Руководство. Создание двустороннего доверия леса в доменных службах Microsoft Entra с локальным доменом

Вы можете создать доверие леса между доменными службами Microsoft Entra и локальными средами AD DS. Отношение доверия леса позволяет пользователям, приложениям и компьютерам проходить проверку подлинности в локальном домене из управляемого домена доменных служб. Отношение доверия леса может помочь пользователям получить доступ к ресурсам в следующих сценариях:

• среды, где нельзя синхронизировать хэши паролей или где пользователи используют только смарт-карты для входа в систему, так как они не знают своего пароля;
• Гибридные сценарии, требующие доступа к локальным доменам.

Вы можете выбрать три возможных направления при создании доверия к лесу в зависимости от того, как пользователям требуется доступ к ресурсам. Доменные службы поддерживают только доверия лесов. Внешнее доверие к дочернему domian в локальной среде не поддерживается.

В этом руководстве описано следующее:

Если у вас еще нет подписки Azure, создайте учетную запись, прежде чем начинать работу.

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
  • При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
• Управляемый домен доменных служб, настроенный с именем личного DNS-домена и допустимым SSL-сертификатом.
  • При необходимости создайте и настройте управляемый домен доменных служб Microsoft Entra.
• Домен локальная служба Active Directory, доступный из управляемого домена через VPN или подключение ExpressRoute.
• Роли Администратор istrator и Groups Администратор istrator Microsoft Entra в клиенте для изменения экземпляра доменных служб.
• Учетная запись Администратор домена в локальном домене с разрешениями на создание и проверку отношений доверия.

Вход в Центр администрирования Microsoft Entra

В этом руководстве описано, как создать и настроить доверие к исходящему лесу из доменных служб с помощью Центра администрирования Microsoft Entra. Чтобы приступить к работе, войдите в Центр администрирования Microsoft Entra.

Рекомендации по работе с сетями

Для виртуальной сети, в которую размещается лес доменных служб, требуется ПОДКЛЮЧЕНИЕ VPN или ExpressRoute к локальная служба Active Directory. Приложениям и службам также требуется сетевое подключение к виртуальной сети, в котором размещается лес доменных служб. Сетевое подключение к лесу доменных служб должно быть всегда включено и стабильно, в противном случае пользователи могут не пройти проверку подлинности или получить доступ к ресурсам.

Перед настройкой доверия леса в доменных службах убедитесь, что сеть между Azure и локальной средой соответствует следующим требованиям:

• Убедитесь, что порты брандмауэра разрешают трафик, необходимый для создания и использования доверия. Дополнительные сведения о том, какие порты должны быть открыты для использования доверия, см. в разделе "Настройка параметров брандмауэра для доверия AD DS".
• Используйте частные IP-адреса. Не полагайтесь на DHCP с динамическим назначением IP-адресов.
• Избегайте перекрытия диапазонов IP-адресов, чтобы обеспечить возможность пиринга между виртуальными сетями, а также маршрутизации для связи между Azure и локальной средой.
• Для виртуальной сети Azure требуется подсеть шлюза, чтобы настроить подключение Azure VPN типа "сеть — сеть" или ExpressRoute.
• Создайте подсети с достаточным количеством IP-адресов для поддержки вашего сценария.
• Убедитесь, что доменные службы имеют собственную подсеть, не делитесь этой подсетью виртуальной сети с виртуальными машинами и службами приложений.
• Одноранговые виртуальные сети НЕ являются транзитивными.
  • Пиринги виртуальных сетей Azure должны создаваться между всеми виртуальными сетями, которым требуется доверять лесу доменных служб в локальной среде AD DS.
• Обеспечьте непрерывное сетевое подключение к локальному лесу Active Directory. Не используйте подключения по запросу.
• Убедитесь, что между именем леса доменных служб и именем леса локальная служба Active Directory есть непрерывное разрешение DNS-имен.

