Öğretici: Windows Server sanal makinesini etki alanı hizmetleri Azure Active Directory etki alanına ekleme

  • Makale
  • Okumak için 10 dakika

Azure Active Directory Etki Alanı Hizmetleri (Azure AD DS), etki alanına tam olarak uyumlu etki alanına katılma, grup ilkesi, LDAP, Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı Windows Server Active Directory. Bir Azure AD DS etki alanı ile, Azure'daki sanal makinelere (VM) etki alanına katılma özellikleri ve yönetimi sebilirsiniz. Bu öğreticide, Windows Server VM'leri oluşturma ve yönetilen bir etki alanına ekleme hakkında bilgi edinebilirsiniz.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Windows Sunucusu VM'si oluşturma
  • Bağlan Server VM Windows ni bir Azure sanal ağına yükleme
  • VM'yi yönetilen etki alanına ekleme

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ihtiyacınız vardır:

Etki alanına katılmasını istediğiniz bir VM zaten varsa, VM'yi yönetilen etki alanına katma bölümüne atlayabilirsiniz.

Azure portalında oturum açın

Bu öğreticide, Windows Server VM'nizi kullanarak yönetilen etki alanınıza katılmak için bir Azure portal. Çalışmaya başlamanız için ilk olarak Azure portal.

Windows Server sanal makinesi oluşturma

Bir bilgisayarın yönetilen etki alanına nasıl katılacağını görmek için Sunucu VM'sine Windows oluşturabilirsiniz. Bu VM, yönetilen etki alanına bağlantı sağlayan bir Azure sanal ağına bağlanır. Yönetilen bir etki alanına katılma işlemi, normal bir Etki Alanı Hizmetleri etki alanına şirket içi Active Directory işlemiyle aynıdır.

Etki alanına katılmasını istediğiniz bir VM zaten varsa, VM'yi yönetilen etki alanına katma bölümüne atlayabilirsiniz.

  1. Kaynak Azure portal veya Giriş sayfasında Kaynak oluştur'a tıklayın.

  2. Veri Kullanmaya başlayın veri merkezinden Windows Server 2016 seçin.

    Sanal makinede Windows Server 2016 Datacenter VM'leri Azure portal

  3. Temel Bilgiler penceresinde, sanal makine için temel ayarları yapılandırabilirsiniz. Kullanılabilirlik seçenekleri, Görüntü ve Boyut için varsayılan değerleri bırakın.

    Parametre Önerilen değer
    Kaynak grubu myResourceGroup gibi bir kaynak grubu seçin veya oluşturun
    Sanal makine adı VM için myVM gibi bir ad girin
    Bölge VM'nizin oluşturulacak bölgeyi seçin, örneğin Doğu ABD
    Kullanıcı adı Sanal makinede oluşturulan yerel yönetici hesabı için azureuser gibi bir kullanıcı adı girin
    Parola Sanal makinede yerel yöneticinin oluşturması için güvenli bir parola girin ve onaylayın. Bir etki alanı kullanıcı hesabının kimlik bilgilerini belirtme.

  4. Varsayılan olarak, Azure'da oluşturulan VM'lere İNTERNET'den RDP kullanarak erişilebilir. RDP etkinleştirildiğinde, birden çok başarısız oturum açma denemesi nedeniyle yönetici veya yönetici gibi ortak adlara sahip hesapları devre dışı bırakan otomatik oturum açma saldırıları oluşabilir.

    RDP yalnızca gerekli olduğunda etkinleştirilmelidir ve bir dizi yetkili IP aralığıyla sınırlı olmalıdır. Bu yapılandırma VM'nin güvenliğini artırmaya yardımcı olur ve olası saldırılar için alanı azaltır. Veya yalnızca TLS üzerinden Azure Bastion izin veren bir konak Azure portal oluşturun ve kullanın. Bu öğreticinin sonraki adımlarında, VM'ye güvenli Azure Bastion bir konak kullanırsanız.

    Genel gelen bağlantı noktaları'nın altında Hiçbiri'yi seçin.

