Tutorial: Erstellen und Konfigurieren einer Azure Active Directory Domain Services-InstanzTutorial: Create and configure an Azure Active Directory Domain Services instance

Azure Active Directory Domain Services (Azure AD DS) stellt verwaltete Domänendienste bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos-/NTLM-Authentifizierung, die mit Windows Server Active Directory vollständig kompatibel sind.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Sie können diese Domänendienste nutzen, ohne selbst Domänencontroller bereitstellen, verwalten und patchen zu müssen.You consume these domain services without deploying, managing, and patching domain controllers yourself. Azure AD DS lässt sich in Ihren vorhandenen Azure AD-Mandanten integrieren.Azure AD DS integrates with your existing Azure AD tenant. Dank dieser Integration können Benutzer sich mit ihren Unternehmensanmeldeinformationen anmelden, und Sie können vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen zu sichern.This integration lets users sign in using their corporate credentials, and you can use existing groups and user accounts to secure access to resources.

Sie können eine verwaltete Domäne mit den Standardkonfigurationsoptionen für Netzwerk und Synchronisierung erstellen oder diese Einstellungen manuell festlegen.You can create a managed domain using default configuration options for networking and synchronization, or manually define these settings. Dieses Tutorial zeigt Ihnen, wie Sie die Standardoptionen zum Erstellen und Konfigurieren einer Azure AD DS-Instanz im Azure-Portal verwenden.This tutorial shows how to use default options to create and configure an Azure AD DS instance using the Azure portal.

In diesem Tutorial lernen Sie Folgendes:In this tutorial, you learn how to:

  • Grundlegendes zu den DNS-Anforderungen für eine verwaltete DomäneUnderstand DNS requirements for a managed domain
  • Erstellen einer Azure AD DS-InstanzCreate an Azure AD DS instance
  • Aktivieren der KennworthashsynchronisierungEnable password hash synchronization

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.If you don’t have an Azure subscription, create an account before you begin.

VoraussetzungenPrerequisites

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:To complete this tutorial, you need the following resources and privileges:

  • Ein aktives Azure-Abonnement.An active Azure subscription.
  • Einen mit Ihrem Abonnement verknüpften Azure Active Directory-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Sie benötigen Berechtigungen als globaler Administrator in Ihrem Azure AD-Mandanten, um Azure AD DS zu aktivieren.You need global administrator privileges in your Azure AD tenant to enable Azure AD DS.
  • Sie benötigen Berechtigungen als Mitwirkender in Ihrem Azure-Abonnement, um die erforderlichen Azure AD DS-Ressourcen zu erstellen.You need Contributor privileges in your Azure subscription to create the required Azure AD DS resources.

Es ist bei Azure AD DS zwar nicht erforderlich, für den Azure AD-Mandanten die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) zu konfigurieren, es wird jedoch empfohlen.Although not required for Azure AD DS, it's recommended to configure self-service password reset (SSPR) for the Azure AD tenant. Benutzer können Ihr Kennwort ohne SSPR ändern. SSPR ist jedoch hilfreich, wenn Benutzer ihr Kennwort vergessen haben und es zurücksetzen müssen.Users can change their password without SSPR, but SSPR helps if they forget their password and need to reset it.

Wichtig

Nach der Erstellung einer verwalteten Azure AD DS-Domäne können Sie die Instanz nicht in eine andere Ressourcengruppe, ein anderes virtuelles Netzwerk, ein anderes Abonnement usw. verschieben. Wählen Sie bei der Bereitstellung der Azure AD DS-Instanz das am besten geeignete Abonnement, die am besten geeignete Ressourcengruppe und Region und das am besten geeignete virtuelle Netzwerk aus.After you create an Azure AD DS managed domain, you can't then move the instance to a different resource group, virtual network, subscription, etc. Take care to select the most appropriate subscription, resource group, region, and virtual network when you deploy the Azure AD DS instance.

Melden Sie sich auf dem Azure-Portal an.Sign in to the Azure portal

In diesem Tutorial erstellen und konfigurieren Sie eine Azure AD DS-Instanz im Azure-Portal.In this tutorial, you create and configure the Azure AD DS instance using the Azure portal. Melden Sie sich zunächst beim Azure-Portal an.To get started, first sign in to the Azure portal.

