Självstudie: Skapa ett dubbelriktat skogsförtroende i Microsoft Entra Domain Services med en lokal domän

  • Artikel

Du kan skapa ett skogsförtroende mellan Microsoft Entra Domain Services och lokala AD DS-miljöer. Med skogens förtroenderelation kan användare, program och datorer autentiseras mot en lokal domän från domäntjänsternas hanterade domän. Ett skogsförtroende kan hjälpa användare att komma åt resurser i scenarier som:

  • Miljöer där du inte kan synkronisera lösenordshashvärden eller där användare exklusivt loggar in med smartkort och inte känner till sitt lösenord.
  • Hybridscenarier som kräver åtkomst till lokala domäner.

Du kan välja mellan tre möjliga riktningar när du skapar ett skogsförtroende, beroende på hur användarna behöver komma åt resurser. Domain Services stöder endast skogsförtroenden. Ett externt förtroende för en lokal underordnad domian stöds inte.

Förtroenderiktning Användaråtkomst
Dubbelriktad Tillåter användare i både den hanterade domänen och den lokala domänen att komma åt resurser i någon av domänerna.
Enkelriktad utgående Tillåter användare i den lokala domänen att komma åt resurser i den hanterade domänen, men inte tvärtom.
Enkelriktad inkommande Tillåter användare i den hanterade domänen att komma åt resurser i den lokala domänen.

Diagram över skogsförtroende mellan Domain Services och en lokal domän.

I den här självstudien lär du dig att:

  • Konfigurera DNS i en lokal AD DS-domän för att stödja Domain Services-anslutning
  • Skapa ett dubbelriktad skogsförtroende mellan den hanterade domänen och den lokala domänen
  • Testa och verifiera skogens förtroenderelation för autentisering och resursåtkomst

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En aktiv Azure-prenumeration.
  • En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
  • En domän som hanteras av Domain Services och som har konfigurerats med ett anpassat DNS-domännamn och ett giltigt SSL-certifikat.
  • En lokal Active Directory domän som kan nås från den hanterade domänen via en VPN- eller ExpressRoute-anslutning.
  • Programadministratör och gruppadministratör Microsoft Entra-roller i din klientorganisation för att ändra en Domain Services-instans.
  • Ett domänadministratörskonto i den lokala domänen som har behörighet att skapa och verifiera förtroenderelationer.

Viktigt!

Du måste använda minst Enterprise SKU för din hanterade domän. Om det behövs ändrar du SKU:n för en hanterad domän.

Logga in på Microsoft Entra administrationscenter

I den här självstudien skapar och konfigurerar du det utgående skogsförtroendet från Domain Services med hjälp av administrationscentret för Microsoft Entra. Kom igång genom att först logga in på administrationscentret för Microsoft Entra.

Nätverksöverväganden

Det virtuella nätverk som är värd för Domain Services-skogen behöver en VPN- eller ExpressRoute-anslutning till din lokal Active Directory. Program och tjänster behöver också nätverksanslutning till det virtuella nätverket som är värd för Domain Services-skogen. Nätverksanslutningen till Domain Services-skogen måste alltid vara på och stabil, annars kan användarna misslyckas med att autentisera eller komma åt resurser.

Innan du konfigurerar ett skogsförtroende i Domain Services kontrollerar du att ditt nätverk mellan Azure och den lokala miljön uppfyller följande krav:

  • Kontrollera att brandväggsportar tillåter trafik som krävs för att skapa och använda ett förtroende. Mer information om vilka portar som måste vara öppna för att använda ett förtroende finns i Konfigurera brandväggsinställningar för AD DS-förtroenden.
  • Använd privata IP-adresser. Förlita dig inte på DHCP med dynamisk IP-adresstilldelning.
  • Undvik överlappande IP-adressutrymmen så att peering och routning för virtuella nätverk kan kommunicera mellan Azure och lokalt.
  • Ett virtuellt Azure-nätverk behöver ett gateway-undernät för att konfigurera en Azure-vpn för plats-till-plats (S2S) eller ExpressRoute-anslutning .
  • Skapa undernät med tillräckligt med IP-adresser för att stödja ditt scenario.
  • Kontrollera att Domain Services har ett eget undernät, dela inte det här virtuella nätverksundernätet med virtuella programdatorer och tjänster.
  • Peer-kopplade virtuella nätverk är INTE transitiva.
    • Peerings för virtuella Azure-nätverk måste skapas mellan alla virtuella nätverk som du vill använda domäntjänsternas skogsförtroende till den lokala AD DS-miljön.
  • Ge kontinuerlig nätverksanslutning till din lokal Active Directory skog. Använd inte anslutningar på begäran.
  • Se till att det finns kontinuerlig DNS-namnmatchning mellan domäntjänstskogens namn och ditt lokal Active Directory skogsnamn.

