Oktatóanyag: Tartományi szolgáltatások által Azure Active Directory tartomány létrehozása és konfigurálása

Azure Active Directory A Domain Services (Azure AD DS) olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP, a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directory. Ezeket a tartományi szolgáltatásokat a tartományvezérlők üzembe helyezése, kezelése és javítása nélkül fel kell használnod. Azure AD DS integrálható a meglévő Azure AD-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók a vállalati hitelesítő adataik használatával jelentkezzenek be, és a meglévő csoportokkal és felhasználói fiókokkal biztonságossá teszi az erőforrásokhoz való hozzáférést.

Létrehozhat egy felügyelt tartományt a hálózat és a szinkronizálás alapértelmezett konfigurációs beállításaival, vagy manuálisan is meghatározhatja ezeket a beállításokat. Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálható egy felügyelt Azure AD DS alapértelmezett beállításokkal a Azure Portal.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Felügyelt tartomány DNS-követelményeinek
  • Felügyelt tartomány létrehozása
  • Jelszókivonat szinkronizálásának engedélyezése

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot.

Előfeltételek

Az oktatóanyag befejezéséhez a következő erőforrásokra és jogosultságokra lesz szüksége:

  • Aktív Azure-előfizetés.
  • Egy Azure Active Directory, amely az előfizetéséhez van társítva, szinkronizálva egy helyszíni címtárval vagy egy csak felhőalapú címtárval.
  • Az Azure AD-bérlőben globális rendszergazdai jogosultságokkal kell Azure AD DS.
  • A szükséges erőforrások létrehozásához közreműködői jogosultságokkal kell Azure AD DS Azure-előfizetésében.
  • Egy DNS-kiszolgálókkal való virtuális hálózat, amely képes lekérdezni a szükséges infrastruktúrát, például a tárolót. Az általános internetes lekérdezéseket nem végző DNS-kiszolgálók megakadályozhatják a felügyelt tartományok létrehozására való képességet.

Bár nem kötelező a Azure AD DS, javasoljuk, hogy konfigurálja az új jelszó önkiszolgáló beállítását (SSPR) az Azure AD-bérlőhöz. A felhasználók SSPR nélkül módosíthatják a jelszavukat, de az SSPR segít, ha elfelejtik a jelszavukat, és alaphelyzetbe kell állítaniuk.

Fontos

Létrehozás után a felügyelt tartományt nem lehet áthelyezni másik előfizetésbe, erőforráscsoportba, régióba, virtuális hálózatba vagy alhálózatba. A felügyelt tartomány üzembe helyezésekor mindig a legmegfelelőbb előfizetést, erőforráscsoportot, régiót, virtuális hálózatot és alhálózatot válassza ki.

Jelentkezzen be az Azure Portalra

Ebben az oktatóanyagban létrehozza és konfigurálja a felügyelt tartományt a Azure Portal. Első lépésként jelentkezzen be a Azure Portal.

Felügyelt tartomány létrehozása

A Azure AD Domain Services engedélyezése varázsló elindításához kövesse az alábbi lépéseket:

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
  2. Írja be a Domain Services (Tartományi szolgáltatások) nevet a keresősávba, majd Azure AD Domain Services a keresési javaslatok közül.
  3. A Azure AD Domain Services válassza a Létrehozás lehetőséget. Elindul a Azure AD Domain Services engedélyezése varázsló.
  4. Válassza ki azt az Azure-előfizetést, amelyben létre szeretné hozni a felügyelt tartományt.
  5. Válassza ki azt az erőforráscsoportot, amelyhez a felügyelt tartománynak tartozni kell. Válassza az Új létrehozása lehetőséget, vagy válasszon ki egy meglévő erőforráscsoportot.

