Zelfstudie: Een virtuele Windows Server-machine toevoegen aan een door Microsoft Entra Domain Services beheerd domein

  • Artikel

Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LDAP, Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory. Met een beheerd domein van Domain Services kunt u functies voor domeindeelname en beheer bieden aan virtuele machines (VM's) in Azure. In deze zelfstudie ziet u hoe u een Windows Server-VM maakt en deze vervolgens toevoegt aan een beheerd domein.

In deze zelfstudie leert u het volgende:

  • Een Windows Server-VM maken
  • De virtuele Windows Server-machine verbinden met een virtueel Azure-netwerk
  • De VM aan het beheerde domein toevoegen

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources nodig:

  • Een actief Azure-abonnement.
  • Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Een gebruikersaccount dat deel uitmaakt van het beheerde domein.
    • Zorg ervoor dat Microsoft Entra Verbinding maken wachtwoordhashsynchronisatie of selfservice voor wachtwoordherstel is uitgevoerd, zodat het account zich kan aanmelden bij het beheerde domein.
  • Een Azure Bastion-host die is geïmplementeerd in uw virtuele Domain Services-netwerk.

Als u al een virtuele machine hebt die u lid wilt maken van een domein, slaat u de sectie over en voegt u de virtuele machine toe aan het beheerde domein.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze zelfstudie maakt u een Windows Server-VM om deel te nemen aan uw beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrum om aan de slag te gaan.

Een virtuele Windows Server-machine maken

We gaan een virtuele Windows Server-machine maken om te tonen hoe u een computer kunt toevoegen aan een beheerd domein. Deze VM is verbonden met een virtueel Azure-netwerk dat verbinding maakt met het beheerde domein. Het proces om lid te worden van een beheerd domein is hetzelfde als het lid worden van een gewoon on-premises Active Directory Domain Services-domein.

Als u al een virtuele machine hebt die u lid wilt maken van een domein, slaat u de sectie over en voegt u de virtuele machine toe aan het beheerde domein.

  1. Selecteer een resource maken in het menu van het Microsoft Entra-beheercentrum of op de startpagina.

  2. Kies Windows Server 2016 Datacenter vanuit Aan de slag gaan.

    Choose to create a Windows Server 2016 Datacenter VM

  3. Configureer in het venster Basisinstellingen de basisinstellingen voor de virtuele machine. Behoud de standaardinstellingen voor Beschikbaarheidsopties, Installatiekopie en Grootte.

    Parameter Voorgestelde waarde
    Resourcegroep Selecteer of maak een resourcegroep zoals myResourceGroup
    Virtual machine name Voer een naam in voor de VM, zoals myVM
    Regio Kies de regio waar u uw VM wilt maken, zoals US - oost
    Username Voer een gebruikersnaam, zoals azureuser, in voor het account van de lokale beheerder om items op de VM te maken
    Password Voer een veilig wachtwoord in voor de lokale beheerder om items op de VM te maken, en bevestig dit. Geef geen referenties op voor een account van domeingebruikers. Windows LAPS wordt niet ondersteund.

  4. Virtuele machines die in Azure worden gemaakt, zijn standaard toegankelijk via internet met behulp van RDP. Als RDP is ingeschakeld, worden er waarschijnlijk geautomatiseerde aanmeldingsaanvallen uitgevoerd, waardoor accounts met algemene namen, zoals admin of beheerder, mogelijk worden uitgeschakeld als gevolg van meerdere mislukte opeenvolgende aanmeldingspogingen.

    RDP moet alleen worden ingeschakeld als dit vereist is, en moet worden beperkt tot een reeks geautoriseerde IP-bereiken. Met deze configuratie wordt de beveiliging van de virtuele machine verbeterd en wordt het gebied voor mogelijke aanvallen verminderd. U kunt ook een Azure Bastion-host maken en gebruiken die alleen toegang via het Microsoft Entra-beheercentrum via TLS toestaat. In de volgende stap van deze zelfstudie gebruikt u een Azure Bastion-host om veilig verbinding te maken met de virtuele machine.