Konfigurera DNS i den lokala domänen

För att matcha den hanterade domänen från den lokala miljön på rätt sätt kan du behöva lägga till vidarebefordrare till de befintliga DNS-servrarna. Utför följande steg från en hanteringsarbetsstation för den lokala AD DS-domänen för att konfigurera den lokala miljön så att den kommunicerar med den hanterade domänen:

  1. Välj Starta>administrationsverktyg>DNS.

  2. Välj din DNS-zon, till exempel aaddscontoso.com.

  3. Välj Villkorlig vidarebefordrare, högerklicka och välj Ny villkorlig vidarebefordrare...

  4. Ange din andra DNS-domän, till exempel contoso.com, och ange sedan IP-adresserna för DNS-servrarna för det namnområdet, som du ser i följande exempel:

    Skärmbild av hur du lägger till och konfigurerar en villkorlig vidarebefordrare för DNS-servern.

  5. Markera kryssrutan för Lagra den här villkorliga vidarebefordraren i Active Directory och replikera den på följande sätt och välj sedan alternativet för Alla DNS-servrar i den här domänen, som du ser i följande exempel:

    Skärmbild av hur du väljer Alla DNS-servrar i den här domänen.

    Viktigt!

    Om den villkorliga vidarebefordraren lagras i skogen i stället för domänen misslyckas den villkorsstyrda vidarebefordraren.

  6. Om du vill skapa den villkorliga vidarebefordraren väljer du OK.

Skapa ett dubbelriktad skogsförtroende i den lokala domänen

Den lokala AD DS-domänen behöver ett dubbelriktat skogsförtroende för den hanterade domänen. Det här förtroendet måste skapas manuellt i den lokala AD DS-domänen. Det går inte att skapa den från administrationscentret för Microsoft Entra.

Om du vill konfigurera ett dubbelriktat förtroende för den lokala AD DS-domänen utför du följande steg som domänadministratör från en hanteringsarbetsstation för den lokala AD DS-domänen:

  1. Välj Starta>administrativa verktyg> Active Directory-domän och förtroenden.
  2. Högerklicka på domänen, till exempel onprem.contoso.com och välj sedan Egenskaper.
  3. Välj fliken Förtroenden och sedan Nytt förtroende.
  4. Ange namnet på Domännamn för Domäntjänster, till exempel aaddscontoso.com och välj sedan Nästa.
  5. Välj alternativet för att skapa ett skogsförtroende och skapa sedan ett dubbelriktad förtroende.
  6. Välj att endast skapa förtroende för den här domänen. I nästa steg skapar du förtroendet i administrationscentret för Microsoft Entra för den hanterade domänen.
  7. Välj att använda skogsomfattande autentisering och ange och bekräfta sedan ett förtroendelösenord. Samma lösenord anges också i administrationscentret för Microsoft Entra i nästa avsnitt.
  8. Gå igenom de närmaste fönstren med standardalternativ och välj sedan alternativet för Nej, bekräfta inte det utgående förtroendet.
  9. Välj Slutför.

Om skogsförtroendet inte längre behövs för en miljö utför du följande steg som domänadministratör för att ta bort det från den lokala domänen:

  1. Välj Starta>administrativa verktyg> Active Directory-domän och förtroenden.
  2. Högerklicka på domänen, till exempel onprem.contoso.com och välj sedan Egenskaper.
  3. Välj fliken Förtroenden , sedan Domäner som litar på den här domänen (inkommande förtroenden), klicka på det förtroende som ska tas bort och klicka sedan på Ta bort.
  4. Klicka på det förtroende som ska tas bort under Domäner som är betrodda av den här domänen (utgående förtroenden) på fliken Förtroenden och klicka sedan på Ta bort.
  5. Klicka på Nej, ta bara bort förtroendet från den lokala domänen.