Felügyelt tartomány létrehozásakor meg kell adnia egy DNS-nevet. A DNS-név kiválasztásakor figyelembe kell venni néhány szempontot:

  • Beépített tartománynév: Alapértelmezés szerint a rendszer a könyvtár beépített tartománynevét használja (.onmicrosoft.com utótag). Ha biztonságos LDAP-hozzáférést szeretne engedélyezni a felügyelt tartományhoz az interneten keresztül, nem hozhat létre digitális tanúsítványt az alapértelmezett tartománnyal való kapcsolat biztonságossá tenni. A .onmicrosoft.com a Microsoft tulajdonában van, így a hitelesítésszolgáltató (CA) nem fog tanúsítványt kikérni.
  • Egyéni tartománynevek: A leggyakoribb módszer egy egyéni tartománynév megadása, amely általában az Ön tulajdonában van, és átirányítható. Ha átirányítható, egyéni tartományt használ, a forgalom megfelelően áramlik az alkalmazások támogatásához.
  • Nem átirányítható tartomány-utótagok: Általában azt javasoljuk, hogy kerülje a nem átirányítható tartománynév-utótagot, például: contoso.local. A .local utótag nem átirányítható, és problémákat okozhat a DNS-feloldásban.

Tipp

Ha egyéni tartománynevet hoz létre, vegye figyelembe a meglévő DNS-névtereket. Javasoljuk, hogy a meglévő Azure- vagy helyszíni DNS-névtértől elkülönülő tartománynevet használjon.

Ha például egy meglévő DNS-névtér a contoso.com, hozzon létre egy felügyelt tartományt a következő egyéni aaddscontoso.com. Ha biztonságos LDAP-t kell használnia, regisztrálnia kell ezt az egyéni tartománynevet, és a tulajdonában kell lennie a szükséges tanúsítványok létrehozásához.

Előfordulhat, hogy további DNS-rekordokat kell létrehoznia a környezet más szolgáltatásaihoz, vagy feltételes DNS-továbbítókat a környezet meglévő DNS-névterei között. Ha például egy olyan webkiszolgálót futtat, amely a gyökér DNS-névvel futtat egy helyet, olyan elnevezési ütközések is előfordulhatnak, amelyekhez további DNS-bejegyzésekre van szükség.

Ezekben az oktatóanyagokban és útmutatókban a aaddscontoso.com egyéni tartományát használjuk rövid példaként. Minden parancsban adja meg a saját tartománynevét.

Az alábbi DNS-névkorlátozások is érvényesek:

  • Tartományelőtag-korlátozások: 15 karakternél hosszabb előtaggal nem hozhat létre felügyelt tartományt. A megadott tartománynév előtagja (például aaddscontoso a aaddscontoso.com tartománynévben) legfeljebb 15 karaktert tartalmazhat.
  • Hálózati névütközések: A felügyelt tartomány DNS-tartománynevének még nem kell léteznie a virtuális hálózaton. Pontosabban ellenőrizze, hogy vannak-e olyan forgatókönyvek, amelyek névütközéshez vezetnek:
    • Ha már rendelkezik egy Active Directory azonos DNS-tartománynévvel az Azure-beli virtuális hálózaton.
    • Ha a virtuális hálózat, ahol engedélyezni szeretné a felügyelt tartományt, VPN-kapcsolattal rendelkezik a helyszíni hálózattal. Ebben a forgatókönyvben győződjön meg arról, hogy a helyszíni hálózaton nem található azonos DNS-tartománynévvel azonos tartomány.
    • Ha már van ilyen nevű Azure-felhőszolgáltatása az Azure-beli virtuális hálózaton.

A felügyelt tartomány létrehozásához töltse ki a Azure Portal ablakában található mezőket:

  1. Adja meg a felügyelt tartomány DNS-tartománynevét, figyelembe véve az előző pontokat.

  2. Válassza ki azt az Azure-helyet, ahol a felügyelt tartományt létre kell hoznunk. Ha olyan régiót választ, amely támogatja a Azure Availability Zones, a Azure AD DS erőforrások a további redundancia érdekében zónák között vannak elosztva.

