Samouczek: tworzenie i konfigurowanie domeny zarządzanej usług Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z Windows Server Active Directory. Te usługi domeny są używane bez samodzielnego wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek. Usługa Azure AD DS integruje się z istniejącą dzierżawą usługi Azure AD. Dzięki tej integracji użytkownicy mogą logować się przy użyciu poświadczeń firmowych, a do zabezpieczania dostępu do zasobów można używać istniejących grup i kont użytkowników.

Domenę zarządzaną można utworzyć przy użyciu domyślnych opcji konfiguracji dla sieci i synchronizacji lub ręcznie zdefiniować te ustawienia. W tym samouczku pokazano, jak używać opcji domyślnych do tworzenia i konfigurowania domeny zarządzanej usługi Azure AD DS przy użyciu Azure Portal.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Informacje o wymaganiach dns dotyczących domeny zarządzanej
  • Tworzenie domeny zarządzanej
  • Włączanie synchronizacji skrótów haseł

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

Chociaż usługa Azure AD DS nie jest wymagana, zaleca się skonfigurowanie samoobsługowego resetowania haseł (SSPR) dla dzierżawy usługi Azure AD. Użytkownicy mogą zmieniać swoje hasło bez samoobsługowego resetowania hasła, ale samoobsługowe resetowanie hasła pomaga w przypadku zapomnienia hasła i zresetowania go.

Ważne

Nie można przenieść domeny zarządzanej do innej subskrypcji, grupy zasobów, regionu, sieci wirtualnej lub podsieci po jej utworzeniu. Podczas wdrażania domeny zarządzanej należy wybrać najbardziej odpowiednią subskrypcję, grupę zasobów, region, sieć wirtualną i podsieć.

Logowanie się do witryny Azure Portal

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu Azure Portal. Aby rozpocząć, najpierw zaloguj się do Azure Portal.

Tworzenie domeny zarządzanej

Aby uruchomić kreatora Włączanie usług Azure AD Domain Services , wykonaj następujące kroki:

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
  2. Wprowadź ciąg Domain Services na pasku wyszukiwania, a następnie wybierz pozycję Azure AD Domain Services z sugestii wyszukiwania.
  3. Na stronie Azure AD Domain Services wybierz pozycję Utwórz. Zostanie uruchomiony kreator Włącz usługi Azure AD Domain Services .
  4. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć domenę zarządzaną.
  5. Wybierz grupę zasobów , do której powinna należeć domena zarządzana. Wybierz pozycję Utwórz nową lub wybierz istniejącą grupę zasobów.

Podczas tworzenia domeny zarządzanej należy określić nazwę DNS. Podczas wybierania tej nazwy DNS należy wziąć pod uwagę pewne zagadnienia:

  • Wbudowana nazwa domeny: Domyślnie jest używana wbudowana nazwa domeny katalogu ( sufiks .onmicrosoft.com ). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej przez Internet, nie możesz utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc urząd certyfikacji nie wystawia certyfikatu.
  • Niestandardowe nazwy domen: Najbardziej typowym podejściem jest określenie niestandardowej nazwy domeny, zazwyczaj takiej, która jest już właścicielem i jest routable. W przypadku korzystania z routable, domeny niestandardowej ruch może prawidłowo przepływać zgodnie z potrzebami w celu obsługi aplikacji.
  • Sufiksy domeny bez routingu: Zazwyczaj zaleca się unikanie sufiksu nazwy domeny nieobsługiwnej, takiego jak contoso.local. Sufiks lokalny nie jest routingiem i może powodować problemy z rozpoznawaniem nazw DNS.

Porada

Jeśli tworzysz niestandardową nazwę domeny, zadbaj o istniejące przestrzenie nazw DNS. Zaleca się użycie nazwy domeny niezależnie od istniejącej przestrzeni nazw DNS platformy Azure lub lokalnej.

