Руководство. Создание и настройка управляемого домена доменных служб Microsoft Entra с дополнительными параметрами конфигурации
Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимая с Windows Server Active Directory. Эти доменные службы можно использовать без необходимости развертывать, администрировать и обновлять контроллеры домена. Доменные службы интегрируются с существующим клиентом Microsoft Entra. Такая интеграция позволяет пользователям входить в систему с корпоративными учетными данными. При этом вы можете использовать существующие группы и учетные записи пользователей для защиты доступа к ресурсам.
Вы можете создать управляемый домен, используя параметры конфигурации по умолчанию для сетевых подключений и синхронизации, или вручную определить эти параметры. В этом руководстве показано, как определить эти расширенные параметры конфигурации для создания и настройки управляемого домена доменных служб с помощью Центра администрирования Microsoft Entra.
В этом руководстве описано следующее:
- настройка параметров DNS и виртуальной сети для управляемого домена;
- Создание управляемого домена
- Добавление пользователей с правами администратора в службу управления доменами
- Включение синхронизации хэша паролей
Если у вас еще нет подписки Azure, создайте учетную запись, прежде чем начинать работу.
Необходимые компоненты
Для работы с этим учебником требуются следующие ресурсы и разрешения:
- Активная подписка Azure.
- Если у вас еще нет подписки Azure, создайте учетную запись.
- Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
- Для включения доменных служб в клиенте требуются роли Microsoft Entra Администратор istrator и группы Администратор istrator Microsoft.
- Для создания необходимых ресурсов доменных служб требуется роль участника доменных служб Azure.
Хотя не требуется для доменных служб, рекомендуется настроить самостоятельный сброс пароля (SSPR) для клиента Microsoft Entra. Пользователи могут менять свой пароль без SSPR. Однако SSPR помогает в случае, если они забыли пароль и им нужно сбросить его.
Важно!
После создания управляемого домена его нельзя переместить в другую подписку, группу ресурсов или регион. При развертывании управляемого домена необходимо выбрать наиболее подходящую подписку, группу ресурсов и регион.
Вход в Центр администрирования Microsoft Entra
В этом руководстве описано, как создать управляемый домен и настроить его с помощью Центра администрирования Microsoft Entra. Чтобы приступить к работе, войдите в Центр администрирования Microsoft Entra.
Создание управляемого домена и настройка основных параметров
Чтобы запустить мастер включения доменных служб Microsoft Entra, выполните следующие действия.
- В меню Центра администрирования Microsoft Entra или на домашней странице выберите "Создать ресурс".
- Введите доменные службы в строку поиска, а затем выберите доменные службы Microsoft Entra из предложений поиска.
- На странице доменных служб Microsoft Entra нажмите кнопку "Создать". Запускается мастер включения доменных служб Microsoft Entra.
- Выберите подписку Azure, в которой следует создать управляемый домен.
- Выберите группу ресурсов, к которой должен относиться управляемый домен. Щелкните Создать или выберите существующую группу ресурсов.
При создании управляемого домена нужно указать имя DNS. При выборе имени DNS следует учитывать ряд рекомендаций.
- Встроенное доменное имя: по умолчанию используется встроенное доменное имя каталога ( суффикс onmicrosoft.com ). Если вы хотите разрешить для управляемого домена доступ по защищенному протоколу LDAP, вы не сможете создать цифровой сертификат для защиты подключения к домену по умолчанию. Домен onmicrosoft.com принадлежит корпорации Майкрософт, поэтому центр сертификации не будет выдавать для него сертификаты.
- Пользовательские доменные имена: наиболее распространенный подход заключается в указании имени личного домена, как правило, того, который вы уже владеете и является маршрутизируемым. При использовании личного домена с поддержкой маршрутизации трафик можно передавать так, нужно приложениям.
- Неизменяемые суффиксы домена. Обычно рекомендуется избежать суффикса доменного имени, отличного от routable, например contoso.local. Суффикс .local не маршрутизируется и его использование может привести к ошибкам при разрешении имен DNS.
Совет
Если вы создаете личное доменное имя, важно не допускать конфликтов с существующими пространствами имен DNS. Рекомендуется использовать доменное имя отдельно от существующего локального пространства имен DNS или пространства имен DNS от Azure.
Например, если вы используете существующее пространство имен DNS contoso.com, создайте управляемый домен с именем личного домена aaddscontoso.com. Если вам нужно использовать защищенный протокол LDAP, необходимо зарегистрировать и присвоить это имя личного домена, чтобы создать необходимые сертификаты.
Возможно, вам потребуется создать дополнительные записи DNS для других служб в среде или условные серверы переадресации DNS между существующими пространствами имен DNS в вашей среде. Например, если корневое имя DNS используется в качестве адреса сайта, размещенного на веб-сервере, могут возникнуть конфликты имен, для устранения которых потребуются дополнительные записи DNS.
