Oktatóanyag: Tartományi szolgáltatások által Azure Active Directory tartomány létrehozása és konfigurálása

Azure Active Directory Tartományi szolgáltatások (Azure AD DS) olyan felügyelt tartományi szolgáltatásokat kínál, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP, a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directory. Ezeket a tartományi szolgáltatásokat a tartományvezérlők üzembe helyezése, kezelése és javításának nélkül fel kell használnod. Azure AD DS integrálható a meglévő Azure AD-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók vállalati hitelesítő adataik használatával jelentkezzenek be, és a meglévő csoportokkal és felhasználói fiókokkal biztonságossá teszi az erőforrásokhoz való hozzáférést.

Létrehozhat egy felügyelt tartományt a hálózat és a szinkronizálás alapértelmezett konfigurációs beállításaival, vagy manuálisan is meghatározhatja ezeket a beállításokat. Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálható egy felügyelt Azure AD DS alapértelmezett beállításokkal a Azure Portal.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Felügyelt tartomány DNS-követelményeinek
  • Felügyelt tartomány létrehozása
  • Jelszókivonat szinkronizálásának engedélyezése

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot.

Előfeltételek

Az oktatóanyag befejezéséhez a következő erőforrásokra és jogosultságokra lesz szüksége:

  • Aktív Azure-előfizetés.
  • Egy Azure Active Directory, amely az előfizetéséhez van társítva, szinkronizálva egy helyszíni címtárval vagy egy csak felhőalapú címtárval.
  • Az Azure AD-bérlőben globális rendszergazdai jogosultságokkal kell Azure AD DS.
  • A szükséges erőforrások létrehozásához közreműködői jogosultságok szükségesek az Azure-Azure AD DS számára.
  • Egy DNS-kiszolgálókkal való virtuális hálózat, amely képes lekérdezni a szükséges infrastruktúrát, például a tárolást. Az általános internetes lekérdezéseket nem képes DNS-kiszolgálók megakadályozhatják egy felügyelt tartomány létrehozásában.

Bár a Azure AD DS nem kötelező, javasoljuk, hogy konfigurálja az új jelszó önkiszolgáló beállítását (SSPR) az Azure AD-bérlőhöz. A felhasználók SSPR nélkül módosíthatják a jelszavukat, de az SSPR segít, ha elfelejtik a jelszavukat, és alaphelyzetbe kell állítaniuk.

Fontos

A létrehozás után a felügyelt tartományt nem lehet áthelyezni másik előfizetésbe, erőforráscsoportba, régióba, virtuális hálózatba vagy alhálózatba. A felügyelt tartomány üzembe helyezésekor mindig a legmegfelelőbb előfizetést, erőforráscsoportot, régiót, virtuális hálózatot és alhálózatot válassza ki.

Jelentkezzen be az Azure Portalra

Ebben az oktatóanyagban létrehozza és konfigurálja a felügyelt tartományt a Azure Portal. Első lépésként jelentkezzen be a Azure Portal.

Felügyelt tartomány létrehozása

Az Azure AD Domain Services engedélyezése varázsló elindításához kövesse az alábbi lépéseket:

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
  2. Írja be a Domain Services(Tartományi szolgáltatások) nevet a keresősávba, majd Azure AD Domain Services a keresési javaslatok közül.
  3. A Azure AD Domain Services kattintson a Létrehozás gombra. Elindul a Azure AD Domain Services engedélyezése varázsló.
  4. Válassza ki azt az Azure-előfizetést, amelyben létre szeretné hozni a felügyelt tartományt.
  5. Válassza ki azt az erőforráscsoportot, amelyhez a felügyelt tartománynak tartozni kell. Válassza az Új létrehozása lehetőséget, vagy válasszon ki egy meglévő erőforráscsoportot.