Erstellen einer InstanzCreate an instance

Um den Assistenten zum Aktivieren von Azure AD Domain Services zu starten, führen Sie die folgenden Schritte aus:To launch the Enable Azure AD Domain Services wizard, complete the following steps:

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.On the Azure portal menu or from the Home page, select Create a resource.
  2. Geben Sie Domain Services in die Suchleiste ein, und wählen Sie Azure AD Domain Services aus den Suchvorschlägen aus.Enter Domain Services into the search bar, then choose Azure AD Domain Services from the search suggestions.
  3. Klicken Sie auf der Seite „Azure AD Domain Services“ auf Erstellen.On the Azure AD Domain Services page, select Create. Der Assistent zum Aktivieren von Azure AD Domain Services wird gestartet.The Enable Azure AD Domain Services wizard is launched.
  4. Wählen Sie das Azure-Abonnement, in dem Sie die verwaltete Domäne erstellen möchten.Select the Azure Subscription in which you would like to create the managed domain.
  5. Wählen Sie die Ressourcengruppe, zu der die verwaltete Domäne gehören soll.Select the Resource group to which the managed domain should belong. Klicken Sie auf Neu erstellen, oder wählen Sie eine vorhandene Ressourcengruppe aus.Choose to Create new or select an existing resource group.

Beim Erstellen einer Azure AD DS-Instanz geben Sie einen DNS-Namen an.When you create an Azure AD DS instance, you specify a DNS name. Bei der Auswahl dieses DNS-Namens sind folgende Aspekte zu berücksichtigen:There are some considerations when you choose this DNS name:

  • Integrierter Domänenname: Standardmäßig wird der integrierte Domänenname des Verzeichnisses verwendet (das Suffix .onmicrosoft.com).Built-in domain name: By default, the built-in domain name of the directory is used (a .onmicrosoft.com suffix). Wenn Sie Secure LDAP für den Zugriff auf die verwaltete Domäne über das Internet aktivieren möchten, können Sie kein digitales Zertifikat erstellen, um die Verbindung mit dieser Standarddomäne zu sichern.If you wish to enable secure LDAP access to the managed domain over the internet, you can't create a digital certificate to secure the connection with this default domain. Die Domäne .onmicrosoft.com ist im Besitz von Microsoft, daher stellt keine Zertifizierungsstelle ein Zertifikat aus.Microsoft owns the .onmicrosoft.com domain, so a Certificate Authority (CA) won't issue a certificate.
  • Benutzerdefinierte Domänennamen: Die gängigste Vorgehensweise besteht darin, einen benutzerdefinierten Domänennamen anzugeben – in der Regel den Namen einer Domäne, die Sie bereits besitzen und die routingfähig ist.Custom domain names: The most common approach is to specify a custom domain name, typically one that you already own and is routable. Wenn Sie eine routingfähige benutzerdefinierte Domäne verwenden, kann der Datenverkehr ordnungsgemäß und bedarfsgerecht weitergeleitet werden, um Ihre Anwendungen zu unterstützen.When you use a routable, custom domain, traffic can correctly flow as needed to support your applications.
  • Nicht routingfähige Domänensuffixe: Im Allgemeinen wird empfohlen, nicht routingfähige Domänennamesuffixe wie z. B. contoso.local zu vermeiden.Non-routable domain suffixes: We generally recommend that you avoid a non-routable domain name suffix, such as contoso.local. Das Suffix .local ist nicht routingfähig und kann zu Problemen mit der DNS-Auflösung führen.The .local suffix isn't routable and can cause issues with DNS resolution.

Tipp

Lassen Sie beim Erstellen eines benutzerdefinierten Domänennamens Vorsicht in Bezug auf DNS-Namespaces walten.If you create a custom domain name, take care with existing DNS namespaces. Es wird empfohlen, ein eindeutiges Präfix für den Domänennamen einzuschließen.It's recommended to include a unique prefix for the domain name. Lautet Ihr DNS-Stammname beispielsweise contoso.com, erstellen Sie eine verwaltete Azure AD DS-Domäne mit dem benutzerdefinierten Domänennamen corp.contoso.com oder ds.contoso.com.For example, if your DNS root name is contoso.com, create an Azure AD DS managed domain with the custom domain name of corp.contoso.com or ds.contoso.com. In einer Hybridumgebung mit einer lokalen AD DS-Umgebung werden diese Präfixe unter Umständen bereits verwendet.In a hybrid environment with an on-premises AD DS environment, these prefixes may already be in use. Verwenden Sie ein eindeutiges Präfix für Azure AD DS.Use a unique prefix for Azure AD DS.

