Oktatóanyag: Csatlakozás Windows Servert kiszolgáló virtuális géphez egy Azure Active Directory Domain Services által felügyelt tartományhoz

Azure Active Directory Domain Services (Azure AD DS) olyan felügyelt tartományi szolgáltatásokat biztosít, mint például a tartományhoz való csatlakozás, a csoportházirend, az LDAP, a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directory. A felügyelt Azure AD DS biztosíthatja a tartományhoz való csatlakozás funkcióit és felügyeletét az Azure-beli virtuális gépek számára. Ez az oktatóanyag bemutatja, hogyan hozhat létre Windows kiszolgálói virtuális gépet, majd hogyan csatlakozhat egy felügyelt tartományhoz.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Kiszolgálói Windows létrehozása
  • Csatlakozás virtuális gép Windows Azure-beli virtuális hálózatra
  • A virtuális gép csatlakozása a felügyelt tartományhoz

Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot a kezdés előtt.

Előfeltételek

Az oktatóanyag befejezéséhez a következő erőforrásokra lesz szüksége:

Ha már van egy virtuális gépe, amely tartományhoz szeretne csatlakozni, ugorjon a szakaszra a virtuális gép felügyelt tartományhoz való csatlakozáshoz.

Jelentkezzen be az Azure Portalra

Ebben az oktatóanyagban egy Windows-kiszolgáló virtuális gépet hoz létre, amely a felügyelt tartományhoz csatlakozik a Azure Portal. Első lépésként jelentkezzen be a Azure Portal.

Új Windows-kiszolgáló virtuális gép létrehozása

Ha meg szeretne tudni, hogyan lehet számítógépeket felügyelt tartományhoz csatlakozni, hozzunk létre egy Windows kiszolgálói virtuális gépet. Ez a virtuális gép egy Azure-beli virtuális hálózathoz csatlakozik, amely biztosítja a felügyelt tartományhoz való csatlakozást. A felügyelt tartományhoz való csatlakozás folyamata megegyezik a Tartományi szolgáltatások tartományhoz helyi Active Directory folyamattal.

Ha már van egy virtuális gépe, amely tartományhoz szeretne csatlakozni, ugorjon a szakaszra a virtuális gép felügyelt tartományhoz való csatlakozáshoz.

  1. A Azure Portal vagy a Kezdőlapon válassza az Erőforrás létrehozása lehetőséget.

  2. A Get started (Első lépések)között válassza a Windows Server 2016 Datacenter lehetőséget.

    Choose to create a Windows Server 2016 Datacenter VM in the Azure portal

  3. Az Alapvető beállítások ablakban konfigurálja a virtuális gép alapvető beállításait. A Rendelkezésre állási beállítások,a Rendszerképés a Méret beállításnál hagyja meg az alapértelmezett értékeket.

    Paraméter Ajánlott érték
    Erőforráscsoport Válasszon ki vagy hozzon létre egy erőforráscsoportot, például: myResourceGroup
    Virtuális gép neve Adja meg a virtuális gép nevét, például: myVM
    Region Válassza ki a régiót, ahol a virtuális gépet létre kell hoznia, például az USA keleti régiója
    Felhasználónév Adjon meg egy felhasználónevet a virtuális gépen létrehozható helyi rendszergazdai fiókhoz, például azureuser
    Jelszó Adjon meg, majd erősítse meg a helyi rendszergazda által a virtuális gépen létrehozható biztonságos jelszót. Ne adja meg a tartományi felhasználói fiók hitelesítő adatait.
  4. Alapértelmezés szerint az Azure-ban létrehozott virtuális gépek elérhetők az internetről RDP használatával. Ha az RDP engedélyezve van, az automatikus bejelentkezési támadások valószínűleg le vannak tiltva a gyakori nevekkel (például rendszergazda vagy rendszergazda) rendelkező fiókokat több sikertelen egymást követő bejelentkezési kísérlet miatt.

    Az RDP-t csak szükség esetén szabad engedélyezni, engedélyezett IP-tartományokra korlátozva. Ez a konfiguráció hozzájárul a virtuális gép biztonságának javításához, és csökkenti a potenciális támadási területet. Vagy létrehozhat és használhat egy olyan Azure Bastion gazdagépet, amely csak a TLS-Azure Portal keresztül engedélyezi a hozzáférést. Az oktatóanyag következő lépésében egy virtuális Azure Bastion a virtuális géphez való biztonságos csatlakozáshoz.

