Kurz: Vytvoření a konfigurace spravované Azure Active Directory Domain Services

  • Článek
  • 10 min ke čtení

Azure Active Directory Služba Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování kerberos/NTLM, které je plně kompatibilní s Windows Server Active Directory. Tyto doménové služby využíváte bez toho, že sami nasazujete, spravujete a opravujete řadiče domény. Azure AD DS se integruje se stávajícím tenantem Azure AD. Tato integrace umožňuje uživatelům přihlásit se pomocí podnikových přihlašovacích údajů a k zabezpečení přístupu k prostředkům můžete použít existující skupiny a uživatelské účty.

Spravovanou doménu můžete vytvořit pomocí výchozích možností konfigurace pro sítě a synchronizaci nebo můžete tato nastavení definovat ručně. V tomto kurzu se ukáže, jak pomocí výchozích možností vytvořit a nakonfigurovat Azure AD DS spravované domény pomocí Azure Portal.

V tomto kurzu se naučíte:

  • Principy požadavků DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Povolení synchronizace hodnoty hash hesel

Pokud ještě nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Musíte mít aktivní předplatné Azure.
  • Tenant Azure Active Directory přidružený k vašemu předplatnému, který je synchronizovaný s místním adresářem nebo adresářem pouze cloudu.
  • K povolení této služby potřebujete v tenantovi Azure AD oprávnění globálního Azure AD DS.
  • K vytvoření požadovaných prostředků pro Azure AD DS Azure potřebujete oprávnění přispěvatele.
  • Virtuální síť se servery DNS, která se může dotazovat na potřebnou infrastrukturu, jako je úložiště. Servery DNS, které nemůžou provádět obecné internetové dotazy, můžou bránit v vytvoření spravované domény.

I když se pro Azure AD DS nevyžaduje, doporučuje se nakonfigurovat samoobslužné resetování hesla (SSPR) pro tenanta Azure AD. Uživatelé si mohou změnit heslo bez SSPR, ale SSPR pomáhá, když zapomenou heslo a potřebují ho resetovat.

Důležité

Po vytvoření nemůžete spravovanou doménu přesunout do jiného předplatného, skupiny prostředků, oblasti, virtuální sítě nebo podsítě. Při nasazování spravované domény je třeba vybrat nejvhodnější předplatné, skupinu prostředků, oblast, virtuální síť a podsíť.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Azure Portal. Pokud chcete začít, nejprve se přihlaste k Azure Portal.

Vytvoření spravované domény

Pokud chcete spustit průvodce povolením Azure AD Domain Services, proveďte následující kroky:

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.
  2. Do panelu hledání zadejte Domain Services a pak z Azure AD Domain Services hledání zvolte Další.
  3. Na Azure AD Domain Services vyberte Vytvořit. Spustí se Azure AD Domain Services průvodce povolením konfigurace.
  4. Vyberte předplatné Azure, ve kterém chcete vytvořit spravovanou doménu.
  5. Vyberte skupinu prostředků, do které má spravovaná doména patřit. Zvolte Vytvořit novou nebo vyberte existující skupinu prostředků.

Při vytváření spravované domény zadáte název DNS. Při výběru tohoto názvu DNS je třeba vzít v úvahu následující skutečnosti:

  • Předdefinovaný název domény: Ve výchozím nastavení se používá předdefinovaný název domény adresáře (přípona .onmicrosoft.com ). Pokud chcete povolit zabezpečený přístup LDAP ke spravované doméně přes internet, nemůžete vytvořit digitální certifikát pro zabezpečení připojení s touto výchozí doménou. Microsoft vlastní doménu .onmicrosoft.com, takže certifikační autorita (CA) nevydá certifikát.
  • Vlastní názvy domén: Nejběžnějším přístupem je zadání vlastního názvu domény, obvykle názvu, který už vlastníte a je směrovatelný. Při použití směrovatelné vlastní domény může provoz správně proudit podle potřeby pro podporu vašich aplikací.
  • Nesměšitelné přípony domény: Obecně doporučujeme, abyste se vyhnuli nesmyšitelné příponě názvu domény, například contoso.local. Přípona .local není směrovatelná a může způsobit problémy s překladem DNS.

Tip

Pokud vytvoříte vlastní název domény, starají se o existující obory názvů DNS. Doporučuje se použít název domény oddělený od jakéhokoli existujícího oboru názvů Azure nebo místního oboru názvů DNS.

