Tutorial: Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services dengan opsi konfigurasi tingkat lanjut

Microsoft Entra Domain Services menyediakan layanan domain terkelola seperti gabungan domain, kebijakan grup, LDAP, autentikasi Kerberos/NTLM yang sepenuhnya kompatibel dengan Windows Server Active Directory. Anda menggunakan layanan domain ini tanpa menyebarkan, mengelola, dan melakukan patch pada pengendali domain sendiri. Layanan Domain terintegrasi dengan penyewa Microsoft Entra Anda yang sudah ada. Integrasi ini memungkinkan pengguna masuk menggunakan informasi masuk perusahaan mereka, dan Anda dapat menggunakan grup dan akun pengguna yang ada untuk mengamankan akses ke sumber daya.

Anda dapat membuat domain terkelola menggunakan opsi konfigurasi default untuk jaringan dan sinkronisasi, atau menentukan pengaturan ini secara manual. Tutorial ini menunjukkan kepada Anda cara menentukan opsi konfigurasi tingkat lanjut tersebut untuk membuat dan mengonfigurasi domain terkelola Domain Services menggunakan pusat admin Microsoft Entra.

Dalam tutorial ini, Anda akan mempelajari cara:

• Mengonfigurasi pengaturan DNS dan jaringan virtual untuk domain terkelola
• Membuat domain terkelola
• Menambahkan pengguna administratif ke manajemen domain
• Mengaktifkan sinkronisasi hash kata sandi

Jika Anda tidak memiliki langganan Azure, buat sebuah akun sebelum Anda memulai.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, buat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
• Anda memerlukan peran Administrator Aplikasi dan Administrator Grup Microsoft Entra di penyewa Anda untuk mengaktifkan Layanan Domain.
• Anda memerlukan peran Azure Kontributor Layanan Domain untuk membuat sumber daya Layanan Domain yang diperlukan.

Meskipun tidak diperlukan untuk Layanan Domain, disarankan untuk mengonfigurasi pengaturan ulang kata sandi mandiri (SSPR) untuk penyewa Microsoft Entra. Pengguna dapat mengubah kata sandi mereka tanpa SSPR, tetapi SSPR membantu jika mereka lupa kata sandi mereka dan perlu mengatur ulang kata sandi tersebut.

Penting

Setelah membuat domain terkelola, Anda tidak dapat memindahkannya ke langganan, grup sumber daya, atau wilayah lain. Berhati-hatilah untuk memilih langganan, grup sumber daya, dan wilayah yang paling sesuai saat Anda menyebarkan domain terkelola.

Masuk ke pusat admin Microsoft Entra

Dalam tutorial ini, Anda membuat dan mengonfigurasi domain terkelola menggunakan pusat admin Microsoft Entra. Untuk memulai, pertama-tama masuk ke pusat admin Microsoft Entra.

Membuat domain terkelola dan mengonfigurasi pengaturan dasar

Untuk meluncurkan wizard Aktifkan Microsoft Entra Domain Services , selesaikan langkah-langkah berikut:

1. Pada menu pusat admin Microsoft Entra atau dari halaman Beranda , pilih Buat sumber daya.
2. Masukkan Layanan Domain ke bilah pencarian, lalu pilih Microsoft Entra Domain Services dari saran pencarian.
3. Pada halaman Microsoft Entra Domain Services, pilih Buat. Wizard Aktifkan Microsoft Entra Domain Services diluncurkan.
4. Pilih Langganan Azure tempat Anda ingin membuat domain terkelola.
5. Pilih Grup Sumber Daya tempat domain terkelola berada. Pilih Buat baru atau pilih grup sumber daya yang sudah ada.