В этих руководствах и инструкциях в качестве примера используется личный домен aaddscontoso.com. Используйте во всех командах собственное доменное имя.
Также применимы следующие ограничения в отношении DNS:
- Ограничения префикса домена: невозможно создать управляемый домен с префиксом дольше 15 символов. Длина указанного префикса доменного имени (например, aaddscontoso в доменном имени aaddscontoso.com) не должна превышать 15 символов.
- Конфликты сетевых имен: DNS-имя домена для управляемого домена не должно существовать в виртуальной сети. В частности, проверка для следующих сценариев, которые привели бы к конфликту имен:
- Если в виртуальной сети уже существует домен Active Directory с таким же доменным именем DNS.
- Если для виртуальной сети, в которой планируется использовать управляемый домен, установлено VPN-подключение к локальной сети. в этом случае необходимо убедиться в том, что в локальной сети нет домена с таким же DNS-именем домена;
- Если в виртуальной сети Azure существует облачная служба Azure с таким же именем.
Заполните поля в окне "Основы" центра администрирования Microsoft Entra, чтобы создать управляемый домен:
Введите доменное имя DNS для управляемого домена, учитывая описанные выше ограничения.
Выберите расположение Azure, в котором необходимо создать управляемый домен. Если выбрать регион, поддерживающий Зоны доступности, ресурсы доменных служб распределяются между зонами для дополнительной избыточности.
Совет
Зоны доступности являются уникальными физическими расположениями внутри региона Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оснащенных независимыми системами электроснабжения, охлаждения и сетевого взаимодействия. Чтобы обеспечить отказоустойчивость, во всех включенных регионах используются минимум три отдельные зоны.
Нет ничего, чтобы настроить распределение доменных служб между зонами. Платформа Azure автоматически обрабатывает распределение ресурсов зоны. Дополнительные сведения о зонах доступности и регионах см. в статье Что такое зоны доступности в Azure?.
Номер SKU определяет производительность и частоту резервного копирования. Если коммерческие или другие требования изменятся, SKU можно будет изменить после создания управляемого домена. Дополнительные сведения см. в концепциях SKU доменных служб.
Для работы с этим руководством выберите SKU категории Стандартный.
Лес — это логическая конструкция, используемая доменными службами Active Directory для группирования одного или нескольких доменов.
Чтобы вручную настроить дополнительные параметры, выберите Далее — Сетевые подключения. В противном случае выберите Просмотр и создание, чтобы принять параметры конфигурации по умолчанию, а затем перейдите к разделу Развертывание управляемого домена. При выборе этого параметра создания настраиваются следующие значения по умолчанию:
- Создается виртуальная сеть с именем aadds-vnet, которая использует диапазон IP-адресов 10.0.1.0/24.
- Создается подсеть с именем aadds-vnet, которая использует диапазон IP-адресов 10.0.1.0/24.
- Синхронизирует всех пользователей из идентификатора Microsoft Entra в управляемый домен.
Создание и настройка виртуальной сети.
Чтобы настроить подключение, требуются виртуальная сеть Azure и выделенная подсеть. Доменные службы включены в этой подсети виртуальной сети. В этом руководстве описано, как создать виртуальную сеть, но вместо этого можно использовать уже существующую. При любом подходе необходимо создать выделенную подсеть для использования доменными службами.
При использовании выделенной виртуальной сети необходимо учитывать следующее:
- Подсеть должна иметь по крайней мере 3-5 доступных IP-адресов в диапазоне адресов для поддержки ресурсов доменных служб.
- Не выбирайте подсеть шлюза для развертывания доменных служб. Не поддерживается развертывание доменных служб в подсети шлюза.
- Не развертывайте другие виртуальные машины в этой подсети. Приложения и виртуальные машины часто используют группы безопасности сети для защиты подключения. Выполнение рабочих нагрузок в отдельной подсети позволяет применять группы безопасности сети, не влияя на подключение к управляемому домену.
Дополнительные сведения о планировании и настройке виртуальной сети см . в рекомендациях по работе с сетями для доменных служб Microsoft Entra.
Заполните поля в окне Сеть, как описано ниже.
На странице "Сеть" выберите виртуальную сеть для развертывания доменных служб в раскрывающемся меню или выберите "Создать".
- При создании виртуальной сети введите ее имя, например myVnet, и укажите диапазон адресов, например 10.0.1.0/24.
- Создайте выделенную подсеть с понятным именем, например DomainServices. Укажите диапазон адресов, например 10.0.1.0/24.
