öğretici: Azure Active Directory etki alanı hizmetleri tarafından yönetilen etki alanı oluşturma ve yapılandırma

  • Makale
  • Okumak için 10 dakika

Azure Active Directory Etki alanı Hizmetleri (Azure AD DS), Windows Server Active Directory ile tamamen uyumlu etki alanına katılması, Grup ilkesi, LDAP, Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı Hizmetleri sağlar. Etki alanı denetleyicilerini kendiniz dağıtmadan, yönetmeden ve düzeltme eki uygulamadan bu etki alanı hizmetlerini kullanırsınız. Azure AD DS, mevcut Azure AD kiracınızla tümleşir. Bu tümleştirme, kullanıcıların kurumsal kimlik bilgilerini kullanarak oturum açmasını sağlar ve kaynaklara erişimi güvenli hale getirmek için mevcut grupları ve Kullanıcı hesaplarını kullanabilirsiniz.

Ağ ve eşitleme için varsayılan yapılandırma seçeneklerini kullanarak yönetilen bir etki alanı oluşturabilir veya Bu ayarları el ile tanımlayabilirsiniz. Bu öğreticide, Azure portal kullanarak Azure AD DS yönetilen bir etki alanı oluşturmak ve yapılandırmak için varsayılan seçeneklerin nasıl kullanılacağı gösterilmektedir.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Yönetilen bir etki alanı için DNS gereksinimlerini anlama
  • Yönetilen etki alanı oluşturma
  • Parola karması eşitlemeyi etkinleştirme

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .

Önkoşullar

Bu öğreticiyi tamamlayabilmeniz için aşağıdaki kaynaklar ve ayrıcalıklar gereklidir:

  • Etkin bir Azure aboneliği.
  • abonelikle ilişkili bir Azure Active Directory kiracısı, şirket içi bir dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Azure AD DS 'yi etkinleştirmek için Azure AD kiracınızda genel yönetici ayrıcalıklarına sahip olmanız gerekir.
  • Gerekli Azure AD DS kaynaklarını oluşturmak için Azure aboneliğinizde katılımcı ayrıcalıklarına sahip olmanız gerekir.
  • Depolama gibi gerekli altyapıyı sorgulayabilirler DNS sunucularına sahip bir sanal ağ. Genel internet sorguları gerçekleştiremeyecek DNS sunucuları, yönetilen bir etki alanı oluşturma özelliğini önleyebilir.

Azure AD DS için gerekli olmasa da, Azure AD kiracısı için self servis parola sıfırlama (SSPR) yapılandırmanız önerilir. Kullanıcılar, SSPR olmadan parolalarını değiştirebilir, ancak SSPR, parolalarını unutmaları ve sıfırlanması gerekir.

Önemli

Yönetilen etki alanını oluşturduktan sonra farklı bir aboneliğe, kaynak grubuna, bölgeye, sanal ağa veya alt ağa taşıyamazsınız. Yönetilen etki alanını dağıtırken en uygun aboneliği, kaynak grubunu, bölgeyi, sanal ağı ve alt ağı seçmek için dikkatli olmanız gerekir.

Azure portalında oturum açın

Bu öğreticide, Azure portal kullanarak yönetilen etki alanını oluşturup yapılandırırsınız. Başlamak için öncelikle Azure Portaloturum açın.

Yönetilen etki alanı oluşturma

Etkinleştirme Azure AD Domain Services Sihirbazı 'nı başlatmak için aşağıdaki adımları izleyin:

  1. Azure portal menüsünde veya Giriş sayfasında, Kaynak oluştur’u seçin.
  2. Arama çubuğuna etki alanı Hizmetleri girin, sonra arama önerilerindeki Azure AD Domain Services seçin.
  3. Azure AD Domain Services sayfasında Oluştur' u seçin. Etkinleştirme Azure AD Domain Services Sihirbazı başlatılır.
  4. Yönetilen etki alanını oluşturmak istediğiniz Azure aboneliğini seçin.
  5. Yönetilen etki alanının ait olacağı kaynak grubunu seçin. Yeni oluştur veya var olan bir kaynak grubunu Seç seçeneğini belirleyin.