    Bij Openbare poorten voor inkomend verkeer selecteert u Geen.

  5. Wanneer u klaar bent, selecteert u Volgende: Schijven.

  6. Kies Standard SSD in de vervolgkeuzelijst voor het type besturingssysteemschijf en selecteer vervolgens Volgende: Netwerken.

  7. Uw virtuele machine moet verbinding maken met een subnet van het virtuele Azure-netwerk dat kan communiceren met het subnet waarin uw beheerde domein is geïmplementeerd. Het is raadzaam dat u een beheerd domein hebt geïmplementeerd in een eigen toegewezen subnet. Implementeer uw virtuele machine niet in hetzelfde subnet als uw beheerde domein.

    Er zijn twee hoofdmanieren om uw virtuele machine te implementeren en verbinding te laten maken met een geschikt subnet van het virtuele netwerk:

    • Maak of selecteer een bestaand subnet in hetzelfde virtuele netwerk als waar uw beheerde domein wordt geïmplementeerd.
    • Selecteer een subnet in een virtueel Azure-netwerk dat ermee is verbonden met behulp van peering van virtuele Azure-netwerken.

    Als u een subnet van een virtueel netwerk selecteert dat niet is verbonden met het subnet voor uw beheerde domein, kunt u de VM niet toevoegen aan het beheerde domein. Voor deze zelfstudie maken we een nieuw subnet in het virtuele Azure-netwerk.

    Selecteer in het deelvenster Netwerken het virtuele netwerk waarin uw beheerde domein is geïmplementeerd, zoals aaads-vnet

  8. In dit voorbeeld wordt het bestaande aaads-subnet weergegeven waarmee het beheerde domein is verbonden. Verbind uw virtuele machine niet met dit subnet. Als u een subnet voor de virtuele machine wilt maken, selecteert u Subnetconfiguratie beheren.

    Choose to manage the subnet configuration

  9. Selecteer in het menu aan de linkerkant van het venster Virtueel netwerk Adresruimte. Het virtuele netwerk is gemaakt met één adresruimte van 10.0.2.0/24, dat wordt gebruikt door het standaardsubnet. Andere subnetten, zoals voor workloads of Azure Bastion bestaan mogelijk al.

    Voeg een extra IP-adresbereik toe aan het virtuele netwerk. De grootte van dit adresbereik en het daadwerkelijke te gebruiken IP-adresbereik is afhankelijk van andere netwerkresources die al zijn geïmplementeerd. Het IP-adresbereik mag geen overlap vertonen met de bestaande adresbereiken in uw Azure-omgeving of on-premises omgeving. Zorg ervoor dat u het IP-adresbereik voldoende groot hebt gemaakt voor het aantal VM's dat u in het subnet verwacht te implementeren.

    In het volgende voorbeeld wordt een extra IP-adresbereik van 10.0.5.0/24 toegevoegd. Selecteer Opslaan wanneer u klaar bent.

    Add an additional virtual network IP address range

  10. Selecteer vervolgens in het menu aan de linkerkant van het venster Virtueel netwerk Subnetten en kies vervolgens + Subnet om een subnet toe te voegen.

  11. Selecteer + Subnet en voer een naam in voor het subnet, zoals beheer. Geef een Adresbereik (CIDR-blok) op, zoals 10.0.5.0/24. Zorg ervoor dat dit IP-adresbereik geen overlap vertoont met andere, bestaande Azure-adresbereiken of on-premises adresbereiken. Houd voor de overige opties de standaardwaarden aan en selecteer daarna OK.

    Create a subnet configuration

  12. Het duurt een paar seconden voordat het subnet is gemaakt. Zodra het is gemaakt, selecteert u de X om het subnetvenster te sluiten.

  13. Ga terug naar het deelvenster Netwerken om een virtuele machine te maken, kies het subnet dat u hebt gemaakt in de vervolgkeuzelijst, zoals Beheer. Zorg er nogmaals voor dat u het juiste subnet kiest en uw virtuele machine niet in hetzelfde subnet implementeert als uw beheerde domein.

