Självstudie: Ansluta en Windows Server-dator till en Azure Active Directory Domain Services-hanterad domän

  • Artikel
  • 12 minuter för att läsa

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänkoppling, grupprincip, LDAP, Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory. Med en Azure AD DS hanterad domän kan du tillhandahålla domänkopplingsfunktioner och hantering till virtuella datorer (VM) i Azure. Den här självstudien visar hur du skapar en virtuell Windows Server och sedan ansluter den till en hanterad domän.

I den här guiden får du lära dig att:

  • Skapa en virtuell Windows Server
  • Anslut den virtuella Windows Server till ett virtuellt Azure-nätverk
  • Ansluta den virtuella datorn till den hanterade domänen

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser:

Om du redan har en virtuell dator som du vill domän-ansluta till går du vidare till avsnittet för att ansluta den virtuella datorn till den hanterade domänen.

Logga in på Azure Portal

I den här självstudien skapar du en virtuell Windows Server för att ansluta till din hanterade domän med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Skapa en virtuell Windows Server-dator

Om du vill se hur du ansluter en dator till en hanterad domän ska vi skapa en Windows Server VM. Den här virtuella datorn är ansluten till ett virtuellt Azure-nätverk som ger anslutning till den hanterade domänen. Processen för att ansluta till en hanterad domän är densamma som att ansluta till en vanlig lokal Active Directory Domain Services-domän.

Om du redan har en virtuell dator som du vill domän-ansluta till går du vidare till avsnittet för att ansluta den virtuella datorn till den hanterade domänen.

  1. I Azure Portal eller på sidan Start väljer du Skapa en resurs.

  2. Från Kom igång väljer du Windows Server 2016 Datacenter.

    Välj att skapa en virtuell Windows Server 2016 Datacenter i Azure Portal

  3. I fönstret Grundläggande inställningar konfigurerar du kärninställningarna för den virtuella datorn. Lämna standardinställningarna för Tillgänglighetsalternativ, Avbildning och Storlek.

    Parameter Föreslaget värde
    Resursgrupp Välj eller skapa en resursgrupp, till exempel myResourceGroup
    Namn på virtuell dator Ange ett namn för den virtuella datorn, till exempel myVM
    Region Välj den region som den virtuella datorn ska skapas i, till exempel USA, östra
    Användarnamn Ange ett användarnamn för det lokala administratörskonto som ska skapas på den virtuella datorn, till exempel azureuser
    Lösenord Ange och bekräfta sedan ett säkert lösenord som den lokala administratören kan skapa på den virtuella datorn. Ange inte autentiseringsuppgifterna för ett domänanvändarkonto.

  4. Som standard är virtuella datorer som skapats i Azure tillgängliga från Internet med RDP. När RDP är aktiverat sker troligen automatiserade inloggningsattacker, vilket kan inaktivera konton med vanliga namn som administratör eller administratör på grund av flera misslyckade efterföljande inloggningsförsök.

    RDP bör endast aktiveras när det behövs och begränsas till en uppsättning auktoriserade IP-intervall. Den här konfigurationen hjälper till att förbättra säkerheten för den virtuella datorn och minskar risken för angrepp. Du kan också skapa och använda Azure Bastion värd som endast tillåter åtkomst via Azure Portal via TLS. I nästa steg i den här självstudien använder du en Azure Bastion för att ansluta säkert till den virtuella datorn.

    Under Offentliga inkommande portar väljer du Ingen.

  5. När du är klar väljer du Nästa: Diskar.

  6. I listrutan för OS-disktyp väljer du Standard SSD och sedan Nästa: Nätverk.

  7. Den virtuella datorn måste ansluta till ett undernät i ett virtuellt Azure-nätverk som kan kommunicera med det undernät som din hanterade domän distribueras till. Vi rekommenderar att en hanterad domän distribueras till ett eget dedikerat undernät. Distribuera inte den virtuella datorn i samma undernät som din hanterade domän.

    Det finns två huvudsakliga sätt att distribuera den virtuella datorn och ansluta till ett lämpligt undernät för virtuellt nätverk:

    • Skapa ett eller välj ett befintligt undernät i samma virtuella nätverk som den hanterade domänen distribueras.
    • Välj ett undernät i ett virtuellt Azure-nätverk som är anslutet till det med hjälp av peering för virtuella Azure-nätverk.

    Om du väljer ett undernät för ett virtuellt nätverk som inte är anslutet till undernätet för den hanterade domänen kan du inte ansluta den virtuella datorn till den hanterade domänen. I den här självstudien ska vi skapa ett nytt undernät i det virtuella Azure-nätverket.

