Självstudie: Skapa och konfigurera en Azure Active Directory Domäntjänster hanterad domän

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänanslutning, grupprincip, LDAP, Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory. Du använder dessa domäntjänster utan att själv distribuera, hantera och korrigera domänkontrollanter. Azure AD DS integreras med din befintliga Azure AD-klientorganisation. Med den här integreringen kan användarna logga in med sina företagsautentiseringsuppgifter, och du kan använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser.

Du kan skapa en hanterad domän med standardkonfigurationsalternativ för nätverk och synkronisering eller manuellt definiera dessa inställningar. Den här självstudien visar hur du använder standardalternativ för att skapa och konfigurera en Hanterad Azure AD DS-domän med hjälp av Azure Portal.

I den här guiden får du lära dig att:

  • Förstå DNS-krav för en hanterad domän
  • Skapa en hanterad domän
  • Aktivera hashsynkronisering för lösenord

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

Även om det inte krävs för Azure AD DS rekommenderar vi att du konfigurerar självbetjäning av lösenordsåterställning (SSPR) för Azure AD-klientorganisationen . Användare kan ändra sitt lösenord utan SSPR, men SSPR hjälper till om de glömmer sitt lösenord och behöver återställa det.

Viktigt

Du kan inte flytta den hanterade domänen till en annan prenumeration, resursgrupp, region, virtuellt nätverk eller undernät när du har skapat den. Var noga med att välja den lämpligaste prenumerationen, resursgruppen, regionen, det virtuella nätverket och undernätet när du distribuerar den hanterade domänen.

Logga in på Azure Portal

I den här självstudien skapar och konfigurerar du den hanterade domänen med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Skapa en hanterad domän

Utför följande steg för att starta guiden Aktivera Azure AD Domain Services :

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.
  2. Ange Domain Services i sökfältet och välj sedan Azure AD Domain Services i sökförslagen.
  3. På sidan Azure AD Domain Services väljer du Skapa. Guiden Aktivera Azure AD Domain Services startas.
  4. Välj den Azure-prenumeration där du vill skapa den hanterade domänen.
  5. Välj den resursgrupp som den hanterade domänen ska tillhöra. Välj Skapa ny eller välj en befintlig resursgrupp.

När du skapar en hanterad domän anger du ett DNS-namn. Det finns några saker att tänka på när du väljer det här DNS-namnet:

  • Inbyggt domännamn: Som standard används det inbyggda domännamnet för katalogen (ett . onmicrosoft.com-suffix). Om du vill aktivera säker LDAP-åtkomst till den hanterade domänen via Internet kan du inte skapa ett digitalt certifikat för att skydda anslutningen till den här standarddomänen. Microsoft äger domänen .onmicrosoft.com , så en certifikatutfärdare (CA) utfärdar inget certifikat.
  • Anpassade domännamn: Den vanligaste metoden är att ange ett anpassat domännamn, vanligtvis ett som du redan äger och som kan dirigeras. När du använder en dirigerbar anpassad domän kan trafiken flöda korrekt efter behov för att stödja dina program.
  • Icke-dirigerbara domänsuffix: Vi rekommenderar vanligtvis att du undviker ett icke-dirigerbart domännamnssuffix, till exempel contoso.local. Det lokala suffixet är inte dirigerbart och kan orsaka problem med DNS-matchning.

Tips

Om du skapar ett anpassat domännamn bör du vara försiktig med befintliga DNS-namnområden. Vi rekommenderar att du använder ett domännamn som är separat från ett befintligt Azure- eller lokalt DNS-namnutrymme.

Om du till exempel har ett befintligt DNS-namnutrymme på contoso.com skapar du en hanterad domän med det anpassade domännamnet aaddscontoso.com. Om du behöver använda säker LDAP måste du registrera och äga det här anpassade domännamnet för att generera de certifikat som krävs.