  5. Bittiğinde, Sonraki: Diskler'i seçin.

  6. işletim sistemi disk türü için açılan menüden, İlkeler'i Standart SSD ve ardından Sonraki: Ağ'ı seçin.

  7. VM'nizin yönetilen etki alanının dağıtılacağı alt ağ ile iletişim kura bir Azure sanal ağ alt ağına bağlanması gerekir. Yönetilen bir etki alanının kendi ayrılmış alt ağın içine dağıtılmasını öneririz. VM'nizi yönetilen etki alanınız ile aynı alt ağda dağıtın.

    VM'nizi dağıtmanın ve uygun bir sanal ağ alt ağına bağlanmanın iki ana yolu vardır:

    • Yönetilen etki alanınız dağıtıldığında aynı sanal ağda bir alt ağ oluşturun veya var olan bir alt ağı seçin.
    • Azure sanal ağ eşlemesi kullanarak azure sanal ağına bağlı bir alt ağ seçin.

    Yönetilen etki alanınız için alt ağa bağlı olmayan bir sanal ağ alt ağı seçersiniz, VM'yi yönetilen etki alanına katabilirsiniz. Bu öğreticide, Azure sanal ağına yeni bir alt ağ oluşturabilirsiniz.

    bölmesinde, yönetilen etki alanınızı dağıtan sanal ağı seçin, örneğin aaads-vnet

  8. Bu örnekte, yönetilen etki alanının bağlı olduğu mevcut aaads-subnet gösterilmektedir. VM'nizi bu alt ağa bağlayabilirsiniz. VM için bir alt ağ oluşturmak için Alt ağ yapılandırmasını yönet'i seçin.

    Ağ içinde alt ağ yapılandırmasını yönetmeyi Azure portal

  9. Sanal ağ penceresinin sol menüsünde Adres alanı'ı seçin. Sanal ağ, varsayılan alt ağ tarafından kullanılan 10.0.2.0/24 tek adres alanıyla oluşturulur. İş yükleri veya iş yükleri gibi Azure Bastion alt ağlar da mevcut olabilir.

    Sanal ağa ek bir IP adresi aralığı ekleyin. Bu adres aralığının boyutu ve gerçek IP adresi aralığı, zaten dağıtılmış olan diğer ağ kaynaklarına bağlıdır. IP adresi aralığı, Azure veya şirket içi ortamınız için mevcut adres aralıkları ile çakışmamalıdır. IP adresi aralığını, alt ağda dağıtmayı beklediğiniz VM sayısı kadar büyük olduğundan emin olun.

    Aşağıdaki örnekte, 10.0.5.0/24 ek bir IP adresi aralığı eklenmiştir. Hazır olduğunda Kaydet'i seçin.

    Sanal ağa ek bir sanal ağ IP adresi aralığı Azure portal

  10. Ardından, sanal ağ penceresinin sol menüsünde Alt ağlar'ı ve ardından + Alt Ağ'ı seçerek bir alt ağ ekleyin.

  11. + Alt Ağ'ı seçin, ardından alt ağ için yönetim gibi bir ad girin. 10.0.5.0/24 gibi bir Adres aralığı (CIDR bloğu) girin. Bu IP adresi aralığının diğer mevcut Azure veya şirket içi adres aralıkları ile çakışmay olduğundan emin olun. Diğer seçenekleri varsayılan değerleri olarak bırakın ve Tamam'ı seçin.

    Ağ içinde bir alt ağ Azure portal

  12. Alt ağın oluşturması birkaç saniye sürer. Oluşturulduktan sonra X'i seçerek alt ağ penceresini kapatın.

  13. Vm oluşturmak için Ağ bölmesine geri dönüp, yönetim gibi açılan menüden oluşturduğunuz alt ağı seçin. Bir kez daha doğru alt ağı seçtiğinizden ve VM'nizi yönetilen etki alanınız ile aynı alt ağda dağıtmayın.

  14. Genel IP için, açılan menüden Hiçbiri'yi seçin. Yönetime bağlanmak Azure Bastion için bu öğreticide yer alan genel ip adresini kullansanız da VM'ye atanmış bir genel IP adresine ihtiyacınız yok.