  14. Selecteer Geen in de vervolgkeuzelijst bij Openbaar IP. Wanneer u in deze zelfstudie Azure Bastion gebruikt om verbinding te maken met het beheer, hoeft er geen openbaar IP-adres te zijn toegewezen aan de VM.

  15. Houd voor de overige opties de standaardwaarden aan en selecteer daarna Beheer.

  16. Stel Diagnostische gegevens over opstarten in op Uit. Houd voor de overige opties de standaardwaarden aan, en selecteer daarna Controleren en maken.

  17. Controleer de instellingen van de VM en selecteer vervolgens Maken.

Het duurt een paar minuten om de virtuele machine te maken. In het Microsoft Entra-beheercentrum wordt de status van de implementatie weergegeven. Zodra de VM klaar is, selecteert u Ga naar resource.

Go to the VM resource once it's successfully created

Verbinding maken met de Windows Server-VM

Gebruik een Azure Bastion-host om veilig verbinding te maken met uw VM's. Met Azure Bastion wordt een beheerde host geïmplementeerd in uw virtuele netwerk, waarmee wordt voorzien in webgebaseerde RDP- of SSH-verbindingen met VM's. Er zijn geen openbare IP-adressen vereist voor de VM's en u hoeft geen regels voor netwerkbeveiligingsgroepen te openen voor extern verkeer. U maakt verbinding met vm's via het Microsoft Entra-beheercentrum vanuit uw webbrowser. Maak een Azure Bastion-host als dat nodig is.

Als u een Bastion-host wilt gebruiken om verbinding te maken met uw virtuele machine, voert u de volgende stappen uit:

  1. Selecteer in het deelvenster Overzicht voor uw virtuele machine Verbinding maken en vervolgens Bastion.

    Connect to Windows virtual machine using Bastion

  2. Voer de referenties in voor uw virtuele machine die u in de vorige sectie hebt opgegeven en selecteer vervolgens Verbinding maken.

    Connect through the Bastion host

Laat, indien nodig, uw webbrowser pop-ups openen voor de weer te geven Bastion-verbinding. Het duurt een paar seconden om de verbinding met uw virtuele machine te maken.

De VM aan het beheerde domein toevoegen

Nu de virtuele machine is gemaakt en een webgebaseerde RDP-verbinding tot stand is gebracht met behulp van Azure Bastion, gaan we nu de Windows Server-VM aan het beheerde domein toevoegen. Het proces is gelijk als die van een computer die verbinding maakt met een gewoon on-premises Active Directory Domain Services-domein.

  1. Als Serverbeheer niet standaard wordt geopend wanneer u zich aanmeldt bij de VM, selecteert u het menu Start en kiest u vervolgens Serverbeheer.

  2. Selecteer in het linkerdeelvenster van het venster Serverbeheer de optie Lokale server. Kies onder Eigenschappen in het rechterdeelvenster Werkgroep.

    Open Server Manager on the VM and edit the workgroup property

  3. Selecteer in het venster SysteemeigenschappenWijzigen om lid te worden van het beheerde domein.

    Choose to change the workgroup or domain properties

  4. Geef in het vak Domein de naam op van uw beheerde domein, zoals aaddscontoso.com en selecteer vervolgens OK.

    Specify the managed domain to join

  5. Voer de domeinreferenties in om lid te worden van het domein. Geef referenties op voor een gebruiker die deel uitmaakt van het beheerde domein. Het account moet deel uitmaken van het beheerde domein of de Microsoft Entra-tenant: accounts van externe mappen die zijn gekoppeld aan uw Microsoft Entra-tenant, kunnen niet correct worden geverifieerd tijdens het domeindeelnameproces.

