Oktatóanyag: Felügyelt Microsoft Entra Domain Services-tartomány létrehozása és konfigurálása

  • Cikk

A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP, a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directoryval. Ezeket a tartományi szolgáltatásokat a tartományvezérlők üzembe helyezése, kezelése és javítása nélkül használhatja. A Domain Services integrálható a meglévő Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók vállalati hitelesítő adataikkal jelentkezzenek be, és a meglévő csoportokkal és felhasználói fiókokkal biztonságossá teheti az erőforrásokhoz való hozzáférést.

Létrehozhat felügyelt tartományt a hálózatkezelés és a szinkronizálás alapértelmezett konfigurációs beállításaival, vagy manuálisan is meghatározhatja ezeket a beállításokat. Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálhat alapértelmezett beállításokat a Domain Services által felügyelt tartomány létrehozásához és konfigurálásához a Microsoft Entra felügyeleti központ használatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Felügyelt tartomány DNS-követelményeinek ismertetése
  • Felügyelt tartomány létrehozása
  • Jelszókivonat szinkronizálásának engedélyezése

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Aktív Azure-előfizetés.
  • Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • A tartományi szolgáltatások engedélyezéséhez alkalmazás-Rendszergazda istrator és csoportok Rendszergazda istrator Microsoft Entra-szerepkörökre van szüksége a bérlőben.
  • A szükséges Domain Services-erőforrások létrehozásához Tartományi szolgáltatások közreműködői Azure-szerepkörre van szüksége.
  • Dns-kiszolgálókkal rendelkező virtuális hálózat, amely lekérdezi a szükséges infrastruktúrát, például a tárolást. Azok a DNS-kiszolgálók, amelyek nem tudnak általános internetes lekérdezéseket végrehajtani, blokkolhatják a felügyelt tartományok létrehozásának lehetőségét.

Bár a Domain Services esetében nem szükséges, javasoljuk, hogy konfigurálja az önkiszolgáló jelszóátállítást (SSPR) a Microsoft Entra-bérlőhöz. A felhasználók SSPR nélkül is módosíthatják a jelszavukat, de az SSPR segít, ha elfelejtik a jelszavukat, és vissza kell állítaniuk.

Fontos

A felügyelt tartomány létrehozása után nem helyezheti át másik előfizetésbe, erőforráscsoportba vagy régióba. Ügyeljen arra, hogy a felügyelt tartomány üzembe helyezésekor válassza ki a legmegfelelőbb előfizetést, erőforráscsoportot és régiót.

Jelentkezzen be a Microsoft Entra felügyeleti központba

Ebben az oktatóanyagban a felügyelt tartományt a Microsoft Entra felügyeleti központ használatával hozza létre és konfigurálja. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központjába.

Felügyelt tartomány létrehozása

A Microsoft Entra Domain Services engedélyezése varázsló elindításához hajtsa végre a következő lépéseket:

  1. A Microsoft Entra Felügyeleti központ menüjében vagy a kezdőlapon keresse meg a Domain Servicest, majd válassza a Microsoft Entra Domain Services lehetőséget.

  2. A Microsoft Entra Domain Services lapon válassza a Microsoft Entra Domain Services létrehozása lehetőséget.

    Screenshot of how to create a managed domain.

  3. Válassza ki azt az Azure-előfizetést, amelyben létre szeretné hozni a felügyelt tartományt.

  4. Válassza ki azt az erőforráscsoportot , amelyhez a felügyelt tartománynak tartoznia kell. Válasszon újat, vagy válasszon ki egy meglévő erőforráscsoportot.