  15. Diğer seçenekleri varsayılan değerleri olarak bırakın ve Yönetim'i seçin.

  16. Önyükleme tanılaması'yı Kapalı olarak ayarlayın. Diğer seçenekleri varsayılan değerleri olarak bırakın ve gözden geçir + oluştur'a tıklayın.

  17. VM ayarlarını gözden geçirerek Oluştur'a tıklayın.

VM'nin oluşturularak oluşturmanız birkaç dakika sürer. Dağıtım Azure portal dağıtımın durumunu gösterir. VM hazır olduktan sonra Kaynağa git'i seçin.

Vm başarıyla oluşturulduktan Azure portal vm kaynağına gidin

Bağlan Sunucusu VM Windows ne yükleme

VM'lerinize güvenli bir şekilde bağlanmak için bir Azure Bastion kullanın. Yönetilen Azure Bastion, sanal ağınıza dağıtılır ve VM'lere web tabanlı RDP veya SSH bağlantıları sağlar. VM'ler için genel IP adresi gerekmez ve dış uzak trafik için ağ güvenlik grubu kurallarını açmanız gerekmez. Web tarayıcınızdan sanal Azure portal vm'lere bağlanabilirsiniz. Gerekirse, bir konak Azure Bastion oluşturun.

Sanal makinenize bağlanmak üzere bir Bastion ana bilgisayarı kullanmak için aşağıdaki adımları tamamlayın:

  1. VM'nizin Genel Bakış bölmesinde Bağlan'ı ve ardından Bastion'ı seçin.

    Bağlan Windows Bastion kullanarak sanal makineye Azure portal

  2. Önceki bölümde belirttiğiniz VM'nizin kimlik bilgilerini girin ve sonra Bağlan.

    Bağlan'daki Bastion ana bilgisayarı aracılığıyla Azure portal

Gerekirse, Bastion bağlantısının görüntülenebilir olması için web tarayıcınızın açılır pencereleri açmasına izin ver. VM'nize bağlantının birkaç saniye içinde uzlatır.

VM'yi yönetilen etki alanına ekleme

VM oluşturulduktan ve Azure Bastion kullanılarak web tabanlı bir RDP bağlantısı oluşturulduktan sonra Windows Server sanal makinesini yönetilen etki alanına katabilirsiniz. Bu işlem, normal bir Etki Alanı Hizmetleri etki alanına şirket içi Active Directory bilgisayarla aynıdır.

  1. Vm Sunucu Yöneticisi oturum asanız varsayılan olarak açılmazsa Başlat menüsünü seçin ve sonra da Sunucu Yöneticisi.

  2. Yerel Sunucu penceresinin sol Sunucu Yöneticisi Yerel Sunucu'ya tıklayın. Sağ bölmede Özellikler'in altında Çalışma Grubu'ni seçin.

    VM Sunucu Yöneticisi de çalışma grubu özelliğini açın ve düzenleyin

  3. Sistem Özellikleri penceresinde, yönetilen etki alanına katılmak için Değiştir'i seçin.

    Çalışma grubu veya etki alanı özelliklerini değiştirme

  4. Etki Alanı kutusunda, yönetilen etki alanı adı gibi bir ad belirtin aaddscontoso.com tamam'ı seçin.

    Katılmak için yönetilen etki alanını belirtme

  5. Etki alanına katılmak için etki alanı kimlik bilgilerini girin. Yönetilen etki alanının parçası olan bir kullanıcı için kimlik bilgilerini girin. Hesabın yönetilen etki alanının veya Azure AD kiracının parçası olması gerekir. Azure AD kiracınız ile ilişkili dış dizinlerden hesaplar, etki alanına katılma işlemi sırasında doğru kimlik doğrulamasından sorumlu değildir.