Выбранное адресное пространство должно входить в пространство частных IP-адресов. Диапазоны IP-адресов, которыми вы не владеете, находятся в общедоступном адресном пространстве, вызывают ошибки в доменных службах.
Выберите подсеть виртуальной сети, например DomainServices.
Когда все будет готово, выберите Далее — Администрирование.
Настройка административной группы
Для управления доменом доменных служб используется специальная административная группа с именем AAD DC Администратор istrator. Участникам этой группы предоставляются разрешения администратора на виртуальных машинах, присоединенных к управляемому домену. На виртуальных машинах, присоединенных к домену, эта группа добавляется в группу локальных администраторов. Участники этой группы могут подключаться по протоколу удаленного рабочего стола к виртуальным машинам, присоединенным к домену.
Важно!
У вас нет разрешений домена Администратор istrator или Enterprise Администратор istrator в управляемом домене с помощью доменных служб. Эти разрешения зарезервированы службой и не предоставляются для пользователей в клиенте.
Вместо этого для некоторых операций с повышенным уровнем доступа можно применять группу Администраторы AAD DC. Сюда относятся вхождение в группу администраторов на виртуальных машинах, присоединенных к домену, и настройка групповой политики.
Мастер автоматически создает группу контроллера домена AAD Администратор istrator в каталоге Microsoft Entra. Если у вас есть группа с таким именем в каталоге Microsoft Entra, мастер выбирает эту группу. При желании вы можете добавить других пользователей в группу Администраторы AAD DC в ходе развертывания. Эти действия можно выполнить и позже.
Чтобы добавить пользователей в группу Администраторы AAD DC щелкните Управление членством в группах.
Нажмите кнопку "Добавить участников" , а затем найдите пользователей из каталога Microsoft Entra. Например, найдите и добавьте собственную учетную запись в группу Администраторы AAD DC.
При необходимости измените или добавьте дополнительных получателей уведомлений при наличии оповещений в управляемом домене, требующих внимания.
Когда все будет готово, выберите Далее — Синхронизация.
Настройка синхронизации
Доменные службы позволяют синхронизировать всех пользователей и группы, доступные в идентификаторе Microsoft Entra, или область синхронизацию только определенных групп. Вы можете изменить область синхронизации сейчас или после развертывания управляемого домена. Дополнительные сведения см. в разделе "Доменные службы Microsoft Entra" область синхронизации.
Для нашего примера выберите синхронизацию всех пользователей и групп. Этот вариант синхронизации используется по умолчанию.
Выберите Review + create (Просмотреть и создать).
Развертывание управляемого домена
На странице Сводка в мастере просмотрите параметры конфигурации для своего управляемого домена. Вы всегда можете вернуться к любому шагу мастера и внести изменения. Чтобы повторно развернуть управляемый домен в другом клиенте Microsoft Entra последовательно с помощью этих параметров конфигурации, можно также скачать шаблон для автоматизации.
Чтобы создать управляемый домен, щелкните Создать. Примечания отображаются, что некоторые параметры конфигурации, такие как DNS-имя или виртуальная сеть, не могут быть изменены после создания доменных служб. Чтобы продолжить, нажмите кнопку ОК.
Процесс подготовки управляемого домена может занять до одного часа. На портале отображается уведомление, показывающее ход развертывания доменных служб. Щелкните это уведомление, чтобы просмотреть подробное описание процесса развертывания.
Выберите группу ресурсов, например myResourceGroup, а затем в списке ресурсов Azure выберите управляемый домен, например aaddscontoso.com. На вкладке Обзор можно увидеть, что сейчас выполняется развертывание управляемого домена. Настроить управляемый домен можно только после его полной подготовки.
После полной подготовки управляемого домена на вкладке Обзор состояние домена отображается как Выполняется.
Важно!
Управляемый домен связан с клиентом Microsoft Entra. Во время подготовки доменные службы создают два корпоративных приложения с именем доменных контроллеров и AzureActiveDirectoryDomainControllerServices в клиенте Microsoft Entra. Эти корпоративные приложения нужны для обслуживания управляемого домена. Не удаляйте эти приложения.
Обновление настроек DNS для виртуальной сети Azure
После успешного развертывания доменных служб теперь настройте виртуальную сеть, чтобы разрешить другим подключенным виртуальным машинам и приложениям использовать управляемый домен. Чтобы создать такое подключение, измените параметры DNS-сервера для виртуальной сети, указав IP-адреса развертывания управляемого домена.
На вкладке Обзор для управляемого домена отображаются некоторые требуемые шаги конфигурации. Первый из них — обновление параметров DNS-сервера для виртуальной сети. После правильной настройки параметров DNS этот шаг исчезает из списка.
Указанные здесь адреса принадлежат контроллерам домена для использования в виртуальной сети. В нашем примере это адреса 10.0.1.4 и 10.0.1.5. Эти IP-адреса вы можете найти на вкладке Свойства.
