Självstudie: Skapa och konfigurera en Azure Active Directory Domain Services-hanterad domän

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänkoppling, grupprincip, LDAP, Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory. Du använder dessa domäntjänster utan att distribuera, hantera och korrigera domänkontrollanter själv. Azure AD DS integreras med din befintliga Azure AD-klientorganisation. Med den här integreringen kan användarna logga in med sina företagsautentiseringsuppgifter och du kan använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser.

Du kan skapa en hanterad domän med standardkonfigurationsalternativ för nätverk och synkronisering, eller definiera inställningarna manuellt. Den här självstudien visar hur du använder standardalternativ för att skapa och konfigurera en Azure AD DS hanterad domän med hjälp av Azure Portal.

I den här guiden får du lära dig att:

  • Förstå DNS-krav för en hanterad domän
  • Skapa en hanterad domän
  • Aktivera hashsynkronisering för lösenord

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En aktiv Azure-prenumeration.
    • Om du inte har en Azure-prenumeration skapar du ett konto.
  • En Azure Active Directory klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en endast molnbaserad katalog.
  • Du behöver behörigheter som global administratör i din Azure AD-klientorganisation för att Azure AD DS.
  • Du behöver deltagarbehörighet i din Azure-prenumeration för att kunna skapa de Azure AD DS resurser.
  • Ett virtuellt nätverk med DNS-servrar som kan fråga nödvändig infrastruktur, till exempel lagring. DNS-servrar som inte kan utföra allmänna Internetfrågor kan förhindra möjligheten att skapa en hanterad domän.

Även om det inte Azure AD DS för lösenordsåterställning rekommenderar vi att du konfigurerar lösenordsåterställning via självbetjäning (SSPR) för Azure AD-klientorganisationen. Användare kan ändra sina lösenord utan SSPR, men SSPR hjälper om de glömmer sitt lösenord och behöver återställa det.

Viktigt

Du kan inte flytta den hanterade domänen till en annan prenumeration, resursgrupp, region, virtuellt nätverk eller undernät när du har skapat den. Var noga med att välja den lämpligaste prenumerationen, resursgruppen, regionen, det virtuella nätverket och undernätet när du distribuerar den hanterade domänen.

Logga in på Azure Portal

I den här självstudien skapar och konfigurerar du den hanterade domänen med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Skapa en hanterad domän

Starta guiden Aktivera Azure AD Domain Services genom att utföra följande steg:

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.
  2. Ange Domain Services i sökfältet och välj sedan Azure AD Domain Services från sökförslagen.
  3. På sidan Azure AD Domain Services väljer du Skapa. Guiden Aktivera Azure AD Domain Services startas.
  4. Välj den Azure-prenumeration där du vill skapa den hanterade domänen.
  5. Välj den resursgrupp som den hanterade domänen ska tillhöra. Välj att Skapa ny eller välj en befintlig resursgrupp.

När du skapar en hanterad domän anger du ett DNS-namn. Det finns några saker att tänka på när du väljer det här DNS-namnet:

  • Inbyggt domännamn: Som standard används det inbyggda domännamnet för katalogen (ett .onmicrosoft.com-suffix). Om du vill aktivera säker LDAP-åtkomst till den hanterade domänen via Internet kan du inte skapa ett digitalt certifikat för att skydda anslutningen med den här standarddomänen. Microsoft äger .onmicrosoft.com-domänen, så en certifikatutfärdare (CA) utfärdar inget certifikat.
  • Anpassade domännamn: Den vanligaste metoden är att ange ett anpassat domännamn, vanligtvis ett som du redan äger och som är dirigerbart. När du använder en dirigerbar anpassad domän kan trafiken flöda korrekt efter behov för att stödja dina program.
  • Icke-dirigerbara domänsuffix: Vi rekommenderar vanligtvis att du undviker ett icke-dirigerbart domännamnssuffix, till exempel contoso.local. .local-suffixet är inte dirigerbart och kan orsaka problem med DNS-upplösning.

Tips

Om du skapar ett anpassat domännamn bör du vara försiktig med befintliga DNS-namnområden. Vi rekommenderar att du använder ett domännamn som är separat från alla befintliga Azure- eller lokala DNS-namnrymder.

