Zelfstudie: Een door Microsoft Entra Domain Services beheerd domein maken en configureren

  • Artikel

Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LDAP, Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory. U gebruikt deze domeinservices zonder zelf domeincontrollers te implementeren, te beheren en er patches op toe te passen. Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden met behulp van hun bedrijfsreferenties, en u kunt bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen.

U kunt een beheerd domein maken met behulp van de standaardconfiguratieopties voor netwerken en synchronisatie, of deze instellingen handmatig definiëren. In deze zelfstudie leert u hoe u standaardopties gebruikt voor het maken en configureren van een door Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum.

In deze zelfstudie leert u het volgende:

  • DNS-vereisten voor ee beheerd domein begrijpen
  • Een beheerd domein maken
  • Wachtwoord-hashsynchronisatie inschakelen

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

  • Een actief Azure-abonnement.
  • Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • U hebt toepassings-Beheer istrator en groepen nodig Beheer istrator Microsoft Entra-rollen in uw tenant om Domain Services in te schakelen.
  • U hebt de Azure-rol Domain Services-inzender nodig om de vereiste Domain Services-resources te maken.
  • Een virtueel netwerk met DNS-servers die een query kunnen uitvoeren op de benodigde infrastructuur, zoals opslag. DNS-servers die geen algemene internetquery's kunnen uitvoeren, kunnen de mogelijkheid om een beheerd domein te maken blokkeren.

Hoewel dit niet vereist is voor Domain Services, is het raadzaam om selfservice voor wachtwoordherstel (SSPR) te configureren voor de Microsoft Entra-tenant. Gebruikers kunnen hun wachtwoord wijzigen zonder SSPR, maar met SSPR kunnen ze wel hun wachtwoord opnieuw instellen als ze dit zijn vergeten.

Belangrijk

U kunt het beheerde domein niet verplaatsen naar een ander abonnement, een andere resourcegroep of een andere regio nadat u het hebt gemaakt. Zorg ervoor dat u het meest geschikte abonnement, de resourcegroep en de regio selecteert wanneer u het beheerde domein implementeert.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze zelfstudie maakt en configureert u het beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrum om aan de slag te gaan.

Een beheerd domein maken

Voer de volgende stappen uit om de wizard Microsoft Entra Domain Services inschakelen te starten:

  1. Zoek in het microsoft Entra-beheercentrummenu of op de startpagina naar Domain Services en kies Vervolgens Microsoft Entra Domain Services.

  2. Selecteer Microsoft Entra Domain Services maken op de pagina Microsoft Entra Domain Services.

    Screenshot of how to create a managed domain.

  3. Selecteer het Abonnement voor Azure waarin u het beheerde domein wilt maken.

  4. Selecteer de Resourcegroep waarvan het beheerde domein deel moet uitmaken. Kies voor Nieuwe maken of selecteer een bestaande resourcegroep.

Wanneer u een beheerd domein wilt maken, geeft u een DNS-naam op. Er is een aantal factoren waar u rekening mee moet houden wanneer u deze DNS-naam kiest:

  • Ingebouwde domeinnaam: standaard wordt de ingebouwde domeinnaam van de map gebruikt (een .onmicrosoft.com achtervoegsel). Als u beveiligde LDAP-toegang tot het beheerde domein wilt krijgen via een internetverbinding, kunt u geen digitaal certificaat maken om de verbinding met dit standaarddomein te beveiligen. Microsoft is de eigenaar van het domein .onmicrosoft.com, dus een Certificate Authority (CA) zal geen certificaat uitgeven.
  • Aangepaste domeinnamen: De meest voorkomende benadering is het opgeven van een aangepaste domeinnaam, meestal een domeinnaam die u al bezit en routeerbaar is. Wanneer u een routeerbaar, aangepast domein gebruikt, kan verkeer op de juiste manier stromen om uw toepassingen te ondersteunen.
  • Niet-routeerbare domeinachtervoegsels: Over het algemeen wordt u aangeraden een niet-routeerbaar domeinnaamachtervoegsel, zoals contoso.local, te vermijden. Het achtervoegsel .local is niet routeerbaar en kan problemen veroorzaken met de DNS-resolutie.

Tip

Als u een aangepaste domeinnaam maakt, wees dan voorzichtig met bestaande DNS-naamruimten. Hoewel dit wordt ondersteund, kunt u een domeinnaam gebruiken die gescheiden is van een bestaande Azure- of on-premises DNS-naamruimte.

Als u bijvoorbeeld een bestaande DNS-naamruimte van contoso.com hebt, maakt u een beheerd domein met de aangepaste domeinnaam van dscontoso.com. Als u beveiligde LDAP moet gebruiken, moet u dit aangepaste domeinnaam registreren en hier eigenaar van zijn om de vereiste certificaten te genereren.