Du kan behöva skapa ytterligare DNS-poster för andra tjänster i din miljö eller villkorsstyrda DNS-vidarebefordrare mellan befintliga DNS-namnutrymmen i din miljö. Om du till exempel kör en webbserver som är värd för en webbplats med dns-rotnamnet kan det finnas namngivningskonflikter som kräver ytterligare DNS-poster.

I de här självstudierna och instruktionsartiklarna används den anpassade domänen för aaddscontoso.com som ett kort exempel. I alla kommandon anger du ditt eget domännamn.

Följande DNS-namnbegränsningar gäller också:

  • Begränsningar för domänprefix: Du kan inte skapa en hanterad domän med ett prefix som är längre än 15 tecken. Prefixet för ditt angivna domännamn (till exempel aaddscontoso i aaddscontoso.com domännamn) måste innehålla 15 eller färre tecken.
  • Nätverksnamnkonflikter: DNS-domännamnet för din hanterade domän bör inte redan finnas i det virtuella nätverket. Mer specifikt kontrollerar du följande scenarier som skulle leda till en namnkonflikt:
    • Om du redan har en Active Directory-domän med samma DNS-domännamn i det virtuella Azure-nätverket.
    • Om det virtuella nätverk där du planerar att aktivera den hanterade domänen har en VPN-anslutning till ditt lokala nätverk. I det här scenariot kontrollerar du att du inte har en domän med samma DNS-domännamn i ditt lokala nätverk.
    • Om du har en befintlig Azure-molntjänst med det namnet i det virtuella Azure-nätverket.

Fyll i fälten i fönstret Grundläggande i Azure Portal för att skapa en hanterad domän:

  1. Ange ett DNS-domännamn för din hanterade domän, med beaktande av föregående punkter.

  2. Välj den Azure-plats där den hanterade domänen ska skapas. Om du väljer en region som stöder Azure Tillgänglighetszoner distribueras Azure AD DS-resurserna mellan zoner för ytterligare redundans.

    Tips

    Tillgänglighetszoner är unika fysiska platser inom en Azure-region. Varje zon utgörs av ett eller flera datacenter som är utrustade med oberoende kraft, kylning och nätverk. För att säkerställa återhämtning finns det minst tre separata zoner i alla aktiverade regioner.

    Det finns inget som du kan konfigurera för att Azure AD DS ska distribueras mellan zoner. Azure-plattformen hanterar automatiskt zonfördelningen av resurser. Mer information och information om tillgänglighet för regioner finns i Vad är Tillgänglighetszoner i Azure?

  3. SKU:n avgör prestanda och säkerhetskopieringsfrekvens. Du kan ändra SKU:n när den hanterade domänen har skapats om företagets krav eller krav ändras. Mer information finns i Begrepp för Azure AD DS SKU.

    I den här självstudien väljer du standard-SKU:n.

  4. En skog är en logisk konstruktion som används av Active Directory Domain Services för att gruppera en eller flera domäner. Som standard skapas en hanterad domän som en användarskog . Den här typen av skog synkroniserar alla objekt från Azure AD, inklusive användarkonton som skapats i en lokal AD DS-miljö.

    En resursskog synkroniserar endast användare och grupper som skapats direkt i Azure AD. Mer information om Resursskogar , inklusive varför du kan använda en och hur du skapar skogsförtroenden med lokala AD DS-domäner, finns i Översikt över Azure AD DS-resursskogar.

    I den här självstudien väljer du att skapa en användarskog .

    Configure basic settings for an Azure AD Domain Services managed domain

Om du snabbt vill skapa en hanterad domän kan du välja Granska + skapa för att acceptera ytterligare standardkonfigurationsalternativ. Följande standardinställningar konfigureras när du väljer det här alternativet för att skapa:

  • Skapar ett virtuellt nätverk med namnet aadds-vnet som använder IP-adressintervallet 10.0.2.0/24.
  • Skapar ett undernät med namnet aadds-subnet med IP-adressintervallet 10.0.2.0/24.
  • Synkroniserar Alla användare från Azure AD till den hanterade domänen.

