Esercitazione: Aggiungere una macchina virtuale Windows Server a un dominio gestito di Microsoft Entra Domain Services

  • Articolo

Servizi di dominio Microsoft Entra fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo, LDAP, l'autenticazione Kerberos/NTLM completamente compatibile con Windows Server Active Directory. Con un dominio gestito di Servizi di dominio, è possibile fornire funzionalità di aggiunta al dominio e gestione alle macchine virtuali (VM) in Azure. Questa esercitazione illustra come creare una macchina virtuale Windows Server e quindi aggiungerla a un dominio gestito.

In questa esercitazione apprenderai a:

  • Creare una macchina virtuale Windows Server
  • Connettere la macchina virtuale Windows Server a una rete virtuale di Azure
  • Aggiungere la macchina virtuale al dominio gestito

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessarie le risorse seguenti:

  • Una sottoscrizione di Azure attiva.
  • Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Un account utente che fa parte del dominio gestito.
    • Assicurarsi che microsoft Entra Connessione sincronizzazione dell'hash delle password o la reimpostazione della password self-service sia stata eseguita in modo che l'account sia in grado di accedere al dominio gestito.
  • Un host Azure Bastion distribuito nella rete virtuale di Servizi di dominio.

Se si ha già una VM da aggiungere al dominio, passare alla sezione che descrive come aggiungerla al dominio gestito.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione si crea una macchina virtuale Windows Server da aggiungere al dominio gestito usando l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere prima all'interfaccia di amministrazione di Microsoft Entra.

creare una macchina virtuale Windows Server

Per vedere come aggiungere un computer a un dominio gestito, verrà creata una VM Windows Server. Questa VM è connessa a una rete virtuale di Azure che fornisce la connettività al dominio gestito. La procedura di aggiunta a un dominio gestito è uguale a quella per un normale dominio di Active Directory Domain Services locale.

Se si ha già una VM da aggiungere al dominio, passare alla sezione che descrive come aggiungerla al dominio gestito.

  1. Dal menu dell'interfaccia di amministrazione di Microsoft Entra o dalla home page selezionare Crea una risorsa.

  2. In Per iniziare scegliere Windows Server 2016 Datacenter.

    Choose to create a Windows Server 2016 Datacenter VM

  3. Nella finestra Nozioni di base configurare le impostazioni di base per la macchina virtuale. Lasciare invariate le impostazioni predefinite per Opzioni di disponibilità, Immagine e Dimensioni.

    Parametro Valore suggerito
    Gruppo di risorse Selezionare o creare un gruppo di risorse, ad esempio myResourceGroup
    Virtual machine name Immettere un nome per la macchina virtuale, ad esempio myVM
    Region Scegliere l'area in cui creare la macchina virtuale, ad esempio Stati Uniti orientali
    Username Immettere un nome utente per l'account amministratore locale da creare nella macchina virtuale, ad esempio azureuser
    Password Immettere e confermare una password sicura per l'amministratore locale da creare nella macchina virtuale. Non specificare le credenziali di un account utente di dominio. Windows L piattaforma di strumenti analitici non è supportato.

  4. Per impostazione predefinita, le macchine virtuali create in Azure sono accessibili da Internet tramite il protocollo RDP. Quando è abilitato il protocollo RDP, è probabile che si verifichino attacchi di accesso automatizzato, che possono disabilitare gli account con nomi comuni come admin o administrator a causa di più tentativi di accesso successivi non riusciti.

    Il protocollo RDP deve essere abilitato solo quando necessario e limitato a un set di intervalli di indirizzi IP autorizzati. Questa configurazione consente di migliorare la sicurezza della macchina virtuale e di ridurre l'area soggetta a potenziali attacchi. In alternativa, creare e usare un host Azure Bastion che consenta l'accesso solo tramite l'interfaccia di amministrazione di Microsoft Entra tramite TLS. Nel passaggio successivo di questa esercitazione si userà un host Azure Bastion per connettersi in modo sicuro alla macchina virtuale.

    In Porte in ingresso pubbliche selezionare Nessuna.

  5. Al termine, selezionare Avanti: Dischi.

  6. Dal menu a discesa per tipo di disco del sistema operativo scegliere SSD Standard, quindi selezionare Avanti: Rete.

  7. La VM deve connettersi a una subnet della rete virtuale di Azure in grado di comunicare con la subnet in cui viene distribuito il dominio gestito. È consigliabile distribuire un dominio gestito in una propria subnet dedicata. Non distribuire la macchina virtuale nella stessa subnet del dominio gestito.

    Esistono due modi principali per distribuire la macchina virtuale e connettersi a una subnet di rete virtuale appropriata:

    • Creare una subnet, o selezionarne una esistente, nella stessa rete virtuale in cui viene distribuito il dominio gestito.
    • Selezionare una subnet in una rete virtuale di Azure connessa alla subnet specificata nel passaggio precedente tramite peering di rete virtuale di Azure.

