教學課程:建立及設定 Microsoft Entra Domain Services 受控網域

Microsoft Entra Domain Services 提供受控網域服務,例如網域加入、組策略、LDAP、Kerberos/NTLM 驗證,與 Windows Server Active Directory 完全相容。 您不需要自行部署、管理和修補網域控制站,就可以使用這些網域服務。 Domain Services 會與您的現有 Microsoft Entra 租使用者整合。 此整合可讓使用者使用其公司認證登入,而且您可以使用現有的群組和使用者帳戶來保護資源的存取權。

您可以使用網路和同步處理的預設組態選項來建立受控網域,或 手動定義這些設定。 本教學課程說明如何使用預設選項,使用 Microsoft Entra 系統管理中心來建立及設定 Domain Services 受控網域。

在本教學課程中,您會了解如何:

  • 瞭解受控網域的 DNS 需求
  • 建立受控網域
  • 啟用密碼雜湊同步功能

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶

必要條件

若要完成本教學課程,您需要下列資源和權限:

雖然網域服務並非必要,但建議為 Microsoft Entra 租用戶設定自助式密碼重設 (SSPR)。 用戶可以在沒有 SSPR 的情況下變更其密碼,但 SSPR 可協助他們忘記密碼並需要重設密碼。

重要

建立受控網域之後,您無法將受控網域移至不同的訂用帳戶、資源群組或區域。 當您部署受控網域時,請小心選取最適當的訂用帳戶、資源群組和區域。

登入 Microsoft Entra 系統管理中心

在本教學課程中,您會使用 Microsoft Entra 系統管理中心來建立和設定受控網域。 若要開始使用,請先登入 Microsoft Entra 系統管理中心

建立受控網域

若要啟動啟用 Microsoft Entra Domain Services 精靈,請完成下列步驟:

  1. 在 [Microsoft Entra 系統管理中心] 功能表上,或從 [首頁] 搜尋 [網域服務],然後選擇 [Microsoft Entra Domain Services]。

  2. 在 [Microsoft Entra Domain Services] 頁面上,選取 [ 建立 Microsoft Entra Domain Services]。

    Screenshot of how to create a managed domain.

  3. 選取您要在其中建立受控網域的 Azure 用帳戶。

  4. 選取受控網域所屬的資源群組。 選擇 [ 新建] 或選取現有的資源群組。

當您建立受控網域時,您可以指定 DNS 名稱。 當您選擇此 DNS 名稱時,有一些考慮:

  • 內建域名: 根據預設,會使用目錄的內建功能變數名稱( .onmicrosoft.com 後綴)。 如果您想要透過因特網啟用對受控網域的安全 LDAP 存取,您無法建立數位證書來保護使用此預設網域的連線。 Microsoft 擁有 .onmicrosoft.com 網域,因此證書頒發機構單位 (CA) 不會簽發憑證。
  • 自定義功能變數名稱: 最常見的方法是指定自定義功能變數名稱,通常是您已經擁有且可路由傳送的功能變數名稱。 當您使用可路由的自訂網域時,流量可以視需要正確流動以支援您的應用程式。
  • 不可路由網域後綴: 我們通常建議您避免非可路由域名後綴,例如 contoso.local.local 後綴無法路由傳送,而且可能會導致 DNS 解析的問題。

提示

如果您建立自定義功能變數名稱,請小心現有的 DNS 命名空間。 雖然支援,但您可能會想要使用與任何現有 Azure 或內部部署 DNS 命名空間分開的功能變數名稱。

例如,如果您有現有的 DNS 名稱空間 contoso.com,請使用自定義功能變數名稱建立受控網域 dscontoso.com。 如果您需要使用安全 LDAP,您必須註冊並擁有此自定義功能變數名稱,才能產生必要的憑證。

您可能需要為環境中的其他服務建立一些額外的 DNS 記錄,或環境中現有 DNS 名稱空間之間的條件式 DNS 轉寄站。 例如,如果您執行使用根 DNS 名稱裝載網站的 Web 伺服器,可能會發生需要其他 DNS 專案的命名衝突。

在這些教學課程和作法文章中,dscontoso.com自定義網域會作為簡短範例使用。 在所有命令中,指定您自己的功能變數名稱。

下列 DNS 名稱限制也適用於:

  • 網域前置詞限制: 您無法建立前置詞超過 15 個字元的受控網域。 您指定功能變數名稱的前置詞(例如 dscontoso.com 功能變數名稱中的 dscontoso)必須包含 15 個字元或更少。
  • 網路名稱衝突: 受控網域的 DNS 功能變數名稱不應已存在於虛擬網路中。 具體來說,請檢查下列會導致名稱衝突的案例:
    • 如果您已經有 Azure 虛擬網路上具有相同 DNS 功能變數名稱的 Active Directory 網域。
    • 如果您打算啟用受控網域的虛擬網路具有與內部部署網路的 VPN 連線。 在此案例中,請確定您的內部部署網路上沒有具有相同 DNS 功能變數名稱的網域。
    • 如果您有 Azure 虛擬網路上具有該名稱的現有 Azure 雲端服務。

完成 Microsoft Entra 系統管理中心 [基本] 視窗中的字段,以建立受控網域:

  1. 輸入 受控網域的 DNS 功能變數名稱 ,並考慮先前的要點。

  2. 選擇應在其中建立受控網域的 Azure 區域 。 如果您選擇支援 Azure 可用性區域 的區域,網域服務資源會分散到區域以取得額外的備援。

    提示

    「可用性區域」是 Azure 地區內獨特的實體位置。 每個區域都是由一或多個資料中心所組成,配備了獨立的電力、冷卻系統及網路系統。 若要確保復原能力,在所有已啟用的區域中都至少要有三個個別的區域。

    您不需要設定網域服務分散到區域。 Azure 平臺會自動處理資源的區域分佈。 如需詳細資訊並查看區域可用性,請參閱什麼是 Azure 中的 可用性區域?

  3. SKU 會決定效能和備份頻率。 如果您的商務需求或需求變更,您可以在建立受控網域之後變更 SKU。 如需詳細資訊,請參閱 Domain Services SKU 概念

    在本教學課程中,選取 標準 SKU。 [ 基本] 視窗看起來應該像下列螢幕快照:

    Screenshot of Basics configuration page for a managed domain.

若要快速建立受控網域,您可以選取 [檢閱 + 建立 ] 以接受其他預設組態選項。 當您選擇此建立選項時,會設定下列預設值:

  • 預設會建立名為 ds-vnet 的虛擬網路,其會使用 10.0.1.0/24 的 IP 位址範圍
  • 使用 10.0.1.0/24 的 IP 位址範圍,建立名為 ds-subnet 的子網
  • Microsoft Entra ID 的所有使用者 同步處理到受控網域。

注意

由於下列問題,您不應該針對虛擬網路及其子網使用公用IP位址:

  • IP 位址的稀缺性:IPv4 公用IP位址有限,其需求通常超過可用的供應。 此外,公用端點可能會有重疊的IP。

  • 安全性風險:針對虛擬網路使用公用IP會直接向因特網公開您的裝置,增加未經授權的存取和潛在攻擊的風險。 若沒有適當的安全性措施,您的裝置可能會容易受到各種威脅的影響。

  • 複雜度:使用公用IP管理虛擬網路比使用私人IP更為複雜,因為它需要處理外部IP範圍,並確保適當的網路分割和安全性。

強烈建議使用私人IP位址。 如果您使用公用IP,請確定您是所選公用範圍內所選IP的擁有者/專用使用者。

選取 [ 檢閱 + 建立] 以接受這些預設組態選項。

部署受控網域

在精靈的 [ 摘要 ] 頁面上,檢閱受控網域的組態設定。 您可以回到精靈的任何步驟進行變更。 若要使用這些組態選項,以一致的方式將受控網域重新部署到不同的 Microsoft Entra 租使用者,您也可以 下載用於自動化的範本。

  1. 若要建立受控網域,請選取 [ 建立]。 請注意,建立受控網域服務之後,就無法變更某些組態選項,例如 DNS 名稱或虛擬網路。 若要繼續,請選取 [確定]。

    Screenshot of configuration options for managed domain.

  2. 布建受控網域的程式最多可能需要一小時的時間。 入口網站中會顯示通知,其中顯示網域服務部署的進度。

  3. 完全布建受控網域時,[ 概觀 ] 索引卷標會顯示網域狀態為 [正在執行]。 適用於虛擬網路和網路資源群組等資源連結的 Expans 部署詳細 數據。

    Screenshot of deployment details for a managed domain.

重要

受控網域與您的 Microsoft Entra 目錄相關聯。 在布建程式期間,Domain Services 會在 Microsoft Entra 目錄中建立兩個名為 Domain Controller ServicesAzureActiveDirectoryDomainControllerServices 的企業應用程式。 需要這些企業應用程式才能服務受控網域。 請勿刪除這些應用程式。

更新 Azure 虛擬網路的 DNS 設定

成功部署網域服務后,現在將虛擬網路設定為允許其他連線的 VM 和應用程式使用受控網域。 若要提供此連線能力,請更新虛擬網路的 DNS 伺服器設定,以指向部署受控網域的兩個 IP 位址。

  1. 受控網域的 [ 概觀 ] 索引標籤會顯示一些 必要的設定步驟。 第一個組態步驟是更新虛擬網路的 DNS 伺服器設定。 正確設定 DNS 設定之後,就不會再顯示此步驟。

    列出的位址是用於虛擬網路的域控制器。 在此範例中,這些位址是 10.0.1.410.0.1.5。 您稍後可以在 [ 屬性 ] 索引標籤上找到這些 IP 位址。

    Screenshot of Overview page for a managed domain.