Mogelijk moet u een aantal aanvullende DNS-records maken voor andere services in uw omgeving, of voorwaardelijke DNS-doorstuurservers maken tussen bestaande DNS-naamruimten in uw omgeving. Als u bijvoorbeeld een webserver hebt waar een site wordt gehost met de root-DNS-naam, kunnen naamconflicten ontstaan waardoor extra DNS-vermeldingen vereist zijn.

In deze zelfstudies en instructieartikelen wordt het aangepaste domein van dscontoso.com gebruikt als een kort voorbeeld. In alle opdrachten geeft u uw eigen domeinnaam op.

De volgende DNS-naambeperkingen zijn ook van toepassing:

  • Beperkingen voor domeinvoorvoegsels: u kunt geen beheerd domein maken met een voorvoegsel dat langer is dan 15 tekens. Het voorvoegsel van uw opgegeven domeinnaam (zoals dscontoso in de dscontoso.com domeinnaam) moet 15 of minder tekens bevatten.
  • Netwerknaamconflicten: de DNS-domeinnaam voor uw beheerde domein mag nog niet bestaan in het virtuele netwerk. Controleer met name op de volgende scenario's die leiden tot een naamconflict:
    • Of u al een Active Directory-domein met deze DNS-domeinnaam in het virtuele Azure-netwerk hebt.
    • Of het virtuele netwerk waarin u het beheerde domein wilt inschakelen, over een VPN-verbinding met uw on-premises netwerk beschikt. In dit scenario moet u ervoor zorgen dat u geen domein met dezelfde DNS-domeinnaam in uw on-premises netwerk hebt.
    • Als u een bestaande Azure-cloudservice hebt met die naam op het virtuele Azure-netwerk.

Vul de velden in het venster Basisinformatie van het Microsoft Entra-beheercentrum in om een beheerd domein te maken:

  1. Voer een DNS-domeinnaam in voor uw beheerde domein, waarbij u rekening houdt met de vorige punten.

  2. Kies de Azure-regio waarin het beheerde domein moet worden gemaakt. Als u een regio kiest die Ondersteuning biedt voor Azure Beschikbaarheidszones, worden de Domain Services-resources verdeeld over zones voor extra redundantie.

    Tip

    Beschikbaarheidszones zijn unieke, fysieke locaties binnen een Azure-regio. Elke zone bestaat uit een of meer datacenters met onafhankelijke stroomvoorziening, koeling en netwerken. Tolerantie wordt gegarandeerd door aanwezigheid van minimaal drie afzonderlijke zones in alle actieve regio's.

    U hoeft niets te configureren voor Domain Services om te worden gedistribueerd over zones. De distributie van resources over zones wordt automatisch afgehandeld op het Azure-platform. Zie Wat zijn beschikbaarheidszones in Azure? voor meer informatie en om de beschikbaarheid van regio’s te zien.

  3. De SKU bepaalt de prestaties en back-upfrequentie. U kunt de SKU wijzigen zodra het beheerde domein is gemaakt wanneer uw zakelijke behoeften of vereisten veranderen. Zie domeinservices-SKU-concepten voor meer informatie.

    Voor deze zelfstudie selecteert u de Standaard-SKU. Het venster Basisinformatie moet er als volgt uitzien:

    Screenshot of Basics configuration page for a managed domain.

Als u snel een beheerd domein wilt maken, kunt u Beoordelen en maken selecteren om aanvullende opties voor standaardinstellingen te accepteren. De volgende standaardinstellingen worden geconfigureerd wanneer u deze maakoptie kiest:

  • Hiermee maakt u standaard een virtueel netwerk met de naam ds-vnet , dat gebruikmaakt van het IP-adresbereik 10.0.1.0/24.
  • Hiermee maakt u een subnet met de naam ds-subnet met behulp van het IP-adresbereik 10.0.1.0/24.
  • Synchroniseert alle gebruikers van Microsoft Entra ID naar het beheerde domein.

Notitie

Gebruik geen openbare IP-adressen voor virtuele netwerken en hun subnetten vanwege de volgende problemen:

  • Overschrijding van het IP-adres: openbare IPv4-ip-adressen zijn beperkt en hun vraag overschrijdt vaak het beschikbare aanbod. Er zijn mogelijk overlappende IP-adressen met openbare eindpunten.

  • Beveiligingsrisico's: Als u openbare IP-adressen gebruikt voor virtuele netwerken, worden uw apparaten rechtstreeks aan internet blootgesteld, waardoor het risico op onbevoegde toegang en mogelijke aanvallen toeneemt. Zonder de juiste beveiligingsmaatregelen kunnen uw apparaten kwetsbaar worden voor verschillende bedreigingen.