    A Nyilvános bejövő portok alatt válasszaa Nincs lehetőséget.

  5. Ha végzett, válassza a Tovább: Lemezek lehetőséget.

  6. Az operációsrendszer-lemez típusának legördülő menüjében válasszaa standard SSD lehetőséget, majd válassza aTovább: Hálózatkezelés lehetőséget.

  7. A virtuális gépnek csatlakoznia kell egy Azure-beli virtuális hálózat alhálózatához, amely képes kommunikálni a felügyelt tartomány üzembe helyezett alhálózatával. Javasoljuk, hogy a felügyelt tartományt a saját dedikált alhálózatán telepítse. Ne ugyanabban az alhálózatban telepítse a virtuális gépet, mint a felügyelt tartományt.

    A virtuális gép üzembe helyezésének és a megfelelő virtuális hálózati alhálózathoz való csatlakozásnak két fő módja van:

    Ha olyan virtuális hálózati alhálózatot választ, amely nem csatlakozik a felügyelt tartomány alhálózatához, nem csatlakoztathatja a virtuális gépet a felügyelt tartományhoz. Ebben az oktatóanyagban hozzunk létre egy új alhálózatot az Azure-beli virtuális hálózatban.

    A Hálózat panelen válassza ki azt a virtuális hálózatot, amelyben a felügyelt tartomány üzembe van va, például aaads-vnet

  8. Ebben a példában a meglévő aaads-subnet azt mutatja, hogy a felügyelt tartomány csatlakozik. Ne csatlakoztassa a virtuális gépet ehhez az alhálózathoz. A virtuális gép alhálózatának létrehozásához válassza az Alhálózat konfigurációjának kezelése lehetőséget.

    Choose to manage the subnet configuration in the Azure portal

  9. A virtuális hálózat ablakának bal oldali menüjében válassza a Címtér lehetőséget. A virtuális hálózat egyetlen, 10.0.2.0/24címterülettel jön létre, amelyet az alapértelmezett alhálózat használ. Előfordulhat, hogy más alhálózatok is léteznek, például számítási feladatokhoz Azure Bastion alhálózatok.

    Adjon hozzá egy további IP-címtartományt a virtuális hálózathoz. Ennek a címtartománynak a mérete és a tényleges használni kívánt IP-címtartomány a már üzembe helyezett egyéb hálózati erőforrásoktól függ. Az IP-címtartomány nem lehet átfedésben az Azure- vagy helyszíni környezetben meglévő címtartományokkal. Ügyeljen arra, hogy az IP-címtartományt elég nagy méretűre méretezné az alhálózatban üzembe helyezni kívánt virtuális gépek számára.

    A következő példában egy további 10.0.5.0/24 IP-címtartományt adunk hozzá. Ha elkészült, válassza a Mentés lehetőséget.

    Add an additional virtual network IP address range in the Azure portal

  10. Ezután a virtuális hálózat ablakának bal oldali menüjében válassza az Alhálózatok lehetőséget, majdválassza a + Alhálózat lehetőséget egy alhálózat hozzáadásához.

  11. Válassza a + Alhálózatlehetőséget, majd adja meg az alhálózat nevét, például: felügyelet. Adjon meg egy címtartományt (CIDR-blokkot),például: 10.0.5.0/24. Győződjön meg arról, hogy ez az IP-címtartomány nincs átfedésben más meglévő Azure- vagy helyszíni címtartományokkal. Hagyja meg a többi beállítás alapértelmezett értékét, majd kattintson az OK gombra.

    Create a subnet configuration in the Azure portal

  12. Az alhálózat létrehozása néhány másodpercet vesz igénybe. Miután létrejött, az X-szel zárja be az alhálózati ablakot.

  13. A virtuális gép létrehozásához a Hálózat panelre visszatérve válassza ki a létrehozott alhálózatot a legördülő menüből, például a felügyelet lehetőséget. Győződjön meg arról, hogy a megfelelő alhálózatot választotta ki, és ne ugyanabban az alhálózatban telepítse a virtuális gépet, mint a felügyelt tartományt.