    Hesap kimlik bilgileri aşağıdaki yöntemlerden biri ile belirtilebilir:

    • UPN biçimi (önerilir) - Azure AD'de yapılandırılan kullanıcı hesabı için kullanıcı asıl adı (UPN) soneki girin. Örneğin contosoadmin kullanıcılarının UPN soneki contosoadmin@aaddscontoso.onmicrosoft.com olur. UPN biçiminin SAMAccountName biçimi yerine etki alanında güvenilir bir şekilde oturum açmasını mümkün olan birkaç yaygın kullanım durumu vardır:
      • Bir kullanıcının UPN ön eki deehasareallylongname gibi uzunsa SAMAccountName otomatik olarak sızmış olabilir.
      • Birden çok kullanıcının Azure AD kiracınız için dee gibi aynı UPN ön eki varsa, SAMAccountName biçimi otomatik olarak biçimlendirilmiş olabilir.
    • SAMAccountName biçimi - SAMAccountName biçiminde hesap adını girin. Örneğin, contosoadmin kullanıcılarının SAMAccountName adı AADDSCONTOSO\contosoadmin olur.

  6. Yönetilen etki alanına katılmak birkaç saniye sürer. Tamamlandığında, aşağıdaki ileti sizi etki alanına kabul ediyor:

    Etki alanına hoş geldiniz

    Devam etmek için Tamam'ı seçin.

  7. Yönetilen etki alanına katılma işlemini tamamlamak için VM'yi yeniden başlatın.

İpucu

Add-Computer cmdlet'iyle PowerShell kullanarak bir VM'ye etki alanına katılabilirsiniz. Aşağıdaki örnek AADDSCONTOSO etki alanına katılır ve ardından VM'yi yeniden başlatıyor. İstendiğinde, yönetilen etki alanının parçası olan bir kullanıcının kimlik bilgilerini girin:

Add-Computer -DomainName AADDSCONTOSO -Restart

Vm'ye bağlanmadan ve bağlantıyı el ile yapılandırmadan vm'ye etki alanına katılmak için Set-AzVmAdDomainExtension cmdlet'ini Azure PowerShell kullanabilirsiniz.

Sunucu Windows yeniden başlatıldıktan sonra, yönetilen etki alanına uygulanan tüm ilkeler VM'ye gönderir. Artık uygun etki alanı kimlik bilgilerini kullanarak Windows Sunucusu VM'sinde de oturumabilirsiniz.

Kaynakları temizleme

Sonraki öğreticide, yönetilen etki alanını Windows yönetim araçlarını yüklemek için bu vm'yi Sunucu VM'sinde kullanırsınız. Bu öğretici serisine devam etmek istemiyorsanız VM'yi silmek için aşağıdaki temizleme adımlarını gözden geçirebilirsiniz. Aksi takdirde, sonraki öğreticiye devam edin.

Vm'nin yönetilen etki alanındaki katılmayı geri ala

VM'yi yönetilen etki alanında kaldırmak için adımları tekrar takip edin ve VM'yi bir etki alanına katabilirsiniz. Yönetilen etki alanına katılmak yerine, varsayılan WORKGROUP gibi bir çalışma grubuna katılmayı seçin. VM yeniden başlatıldıktan sonra bilgisayar nesnesi yönetilen etki alanından kaldırılır.

Vm'yi etki alanına katılmadan silersanız, vm'de yalnız Azure AD DS.

VM’yi silin

Sunucu VM'niz için bu Windows değil, aşağıdaki adımları kullanarak VM'yi silin:

  1. Sol menüden Kaynak grupları'ı seçin
  2. myResourceGroup gibi bir kaynak grubu seçin.
  3. myVM gibi vm'nizi seçin ve sil'i seçin. Kaynak silme işlemini onaylamak için Evet'i seçin. VM'yi silmek birkaç dakika sürer.
  4. VM silindiğinde işletim sistemi diskini, ağ arabirimi kartını ve myVM ön ekini olan diğer kaynakları seçin ve silin.

Etki alanına katılma sorunlarını giderme

Windows Sunucu VM'si, normal bir şirket içi bilgisayarın bir etki alanına katılmasını istediğiniz gibi yönetilen etki alanına başarıyla Active Directory Domain Services gerekir. Windows Sunucusu VM'si yönetilen etki alanına katılayamasa, bağlantı veya kimlik bilgileriyle ilgili bir sorun olduğunu gösterir. Yönetilen etki alanına başarıyla katılmak için aşağıdaki sorun giderme bölümlerini gözden geçirebilirsiniz.