Pokud například máte existující obor názvů DNS s názvem contoso.com, vytvořte spravovanou doménu s vlastním názvem domény aaddscontoso.com. Pokud potřebujete použít protokol Secure LDAP, musíte tento vlastní název domény zaregistrovat a vlastnit, abyste vygeneroval požadované certifikáty.

Možná budete muset vytvořit další záznamy DNS pro další služby ve vašem prostředí nebo podmíněné služby předávání DNS mezi existujícími obory názvů DNS ve vašem prostředí. Pokud například spustíte webový server, který je hostitelem lokality pomocí kořenového názvu DNS, mohou docházet ke konfliktům názvů, které vyžadují další položky DNS.

V těchto kurzech a článcích s návody se jako aaddscontoso.com používá vlastní doména služby. Ve všech příkazech zadejte vlastní název domény.

Platí také následující omezení názvů DNS:

  • Omezení předpon domény: Nemůžete vytvořit spravovanou doménu s předponou delší než 15 znaků. Předpona zadaného názvu domény (například aaddscontoso v názvu aaddscontoso.com domény) musí obsahovat 15 nebo méně znaků.
  • Konflikty názvů sítí: Název domény DNS pro vaši spravovanou doménu by už ve virtuální síti neměl existovat. Konkrétně zkontrolujte následující scénáře, které by vedlo ke konfliktu názvů:
    • Pokud už ve virtuální síti Azure máte doménu Active Directory se stejným názvem domény DNS.
    • Pokud má virtuální síť, ve které plánujete povolit spravovanou doménu, připojení VPN k místní síti. V tomto scénáři se ujistěte, že v místní síti nemáte doménu se stejným názvem domény DNS.
    • Pokud ve virtuální síti Azure máte existující cloudovou službu Azure s tímto názvem.

Vyplňte pole v okně Základy Azure Portal a vytvořte spravovanou doménu:

  1. Zadejte název domény DNS pro vaši spravovanou doménu s ohledem na předchozí body.

  2. Zvolte umístění Azure, ve kterém se má spravovaná doména vytvořit. Pokud zvolíte oblast, která podporuje Zóny dostupnosti Azure, prostředky Azure AD DS se distribuují napříč zónami pro další redundanci.

    Tip

    Zóny dostupnosti jsou jedinečná fyzická umístění uvnitř oblasti Azure. Každou zónu tvoří jedno nebo několik datacenter vybavených nezávislým napájením, chlazením a sítí. Kvůli odolnosti ve všech aktivovaných oblastech existují minimálně tři samostatné zóny.

    Není nic, co byste měli nakonfigurovat pro Azure AD DS které se budou distribuovat napříč zónami. Platforma Azure automaticky zpracovává zónovou distribuci prostředků. Další informace a informace o dostupnosti oblastí najdete v tématu Co jsou Zóny dostupnosti Azure?

  3. SKU určuje výkon a frekvenci zálohování. SKU můžete po vytvoření spravované domény změnit, pokud se změní požadavky nebo požadavky vaší firmy. Další informace najdete v tématu Azure AD DS SKU.

    Pro tento kurz vyberte SKU Standard.

  4. Doménová struktura je logická konstrukce, kterou používá Active Directory Domain Services k seskupení jedné nebo více domén. Ve výchozím nastavení se spravovaná doména vytvoří jako doménová struktura Uživatele. Tento typ doménové struktury synchronizuje všechny objekty z Azure AD, včetně uživatelských účtů vytvořených v místním prostředí AD DS.

    Doménová struktura prostředků synchronizuje pouze uživatele a skupiny vytvořené přímo ve službě Azure AD. Další informace o doménových strukturách prostředků, včetně toho, proč ji můžete použít a jak vytvořit vztahy důvěryhodnosti doménové struktury s místními doménami SLUŽBY AD DS, najdete v Azure AD DS přehled doménovýchstruktur prostředků.

    Pro tento kurz zvolte vytvoření doménové struktury Uživatele.

    Konfigurace základního nastavení pro Azure AD Domain Services doménu

Pokud chcete rychle vytvořit spravovanou doménu, můžete vybrat Zkontrolovat a vytvořit a přijmout další výchozí možnosti konfigurace. Při výběru této možnosti vytvoření se konfiguruje následující výchozí nastavení:

  • Vytvoří virtuální síť s názvem aadds-vnet, která používá rozsah IP adres 10.0.2.0/24.
  • Vytvoří podsíť s názvem aadds-subnet s rozsahem IP adres 10.0.2.0/24.
  • Synchronizuje všechny uživatele z Azure AD do spravované domény.