Saat Anda membuat domain terkelola, Anda menentukan nama DNS. Ada beberapa pertimbangan saat Anda memilih nama DNS ini:

• Nama domain bawaan: Secara default, nama domain bawaan direktori digunakan (akhiran .onmicrosoft.com). Jika Anda ingin mengaktifkan akses LDAP aman ke domain terkelola melalui internet, Anda tidak dapat membuat sertifikat digital untuk mengamankan koneksi dengan domain default ini. Microsoft memiliki domain .onmicrosoft.com, sehingga Otoritas Sertifikat (CA) tidak akan menerbitkan sertifikat.
• Nama domain kustom: Pendekatan yang paling umum adalah menentukan nama domain kustom, biasanya yang sudah Anda miliki dan dapat dirutekan. Saat Anda menggunakan domain kustom yang dapat dirutekan, lalu lintas dapat mengalir dengan benar sesuai kebutuhan untuk mendukung aplikasi Anda.
• Akhiran domain yang tidak dapat dirutekan: Kami biasanya menyarankan Anda menghindari akhiran nama domain yang tidak dapat dirutekan, seperti contoso.local. Akhiran .local tidak dapat dirutekan dan dapat menyebabkan masalah dengan resolusi DNS.

Tip

Jika Anda membuat nama domain kustom, berhati-hatilah dengan ruang nama DNS yang sudah ada. Disarankan untuk menggunakan nama domain yang terpisah dari ruang nama Azure atau DNS lokal yang sudah ada.

Misalnya, jika Anda memiliki ruang nama DNS contoso.com yang sudah ada, buat domain terkelola dengan nama domain kustom aaddscontoso.com. Jika Anda perlu menggunakan LDAP aman, Anda harus mendaftar dan memiliki nama domain kustom ini untuk menghasilkan sertifikat yang diperlukan.

Anda mungkin perlu membuat beberapa catatan DNS tambahan untuk layanan lain di lingkungan Anda, atau penerus DNS kondisional antara ruang nama DNS yang ada di lingkungan Anda. Misalnya, jika Anda menjalankan server web yang menghosting situs menggunakan nama DNS root, mungkin ada konflik penamaan yang mengharuskan entri DNS tambahan.

Dalam tutorial dan artikel panduan ini, domain kustom aaddscontoso.com digunakan sebagai contoh singkat. Di semua perintah, tentukan nama domain Anda sendiri.

Pembatasan nama DNS berikut juga berlaku:

• Pembatasan awalan domain: Anda tidak dapat membuat domain terkelola dengan panjang awalan lebih dari 15 karakter. Awalan nama domain yang Anda tentukan (seperti aaddscontoso dalam nama domain aaddscontoso.com) harus berisi 15 karakter atau kurang.
• Konflik nama jaringan: Nama domain DNS untuk domain terkelola Anda harus belum ada di jaringan virtual. Secara khusus, periksa skenario berikut yang akan menyebabkan konflik nama:
  • Jika Anda telah memiliki domain Direktori Aktif dengan nama domain DNS yang sama di jaringan virtual Azure.
  • Jika jaringan virtual tempat Anda berencana mengaktifkan domain terkelola memiliki koneksi VPN dengan jaringan lokal Anda. Dalam skenario ini, pastikan Anda tidak memiliki domain dengan nama domain DNS yang sama di jaringan lokal Anda.
  • Jika Anda memiliki layanan cloud Azure yang sudah ada dengan nama tersebut di jaringan virtual Azure.

Selesaikan bidang di jendela Dasar pusat admin Microsoft Entra untuk membuat domain terkelola:

1. Masukkan nama domain DNS untuk domain terkelola Anda, dengan mempertimbangkan poin sebelumnya.

2. Pilih Lokasi Azure tempat domain terkelola harus dibuat. Jika Anda memilih wilayah yang mendukung Zona Ketersediaan, sumber daya Layanan Domain didistribusikan di seluruh zona untuk redundansi tambahan.

   Tip

   Zona Ketersediaan adalah lokasi nyata yang berada dalam wilayah Azure. Setiap zonanya terdiri dari satu atau beberapa pusat data yang dilengkapi dengan daya, pendinginan, dan jaringan yang independen. Untuk memastikan ketahanan, terdapat minimum tiga zona terpisah di semua wilayah yang diaktifkan.