Felügyelt tartomány létrehozásakor meg kell adnia egy DNS-nevet. A DNS-név kiválasztásakor figyelembe kell venni néhány szempontot:

  • Beépített tartománynév: Alapértelmezés szerint a rendszer a könyvtár beépített tartománynevét használja (.onmicrosoft.com utótag). Ha biztonságos LDAP-hozzáférést szeretne engedélyezni a felügyelt tartományhoz az interneten keresztül, nem hozhat létre digitális tanúsítványt az alapértelmezett tartománnyal való kapcsolat biztonságossá tenni. A .onmicrosoft.com a Microsoft tulajdonában van, így a hitelesítésszolgáltató (CA) nem fog tanúsítványt kikérni.
  • Egyéni tartománynevek: A leggyakoribb módszer egy egyéni tartománynév megadása, amely általában az Ön tulajdonában van, és átirányítható. Ha átirányítható, egyéni tartományt használ, a forgalom megfelelően áramlik az alkalmazások támogatásához.
  • Nem átirányítható tartomány utótagok: Általában azt javasoljuk, hogy kerülje a nem átirányítható tartománynév utótagját, például a contoso.local utótagot. A .local utótag nem átirányítható, és problémákat okozhat a DNS-feloldásban.

Tipp

Ha egyéni tartománynevet hoz létre, vegye figyelembe a meglévő DNS-névtereket. Javasoljuk, hogy a meglévő Azure-beli vagy helyszíni DNS-névtértől elkülönített tartománynevet használjon.

Ha például egy meglévő DNS-névtér contoso.com,hozzon létre egy felügyelt tartományt a következő egyéni aaddscontoso.com. Ha biztonságos LDAP-t kell használnia, regisztrálnia kell ezt az egyéni tartománynevet, és a tulajdonában kell lennie a szükséges tanúsítványok létrehozásához.

Előfordulhat, hogy további DNS-rekordokat kell létrehoznia a környezet más szolgáltatásaihoz, vagy feltételes DNS-továbbítókat a környezet meglévő DNS-névterei között. Ha például egy olyan webkiszolgálót futtat, amely a gyökér DNS-névvel futtat egy helyet, olyan elnevezési ütközések is előfordulhatnak, amelyekhez további DNS-bejegyzésekre van szükség.

Ezekben az oktatóanyagokban és útmutatókban a aaddscontoso.com egyéni tartományát használjuk rövid példaként. Az összes parancsban adja meg a saját tartománynevét.

Az alábbi DNS-névkorlátozások is érvényesek:

  • Tartományelőtag-korlátozások: 15 karakternél hosszabb előtaggal nem hozhat létre felügyelt tartományt. A megadott tartománynév előtagja (például aaddscontoso a aaddscontoso.com tartománynévben) legfeljebb 15 karaktert tartalmazhat.
  • Hálózati névütközések: A felügyelt tartomány DNS-tartománynevének még nem kell léteznie a virtuális hálózaton. Konkrétan ellenőrizze, hogy vannak-e olyan forgatókönyvek, amelyek névütközéshez vezetnek:
    • Ha már rendelkezik azonos ACTIVE DIRECTORY-tartománynévvel az Azure-beli virtuális hálózaton.
    • Ha a virtuális hálózat, ahol engedélyezni szeretné a felügyelt tartományt, VPN-kapcsolattal rendelkezik a helyszíni hálózattal. Ebben a forgatókönyvben győződjön meg arról, hogy nincs azonos DNS-tartománynévvel bíró tartomány a helyszíni hálózaton.
    • Ha már van ilyen nevű Azure-felhőszolgáltatása az Azure-beli virtuális hálózaton.

A felügyelt tartomány létrehozásához töltse ki a Azure Portal ablakában található mezőket:

  1. Adja meg a felügyelt tartomány DNS-tartománynevét, figyelembe véve az előző pontokat.

  2. Válassza ki azt az Azure-helyet, ahol a felügyelt tartományt létre kell hoznunk. Ha olyan régiót választ, amely támogatja a Azure Availability Zones, a Azure AD DS erőforrások a további redundancia érdekében zónák között vannak elosztva.