Yönetilen bir etki alanı oluşturduğunuzda bir DNS adı belirlersiniz. Bu DNS adını seçerken bazı noktalar vardır:

  • Yerleşik etki alanı adı: Varsayılan olarak, dizinin yerleşik etki alanı adı kullanılır (bir . onmicrosoft.com soneki). Yönetilen etki alanına internet üzerinden güvenli LDAP erişimini etkinleştirmek istiyorsanız, bu varsayılan etki alanı ile bağlantıyı güvenli hale getirmek için dijital bir sertifika oluşturamazsınız. Microsoft . onmicrosoft.com etki alanına sahip olduğundan, bir sertifika YETKILISI (CA) bir sertifika vermez.
  • Özel etki alanı adları: En yaygın yaklaşım, genellikle zaten sahip olduğunuz ve yönlendirilebilir olan özel bir etki alanı adı belirtmektir. Yönlendirilebilir, özel bir etki alanı kullandığınızda, uygulamalarınızı desteklemek için gereken şekilde trafik doğru şekilde akabilir.
  • Yönlendirilemeyen etki alanı sonekleri: Genellikle, contoso. Local gibi yönlendirilebilir olmayan bir etki alanı adı sonekini önlemenize tavsiye ederiz. . Local son eki yönlendirilebilir DEĞILDIR ve DNS çözümlenme sorunlarına neden olabilir.

İpucu

Özel bir etki alanı adı oluşturursanız, mevcut DNS ad alanları ile ilgilenin. Mevcut bir Azure veya şirket içi DNS ad alanından ayrı bir etki alanı adı kullanılması önerilir.

Örneğin, contoso.com ADLı bir DNS ad alanınız varsa, aaddscontoso.com özel etki alanı adına sahip bir yönetilen etki alanı oluşturun. Güvenli LDAP kullanmanız gerekiyorsa, gerekli sertifikaları oluşturmak için bu özel etki alanı adını kaydetmeniz ve sahip olmanız gerekir.

Ortamınızdaki diğer hizmetler için bazı ek DNS kayıtları veya ortamınızda var olan DNS adı alanları arasında koşullu DNS ileticileri oluşturmanız gerekebilir. Örneğin, kök DNS adını kullanarak bir siteyi barındıran bir Web sunucusu çalıştırırsanız, ek DNS girişleri gerektiren adlandırma çakışmaları olabilir.

Bu öğreticiler ve nasıl yapılır makalelerinde, aaddscontoso.com özel etki alanı kısa bir örnek olarak kullanılır. Tüm komutlarda kendi etki alanı adınızı belirtin.

Aşağıdaki DNS adı kısıtlamaları da geçerlidir:

  • Etki alanı ön eki kısıtlamaları: Ön eki 15 karakterden daha uzun olan yönetilen bir etki alanı oluşturamazsınız. Belirtilen etki alanı adınızın ön eki ( aaddscontoso.com etki alanı adında aaddscontoso gibi) 15 veya daha az karakter içermelidir.
  • Ağ adı çakışmaları: Yönetilen etki alanınız için DNS etki alanı adı, sanal ağda zaten mevcut olmamalıdır. Özellikle, bir ad çakışmasına yol açacak aşağıdaki senaryoları kontrol edin:
    • Azure sanal ağında aynı DNS etki alanı adına sahip bir Active Directory etki alanınız zaten varsa.
    • Yönetilen etki alanını etkinleştirmeyi planladığınız sanal ağın, şirket içi ağınızla bir VPN bağlantısı varsa. Bu senaryoda, şirket içi ağınızda aynı DNS etki alanı adına sahip bir etki alanı olmadığından emin olun.
    • Azure sanal ağında bu adı taşıyan mevcut bir Azure bulut hizmetiniz varsa.

Yönetilen bir etki alanı oluşturmak için Azure portal temel bilgiler penceresindeki alanları doldurun:

  1. Yönetilen etki alanınız için bir DNS etki alanı adı girin, önceki noktaları dikkate alarak.

  2. Yönetilen etki alanının oluşturulması gereken Azure konumunu seçin. Azure Kullanılabilirlik Alanları destekleyen bir bölge seçerseniz, Azure AD DS kaynakları daha fazla artıklık için bölgelere dağıtılır.