Om du till exempel har ett befintligt DNS-namnområde på contoso.com, skapar du en hanterad domän med det anpassade domännamnet för aaddscontoso.com. Om du behöver använda säkert LDAP måste du registrera och äga det här anpassade domännamnet för att generera de certifikat som krävs.

Du kan behöva skapa några ytterligare DNS-poster för andra tjänster i din miljö eller villkorsstyrda DNS-vidarebefordrare mellan befintliga DNS-namnutrymmen i din miljö. Om du till exempel kör en webbserver som är värd för en plats med hjälp av DNS-rotnamnet kan det finnas namnkonflikter som kräver ytterligare DNS-poster.

I de här självstudierna och instruktionsartiklarna används den anpassade aaddscontoso.com som ett kort exempel. Ange ditt eget domännamn i alla kommandon.

Följande DNS-namnbegränsningar gäller också:

  • Begränsningar för domänprefix: Du kan inte skapa en hanterad domän med ett prefix som är längre än 15 tecken. Prefixet för ditt angivna domännamn (till exempel aaddscontoso i aaddscontoso.com domännamn) måste innehålla 15 eller färre tecken.
  • Nätverksnamnkonflikter: DNS-domännamnet för den hanterade domänen bör inte redan finnas i det virtuella nätverket. Mer specifikt kan du söka efter följande scenarier som kan leda till en namnkonflikt:
    • Om du redan har en Active Directory-domän med samma DNS-domännamn i det virtuella Azure-nätverket.
    • Om det virtuella nätverk där du planerar att aktivera den hanterade domänen har en VPN-anslutning till ditt lokala nätverk. I det här scenariot ser du till att du inte har en domän med samma DNS-domännamn i ditt lokala nätverk.
    • Om du har en befintlig Azure-molntjänst med det namnet i det virtuella Azure-nätverket.

Fyll i fälten i fönstret Grundläggande i fönstret Azure Portal för att skapa en hanterad domän:

  1. Ange ett DNS-domännamn för din hanterade domän, med hänsyn till föregående punkter.

  2. Välj den Azure-plats där den hanterade domänen ska skapas. Om du väljer en region som stöder Azure-tillgänglighetszoner distribueras Azure AD DS mellan zoner för ytterligare redundans.

    Tips

    Tillgänglighetszoner är unika fysiska platser inom en Azure-region. Varje zon utgörs av ett eller flera datacenter som är utrustade med oberoende kraft, kylning och nätverk. För att säkerställa återhämtning finns det minst tre separata zoner i alla aktiverade regioner.

    Det finns inget du kan konfigurera för att Azure AD DS ska distribueras mellan zoner. Azure-plattformen hanterar automatiskt zondistributionen av resurser. Mer information och information om regionstillgänglighet finns i Vad är Tillgänglighetszoner i Azure?

  3. SKU:n avgör prestanda och säkerhetskopieringsfrekvens. Du kan ändra SKU:n när den hanterade domänen har skapats om företagets krav eller krav ändras. Mer information finns i Azure AD DS SKU-begrepp.

    I den här självstudien väljer du Standard-SKU.

  4. En skog är en logisk konstruktion som används av Active Directory Domain Services för att gruppera en eller flera domäner. Som standard skapas en hanterad domän som en användarskog. Den här typen av skog synkroniserar alla objekt från Azure AD, inklusive användarkonton som skapats i en lokal AD DS-miljö.

    En resursskog synkroniserar endast användare och grupper som skapats direkt i Azure AD. Mer information om resursskogar, inklusive varför du kan använda en och hur du skapar skogsförtroende med lokala AD DS-domäner finns i Azure AD DS översikt över resursskogar.

    I den här självstudien väljer du att skapa en användarskog.

    Konfigurera grundläggande inställningar för en Azure AD Domain Services hanterad domän

Om du snabbt vill skapa en hanterad domän kan du välja Granska + skapa för att acceptera ytterligare standardkonfigurationsalternativ. Följande standardinställningar konfigureras när du väljer det här alternativet för att skapa:

  • Skapar ett virtuellt nätverk med namnet aadds-vnet som använder IP-adressintervallet 10.0.2.0/24.
  • Skapar ett undernät med namnet aadds-subnet med IP-adressintervallet 10.0.2.0/24.
  • Synkroniserar Alla användare från Azure AD till den hanterade domänen.