   Tidak ada yang dapat Anda konfigurasi agar Layanan Domain didistribusikan di seluruh zona. Platform Azure secara otomatis menangani distribusi zona sumber daya. Untuk informasi selengkapnya dan untuk melihat ketersediaan wilayah, lihat Apa itu Zona Ketersediaan di Azure?

3. SKU menentukan kinerja dan frekuensi pencadangan. Anda dapat mengubah SKU setelah domain terkelola dibuat jika tuntutan bisnis atau persyaratan Anda berubah. Untuk informasi selengkapnya, lihat Konsep SKU Layanan Domain.

   Untuk tutorial ini, pilih SKU Standar.

4. Siratan adalah konstruksi logis yang digunakan oleh Active Directory Domain Services untuk mengelompokkan satu atau beberapa domain.

   

5. Untuk mengonfigurasi opsi tambahan secara manual, pilih Berikutnya - Jaringan. Jika tidak, pilih Tinjau + buat untuk menerima opsi konfigurasi default, lalu lewati ke bagian untuk Menerapkan domain terkelola Anda. Default berikut dikonfigurasi saat Anda memilih opsi buat ini:

   • Membuat jaringan virtual bernama aadds-vnet yang menggunakan rentang alamat IP 10.0.1.0/24.
   • Membuat subnet bernama aadds-subnet yang menggunakan rentang alamat IP 10.0.1.0/24.
   • Menyinkronkan Semua pengguna dari ID Microsoft Entra ke domain terkelola.

Membuat dan mengonfigurasi jaringan virtual

Untuk menyediakan konektivitas, diperlukan jaringan virtual Azure dan subnet khusus. Layanan Domain diaktifkan di subnet jaringan virtual ini. Dalam tutorial ini, Anda membuat jaringan virtual, meskipun Anda dapat memilih untuk menggunakan jaringan virtual yang ada. Dalam salah satu pendekatan, Anda harus membuat subnet khusus untuk digunakan oleh Domain Services.

Beberapa pertimbangan untuk subnet jaringan virtual khusus ini termasuk area berikut:

• Subnet harus memiliki setidaknya 3-5 alamat IP yang tersedia dalam rentang alamatnya untuk mendukung sumber daya Layanan Domain.
• Jangan pilih subnet Gateway untuk menyebarkan Layanan Domain. Tidak didukung untuk menyebarkan Layanan Domain ke subnet Gateway .
• Jangan menyebarkan komputer virtual lainnya ke subnet. Aplikasi dan VM sering menggunakan grup keamanan jaringan untuk mengamankan konektivitas. Menjalankan beban kerja ini dalam subnet terpisah memungkinkan Anda menerapkan grup keamanan jaringan tersebut tanpa mengganggu konektivitas ke domain terkelola Anda.

Untuk informasi selengkapnya tentang cara merencanakan dan mengonfigurasi jaringan virtual, lihat pertimbangan jaringan untuk Microsoft Entra Domain Services.

Selesaikan bidang di dalam jendela Jaringan sebagai berikut:

1. Pada halaman Jaringan , pilih jaringan virtual untuk menyebarkan Layanan Domain dari menu drop-down, atau pilih Buat baru.

   1. Jika Anda memilih untuk membuat jaringan virtual, masukkan nama untuk jaringan virtual, seperti myVnet, lalu sediakan rentang alamat, seperti 10.0.1.0/24.
   2. Buat subnet khusus dengan nama yang jelas, seperti DomainServices. Sediakan rentang alamat, seperti 10.0.1.0/24.

   

   Pastikan untuk memilih rentang alamat yang ada dalam rentang alamat IP privat Anda. Rentang alamat IP yang tidak Anda miliki yang berada di ruang alamat publik menyebabkan kesalahan dalam Layanan Domain.