    İpucu

    Kullanılabilirlik Alanları, Azure bölgesi içinde fiziksel olarak benzersiz konumlardır. Her alan bağımsız güç, soğutma ve ağ bağlantısı ile donatılmış bir veya daha fazla veri merkezinden oluşur. Dayanıklılığı güvence altına almak için etkinleştirilmiş tüm bölgelerde en az üç ayrı alan vardır.

    Azure AD DS bölgeler arasında dağıtılacak şekilde yapılandırmanız için bir şey yoktur. Azure platformu, kaynakların bölge dağılımını otomatik olarak işler. Daha fazla bilgi edinmek ve bölge kullanılabilirliğini görmek için bkz. Azure 'da kullanılabilirlik alanları nedir?

  3. SKU , performans ve yedekleme sıklığını belirler. İş talepleriniz veya gereksinimleriniz değiştikçe, yönetilen etki alanı oluşturulduktan sonra SKU 'YU değiştirebilirsiniz. Daha fazla bilgi için bkz. Azure AD DS SKU kavramları.

    Bu öğretici için Standart SKU 'yu seçin.

  4. Orman bir veya daha fazla etki alanını gruplamak için Active Directory Domain Services tarafından kullanılan mantıksal bir yapıdır. Varsayılan olarak, yönetilen bir etki alanı bir Kullanıcı Ormanı olarak oluşturulur. Bu tür bir orman, şirket içi AD DS ortamında oluşturulan kullanıcı hesapları da dahil olmak üzere Azure AD 'deki tüm nesneleri eşitler.

    Kaynak ormanı yalnızca doğrudan Azure AD 'de oluşturulan kullanıcıları ve grupları eşitler. Kaynak ormanları hakkında daha fazla bilgi için, bir tane kullanabilirsiniz ve şirket içi AD DS etki alanlarıyla orman güvenleri oluşturma hakkında daha fazla bilgi için bkz. Azure AD DS kaynak ormanları genel bakış.

    Bu öğreticide, bir Kullanıcı ormanı oluşturmayı seçin.

    Azure AD Domain Services yönetilen bir etki alanı için temel ayarları yapılandırma

Hızlı bir şekilde yönetilen etki alanı oluşturmak için, ek varsayılan yapılandırma seçeneklerini kabul etmek için gözden geçir + oluştur seçeneğini belirleyebilirsiniz. Bu oluşturma seçeneğini belirlediğinizde aşağıdaki varsayılanlar yapılandırılır:

  • 10.0.2.0/24 IP adresi aralığını kullanan aeklemeleri-VNET adlı bir sanal ağ oluşturur.
  • 10.0.2.0/24 IP adresi aralığını kullanarak aeklemesine-subnet adlı bir alt ağ oluşturur.
  • Azure AD 'deki Tüm kullanıcıları yönetilen etki alanına eşitler.

Bu varsayılan yapılandırma seçeneklerini kabul etmek için gözden geçir + oluştur ' u seçin.

Yönetilen etki alanını dağıtma

Sihirbazın Özet sayfasında, yönetilen etki alanınız için yapılandırma ayarlarını gözden geçirin. Değişiklik yapmak için sihirbazın herhangi bir adımına geri dönebilirsiniz. Yönetilen bir etki alanını bu yapılandırma seçeneklerini kullanarak tutarlı bir şekilde farklı bir Azure AD kiracısına yeniden dağıtmak için, Otomasyon için bir şablon da indirebilirsiniz.

  1. Yönetilen etki alanını oluşturmak için Oluştur' u seçin. Azure AD DS yönetilen oluşturulduktan sonra DNS adı veya sanal ağ gibi belirli yapılandırma seçeneklerinin değiştirilemeytiğine ilişkin bir Note görüntülenir. Devam etmek için Tamam' ı seçin.

  2. Yönetilen etki alanınızı sağlama işlemi bir saate kadar zaman alır. Portalda, dağıtım işleminizin ilerlemesini gösteren bir Azure AD DS görüntülenir. Dağıtımın ayrıntılı ilerlemesini görmek için bildirimi seçin.