  2. 若要更新虛擬網路的 DNS 伺服器設定,請選取 [ 設定 ] 按鈕。 您的虛擬網路會自動設定 DNS 設定。

提示

如果您在先前的步驟中選取現有的虛擬網路,任何連線到網路的 VM 只會在重新啟動後取得新的 DNS 設定。 您可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Azure CLI 重新啟動 VM。

啟用 Domain Services 的用戶帳戶

若要驗證受控網域上的使用者,Domain Services 需要密碼哈希,其格式適用於NT LAN Manager (NTLM) 和 Kerberos 驗證。 在您為租用戶啟用 Domain Services 之前,Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式產生或儲存密碼哈希。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。

注意

適當設定之後,可使用的密碼哈希會儲存在受控網域中。 如果您刪除受控網域,也會刪除儲存在該時間點的任何密碼哈希。

如果您稍後建立受控網域,將無法重複使用 Microsoft Entra ID 中的同步認證資訊 - 您必須重新設定密碼哈希同步處理,才能再次儲存密碼哈希。 先前加入網域的 VM 或使用者將無法立即驗證 - Microsoft Entra ID 必須產生密碼哈希,並將密碼哈希儲存在新受控網域中。

網域服務不支援 Microsoft Entra 連線 雲端同步處理。 內部部署用戶必須使用 Microsoft Entra 連線 進行同步處理,才能存取已加入網域的 VM。 如需詳細資訊,請參閱網域服務和 Microsoft Entra 連線 的密碼哈希同步處理程式。

針對在 Microsoft Entra ID 中建立的僅限雲端使用者帳戶產生和儲存這些密碼雜湊的步驟,與使用 Microsoft Entra Connect 從內部部署目錄同步的使用者帳戶的步驟不同。

僅限雲端用戶帳戶是使用 Microsoft Entra 系統管理中心或 PowerShell 在 Microsoft Entra 目錄中建立的帳戶。 這些使用者帳戶不會從內部部署目錄同步。

在本教學課程中,讓我們使用基本的僅限雲端用戶帳戶。 如需使用 Microsoft Entra 連線 所需之額外步驟的詳細資訊,請參閱同步處理從內部部署 AD 同步處理至受控網域之使用者帳戶的密碼哈希。

提示

如果您的 Microsoft Entra 目錄有僅限雲端和同步使用者的組合,您需要完成這兩組步驟。

針對僅限雲端的用戶帳戶,用戶必須先變更其密碼,才能使用 Domain Services。 此密碼變更程式會使 Kerberos 和 NTLM 驗證的密碼哈希產生並儲存在 Microsoft Entra ID 中。 在密碼變更之前,帳戶不會從 Microsoft Entra ID 同步處理到網域服務。 租使用者中需要使用 Domain Services 的所有雲端用戶密碼過期,這會在下一次登入時強制變更密碼,或指示雲端使用者手動變更其密碼。 在本教學課程中,讓我們手動變更用戶密碼。

用戶必須先設定 Microsoft Entra 租 用戶進行自助式密碼重設,才能重設其密碼。

若要變更僅限雲端使用者的密碼,用戶必須完成下列步驟:

  1. 移至 位於 的 Microsoft Entra ID 存取面板 頁面https://myapps.microsoft.com

  2. 在右上角選取您的名稱,然後從下拉功能表中選擇 [配置檔 ]。

    Screenshot of how to select a profile.

  3. 在 [ 配置檔] 頁面上,選取 [ 變更密碼]。

  4. 在 [ 變更密碼] 頁面上,輸入您的現有 (舊) 密碼,然後輸入並確認新的密碼。

  5. 選取 [提交]

將新密碼變更為可在網域服務中使用,並成功登入已加入受控網域的計算機,需要幾分鐘的時間。

下一步

在本教學課程中,您已了解如何:

  • 瞭解受控網域的 DNS 需求
  • 建立受控網域
  • 將系統管理使用者新增至網域管理
  • 啟用網域服務的用戶帳戶併產生密碼哈希

在您加入網域並部署使用受控網域的應用程式之前,請先設定應用程式工作負載的 Azure 虛擬網路。