    Tipp

    A rendelkezésreállási zónák fizikailag elkülönített helyek egy Azure-régión belül. Minden rendelkezésreállási zóna egy vagy több, független áramforrással, hűtéssel és hálózatkezelési megoldással ellátott adatközpontból áll. A rugalmasság biztosítása érdekében minden engedélyezett régióban legalább három elkülönített zóna található.

    A zónák közötti Azure AD DS konfigurálni semmit. Az Azure platform automatikusan kezeli az erőforrások zónaelosztását. További információkért és a régiók rendelkezésre állásának ért lásd: Mik azok a Availability Zones az Azure-ban?

  3. A termékváltozat határozza meg a teljesítményt és a biztonsági mentés gyakoriságát. Ha az üzleti igények vagy követelmények megváltoznak, a felügyelt tartomány létrehozása után módosíthatja a termékváltozatot. További információkért lásd a Azure AD DS alapfogalmait.

    Ebben az oktatóanyagban válassza a Standard termékváltozatot.

  4. Az erdő egy logikai szerkezet, amelyet a Active Directory Domain Services egy vagy több tartomány csoportosítása. Alapértelmezés szerint a felügyelt tartomány felhasználói erdőként jön létre. Ez az erdőtípus az Azure AD összes objektumát szinkronizálja, beleértve a helyszíni környezetben létrehozott AD DS is.

    Az erőforráserdő csak a közvetlenül az Azure AD-ban létrehozott felhasználókat és csoportokat szinkronizálja. Az erőforráserdőkkel kapcsolatos további információkért, beleértve a használatának okát és az erdőszintű megbízhatósági kapcsolat helyszíni AD DS-tartományokkal való létrehozásának mikéntjéhez tekintse meg az erőforráserdők áttekintését Azure AD DS ismertetőt.

    Ebben az oktatóanyagban felhasználói erdőt hoz létre.

    Configure basic settings for an Azure AD Domain Services managed domain

Felügyelt tartomány gyors létrehozásához válassza az Áttekintés + létrehozás lehetőséget a további alapértelmezett konfigurációs beállítások elfogadásához. A létrehozási lehetőség kiválasztásakor a következő alapértelmezések vannak konfigurálva:

  • Létrehoz egy aadds-vnet nevű virtuális hálózatot, amely a 10.0.2.0/24 IP-címtartományt használja.
  • Létrehoz egy aadds-subnet nevű alhálózatot a 10.0.2.0/24IP-címtartomány használatával.
  • Minden felhasználót szinkronizál az Azure AD-ból a felügyelt tartományba.

Válassza az Áttekintés + létrehozás lehetőséget az alapértelmezett konfigurációs beállítások elfogadásához.

A felügyelt tartomány üzembe helyezése

A varázsló Összegzés lapján tekintse át a felügyelt tartomány konfigurációs beállításait. A varázsló bármelyik lépésében visszaléphet a módosítások gombra. Ha egy felügyelt tartományt konzisztens módon, konzisztens módon, egy másik Azure AD-bérlőn is üzembe fog ni ezekkel a konfigurációs beállításokkal, letölthet egy sablont az automatizáláshoz.

  1. A felügyelt tartomány létrehozásához válassza a Létrehozás lehetőséget. Egy megjegyzés jelenik meg, amely szerint bizonyos konfigurációs beállítások, például a DNS-név vagy a virtuális hálózat nem módosíthatók a felügyelt Azure AD DS létrehozása után. A folytatáshoz kattintson az OK gombra.

  2. A felügyelt tartomány üzembe építési folyamata akár egy órát is átvehet. A portálon megjelenik egy értesítés, amely megjeleníti a Azure AD DS előrehaladását. Válassza ki az értesítést az üzembe helyezés részletes folyamatának megjelenik.