    I fönstret Nätverk väljer du det virtuella nätverk där den hanterade domänen har distribuerats, till exempel aaads-vnet

  8. I det här exemplet visas det befintliga aaads-subnet som den hanterade domänen är ansluten till. Anslut inte den virtuella datorn till det här undernätet. Om du vill skapa ett undernät för den virtuella datorn väljer du Hantera undernätskonfiguration.

    Välj att hantera undernätskonfigurationen i Azure Portal

  9. I den vänstra menyn i fönstret för det virtuella nätverket väljer du Adressutrymme. Det virtuella nätverket skapas med ett enda adressutrymme på 10.0.2.0/24, som används av standardundernätet. Andra undernät, till exempel för arbetsbelastningar eller Azure Bastion kanske också finns.

    Lägg till ytterligare ett IP-adressintervall i det virtuella nätverket. Storleken på det här adressintervallet och det faktiska IP-adressintervall som ska användas beror på andra nätverksresurser som redan har distribuerats. IP-adressintervallet får inte överlappa med befintliga adressintervall i din Azure-miljö eller lokala miljö. Kontrollera att IP-adressintervallet är tillräckligt stort för det antal virtuella datorer som du förväntar dig att distribuera till undernätet.

    I följande exempel läggs ytterligare ett IP-adressintervall på 10.0.5.0/24 till. När du är klar väljer du Spara.

    Lägg till ytterligare ett IP-adressintervall för virtuellt nätverk i Azure Portal

  10. I den vänstra menyn i fönstret för det virtuella nätverket väljer du Undernät och sedan + Undernät för att lägga till ett undernät.

  11. Välj + Undernät och ange sedan ett namn för undernätet, till exempel hantering. Ange ett adressintervall (CIDR-block), till exempel 10.0.5.0/24. Kontrollera att det här IP-adressintervallet inte överlappar några andra befintliga Azure-adressintervall eller lokala adressintervall. Lämna de andra alternativen som standardvärden och välj sedan OK.

    Skapa en undernätskonfiguration i Azure Portal

  12. Det tar några sekunder att skapa undernätet. När det har skapats väljer du X för att stänga undernätsfönstret.

  13. När du är tillbaka i fönstret Nätverk för att skapa en virtuell dator väljer du det undernät som du skapade från den nedrullningsna menyn, till exempel hantering. Se återigen till att du väljer rätt undernät och inte distribuerar den virtuella datorn i samma undernät som din hanterade domän.

  14. För Offentlig IP väljer du Ingen i den nedrullningsna menyn. När du använder Azure Bastion i den här självstudien för att ansluta till hanteringen behöver du inte någon offentlig IP-adress tilldelad till den virtuella datorn.

  15. Lämna standardvärdena för de andra alternativen och välj sedan Hantering.

  16. Ställ in StartdiagnostikAv. Lämna de andra alternativen som standardvärden och välj sedan Granska + skapa.

  17. Granska inställningarna för den virtuella datorn och välj sedan Skapa.

Det tar några minuter att skapa den virtuella datorn. I Azure Portal visas status för distributionen. När den virtuella datorn är klar väljer du Gå till resurs.

Gå till VM-resursen i Azure Portal när den har skapats

Anslut till den virtuella Windows serverdatorn

Om du vill ansluta säkert till dina virtuella datorer använder du Azure Bastion värd. Med Azure Bastion distribueras en hanterad värd till ditt virtuella nätverk och tillhandahåller webbaserade RDP- eller SSH-anslutningar till virtuella datorer. Inga offentliga IP-adresser krävs för de virtuella datorerna och du behöver inte öppna regler för nätverkssäkerhetsgrupp för extern fjärrtrafik. Du ansluter till virtuella datorer med Azure Portal från webbläsaren. Om det behövs skapar du en Azure Bastion värd.

Om du vill använda en Bastion-värd för att ansluta till den virtuella datorn utför du följande steg:

  1. I fönstret Översikt för den virtuella datorn väljer du Anslut och sedan Bastion.

    Anslut att Windows virtuell dator med Bastion i Azure Portal

  2. Ange autentiseringsuppgifterna för den virtuella datorn som du angav i föregående avsnitt och välj sedan Anslut.

    Anslut genom Bastion-värden i Azure Portal

Om det behövs tillåter du att webbläsaren öppnar popup-fönster för att Bastion-anslutningen ska visas. Det tar några sekunder att upprätta anslutningen till den virtuella datorn.