Felügyelt tartomány létrehozásakor meg kell adnia egy DNS-nevet. A DNS-név kiválasztásakor figyelembe kell vennie néhány szempontot:

  • Beépített tartománynév: Alapértelmezés szerint a címtár beépített tartományneve lesz használatban ( .onmicrosoft.com utótag). Ha biztonságos LDAP-hozzáférést szeretne engedélyezni a felügyelt tartományhoz az interneten keresztül, nem hozhat létre digitális tanúsítványt az alapértelmezett tartománnyal való kapcsolat biztonságossá tételéhez. A Microsoft a .onmicrosoft.com tartomány tulajdonosa, így egy hitelesítésszolgáltató (CA) nem állít ki tanúsítványt.
  • Egyéni tartománynevek: A leggyakoribb módszer egy egyéni tartománynév megadása, amely általában az Ön tulajdonában van, és nem módosítható. Ha egy irányítható, egyéni tartományt használ, a forgalom szükség szerint megfelelően haladhat az alkalmazások támogatásához.
  • Nem módosítható tartomány utótagok: Általában azt javasoljuk, hogy kerülje a nem módosítható tartománynév utótagját, például a contoso.local nevet. A .local utótag nem módosítható, és problémákat okozhat a DNS-feloldással kapcsolatban.

Tipp.

Ha egyéni tartománynevet hoz létre, gondoskodjon a meglévő DNS-névterekről. Bár ez támogatott, érdemes lehet a meglévő Azure- vagy helyszíni DNS-névtértől eltérő tartománynevet használni.

Ha például már rendelkezik contoso.com DNS-névterével, hozzon létre egy felügyelt tartományt a dscontoso.com egyéni tartománynevével. Ha biztonságos LDAP-t kell használnia, regisztrálnia kell ezt az egyéni tartománynevet a szükséges tanúsítványok létrehozásához.

Előfordulhat, hogy további DNS-rekordokat kell létrehoznia a környezet más szolgáltatásaihoz, vagy feltételes DNS-továbbítókat kell létrehoznia a környezet meglévő DNS-névterei között. Ha például egy olyan webkiszolgálót futtat, amely a gyökér DNS-névvel üzemeltet egy webhelyet, elnevezési ütközések lehetnek, amelyek további DNS-bejegyzéseket igényelnek.

Ezekben az oktatóanyagokban és útmutatókban a dscontoso.com egyéni tartományát használjuk rövid példaként. Minden parancsban adja meg a saját tartománynevét.

A következő DNS-névkorlátozások is érvényesek:

  • Tartományelőtag-korlátozások: 15 karakternél hosszabb előtagú felügyelt tartomány nem hozható létre. A megadott tartománynév előtagjának (például a dscontoso.com tartománynévben lévő dscontoso) 15 vagy kevesebb karaktert kell tartalmaznia.
  • Hálózati névütközések: A felügyelt tartomány DNS-tartományneve nem létezhet még a virtuális hálózaton. Pontosabban ellenőrizze azokat a forgatókönyveket, amelyek névütközéshez vezetnek:
    • Ha már rendelkezik olyan Active Directory-tartománnyal, amelynek DNS-tartományneve megegyezik az Azure-beli virtuális hálózaton.
    • Ha a felügyelt tartomány engedélyezését tervező virtuális hálózat VPN-kapcsolattal rendelkezik a helyszíni hálózattal. Ebben a forgatókönyvben győződjön meg arról, hogy nem rendelkezik ugyanazzal a DNS-tartománynévvel a helyszíni hálózaton.
    • Ha már rendelkezik ilyen nevű Azure-felhőszolgáltatással az Azure-beli virtuális hálózaton.

A felügyelt tartomány létrehozásához töltse ki a Microsoft Entra felügyeleti központ Alapszintű ablakának mezőit:

  1. Adja meg a felügyelt tartomány DNS-tartománynevét , figyelembe véve az előző szempontokat.

  2. Válassza ki azt az Azure-régiót, amelyben létre kell hozni a felügyelt tartományt. Ha olyan régiót választ, amely támogatja az Azure rendelkezésre állási zónákat, a tartományi szolgáltatások erőforrásai zónák között vannak elosztva a további redundancia érdekében.

    Tipp.

    A rendelkezésreállási zónák fizikailag elkülönített helyek egy Azure-régión belül. Minden rendelkezésreállási zóna egy vagy több, független áramforrással, hűtéssel és hálózatkezelési megoldással ellátott adatközpontból áll. A rugalmasság biztosítása érdekében minden engedélyezett régióban legalább három elkülönített zóna található.

