Tutorial: Associar uma máquina virtual do Windows Server a um domínio gerenciado dos Serviços de Domínio Microsoft Entra

  • Artigo

Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos/NTLM que é totalmente compatível com o Ative Directory do Windows Server. Com um domínio gerenciado dos Serviços de Domínio, você pode fornecer recursos e gerenciamento de ingresso de domínio para máquinas virtuais (VMs) no Azure. Este tutorial mostra como criar uma VM do Windows Server e, em seguida, associá-la a um domínio gerenciado.

Neste tutorial, irá aprender a:

  • Criar uma VM do Windows Server
  • Conectar a VM do Windows Server a uma rede virtual do Azure
  • Associar a VM ao domínio gerenciado

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos:

  • Uma subscrição ativa do Azure.
  • Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
  • Uma conta de usuário que faz parte do domínio gerenciado.
    • Verifique se a sincronização de hash de senha ou a redefinição de senha de autoatendimento do Microsoft Entra Connect foi executada para que a conta possa entrar no domínio gerenciado.
  • Um host do Azure Bastion implantado em sua rede virtual dos Serviços de Domínio.

Se você já tiver uma VM que deseja ingressar no domínio, pule para a seção para associar a VM ao domínio gerenciado.

Inicie sessão no Centro de administração do Microsoft Entra.

Neste tutorial, você cria uma VM do Windows Server para ingressar no seu domínio gerenciado usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no centro de administração do Microsoft Entra.

Criar uma máquina virtual do Windows Server

Para ver como associar um computador a um domínio gerenciado, vamos criar uma VM do Windows Server. Essa VM está conectada a uma rede virtual do Azure que fornece conectividade ao domínio gerenciado. O processo para ingressar em um domínio gerenciado é o mesmo que ingressar em um domínio regular dos Serviços de Domínio Ative Directory local.

Se você já tiver uma VM que deseja ingressar no domínio, pule para a seção para associar a VM ao domínio gerenciado.

  1. No menu do centro de administração do Microsoft Entra ou na página inicial , selecione Criar um recurso.

  2. Em Introdução, escolha Windows Server 2016 Datacenter.

    Choose to create a Windows Server 2016 Datacenter VM

  3. Na janela Noções básicas, defina as configurações principais para a máquina virtual. Deixe os padrões para Opções de disponibilidade, Imagem e Tamanho.

    Parâmetro Valor sugerido
    Grupo de recursos Selecionar ou criar um grupo de recursos, como myResourceGroup
    Virtual machine name Insira um nome para a VM, como myVM
    Região Escolha a região para criar sua VM, como East US
    Username Insira um nome de usuário para a conta de administrador local a ser criada na VM, como azureuser
    Password Insira e confirme uma senha segura para o administrador local criar na VM. Não especifique as credenciais de uma conta de usuário de domínio. O Windows LAPS não é suportado.

  4. Por padrão, as VMs criadas no Azure são acessíveis a partir da Internet usando RDP. Quando o RDP está ativado, é provável que ocorram ataques de início de sessão automatizados, que podem desativar contas com nomes comuns, como administrador ou administrador, devido a várias tentativas de início de sessão sucessivas falhadas.

    O RDP só deve ser ativado quando necessário e limitado a um conjunto de intervalos de IP autorizados. Essa configuração ajuda a melhorar a segurança da VM e reduz a área para possíveis ataques. Ou crie e use um host do Azure Bastion que permita acesso somente por meio do centro de administração do Microsoft Entra sobre TLS. Na próxima etapa deste tutorial, você usa um host do Azure Bastion para se conectar com segurança à VM.

    Em Portas de entrada públicas, selecione Nenhuma.

  5. Quando terminar, selecione Avançar: Discos.

  6. No menu suspenso para o tipo de disco do sistema operacional, escolha SSD padrão e, em seguida, selecione Avançar: Rede.

  7. Sua VM deve se conectar a uma sub-rede de rede virtual do Azure que possa se comunicar com a sub-rede na qual seu domínio gerenciado está implantado. Recomendamos que um domínio gerenciado seja implantado em sua própria sub-rede dedicada. Não implante sua VM na mesma sub-rede que seu domínio gerenciado.