    U kunt de accountreferenties op een van de volgende manieren opgeven:

    • UPN-indeling (aanbevolen): voer het UPN-achtervoegsel (User Principal Name) in voor het gebruikersaccount, zoals geconfigureerd in Microsoft Entra-id. Het UPN-achtervoegsel van de gebruiker contosoadmin is bijvoorbeeld contosoadmin@aaddscontoso.onmicrosoft.com. Er zijn een aantal veelvoorkomende use-cases waarbij de UPN-indeling betrouwbaar kan worden gebruikt om u aan te melden bij het domein in plaats van de SAMAccountName-indeling :
      • Als het UPN-voorvoegsel van een gebruiker lang is, zoals deehasareallylongname, kan de SAMAccountName automatisch worden gegenereerd.
      • Als meerdere gebruikers hetzelfde UPN-voorvoegsel hebben in uw Microsoft Entra-tenant, zoals dee, kan de SAMAccountName-indeling automatisch worden gegenereerd.
    • SAMAccountName-indeling: Geef de accountnaam op in de SAMAccountName-indeling. De SAMAccountName van de gebruiker contosoadmin is bijvoorbeeld AADDSCONTOSO\contosoadmin.

  6. Het duurt een paar seconden om deze aan het beheerde domein toe te voegen. Wanneer dit is voltooid, wordt u met het volgende bericht welkom geheten bij het domein:

    Welcome to the domain

    Selecteer OK om door te gaan.

  7. Start de VM opnieuw op om het proces te voltooien om lid te worden van het beheerde domein.

Tip

U kunt een virtuele machine met behulp van PowerShell aan een domein toevoegen met de cmdlet Add-Computer. In het volgende voorbeeld wordt het domein AADDSCONTOSO toegevoegd en wordt de virtuele machine opnieuw opgestart. Voer desgevraagd de referenties in voor een gebruiker die deel uitmaakt van het beheerde domein:

Add-Computer -DomainName AADDSCONTOSO -Restart

Als u een virtuele machine aan een domein wilt toevoegen zonder ermee verbinding te maken en de verbinding handmatig te configureren, kunt u de cmdlet Set-AzVmAdDomainExtension van Azure PowerShell gebruiken.

Zodra de Windows Server-VM opnieuw is opgestart, worden alle beleidsregels die in het beheerde domein worden toegepast naar de VM gepusht. U kunt zich nu ook aanmelden bij de virtuele Windows Server-machine met behulp van de juiste domeinreferenties.

Resources opschonen

In de volgende zelfstudie gebruikt u deze Windows Server-VM om de beheerprogramma's te installeren waarmee u het beheerde domein kunt beheren. Als u niet wilt doorgaan in deze reeks zelfstudies, raadpleegt u de volgende stappen om de VM te verwijderen. Ga anders verder met de volgende zelfstudie.

De VM loskoppelen van het beheerde domein

Als u de virtuele machine uit het beheerde domein wilt verwijderen, volgt u weer de stappen om de virtuele machine toe te voegen aan een domein. In plaats van deze aan het beheerde domein toe te voegen, kiest u ervoor om deze aan een werkgroep toe te voegen, zoals de standaard WORKGROUP. Nadat de VM opnieuw is opgestart, wordt het computerobject verwijderd uit het beheerde domein.

Als u de virtuele machine verwijdert zonder dat u zich niet aan het domein hoeft te koppelen, blijft er een zwevend computerobject over in Domain Services.

De VM verwijderen

Als u deze Windows Server-VM niet gaat gebruiken, verwijdert u de VM via de volgende stappen:

  1. Selecteer Resourcegroepen in het linkermenu
  2. Kies uw resourcegroep, bijvoorbeeld myResourceGroup.
  3. Kies uw VM, bijvoorbeeld myVM, en selecteer Verwijderen. Selecteer Ja om de verwijdering van de resource te bevestigen. Het duurt een paar minuten om de VM te verwijderen.
  4. Wanneer de VM wordt verwijderd, selecteert u de schijf met het besturingssysteem, de netwerkinterfacekaart en eventuele andere resources met het voorvoegsel myVM en verwijdert u deze.