Jeśli na przykład masz istniejącą przestrzeń nazw DNS contoso.com, utwórz domenę zarządzaną z niestandardową nazwą domeny aaddscontoso.com. Jeśli musisz użyć protokołu Secure LDAP, musisz zarejestrować i posiadać tę niestandardową nazwę domeny, aby wygenerować wymagane certyfikaty.

Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych usług przesyłania dalej DNS między istniejącymi przestrzeniami nazw DNS w środowisku. Jeśli na przykład uruchomisz serwer internetowy hostujący lokację przy użyciu głównej nazwy DNS, mogą występować konflikty nazewnictwa, które wymagają dodatkowych wpisów DNS.

W tych samouczkach i artykułach z instrukcjami domena niestandardowa aaddscontoso.com jest używana jako krótki przykład. We wszystkich poleceniach określ własną nazwę domeny.

Obowiązują również następujące ograniczenia nazw DNS:

  • Ograniczenia prefiksu domeny: Nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków. Prefiks określonej nazwy domeny (na przykład aaddscontoso w nazwie domeny aaddscontoso.com ) musi zawierać 15 lub mniej znaków.
  • Konflikty nazw sieci: Nazwa domeny DNS dla domeny zarządzanej nie powinna jeszcze istnieć w sieci wirtualnej. W szczególności sprawdź następujące scenariusze, które mogłyby prowadzić do konfliktu nazw:
    • Jeśli masz już domenę usługi Active Directory o tej samej nazwie domeny DNS w sieci wirtualnej platformy Azure.
    • Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną. W tym scenariuszu upewnij się, że nie masz domeny o tej samej nazwie domeny DNS w sieci lokalnej.
    • Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.

Wypełnij pola w oknie Podstawy Azure Portal, aby utworzyć domenę zarządzaną:

  1. Wprowadź nazwę domeny DNS dla domeny zarządzanej, biorąc pod uwagę poprzednie punkty.

  2. Wybierz lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana. Jeśli wybierzesz region obsługujący usługę Azure Strefy dostępności, zasoby usługi Azure AD DS są dystrybuowane między strefy w celu uzyskania dodatkowej nadmiarowości.

    Porada

    Strefy dostępności to unikatowe fizyczne lokalizacje w regionie świadczenia usługi Azure. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć. W celu zapewnienia odporności istnieją co najmniej trzy osobne strefy we wszystkich włączonych regionach.

    Nie ma nic do skonfigurowania, aby usługi Azure AD DS były dystrybuowane między strefami. Platforma Azure automatycznie obsługuje dystrybucję stref zasobów. Aby uzyskać więcej informacji i zobaczyć dostępność regionów, zobacz Co Strefy dostępności na platformie Azure?

  3. Jednostka SKU określa wydajność i częstotliwość tworzenia kopii zapasowych. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli wymagania biznesowe lub wymagania zostaną zmienione. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące jednostki SKU usług Azure AD DS.

    Na potrzeby tego samouczka wybierz jednostkę SKU w warstwie Standardowa .

  4. Las jest konstrukcją logiczną używaną przez Active Directory Domain Services do grupowania co najmniej jednej domeny. Domyślnie domena zarządzana jest tworzona jako las użytkownika . Ten typ lasu synchronizuje wszystkie obiekty z usługi Azure AD, w tym wszystkie konta użytkowników utworzone w lokalnym środowisku usług AD DS.

    Las zasobów synchronizuje tylko użytkowników i grupy utworzone bezpośrednio w usłudze Azure AD. Aby uzyskać więcej informacji na temat lasów zasobów , w tym dlaczego można jej używać i jak tworzyć relacje zaufania lasu z lokalnymi domenami usług AD DS, zobacz Omówienie lasów zasobów usług Azure AD DS.

    Na potrzeby tego samouczka wybierz opcję utworzenia lasu użytkownika .