Ansluta den virtuella datorn till den hanterade domänen

Nu när den virtuella datorn har skapats och en webbaserad RDP-anslutning har upprättats med Azure Bastion, ska vi nu ansluta den virtuella Windows Server-datorn till den hanterade domänen. Den här processen är samma som en dator som ansluter till en vanlig lokal Active Directory Domain Services-domän.

  1. Om Serverhanteraren inte öppnas som standard när du loggar in på den virtuella datorn väljer du Start-menyn och väljer sedan Serverhanteraren.

  2. I det vänstra fönstret i Serverhanteraren väljer du Lokal server. Under Egenskaper i den högra rutan väljer du Arbetsgrupp.

    Öppna Serverhanteraren på den virtuella datorn och redigera arbetsgruppsegenskapen

  3. I fönstret Systemegenskaper väljer du Ändra för att ansluta till den hanterade domänen.

    Välj att ändra egenskaperna för arbetsgrupp eller domän

  4. I rutan Domän anger du namnet på den hanterade domänen, till exempel aaddscontoso.com och väljer sedan OK.

    Ange den hanterade domän som ska anslutas

  5. Ange domänautentiseringsuppgifter för att ansluta till domänen. Ange autentiseringsuppgifter för en användare som ingår i den hanterade domänen. Kontot måste vara en del av den hanterade domänen eller Azure AD-klientorganisationen – konton från externa kataloger som är associerade med din Azure AD-klientorganisation kan inte autentisera korrekt under domän-anslutningsprocessen.

    Kontoautentiseringsuppgifter kan anges på något av följande sätt:

    • UPN-format (rekommenderas) – Ange UPN-suffixet (användarens huvudnamn) för användarkontot, enligt konfiguration i Azure AD. Upn-suffixet för användaren contosoadmin är till exempel contosoadmin@aaddscontoso.onmicrosoft.com . Det finns några vanliga användningsfall där UPN-formatet kan användas på ett tillförlitligt sätt för att logga in på domänen i stället för SAMAccountName-formatet:
      • Om en användares UPN-prefix är långt, till exempel deehasareallylongname, kan SAMAccountName generera automatiskt.
      • Om flera användare har samma UPN-prefix i din Azure AD-klientorganisation, till exempel dee, kan deras SAMAccountName-format genererats automatiskt.
    • SAMAccountName-format – Ange kontonamnet i SAMAccountName-format. SamAccountName för användaren contosoadmin är till exempel AADDSCONTOSO\contosoadmin .

  6. Det tar några sekunder att ansluta till den hanterade domänen. När du är klar ser följande meddelande dig välkommen till domänen:

    Välkommen till domänen

    Klicka på OK för att fortsätta.

  7. Starta om den virtuella datorn för att slutföra processen för att ansluta till den hanterade domänen.

Tips

Du kan domän-ansluta till en virtuell dator med PowerShell med cmdleten Add-Computer. I följande exempel ansluts AADDSCONTOSO-domänen och startar sedan om den virtuella datorn. När du uppmanas till det anger du autentiseringsuppgifterna för en användare som ingår i den hanterade domänen:

Add-Computer -DomainName AADDSCONTOSO -Restart

Om du vill domänansluta en virtuell dator utan att ansluta till den och konfigurera anslutningen manuellt kan du använda cmdleten Set-AzVmAdDomainExtension Azure PowerShell.

När den Windows Server VM har startats om skickas alla principer som tillämpas i den hanterade domänen till den virtuella datorn. Nu kan du också logga in på den virtuella Windows Server med lämpliga domänautentiseringsuppgifter.

Rensa resurser

I nästa självstudie använder du den här Windows Server VM för att installera de hanteringsverktyg som gör att du kan administrera den hanterade domänen. Om du inte vill fortsätta i den här självstudieserien går du igenom följande rensningssteg för att ta bort den virtuella datorn. Annars fortsätter du till nästa självstudie.

Ta bort den virtuella datorn från den hanterade domänen

Om du vill ta bort den virtuella datorn från den hanterade domänen följer du stegen igen för att ansluta den virtuella datorn till en domän. I stället för att ansluta till den hanterade domänen väljer du att ansluta till en arbetsgrupp, till exempel standardGRUPPEN. När den virtuella datorn har startats om tas datorobjektet bort från den hanterade domänen.

Om du tar bort den virtuella datorn utan att frånkopplad från domänen lämnas ett överblivet datorobjekt kvar i Azure AD DS.