Sie können den DNS-Stammnamen für Ihre verwaltete Azure AD DS-Domäne verwenden, müssen aber möglicherweise einige zusätzliche DNS-Einträge für andere Dienste in Ihrer Umgebung erstellen.You can use the root DNS name for your Azure AD DS managed domain, but you may need to create some additional DNS records for other services in your environment. Beispiel: Wenn Sie einen Webserver ausführen, der unter Verwendung des DNS-Stammnamens eine Website hostet, können Namenskonflikte auftreten, aufgrund derer zusätzliche DNS-Einträge erforderlich sind.For example, if you run a webserver that hosts a site using the root DNS name, there can be naming conflicts that require additional DNS entries.

In diesen Tutorials und Anleitungen wird die benutzerdefinierte Domäne contoso.com als kurzes Beispiel verwendet.In these tutorials and how-to articles, the custom domain of contoso.com is used as a short example. Geben Sie in allen Befehlen Ihren eigenen Domänennamen an, der unter Umständen ein eindeutiges Präfix enthält.In all commands, specify your own domain name, which may include a unique prefix.

Weitere Informationen finden Sie unter Auswählen eines Namenspräfixes für die Domäne.For more information, see Select a naming prefix for the domain.

Es gelten außerdem die folgenden Einschränkungen für DNS-Namen:The following DNS name restrictions also apply:

  • Einschränkungen für Domänenpräfixe: Sie können keine verwaltete Domäne mit einem Präfix erstellen, das länger ist als 15 Zeichen.Domain prefix restrictions: You can't create a managed domain with a prefix longer than 15 characters. Das Präfix des angegebenen Domänennamens (beispielsweise contoso im Domänennamen contoso.com) darf maximal 15 Zeichen lang sein.The prefix of your specified domain name (such as contoso in the contoso.com domain name) must contain 15 or fewer characters.
  • Netzwerknamenskonflikte: Der DNS-Domänenname für Ihre verwaltete Domäne darf im virtuellen Netzwerk noch nicht vorhanden sein.Network name conflicts: The DNS domain name for your managed domain shouldn't already exist in the virtual network. Achten Sie speziell auf die folgenden Szenarien, die zu einem Namenskonflikt führen würden:Specifically, check for the following scenarios that would lead to a name conflict:
    • Im virtuellen Azure-Netzwerk ist bereits eine Active Directory-Domäne mit dem gleichen DNS-Domänennamen vorhanden.If you already have an Active Directory domain with the same DNS domain name on the Azure virtual network.
    • Das virtuelle Netzwerk, in dem Sie die verwaltete Domäne aktivieren möchten, verfügt über eine VPN-Verbindung mit Ihrem lokalen Netzwerk.If the virtual network where you plan to enable the managed domain has a VPN connection with your on-premises network. In diesem Szenario stellen Sie sicher, dass Sie keine Domäne mit demselben DNS-Domänennamen in Ihrem lokalen Netzwerk haben.In this scenario, ensure you don't have a domain with the same DNS domain name on your on-premises network.
    • Im virtuellen Azure-Netzwerk ist bereits ein Azure-Clouddienst mit diesem Namen vorhanden.If you have an existing Azure cloud service with that name on the Azure virtual network.

Füllen Sie die Felder im Fenster Grundlagen des Azure-Portals aus, um eine Azure AD DS-Instanz zu erstellen:Complete the fields in the Basics window of the Azure portal to create an Azure AD DS instance:

  1. Geben Sie einen DNS-Domänennamen für Ihre verwaltete Domäne ein, und berücksichtigen Sie dabei die oben genannten Punkte.Enter a DNS domain name for your managed domain, taking into consideration the previous points.