Välj Granska + skapa för att acceptera de här standardkonfigurationsalternativen.

Distribuera den hanterade domänen

På sidan Sammanfattning i guiden granskar du konfigurationsinställningarna för din hanterade domän. Du kan gå tillbaka till alla steg i guiden för att göra ändringar. Om du vill distribuera om en hanterad domän till en annan Azure AD-klientorganisation på ett konsekvent sätt med de här konfigurationsalternativen kan du även ladda ned en mall för automatisering.

  1. Skapa den hanterade domänen genom att välja Skapa. En anteckning visas om att vissa konfigurationsalternativ, till exempel DNS-namn eller virtuellt nätverk, inte kan ändras när azure AD DS-hanterade har skapats. Fortsätt genom att välja OK.

  2. Det kan ta upp till en timme att etablera den hanterade domänen. Ett meddelande visas i portalen som visar förloppet för din Azure AD DS-distribution. Välj meddelandet för att se detaljerade förlopp för distributionen.

    Notification in the Azure portal of the deployment in progress

  3. Sidan läses in med uppdateringar om distributionsprocessen, inklusive skapandet av nya resurser i din katalog.

  4. Välj din resursgrupp, till exempel myResourceGroup, och välj sedan din hanterade domän i listan över Azure-resurser, till exempel aaddscontoso.com. Fliken Översikt visar att den hanterade domänen för närvarande distribueras. Du kan inte konfigurera den hanterade domänen förrän den är helt etablerad.

    Domain Services status during the provisioning state

  5. När den hanterade domänen är helt etablerad visar fliken Översikt domänstatusen Körs.

    Domain Services status once successfully provisioned

Viktigt

Den hanterade domänen är associerad med din Azure AD-klientorganisation. Under etableringsprocessen skapar Azure AD DS två företagsprogram med namnet Domain Controller Services och AzureActiveDirectoryDomainControllerServices i Azure AD-klientorganisationen. Dessa företagsprogram behövs för att hantera din hanterade domän. Ta inte bort dessa program.

Uppdatera DNS-inställningarna för det virtuella Azure-nätverket

När Azure AD DS har distribuerats konfigurerar du nu det virtuella nätverket så att andra anslutna virtuella datorer och program kan använda den hanterade domänen. För att tillhandahålla den här anslutningen uppdaterar du DNS-serverinställningarna för ditt virtuella nätverk så att de pekar på de två IP-adresser där den hanterade domänen distribueras.

  1. Fliken Översikt för din hanterade domän visar några konfigurationssteg som krävs. Det första konfigurationssteget är att uppdatera DNS-serverinställningarna för ditt virtuella nätverk. När DNS-inställningarna har konfigurerats korrekt visas inte längre det här steget.

    De adresser som anges är domänkontrollanter för användning i det virtuella nätverket. I det här exemplet är dessa adresser 10.0.2.4 och 10.0.2.5. Du kan senare hitta dessa IP-adresser på fliken Egenskaper .

    Configure DNS settings for your virtual network with the Azure AD Domain Services IP addresses

  2. Om du vill uppdatera DNS-serverinställningarna för det virtuella nätverket väljer du knappen Konfigurera . DNS-inställningarna konfigureras automatiskt för ditt virtuella nätverk.

Tips

Om du valde ett befintligt virtuellt nätverk i föregående steg får alla virtuella datorer som är anslutna till nätverket bara de nya DNS-inställningarna efter en omstart. Du kan starta om virtuella datorer med hjälp av Azure Portal, Azure PowerShell eller Azure CLI.

Aktivera användarkonton för Azure AD DS

För att autentisera användare på den hanterade domänen behöver Azure AD DS lösenordshashvärden i ett format som är lämpligt för NT LAN Manager (NTLM) och Kerberos-autentisering. Azure AD genererar eller lagrar inte lösenordshashvärden i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Azure AD DS för din klientorganisation. Av säkerhetsskäl lagrar Azure AD inte heller några autentiseringsuppgifter för lösenord i klartext. Därför kan Azure AD inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashvärden baserat på användarnas befintliga autentiseringsuppgifter.