    Há duas maneiras principais de implantar sua VM e conectar-se a uma sub-rede de rede virtual apropriada:

    • Crie uma sub-rede ou selecione uma sub-rede existente na mesma rede virtual em que o domínio gerenciado está implantado.
    • Selecione uma sub-rede em uma rede virtual do Azure que esteja conectada a ela usando o emparelhamento de rede virtual do Azure.

    Se você selecionar uma sub-rede de rede virtual que não esteja conectada à sub-rede do seu domínio gerenciado, não poderá associar a VM ao domínio gerenciado. Para este tutorial, vamos criar uma nova sub-rede na rede virtual do Azure.

    No painel Rede, selecione a rede virtual na qual seu domínio gerenciado está implantado, como aaads-vnet

  8. Neste exemplo, a sub-rede aaads-subnet existente é mostrada à qual o domínio gerenciado está conectado. Não conecte sua VM a essa sub-rede. Para criar uma sub-rede para a VM, selecione Gerenciar configuração de sub-rede.

    Choose to manage the subnet configuration

  9. No menu esquerdo da janela da rede virtual, selecione Espaço de endereço. A rede virtual é criada com um único espaço de endereço de 10.0.2.0/24, que é usado pela sub-rede padrão. Outras sub-redes, como para cargas de trabalho ou Azure Bastion também podem já existir.

    Adicione um intervalo de endereços IP adicional à rede virtual. O tamanho desse intervalo de endereços e o intervalo de endereços IP real a ser usado dependem de outros recursos de rede já implantados. O intervalo de endereços IP não deve se sobrepor a nenhum intervalo de endereços existente em seu ambiente do Azure ou local. Certifique-se de dimensionar o intervalo de endereços IP grande o suficiente para o número de VMs que você espera implantar na sub-rede.

    No exemplo a seguir, um intervalo de endereços IP adicional de 10.0.5.0/24 é adicionado. Quando estiver pronto, selecione Salvar.

    Add an additional virtual network IP address range

  10. Em seguida, no menu esquerdo da janela da rede virtual, selecione Sub-redes e, em seguida, escolha + Sub-rede para adicionar uma sub-rede .

  11. Selecione + Sub-rede e insira um nome para a sub-rede, como gerenciamento. Forneça um intervalo de endereços (bloco CIDR), como 10.0.5.0/24. Certifique-se de que este intervalo de endereços IP não se sobrepõe a quaisquer outros intervalos de endereços existentes do Azure ou no local. Deixe as outras opções como seus valores padrão e selecione OK.

    Create a subnet configuration

  12. Leva alguns segundos para criar a sub-rede. Depois de criado, selecione o X para fechar a janela da sub-rede.

  13. De volta ao painel Rede para criar uma VM, escolha a sub-rede criada no menu suspenso, como gerenciamento. Novamente, certifique-se de escolher a sub-rede correta e não implantar sua VM na mesma sub-rede que seu domínio gerenciado.

  14. Em IP público, selecione Nenhum no menu suspenso. Ao usar o Azure Bastion neste tutorial para se conectar ao gerenciamento, você não precisa de um endereço IP público atribuído à VM.

  15. Deixe as outras opções como seus valores padrão e selecione Gerenciamento.

  16. Defina o diagnóstico de inicialização como Desativado. Deixe as outras opções como valores padrão e selecione Revisar + criar.

  17. Revise as configurações da VM e selecione Criar.

Leva alguns minutos para criar a VM. O centro de administração do Microsoft Entra mostra o status da implantação. Quando a VM estiver pronta, selecione Ir para recurso.

Go to the VM resource once it's successfully created

Conectar-se à VM do Windows Server

Para se conectar com segurança às suas VMs, use um host do Azure Bastion. Com o Azure Bastion, um host gerenciado é implantado em sua rede virtual e fornece conexões RDP ou SSH baseadas na Web para VMs. Nenhum endereço IP público é necessário para as VMs e você não precisa abrir regras de grupo de segurança de rede para tráfego remoto externo. Você se conecta a VMs usando o centro de administração do Microsoft Entra a partir do seu navegador da Web. Se necessário, crie um host do Azure Bastion.

Para usar um host Bastion para se conectar à sua VM, conclua as seguintes etapas:

  1. No painel Visão geral da sua VM, selecione Conectar e, em seguida, Bastion.

    Connect to Windows virtual machine using Bastion

  2. Insira as credenciais para sua VM especificadas na seção anterior e selecione Conectar.

    Connect through the Bastion host

Se necessário, permita que seu navegador abra pop-ups para que a conexão Bastion seja exibida. Leva alguns segundos para fazer a conexão com sua VM.

