Implementace a konfigurace služby Microsoft Entra Domain Services
Organizace, které používají výhradně cloudové ID Microsoft Entra, můžou pro virtuální síť Azure povolit službu Microsoft Entra Domain Services a pak získat novou spravovanou doménu. Uživatelé a skupiny v MICROSOFT Entra ID jsou k dispozici v nově vytvořené doméně, která má adresářové služby podobné místní službě AD DS, včetně zásad skupiny, protokolu Kerberos a podpory protokolu LDAP.
Virtuální počítače Azure s Windows můžete připojit k nově vytvořené doméně a můžete je spravovat pomocí základních nastavení zásad skupiny. Povolením služby Microsoft Entra Domain Services jsou hodnoty hash přihlašovacích údajů vyžadované pro ověřování protokolem NTLM a Kerberos uloženy v Microsoft Entra ID.
Společnost Contoso je hybridní organizace, a proto může integrovat své identity ze své místní služby AD DS se službou Microsoft Entra Domain Services pomocí služby Microsoft Entra Připojení. Uživatelé v hybridních organizacích můžou mít stejné prostředí při přístupu k prostředkům založeným na doméně v místní infrastruktuře nebo při přístupu k prostředkům z virtuálních počítačů spuštěných ve virtuální síti Azure, která se integruje se službou Microsoft Entra Domain Services.
Implementace služby Microsoft Entra Domain Services
Pokud chcete implementovat, konfigurovat a používat službu Microsoft Entra Domain Services, musíte mít tenanta Microsoft Entra vytvořený v předplatném Microsoft Entra. Kromě toho, pokud chcete používat službu Microsoft Entra Domain Services, musíte mít nasazenou synchronizaci hodnot hash hesel s microsoft entra Připojení. To je nezbytné, protože služba Microsoft Entra Domain Services poskytuje ověřování protokolem NTLM a Kerberos, takže jsou vyžadovány přihlašovací údaje uživatelů.
Když pro svého tenanta povolíte službu Microsoft Entra Domain Services, musíte vybrat název domény DNS, který použijete pro tuto službu. Musíte také vybrat doménu, kterou budete synchronizovat s místním prostředím.
Upozornění
Neměli byste používat existující prostor názvů domén DNS nebo Azure v místním prostředí.
Následující tabulka popisuje dostupné možnosti názvu domény DNS.
| Možnost | Popis |
|---|---|
| Předdefinovaný název domény | Ve výchozím nastavení se používá předdefinovaný název domény adresáře (přípona .onmicrosoft.com). Pokud chcete povolit zabezpečený přístup LDAP ke spravované doméně přes internet, nemůžete vytvořit digitální certifikát pro zabezpečení připojení k této výchozí doméně. Microsoft vlastní doménu .onmicrosoft.com, takže certifikační autorita (CA) nevydá certifikát. |
| Vlastní názvy domén | Nejběžnějším přístupem je zadat vlastní název domény, obvykle takový, který už vlastníte a který je směrovatelný. Pokud používáte směrovatelnou vlastní doménu, provoz může podle potřeby správně tokovat, aby podporoval vaše aplikace. |
| Nesměrovatelné přípony domény | Obecně doporučujeme vyhnout se nesměrovatelné příponě názvu domény, například contoso.local. Přípona .local není směrovatelná a může způsobit problémy s překladem DNS. |
Tip
Možná budete muset vytvořit další záznamy DNS pro jiné služby ve vašem prostředí nebo podmíněné služby předávání DNS mezi existujícími obory názvů DNS ve vašem prostředí.
Během implementace musíte také vybrat, jaký typ doménové struktury se má zřídit. Doménová struktura je logická konstrukce používaná službou AD DS k seskupení jedné nebo více domén. Existují dva typy doménové struktury, jak je popsáno v následující tabulce.
| Typ doménové struktury | Popis |
|---|---|
| User | Tento typ doménové struktury synchronizuje všechny objekty z ID Microsoft Entra, včetně všech uživatelských účtů vytvořených v místním prostředí SLUŽBY AD DS. |
| Zdroj | Tento typ doménové struktury synchronizuje pouze uživatele a skupiny vytvořené přímo v ID Microsoft Entra. |
Dále budete muset zvolit umístění Azure, ve kterém se má spravovaná doména vytvořit. Pokud zvolíte oblast, která podporuje zóny dostupnosti, prostředky služby Microsoft Entra Domain Services se distribuují napříč zónami kvůli další redundanci.