Настройка DNS в локальном домене

Чтобы правильно разрешить управляемый домен из локальной среды, может потребоваться добавить серверы пересылки к существующим DNS-серверам. Чтобы настроить локальную среду для взаимодействия с управляемым доменом, выполните следующие действия из рабочей станции управления для локального домена AD DS:

1. Выберите Пуск>Администрирование>DNS.

2. Выберите зону DNS, например aaddscontoso.com.

3. Выберите Серверы условной пересылки, щелкните правой кнопкой мыши и нажмите Создать сервер условной пересылки.

4. Укажите другой DNS-домен, например contoso.com, а затем введите IP-адреса DNS-серверов для этого пространства имен, как показано в следующем примере:

   

5. Установите флажок Сохранять условную пересылку в Active Directory и реплицировать ее следующим образом:, а затем выберите параметр Все DNS-серверы в этом домене, как показано в следующем примере:

   

   Внимание

   Если сервер условной пересылки хранится в лесу, а не в домене, его работа будет завершаться ошибкой.

6. Чтобы создать сервер условной пересылки, нажмите кнопку ОК.

Создание двустороннего доверия леса в локальном домене

Для локального домена AD DS требуется двустороннее доверие леса для управляемого домена. Это доверие должно быть создано вручную в локальном домене AD DS; Его невозможно создать из Центра администрирования Microsoft Entra.

Чтобы настроить двустороннее доверие в локальном домене AD DS, выполните следующие действия в качестве домена Администратор с рабочей станции управления для локального домена AD DS:

1. Выберите Пуск>Средства администрирования>Active Directory — домены и доверие.
2. Нажмите правой кнопкой мыши домен, например onprem.contoso.com, и выберите Свойства.
3. Выберите вкладку Отношения доверия, а затем — New Trust (Создать доверие).
4. Введите имя домена доменных служб, например aaddscontoso.com, а затем нажмите кнопку "Далее".
5. Выберите параметр для создания доверия леса, а затем для создания двустороннего доверия.
6. Выберите параметр для создания доверия для This domain only (Только для этого домена). На следующем шаге вы создадите доверие в Центре администрирования Microsoft Entra для управляемого домена.
7. Выберите параметр для использования Forest-wide authentication (Проверка подлинности в лесу), а затем введите и подтвердите пароль отношения доверия. Этот же пароль также вводится в Центре администрирования Microsoft Entra в следующем разделе.
8. В следующих нескольких окнах примите параметры по умолчанию, а затем выберите параметр Нет, не подтверждаю это исходящее доверие.
9. Выберите Готово.

Если доверие леса больше не требуется для среды, выполните следующие действия в качестве домена Администратор, чтобы удалить его из локального домена:

1. Выберите Пуск>Средства администрирования>Active Directory — домены и доверие.
2. Нажмите правой кнопкой мыши домен, например onprem.contoso.com, и выберите Свойства.
3. Выберите вкладку Доверия, затем Domains that trust this domain (incoming trusts) (Домены, которые доверяют этому домену (входящие отношения доверия)), щелкните доверие, которое нужно удалить, а затем нажмите Удалить.
4. На вкладке "Доверия" в разделе Domains trusted by this domain (outgoing trusts) (Домены, которым доверяет этот домен (исходящие отношения доверия)) щелкните доверие, которое нужно удалить, а затем нажмите "Удалить".
5. Нажмите кнопку "Нет", удалите доверие только из локального домена.

Создание двустороннего доверия леса в доменных службах

Чтобы создать двустороннее доверие для управляемого домена в Центре администрирования Microsoft Entra, выполните следующие действия.

1. В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra, а затем выберите управляемый домен, например aaddscontoso.com.

2. В меню в левой части управляемого домена выберите Отношения доверия, а затем нажмите кнопку + Добавить, чтобы добавить доверие.

3. Выберите двустороннее направление доверия.