Associar a VM ao domínio gerenciado

Com a VM criada e uma conexão RDP baseada na Web estabelecida usando o Azure Bastion, agora vamos unir a máquina virtual do Windows Server ao domínio gerenciado. Esse processo é o mesmo que um computador que se conecta a um domínio regular dos Serviços de Domínio Ative Directory local.

  1. Se o Gerenciador do Servidor não abrir por padrão quando você entrar na VM, selecione o menu Iniciar e escolha Gerenciador do Servidor.

  2. No painel esquerdo da janela Gerenciador do Servidor, selecione Servidor Local. Em Propriedades no painel direito, escolha Grupo de trabalho.

    Open Server Manager on the VM and edit the workgroup property

  3. Na janela Propriedades do sistema, selecione Alterar para ingressar no domínio gerenciado.

    Choose to change the workgroup or domain properties

  4. Na caixa Domínio, especifique o nome do domínio gerenciado, como aaddscontoso.com, e selecione OK.

    Specify the managed domain to join

  5. Insira as credenciais do domínio para ingressar no domínio. Forneça credenciais para um usuário que faz parte do domínio gerenciado. A conta deve fazer parte do domínio gerenciado ou do locatário do Microsoft Entra - contas de diretórios externos associados ao locatário do Microsoft Entra não podem se autenticar corretamente durante o processo de ingresso no domínio.

    As credenciais da conta podem ser especificadas de uma das seguintes maneiras:

    • Formato UPN (recomendado) - Insira o sufixo UPN (nome principal do usuário) para a conta de usuário, conforme configurado no ID do Microsoft Entra. Por exemplo, o sufixo UPN do usuário contosoadmin seria contosoadmin@aaddscontoso.onmicrosoft.com. Há alguns casos de uso comuns em que o formato UPN pode ser usado de forma confiável para entrar no domínio em vez do formato SAMAccountName :
      • Se o prefixo UPN de um usuário for longo, como deehasareallylongname, o SAMAccountName poderá ser gerado automaticamente.
      • Se vários usuários tiverem o mesmo prefixo UPN em seu locatário do Microsoft Entra, como dee, seu formato SAMAccountName poderá ser gerado automaticamente.
    • Formato SAMAccountName - Insira o nome da conta no formato SAMAccountName . Por exemplo, o SAMAccountName do usuário contosoadmin seria AADDSCONTOSO\contosoadmin.

  6. Leva alguns segundos para ingressar no domínio gerenciado. Quando terminar, a seguinte mensagem dá-lhe as boas-vindas ao domínio:

    Welcome to the domain

    Selecione OK para continuar.

  7. Para concluir o processo de ingresso no domínio gerenciado, reinicie a VM.

Gorjeta

Você pode ingressar no domínio de uma VM usando o PowerShell com o cmdlet Add-Computer . O exemplo a seguir ingressa no domínio AADDSCONTOSO e reinicia a VM. Quando solicitado, insira as credenciais de um usuário que faz parte do domínio gerenciado:

Add-Computer -DomainName AADDSCONTOSO -Restart

Para ingressar em uma VM no domínio sem se conectar a ela e configurar manualmente a conexão, você pode usar o cmdlet Set-AzVmAdDomainExtension do Azure PowerShell.

Depois que a VM do Windows Server for reiniciada, todas as políticas aplicadas no domínio gerenciado serão enviadas por push para a VM. Agora você também pode entrar na VM do Windows Server usando as credenciais de domínio apropriadas.

Clean up resources (Limpar recursos)

No próximo tutorial, você usa essa VM do Windows Server para instalar as ferramentas de gerenciamento que permitem administrar o domínio gerenciado. Se você não quiser continuar nesta série de tutoriais, revise as etapas de limpeza a seguir para excluir a VM. Caso contrário, continue para o próximo tutorial.

Cancelar a associação da VM do domínio gerenciado

Para remover a VM do domínio gerenciado, siga as etapas novamente para unir a VM a um domínio. Em vez de ingressar no domínio gerenciado, opte por ingressar em um grupo de trabalho, como o WORKGROUP padrão. Após a reinicialização da VM, o objeto de computador é removido do domínio gerenciado.