2. Pilih subnet jaringan virtual, seperti DomainServices.

3. Bila sudah siap, pilih Berikutnya - Administrasi.

Mengonfigurasi sebuah grup administratif

Grup administratif khusus bernama Administrator AAD DC digunakan untuk manajemen domain Domain Services. Anggota grup ini diberi izin administratif pada VM yang bergabung dengan domain ke domain terkelola. Pada VM yang bergabung dengan domain, grup ini ditambahkan ke grup administrator lokal. Anggota grup ini juga dapat menggunakan Desktop Jauh untuk terhubung dari jarak jauh ke VM yang bergabung dengan domain.

Penting

Anda tidak memiliki izin Administrator Domain atau Administrator Perusahaan di domain terkelola menggunakan Layanan Domain. Izin ini dicadangkan oleh layanan dan tidak tersedia untuk pengguna dalam penyewa.

Sebaliknya, grup Administrator AAD DC memungkinkan Anda melakukan beberapa operasi istimewa. Operasi ini mencakup milik grup administrasi pada VM yang bergabung dengan domain, dan mengonfigurasi Kebijakan Grup.

Wizard secara otomatis membuat grup Administrator AAD DC di direktori Microsoft Entra Anda. Jika Anda memiliki grup yang sudah ada dengan nama ini di direktori Microsoft Entra Anda, wizard akan memilih grup ini. Anda dapat secara opsional memilih untuk menambahkan pengguna tambahan ke grup Administrator AAD DC ini selama proses penyebaran. Langkah-langkah ini dapat diselesaikan nanti.

1. Untuk menambahkan pengguna tambahan ke grup Administrator AAD DC ini, pilih Kelola keanggotaan grup.

   

2. Pilih tombol Tambahkan anggota , lalu cari dan pilih pengguna dari direktori Microsoft Entra Anda. Misalnya, cari akun Anda sendiri, dan tambahkan ke grup Administrator AAD DC.

3. Jika diinginkan, ubah atau tambahkan penerima tambahan untuk pemberitahuan saat ada pemberitahuan di domain terkelola yang memerlukan perhatian.

4. Bila siap, pilih Berikutnya - Sinkronisasi.

Mengonfigurasi sinkronisasi

Layanan Domain memungkinkan Anda menyinkronkan semua pengguna dan grup yang tersedia di ID Microsoft Entra, atau sinkronisasi tercakup hanya dari grup tertentu. Anda bisa mengubah lingkup sinkronisasi sekarang, atau setelah domain terkelola disebarkan. Untuk informasi selengkapnya, lihat Sinkronisasi tercakup Microsoft Entra Domain Services.

1. Untuk tutorial ini, pilih untuk menyinkronkan Semua pengguna dan grup. Pilihan sinkronisasi ini adalah opsi default.

   

2. Pilih Tinjau + buat.

Menyebarkan domain terkelola

Pada halaman Ringkasan wizard, tinjau pengaturan konfigurasi untuk domain terkelola Anda. Anda bisa kembali ke langkah wizard mana pun untuk membuat perubahan. Untuk menyebarkan ulang domain terkelola ke penyewa Microsoft Entra yang berbeda dengan cara yang konsisten menggunakan opsi konfigurasi ini, Anda juga dapat Mengunduh templat untuk otomatisasi.

1. Untuk membuat domain terkelola, pilih Buat. Catatan ditampilkan bahwa opsi konfigurasi tertentu seperti nama DNS atau jaringan virtual tidak dapat diubah setelah Layanan Domain dikelola dibuat. Untuk melanjutkan, pilih OK.

2. Proses penyediaan domain terkelola Anda bisa membutuhkan waktu hingga satu jam. Pemberitahuan ditampilkan di portal yang menunjukkan kemajuan penyebaran Layanan Domain Anda. Pilih pemberitahuan untuk melihat kemajuan terperinci untuk penyebaran.