    Configure basic settings for an Azure AD Domain Services managed domain

Aby szybko utworzyć domenę zarządzaną, możesz wybrać pozycję Przejrzyj i utwórz , aby zaakceptować dodatkowe domyślne opcje konfiguracji. Następujące wartości domyślne są konfigurowane podczas wybierania tej opcji tworzenia:

  • Tworzy sieć wirtualną o nazwie aadds-vnet , która używa zakresu adresów IP 10.0.2.0/24.
  • Tworzy podsieć o nazwie aadds-subnet przy użyciu zakresu adresów IP 10.0.2.0/24.
  • Synchronizuje wszystkich użytkowników z usługi Azure AD z domeną zarządzaną.

Wybierz pozycję Przejrzyj i utwórz , aby zaakceptować te domyślne opcje konfiguracji.

Wdrażanie domeny zarządzanej

Na stronie Podsumowanie kreatora przejrzyj ustawienia konfiguracji domeny zarządzanej. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany. Aby ponownie wdrożyć domenę zarządzaną w innej dzierżawie usługi Azure AD w spójny sposób przy użyciu tych opcji konfiguracji, możesz również pobrać szablon automatyzacji.

  1. Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz. Zostanie wyświetlona uwaga, że po utworzeniu zarządzanego przez usługę Azure AD DS nie można zmienić niektórych opcji konfiguracji, takich jak nazwa DNS lub sieć wirtualna. Aby kontynuować, wybierz przycisk OK.

  2. Proces aprowizacji domeny zarządzanej może potrwać do godziny. W portalu zostanie wyświetlone powiadomienie, które pokazuje postęp wdrażania usługi Azure AD DS. Wybierz powiadomienie, aby wyświetlić szczegółowy postęp wdrożenia.

    Notification in the Azure portal of the deployment in progress

  3. Strona zostanie załadowana wraz z aktualizacjami procesu wdrażania, w tym utworzeniem nowych zasobów w katalogu.

  4. Wybierz grupę zasobów, taką jak myResourceGroup, a następnie wybierz domenę zarządzaną z listy zasobów platformy Azure, takich jak aaddscontoso.com. Karta Przegląd pokazuje, że domena zarządzana jest obecnie wdrażana. Nie można skonfigurować domeny zarządzanej, dopóki nie zostanie ona w pełni aprowizowana.

    Domain Services status during the provisioning state

  5. Gdy domena zarządzana jest w pełni aprowizowana, na karcie Przegląd jest wyświetlany stan domeny Uruchomiono.

    Domain Services status once successfully provisioned

Ważne

Domena zarządzana jest skojarzona z dzierżawą usługi Azure AD. Podczas procesu aprowizacji usługi Azure AD DS tworzy dwie aplikacje Enterprise o nazwie Domain Controller Services i AzureActiveDirectoryDomainControllerServices w dzierżawie usługi Azure AD. Te Enterprise aplikacje są potrzebne do obsługi domeny zarządzanej. Nie usuwaj tych aplikacji.

Aktualizowanie ustawień DNS dla sieci wirtualnej platformy Azure

Po pomyślnym wdrożeniu usług Azure AD DS skonfiguruj sieć wirtualną, aby umożliwić innym połączonym maszynom wirtualnym i aplikacjom korzystanie z domeny zarządzanej. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej, aby wskazywały dwa adresy IP, na których wdrożono domenę zarządzaną.

  1. Karta Przegląd domeny zarządzanej zawiera kilka kroków wymaganych konfiguracji. Pierwszym krokiem konfiguracji jest zaktualizowanie ustawień serwera DNS dla sieci wirtualnej. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już wyświetlany.

    Wymienione adresy to kontrolery domeny do użycia w sieci wirtualnej. W tym przykładzie te adresy to 10.0.2.4 i 10.0.2.5. Te adresy IP można później znaleźć na karcie Właściwości .

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj . Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.