  14. A Nyilvános IP-címmezőben válassza a Nincs lehetőséget a legördülő menüből. Mivel az oktatóanyag Azure Bastion használ a felügyelethez való csatlakozáshoz, nincs szükség a virtuális géphez rendelt nyilvános IP-címre.

  15. Hagyja meg a többi beállítás alapértelmezett értékét, majd válassza a Felügyelet lehetőséget.

  16. A Rendszerindítási diagnosztika beállításnál adja meg a Ki adatokat. Hagyja meg a többi beállítás alapértelmezett értékét, majd válassza az Áttekintés + létrehozás lehetőséget.

  17. Tekintse át a virtuális gép beállításait, majd válassza a Létrehozás lehetőséget.

A virtuális gép létrehozása néhány percet vesz igénybe. A Azure Portal az üzembe helyezés állapotát jeleníti meg. Ha a virtuális gép elkészült, válassza az Ugrás az erőforráshoz lehetőséget.

Go to the VM resource in the Azure portal once it's successfully created

Csatlakozás virtuális gép Windows virtuális géphez

A virtuális gépekhez való biztonságos csatlakozáshoz használjon egy Azure Bastion gazdagépet. A Azure Bastion egy felügyelt gazdagépet helyez üzembe a virtuális hálózatban, és webalapú RDP- vagy SSH-kapcsolatokat biztosít a virtuális gépekhez. A virtuális gépekhez nincs szükség nyilvános IP-címekre, és nem kell megnyitnia a hálózati biztonsági csoport szabályait a külső távoli forgalomhoz. A virtuális gépekhez a böngészőből Azure Portal csatlakozhat. Szükség esetén hozzon létre egy Azure Bastion gazdagépet.

Ha Bastion-gazdagépet szeretne használni a virtuális géphez való csatlakozáshoz, kövesse az alábbi lépéseket:

  1. A virtuális gép Áttekintés panelen válassza a Csatlakozás,majd a Bastion lehetőséget.

    Connect to Windows virtual machine using Bastion in the Azure portal

  2. Adja meg a virtuális gép előző szakaszban megadott hitelesítő adatait, majd válassza a Csatlakozás.

    Connect through the Bastion host in the Azure portal

Ha szükséges, engedélyezze, hogy a webböngésző felugró ablakokat nyisson meg a Bastion-kapcsolat megjelenítéséhez. A virtuális géphez való csatlakozás néhány másodpercet vesz igénybe.

A virtuális gép csatlakozása a felügyelt tartományhoz

Most, hogy létrejött a virtuális gép, és létrejött egy webalapú RDP-kapcsolat a Azure Bastion használatával, most csatlakoztatjuk az Windows Server virtuális gépet a felügyelt tartományhoz. Ez a folyamat megegyezik a Tartományi szolgáltatások tartományhoz helyi Active Directory számítógépével.

  1. Ha a Kiszolgálókezelő nem nyílik meg alapértelmezés szerint, amikor bejelentkezik a virtuális gépre, válassza a Start menüt, majd válassza a Kiszolgálókezelő lehetőséget.

  2. A Kiszolgálókezelő ablak bal oldali panelen válassza a Helyi kiszolgáló lehetőséget. A jobb oldali panel Tulajdonságok alatt válassza a Munkacsoport lehetőséget.

    Open Server Manager on the VM and edit the workgroup property

  3. A Rendszer tulajdonságai ablakban válassza a Módosítás lehetőséget a felügyelt tartományhoz való csatlakozáshoz.

    Choose to change the workgroup or domain properties

  4. A Tartomány mezőben adja meg a felügyelt tartomány nevét ( például aaddscontoso.com, majd kattintson az OK gombra.

    Specify the managed domain to join

  5. A tartományhoz való csatlakozáshoz adja meg a tartományi hitelesítő adatokat. Adjon meg hitelesítő adatokat egy olyan felhasználó számára, aki a felügyelt tartomány része. A fióknak a felügyelt tartomány vagy az Azure AD-bérlő részének kell lennie – az Azure AD-bérlőhöz társított külső könyvtárakból származó fiókok nem hitelesíthetők megfelelően a tartományhoz való csatlakozás folyamata során.