  2. Wählen Sie den Azure-Speicherort, in dem die verwaltete Domäne erstellt werden soll.Choose the Azure Location in which the managed domain should be created. Wenn Sie eine Region mit Unterstützung von Verfügbarkeitszonen auswählen, werden die Azure AD DS-Ressourcen auf mehrere Zonen verteilt, um zusätzliche Redundanz zu erzielen.If you choose a region that supports Availability Zones, the Azure AD DS resources are distributed across zones for additional redundancy.

    Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region.Availability Zones are unique physical locations within an Azure region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Zur Gewährleistung der Resilienz sind in allen aktivierten Regionen mindestens drei separate Zonen vorhanden.To ensure resiliency, there’s a minimum of three separate zones in all enabled regions.

    Für die Verteilung auf Zonen für Azure AD DS fällt für Sie kein Konfigurationsaufwand an.There's nothing for you to configure for Azure AD DS to be distributed across zones. Die Verteilung der Ressourcen auf Zonen wird von der Azure-Plattform automatisch durchgeführt.The Azure platform automatically handles the zone distribution of resources. Weitere Informationen, z. B. zur regionalen Verfügbarkeit, finden Sie unter Was sind Verfügbarkeitszonen in Azure?.For more information and to see region availability, see What are Availability Zones in Azure?

    Konfigurieren der grundlegenden Einstellungen für eine Azure AD Domain Services-Instanz

Zum schnellen Erstellen einer verwalteten Azure AD DS-Domäne können Sie Überprüfen + erstellen auswählen, um zusätzliche Standardkonfigurationsoptionen zu akzeptieren.To quickly create an Azure AD DS managed domain, you can select Review + create to accept additional default configuration options. Bei der Auswahl dieser Erstellungsoption werden die folgenden Standardwerte konfiguriert:The following defaults are configured when you choose this create option:

  • Ein virtuelles Netzwerk mit dem Namen aadds-vnet und dem IP-Adressbereich 10.0.1.0/24 wird erstellt.Creates a virtual network named aadds-vnet that uses the IP address range of 10.0.1.0/24.
  • Ein Subnetz mit dem Namen aadds-subnet und dem IP-Adressbereich 10.0.1.0/24 wird erstellt.Creates a subnet named aadds-subnet using the IP address range of 10.0.1.0/24.
  • Alle Benutzer aus Azure AD werden mit der verwalteten Azure AD DS-Domäne synchronisiert.Synchronizes All users from Azure AD into the Azure AD DS managed domain.
  1. Wählen Sie Überprüfen + erstellen aus, um diese Standardkonfigurationsoptionen zu akzeptieren.Select Review + create to accept these default configuration options.

Bereitstellen der verwalteten DomäneDeploy the managed domain

Überprüfen Sie die Konfigurationseinstellungen für die verwaltete Domäne auf der Seite Summary (Zusammenfassung) des Assistenten.On the Summary page of the wizard, review the configuration settings for the managed domain. Sie können zu jedem Schritt des Assistenten zurückgehen, um Änderungen vorzunehmen.You can go back to any step of the wizard to make changes. Sie können auch eine Vorlage für die Automatisierung herunterladen, um eine verwaltete Azure AD DS-Domäne mit diesen Konfigurationsoptionen auf konsistente Weise in einem anderen Azure AD-Mandanten erneut bereitzustellen.To redeploy an Azure AD DS managed domain to a different Azure AD tenant in a consistent way using these configuration options, you can also Download a template for automation.

  1. Wählen Sie zum Erstellen der verwalteten Domäne Erstellen aus.To create the managed domain, select Create. Ein Hinweis wird angezeigt, dass bestimmte Konfigurationsoptionen, etwa der DNS-Name oder das virtuelle Netzwerk, nach der Erstellung der verwalteten Azure AD DS-Domäne nicht geändert werden können.A note is displayed that certain configuration options such as DNS name or virtual network can't be changed once the Azure AD DS managed has been created. Wählen Sie OK aus, um fortzufahren.To continue, select OK.

  2. Der Prozess der Bereitstellung Ihrer verwalteten Domänen kann bis zu einer Stunde dauern.The process of provisioning your managed domain can take up to an hour. Es wird eine Benachrichtigung angezeigt, die Sie über den Status Ihrer Azure AD DS-Bereitstellung informiert.A notification is displayed in the portal that shows the progress of your Azure AD DS deployment. Wählen Sie die Benachrichtigung aus, um sich den detaillierten Fortschritt Ihrer Bereitstellung anzusehen.Select the notification to see detailed progress for the deployment.