  • Complexiteit: het beheren van een virtueel netwerk met openbare IP-adressen kan complexer zijn dan het gebruik van privé-IP-adressen, omdat hiervoor externe IP-bereiken nodig zijn en de juiste netwerksegmentatie en -beveiliging moeten worden gegarandeerd.

Het wordt sterk aanbevolen om privé-IP-adressen te gebruiken. Als u een openbaar IP-adres gebruikt, moet u ervoor zorgen dat u de eigenaar/toegewezen gebruiker bent van de gekozen IP-adressen in het openbare bereik dat u hebt gekozen.

Selecteer Beoordelen en maken om deze opties voor standaardinstellingen te accepteren.

Het beheerde domein implementeren

Ga naar de pagina Samenvatting van de wizard om de configuratie-instellingen voor uw beheerde domein te controleren. U kunt teruggaan naar elke stap van de wizard om wijzigingen door te voeren. Als u een beheerd domein opnieuw wilt implementeren naar een andere Microsoft Entra-tenant op een consistente manier met deze configuratieopties, kunt u ook een sjabloon voor automatisering downloaden.

  1. Voor het maken van het beheerde domein selecteert u Maken. Er wordt een opmerking weergegeven dat bepaalde configuratieopties, zoals DNS-naam of virtueel netwerk, niet kunnen worden gewijzigd zodra de beheerde Domain Services is gemaakt. Selecteer OK om door te gaan.

    Screenshot of configuration options for managed domain.

  2. Het inrichtingsproces van uw beheerde domein duurt ongeveer een uur. Er wordt een melding weergegeven in de portal waarin de voortgang van uw Domain Services-implementatie wordt weergegeven.

  3. Wanneer het beheerde domein volledig is ingericht, wordt de domeinstatus op het tabblad Overzicht weergegeven als Wordt uitgevoerd. Uitgebreide implementatiedetails voor koppelingen naar resources, zoals het virtuele netwerk en de netwerkresourcegroep.

    Screenshot of deployment details for a managed domain.

Belangrijk

Het beheerde domein is gekoppeld aan uw Microsoft Entra-directory. Tijdens het inrichtingsproces maakt Domain Services twee bedrijfstoepassingen met de naam Domain Controller Services en AzureActiveDirectoryDomainControllerServices in de Microsoft Entra-directory. Deze Enterprise-toepassingen zijn nodig voor het onderhoud van uw beheerde domein. Verwijder deze toepassingen niet.

DNS-instellingen bijwerken voor het virtuele Azure-netwerk

Nu Domain Services is geïmplementeerd, configureert u het virtuele netwerk zodat andere verbonden VM's en toepassingen het beheerde domein kunnen gebruiken. Om deze connectiviteit te leveren moet u de DNS-serverinstellingen voor uw virtuele netwerk bijwerken zodat wordt verwezen naar de twee IP-adressen waar het beheerde domein is geïmplementeerd.

  1. Op het tabblad Overzicht voor uw beheerde domein wordt een aantal Vereiste configuratiestappen weergegeven. De eerste configuratiestap is het bijwerken van de DNS-serverinstellingen voor het virtuele netwerk. Zodra de DNS-instellingen goed zijn geconfigureerd, wordt deze stap niet meer weergegeven.

    De vermelde adressen zijn de domeincontrollers die in het virtuele netwerk moeten worden gebruikt. In dit voorbeeld zijn die adressen 10.0.1.4 en 10.0.1.5. U kunt deze IP-adressen terugvinden op het tabblad Eigenschappen.

    Screenshot of Overview page for a managed domain.

  2. Selecteer de knop Configureren om de DNS-serverinstellingen bij te werken voor het virtuele netwerk. De DNS-instellingen worden automatisch geconfigureerd voor uw virtuele netwerk.

Tip

Als u een bestaand virtueel netwerk in de vorige stappen hebt geselecteerd, worden de nieuwe DNS-instellingen pas ingesteld op virtuele machines die met het netwerk zijn verbonden zodra u de machine opnieuw hebt opgestart. U kunt VM's opnieuw opstarten met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph PowerShell of de Azure CLI.

Gebruikersaccounts inschakelen voor Domain Services

Voor het verifiëren van gebruikers in het beheerde domein heeft Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NT LAN Manager (NTLM) en Kerberos-verificatie. Microsoft Entra-id genereert of slaat wachtwoordhashes niet op in de indeling die is vereist voor NTLM- of Kerberos-verificatie totdat u Domain Services voor uw tenant inschakelt. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.

Notitie

Zodra de configuratie is geslaagd, worden de bruikbare wachtwoordhashes opgeslagen in het beheerde domein. Als u het beheerde domein verwijdert, worden alle wachtwoordhashes die op dat punt zijn opgeslagen ook verwijderd.