Välj Granska + skapa för att acceptera dessa standardkonfigurationsalternativ.

Distribuera den hanterade domänen

Granska konfigurationsinställningarna för den hanterade domänen på sidan Sammanfattning i guiden. Du kan gå tillbaka till alla steg i guiden för att göra ändringar. Om du vill distribuera om en hanterad domän till en annan Azure AD-klientorganisation på ett konsekvent sätt med hjälp av dessa konfigurationsalternativ kan du också ladda ned en mall för automatisering.

  1. Välj Skapa för att skapa den hanterade domänen. En kommentar visas om att vissa konfigurationsalternativ, till exempel DNS-namn eller virtuellt nätverk, inte kan ändras när Azure AD DS har skapats. Fortsätt genom att välja OK.

  2. Etableringen av den hanterade domänen kan ta upp till en timme. Ett meddelande visas i portalen som visar förloppet för Azure AD DS distributionen. Välj meddelandet om du vill visa detaljerad information om distributionen.

    Meddelande i Azure Portal av distributionen som pågår

  3. Sidan läses in med uppdateringar av distributionsprocessen, inklusive skapandet av nya resurser i din katalog.

  4. Välj din resursgrupp, till exempel myResourceGroup, och välj sedan din hanterade domän i listan över Azure-resurser, till exempel aaddscontoso.com. Fliken Översikt visar att den hanterade domänen för närvarande distribuerar. Du kan inte konfigurera den hanterade domänen förrän den är helt etablerad.

    Status för Domain Services under etableringstillståndet

  5. När den hanterade domänen är helt etablerad visas domänstatusen Körs på fliken Översikt.

    Status för Domain Services när etableringen är klar

Viktigt

Den hanterade domänen är associerad med din Azure AD-klientorganisation. Under etableringsprocessen skapar Azure AD DS företagsprogram med namnet Domänkontrollanttjänster och AzureActiveDirectoryDomainControllerServices i Azure AD-klientorganisationen. Dessa företagsprogram behövs för att hantera din hanterade domän. Ta inte bort dessa program.

Uppdatera DNS-inställningarna för det virtuella Azure-nätverket

När Azure AD DS har distribuerats konfigurerar du nu det virtuella nätverket så att andra anslutna virtuella datorer och program kan använda den hanterade domänen. För att tillhandahålla den här anslutningen uppdaterar du DNS-serverinställningarna för det virtuella nätverket så att de pekar på de två IP-adresser där den hanterade domänen distribueras.

  1. fliken Översikt för din hanterade domän visas några nödvändiga konfigurationssteg. Det första konfigurationssteget är att uppdatera DNS-serverinställningarna för ditt virtuella nätverk. När DNS-inställningarna har konfigurerats korrekt visas inte längre det här steget.

    De adresser som anges är de domänkontrollanter som ska användas i det virtuella nätverket. I det här exemplet är dessa adresser 10.0.2.4 och 10.0.2.5. Du hittar dessa IP-adresser senare på fliken Egenskaper.

    Konfigurera DNS-inställningar för ditt virtuella nätverk med de Azure AD Domain Services IP-adresserna

  2. Om du vill uppdatera DNS-serverinställningarna för det virtuella nätverket väljer du knappen Konfigurera. DNS-inställningarna konfigureras automatiskt för ditt virtuella nätverk.

Tips

Om du valde ett befintligt virtuellt nätverk i föregående steg får alla virtuella datorer som är anslutna till nätverket endast de nya DNS-inställningarna efter en omstart. Du kan starta om virtuella datorer med Azure Portal, Azure PowerShell eller Azure CLI.