Ta bort den virtuella datorn

Om du inte ska använda den här Windows server-VM tar du bort den virtuella datorn med följande steg:

  1. Välj Resursgrupper på den vänstra menyn
  2. Välj din resursgrupp, till exempel myResourceGroup.
  3. Välj din virtuella dator, till exempel myVM, och välj sedan Ta bort. Välj Ja för att bekräfta resursborttagningen. Det tar några minuter att ta bort den virtuella datorn.
  4. När den virtuella datorn tas bort väljer du OS-disken, nätverkskortet och eventuella andra resurser med prefixet myVM- och tar bort dem.

Felsöka problem med domänkoppling

Den Windows serverdatorn ska anslutas till den hanterade domänen på samma sätt som en vanlig lokal dator ansluter till en Active Directory Domain Services domän. Om den virtuella Windows Server inte kan ansluta till den hanterade domänen indikerar det att det finns ett problem med anslutningen eller autentiseringsuppgifterna. Läs följande felsökningsavsnitt för att ansluta till den hanterade domänen.

Anslutningsproblem

Om du inte får någon uppmaning om att ange autentiseringsuppgifter för att ansluta till domänen uppstår ett anslutningsproblem. Den virtuella datorn kan inte nå den hanterade domänen i det virtuella nätverket.

När du har provat var och en av de här felsökningsstegen kan du försöka ansluta den virtuella Windows Server till den hanterade domänen igen.

  • Kontrollera att den virtuella datorn är ansluten till samma virtuella nätverk Azure AD DS är aktiverad i eller har en peer-ansluten nätverksanslutning.
  • Försök att pinga DNS-domännamnet för den hanterade domänen, till exempel ping aaddscontoso.com .
    • Om pingbegäran misslyckas kan du försöka pinga IP-adresserna för den hanterade domänen, till exempel ping 10.0.0.4 . IP-adressen för din miljö visas på sidan Egenskaper när du väljer den hanterade domänen i listan över Azure-resurser.
    • Om du kan pinga IP-adressen men inte domänen kan DNS vara felaktigt konfigurerat. Bekräfta att IP-adresserna för den hanterade domänen är konfigurerade som DNS-servrar för det virtuella nätverket.
  • Försök att tömma DNS-matcharcachen på den virtuella datorn med hjälp av ipconfig /flushdns kommandot .

Om du får en uppmaning som ber om autentiseringsuppgifter för att ansluta till domänen, men sedan ett fel när du har anger dessa autentiseringsuppgifter, kan den virtuella datorn ansluta till den hanterade domänen. De autentiseringsuppgifter som du angav låter inte den virtuella datorn ansluta till den hanterade domänen.

När du har provat var och en av de här felsökningsstegen kan du försöka ansluta den virtuella Windows Server till den hanterade domänen igen.

  • Kontrollera att det användarkonto som du anger tillhör den hanterade domänen.
  • Bekräfta att kontot är en del av den hanterade domänen eller Azure AD-klientorganisationen. Konton från externa kataloger som är associerade med din Azure AD-klientorganisation kan inte autentiseras korrekt under domänkopplingsprocessen.
  • Prova att använda UPN-formatet för att ange autentiseringsuppgifter, till exempel contosoadmin@aaddscontoso.onmicrosoft.com . Om det finns många användare med samma UPN-prefix i din klientorganisation eller om ditt UPN-prefix är för långt kan SAMAccountName för ditt konto generera automatiskt. I dessa fall kan SAMAccountName-formatet för ditt konto vara annorlunda än vad du förväntar dig eller använder i din lokala domän.
  • Kontrollera att du har aktiverat lösenordssynkronisering till din hanterade domän. Utan det här konfigurationssteget finns inte de nödvändiga lösenordshashar som krävs i den hanterade domänen för att korrekt autentisera ditt inloggningsförsök.
  • Vänta tills lösenordssynkroniseringen har slutförts. När ett användarkontos lösenord ändras uppdaterar en automatisk bakgrundssynkronisering från Azure AD lösenordet i Azure AD DS. Det tar lite tid innan lösenordet är tillgängligt för användning med domän-anslutning.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Skapa en virtuell Windows Server
  • Anslut till den virtuella Windows serverdatorn till ett virtuellt Azure-nätverk
  • Ansluta den virtuella datorn till den hanterade domänen

Om du vill administrera din hanterade domän konfigurerar du en hanterings-VM med hjälp Active Directory Administrationscenter (ADAC).

Installera administrationsverktyg på en virtuell hanteringsdatorn