    A fiók hitelesítő adatai a következő módokon adatokat adva adatokat adva:

    • UPN formátum (ajánlott) – Adja meg a felhasználói fiók egyszerű felhasználónevének (UPN) utótagját az Azure AD-ban konfigurált módon. Például a contosoadmin felhasználó UPN-utótagja a következő lenne: . Van néhány gyakori eset, amikor az UPN formátum megbízhatóan használható a tartományba való bejelentkezéshez a SAMAccountName formátum helyett:
      • Ha egy felhasználó UPN-előtagja hosszú ,például deehasareallylongname,a SAMAccountName automatikusan generálható.
      • Ha az Azure AD-bérlőben több felhasználó is ugyanaz az UPN-előtaggal rendelkezik (például dee,a SAMAccountName formátuma automatikusan létre lesz hozva).
    • SAMAccountName formátum – Adja meg a fiók nevét SAMAccountName formátumban. A contosoadmin felhasználó SAMAccountName tulajdonsága például a következő lenne: .
  6. A felügyelt tartományhoz való csatlakozás néhány másodpercet vesz igénybe. Ha elkészült, a következő üzenet üdvözli Önt a tartományban:

    Welcome to the domain

    A folytatáshoz kattintson az OK gombra.

  7. A felügyelt tartományhoz való csatlakozás folyamatának befejezéséhez indítsa újra a virtuális gépet.

Tipp

A PowerShell használatával tartományhoz csatlakozhat egy virtuális géphez az Add-Computer parancsmaggal. Az alábbi példa az AADDSCONTOSO tartományhoz csatlakozik, majd újraindítja a virtuális gépet. Amikor a rendszer kéri, adja meg a felügyelt tartomány részét képezi felhasználó hitelesítő adatait:

Add-Computer -DomainName AADDSCONTOSO -Restart

A Set-AzVmAdDomainExten Azure PowerShell sion parancsmag használatával anélkül csatlakoztathat tartományhoz egy virtuális gépet, hogy csatlakozna hozzá, és manuálisan konfigurálja a kapcsolatot.

A Windows virtuális gép újraindítása után a felügyelt tartományban alkalmazott szabályzatok leküldve érvénybe lépnek a virtuális gépnek. Most már bejelentkezhet az Windows-kiszolgáló virtuális gépre a megfelelő tartományi hitelesítő adatokkal.

Az erőforrások eltávolítása

A következő oktatóanyagban ezt a virtuális gépet Windows a felügyelt tartomány felügyeletére használható felügyeleti eszközök telepítéséhez. Ha nem szeretné folytatni az oktatóanyag-sorozatot, tekintse át a következő törlési lépéseket a virtuális gép törléséhez. Egyéb esetben folytassa a következő oktatóanyagokkal.

A virtuális gép és a felügyelt tartomány között való lecsatlakozás

Ha el szeretné távolítani a virtuális gépet a felügyelt tartományból, kövesse ismét a lépéseket a virtuális gép tartományhoz való csatlakozáshoz. A felügyelt tartományhoz való csatlakozás helyett válasszon egy munkacsoporthoz, például az alapértelmezett MUNKACSOPORThoz. A virtuális gép újraindítása után a számítógép-objektum el lesz távolítva a felügyelt tartományból.

Ha anélkül törli a virtuális gépet, hogy lecsatlakozik a tartományról, egy árva számítógép-objektum marad a Azure AD DS.

A virtuális gép törlése

Ha nem használja ezt a Windows virtuális géphez, törölje a virtuális gépet a következő lépésekkel:

  1. A bal oldali menüben válassza az Erőforráscsoportok lehetőséget.
  2. Válassza ki az erőforráscsoportot, például myResourceGroup.
  3. Válassza ki a virtuális gépet,például myVM,majd válassza a Törlés lehetőséget. Válassza az Igen lehetőséget az erőforrás törlésének megerősítéséhez. A virtuális gép törlése néhány percet vesz igénybe.
  4. A virtuális gép törlésekor jelölje ki az operációsrendszer-lemezt, a hálózati adaptert és a myVM-előtaggal minden más erőforrást, és törölje azokat.

Tartományhoz való csatlakozással kapcsolatos problémák elhárítása

A Windows-kiszolgáló virtuális gépének sikeresen csatlakoznia kell a felügyelt tartományhoz, ugyanúgy, ahogy egy normál helyszíni számítógép is csatlakozna egy Active Directory Domain Services tartományhoz. Ha a Windows virtuális gép nem tud csatlakozni a felügyelt tartományhoz, az azt jelzi, hogy kapcsolati vagy hitelesítő adatokkal kapcsolatos probléma lépett fel. A felügyelt tartományhoz való sikeres csatlakozáshoz tekintse át a következő hibaelhárítási szakaszokat.