    Notification in the Azure portal of the deployment in progress

  3. A lap betöltődik a telepítési folyamat frissítésekkel, beleértve az új erőforrások létrehozását a címtárban.

  4. Válassza ki az erőforráscsoportot ,például myResourceGroup,majd válassza ki a felügyelt tartományt az Azure-erőforrások listájából, például a aaddscontoso.com. Az Áttekintés lapon látható, hogy a felügyelt tartomány jelenleg a telepítés alatt áll. A felügyelt tartományt csak akkor konfigurálhatja, ha az teljesen ki van építve.

    Domain Services status during the provisioning state

  5. Ha a felügyelt tartomány teljes mértékben ki van építve, az Áttekintés lapon a tartomány állapota Fut.

    Domain Services status once successfully provisioned

Fontos

A felügyelt tartomány társítva van az Azure AD-bérlővel. A kiépítési folyamat során a Azure AD DS létrehoz két vállalati alkalmazást Tartományvezérlő szolgáltatások és AzureActiveDirectoryDomainControllerServices névvel az Azure AD-bérlőben. Ezek a vállalati alkalmazások szükségesek a felügyelt tartomány kiszolgálására. Ezeket az alkalmazásokat ne törölje.

Az Azure virtuális hálózat DNS-beállításainak frissítése

A Azure AD DS után konfigurálja a virtuális hálózatot úgy, hogy más csatlakoztatott virtuális gépek és alkalmazások is használják a felügyelt tartományt. A kapcsolat érdekében frissítse a virtuális hálózat DNS-kiszolgálójának beállításait úgy, hogy arra a két IP-címre mutasson, amelyekre a felügyelt tartomány telepítve van.

  1. A felügyelt tartomány Áttekintés lapján néhány szükséges konfigurációs lépés látható. Az első konfigurációs lépés a DNS-kiszolgáló virtuális hálózatra vonatkozó beállításainak frissítése. A DNS-beállítások helyes konfigurálása után ez a lépés már nem jelenik meg.

    A felsorolt címek a virtuális hálózatban használható tartományvezérlők. Ebben a példában ezek a címek a 10.0.2.4 ésa 10.0.2.5 . Ezeket az IP-címeket a Tulajdonságok lapon találhatja meg.

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. A DNS-kiszolgáló virtuális hálózatra vonatkozó beállításainak frissítéséhez kattintson a Konfigurálás gombra. A DNS-beállítások automatikusan konfigurálva vannak a virtuális hálózathoz.

Tipp

Ha az előző lépésekben egy meglévő virtuális hálózatot választott ki, a hálózathoz csatlakozó virtuális gépek csak újraindítás után kapják meg az új DNS-beállításokat. A virtuális gépeket újraindíthatja a Azure Portal, Azure PowerShell vagy az Azure CLI használatával.

Felhasználói fiókok engedélyezése Azure AD DS

A felhasználók felügyelt tartományon való hitelesítéséhez a Azure AD DS NT LAN Manager- (NTLM-) és Kerberos-hitelesítéshez megfelelő formátumú jelszó-Azure AD DS van szüksége. Az Azure AD nem az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban hozza létre vagy tárolja a jelszó-Azure AD DS a bérlő számára. Biztonsági okokból az Azure AD nem tiszta szöveges formában tárolja a jelszóhoz szükséges hitelesítő adatokat. Ezért az Azure AD nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókat a felhasználók meglévő hitelesítő adatai alapján.

Megjegyzés

A megfelelő konfigurálás után a használható jelszó-hashek a felügyelt tartományban tárolódnak. Ha törli a felügyelt tartományt, az ezen a ponton tárolt jelszó-hashek is törlődnek.

Az Azure AD-beli szinkronizált hitelesítő adatok nem használhatók újra, ha később létrehoz egy felügyelt tartományt– újra kell konfigurálnia a jelszó-kivonat szinkronizálását a jelszó-kivonatok újbóli tárolására. A korábban tartományhoz csatlakozott virtuális gépek vagy felhasználók nem tudnak azonnal hitelesítést végezni – Az Azure AD-nek létre kell hoznia és el kell tárolnia a jelszó-hasheket az új felügyelt tartományban.