    Se si seleziona una subnet di rete virtuale non connessa alla subnet del dominio gestito, non è possibile aggiungere la VM al dominio gestito. Per questa esercitazione si creerà una nuova subnet nella rete virtuale di Azure.

    Nel riquadro Rete selezionare la rete virtuale in cui è distribuito il dominio gestito, ad esempio aaads-vnet

  8. In questo esempio viene mostrata la subnet aaads-subnet esistente a cui è connesso il dominio gestito. Non connettere la macchina virtuale a questa subnet. Per creare una subnet per la macchina virtuale, selezionare Gestisci configurazione subnet.

    Choose to manage the subnet configuration

  9. Nel menu sinistro della finestra della rete virtuale selezionare Spazio degli indirizzi. La rete virtuale viene creata con un unico spazio indirizzi, 10.0.2.0/24, usato dalla subnet predefinita. È possibile che siano presenti anche altre subnet, ad esempio per i carichi di lavoro o Azure Bastion.

    Aggiungere un intervallo di indirizzi IP aggiuntivo alla rete virtuale. Le dimensioni di questo intervallo di indirizzi e l'intervallo di indirizzi IP effettivo da usare dipendono dalle altre risorse di rete già distribuite. L'intervallo di indirizzi IP non deve sovrapporsi agli intervalli di indirizzi esistenti nell'ambiente di Azure o in locale. Assicurarsi di scegliere dimensioni dell'intervallo di indirizzi IP sufficienti per il numero di VM che si prevede di distribuire nella subnet.

    Nell'esempio seguente viene aggiunto l'intervallo di indirizzi IP 10.0.5.0/24. Al termine, selezionare Salva.

    Add an additional virtual network IP address range

  10. Successivamente, nel menu sinistro della finestra della rete virtuale selezionare Subnet, quindi scegliere + Subnet per aggiungere una subnet.

  11. Selezionare + Subnet e quindi immettere un nome per la subnet, ad esempio management. Specificare un valore in Intervallo di indirizzi (blocco CIDR), ad esempio 10.0.5.0/24. Assicurarsi che questo intervallo di indirizzi IP non si sovrapponga ad altri intervalli di indirizzi di Azure o locali esistenti. Lasciare invariati i valori predefiniti delle altre opzioni e quindi scegliere OK.

    Create a subnet configuration

  12. Per la creazione della subnet sono necessari alcuni secondi. Dopo aver creato la subnet, selezionare la X per chiudere la finestra.

  13. Tornare al riquadro Rete per creare una macchina virtuale e scegliere la subnet creata dal menu a discesa, ad esempio management. Anche in questo caso, assicurarsi di scegliere la subnet corretta e non distribuire la macchina virtuale nella stessa subnet del dominio gestito.

  14. Per Indirizzo IP pubblico selezionare Nessuno dal menu a discesa. Quando si usa Azure Bastion in questa esercitazione per connettersi alla gestione, non è necessario un indirizzo IP pubblico assegnato alla macchina virtuale.

  15. Lasciare invariati i valori predefiniti delle altre opzioni e quindi scegliere Gestione.

  16. Impostare Diagnostica di avvio su Off. Lasciare invariati i valori predefiniti delle altre opzioni e quindi scegliere Rivedi e crea.

  17. Rivedere le impostazioni della macchina virtuale e quindi selezionare Crea.

La creazione della macchina virtuale richiede alcuni minuti. L'interfaccia di amministrazione di Microsoft Entra mostra lo stato della distribuzione. Quando la macchina virtuale è pronta, selezionare Vai alla risorsa.

Go to the VM resource once it's successfully created

Connettersi alla macchina virtuale Windows Server

Per connettersi in modo sicuro alle macchine virtuali, usare un host Azure Bastion. Con Azure Bastion,viene distribuito nella rete virtuale un host gestito che fornisce connessioni RDP o SSH basate sul Web alle macchine virtuali. Per le macchine virtuali non sono necessari indirizzi IP pubblici e non è necessario aprire regole del gruppo di sicurezza di rete per il traffico remoto esterno. Connettersi alle macchine virtuali usando l'interfaccia di amministrazione di Microsoft Entra dal Web browser. Se necessario, creare un host Azure Bastion.

Per usare un host Bastion per connettersi alla macchina virtuale, seguire questa procedura:

  1. Nel riquadro Panoramica della macchina virtuale selezionare Connetti e quindi Bastion.

    Connect to Windows virtual machine using Bastion

  2. Immettere le credenziali per la macchina virtuale specificata nella sezione precedente, quindi selezionare Connetti.

    Connect through the Bastion host

Se necessario, consentire al Web browser di aprire finestre popup per la visualizzazione della connessione Bastion. Per stabilire la connessione con la macchina virtuale sono necessari alcuni secondi.