4. Введите отображаемое имя, идентифицирующее доверие, а затем локальное DNS-имя доверенного леса, например onprem.contoso.com.

5. Укажите тот же пароль отношения доверия, который использовался для настройки входящего доверия леса для локального домена AD DS в предыдущем разделе.

6. Укажите по крайней мере два DNS-сервера для локального домена AD DS, например 10.1.1.4 и 10.1.1.5.

7. Сохраните исходящее доверие леса, когда оно будет готово, нажав кнопку Сохранить.

   

Если доверие леса больше не требуется для среды, выполните следующие действия, чтобы удалить его из доменных служб:

1. В Центре администрирования Microsoft Entra найдите и выберите доменные службы Microsoft Entra, а затем выберите управляемый домен, например aaddscontoso.com.
2. В левой части меню управляемого домена выберите Доверия, затем выберите доверие и нажмите кнопку Удалить.
3. Введите тот же пароль доверия, который использовался для настройки доверия леса, и нажмите ОК.

Проверка подлинности ресурсов

Следующие распространенные сценарии позволяют убедиться, что доверие леса правильно проверяет подлинность пользователей и доступ к ресурсам:

• Локальная проверка подлинности пользователей из леса доменных служб
• Доступ к ресурсам в лесу доменных служб с помощью локального пользователя
  • Предоставление совместного доступа к файлам и принтерам
  • Создание группы безопасности и добавление участников
  • Создание общей папки для доступа между лесами
  • Проверка аутентификации между лесами для ресурса

Локальная проверка подлинности пользователей из леса доменных служб

У вас должна быть виртуальная машина Windows Server, присоединенная к управляемому домену. Используйте эту виртуальную машину для тестирования того, что локальный пользователь может пройти проверку подлинности на виртуальной машине. При необходимости создайте виртуальную машину Windows и присоедините ее к управляемому домену.

1. Подключение на виртуальную машину Windows Server, присоединенную к лесу доменных служб, с помощью Бастион Azure и учетные данные администратора доменных служб.

2. Откройте командную строку и выполните команду whoami, чтобы просмотреть различающееся имя пользователя, проходящего проверку подлинности:

   whoami /fqdn
   

3. Используйте команду runas для проверки подлинности в качестве пользователя из локального домена. В следующей команде замените [email protected] именем участника-пользователя из доверенного локального домена: Команда запрашивает пароль пользователя:

   Runas /u:[email protected] cmd.exe
   

4. Если проверка подлинности выполнена успешно, откроется новая командная строка. Заголовок новой командной строки будет содержать running as [email protected].

5. Используйте whoami /fqdn в новой командной строке, чтобы просмотреть различающееся имя пользователя, прошедшего проверку подлинности из локальной службы Active Directory.

Доступ к ресурсам в лесу доменных служб с помощью локального пользователя

Из виртуальной машины Windows Server, присоединенной к лесу доменных служб, можно протестировать сценарии. Например, можно проверить, может ли пользователь, выполнивший вход в локальный домен, получить доступ к ресурсам в управляемом домене. В следующих примерах рассматриваются распространенные сценарии тестирования.

Предоставление совместного доступа к файлам и принтерам

1. Подключение на виртуальную машину Windows Server, присоединенную к лесу доменных служб, с помощью Бастион Azure и учетные данные администратора доменных служб.

2. Откройте windows Параметры.

3. Найдите и выберите Центр управления сетями и общим доступом.

4. Щелкните Изменить дополнительные параметры общего доступа.

5. В разделе Профиль домена установите параметр Включить общий доступ к файлам и принтерам, а затем нажмите кнопку Сохранение изменений.

6. Закройте Центр управления сетями и общим доступом.

Создание группы безопасности и добавление участников

1. Откройте оснастку Пользователи и компьютеры Active Directory.

2. Щелкните правой кнопкой мыши имя домена, выберите команду Создать, а затем — пункт Organizational Unit (Подразделение).