Porada

Jeśli w poprzednich krokach wybrano istniejącą sieć wirtualną, wszystkie maszyny wirtualne połączone z siecią otrzymają tylko nowe ustawienia DNS po ponownym uruchomieniu. Maszyny wirtualne można ponownie uruchomić przy użyciu Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Włączanie kont użytkowników dla usług Azure AD DS

Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Azure AD DS wymagają skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Usługa Azure AD nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Azure AD DS dla dzierżawy. Ze względów bezpieczeństwa usługa Azure AD nie przechowuje również żadnych poświadczeń haseł w postaci zwykłego tekstu. W związku z tym usługa Azure AD nie może automatycznie generować skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.

Uwaga

Po odpowiednim skonfigurowaniu skróty haseł, których można używać, są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.

Zsynchronizowane informacje o poświadczeniach w usłudze Azure AD nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną — musisz ponownie skonfigurować synchronizację skrótów haseł, aby ponownie przechowywać skróty haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać — usługa Azure AD musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej.

Synchronizacja z chmurą w usłudze Azure AD Połączenie nie jest obsługiwana w usługach Azure AD DS. Aby można było uzyskiwać dostęp do maszyn wirtualnych przyłączonych do domeny, użytkownicy lokalni muszą być synchronizowani przy użyciu usługi Azure AD Połączenie. Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług Azure AD DS i Azure AD Połączenie.

Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w usłudze Azure AD w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu usługi Azure AD Połączenie.

Konto użytkownika tylko w chmurze to konto, które zostało utworzone w katalogu usługi Azure AD przy użyciu witryny Azure Portal lub poleceń cmdlet programu Azure AD PowerShell. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.

W tym samouczku będziemy pracować z podstawowym kontem użytkownika tylko w chmurze. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do korzystania z usługi Azure AD Połączenie, zobacz Synchronizowanie skrótów haseł dla kont użytkowników synchronizowanych z lokalnej usługi AD z domeną zarządzaną.

Porada

Jeśli dzierżawa usługi Azure AD ma kombinację użytkowników i użytkowników tylko w chmurze z lokalnej usługi AD, należy wykonać oba zestawy kroków.

W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli korzystać z usług Azure AD DS. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Azure AD. Konto nie jest synchronizowane z usługi Azure AD do usługi Azure AD DS, dopóki hasło nie zostanie zmienione. Wygasną hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą używać usługi Azure AD DS, co wymusza zmianę hasła podczas następnego logowania, lub poinstruuj użytkowników chmury, aby ręcznie zmienili swoje hasła. W tym samouczku ręcznie zmieńmy hasło użytkownika.

Aby użytkownik mógł zresetować swoje hasło, dzierżawa usługi Azure AD musi być skonfigurowana do samoobsługowego resetowania haseł.

Aby zmienić hasło użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:

  1. Przejdź do strony Panel dostępu usługi Azure AD pod adresem https://myapps.microsoft.com.

  2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję Profil z menu rozwijanego.

    Select profile

  3. Na stronie Profil wybierz pozycję Zmień hasło.

  4. Na stronie Zmienianie hasła wprowadź istniejące (stare) hasło, a następnie wprowadź i potwierdź nowe hasło.

  5. Wybierz pozycję Prześlij.

Wprowadzenie nowego hasła do użycia w usługach Azure AD DS i pomyślne zalogowanie się do komputerów przyłączonych do domeny zarządzanej trwa kilka minut.

Następne kroki

W niniejszym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Informacje o wymaganiach dns dotyczących domeny zarządzanej
  • Tworzenie domeny zarządzanej
  • Dodawanie użytkowników administracyjnych do zarządzania domenami
  • Włączanie kont użytkowników dla usług Azure AD DS i generowanie skrótów haseł

Przed dołączeniem maszyn wirtualnych do domeny i wdrożeniem aplikacji korzystających z domeny zarządzanej należy skonfigurować sieć wirtualną platformy Azure dla obciążeń aplikacji.