Csatlakozási problémák

Ha nem kap olyan kérést, amely hitelesítő adatokat kér a tartományhoz való csatlakozáshoz, kapcsolódási probléma áll be. A virtuális gép nem tudja elérni a felügyelt tartományt a virtuális hálózaton.

A hibaelhárítási lépések kipróbálása után próbálja meg ismét a Windows-kiszolgáló virtuális gépet a felügyelt tartományhoz csatlakozni.

  • Ellenőrizze, hogy a virtuális gép ugyan ahhoz a virtuális hálózathoz csatlakozik Azure AD DS engedélyezve van-e, vagy rendelkezik-e társviszonyban lévő hálózati kapcsolattal.
  • Próbálja meg pingelni a felügyelt tartomány DNS-tartománynevét, ping aaddscontoso.com például: .
    • Ha a pingelési kérés sikertelen, próbálja meg pingelni a felügyelt tartomány IP-címeit, ping 10.0.0.4 például: . A környezet IP-címe megjelenik a Tulajdonságok lapon, amikor kiválasztja a felügyelt tartományt az Azure-erőforrások listájából.
    • Ha meg tudja pingelni az IP-címet, de a tartományt nem, előfordulhat, hogy a DNS helytelenül van konfigurálva. Győződjön meg arról, hogy a felügyelt tartomány IP-címei DNS-kiszolgálóként vannak konfigurálva a virtuális hálózathoz.
  • Próbálja meg kiüríteni a DNS-feloldó gyorsítótárát a virtuális gépen az ipconfig /flushdns paranccsal.

Ha a rendszer hitelesítő adatokat kér a tartományhoz való csatlakozáshoz, de a hitelesítő adatok megadása után hibaüzenet jelenik meg, a virtuális gép csatlakozni tud a felügyelt tartományhoz. A megadott hitelesítő adatok ezután nem engedik, hogy a virtuális gép csatlakozzon a felügyelt tartományhoz.

A hibaelhárítási lépések kipróbálása után próbálja meg ismét a Windows-kiszolgáló virtuális gépet a felügyelt tartományhoz csatlakozni.

  • Győződjön meg arról, hogy a megadott felhasználói fiók a felügyelt tartományhoz tartozik.
  • Győződjön meg arról, hogy a fiók a felügyelt tartomány vagy az Azure AD-bérlő része. Az Azure AD-bérlőhöz társított külső könyvtárak fiókjai nem hitelesíthetők megfelelően a tartományhoz való csatlakozás folyamata során.
  • Próbálja meg az UPN formátumot használni a hitelesítő adatok megadásához, contosoadmin@aaddscontoso.onmicrosoft.com például: . Ha sok felhasználó rendelkezik ugyanazokkal az UPN-előtaggal a bérlőben, vagy ha az UPN-előtag túl hosszú, előfordulhat, hogy a fiók SAMAccountName neve automatikusan lesz generálva. Ezekben az esetekben a fiók SAMAccountName formátuma különbözhet a helyszíni tartományban elvárttól vagy használattól.
  • Ellenőrizze, hogy engedélyezte-e a jelszó-szinkronizálást a felügyelt tartományra. E konfigurációs lépés nélkül a szükséges jelszó-hashek nem lesznek jelen a felügyelt tartományban a bejelentkezési kísérlet megfelelő hitelesítéséhez.
  • Várjon, amíg a jelszó-szinkronizálás befejeződik. A felhasználói fiók jelszavának módosításakor az Azure AD automatikus háttérszinkronizálása frissíti a jelszót a Azure AD DS. Időbe telik, hogy a jelszó elérhető legyen a tartományhoz való csatlakozáshoz.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • Virtuális gép Windows létrehozása
  • Csatlakozás virtuális gép Windows Azure-beli virtuális hálózatra
  • A virtuális gép csatlakozása a felügyelt tartományhoz

A felügyelt tartomány felügyeletéhez konfigurálnia kell egy felügyeleti virtuális gépet a Active Directory felügyeleti központ (ADAC) használatával.