Kurz: Připojení virtuálního Windows Serveru k spravované doméně Azure Active Directory Domain Services

Azure Active Directory Služba Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování kerberos/NTLM, které je plně kompatibilní s Windows Server Active Directory. Pomocí Azure AD DS domény můžete poskytovat funkce připojení k doméně a správu virtuálním počítačům v Azure. V tomto kurzu se ukáže, jak vytvořit virtuální Windows Server a pak ho připojit ke spravované doméně.

V tomto kurzu se naučíte:

Pokud ještě nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující zdroje informací:

• Musíte mít aktivní předplatné Azure.
  • Pokud ještě nemáte předplatné Azure, vytvořte si účet.
• Tenant Azure Active Directory přidružený k vašemu předplatnému, který je synchronizovaný s místním adresářem nebo adresářem pouze cloudu.
  • V případě potřeby vytvořte tenanta Azure Active Directory nebo přidružte předplatné Azure ke svému účtu.
• Spravovaná Azure Active Directory Domain Services povolená a nakonfigurovaná ve vašem tenantovi Azure AD.
  • V případě potřeby vytvořte a nakonfigurujte Azure Active Directory domény spravované službou Domain Services.
• Uživatelský účet, který je součástí spravované domény.
  • Ujistěte se, že Připojení synchronizace hodnot hash hesel nebo samoobslužné resetování hesla v Azure AD, aby se účet mohl přihlásit ke spravované doméně.
• Hostitel Azure Bastion nasazený ve vaší Azure AD DS síti.
  • V případě potřeby vytvořte Azure Bastion hostitele.

Pokud již máte virtuální počítač, který chcete připojit k doméně, přejděte k části pro připojení virtuálního počítače ke spravované doméně.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte virtuální počítač Windows Server pro připojení ke spravované doméně pomocí Azure Portal. Pokud chcete začít, nejprve se přihlaste k Azure Portal.

Vytvoření virtuálního Windows Server

Pokud se chcete podívat, jak připojit počítač ke spravované doméně, vytvoříme virtuální počítač Windows Serverem. Tento virtuální počítač je připojený k virtuální síti Azure, která poskytuje připojení ke spravované doméně. Proces připojení ke spravované doméně je stejný jako připojení k běžné doméně místní Active Directory Domain Services.

Pokud již máte virtuální počítač, který chcete připojit k doméně, přejděte k části pro připojení virtuálního počítače ke spravované doméně.

1. V Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

2. V začínáme zvolte Windows Server 2016 Datacenter.

   

3. V okně Základy nakonfigurujte základní nastavení pro virtuální počítač. U možností Dostupnosti, Image a Velikost ponechte výchozí hodnoty.

   Parametr	Navrhovaná hodnota
   Skupina prostředků	Vyberte nebo vytvořte skupinu prostředků, například myResourceGroup.
   Název virtuálního počítače	Zadejte název virtuálního počítače, například myVM.
   Oblast	Zvolte oblast, ve které chcete virtuální počítač vytvořit, například USA – východ
   Uživatelské jméno	Zadejte uživatelské jméno pro účet místního správce, který se má na virtuálním počítači vytvořit, například azureuser.
   Heslo	Zadejte a potvrďte zabezpečené heslo, které má místní správce vytvořit na virtuálním počítači. Nezadáte přihlašovací údaje účtu uživatele domény.

4. Ve výchozím nastavení jsou virtuální počítače vytvořené v Azure přístupné z internetu pomocí protokolu RDP. Pokud je povolený protokol RDP, pravděpodobně dojde k automatizovaným útokům na přihlašování, které mohou kvůli několika neúspěšným následným pokusům o přihlášení zakázat účty s běžnými názvy, jako je správce nebo správce.

   Protokol RDP by měl být povolený jenom v případě potřeby a omezený na sadu autorizovaných rozsahů IP adres. Tato konfigurace pomáhá zlepšit zabezpečení virtuálního počítače a snižuje oblast potenciálního útoku. Nebo můžete vytvořit a používat hostitele Azure Bastion, který umožňuje přístup pouze prostřednictvím protokolu Azure Portal přes protokol TLS. V dalším kroku tohoto kurzu použijete hostitele Azure Bastion k zabezpečenému připojení k virtuálnímu počítači.

   V části Veřejné příchozí porty vyberte Žádné.