Anteckning

När de har konfigurerats på rätt sätt lagras de användbara lösenordshashvärdena i den hanterade domänen. Om du tar bort den hanterade domänen tas även eventuella lösenordshashvärden som lagras vid den tidpunkten bort.

Synkroniserad information om autentiseringsuppgifter i Azure AD kan inte återanvändas om du senare skapar en hanterad domän – du måste konfigurera om synkroniseringen av lösenordshash för att lagra lösenordshasher igen. Tidigare domänanslutna virtuella datorer eller användare kan inte autentiseras omedelbart – Azure AD måste generera och lagra lösenordshashvärden i den nya hanterade domänen.

Azure AD Anslut Cloud Sync stöds inte med Azure AD DS. Lokala användare måste synkroniseras med Hjälp av Azure AD Anslut för att kunna komma åt domänanslutna virtuella datorer. Mer information finns i Synkroniseringsprocessen för lösenordshash för Azure AD DS och Azure AD Anslut.

Stegen för att generera och lagra dessa lösenordshashvärden skiljer sig åt för molnbaserade användarkonton som skapats i Azure AD jämfört med användarkonton som synkroniseras från din lokala katalog med hjälp av Azure AD Anslut.

Ett endast molnbaserat användarkonto är ett konto som skapats i Azure AD-katalogen med antingen Azure Portal eller Azure AD PowerShell-cmdletar. Dessa användarkonton synkroniseras inte från en lokal katalog.

I den här självstudien ska vi arbeta med ett grundläggande molnbaserat användarkonto. Mer information om de ytterligare steg som krävs för att använda Azure AD Anslut finns i Synkronisera lösenordshashvärden för användarkonton som synkroniserats från din lokala AD till din hanterade domän.

Tips

Om din Azure AD-klientorganisation har en kombination av molnbaserade användare och användare från din lokala AD måste du slutföra båda stegen.

För endast molnbaserade användarkonton måste användarna ändra sina lösenord innan de kan använda Azure AD DS. Den här lösenordsändringsprocessen gör att lösenordshasher för Kerberos- och NTLM-autentisering genereras och lagras i Azure AD. Kontot synkroniseras inte från Azure AD till Azure AD DS förrän lösenordet har ändrats. Antingen upphör lösenorden för alla molnanvändare i klientorganisationen som behöver använda Azure AD DS, vilket tvingar fram en lösenordsändring vid nästa inloggning, eller instruera molnanvändare att manuellt ändra sina lösenord. I den här självstudien ska vi ändra ett användarlösenord manuellt.

Innan en användare kan återställa sitt lösenord måste Azure AD-klientorganisationen konfigureras för självbetjäning av lösenordsåterställning.

Om du vill ändra lösenordet för en molnbaserad användare måste användaren utföra följande steg:

  1. Gå till sidan för Azure AD-Åtkomstpanelen på https://myapps.microsoft.com.

  2. I det övre högra hörnet väljer du ditt namn och sedan Profil i den nedrullningsbara menyn.

    Select profile

  3. På sidan Profil väljer du Ändra lösenord.

  4. På sidan Ändra lösenord anger du ditt befintliga (gamla) lösenord och anger och bekräftar sedan ett nytt lösenord.

  5. Välj Skicka.

Det tar några minuter efter att du har ändrat ditt lösenord för att det nya lösenordet ska kunna användas i Azure AD DS och att logga in på datorer som är anslutna till den hanterade domänen.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Förstå DNS-krav för en hanterad domän
  • Skapa en hanterad domän
  • Lägga till administrativa användare i domänhantering
  • Aktivera användarkonton för Azure AD DS och generera lösenordshasher

Innan du domänansluter virtuella datorer och distribuerar program som använder den hanterade domänen konfigurerar du ett virtuellt Azure-nätverk för programarbetsbelastningar.