Se você excluir a VM sem cancelar a associação do domínio, um objeto de computador órfão será deixado nos Serviços de Domínio.

Elimine a VM

Se você não vai usar essa VM do Windows Server, exclua a VM usando as seguintes etapas:

  1. No menu à esquerda, selecione Grupos de recursos
  2. Escolha seu grupo de recursos, como myResourceGroup.
  3. Escolha sua VM, como myVM, e selecione Excluir. Selecione Sim para confirmar a exclusão do recurso. Leva alguns minutos para excluir a VM.
  4. Quando a VM for excluída, selecione o disco do sistema operacional, a placa de interface de rede e quaisquer outros recursos com o prefixo myVM- e exclua-os .

Solucionar problemas de ingresso no domínio

A VM do Windows Server deve ingressar com êxito no domínio gerenciado, da mesma forma que um computador local comum ingressaria em um domínio dos Serviços de Domínio Ative Directory. Se a VM do Windows Server não puder ingressar no domínio gerenciado, isso indica que há um problema relacionado à conectividade ou às credenciais. Analise as seções de solução de problemas a seguir para ingressar com êxito no domínio gerenciado.

Problemas de conectividade

Se você não receber uma solicitação solicitando credenciais para ingressar no domínio, há um problema de conectividade. A VM não pode acessar o domínio gerenciado na rede virtual.

Depois de tentar cada uma dessas etapas de solução de problemas, tente associar a VM do Windows Server ao domínio gerenciado novamente.

  • Verifique se a VM está conectada à mesma rede virtual em que os Serviços de Domínio estão habilitados ou se tem uma conexão de rede emparelhada.
  • Tente executar ping no nome de domínio DNS do domínio gerenciado, como ping aaddscontoso.com.
    • Se a solicitação de ping falhar, tente executar ping nos endereços IP do domínio gerenciado, como ping 10.0.0.4. O endereço IP do seu ambiente é exibido na página Propriedades quando você seleciona o domínio gerenciado na sua lista de recursos do Azure.
    • Se você pode executar ping no endereço IP, mas não no domínio, o DNS pode estar configurado incorretamente. Confirme se os endereços IP do domínio gerenciado estão configurados como servidores DNS para a rede virtual.
  • Tente liberar o cache do resolvedor de DNS na máquina virtual usando o ipconfig /flushdns comando.

Se você receber um prompt solicitando credenciais para ingressar no domínio, mas depois de inserir essas credenciais, a VM poderá se conectar ao domínio gerenciado. As credenciais fornecidas não permitem que a VM ingresse no domínio gerenciado.

Depois de tentar cada uma dessas etapas de solução de problemas, tente associar a VM do Windows Server ao domínio gerenciado novamente.

  • Verifique se a conta de usuário especificada pertence ao domínio gerenciado.
  • Confirme se a conta faz parte do domínio gerenciado ou do locatário do Microsoft Entra. As contas de diretórios externos associadas ao locatário do Microsoft Entra não podem ser autenticadas corretamente durante o processo de ingresso no domínio.
  • Tente usar o formato UPN para especificar credenciais, como contosoadmin@aaddscontoso.onmicrosoft.com. Se houver muitos usuários com o mesmo prefixo UPN em seu locatário ou se seu prefixo UPN for muito longo, o SAMAccountName para sua conta poderá ser gerado automaticamente. Nesses casos, o formato SAMAccountName para sua conta pode ser diferente do que você espera ou usa em seu domínio local.
  • Verifique se você ativou a sincronização de senha para seu domínio gerenciado. Sem esta etapa de configuração, os hashes de senha necessários não estarão presentes no domínio gerenciado para autenticar corretamente sua tentativa de entrada.
  • Aguarde até que a sincronização de senha seja concluída. Quando a senha de uma conta de usuário é alterada, uma sincronização automática em segundo plano do Microsoft Entra ID atualiza a senha nos Serviços de Domínio. Leva algum tempo para que a senha esteja disponível para uso de ingresso no domínio.

Próximos passos

Neste tutorial, ficou a saber como:

  • Criar uma VM do Windows Server
  • Conectar-se à VM do Windows Server a uma rede virtual do Azure
  • Associar a VM ao domínio gerenciado

Para administrar seu domínio gerenciado, configure uma VM de gerenciamento usando o Centro Administrativo do Ative Directory (ADAC).

Instalar ferramentas de administração em uma VM de gerenciamento