5. Až to bude hotové, vyberte Další: Disky.

6. V rozevírací nabídce pro typ disku s operačním systémem zvolte SSD úrovně Standard a pak vyberte Další: Sítě.

7. Váš virtuální počítač se musí připojit k podsíti virtuální sítě Azure, která může komunikovat s podsítí, do které je vaše spravovaná doména nasazená. Doporučujeme nasadit spravovanou doménu do vlastní vyhrazené podsítě. Virtuální počítač nasaďte ve stejné podsíti jako spravovanou doménu.

   Virtuální počítač můžete nasadit dvěma hlavními způsoby a připojit se k příslušné podsíti virtuální sítě:

   • Vytvořte nebo vyberte existující podsíť ve stejné virtuální síti, ve které je nasazená vaše spravovaná doména.
   • Vyberte podsíť ve virtuální síti Azure, která je k ní připojená pomocí partnerského vztahu virtuálních sítí Azure.

   Pokud vyberete podsíť virtuální sítě, která není připojená k podsíti vaší spravované domény, nemůžete virtuální počítač připojit ke spravované doméně. Pro tento kurz vytvoříme novou podsíť ve virtuální síti Azure.

   V podokně Sítě vyberte virtuální síť, ve které je nasazená vaše spravovaná doména, například aaads-vnet.

8. V tomto příkladu se zobrazí existující podsíť aaads, ke které je spravovaná doména připojená. Virtuální počítač k této podsíti nepřipojujte. Pokud chcete vytvořit podsíť pro virtuální počítač, vyberte Spravovat konfiguraci podsítě.

   

9. V levé nabídce okna virtuální sítě vyberte Adresní prostor. Virtuální síť se vytvoří s jedním adresní prostorem 10.0.2.0/24, který používá výchozí podsíť. Ostatní podsítě, například pro úlohy nebo Azure Bastion již mohou existovat.

   Přidejte do virtuální sítě další rozsah IP adres. Velikost tohoto rozsahu adres a skutečný rozsah IP adres, který se má použít, závisí na dalších již nasazených síťových zdrojích. Rozsah IP adres by se neměl překrývat s žádnými existujícími rozsahy adres v Azure ani v místním prostředí. Ujistěte se, že rozsah IP adres je dostatečně velký pro počet virtuálních počítače, které očekáváte, že se nasadí do podsítě.

   V následujícím příkladu se přidá další rozsah IP adres 10.0.5.0/24. Až budete připravení, vyberte Uložit.

   

10. Potom v nabídce vlevo v okně virtuální sítě vyberte Podsítě a pak zvolte + Podsíť a přidejte podsíť.

11. Vyberte + Podsíť a pak zadejte název podsítě, například správa. Zadejte rozsah adres (blok CIDR), například 10.0.5.0/24. Ujistěte se, že se tento rozsah IP adres nepřekrývá s žádným jiným existujícím rozsahem adres Azure nebo místních adres. U ostatních možností ponechte výchozí hodnoty a pak vyberte OK.

    

12. Vytvoření podsítě trvá několik sekund. Po vytvoření zavřete okno podsítě výběrem X.

13. Po návratu do podokna Sítě vytvořte virtuální počítač a v rozevírací nabídce vyberte podsíť, kterou jste vytvořili, například správa . Znovu se ujistěte, že jste zvolili správnou podsíť a virtuální počítač nasazujete ve stejné podsíti jako spravovaná doména.

14. V rozevírací nabídce veřejná IP adresa vyberte Žádná. Při použití Azure Bastion v tomto kurzu pro připojení ke správě nepotřebujete přiřazenou veřejnou IP adresu k virtuálnímu počítači.

15. U ostatních možností ponechte výchozí hodnoty a pak vyberte Správa.

16. Nastavte Diagnostika spouštění na Vypnuto. U ostatních možností ponechte výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

17. Zkontrolujte nastavení virtuálního počítače a pak vyberte Vytvořit.

Vytvoření virtuálního počítače trvá několik minut. V Azure Portal se zobrazí stav nasazení. Jakmile je virtuální počítač připravený, vyberte Přejít k prostředku.

Připojení k virtuálnímu počítači s Windows serverem

K zabezpečenému připojení k virtuálním počítačům použijte hostitele Azure bastionu. S Azure bastionu je spravovaný hostitel nasazený do vaší virtuální sítě a poskytuje webové připojení RDP nebo SSH k virtuálním počítačům. Pro virtuální počítače nejsou nutné žádné veřejné IP adresy a nemusíte otevírat pravidla skupiny zabezpečení sítě pro externí vzdálený provoz. K virtuálním počítačům se můžete připojit pomocí Azure Portal z webového prohlížeče. V případě potřeby Vytvořte hostitele Azure bastionu.