Skapa ett dubbelriktad skogsförtroende i Domain Services

Utför följande steg för att skapa dubbelriktat förtroende för den hanterade domänen i administrationscentret för Microsoft Entra:

  1. I administrationscentret för Microsoft Entra söker du efter och väljer Microsoft Entra Domain Services och väljer sedan din hanterade domän, till exempel aaddscontoso.com.

  2. På menyn till vänster i den hanterade domänen väljer du Förtroenden och sedan + Lägg till ett förtroende.

  3. Välj Tvåvägs som förtroenderiktning.

  4. Ange ett visningsnamn som identifierar ditt förtroende och sedan dns-namnet för den lokala betrodda skogen, till exempel onprem.contoso.com.

  5. Ange samma förtroendelösenord som användes för att konfigurera det inkommande skogsförtroendet för den lokala AD DS-domänen i föregående avsnitt.

  6. Ange minst två DNS-servrar för den lokala AD DS-domänen, till exempel 10.1.1.4 och 10.1.1.5.

  7. När du är klar sparar du det utgående skogsförtroendet.

    Skärmbild av hur du skapar ett utgående skogsförtroende i administrationscentret för Microsoft Entra.

Om skogsförtroendet inte längre behövs för en miljö utför du följande steg för att ta bort det från Domain Services:

  1. I administrationscentret för Microsoft Entra söker du efter och väljer Microsoft Entra Domain Services och väljer sedan din hanterade domän, till exempel aaddscontoso.com.
  2. På menyn till vänster i den hanterade domänen väljer du Förtroenden, väljer förtroende och klickar på Ta bort.
  3. Ange samma förtroendelösenord som användes för att konfigurera skogsförtroendet och klicka på OK.

Verifiera resursautentisering

Med följande vanliga scenarier kan du verifiera att skogsförtroendet autentiserar användare och åtkomst till resurser på rätt sätt:

Lokal användarautentisering från Domain Services-skogen

Du bör ha en virtuell Windows Server-dator ansluten till den hanterade domänen. Använd den här virtuella datorn för att testa att din lokala användare kan autentisera på en virtuell dator. Om det behövs skapar du en virtuell Windows-dator och ansluter den till den hanterade domänen.

  1. Anslut till den virtuella Windows Server-datorn som är ansluten till Domain Services-skogen med hjälp av Azure Bastion och dina autentiseringsuppgifter för Domäntjänster-administratör.

  2. Öppna en kommandotolk och använd whoami kommandot för att visa det unika namnet på den autentiserade användaren:

    whoami /fqdn

  3. Använd kommandot för att autentisera runas som en användare från den lokala domänen. I följande kommando ersätter du userUpn@trusteddomain.com med UPN för en användare från den betrodda lokala domänen. Kommandot uppmanar dig att ange användarens lösenord:

    Runas /u:userUpn@trusteddomain.com cmd.exe

  4. Om autentiseringen lyckas öppnas en ny kommandotolk. Rubriken på den nya kommandotolken innehåller running as userUpn@trusteddomain.com.

  5. Använd whoami /fqdn i den nya kommandotolken för att visa det unika namnet på den autentiserade användaren från lokal Active Directory.

Få åtkomst till resurser i Domain Services-skogen med hjälp av en lokal användare

Från den virtuella Windows Server-datorn som är ansluten till Domain Services-skogen kan du testa scenarier. Du kan till exempel testa om en användare som loggar in på den lokala domänen kan komma åt resurser i den hanterade domänen. I följande exempel beskrivs vanliga testscenarier.

Aktivera fil- och skrivardelning

  1. Anslut till den virtuella Windows Server-datorn som är ansluten till Domain Services-skogen med hjälp av Azure Bastion och dina autentiseringsuppgifter för Domäntjänster-administratör.

  2. Öppna Windows Inställningar.