   

3. Pilih grup sumber daya Anda, seperti myResourceGroup, lalu pilih domain terkelola Anda dari daftar sumber daya Azure, seperti aaddscontoso.com. Tab Gambaran Umum memperlihatkan bahwa domain terkelola saat ini sedang Disebarkan. Anda tidak dapat mengonfigurasi domain terkelola hingga domain tersebut sepenuhnya disediakan.

   

4. Saat domain terkelola sepenuhnya disediakan, tab Gambaran Umum memperlihatkan status domain sebagai Berjalan.

   

Penting

Domain terkelola dikaitkan dengan penyewa Microsoft Entra Anda. Selama proses provisi, Domain Services membuat dua Aplikasi Perusahaan bernama Domain Controller Services dan AzureActiveDirectoryDomainControllerServices di penyewa Microsoft Entra. Aplikasi Perusahaan ini diperlukan untuk melayani domain terkelola Anda. Jangan menghapus aplikasi ini.

Memperbarui pengaturan DNS untuk jaringan virtual Azure

Dengan Domain Services berhasil disebarkan, sekarang konfigurasikan jaringan virtual untuk memungkinkan VM dan aplikasi lain yang terhubung menggunakan domain terkelola. Untuk menyediakan konektivitas ini, perbarui pengaturan server DNS untuk jaringan virtual Anda untuk mengarahkan ke dua alamat IP tempat domain terkelola disebarkan.

1. Tab Gambaran Umum untuk domain terkelola Anda memperlihatkan beberapa Langkah konfigurasi yang diperlukan. Langkah konfigurasi pertama adalah memperbarui pengaturan server DNS untuk jaringan virtual Anda. Setelah pengaturan DNS dikonfigurasi dengan benar, langkah ini tidak lagi diperlihatkan.

   Alamat yang tercantum adalah pengontrol domain untuk digunakan di jaringan virtual. Dalam contoh ini, alamat tersebut adalah 10.0.1.4 dan 10.0.1.5. Anda nantinya dapat menemukan alamat IP ini pada tab Properti.

   

2. Untuk memperbarui pengaturan server DNS untuk jaringan virtual, pilih tombol Konfigurasi. Pengaturan DNS dikonfigurasi secara otomatis untuk jaringan virtual Anda.

Tip

Jika Anda memilih jaringan virtual yang sudah ada di langkah-langkah sebelumnya, VM apa pun yang terhubung ke jaringan hanya mendapatkan pengaturan DNS baru setelah memulai ulang. Anda dapat memulai ulang VM menggunakan pusat admin Microsoft Entra, Microsoft Graph PowerShell, atau Azure CLI.

Mengaktifkan akun pengguna untuk Domain Services

Untuk mengautentikasi pengguna di domain terkelola, Domain Services memerlukan hash kata sandi dalam format yang cocok untuk autentikasi NT LAN Manager (NTLM) dan Kerberos. ID Microsoft Entra tidak menghasilkan atau menyimpan hash kata sandi dalam format yang diperlukan untuk autentikasi NTLM atau Kerberos hingga Anda mengaktifkan Layanan Domain untuk penyewa Anda. Untuk alasan keamanan, ID Microsoft Entra juga tidak menyimpan kredensial kata sandi apa pun dalam bentuk teks yang jelas. Oleh karena itu, ID Microsoft Entra tidak dapat secara otomatis menghasilkan hash kata sandi NTLM atau Kerberos ini berdasarkan kredensial pengguna yang ada.

Catatan

Setelah dikonfigurasi dengan tepat, hash kata sandi yang dapat digunakan disimpan di domain terkelola. Jika Anda menghapus domain terkelola, hash kata sandi apa pun yang disimpan pada saat itu juga dihapus.