Vyberte Zkontrolovat a vytvořit a přijměte tyto výchozí možnosti konfigurace.

Nasazení spravované domény

Na stránce Souhrn v průvodci zkontrolujte nastavení konfigurace pro vaši spravovanou doménu. Můžete se vrátit do libovolného kroku průvodce a provést změny. Pokud chcete pomocí těchto možností konfigurace znovu nasadit spravovanou doménu do jiného tenanta Azure AD konzistentním způsobem, můžete si také stáhnout šablonu pro automatizaci.

  1. Pokud chcete vytvořit spravovanou doménu, vyberte Vytvořit. Zobrazí se poznámka, že po vytvoření spravované konfigurace není možné změnit určité možnosti konfigurace, jako je název DNS nebo Azure AD DS síť. Pokud chcete pokračovat, vyberte OK.

  2. Proces zřizování spravované domény může trvat až hodinu. Na portálu se zobrazí oznámení, ve kterém se zobrazuje průběh nasazení služby Azure služba AD DS. Vyberte oznámení, abyste viděli podrobný průběh nasazení.

    Oznámení v Azure Portal probíhajícího nasazení

  3. Stránka se načte s aktualizacemi v procesu nasazení, včetně vytváření nových prostředků ve vašem adresáři.

  4. Vyberte skupinu prostředků, třeba myResourceGroup, a pak vyberte spravovanou doménu ze seznamu prostředků Azure, jako je třeba aaddscontoso.com. Na kartě Přehled se zobrazuje, že se spravovaná doména aktuálně nasazuje. Nemůžete nakonfigurovat spravovanou doménu, dokud není plně zřízené.

    Stav služby Domain Services ve stavu zřizování

  5. Když je spravovaná doména plně zřízena, karta Přehled zobrazuje stav domény jako spuštěno.

    Stav služby Domain Services po úspěšném zřízení

Důležité

Spravovaná doména je přidružená k vašemu tenantovi služby Azure AD. během procesu zřizování vytvoří Azure služba AD DS dvě Enterprise aplikace s názvem služba řadiče domény a AzureActiveDirectoryDomainControllerServices v tenantovi Azure AD. tyto Enterprise aplikace jsou potřeba k obsluhování vaší spravované domény. Tyto aplikace neodstraňujte.

Aktualizace nastavení DNS pro virtuální síť Azure

Po úspěšném nasazení Azure služba AD DS nyní nakonfigurujte virtuální síť tak, aby povolovala jiným připojeným virtuálním počítačům a aplikacím používat spravovanou doménu. Pokud chcete toto připojení poskytnout, aktualizujte nastavení serveru DNS virtuální sítě tak, aby odkazovalo na dvě IP adresy, na kterých je spravovaná doména nasazená.

  1. Karta Přehled pro spravovanou doménu zobrazuje některé požadované kroky konfigurace. První krok konfigurace je aktualizovat nastavení serveru DNS pro vaši virtuální síť. Po správné konfiguraci nastavení DNS se tento krok už nezobrazuje.

    Uvedené adresy jsou řadiče domény pro použití ve virtuální síti. V tomto příkladu jsou tyto adresy 10.0.2.4 a 10.0.2.5. Tyto IP adresy můžete později najít na kartě vlastnosti .

    Konfigurace nastavení DNS pro vaši virtuální síť s Azure AD Domain Services IP adresami

  2. Pokud chcete aktualizovat nastavení serveru DNS pro virtuální síť, klikněte na tlačítko Konfigurovat . Nastavení DNS se automaticky nakonfigurují pro vaši virtuální síť.

Tip

Pokud jste v předchozích krocích vybrali existující virtuální síť, všechny virtuální počítače připojené k síti získají po restartování jenom nové nastavení DNS. virtuální počítače můžete restartovat pomocí Azure Portal, Azure PowerShell nebo rozhraní příkazového řádku Azure.

Povolení uživatelských účtů pro Azure služba AD DS

K ověřování uživatelů ve spravované doméně služba AD DS Azure potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování pomocí protokolu NTLM (NT LAN Manager) a Kerberos. Azure AD negeneruje nebo ukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud nepovolíte služba AD DS Azure pro vašeho tenanta. Z bezpečnostních důvodů Azure AD také neukládá přihlašovací údaje hesla ve formě nešifrovaných textů. Proto služba Azure AD nemůže automaticky generovat tyto hodnoty hash hesla NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.