Pokud se chcete k VIRTUÁLNÍmu počítači připojit pomocí hostitele bastionu, proveďte následující kroky:

1. v podokně přehled pro váš virtuální počítač vyberte Připojení a pak bastionu.

   

2. zadejte přihlašovací údaje pro váš virtuální počítač, který jste zadali v předchozí části, a pak vyberte Připojení.

   

V případě potřeby umožněte webovému prohlížeči otevřít automaticky otevíraná okna pro zobrazení připojení bastionu. Vytvoření připojení k VIRTUÁLNÍmu počítači trvá několik sekund.

Připojte virtuální počítač k spravované doméně.

když je vytvořený virtuální počítač a webové připojení RDP vytvořené pomocí Azure bastionu, teď se ke spravované doméně připojí virtuální počítač s Windows serverem. Tento proces je stejný jako počítač připojující se k běžné místní Active Directory Domain Services doméně.

1. Pokud se při přihlášení k virtuálnímu počítači ve výchozím nastavení Správce serveru neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

2. V levém podokně okna Správce serveru vyberte místní server. V části vlastnosti v pravém podokně vyberte pracovní skupina.

   

3. V okně Vlastnosti systému vyberte změnit a připojte se ke spravované doméně.

   

4. Do pole doména zadejte název spravované domény, například aaddscontoso.com, a pak vyberte OK.

   

5. Zadejte přihlašovací údaje domény pro připojení k doméně. Zadejte přihlašovací údaje uživatele, který je součástí spravované domény. Účet musí být součástí spravované domény nebo tenanta Azure AD – účty z externích adresářů přidružených k vašemu tenantovi Azure AD se nemůžou správně ověřit během procesu připojení k doméně.

   Pověření účtu lze zadat jedním z následujících způsobů:

   • Formát UPN (doporučeno) – zadejte příponu hlavního názvu uživatele (UPN) pro uživatelský účet, jak je nakonfigurováno ve službě Azure AD. Například přípona hlavního názvu uživatele (UPN) uživatelského contosoadmin by byla contosoadmin@aaddscontoso.onmicrosoft.com . K dispozici je několik běžných případů použití, kdy je možné použít spolehlivý formát UPN pro přihlášení k doméně, nikoli formát sAMAccountName :
     • Pokud je předpona hlavního názvu uživatele (UPN) dlouhá, například deehasareallylongname, může být parametr sAMAccountName automaticky vygenerován.
     • Pokud má v tenantovi Azure AD stejnou předponu hlavního názvu uživatele (UPN), jako je například Dee, může se automaticky vygenerovat jejich formát sAMAccountName .
   • Formát sAMAccountName – zadejte název účtu ve formátu sAMAccountName . Například sAMAccountName pro uživatele contosoadmin by byl AADDSCONTOSO\contosoadmin .

6. Připojení ke spravované doméně trvá několik sekund. Po dokončení se vám zobrazí následující zpráva, která vás vítá:

   

   Pokračujte výběrem tlačítka OK.

7. Pokud chcete dokončit proces připojení ke spravované doméně, restartujte virtuální počítač.

po restartování virtuálního počítače s Windows serverem se do virtuálního počítače odešlou všechny zásady použité ve spravované doméně. nyní se můžete přihlásit k virtuálnímu počítači s Windows serverem pomocí příslušných přihlašovacích údajů domény.

Vyčištění prostředků

v dalším kurzu použijete tento virtuální počítač Windows serveru k instalaci nástrojů pro správu, které vám umožní spravovat spravovanou doménu. Pokud v této sérii kurzů nechcete pokračovat, Projděte si následující postup vyčištění a Odstraňte virtuální počítač. V opačném případě přejděte k dalšímu kurzu.

Odpojte virtuální počítač ze spravované domény.

Pokud chcete virtuální počítač odebrat ze spravované domény, postupujte podle kroků znovu a Připojte se k virtuálnímu počítači k doméně. Místo připojení ke spravované doméně vyberte možnost připojit se k pracovní skupině, jako je například výchozí pracovní skupina. Po restartování virtuálního počítače se objekt počítače odebere ze spravované domény.

Pokud virtuální počítač odstraníte bez odpojení od domény, bude v Azure služba AD DS ponechán objekt osamocený počítač.