3. В поле имени введите LocalObjects, а затем нажмите кнопку ОК.

4. Выберите и щелкните правой кнопкой мыши LocalObjects в области навигации. Выберите команду Создать, а затем — пункт Группа.

5. Введите FileServerAccess в поле Имя группы. Для параметра Области действия группы выберите значение Локальная в домене, а затем нажмите кнопку ОК.

6. В области содержимого дважды щелкните FileServerAccess. Выберите Члены, Добавить, а затем — Расположения.

7. Выберите локальные доменные службы Active Directory в представлении Расположение, а затем нажмите кнопку ОК.

8. Введите Пользователи домена в поле Enter the object names to select (Введите имена объектов для выбора). Щелкните Проверить имена, укажите учетные данные для локальных пользователей Active Directory, а затем нажмите кнопку ОК.

   Примечание.

   Необходимо указать учетные данные, так как отношение доверия является только односторонним. Это означает, что пользователи из управляемого домена доменных служб не могут получать доступ к ресурсам или искать пользователей или группы в доверенном (локальном) домене.

9. Группа Пользователи домена из локальной среды Active Directory должна быть членом группы FileServerAccess. Нажмите кнопку ОК, чтобы сохранить группу и закрыть окно.

Создание общей папки для доступа между лесами

1. На виртуальной машине Windows Server, присоединенной к лесу доменных служб, создайте папку и укажите имя, например CrossForestShare.
2. Правой кнопкой мыши щелкните папку и выберите пункт Свойства.
3. Перейдите на вкладку Безопасность, а затем нажмите кнопку Изменить.
4. В диалоговом окне Разрешения для CrossForestShare щелкните Добавить.
5. Введите FileServerAccess в поле Enter the object names to select (Введите имена объектов для выбора), а затем нажмите кнопку ОК.
6. Выберите FileServerAccess из списка Groups or user names (Имена групп или пользователей). В списке Permissions for FileServerAccess (Разрешения для FileServerAccess) щелкните Разрешить для разрешений Изменить и Запись, а затем нажмите кнопку ОК.
7. Выберите вкладку Общий доступ, а затем — Расширенная настройка общего доступа.
8. Установите флажок Открыть общий доступ к этой папке, а затем введите запоминающееся имя для общей папки в поле Имя общего ресурса, например CrossForestShare.
9. Нажмите кнопку Разрешения. В списке Permissions for Everyone (Разрешения для всех) щелкните Разрешить для разрешения Изменить.
10. Нажмите кнопку ОК дважды, а затем щелкните Закрыть.

Проверка аутентификации между лесами для ресурса

1. Войдите в систему на компьютере Windows, присоединенном к локальному домену Active Directory, используя учетную запись пользователя из локальной среды Active Directory.

2. С помощью проводника подключитесь к созданной общей папке, используя полное имя узла и общую папку, например \\fs1.aaddscontoso.com\CrossforestShare.

3. Чтобы проверить разрешение на запись, щелкните правой кнопкой мыши в папке, выберите команду Создать, а затем — пункт Текстовый документ. Используйте имя по умолчанию Новый текстовый документ.

   Если разрешения на запись заданы правильно, будет создан текстовый документ. Выполните следующие действия, чтобы открыть, изменить и удалить файл соответствующим образом.

4. Чтобы проверить разрешение на чтение, откройте Новый текстовый документ.

5. Чтобы проверить разрешение на изменение, добавьте текст в файл и закройте Блокнот. При появлении запроса на сохранение изменений нажмите кнопку Сохранить.

6. Чтобы проверить разрешение на удаление, щелкните правой кнопкой мыши Новый текстовый документ и выберите команду Удалить. Нажмите кнопку Да для подтверждения удаления файла.

Следующие шаги

Из этого руководства вы узнали, как:

Дополнительные концептуальные сведения о лесу в доменных службах см. в статье о работе доверия лесов в доменных службах?