    Nincs mit konfigurálnia a Domain Services zónák közötti elosztásához. Az Azure-platform automatikusan kezeli az erőforrások zónaeloszlását. További információkért és a régiók elérhetőségének megtekintéséhez tekintse meg az Azure rendelkezésre állási zónáinak ismertetése című témakört.

  3. A termékváltozat határozza meg a teljesítményt és a biztonsági mentés gyakoriságát. Az üzleti igények vagy követelmények változása esetén a felügyelt tartomány létrehozása után módosíthatja a termékváltozatot. További információkért tekintse meg a Domain Services termékváltozatának alapelveit.

    Ebben az oktatóanyagban válassza ki a Standard termékváltozatot. Az Alapszintű beállítások ablaknak a következő képernyőképen kell kinéznie:

    Screenshot of Basics configuration page for a managed domain.

Felügyelt tartomány gyors létrehozásához válassza a Véleményezés + létrehozás lehetőséget a további alapértelmezett konfigurációs beállítások elfogadásához. A létrehozási beállítás kiválasztásakor a következő alapértelmezett beállítások vannak konfigurálva:

  • Alapértelmezés szerint létrehoz egy ds-vnet nevű virtuális hálózatot, amely a 10.0.1.0/24 IP-címtartományt használja.
  • Létrehoz egy ds-subnet nevű alhálózatot a 10.0.1.0/24 IP-címtartomány használatával.
  • Szinkronizálja a Microsoft Entra-azonosító összes felhasználóját a felügyelt tartományba.

Feljegyzés

A következő problémák miatt nem szabad nyilvános IP-címeket használnia a virtuális hálózatokhoz és azok alhálózataihoz:

  • Az IP-cím szűkössége: Az IPv4 nyilvános IP-címek korlátozottak, és a kereslet gyakran meghaladja a rendelkezésre álló kínálatot. Emellett előfordulhat, hogy az IP-címek átfedésben vannak a nyilvános végpontokkal.

  • Biztonsági kockázatok: A nyilvános IP-címek virtuális hálózatokhoz való használata közvetlenül az interneten teszi elérhetővé az eszközöket, így növeli a jogosulatlan hozzáférés és a lehetséges támadások kockázatát. Megfelelő biztonsági intézkedések nélkül az eszközök sebezhetővé válhatnak a különböző fenyegetésekkel szemben.

  • Összetettség: A nyilvános IP-címekkel rendelkező virtuális hálózatok kezelése összetettebb lehet, mint a magánhálózati IP-címek használata, mivel külső IP-címtartományok kezelését, valamint a hálózat megfelelő szegmentálásának és biztonságának biztosítását igényli.

Erősen ajánlott magánhálózati IP-címeket használni. Ha nyilvános IP-címet használ, győződjön meg arról, hogy Ön a kiválasztott IP-címek tulajdonosa/dedikált felhasználója a választott nyilvános tartományban.

Az alapértelmezett konfigurációs beállítások elfogadásához válassza a Véleményezés + létrehozás lehetőséget.

A felügyelt tartomány üzembe helyezése

A varázsló Összegzés lapján tekintse át a felügyelt tartomány konfigurációs beállításait. A varázsló bármely lépésére visszatérve módosíthatja a módosításokat. Ha konzisztens módon szeretne újra üzembe helyezni egy felügyelt tartományt egy másik Microsoft Entra-bérlőre ezen konfigurációs beállítások használatával, letölthet egy sablont az automatizáláshoz.

  1. A felügyelt tartomány létrehozásához válassza a Létrehozás lehetőséget. Megjelenik egy megjegyzés, amely szerint bizonyos konfigurációs beállítások, például a DNS-név vagy a virtuális hálózat nem módosíthatók a felügyelt tartományi szolgáltatások létrehozása után. A folytatáshoz válassza az OK gombot.

    Screenshot of configuration options for managed domain.

  2. A felügyelt tartomány kiépítésének folyamata akár egy órát is igénybe vehet. A portálon megjelenik egy értesítés, amely a Domain Services üzembe helyezésének előrehaladását mutatja.