    Tipp

    A rendelkezésreállási zónák fizikailag elkülönített helyek egy Azure-régión belül. Minden rendelkezésreállási zóna egy vagy több, független áramforrással, hűtéssel és hálózatkezelési megoldással ellátott adatközpontból áll. A rugalmasság biztosítása érdekében minden engedélyezett régióban legalább három elkülönített zóna található.

    Semmit nem kell konfigurálnia a Azure AD DS zónák közötti elosztásához. Az Azure platform automatikusan kezeli az erőforrások zónaelosztását. További információkért és a régiók rendelkezésre állásának további információkért lásd: Mi a Availability Zones az Azure-ban?

  3. A termékváltozat határozza meg a teljesítményt és a biztonsági mentés gyakoriságát. A termékváltozatot a felügyelt tartomány létrehozása után módosíthatja, ha az üzleti igények vagy követelmények megváltoznak. További információkért lásd a Azure AD DS alapfogalmait.

    Ebben az oktatóanyagban válassza a Standard termékváltozatot.

  4. Az erdő egy logikai szerkezet, amelyet a Active Directory Domain Services egy vagy több tartomány csoportosítása. Alapértelmezés szerint a felügyelt tartomány felhasználói erdőként jön létre. Ez az erdőtípus az Azure AD összes objektumát szinkronizálja, beleértve a helyszíni környezetben létrehozott AD DS is.

    Az erőforráserdő csak a közvetlenül az Azure AD-ban létrehozott felhasználókat és csoportokat szinkronizálja. Az erőforráserdőkkel kapcsolatos további információkért, beleértve a használatának okát, valamint az erdőszintű megbízhatósági kapcsolat helyszíni AD DS esetén való létrehozásáról lásd az erőforráserdők áttekintését Azure AD DS ismertető témakört.

    Ebben az oktatóanyagban felhasználói erdőt hoz létre.

    Alapszintű beállítások konfigurálása felügyelt Azure AD Domain Services tartományhoz

Felügyelt tartomány gyors létrehozásához válassza az Áttekintés + létrehozás lehetőséget a további alapértelmezett konfigurációs beállítások elfogadásához. A létrehozási lehetőség kiválasztásakor a következő alapértelmezések vannak konfigurálva:

  • Létrehoz egy aadds-vnet nevű virtuális hálózatot, amely a 10.0.2.0/24 IP-címtartományt használja.
  • Létrehoz egy aadds-subnet nevű alhálózatot a 10.0.2.0/24 IP-címtartomány használatával.
  • Az Összes felhasználó szinkronizálása az Azure AD-ból a felügyelt tartományba.

Válassza az Áttekintés + létrehozás lehetőséget az alapértelmezett konfigurációs beállítások elfogadásához.

A felügyelt tartomány üzembe helyezése

A varázsló Összegzés lapján tekintse át a felügyelt tartomány konfigurációs beállításait. A varázsló bármelyik lépésében visszaléphet a módosítások gombra. Ha ezeket a konfigurációs beállításokat használva konzisztens módon, egy másik Azure AD-bérlőn is újra üzembe kell töltenie egy felügyelt tartományt, letöltheti a sablont az automatizáláshoz.

  1. A felügyelt tartomány létrehozásához válassza a Létrehozás lehetőséget. Egy megjegyzés jelenik meg, amely szerint bizonyos konfigurációs beállítások, például a DNS-név vagy a virtuális hálózat nem módosíthatók a felügyelt Azure AD DS létrehozása után. A folytatáshoz kattintson az OK gombra.

  2. A felügyelt tartomány üzembe építési folyamata akár egy órát is kiépíthet. A portálon megjelenik egy értesítés, amely az üzembe helyezés Azure AD DS mutatja. Az értesítés kiválasztásával részletesen láthatja az üzembe helyezés előrehaladását.

    Értesítés Azure Portal folyamatban lévő üzembe helyezésről

  3. A lap a telepítési folyamat frissítéseit tartalmazza, beleértve az új erőforrások létrehozását a címtárban.

  4. Válassza ki az erőforráscsoportot ,például myResourceGroup, majd válassza ki a felügyelt tartományt az Azure-erőforrások listájából, például a aaddscontoso.com. Az Áttekintés lapon látható, hogy a felügyelt tartomány jelenleg a telepítés alatt áll. A felügyelt tartományt csak akkor konfigurálhatja, ha az teljesen ki van építve.

