně Přehled virtuálního počítače vyberte Připojení a pak Bastion.

    Connect to Windows virtual machine using Bastion in the Azure portal

  2. Zadejte přihlašovací údaje pro virtuální počítač, který jste zadali v předchozí části, a pak vyberte Připojení.

    Connect through the Bastion host in the Azure portal

V případě potřeby povolte webovému prohlížeči, aby se zobrazilo automaticky otevírané okno pro připojení Bastionu. Připojení k virtuálnímu počítači trvá několik sekund.

Připojení virtuálního počítače ke spravované doméně

S vytvořeným virtuálním počítačem a webovým připojením RDP vytvořeným pomocí služby Azure Bastion se teď připojíme k virtuálnímu počítači Windows Serveru ke spravované doméně. Tento proces je stejný jako počítač, který se připojuje k běžné doméně místní Active Directory Domain Services.

  1. Pokud se Správce serveru při přihlášení k virtuálnímu počítači ve výchozím nastavení neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

  2. V levém podokně okna Správce serveru vyberte Místní server. V části Vlastnosti v pravém podokně zvolte Pracovní skupina.

    Open Server Manager on the VM and edit the workgroup property

  3. V okně Vlastnosti systému vyberte Změnit , aby se připojila spravovaná doména.

    Choose to change the workgroup or domain properties

  4. Do pole Doména zadejte název spravované domény, například aaddscontoso.com, a pak vyberte OK.

    Specify the managed domain to join

  5. Zadejte přihlašovací údaje domény pro připojení k doméně. Zadejte přihlašovací údaje pro uživatele, který je součástí spravované domény. Účet musí být součástí spravované domény nebo tenanta Azure AD – účty z externích adresářů přidružených k vašemu tenantovi Azure AD se během procesu připojení k doméně nemůžou správně ověřit.

    Přihlašovací údaje účtu je možné zadat jedním z následujících způsobů:

    • Formát hlavního názvu uživatele (UPN) – zadejte příponu hlavního názvu uživatele (UPN) pro uživatelský účet, jak je nakonfigurované v Azure AD. Například přípona hlavního názvu uživatele (UPN) uživatele contosoadmin by byla contosoadmin@aaddscontoso.onmicrosoft.com. Existuje několikběžnýchch dat ( UPN) – existuje několik běžných případů použití, kdy se dá spolehlivě použít k přihlášení k doméně místo formátu SAMAccountName :
      • Pokud je předpona hlavního názvu uživatele (UPN) dlouhá, například deehasareallylongname, může se automaticky vygenerovat název SAMAccountName .
      • Pokud ve vašem tenantovi Azure AD má více uživatelů stejnou předponu hlavního názvu uživatele (UPN), například dee, může se automaticky vygenerovat jejich formát SAMAccountName .
    • Formát SAMAccountName – Zadejte název účtu ve formátu SAMAccountName . Například SAMAccountName uživatele contosoadmin by byl AADDSCONTOSO\contosoadmin.
  6. Připojení ke spravované doméně trvá několik sekund. Po dokončení vás následující zpráva vítá v doméně:

    Welcome to the domain

    Pokračujte výběrem tlačítka OK.

  7. Pokud chcete dokončit proces připojení ke spravované doméně, restartujte virtuální počítač.

Tip

Virtuální počítač můžete připojit k doméně pomocí PowerShellu pomocí rutiny Add-Computer . Následující příklad připojí doménu AADDSCONTOSO a restartuje virtuální počítač. Po zobrazení výzvy zadejte přihlašovací údaje pro uživatele, který je součástí spravované domény:

Add-Computer -DomainName AADDSCONTOSO -Restart

Pokud chcete virtuální počítač připojit k doméně bez připojení a ručně nakonfigurovat připojení, můžete použít rutinu Set-AzVmAdDomainExtension Azure PowerShell.

Po restartování virtuálního počítače Windows Serveru se do virtuálního počítače nasdílí všechny zásady použité ve spravované doméně. Teď se můžete také přihlásit k virtuálnímu počítači Windows Serveru pomocí příslušných přihlašovacích údajů domény.

Vyčištění prostředků

V dalším kurzu použijete tento virtuální počítač Windows Serveru k instalaci nástrojů pro správu, které vám umožní spravovat spravovanou doménu. Pokud nechcete pokračovat v této sérii kurzů, projděte si následující kroky vyčištění a odstraňte virtuální počítač. V opačném případě pokračujte k dalšímu kurzu.

Zrušení připojení virtuálního počítače ze spravované domény

Pokud chcete odebrat virtuální počítač ze spravované domény, postupujte podle pokynů znovu a připojte virtuální počítač k doméně. Místo připojení ke spravované doméně zvolte připojení k pracovní skupině, například k výchozí pracovní skupině. Po restartování virtuálního počítače se objekt počítače odebere ze spravované domény.