Poznámka:
Nemusíte konfigurovat službu Microsoft Entra Domain Services tak, aby se distribuoval napříč zónami. Platforma Azure automaticky spravuje distribuci zón prostředků.
Musíte také vybrat virtuální síť, ke které tuto službu připojíte. Vzhledem k tomu, že služba Microsoft Entra Domain Services poskytuje funkce pro místní prostředky, musíte mít virtuální síť mezi místním prostředím a prostředím Azure.
Během zřizování vytvoří služba Microsoft Entra Domain Services ve vašem tenantovi Microsoft Entra dvě podnikové aplikace. Tyto aplikace jsou potřeba ke službě spravované domény, a proto byste tyto aplikace neměli odstraňovat. Podnikové aplikace:
- Služby řadiče domény.
- AzureActiveDirectoryDomainControllerServices.
Po nasazení instance služby Microsoft Entra Domain Services musíte virtuální síť nakonfigurovat tak, aby umožňovala ostatním připojeným virtuálním počítačům a aplikacím používat spravovanou doménu. Pokud chcete toto připojení poskytnout, musíte aktualizovat nastavení serveru DNS pro vaši virtuální síť tak, aby odkazovat na IP adresy přidružené k vaší instanci služby Microsoft Entra Domain Services.
K ověřování uživatelů ve spravované doméně potřebuje služba Microsoft Entra Domain Services hodnoty hash hesel ve formátu, který je vhodný pro ověřování protokolem NTLM a Kerberos. Microsoft Entra ID nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Microsoft Entra Domain Services. Zbezpečnostních Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů. Po nakonfigurování použitelných hodnot hash hesel se uloží do domény spravované službou Microsoft Entra Domain Services.
Poznámka:
Pokud odstraníte doménu spravovanou službou Microsoft Entra Domain Services, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.
Synchronizované informace o přihlašovacích údajích v ID Microsoft Entra se nedají znovu použít, pokud později vytvoříte doménu spravovanou službou Microsoft Entra Domain Services . Synchronizaci hodnot hash hesel je nutné znovu nakonfigurovat, aby se hodnoty hash hesel ukládaly znovu. Dříve připojené virtuální počítače nebo uživatelé k doméně se nebudou moct okamžitě ověřit – ID Microsoft Entra potřebuje vygenerovat a uložit hodnoty hash hesel v nové spravované doméně služby Microsoft Entra Domain Services.
Postup vygenerování a ukládání těchto hodnot hash hesel se liší pro uživatelské účty pouze v cloudu vytvořené v Microsoft Entra ID a uživatelské účty synchronizované z místního adresáře pomocí microsoft Entra Připojení. Uživatelský účet jen pro cloud je účet, který byl vytvořen v adresáři Microsoft Entra pomocí webu Azure Portal nebo rutin Prostředí Microsoft Graph PowerShell . Tyto uživatelské účty se nesynchronují z místního adresáře.
V případě uživatelských účtů jen pro cloud musí uživatelé před použitím služby Microsoft Entra Domain Services změnit svá hesla. Tento proces změny hesla způsobí vygenerování a uložení hodnot hash hesel pro ověřování kerberos a ověřování NTLM v Microsoft Entra ID. Účet se nesynchronuje z ID Microsoft Entra do služby Microsoft Entra Domain Services, dokud se nezmění heslo. Buď vyprší platnost hesel pro všechny cloudové uživatele v tenantovi, kteří potřebují používat službu Microsoft Entra Domain Services, která vynutí změnu hesla při příštím přihlášení, nebo dát cloudovým uživatelům pokyn, aby svá hesla změnili ručně.
Tip
Než uživatel může resetovat heslo, musíte nakonfigurovat tenanta Microsoft Entra pro samoobslužné resetování hesla.
Další čtení
Další informace najdete v následujících dokumentech.
- Kurz: Vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services s pokročilými možnostmi konfigurace
- Kurz: Vytvoření vztahu důvěryhodnosti odchozí doménové struktury k místní doméně ve službě Microsoft Entra Domain Services (Preview)
- Implementujte synchronizaci hodnot hash hesel se službou Microsoft Entra Připojení Sync.