    Benachrichtigung im Azure-Portal über den Fortschritt der Bereitstellung

  3. Die Seite wird mit Aktualisierungen zum Bereitstellungsvorgang geladen, u. a. mit der Erstellung neuer Ressourcen in Ihrem Verzeichnis.The page will load with updates on the deployment process, including the creation of new resources in your directory.

  4. Wählen Sie Ihre Ressourcengruppe aus (z. B. myResourceGroup), und wählen Sie dann aus der Liste der Azure-Ressourcen Ihre Azure AD DS-Instanz aus (z. B. contoso.com).Select your resource group, such as myResourceGroup, then choose your Azure AD DS instance from the list of Azure resources, such as contoso.com. Die Registerkarte Übersicht zeigt an, dass die verwaltete Domäne sich im Status Wird bereitgestellt befindet.The Overview tab shows that the managed domain is currently Deploying. Sie können die verwaltete Domäne erst dann konfigurieren, wenn sie vollständig bereitgestellt ist.You can't configure the managed domain until it's fully provisioned.

    Status „Wird bereitgestellt“ der Domäne

  5. Wenn die verwaltete Domäne vollständig bereitgestellt ist, zeigt die Registerkarte Overview (Übersicht) den Domänenstatus als Running (Wird ausgeführt) an.When the managed domain is fully provisioned, the Overview tab shows the domain status as Running.

    Status der Domäne nach erfolgreicher Bereitstellung

Die verwaltete Domäne wird Ihrem Azure AD-Mandanten zugeordnet.The managed domain is associated with your Azure AD tenant. Während des Bereitstellungsprozesses erstellt Azure AD DS auf Ihrem Azure AD-Mandanten zwei Unternehmensanwendungen mit den Namen Domain Controller Services und AzureActiveDirectoryDomainControllerServices.During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in the Azure AD tenant. Diese Unternehmensanwendungen werden zur Unterstützung Ihrer verwalteten Domäne benötigt.These Enterprise Applications are needed to service your managed domain. Löschen Sie diese Anwendungen nicht.Don't delete these applications.

Aktualisieren der DNS-Einstellungen für das virtuelle Azure-NetzwerkUpdate DNS settings for the Azure virtual network

Nachdem Azure AD DS erfolgreich bereitgestellt wurde, konfigurieren Sie nun das virtuelle Netzwerk so, dass andere verbundene VMs und Anwendungen die verwaltete Domäne verwenden können.With Azure AD DS successfully deployed, now configure the virtual network to allow other connected VMs and applications to use the managed domain. Um diese Konnektivität zu ermöglichen, aktualisieren Sie die DNS-Servereinstellungen für Ihr virtuelles Netzwerk so, dass diese auf die beiden IP-Adressen verweisen, unter denen Azure AD DS bereitgestellt ist.To provide this connectivity, update the DNS server settings for your virtual network to point to the two IP addresses where Azure AD DS is deployed.

  1. Auf der Registerkarte Übersicht für Ihre verwaltete Domäne werden einige erforderliche Konfigurationsschritte angezeigt.The Overview tab for your managed domain shows some Required configuration steps. Der erste Konfigurationsschritt besteht darin, die DNS-Servereinstellungen für Ihr virtuelles Netzwerk zu aktualisieren.The first configuration step is to update DNS server settings for your virtual network. Sobald die DNS-Einstellungen ordnungsgemäß konfiguriert sind, wird dieser Schritt nicht mehr angezeigt.Once the DNS settings are correctly configured, this step is no longer shown.

    Die aufgelisteten Adressen sind die Domänencontroller, die im virtuellen Netzwerk genutzt werden können.The addresses listed are the domain controllers for use in the virtual network. In diesem Beispiel lauten die Adressen 10.1.0.4 und 10.1.0.5.In this example, those addresses are 10.1.0.4 and 10.1.0.5. Sie finden diese IP-Adressen später auf der Registerkarte Eigenschaften.You can later find these IP addresses on the Properties tab.