Odstranění virtuálního počítače

pokud tento virtuální počítač s Windows serverem nepoužíváte, odstraňte virtuální počítač pomocí následujících kroků:

1. V nabídce na levé straně vyberte skupiny prostředků .
2. Vyberte skupinu prostředků, například myResourceGroup.
3. Zvolte svůj virtuální počítač, například myVM, a pak vyberte Odstranit. Výběrem Ano potvrďte odstranění prostředku. Odstranění virtuálního počítače trvá několik minut.
4. Po odstranění virtuálního počítače vyberte disk s operačním systémem, síťovou kartu a všechny další prostředky s předponou myVM- prefix a odstraňte je.

Řešení potíží s připojením k doméně

virtuální počítač s Windows serverem by se měl úspěšně připojit ke spravované doméně. stejným způsobem jako běžný místní počítač by se měl připojit k doméně Active Directory Domain Services. pokud se virtuální počítač Windows serveru nemůže připojit ke spravované doméně, znamená to, že došlo k potížím s připojením nebo s přihlašovacími údaji. Pokud se chcete úspěšně připojit ke spravované doméně, přečtěte si následující části věnované odstraňování potíží.

Problémy s připojením

Pokud neobdržíte výzvu s výzvou k připojení k doméně, dojde k problému s připojením. Virtuální počítač se nemůže připojit ke spravované doméně ve virtuální síti.

po každém z těchto kroků pro řešení potíží se znovu pokuste připojit virtuální počítač Windows serveru do spravované domény.

• Ověřte, že je virtuální počítač připojený ke stejné virtuální síti, na které je Azure služba AD DS povolený, nebo má připojení k síti s partnerským vztahem.
• Zkuste provést příkaz k otestování názvu domény DNS spravované domény, třeba ping aaddscontoso.com .
  • Pokud se požadavek na příkaz k odeslání nepovede, zkuste provést příkaz k otestování IP adres pro spravovanou doménu, třeba ping 10.0.0.4 . IP adresa vašeho prostředí se zobrazí na stránce vlastnosti při výběru spravované domény ze seznamu prostředků Azure.
  • Pokud můžete provést příkaz k otestování IP adresy, ale ne k doméně, služba DNS je možná nesprávně nakonfigurovaná. Potvrďte, že IP adresy spravované domény jsou nakonfigurované jako servery DNS pro virtuální síť.
• Zkuste vyprázdnit mezipaměť překladače DNS na virtuálním počítači pomocí ipconfig /flushdns příkazu.

Problémy související s přihlašovacími údaji

Pokud se zobrazí výzva, která žádá o přihlašovací údaje pro připojení k doméně, ale po zadání těchto přihlašovacích údajů se virtuální počítač může připojit ke spravované doméně. Přihlašovací údaje, které jste zadali, neumožní virtuálnímu počítači připojit se ke spravované doméně.

po každém z těchto kroků pro řešení potíží se znovu pokuste připojit virtuální počítač Windows serveru do spravované domény.

• Ujistěte se, že uživatelský účet, který zadáte, patří do spravované domény.
• Potvrďte, že je účet součástí spravované domény nebo tenanta Azure AD. Účty z externích adresářů přidružených k vašemu tenantovi Azure AD se během procesu připojení k doméně nedají správně ověřit.
• Zkuste zadat přihlašovací údaje pomocí formátu UPN, například contosoadmin@aaddscontoso.onmicrosoft.com . Pokud ve vašem tenantovi máte mnoho uživatelů se stejnou předponou UPN nebo pokud je předpona hlavního názvu uživatele nadlimitní, je možné, že se účet sAMAccountName pro váš účet vygeneruje automaticky. V těchto případech se formát sAMAccountName pro váš účet může lišit od toho, co očekáváte nebo používáte ve vaší místní doméně.
• Ověřte, že jste povolili synchronizaci hesel s vaší spravovanou doménou. Bez tohoto kroku konfigurace nebudou ve spravované doméně k dispozici požadované hodnoty hash hesla pro správné ověření vašeho pokusu o přihlášení.
• Počkejte, než se synchronizace hesel dokončí. Při změně hesla uživatelského účtu se při automatické synchronizaci na pozadí z Azure AD aktualizuje heslo v Azure služba AD DS. Aby bylo heslo k dispozici pro použití v rámci připojení k doméně, bude chvíli trvat.

Další kroky

V tomto kurzu jste se naučili:

Pokud chcete spravovat spravovanou doménu, nakonfigurujte virtuální počítač pro správu pomocí Centrum správy služby Active Directory (ADAC).