Щелкните Настроить, чтобы обновить параметры DNS-сервера для виртуальной сети. Параметры DNS автоматически настраиваются для виртуальной сети.
Совет
Если на предыдущих шагах вы выбрали существующую виртуальную сеть, все виртуальные машины в этой сети получат новые параметры DNS только после перезапуска. Вы можете перезапустить виртуальные машины с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShell или Azure CLI.
Включение учетных записей пользователей для доменных служб
Для проверки подлинности пользователей в управляемом домене доменные службы должны иметь хэши паролей в формате, подходящем для проверки подлинности NT LAN Manager (NTLM) и Kerberos. Идентификатор Microsoft Entra не создает хэши паролей и не сохраняет хэши паролей в формате, необходимом для проверки подлинности NTLM или Kerberos, пока не включите доменные службы для вашего клиента. По соображениям безопасности идентификатор Microsoft Entra также не сохраняет учетные данные паролей в виде чистотекстового текста. Таким образом, идентификатор Microsoft Entra не может автоматически создавать эти хэши паролей NTLM или Kerberos на основе существующих учетных данных пользователей.
Примечание.
После настройки хэши паролей в требуемом формате сохраняются в управляемом домене. Если вы удалите управляемый домен, вместе с ним будут удалены все сохраненные хэши паролей.
Синхронизированные учетные данные в идентификаторе Microsoft Entra не могут использоваться повторно, если позже создадите управляемый домен, необходимо повторно настроить синхронизацию хэша паролей для сохранения хэшей паролей. Ранее присоединенные к домену виртуальные машины или пользователи не смогут немедленно пройти проверку подлинности. Идентификатор Microsoft Entra должен создавать и хранить хэши паролей в новом управляемом домене.
Дополнительные сведения см. в разделе "Процесс синхронизации хэша паролей" для доменных служб и Подключение Microsoft Entra.
Действия по созданию и хранению этих хэшей паролей отличаются для учетных записей пользователей, созданных только для облака, созданных в идентификаторе Microsoft Entra, и учетных записей пользователей, синхронизированных из локального каталога с помощью Microsoft Entra Подключение.
Облачная учетная запись пользователя — это учетная запись, созданная в каталоге Microsoft Entra с помощью центра администрирования Microsoft Entra или командлетов Microsoft Graph PowerShell. Такие учетные записи пользователей не синхронизируются из локального каталога.
В этом руководстве мы будем использовать простой вариант облачной учетной записи. Дополнительные сведения о дополнительных шагах, необходимых для использования Microsoft Entra Подключение, см. в статье "Синхронизация хэшей паролей для учетных записей пользователей, синхронизированных с локальной AD с управляемым доменом".
Совет
Если у клиента Microsoft Entra есть сочетание облачных пользователей и пользователей из локальной службы AD, необходимо выполнить оба набора шагов.
Для облачных учетных записей пользователей пользователи должны изменить пароли, прежде чем они смогут использовать доменные службы. Этот процесс изменения пароля приводит к созданию и хранению хэшей паролей для проверки подлинности Kerberos и NTLM в идентификаторе Microsoft Entra. Учетная запись не синхронизируется с идентификатором Microsoft Entra с доменными службами, пока пароль не будет изменен. Либо истекает срок действия паролей для всех облачных пользователей в клиенте, которым требуется использовать доменные службы, которые принудительно изменяют пароль при следующем входе, либо указывают облачным пользователям вручную изменять пароли. В этом руководстве описано, как изменить пароль пользователя вручную.
Прежде чем пользователь сможет сбросить пароль, клиент Microsoft Entra должен быть настроен для самостоятельного сброса пароля.
Чтобы изменить пароль для облачного пользователя, выполните от его имени следующие действия:
Перейдите на страницу https://myapps.microsoft.comПанель доступа идентификатора Microsoft Entra.
Вверху справа щелкните имя и выберите Профиль в раскрывающемся меню.
На странице Профиль щелкните Изменить пароль.
На странице Изменение пароля введите существующий (старый) пароль, а затем введите и подтвердите новый пароль.
Выберите Отправить.
Через несколько минут после изменения пароля новый пароль будет использоваться в доменных службах и успешно войти на компьютеры, присоединенные к управляемому домену.
Следующие шаги
Из этого руководства вы узнали, как:
- настройка параметров DNS и виртуальной сети для управляемого домена;
- Создание управляемого домена
- Добавление пользователей с правами администратора в службу управления доменами
- Включение учетных записей пользователей для доменных служб и создание хэшей паролей
Чтобы увидеть, как работает управляемый домен, создайте виртуальную машину и присоедините ее к домену.