    Tartományi szolgáltatások állapota a kiépítési állapot során

  5. Ha a felügyelt tartomány teljes mértékben ki van építve, az Áttekintés lapon a tartomány állapota Fut.

    A Tartományi szolgáltatások állapota a sikeres üzembe építés után

Fontos

A felügyelt tartomány az Azure AD-bérlőhöz van társítva. A kiépítési folyamat során a Azure AD DS létrehoz két vállalati alkalmazást Tartományvezérlő szolgáltatások és AzureActiveDirectoryDomainControllerServices névvel az Azure AD-bérlőben. Ezek a vállalati alkalmazások szükségesek a felügyelt tartomány kiszolgálására. Ezeket az alkalmazásokat ne törölje.

Az Azure virtuális hálózat DNS-beállításainak frissítése

A Azure AD DS üzembe helyezése után konfigurálja a virtuális hálózatot úgy, hogy más csatlakoztatott virtuális gépek és alkalmazások is használják a felügyelt tartományt. A kapcsolat érdekében frissítse a virtuális hálózat DNS-kiszolgálójának beállításait úgy, hogy arra a két IP-címre mutasson, ahol a felügyelt tartomány telepítve van.

  1. A felügyelt tartomány Áttekintés lapján néhány szükséges konfigurációs lépés látható. Az első konfigurációs lépés a DNS-kiszolgáló virtuális hálózatra vonatkozó beállításainak frissítése. A DNS-beállítások megfelelő konfigurálása után ez a lépés már nem jelenik meg.

    A felsorolt címek a virtuális hálózatban használható tartományvezérlők. Ebben a példában ezek a címek a 10.0.2.4 és a 10.0.2.5. Ezeket az IP-címeket a Tulajdonságok lapon találhatja meg.

    A virtuális hálózat DNS-beállításainak konfigurálása a Azure AD Domain Services IP-címekkel

  2. A DNS-kiszolgáló virtuális hálózatra vonatkozó beállításainak frissítéséhez kattintson a Konfigurálás gombra. A DNS-beállítások automatikusan konfigurálva vannak a virtuális hálózathoz.

Tipp

Ha az előző lépésekben egy meglévő virtuális hálózatot választott ki, a hálózathoz csatlakozó virtuális gépek csak újraindítás után kapják meg az új DNS-beállításokat. A virtuális gépeket újraindíthatja a Azure Portal, Azure PowerShell vagy az Azure CLI használatával.

Felhasználói fiókok engedélyezése Azure AD DS

A felhasználók felügyelt tartományon való hitelesítéséhez a Azure AD DS NT LAN Manager- (NTLM-) és Kerberos-hitelesítéshez megfelelő formátumú jelszó-előjeleket kell használnia. Az Azure AD nem az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban hozza létre vagy tárolja a jelszó-Azure AD DS a bérlő számára. Biztonsági okokból az Azure AD nem tiszta szöveges formában tárolja a jelszóhoz szükséges hitelesítő adatokat. Ezért az Azure AD nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókatajánlokat a felhasználók meglévő hitelesítő adatai alapján.

Megjegyzés

A megfelelő konfigurálás után a használható jelszó-hashek a felügyelt tartományban tárolódnak. Ha törli a felügyelt tartományt, az ezen a ponton tárolt jelszó-hashek is törlődnek.

Az Azure AD-beli szinkronizált hitelesítő adatok nem használhatók újra, ha később létrehoz egy felügyelt tartományt– újra kell konfigurálnia a jelszó kivonatszinkronizálását a jelszó-kivonatok újbóli tárolására. A korábban tartományhoz csatlakozott virtuális gépek vagy felhasználók nem tudják azonnal hitelesíteni magukat – az Azure AD-nek létre kell hoznia és el kell tárolnia a jelszó-hasheket az új felügyelt tartományban.