Bağlantı sorunları

Etki alanına katılmak için kimlik bilgilerini isteyen bir istem alırsanız bir bağlantı sorunu vardır. VM, sanal ağ üzerinde yönetilen etki alanına erişe değildir.

Bu sorun giderme adımlarının her biri deneyildikten sonra, Windows Server VM'sinde yönetilen etki alanına yeniden katılmayı deneyin.

  • VM'nin, sanal makinenin etkin olduğu veya eş Azure AD DS aynı sanal ağa bağlı olduğunu doğrulayın.
  • Yönetilen etki alanının DNS etki alanı adına ( gibi) ping atmaya ping aaddscontoso.com çalışabilirsiniz.
    • Ping isteği başarısız olursa, gibi yönetilen etki alanının IP adreslerine ping atmaya ping 10.0.0.4 deneyin. Ortamınız için IP adresi, Azure kaynakları listesinden yönetilen etki alanını seçerek Özellikler sayfasında görüntülenir.
    • IP adresine ping göndere yapabiliyorsanız ancak etki alanına ping göndere yapabiliyorsanız, DNS yanlış yapılandırılmış olabilir. Yönetilen etki alanının IP adreslerinin sanal ağ için DNS sunucuları olarak yapılandırıldığından emin olun.
  • komutunu kullanarak sanal makinede DNS çözümleyici önbelleğini temizlemeyi ipconfig /flushdns deneyin.

Etki alanına katılmak için kimlik bilgilerini isteyen bir istem alırsanız, ancak bu kimlik bilgilerini girdikten sonra bir hata alırsanız, VM yönetilen etki alanına bağlanabilirsiniz. Bu şekilde, sağlanan kimlik bilgileri VM'nin yönetilen etki alanına katılmasına izin vermez.

Bu sorun giderme adımlarının her biri deneyildikten sonra, Windows Server VM'sinde yönetilen etki alanına yeniden katılmayı deneyin.

  • Belirttiğiniz kullanıcı hesabının yönetilen etki alanına ait olduğundan emin olun.
  • Hesabın yönetilen etki alanının veya Azure AD kiracının bir parçası olduğunu onaylayın. Azure AD kiracınız ile ilişkili dış dizinlerden gelen hesaplar, etki alanına katılma işlemi sırasında doğru şekilde kimlik doğrulanamıyor.
  • Gibi kimlik bilgilerini belirtmek için UPN biçimini kullanmayı contosoadmin@aaddscontoso.onmicrosoft.com deneyin. Kiracınız içinde aynı UPN ön ekini kullanan çok sayıda kullanıcı varsa veya UPN ön ekin fazla uzunsa, hesabınız için SAMAccountName otomatik olarak sızmış olabilir. Böyle durumlarda, hesabınız için SAMAccountName biçimi, şirket içi etki alanınız için beklediğiniz veya kullanmak istediğinizden farklı olabilir.
  • Yönetilen etki alanınıza parola eşitlemeyi etkinleştirdikten sonra emin olun. Bu yapılandırma adımı olmadan, oturum açma girişiminizin kimliğini doğru bir şekilde doğrulamak için gerekli parola karmaları yönetilen etki alanında mevcut olmaz.
  • Parola eşitlemenin tamamlandıktan sonra tamamlanır. Bir kullanıcı hesabının parolası değiştir geldiğinde, Azure AD'den otomatik arka plan eşitlemesi parolayı Azure AD DS. Parolanın etki alanına katılma kullanımı için kullanılabilir olması biraz zaman alır.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • Windows Sunucusu VM'si oluşturma
  • Bağlan Sunucusu VM Windows ne azure sanal ağına bağlanın
  • VM'yi yönetilen etki alanına ekleme

Yönetilen etki alanınızı yönetmek için Active Directory Yönetim Merkezi (ADAC) kullanarak bir yönetim sanal makinesi yapılandırın.

Yönetim sanal makinesine yönetim araçları 'nı yükler