Problemen met domeindeelname oplossen

De Windows Server-VM moet worden toegevoegd aan het beheerde domein, op dezelfde manier als een normale on-premises computer zou worden toegevoegd aan een Active Directory Domain Services domein. Als de Windows Server-VM geen lid kan worden van het beheerde domein, wordt hiermee aangegeven dat er een probleem is met de connectiviteit of met betrekking tot referenties. Raadpleeg de volgende secties voor probleemoplossing om lid te worden van het beheerde domein.

Connectiviteitsproblemen

Als u niet wordt om referenties om lid te kunnen worden van het domein, is er een probleem met de verbinding. De VM kan het beheerde domein niet bereiken op het virtuele netwerk.

Probeer, als u elk van deze probleemoplossingsstappen hebt geprobeerd, de Windows Server-VM opnieuw aan het beheerde domein toe te voegen.

  • Controleer of de VIRTUELE machine is verbonden met hetzelfde virtuele netwerk waarin Domain Services is ingeschakeld of of een gekoppelde netwerkverbinding heeft.
  • Voer een ping uit voor de DNS-domeinnaam van het beheerde domein, zoals ping aaddscontoso.com.
    • Als de ping-aanvraag mislukt, probeert u de IP-adressen voor het beheerde domein te pingen, zoals ping 10.0.0.4. Het IP-adres voor uw omgeving wordt weergegeven op de pagina Eigenschappen wanneer u het beheerde domein selecteert in uw lijst met Azure-resources.
    • Als u het IP-adres kunt pingen, maar niet het domein, is het DNS mogelijk onjuist geconfigureerd. Controleer of de IP-adressen van het beheerde domein zijn geconfigureerd als DNS-servers voor het virtuele netwerk.
  • Probeer de cache van de DNS-resolver op de virtuele machine leeg te maken met behulp van de ipconfig /flushdns-opdracht.

Als u wordt gevraagd om referenties voor deelname aan het domein, maar vervolgens een foutmelding wordt weergegeven nadat u deze referenties hebt ingevoerd, kan de virtuele machine verbinding maken met het beheerde domein. Met de referenties die u hebt ingevoerd, kan de VM niet aan het beheerde domein worden toegevoegd.

Probeer, als u elk van deze probleemoplossingsstappen hebt geprobeerd, de Windows Server-VM opnieuw aan het beheerde domein toe te voegen.

  • Zorg ervoor dat het gebruikersaccount dat u opgeeft, behoort tot het beheerde domein.
  • Controleer of het account deel uitmaakt van het beheerde domein of de Microsoft Entra-tenant. Accounts van externe mappen die zijn gekoppeld aan uw Microsoft Entra-tenant, kunnen niet correct worden geverifieerd tijdens het domeindeelnameproces.
  • Gebruik de UPN-indeling om referenties op te geven, zoals contosoadmin@aaddscontoso.onmicrosoft.com. Als er veel gebruikers zijn met hetzelfde UPN-voorvoegsel in uw tenant, of als uw UPN-voorvoegsel te lang is, kan de SAMAccountName voor uw account automatisch worden gegenereerd. In dergelijke gevallen kan de SAMAccountName-indeling voor uw account afwijken van wat u verwacht of gebruikt in uw on-premises domein.
  • Controleer of wachtwoordsynchronisatie is ingeschakeld voor uw beheerde domein. Zonder deze configuratiestap zijn de vereiste wachtwoordhashes niet aanwezig in het beheerde domein om uw aanmeldingspoging correct te verifiëren.
  • Wacht tot de wachtwoordsynchronisatie is voltooid. Wanneer het wachtwoord van een gebruikersaccount wordt gewijzigd, werkt een automatische achtergrondsynchronisatie van Microsoft Entra ID het wachtwoord bij in Domain Services. Het duurt enige tijd voordat het wachtwoord kan worden gebruikt voor deelname aan een domein.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

  • Een Windows Server-VM maken
  • De virtuele Windows Server-machine verbinden met een virtueel Azure-netwerk
  • De VM aan het beheerde domein toevoegen

Als u uw beheerde domein wilt beheren, configureert u een beheer-VM met behulp van het Active Directory-beheercentrum (ADAC).

Beheerprogramma's installeren op een beheer-VM