Kom i gang med Azure Active Directory Domain Services

cloud-computing-hænder-helt

I dagens Spørg Admin, Vil jeg vise dig, hvordan du konfigurerer Azure Active Directory (AAD) Domain Services og forbinder det med din AAD-lejer.

AAD Domain Services giver organisationer mulighed for at "løfte og skifte" apps, der anvender lokal AD til at godkende til skyen, og udvide AAD's muligheder for at levere mange af funktionerne i en lokal AD-implementering, men uden det formål at installerer domænecontrollere (DC'er) i skyen, indstiller ExpressRoute eller en VPN til at forbinde DC-enheder til Azure. AAD Domain Services understøtter Kerberos, Windows Integrated Authentication og NTLM, plus Group Policy og Lightweight Directory Access Protocol (LDAP).

I denne artikel vil jeg vise dig, hvordan du aktiverer AAD Domain Services til at arbejde sammen med en eksisterende AAD-lejer. For yderligere oplysninger om opsætning af AAD, se Hvad er Azure Active Directory? på den Petri IT Knowledgebase.

Der er fire trin, der kræves for at oprette AAD Domain Services:

  1. Opret en administrativ gruppe kaldet AAD DC-administratorer. Brugere af denne gruppe kan administrere Azure Active Directory Domain Services og udføre opgaver, såsom at tilføje VM'er til domænet.
  2. Opret et virtuelt netværk og et subnetværk. AAD Domain Services skal være forbundet med og aktiveret i et undernet i et virtuelt netværk.
  3. Opdater DNS-indstillinger for det virtuelle netværk for at pege på IP-adressen (e), der er tildelt AAD Domain Services.
  4. Brugere, der ønsker at bruge AAD Domain Services, skal ændre deres adgangskoder til at generere legitimationspakken, der kræves af AAD Domain Services.

Opret en administrativ gruppe i AAD

Den første opgave er at oprette en administrativ gruppe i AAD. Denne særlige administrationsgruppe hedder AAD DC-administratorer, og medlemmerne får administrative rettigheder til domæneforbundne enheder. Det er værd at bemærke, at konfigurationen af ​​Azure AD Domain Services i øjeblikket understøttes i kun den klassiske portal.

Tilføj AAD DC-administratorer til AAD (billedkredit: Russell Smith)

Tilføj AAD DC-administratorer til AAD (billedkredit: Russell Smith)

  • Log ind på Azure klassiske portal her: https://manage.windowsazure.com.
  • Klik Active Directory i venstre panel og vælg din mappe.
  • Klik på Grupper fanebladet og derefter Tilføj en gruppe.
  • Navngiv gruppen AAD DC-administratorer og indstil GROUP TYPE til Sikkerhed. Bemærk at du skal bruge som navnet på denne gruppe.
  • Klik AAD DC-administratorer i listen over grupperne, og derefter Tilføj medlemmer nederst på skærmen.
  • i Tilføj medlemmer Vælg en eller flere eksisterende brugere, der skal tilføjes til gruppen.

Tilføj AAD DC-administratorer til AAD (billedkredit: Russell Smith)

Tilføj AAD DC-administratorer til AAD (billedkredit: Russell Smith)

Aktivér Azure AD Domain Services i et virtuelt netværk

AAD Domain Services understøtter kun virtuelle netværk, der er oprettet i den klassiske portal, så du vil ikke kunne tilføje Domain Services-support til netværk oprettet ved hjælp af Azure Resource Manager (ARM). For mere information om oprettelse af virtuelle netværk i den klassiske portal, se Opsætning af et virtuelt netværk i Windows Azure on Petri IT Knowledgebase.

Sponsoreret

For at gennemføre nedenstående trin skal du have et virtuel netværk og et subnet oprettet i den klassiske portal. Ikke alle Azure-regioner understøtter AD Domain Services, så kontrollér, at det virtuelle netværk er i en understøttet region på Azure-tjenester efter region side. Microsoft anbefaler også at bruge et dedikeret subnet til AAD Domain Services.

Aktivér Domain Services for biblioteket (Billedkredit: Russell Smith)

Aktivér Domain Services for biblioteket (Billedkredit: Russell Smith)

  • Klik på Active Directory i portens venstre panel og vælg din mappe.
  • Skift til KONFIGURER fane.
  • Rul ned til domænetjenester og angiv ENABLE DOMAIN SERVICES FOR DETTE DIRECTORY til JA.
  • I rullemenuen i DNS DOMAIN NAME OF DOMAIN SERVICES skal du vælge det domænenavn, du vil bruge til AD-domænet. Du kan også skrive et domænenavn i rullelisten.

Domænepræfikset bør ikke være længere end 15-tegn, og domænenavnet skal ikke allerede bruges i det virtuelle netværk.

  • I rullemenuen CONNECT DOMAIN SERVICES TIL DENNE VIRTUAL NETWORK skal du vælge det virtuelle netværksundernet, som du gerne vil aktivere AAD-domænetjenester til.
  • Klik SPARE nederst i portalvinduet, og du vil bemærke, at konfigurationsstatus ændres i afventning. Denne proces kan tage op til 30 minutter.

Konfigurer DNS

Når operationen er afsluttet, vil du se en IP-adresse vises under domænetjenester - eller to hvis høj tilgængelighed er aktiveret til din AAD. Noter disse IP-adresser.

  • Klik NETVÆRK i venstre rude og vælg det virtuelle netværk, hvor Azure AD Domain Services er aktiveret.
  • Skift til KONFIGURER fane.
  • Under dns servere, tilføj de IP-adresser, der blev vist under domænetjenester fra de foregående trin. Navnene på serverne kan være alt hvad du vælger.
  • Klik SPARE nederst på skærmen.

Konfigurer DNS-indstillinger for det virtuelle netværk (Billedkredit: Russell Smith)

Konfigurer DNS-indstillinger for det virtuelle netværk (Billedkredit: Russell Smith)

Generer Credential Hashes

De instruktioner, der følger, er for kun AAD lejere i skyen. Hvis du har konfigureret AAD til at synkronisere med lokal AD, skal du aktivere synkronisering af NTLM og Kerberos credential hashes til AAD.

Sponsoreret

Hver bruger, der ønsker at få adgang til AAD Domain Services, skal følge disse trin, og adgangskodeadministration skal være aktiveret for Azure AD-lejeren.

  • Gå til siden Azure AD Access Panel på http://myapps.microsoft.com.
  • Skift til profil fane.
  • Klik på Skift adgangskode flise.
  • Følg instruktionerne for at ændre adgangskoden.

Når brugerens adgangskode er blevet ændret, skal de vente mindst 20 minutter før du forsøger at logge ind på computere, der er tilsluttet det administrerede domæne.

Stillingen Kom i gang med Azure Active Directory Domain Services dukkede først på Petri.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.