Informasi kredensial yang disinkronkan di ID Microsoft Entra tidak dapat digunakan kembali jika nanti Anda membuat domain terkelola - Anda harus mengonfigurasi ulang sinkronisasi hash kata sandi untuk menyimpan hash kata sandi lagi. VM atau pengguna yang bergabung dengan domain sebelumnya tidak akan dapat segera mengautentikasi - ID Microsoft Entra perlu menghasilkan dan menyimpan hash kata sandi di domain terkelola baru.

Untuk informasi selengkapnya, lihat Proses sinkronisasi hash kata sandi untuk Domain Services dan Microsoft Entra Koneksi.

Langkah-langkah untuk menghasilkan dan menyimpan hash kata sandi ini berbeda untuk akun pengguna khusus cloud yang dibuat di ID Microsoft Entra versus akun pengguna yang disinkronkan dari direktori lokal Anda menggunakan Microsoft Entra Koneksi.

Akun pengguna khusus cloud adalah akun yang dibuat di direktori Microsoft Entra Anda menggunakan pusat admin Microsoft Entra atau cmdlet Microsoft Graph PowerShell. Akun pengguna ini tidak disinkronkan dari direktori lokal.

Dalam tutorial ini, mari kita bekerja dengan akun pengguna khusus cloud dasar. Untuk informasi selengkapnya tentang langkah-langkah tambahan yang diperlukan untuk menggunakan Microsoft Entra Koneksi, lihat Menyinkronkan hash kata sandi untuk akun pengguna yang disinkronkan dari AD lokal Anda ke domain terkelola Anda.

Tip

Jika penyewa Microsoft Entra Anda memiliki kombinasi pengguna dan pengguna khusus cloud dari AD lokal, Anda perlu menyelesaikan kedua set langkah.

Untuk akun pengguna khusus cloud, pengguna harus mengubah kata sandi mereka sebelum mereka dapat menggunakan Layanan Domain. Proses perubahan kata sandi ini menyebabkan hash kata sandi untuk autentikasi Kerberos dan NTLM dihasilkan dan disimpan di ID Microsoft Entra. Akun tidak disinkronkan dari ID Microsoft Entra ke Layanan Domain hingga kata sandi diubah. Kedaluwarsa kata sandi untuk semua pengguna cloud di penyewa yang perlu menggunakan Layanan Domain, yang memaksa perubahan kata sandi pada masuk berikutnya, atau menginstruksikan pengguna cloud untuk mengubah kata sandi mereka secara manual. Untuk tutorial ini, mari kita mengubah kata sandi pengguna secara manual.

Sebelum pengguna dapat mengatur ulang kata sandi mereka, penyewa Microsoft Entra harus dikonfigurasi untuk pengaturan ulang kata sandi layanan mandiri.

Untuk mengubah kata sandi untuk pengguna khusus cloud, pengguna harus menyelesaikan langkah-langkah berikut:

1. Buka halaman Panel Akses ID Microsoft Entra di https://myapps.microsoft.com.

2. Di pojok kanan atas, pilih nama Anda, lalu pilih Profil dari menu drop-down.

   

3. Di halaman Profil, pilih Ubah kata sandi.

4. Pada halaman Ubah kata sandi, masukkan kata sandi yang sudah ada (lama), lalu masukkan dan konfirmasi kata sandi baru.

5. Pilih kirim.

Dibutuhkan beberapa menit setelah Anda mengubah kata sandi agar kata sandi baru dapat digunakan di Layanan Domain dan berhasil masuk ke komputer yang bergabung ke domain terkelola.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara:

• Mengonfigurasi pengaturan DNS dan jaringan virtual untuk domain terkelola
• Membuat domain terkelola
• Menambahkan pengguna administratif ke manajemen domain
• Aktifkan akun pengguna untuk Layanan Domain dan hasilkan hash kata sandi

Untuk melihat domain terkelola ini beraksi, buat dan bergabung dengan komputer virtual ke domain.

Bergabung dengan komputer virtual Windows Server ke domain terkelola Anda