    Konfigurieren von DNS-Einstellungen für Ihr virtuelles Netzwerk mit den IP-Adressen der Azure AD Domain Services

  2. Klicken Sie auf die Schaltfläche Konfigurieren, um die DNS-Servereinstellungen für das virtuelle Netzwerk zu aktualisieren.To update the DNS server settings for the virtual network, select the Configure button. Die DNS-Einstellungen werden automatisch für Ihr virtuelles Netzwerk konfiguriert.The DNS settings are automatically configured for your virtual network.

Tipp

Wenn Sie in den vorherigen Schritten ein virtuelles Netzwerk ausgewählt haben, erhalten alle VMs, die mit dem Netzwerk verbunden sind, die neuen DNS-Einstellungen erst nach einem Neustart.If you selected an existing virtual network in the previous steps, any VMs connected to the network only get the new DNS settings after a restart. Sie können VMs über das Azure-Portal, mit Azure PowerShell oder mithilfe der Azure CLI neu starten.You can restart VMs using the Azure portal, Azure PowerShell, or the Azure CLI.

Aktivieren von Benutzerkonten für Azure AD DSEnable user accounts for Azure AD DS

Um Benutzer in der verwalteten Domäne authentifizieren zu können, benötigt Azure AD DS Kennworthashes in einem Format, das für die Authentifizierung über NT LAN Manager (NTLM) und Kerberos geeignet ist.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. Azure AD generiert oder speichert erst dann Kennworthashes in dem für die NTLM- oder Kerberos-Authentifizierung erforderlichen Format, wenn Sie Azure AD DS für Ihren Mandanten aktivieren.Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Aus Sicherheitsgründen speichert Azure AD Kennwörter nicht als Klartext.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Daher kann Azure AD diese NTLM- oder Kerberos-Kennworthashes nicht automatisch auf der Grundlage bereits vorhandener Anmeldeinformationen von Benutzern generieren.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Hinweis

Nach entsprechender Konfiguration werden die verwendbaren Kennworthashes in der verwalteten Azure AD DS-Domäne gespeichert.Once appropriately configured, the usable password hashes are stored in the Azure AD DS managed domain. Wenn Sie die verwaltete Azure AD DS-Domäne löschen, werden alle zu diesem Zeitpunkt gespeicherten Kennworthashes ebenfalls gelöscht.If you delete the Azure AD DS managed domain, any password hashes stored at that point are also deleted. Synchronisierte Anmeldeinformationen in Azure AD können nicht wiederverwendet werden, wenn Sie später eine verwaltete Azure AD DS-Domäne erstellen. Sie müssen die Kennworthashsynchronisierung erneut konfigurieren, um die Kennworthashes wieder zu speichern.Synchronized credential information in Azure AD can't be re-used if you later create an Azure AD DS managed domain - you must reconfigure the password hash synchronization to store the password hashes again. VMs oder Benutzer, die zuvor in eine Domäne eingebunden wurden, können sich nicht sofort authentifizieren, weil Azure AD die Kennworthashes in der neuen verwalteten Azure AD DS-Domäne generieren und speichern muss.Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new Azure AD DS managed domain. Weitere Informationen finden Sie unter Prozess der Kennworthashsynchronisierung für Azure AD DS und Azure AD Connect.For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

Zum Generieren und Speichern dieser Kennworthashes müssen für in Azure AD erstellte reine Cloudbenutzerkonten andere Schritte ausgeführt werden als für Benutzerkonten, die mit Azure AD Connect aus Ihrem lokalen Verzeichnis synchronisiert werden.The steps to generate and store these password hashes are different for cloud-only user accounts created in Azure AD versus user accounts that are synchronized from your on-premises directory using Azure AD Connect. Ein reines Cloudbenutzerkonto ist ein Konto, das in Ihrem Azure AD-Verzeichnis über das Azure-Portal oder mithilfe von Azure AD PowerShell-Cmdlets erstellt wurde.A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. Diese Benutzerkonten werden nicht von einem lokalen Verzeichnis aus synchronisiert.These user accounts aren't synchronized from an on-premises directory. In diesem Tutorial verwenden wir ein einfaches, rein cloudbasiertes Benutzerkonto.In this tutorial, let's work with a basic cloud-only user account. Weitere Informationen zu den zusätzlichen Schritten, die für die Verwendung von Azure AD Connect erforderlich sind, finden Sie unter Synchronisieren von Kennworthashes für Benutzerkonten, die von Ihrem lokalen Active Directory aus in Ihrer verwalteten Domäne synchronisiert werden.For more information on the additional steps required to use Azure AD Connect, see Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain.