Az Azure AD Csatlakozás Cloud Sync nem támogatott a Azure AD DS. A helyszíni felhasználókat az Azure AD Csatlakozás kell szinkronizálni a tartományhoz csatlakozott virtuális gépek eléréséhez. További információ: Jelszó kivonatának szinkronizálási folyamata a Azure AD DS és az Azure AD Csatlakozás.

A jelszó-hashek előállításának és tárolására vonatkozó lépések eltérnek az Azure AD-ban létrehozott, csak felhőalapú felhasználói fiókok és a helyszíni címtárból az Azure AD-címtárral szinkronizált felhasználói fiókok Csatlakozás.

A csak felhőalapú felhasználói fiókok olyan fiókok, amelyek az Azure AD-címtárban lettek létrehozva az Azure Portal vagy Azure AD PowerShell-parancsmagok használatával. Ezek a felhasználói fiókok nincsenek helyszíni címtárból szinkronizálva.

Ebben az oktatóanyagban egy egyszerű, csak felhőalapú felhasználói fiókkal dolgozunk. További információ az Azure AD Csatlakozás használatának további lépéseiről: A helyszíni AD-bóla felügyelt tartományba szinkronizált felhasználói fiókok jelszó-hasheinek szinkronizálása.

Tipp

Ha az Azure AD-bérlő csak felhőalapú felhasználók és a helyszíni AD-beli felhasználók kombinációjával rendelkezik, mindkét lépést el kell végrehajtania.

A csak felhőalapú felhasználói fiókok esetében a felhasználóknak módosítaniuk kell a jelszavukat, mielőtt használhatják Azure AD DS. A jelszóváltoztatási folyamat hatására a Kerberos- és NTLM-hitelesítés jelszó-hashei létrejönnek és az Azure AD-ban lesznek tárolva. A rendszer nem szinkronizálja a fiókot az Azure AD-ről a Azure AD DS amíg a jelszó meg nem változik. Elévülnek a bérlő összes olyan felhőbeli felhasználója jelszavai, akiknek Azure AD DS-t kell használniuk, ami kikényszerül a jelszóváltozást a következő bejelentkezéskor, vagy utasíthatja a felhő felhasználóit, hogy manuálisan módosítják jelszavukat. Ebben az oktatóanyagban manuálisan módosítunk egy felhasználói jelszót.

Mielőtt egy felhasználó visszaállíthatja a jelszavát, az Azure AD-bérlőt konfigurálni kell az önkiszolgáló jelszó-visszaállításhoz.

Ha módosítania kell egy csak felhőalapú felhasználó jelszavát, a felhasználónak a következő lépéseket kell végrehajtania:

  1. Az Azure AD hozzáférési panel https://myapps.microsoft.com oldalon.

  2. A jobb felső sarokban válassza ki a nevét, majd a legördülő menüből válassza a Profil lehetőséget.

    Select profile

  3. A Profil lapon válassza a Jelszó módosítása lehetőséget.

  4. A Jelszó módosítása lapon adja meg meglévő (régi) jelszavát, majd adjon meg és erősítse meg az új jelszót.

  5. Válassza a Küldés lehetőséget.

A jelszó módosítása után néhány percet vesz igénybe, hogy az új jelszó használható legyen az Azure AD DS-ban, és sikeresen bejelentkezik a felügyelt tartományhoz csatlakozott számítógépekre.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • Felügyelt tartomány DNS-követelményeinek
  • Felügyelt tartomány létrehozása
  • Rendszergazda felhasználók hozzáadása tartománykezeléshez
  • Felhasználói fiókok engedélyezése a Azure AD DS és jelszó-hashek létrehozása

A virtuális gépek tartományhoz való csatlakozása és a felügyelt tartományt felhasználó alkalmazások üzembe helyezése előtt konfiguráljon egy Azure-beli virtuális hálózatot az alkalmazások számítási feladataihoz.