Pokud odstraníte virtuální počítač bez připojení k doméně, ponechá se v Azure AD DS osamocený objekt počítače.

Odstranění virtuálního počítače

Pokud tento virtuální počítač Windows Serveru nepoužíváte, odstraňte virtuální počítač pomocí následujícího postupu:

  1. V nabídce vlevo vyberte skupiny prostředků.
  2. Zvolte skupinu prostředků, například myResourceGroup.
  3. Zvolte virtuální počítač, například myVM, a pak vyberte Odstranit. Odstranění prostředku potvrďte výběrem možnosti Ano . Odstranění virtuálního počítače trvá několik minut.
  4. Po odstranění virtuálního počítače vyberte disk s operačním systémem, kartu síťového rozhraní a všechny další prostředky s předponou myVM a odstraňte je.

Řešení potíží s připojením k doméně

Virtuální počítač Windows Serveru by se měl úspěšně připojit ke spravované doméně, stejně jako běžný místní počítač by se připojil k doméně Active Directory Domain Services. Pokud se virtuální počítač Windows Serveru nemůže připojit ke spravované doméně, znamená to, že došlo k problému s připojením nebo přihlašovacími údaji. Pokud se chcete úspěšně připojit ke spravované doméně, projděte si následující části řešení potíží.

Problémy s připojením

Pokud se nezobrazí výzva k zadání přihlašovacích údajů pro připojení k doméně, dojde k problému s připojením. Virtuální počítač se nemůže spojit se spravovanou doménou ve virtuální síti.

Po vyzkoušení každého z těchto kroků pro řešení potíží se zkuste znovu připojit k virtuálnímu počítači Windows Serveru ke spravované doméně.

  • Ověřte, že je virtuální počítač připojený ke stejné virtuální síti, ve které je povolená služba Azure AD DS, nebo jestli má partnerské připojení k síti.
  • Zkuste otestovat příkaz ping na název domény DNS spravované domény, například ping aaddscontoso.com.
    • Pokud požadavek ping selže, zkuste odeslat příkaz ping NA IP adresy spravované domény, například ping 10.0.0.4. IP adresa vašeho prostředí se zobrazí na stránce Vlastnosti , když ze seznamu prostředků Azure vyberete spravovanou doménu.
    • Pokud můžete ip adresu otestovat příkazem ping, ale ne doménu, může být DNS nesprávně nakonfigurovaný. Ověřte, že jsou IP adresy spravované domény nakonfigurované jako servery DNS pro virtuální síť.
  • Zkuste pomocí příkazu vyprázdnit mezipaměť překladače DNS na virtuálním počítači ipconfig /flushdns .

Pokud se zobrazí výzva k zadání přihlašovacích údajů pro připojení k doméně, ale po zadání těchto přihlašovacích údajů se virtuální počítač může připojit ke spravované doméně. Zadané přihlašovací údaje pak nedovolí virtuálnímu počítači připojit se ke spravované doméně.

Po vyzkoušení každého z těchto kroků pro řešení potíží se zkuste znovu připojit k virtuálnímu počítači Windows Serveru ke spravované doméně.

  • Ujistěte se, že zadaný uživatelský účet patří do spravované domény.
  • Ověřte, že je účet součástí spravované domény nebo tenanta Azure AD. Účty z externích adresářů přidružených k vašemu tenantovi Azure AD se během procesu připojení k doméně nemůžou správně ověřit.
  • Zkuste k zadání přihlašovacích údajů použít formát hlavního názvu uživatele (UPN), například contosoadmin@aaddscontoso.onmicrosoft.com. Pokud ve vašem tenantovi existuje mnoho uživatelů se stejnou předponou hlavního názvu uživatele (UPN) nebo pokud je předpona hlavního názvu uživatele (UPN) příliš dlouhá, může se automaticky vygenerovat název SAMAccountName pro váš účet. V těchto případech se formát SAMAccountName pro váš účet může lišit od toho, co očekáváte nebo používáte ve vaší místní doméně.
  • Zkontrolujte, jestli jste povolili synchronizaci hesel se spravovanou doménou. Bez tohoto kroku konfigurace nebudou požadované hodnoty hash hesel ve spravované doméně k správnému ověření pokusu o přihlášení k dispozici.
  • Počkejte na dokončení synchronizace hesel. Když se změní heslo uživatelského účtu, automatická synchronizace na pozadí z Azure AD aktualizuje heslo ve službě Azure AD DS. Použití hesla pro připojení k doméně nějakou dobu trvá.

Další kroky

V tomto kurzu jste se naučili:

  • Vytvoření virtuálního počítače Windows Serveru
  • Připojení k virtuálnímu počítači Windows Serveru do virtuální sítě Azure
  • Připojení virtuálního počítače ke spravované doméně

Pokud chcete spravovat spravovanou doménu, nakonfigurujte virtuální počítač pro správu pomocí Centra správy služby Active Directory (ADAC).