  3. Sök efter och välj Nätverk och delningscenter.

  4. Välj alternativet Ändra avancerade delningsinställningar .

  5. Under Domänprofil väljer du Aktivera fil- och skrivardelning och sedan Spara ändringar.

  6. Stäng Nätverk och delningscenter.

Skapa en säkerhetsgrupp och lägg till medlemmar

  1. Öppna Active Directory-användare och datorer.

  2. Högerklicka på domännamnet, välj Nytt och välj sedan Organisationsenhet.

  3. I namnrutan skriver du LocalObjects och väljer sedan OK.

  4. Välj och högerklicka på LocalObjects i navigeringsfönstret . Välj Ny och sedan Gruppera.

  5. Skriv FileServerAccess i rutan Gruppnamn . I gruppomfånget väljer du Domänlokal och sedan OK.

  6. Dubbelklicka på FileServerAccess i innehållsfönstret. Välj Medlemmar, välj Lägg till och välj sedan Platser.

  7. Välj din lokal Active Directory i vyn Plats och välj sedan OK.

  8. Skriv Domänanvändare i rutan Ange de objektnamn som ska väljas . Välj Kontrollera namn, ange autentiseringsuppgifter för lokal Active Directory och välj sedan OK.

    Kommentar

    Du måste ange autentiseringsuppgifter eftersom förtroenderelationen bara är ett sätt. Det innebär att användare från domäntjänsternas hanterade domän inte kan komma åt resurser eller söka efter användare eller grupper i den betrodda domänen (lokalt).

  9. Gruppen Domänanvändare från din lokal Active Directory bör vara medlem i gruppen FileServerAccess. Välj OK för att spara gruppen och stäng fönstret.

Skapa en filresurs för åtkomst mellan skogar

  1. På den virtuella Windows Server-datorn som är ansluten till Domain Services-skogen skapar du en mapp och anger namn som CrossForestShare.
  2. Högerklicka på mappen och välj Egenskaper.
  3. Välj fliken Säkerhet och välj sedan Redigera.
  4. I dialogrutan Behörigheter för CrossForestShare väljer du Lägg till.
  5. Skriv FileServerAccess i Ange de objektnamn som ska väljas och välj sedan OK.
  6. Välj FileServerAccess i listan Grupper eller användarnamn . I listan Behörigheter för FileServerAccess väljer du Tillåt för behörigheterna Ändra och skriva och väljer sedan OK.
  7. Välj fliken Delning och välj sedan Avancerad delning....
  8. Välj Dela den här mappen och ange sedan ett minnesvärt namn för filresursen i Resursnamn , till exempel CrossForestShare.
  9. Välj Behörigheter. I listan Behörigheter för alla väljer du Tillåt för behörigheten Ändra .
  10. Välj OK två gånger och sedan Stäng.

Verifiera autentisering mellan skogar till en resurs

  1. Logga in på en Windows-dator som är ansluten till din lokal Active Directory med ett användarkonto från lokal Active Directory.

  2. Använd Utforskaren i Windows och anslut till resursen som du skapade med det fullständigt kvalificerade värdnamnet och resursen, till exempel \\fs1.aaddscontoso.com\CrossforestShare.

  3. Om du vill verifiera skrivbehörigheten högerklickar du i mappen, väljer Ny och väljer sedan Textdokument. Använd standardnamnet Nytt textdokument.

    Om skrivbehörigheterna har angetts korrekt skapas ett nytt textdokument. Slutför följande steg för att öppna, redigera och ta bort filen efter behov.

  4. Om du vill verifiera läsbehörigheten öppnar du Nytt textdokument.

  5. Om du vill verifiera behörigheten ändra lägger du till text i filen och stänger Anteckningar. När du uppmanas att spara ändringar väljer du Spara.

  6. Om du vill verifiera borttagningsbehörigheten högerklickar du på Nytt textdokument och väljer Ta bort. Välj Ja för att bekräfta att filen har tagits bort.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Konfigurera DNS i en lokal AD DS-miljö för att stödja Domain Services-anslutning
  • Skapa ett enkelriktat inkommande skogsförtroende i en lokal AD DS-miljö
  • Skapa ett envägs förtroende för utgående skog i Domain Services
  • Testa och verifiera förtroenderelationen för autentisering och resursåtkomst

Mer konceptuell information om skogen i Domain Services finns i Hur fungerar skogsförtroenden i Domain Services?.