Aggiungere la macchina virtuale al dominio gestito

Una volta creata la macchina virtuale e dopo aver stabilito una connessione RDP basata sul Web tramite Azure Bastion, si aggiungerà la macchina virtuale Windows Server al dominio gestito. Questa procedura è identica a quella usata per connettere un computer a un normale dominio di Active Directory Domain Services locale.

  1. Se Server Manager non viene aperto per impostazione predefinita quando si accede alla macchina virtuale, selezionare il menu Start e quindi scegliere Server Manager.

  2. Nel riquadro sinistro della finestra Server Manager selezionare Local Server. Nell'area Proprietà del riquadro destro scegliere Gruppo di lavoro.

    Open Server Manager on the VM and edit the workgroup property

  3. Nella finestra Proprietà del sistema selezionare Cambia per eseguire l'aggiunta al dominio.

    Choose to change the workgroup or domain properties

  4. Nella casella Dominio specificare il nome del dominio gestito, ad esempio aaddscontoso.com, e quindi selezionare OK.

    Specify the managed domain to join

  5. Immettere le credenziali di dominio per l'aggiunta al dominio. Fornire le credenziali di un utente che fa parte del dominio gestito. L'account deve far parte del dominio gestito o del tenant di Microsoft Entra: gli account delle directory esterne associate al tenant di Microsoft Entra non possono eseguire correttamente l'autenticazione durante il processo di aggiunta al dominio.

    Le credenziali dell'account possono essere specificate in uno dei modi seguenti:

    • Formato UPN (scelta consigliata): immettere il suffisso del nome dell'entità utente (UPN) per l'account utente, come configurato in Microsoft Entra ID. Ad esempio, il suffisso UPN dell'utente contosoadmin sarà contosoadmin@aaddscontoso.onmicrosoft.com. Esistono alcuni casi d'uso comuni in cui il formato UPN può essere usato in modo affidabile per accedere al dominio anziché il formato SAMAccountName :
      • Se il prefisso UPN di un utente è lungo, ad esempio nomeutentetroppolungo, è possibile che venga generato automaticamente il formato SAMAccountName.
      • Se più utenti hanno lo stesso prefisso UPN nel tenant di Microsoft Entra, ad esempio dee, il formato SAMAccountName potrebbe essere generato automaticamente.
    • Formato SAMAccountName: immettere il nome dell'account nel formato SAMAccountName. Ad esempio, il formato SAMAccountName dell'utente contosoadmin sarà AADDSCONTOSO\contosoadmin.

  6. L'aggiunta al dominio gestito richiede alcuni secondi. Al termine dell'operazione, viene visualizzato il seguente messaggio di benvenuto nel dominio:

    Welcome to the domain

    Seleziona OK per continuare.

  7. Per completare la procedura di aggiunta al dominio gestito, riavviare la macchina virtuale.

Suggerimento

È possibile aggiungere una macchina virtuale a un dominio usando PowerShell con il cmdlet Add-Computer. Nell'esempio seguente la macchina virtuale viene aggiunta al dominio AADDSCONTOSO e quindi riavviata. Quando richiesto, immettere le credenziali di un utente che fa parte del dominio gestito:

Add-Computer -DomainName AADDSCONTOSO -Restart

Per aggiungere al dominio una macchina virtuale senza connetterla e configurare manualmente la connessione, è possibile usare il cmdlet Set-AzVmAdDomainExtension di Azure PowerShell.

Dopo il riavvio della macchina virtuale Windows Server, i criteri applicati nel dominio gestito verranno inviati tramite push nella macchina virtuale. È ora possibile accedere alla macchina virtuale Windows Server VM anche usando le credenziali di dominio appropriate.

Pulire le risorse

Nell'esercitazione successiva questa VM Windows Server verrà usata per installare gli strumenti di gestione che consentono di amministrare il dominio gestito. Se non si vuole proseguire con questa serie di esercitazioni, vedere la procedura di pulizia descritta di seguito per eliminare la macchina virtuale. In caso contrario, continuare con l'esercitazione successiva.

Annullare l'aggiunta della VM al dominio gestito

Per rimuovere la VM dal dominio gestito, seguire di nuovo la procedura di aggiunta al dominio. Invece di aggiungere il dominio gestito, scegliere di aggiungere un gruppo di lavoro, ad esempio il gruppo di lavoro predefinito WORKGROUP. Dopo il riavvio della macchina virtuale, l'oggetto computer viene rimosso dal dominio gestito.

Se si elimina la macchina virtuale senza separare il dominio, in Servizi di dominio viene lasciato un oggetto computer orfano.