Poznámka

Po správné konfiguraci budou použitelné hodnoty hash hesel uloženy ve spravované doméně. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.

Informace o synchronizovaných přihlašovacích údajích ve službě Azure AD se nedají znovu použít, pokud později vytvoříte spravovanou doménu – synchronizace hodnot hash hesel se znovu uloží na znovu. Virtuální počítače připojené k doméně nebo uživatelé nebudou moct hned ověřit – Azure AD potřebuje vygenerovat a uložit hodnoty hash hesel v nové spravované doméně.

[Azure AD Connect synchronizace cloudu není v Azure služba AD DS podporovaná.] [/Azure/Active-Directory/Cloud-Sync/What-is-Cloud-Sync # porovnání-mezi-Azure-AD-Connect-a-Cloud-Sync]. aby bylo možné získat přístup k virtuálním počítačům připojeným k doméně, musí být místní uživatelé synchronizováni pomocí Azure AD Connect. další informace najdete v tématu proces synchronizace hodnot hash hesel pro Azure služba AD DS a Azure AD Connect.

postup generování a ukládání hodnot hash hesel se liší pro uživatelské účty, které jsou vytvořené v Azure AD, oproti uživatelským účtům, které jsou synchronizované z místního adresáře pomocí Azure AD Connect.

Uživatelský účet jenom cloudu je účet vytvořený v adresáři služby Azure AD pomocí webu Azure Portal nebo rutin Azure AD PowerShellu. Tyto uživatelské účty se nesynchronizují z místního adresáře.

V tomto kurzu budeme pracovat se základním uživatelským účtem jenom pro Cloud. další informace o dalších krocích potřebných pro použití Azure AD Connect najdete v tématu synchronizace hodnot hash hesel u uživatelských účtů synchronizovaných z místní služby AD do spravované domény.

Tip

Pokud má tenant služby Azure AD kombinaci uživatelů jenom pro Cloud a uživatelů z místní služby AD, musíte dokončit obě sady kroků.

U uživatelských účtů jenom pro Cloud musí uživatelé změnit svoje heslo, aby mohli používat Azure služba AD DS. Tento proces změny hesla způsobí, že se ve službě Azure AD vygenerují a ukládají hodnoty hash hesel pro ověřování pomocí protokolu Kerberos a NTLM. Účet není synchronizovaný z Azure AD do Azure služba AD DS, dokud se nezmění heslo. Buď vyprší platnost hesel pro všechny uživatele cloudu v tenantovi, kteří potřebují používat Azure služba AD DS, což vynutí změnu hesla při příštím přihlašování, nebo dá uživatelům v cloudu pokyn, aby ručně změnili hesla. V tomto kurzu ručně změníte heslo uživatele.

Než bude moct uživatel resetovat heslo, musí být tenant služby Azure AD nakonfigurovaný pro Samoobslužné resetování hesla.

Chcete-li změnit heslo pouze pro cloudového uživatele, musí uživatel provést následující kroky:

  1. Přejděte na stránku přístupového panelu Azure AD na adrese https://myapps.microsoft.com .

  2. V pravém horním rohu vyberte své jméno a pak v rozevírací nabídce vyberte možnost profil .

    Výběr profilu

  3. Na stránce profil vyberte změnit heslo.

  4. Na stránce změnit heslo zadejte stávající (staré) heslo a pak zadejte a potvrďte nové heslo.

  5. Vyberte Odeslat.

Může to trvat několik minut, než se změní heslo pro nové heslo, aby bylo možné použít v Azure služba AD DS a úspěšně se přihlašujete k počítačům připojeným ke spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

  • Pochopení požadavků DNS pro spravovanou doménu
  • Vytvoření spravované domény
  • Přidání uživatelů s právy pro správu do správy domén
  • Povolení uživatelských účtů pro Azure služba AD DS a generování hodnot hash hesel

Před virtuálními počítači připojenými k doméně a nasazením aplikací, které používají spravovanou doménu, nakonfigurujte pro úlohy aplikací službu Azure Virtual Network.

Konfigurace služby Azure Virtual Network pro úlohy aplikací pro použití vaší spravované domény