    Dağıtımın Azure portal sırasındaki bildirim

  3. Sayfa, dizininize yeni kaynakların oluşturulması da dahil olmak üzere dağıtım işlemi güncelleştirmeleriyle birlikte yük bindir.

  4. myResourceGroup gibi kaynak grubularınızı seçin, sonra da azure kaynakları listesinden yönetilen etki alanınızı (örneğin, aaddscontoso.com. Genel Bakış sekmesi, yönetilen etki alanının şu anda Dağıtıyor olduğunu gösterir. Tam olarak sağlanana kadar yönetilen etki alanını yapılandıramazsanız.

    Sağlama durumu sırasında Etki Alanı Hizmetleri durumu

  5. Yönetilen etki alanı tam olarak sağlandı, Genel Bakış sekmesinde etki alanı durumu Çalışıyor olarak görüntülenir.

    Başarıyla sağlandıktan sonra Etki Alanı Hizmetleri durumu

Önemli

Yönetilen etki alanı Azure AD kiracınız ile ilişkilendirildi. Sağlama işlemi sırasında, Azure AD DS Azure AD Enterprise Domain Controller Services ve AzureActiveDirectoryDomainControllerServices adlı iki uygulama oluşturur. Bu Enterprise Yönetilen Etki Alanınıza hizmet etmek için Uygulamalar gereklidir. Bu uygulamaları silme.

Azure sanal ağı için DNS ayarlarını güncelleştirme

Sanal Azure AD DS başarıyla dağıtıldıktan sonra, şimdi sanal ağı diğer bağlı VM'lerin ve uygulamaların yönetilen etki alanını kullanmasına izin verecek şekilde yapılandırabilirsiniz. Bu bağlantı sağlamak için, sanal ağ için DNS sunucusu ayarlarını yönetilen etki alanının dağıtılacağı iki IP adresine işaret etmek için güncelleştirin.

  1. Yönetilen etki alanınıza ilişkin Genel Bakış sekmesinde bazı Gerekli yapılandırma adımları görüntülenir. İlk yapılandırma adımı, sanal ağınız için DNS sunucusu ayarlarını güncelleştirmektir. DNS ayarları doğru yapılandırıldığında bu adım gösterilmez.

    Listelenen adresler, sanal ağ içinde kullanmak üzere etki alanı denetleyicileridir. Bu örnekte, bu adresler 10.0.2.4 ve 10.0.2.5'tir. Bu IP adreslerini daha sonra Özellikler sekmesinde bulabilirsiniz.

    Sanal ağınız için DNS ayarlarını ip Azure AD Domain Services yapılandırma

  2. Sanal ağın DNS sunucusu ayarlarını güncelleştirmek için Yapılandır düğmesini seçin. DNS ayarları sanal ağınız için otomatik olarak yapılandırılır.

İpucu

Önceki adımlarda var olan bir sanal ağı seçtiysanız, ağa bağlı tüm VM'ler yalnızca yeniden başlatma sonrasında yeni DNS ayarlarını alır. VM'leri yeniden başlatmak için Azure portal, Azure PowerShell veya Azure CLI'sini kullanabilirsiniz.

Azure AD DS için kullanıcı hesaplarını etkinleştirme

Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için Azure AD DS NT LAN Manager (NTLM) ve Kerberos kimlik doğrulaması için uygun bir biçimde parola karmaları gerekir. Azure AD, siz kiracınız için kimlik doğrulamasını etkinleştirene kadar NTLM veya Kerberos kimlik doğrulaması için gereken biçimde Azure AD DS veya depolamaz. Güvenlik nedeniyle Azure AD, parola kimlik bilgilerini de açık metin şeklinde depolamaz. Bu nedenle Azure AD, kullanıcıların mevcut kimlik bilgilerine göre bu NTLM veya Kerberos parola karmalarını otomatik olarak oluşturamaz.

Not

Uygun şekilde yapılandırıldığında, kullanılabilir parola karmaları yönetilen etki alanında depolanır. Yönetilen etki alanını silerseniz, o noktada depolanan tüm parola karmaları da silinir.