Aktivera användarkonton för Azure AD DS

För att autentisera användare i den hanterade domänen Azure AD DS lösenordshashar i ett format som är lämpligt för NT LAN Manager (NTLM) och Kerberos-autentisering. Azure AD genererar eller lagrar inte lösenordshashar i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Azure AD DS för din klientorganisation. Av säkerhetsskäl lagrar Azure AD inte heller några autentiseringsuppgifter för lösenord i klartext. Därför kan Azure AD inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashar baserat på användarnas befintliga autentiseringsuppgifter.

Anteckning

När det är korrekt konfigurerat lagras de användbara lösenordshashar i den hanterade domänen. Om du tar bort den hanterade domänen raderas även eventuella lösenordshashar som lagras vid den tidpunkten.

Synkroniserad autentiseringsinformation i Azure AD kan inte användas igen om du senare skapar en hanterad domän – du måste konfigurera om synkroniseringen av lösenordshashar för att lagra lösenordshashar igen. Tidigare domän-ansluten virtuella datorer eller användare kommer inte att kunna autentisera omedelbart – Azure AD måste generera och lagra lösenordshashar i den nya hanterade domänen.

[Azure AD Anslut Cloud Sync stöds inte med Azure AD DS] [/azure/active-directory/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync]. Lokala användare måste synkroniseras med Azure AD-Anslut för att kunna komma åt domän-ansluten virtuella datorer. Mer information finns i Processen för synkronisering av lösenordshashar för Azure AD DS och Azure AD Anslut.

Stegen för att generera och lagra dessa lösenordshashar skiljer sig för endast molnbaserade användarkonton som skapas i Azure AD jämfört med användarkonton som synkroniseras från din lokala katalog med hjälp av Azure AD Anslut.

Ett endast molnbaserat användarkonto är ett konto som skapats i Azure AD-katalogen med antingen Azure Portal eller Azure AD PowerShell-cmdletar. Dessa användarkonton synkroniseras inte från en lokal katalog.

I den här självstudien ska vi arbeta med ett grundläggande molnanvändarkonto. Mer information om de ytterligare steg som krävs för att använda Azure AD Anslut finns i Synkronisera lösenordshasharför användarkonton som synkroniseras från din lokala AD till din hanterade domän.

Tips

Om din Azure AD-klientorganisation har en kombination av molnbaserade användare och användare från din lokala AD måste du slutföra båda uppsättningarna med steg.

För endast molnbaserade användarkonton måste användarna ändra sina lösenord innan de kan använda Azure AD DS. Den här lösenordsändringsprocessen gör att lösenordshashar för Kerberos- och NTLM-autentisering genereras och lagras i Azure AD. Kontot synkroniseras inte från Azure AD till Azure AD DS lösenordet ändras. Antingen upphör lösenorden för alla molnanvändare i klientorganisationen som behöver använda Azure AD DS, vilket tvingar fram en lösenordsändring vid nästa inloggning, eller instruera molnanvändare att manuellt ändra sina lösenord. I den här självstudien ska vi manuellt ändra ett användarlösenord.

Innan en användare kan återställa sitt lösenord måste Azure AD-klientorganisationen konfigureras för lösenordsåterställning via självbetjäning.

Om du vill ändra lösenordet för en endast molnbaserad användare måste användaren utföra följande steg:

  1. Gå till sidan Azure AD-Åtkomstpanelen på https://myapps.microsoft.com .

  2. I det övre högra hörnet väljer du ditt namn och sedan Profil i den nedrullningsna menyn.

    Välj profil

  3. På sidan Profil väljer du Ändra lösenord.

  4. På sidan Ändra lösenord anger du ditt befintliga (gamla) lösenord och anger sedan och bekräftar ett nytt lösenord.

  5. Välj Skicka.

Det tar några minuter efter att du har ändrat lösenordet för att det nya lösenordet ska kunna användas i Azure AD DS och för att logga in på datorer som är ansluten till den hanterade domänen.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Förstå DNS-krav för en hanterad domän
  • Skapa en hanterad domän
  • Lägga till administrativa användare i domänhantering
  • Aktivera användarkonton för att Azure AD DS generera lösenordshashar

Innan du domän-ansluta virtuella datorer och distribuera program som använder den hanterade domänen, konfigurera ett virtuellt Azure-nätverk för programarbetsbelastningar.