Gesynchroniseerde referentiegegevens in Microsoft Entra-id kunnen niet opnieuw worden gebruikt als u later een beheerd domein maakt. U moet de wachtwoord-hashsynchronisatie opnieuw configureren om de wachtwoordhashes opnieuw op te slaan. Eerder aan een domein gekoppelde VM's of gebruikers kunnen zich niet onmiddellijk verifiëren. Microsoft Entra-id moet de wachtwoordhashes genereren en opslaan in het nieuwe beheerde domein.

Microsoft Entra Verbinding maken cloudsynchronisatie wordt niet ondersteund met Domain Services. On-premises gebruikers moeten worden gesynchroniseerd met Behulp van Microsoft Entra Verbinding maken om toegang te krijgen tot vm's die lid zijn van een domein. Zie wachtwoord-hashsynchronisatieproces voor Domain Services en Microsoft Entra Verbinding maken voor meer informatie.

De stappen voor het genereren en opslaan van deze wachtwoordhashes verschillen voor cloudgebruikersaccounts die zijn gemaakt in Microsoft Entra ID versus gebruikersaccounts die vanuit uw on-premises directory worden gesynchroniseerd met behulp van Microsoft Entra Verbinding maken.

Een cloudgebruikersaccount is een account dat is gemaakt in uw Microsoft Entra-directory met behulp van het Microsoft Entra-beheercentrum of PowerShell. Deze gebruikersaccounts zijn niet gesynchroniseerd vanuit een on-premises map.

In deze zelfstudie gaat u aan de slag met een basisaccount voor cloudgebruikers. Zie Wachtwoordhashes synchroniseren voor gebruikersaccounts die vanuit uw on-premises AD met uw beheerde domein zijn gesynchroniseerd voor meer informatie over de aanvullende stappen die nodig zijn voor het gebruik van Microsoft Entra Verbinding maken.

Tip

Als uw Microsoft Entra-directory een combinatie van alleen-cloudgebruikers en gesynchroniseerde gebruikers heeft, moet u beide sets stappen voltooien.

Voor gebruikersaccounts in de cloud moeten gebruikers hun wachtwoorden wijzigen voordat ze Domain Services kunnen gebruiken. Dit wachtwoordwijzigingsproces zorgt ervoor dat de wachtwoordhashes voor Kerberos- en NTLM-verificatie worden gegenereerd en opgeslagen in Microsoft Entra-id. Het account wordt pas gesynchroniseerd vanuit Microsoft Entra-id naar Domain Services als het wachtwoord is gewijzigd. Verlopen de wachtwoorden voor alle cloudgebruikers in de tenant die Domain Services moeten gebruiken, waardoor een wachtwoordwijziging bij de volgende aanmelding wordt afgeslagen of cloudgebruikers instrueren hun wachtwoorden handmatig te wijzigen. Voor deze zelfstudie gaan we handmatig een gebruikerswachtwoord wijzigen.

Voordat een gebruiker het wachtwoord opnieuw kan instellen, moet de Microsoft Entra-tenant worden geconfigureerd voor selfservice voor wachtwoordherstel.

Om het wachtwoord voor een cloudgebruiker te wijzigen, moet de gebruiker de volgende stappen uitvoeren:

  1. Ga naar de pagina Microsoft Entra ID Toegangsvenster op https://myapps.microsoft.com.

  2. Selecteer in de rechterbovenhoek uw naam en kies Profiel in het vervolgkeuzemenu.

    Screenshot of how to select a profile.

  3. Selecteer op de pagina Profiel de optie Wachtwoord wijzigen.

  4. Voer op de pagina Wachtwoord wijzigen uw bestaande (oude) wachtwoord in, voer een nieuw wachtwoord in en bevestig dit nieuwe wachtwoord.

  5. Selecteer Indienen.

Het duurt enkele minuten nadat u uw wachtwoord hebt gewijzigd voordat het nieuwe wachtwoord bruikbaar is in Domain Services en om u aan te melden bij computers die lid zijn van het beheerde domein.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

  • DNS-vereisten voor ee beheerd domein begrijpen
  • Een beheerd domein maken
  • Gebruikers met beheerdersrechten toevoegen aan domeinbeheer
  • Gebruikersaccounts inschakelen voor Domain Services en wachtwoordhashes genereren

Voordat virtuele machines aan een domein toevoegt en toepassingen implementeert die het beheerde domein gebruiken, configureert u een virtueel Azure-netwerk voor toepassingsworkloads.

Virtuele Azure-netwerken configureren voor toepassingsworkloads om uw beheerd domein te gebruiken