Azure AD'de eşitlenen kimlik bilgileri daha sonra yönetilen bir etki alanı seniz yeniden kullanılamaz. Parola karmalarını depolamak için parola karması eşitlemesini yeniden yapılandırmanız gerekir. Daha önce etki alanına katılmış VM'ler veya kullanıcılar hemen kimlik doğrulamasına sahip olmayacaktır. Azure AD'nin parola karmalarını oluşturması ve yeni yönetilen etki alanında depolaması gerekir.

[Azure AD Bağlan Cloud Sync, Azure AD DS ile desteklenmiyor] [/azure/active-directory/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync]. Etki alanına katılmış VM'lere erişeb Bağlan şirket içi kullanıcıların Azure AD sanal ağlarını kullanarak eşitlemeleri gerekir. Daha fazla bilgi için bkz. Azure AD DS için parola karması eşitleme işlemi ve Azure AD Bağlan.

Bu parola karmalarını oluşturma ve depolama adımları, Azure AD'de oluşturulan yalnızca bulutta bulunan kullanıcı hesapları ile Azure AD etki alanı kullanılarak şirket içi dizininize eşitlenen kullanıcı hesapları Bağlan.

Yalnızca bulutta yer alan bir kullanıcı hesabı, Azure portal veya Azure AD PowerShell cmdlet’leri kullanılarak Azure AD dizininizde oluşturulmuş bir hesaptır. Bu kullanıcı hesapları şirket içi dizinden eşitlenmez.

Bu öğreticide, temel bir yalnızca bulut kullanıcı hesabıyla çalışabilirsiniz. Azure AD'yi kullanmak için gereken ek adımlar hakkında daha fazla bilgi Bağlan bkz. Şirket içi AD'niz ile yönetilen etki alanınıza eşitlenen kullanıcı hesapları için parola karmalarını eşitleme.

İpucu

Azure AD kiracınız yalnızca bulut kullanıcılarının ve şirket içi AD'nizin kullanıcılarının bir birleşimine sahipse, her iki adım kümelerini de tamamlamanız gerekir.

Yalnızca bulutta yer alan kullanıcı hesapları için kullanıcıların parolalarını değiştirmeleri gerekir ve kullanıcılar parolalarını Azure AD DS. Bu parola değiştirme işlemi, Kerberos ve NTLM kimlik doğrulaması için parola karmaları oluşturularak Azure AD'de depolanıyor. Parola değiştirilene kadar hesap Azure AD'Azure AD DS eşitlenmez. Kiracıda bir sonraki oturum açmada parola değişikliğini yapan Azure AD DS'i kullanmaları gereken tüm bulut kullanıcılarının parolalarının süresinin dolması veya bulut kullanıcılarının parolalarını el ile değiştirmeleri talimatı. Bu öğreticide kullanıcı parolasını el ile değiştirebilirsiniz.

Bir kullanıcının parolasını sıfırlayamadan önce, Azure AD kiracısı self servis parola sıfırlama için yapılandırıldı.

Yalnızca bulut kullanıcı parolasını değiştirmek için kullanıcının aşağıdaki adımları tamamlaması gerekir:

  1. sayfasından Azure AD Erişim Paneli sayfasına https://myapps.microsoft.com gidin.

  2. Sağ üst köşeden adınız ve ardından açılan menüden Profil'i seçin.

    Profil seçme

  3. Profil sayfasında Parolayı değiştir'i seçin.

  4. Parola değiştir sayfasında mevcut (eski) parolanızı girin ve yeni bir parola girin ve onaylayın.

  5. Gönder’i seçin.

Yeni parolanın Azure AD DS kullanılabilir olması ve yönetilen etki alanına katılmış bilgisayarlarda başarıyla oturum açması için parolanızı değiştirdikten sonra birkaç dakika sürer.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • Yönetilen etki alanı için DNS gereksinimlerini anlama
  • Yönetilen etki alanı oluşturma
  • Etki alanı yönetimine yönetici kullanıcılar ekleme
  • Parola karmaları oluşturmak ve Azure AD DS hesaplarını etkinleştirme

Vm'leri etki alanına eklemeden ve yönetilen etki alanını kullanan uygulamaları dağıtmadan önce, uygulama iş yükleri için bir Azure sanal ağı yapılandırmanız gerekir.

Yönetilen etki alanınızı kullanmak üzere uygulama iş yükleri için Azure sanal ağın yapılandırılması