Eliminare la macchina virtuale

Se non si intende più usare la macchina virtuale Windows Server, eliminarla seguendo questa procedura:

  1. Dal menu a sinistra selezionare Gruppi di risorse
  2. Scegliere il gruppo di risorse, ad esempio myResourceGroup.
  3. Scegliere la macchina virtuale, ad esempio myVM, e quindi selezionare Elimina. Selezionare per confermare l'eliminazione della risorsa. Per l'eliminazione della macchina virtuale sono necessari alcuni minuti.
  4. Dopo aver eliminato la macchina virtuale, selezionare il disco del sistema operativo, la scheda di interfaccia di rete e le eventuali altre risorse con il prefisso myVM- ed eliminarle.

Risolvere i problemi relativi all'aggiunta al dominio

La macchina virtuale Windows Server dovrebbe essere aggiunta al dominio gestito nello stesso modo in cui un normale computer locale viene aggiunto a un dominio di Active Directory Domain Services. Se la macchina virtuale Windows Server non può essere aggiunta al dominio gestito, significa che si è verificato un problema di connettività o di credenziali. Vedere le sezioni di risoluzione dei problemi riportate di seguito per aggiungere correttamente la macchina virtuale al dominio gestito.

Problemi di connettività

Se non viene visualizzato un messaggio di richiesta di credenziali per l'aggiunta al dominio, significa che si è verificato un problema di connettività. La macchina virtuale non riesce a raggiungere il dominio gestito nella rete virtuale.

Dopo aver provato ognuno di questi passaggi di risoluzione dei problemi, provare ad aggiungere di nuovo la macchina virtuale Windows Server al dominio gestito.

  • Verificare che la macchina virtuale sia connessa alla stessa rete virtuale in cui è abilitato Domain Services o che disponga di una connessione di rete con peering.
  • Provare a effettuare il ping del nome DNS del dominio gestito, ad esempio ping aaddscontoso.com.
    • Se la richiesta ping ha esito negativo, provare a effettuare il ping degli indirizzi IP per il dominio gestito, ad esempio ping 10.0.0.4. Quando si seleziona il dominio gestito nell'elenco delle risorse di Azure, l'indirizzo IP relativo all'ambiente viene visualizzato nella pagina Proprietà.
    • Se si riesce a effettuare il ping dell'indirizzo IP ma non del dominio, la configurazione del server DNS potrebbe non essere valida. Verificare che gli indirizzi IP del dominio gestito siano configurati come server DNS per la rete virtuale.
  • Provare a scaricare la cache del resolver DNS sulla macchina virtuale usando il comando ipconfig /flushdns.

Se si riceve la richiesta di immettere credenziali per l'aggiunta al dominio ma dopo averle immesse si riceve un errore, la VM è in grado di connettersi al dominio gestito, ma le credenziali specificate non consentono di aggiungerla.

Dopo aver provato ognuno di questi passaggi di risoluzione dei problemi, provare ad aggiungere di nuovo la macchina virtuale Windows Server al dominio gestito.

  • Assicurarsi che l'account utente specificato appartenga al dominio gestito.
  • Verificare che l'account faccia parte del dominio gestito o del tenant di Microsoft Entra. Gli account provenienti da directory esterne associate al tenant di Microsoft Entra non possono eseguire correttamente l'autenticazione durante il processo di aggiunta al dominio.
  • Provare a usare il formato UPN per specificare le credenziali, ad esempio contosoadmin@aaddscontoso.onmicrosoft.com. Se sono presenti diversi utenti con lo stesso prefisso UPN nel tenant o se il prefisso UPN è troppo lungo, è possibile che venga generato automaticamente il formato SAMAccountName. In questi casi, il formato SAMAccountName per l'account può essere diverso da quello previsto o usato nel dominio locale.
  • Controllare di avere abilitato la sincronizzazione password nel dominio gestito. Senza questo passaggio di configurazione, gli hash delle password richiesti non saranno presenti nel dominio gestito per autenticare correttamente il tentativo di accesso.
  • Attendere il completamento della sincronizzazione delle password. Quando la password di un account utente viene modificata, una sincronizzazione automatica in background da Microsoft Entra ID aggiorna la password in Servizi di dominio. La disponibilità della password per l'aggiunta a un dominio richiede tempo.

Passaggi successivi

Questa esercitazione ha descritto come:

  • Creare una macchina virtuale Windows Server
  • Connettersi alla macchina virtuale Windows Server in una rete virtuale di Azure
  • Aggiungere la macchina virtuale al dominio gestito

Per amministrare il dominio gestito, configurare una macchina virtuale di gestione usando il Centro di amministrazione di Active Directory.

Installare gli strumenti di amministrazione in una macchina virtuale di gestione