  3. A felügyelt tartomány teljes kiépítésekor az Áttekintés lapon futóként jelenik meg a tartomány állapota. Kiutasítja az erőforrásokra, például a virtuális hálózatra és a hálózati erőforráscsoportra mutató hivatkozások üzembe helyezésének részleteit .

    Screenshot of deployment details for a managed domain.

Fontos

A felügyelt tartomány a Microsoft Entra-címtárhoz van társítva. A kiépítési folyamat során a Domain Services két vállalati alkalmazást hoz létre Tartományvezérlő-szolgáltatások és AzureActiveDirectoryDomainControllerServices néven a Microsoft Entra könyvtárban. Ezekre a vállalati alkalmazásokra a felügyelt tartomány kiszolgálásához van szükség. Ne törölje ezeket az alkalmazásokat.

Az Azure virtuális hálózat DNS-beállításainak frissítése

A Domain Services sikeres üzembe helyezésével most konfigurálja a virtuális hálózatot úgy, hogy lehetővé tegye más csatlakoztatott virtuális gépek és alkalmazások számára a felügyelt tartomány használatát. A kapcsolat biztosításához frissítse a virtuális hálózat DNS-kiszolgálóbeállításait, hogy a felügyelt tartományt üzembe helyező két IP-címre mutasson.

  1. A felügyelt tartomány Áttekintés lapján néhány szükséges konfigurációs lépés látható. Az első konfigurációs lépés a DNS-kiszolgáló virtuális hálózatra vonatkozó beállításainak frissítése. A DNS-beállítások helyes konfigurálása után ez a lépés már nem jelenik meg.

    A felsorolt címek a virtuális hálózatban használható tartományvezérlők. Ebben a példában ezek a címek a 10.0.1.4 és a 10.0.1.5. Ezeket az IP-címeket később a Tulajdonságok lapon találja.

    Screenshot of Overview page for a managed domain.

  2. A virtuális hálózat DNS-kiszolgálóbeállításainak frissítéséhez válassza a Konfigurálás gombot. A DNS-beállítások automatikusan konfigurálva vannak a virtuális hálózathoz.

Tipp.

Ha az előző lépésekben kiválasztott egy meglévő virtuális hálózatot, a hálózathoz csatlakozó virtuális gépek csak újraindítás után kapják meg az új DNS-beállításokat. A virtuális gépeket a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy az Azure CLI használatával indíthatja újra.

Felhasználói fiókok engedélyezése a Domain Serviceshez

A felügyelt tartomány felhasználóinak hitelesítéséhez a Domain Servicesnek olyan formátumú jelszókivonatokra van szüksége, amelyek alkalmasak az NT LAN Manager (NTLM) és a Kerberos-hitelesítés használatára. A Microsoft Entra-azonosító nem hozza létre vagy tárolja a jelszókivonatokat az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban, amíg nem engedélyezi a tartományi szolgáltatásokat a bérlő számára. Biztonsági okokból a Microsoft Entra ID nem tárolja a jelszó hitelesítő adatait tiszta szöveges formában. Ezért a Microsoft Entra-azonosító nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókivonatokat a felhasználók meglévő hitelesítő adatai alapján.

Feljegyzés

A megfelelő konfigurálás után a használható jelszókivonatok a felügyelt tartományban lesznek tárolva. Ha törli a felügyelt tartományt, az abban a pillanatban tárolt jelszókivonatok is törlődnek.

A Microsoft Entra-azonosítóban szinkronizált hitelesítő adatok nem használhatók újra, ha később létrehoz egy felügyelt tartományt – újra kell konfigurálnia a jelszókivonat-szinkronizálást a jelszókivonatok újbóli tárolásához. A korábban tartományhoz csatlakoztatott virtuális gépek vagy felhasználók nem tudnak azonnal hitelesíteni – a Microsoft Entra-azonosítónak létre kell hoznia és tárolnia kell a jelszókivonatokat az új felügyelt tartományban.