Tipp

Wenn Ihr Azure AD-Mandant über eine Kombination aus reinen Cloudbenutzern und Benutzern aus Ihrem lokalen Active Directory verfügt, müssen beide Prozeduren durchgeführt werden.If your Azure AD tenant has a combination of cloud-only users and users from your on-premises AD, you need to complete both sets of steps.

Bei reinen Cloudbenutzerkonten müssen Benutzer ihre Kennwörter ändern, bevor sie Azure AD DS verwenden können.For cloud-only user accounts, users must change their passwords before they can use Azure AD DS. Diese Kennwortänderung führt dazu, dass die Kennworthashes für die Kerberos- und NTLM-Authentifizierung in Azure AD generiert und gespeichert werden.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Sie können die Kennwörter für alle Benutzer im Mandanten, die Azure AD DS verwenden müssen, als „abgelaufen“ markieren, wodurch bei der nächsten Anmeldung eine Kennwortänderung erzwungen wird. Alternativ dazu können Sie diese Benutzer anweisen, ihre Kennwörter manuell zu ändern.You can either expire the passwords for all users in the tenant who need to use Azure AD DS, which forces a password change on next sign-in, or instruct them to manually change their passwords. In diesem Tutorial ändern wir ein Benutzerkennwort manuell.For this tutorial, let's manually change a user password.

Bevor ein Benutzer sein Kennwort zurücksetzen kann, muss der Azure AD-Mandant für die Self-Service-Kennwortzurücksetzung konfiguriert werden.Before a user can reset their password, the Azure AD tenant must be configured for self-service password reset.

Wenn Sie reiner Cloudbenutzer sind, müssen Sie zum Ändern des Kennworts folgende Schritte ausführen:To change the password for a cloud-only user, the user must complete the following steps:

  1. Navigieren Sie zum Azure AD-Zugriffsbereich unter https://myapps.microsoft.com.Go to the Azure AD Access Panel page at https://myapps.microsoft.com.

  2. Klicken Sie in der oberen rechten Ecke auf Ihren Namen, und wählen Sie dann aus dem Dropdownmenü die Option Profil aus.In the top-right corner, select your name, then choose Profile from the drop-down menu.

    Auswählen des Profils

  3. Klicken Sie auf der Seite Profil auf Kennwort ändern.On the Profile page, select Change password.

  4. Geben Sie auf der Seite Kennwort ändern Ihr vorhandenes (altes) Kennwort ein. Geben Sie dann ein neues Kennwort ein und bestätigen dies.On the Change password page, enter your existing (old) password, then enter and confirm a new password.

  5. Klicken Sie auf Submit (Senden).Select Submit.

Nach der Kennwortänderung dauert es einige Minuten, bis das neue Kennwort in Azure AD DS verwendet werden kann und Sie sich bei Computern anmelden können, die in die verwaltete Domäne eingebunden sind.It takes a few minutes after you've changed your password for the new password to be usable in Azure AD DS and to successfully sign in to computers joined to the managed domain.

Nächste SchritteNext steps

In diesem Tutorial haben Sie Folgendes gelernt:In this tutorial, you learned how to:

  • Grundlegendes zu den DNS-Anforderungen für eine verwaltete DomäneUnderstand DNS requirements for a managed domain
  • Erstellen einer Azure AD DS-InstanzCreate an Azure AD DS instance
  • Hinzufügen von Administratorbenutzern zur DomänenverwaltungAdd administrative users to domain management
  • Aktivieren von Benutzerkonten für Azure AD DS und Generieren von KennworthashesEnable user accounts for Azure AD DS and generate password hashes

Konfigurieren Sie ein virtuelles Azure-Netzwerk für Anwendungsworkloads, bevor Sie virtuelle Computer in eine Domäne einbinden und Anwendungen bereitstellen, die die verwaltete Azure AD DS-Domäne verwenden.Before you domain-join VMs and deploy applications that use the Azure AD DS managed domain, configure an Azure virtual network for application workloads.