[Az Azure AD Csatlakozás Cloud Sync nem támogatott a Azure AD DS] [/azure/active-directory/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync]. A helyszíni felhasználókat szinkronizálni kell az Azure AD Csatlakozás a tartományhoz csatlakozott virtuális gépek eléréséhez. További információ: Jelszó kivonatszinkronizálási folyamata Azure AD DS Azure AD-Csatlakozás.

A jelszó-azonosítók előállításának és tárolására vonatkozó lépések eltérnek az Azure AD-ban létrehozott, csak felhőalapú felhasználói fiókok és a helyszíni címtárból az Azure AD-címtár használatával szinkronizált felhasználói fiókok Csatlakozás.

A csak felhőalapú felhasználói fiókok olyan fiókok, amelyek az Azure AD-címtárban lettek létrehozva az Azure Portal vagy Azure AD PowerShell-parancsmagok használatával. Ezek a felhasználói fiókok nincsenek szinkronizálva helyszíni címtárból.

Ebben az oktatóanyagban egy egyszerű, csak felhőalapú felhasználói fiókkal dolgozunk. További információ az Azure AD Csatlakozás használatának további lépéseiről: A helyszíni AD-rőla felügyelt tartományba szinkronizált felhasználói fiókok jelszó-hasheinek szinkronizálása.

Tipp

Ha az Azure AD-bérlő csak felhőalapú felhasználók és a helyszíni AD felhasználóinak kombinációjával rendelkezik, mindkét lépést el kell végrehajtania.

A csak felhőalapú felhasználói fiókok esetében a felhasználóknak módosítaniuk kell jelszavukat, mielőtt használhatják Azure AD DS. A jelszóváltoztatási folyamat hatására a Kerberos- és NTLM-hitelesítés jelszó-hashei létrejönnek és az Azure AD-ban lesznek tárolva. A rendszer addig nem szinkronizálja a fiókot az Azure AD-Azure AD DS, amíg a jelszót meg nem változtatják. Elévülnek a bérlő összes olyan felhőbeli felhasználója jelszavai, akiknek a Azure AD DS-t kell használniuk, ami kikényszerül egy jelszóváltozást a következő bejelentkezéskor, vagy utasíthatja a felhő felhasználóit, hogy manuálisan módosítják jelszavukat. Ebben az oktatóanyagban manuálisan módosítunk egy felhasználói jelszót.

Mielőtt egy felhasználó visszaállíthatja a jelszavát, az Azure AD-bérlőt konfigurálni kell az önkiszolgáló jelszó-visszaállításhoz.

Ha csak felhőalapú felhasználó jelszavát módosítania kell, a felhasználónak a következő lépéseket kell végrehajtania:

  1. Az Azure AD hozzáférési panel https://myapps.microsoft.com oldalon.

  2. A jobb felső sarokban válassza ki a nevét, majd a legördülő menüből válassza a Profil lehetőséget.

    Profil kiválasztása

  3. A Profil lapon válassza a Jelszó módosítása lehetőséget.

  4. A Jelszó módosítása lapon adja meg meglévő (régi) jelszavát, majd adjon meg és erősítse meg az új jelszót.

  5. Válassza a Küldés lehetőséget.

A jelszó módosítása után néhány percet vesz igénybe, hogy az új jelszó használható legyen az Azure AD DS-ban, és sikeresen bejelentkezik a felügyelt tartományhoz csatlakozott számítógépekre.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • Felügyelt tartomány DNS-követelményeinek
  • Felügyelt tartomány létrehozása
  • Rendszergazda felhasználók hozzáadása tartománykezeléshez
  • Felhasználói fiókok engedélyezése a Azure AD DS és jelszó-hashek létrehozása

A virtuális gépek tartományhoz való csatlakozása és a felügyelt tartományt felhasználó alkalmazások üzembe helyezése előtt konfiguráljon egy Azure-beli virtuális hálózatot az alkalmazások számítási feladataihoz.