A Domain Services nem támogatja a Microsoft Entra Csatlakozás felhőszinkronizálást. A helyszíni felhasználókat szinkronizálni kell a Microsoft Entra Csatlakozás használatával, hogy hozzáférhessenek a tartományhoz csatlakoztatott virtuális gépekhez. További információ: A Domain Services és a Microsoft Entra Csatlakozás jelszókivonat-szinkronizálási folyamata.

A jelszókivonatok létrehozásának és tárolásának lépései eltérnek a Microsoft Entra ID-ban létrehozott csak felhőalapú felhasználói fiókok és a helyszíni címtárból a Microsoft Entra Csatlakozás használatával szinkronizált felhasználói fiókok esetében.

A csak felhőalapú felhasználói fiókok olyan fiókok, amelyeket a Microsoft Entra felügyeleti központ vagy a PowerShell használatával hoztak létre a Microsoft Entra címtárban. Ezek a felhasználói fiókok nincsenek szinkronizálva helyszíni címtárból.

Ebben az oktatóanyagban egy egyszerű, csak felhőalapú felhasználói fiókkal dolgozhatunk. A Microsoft Entra Csatlakozás használatához szükséges további lépésekről további információt a helyszíni AD-ből a felügyelt tartományba szinkronizált felhasználói fiókok jelszókivonatainak szinkronizálása című témakörben talál.

Tipp.

Ha a Microsoft Entra-címtár csak felhőalapú és szinkronizált felhasználók kombinációjával rendelkezik, mindkét lépést el kell végeznie.

Csak felhőalapú felhasználói fiókok esetén a felhasználóknak módosítaniuk kell a jelszavukat, mielőtt használhatják a Tartományi szolgáltatásokat. Ez a jelszómódosítási folyamat a Kerberos- és NTLM-hitelesítés jelszókivonatait hozza létre és tárolja a Microsoft Entra-azonosítóban. A fiók nem szinkronizálódik a Microsoft Entra-azonosítóról a Domain Servicesre, amíg a jelszó nem változik. Vagy lejárnak a bérlő összes olyan felhőfelhasználójának jelszavai, akiknek tartományi szolgáltatásokat kell használniuk, ami kényszeríti a jelszó módosítását a következő bejelentkezéskor, vagy utasíthatja a felhőbeli felhasználókat, hogy manuálisan módosítsák a jelszavukat. Ebben az oktatóanyagban manuálisan módosítsunk egy felhasználói jelszót.

Mielőtt a felhasználó alaphelyzetbe állíthatja a jelszavát, a Microsoft Entra-bérlőt konfigurálni kell az önkiszolgáló jelszó-visszaállításhoz.

A csak felhőalapú felhasználók jelszavának módosításához a felhasználónak végre kell hajtania a következő lépéseket:

  1. Lépjen a Microsoft Entra ID hozzáférési panel lapjára a következő címenhttps://myapps.microsoft.com: .

  2. A jobb felső sarokban válassza ki a nevét, majd válassza a Legördülő menü Profil elemét .

    Screenshot of how to select a profile.

  3. A Profil lapon válassza a Jelszó módosítása lehetőséget.

  4. A Jelszó módosítása lapon adja meg a meglévő (régi) jelszót, majd adjon meg és erősítse meg az új jelszót.

  5. Válassza a Küldés lehetőséget.

A jelszó módosítása után néhány percig tart, amíg az új jelszó használható lesz a Domain Servicesben, és sikeresen bejelentkezik a felügyelt tartományhoz csatlakoztatott számítógépekre.

Következő lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • Felügyelt tartomány DNS-követelményeinek ismertetése
  • Felügyelt tartomány létrehozása
  • Rendszergazdai felhasználók hozzáadása a tartománykezeléshez
  • Felhasználói fiókok engedélyezése a Tartományi szolgáltatásokhoz és jelszókivonatok létrehozása

Mielőtt tartományhoz csatlakozna a virtuális gépekhez, és üzembe helyezené a felügyelt tartományt használó alkalmazásokat, konfiguráljon egy Azure-beli virtuális hálózatot az alkalmazás számítási feladataihoz.

Azure-beli virtuális hálózat konfigurálása alkalmazásterhelésekhez a felügyelt tartomány használatára