Початок роботи з доменними службами Azure Active Directory

хмара-обчислювальна рука-герой

У сьогоднішній день Попросіть адміністратора, Я покажу вам, як налаштувати служби доменів Azure Active Directory (AAD) та підключити його до свого агента AAD.

Служби доменів AAD дозволяють організаціям "піднімати та змінювати" додатки, які використовують локальні AD для автентифікації в хмарі, розширюючи можливості AAD, щоб забезпечити багато функцій місцевого розгортання AD, але без зусиль встановлення контролерів домену (ОС) у хмарі, налаштування ExpressRoute або VPN для підключення локальних DC до Azure. Служби домену AAD підтримують Kerberos, інтегровану автентифікацію Windows і NTLM, а також груповий та легкий протокол доступу до каталогів (LDAP).

У цій статті я покажу вам, як включити AAD Domain Services для роботи з існуючим агентом AAD. Для отримання додаткової інформації про налаштування AAD див Що таке Azure Active Directory? на Petri IT Knowledgebase.

Для встановлення служб домену AAD потрібні чотири кроки:

  1. Створіть адміністративну групу за назвою AAD DC Administrators. Користувачі цієї групи можуть керувати доменними службами Azure Active Directory та виконувати завдання, такі як додавання віртуальних машин до домену.
  2. Настроювання віртуальної мережі та підмережі. Служби домену AAD повинні бути пов'язані та активовані в підмережі у віртуальній мережі.
  3. Оновити налаштування DNS для віртуальної мережі, щоб вказати IP-адреси, призначені для служб домену AAD.
  4. Користувачі, які хочуть використовувати служби доменів AAD, повинні змінити свої паролі, щоб генерувати хеш-облікові дані, які вимагаються службою домену AAD.

Створити адміністративну групу в AAD

Перше завдання - створити адміністративну групу в AAD. Ця спеціальна адміністративна група називається Адміністратори AAD DC і членам надаються адміністративні привілеї на обладнаних доменними пристроями. Варто зазначити, що налаштування Azure AD Domain Services наразі підтримуються лише в класичному порталі.

Додайте AAD-адміністраторів постійного струму до AAD (Image Credit: Russell Smith)

Додайте AAD-адміністраторів постійного струму до AAD (Image Credit: Russell Smith)

  • Увійдіть до класичного порталу Azure тут: https://manage.windowsazure.com.
  • Натисніть Active Directory на лівій панелі та виберіть свій каталог.
  • Натисніть груп вкладка і потім Додати групу.
  • Назвіть групу AAD DC Administrators і встановіть GROUP TYPE на безпеки. Зауважте, що ви повинні використовувати як назву для цієї групи.
  • Натисніть AAD DC Administrators у списку груп, а потім Додати учасників внизу екрана.
  • В Додати учасників діалоговому вікні, виберіть один або декілька існуючих користувачів для додавання до групи.

Додайте AAD-адміністраторів постійного струму до AAD (Image Credit: Russell Smith)

Додайте AAD-адміністраторів постійного струму до AAD (Image Credit: Russell Smith)

Увімкнути послуги Azure AD Domain у віртуальній мережі

AAD Domain Services підтримує лише віртуальні мережі, створені в класичному порталі, тому ви не зможете додавати підтримку доменних служб для мереж, створених за допомогою Azure Resource Manager (ARM). Для отримання додаткової інформації про створення віртуальних мереж у класичному порталі див Налаштування віртуальної мережі в Windows Azure on Petri IT Knowledgebase.

Рекламні

Щоб виконати наведені нижче дії, вам потрібна віртуальна мережа та підмережа, створені в класичному порталі. Не всі регіони Azure підтримують AD Domain Services, тому перевірте, чи є віртуальна мережа в підтримуваному регіоні на Лазурне обслуговування за регіонами сторінка Microsoft також рекомендує використовувати спеціальну підмережу для служб домену AAD.

Увімкнути служби домену для каталогу (Image Credit: Russell Smith)

Увімкнути служби домену для каталогу (Image Credit: Russell Smith)

  • Клацніть Active Directory на лівій панелі порталу і виберіть каталог.
  • Переключитися на CONFIGURE Вкладка.
  • Прокрутіть униз до послуги домену і встановіть ENABLE DOMAIN SERVICES для цього каталогу ТАК.
  • У спадному меню DNS DOMAIN NAME OF SERVICES DOMAIN SERVICES виберіть доменне ім'я, яке ви хочете використовувати для AD домену. Крім того, введіть назву домену у поле спадного меню.

Префікс домену повинен бути не більше символів 15, а ім'я домену вже не повинно використовуватись у віртуальній мережі.

  • У спадному меню CONNECT DOMAIN SERVICES TO THIS VIRTUAL NETWORK виберіть підмереж віртуальної мережі, для якої потрібно включити служби домену AAD.
  • Натисніть ЗБЕРЕГТИ у нижній частині вікна порталу, і ви помітите, що статус конфігурації змінюється на очікуваний. Цей процес може тривати до 30 хвилин.

Налаштувати DNS

Після завершення операції ви побачите IP-адресу, яка з'явиться внизу послуги домену - або два, якщо для вашої AAD активовано високу доступність. Запишіть ці IP-адреси.

  • Натисніть Мережі на лівій панелі та виберіть віртуальну мережу, в якій включено Azure AD Domain Services.
  • Переключитися на CONFIGURE Вкладка.
  • під dns сервери, додайте IP-адреси, що з'явилися внизу послуги домену з попередніх кроків. Імена серверів можуть бути будь-якими, що ви обираєте.
  • Натисніть ЗБЕРЕГТИ внизу екрана.

Налаштування параметрів DNS для віртуальної мережі (Image Credit: Russell Smith)

Налаштування параметрів DNS для віртуальної мережі (Image Credit: Russell Smith)

Створіть облікові сертифікати

Наведені нижче вказівки стосуються лише хмарних орендарів AAD. Якщо ви налаштували AAD для синхронізації з локальним AD, вам потрібно буде включити синхронізацію хешів облікових даних NTLM та Kerberos до AAD.

Рекламні

Кожен користувач, який хоче отримати доступ до Служб домену AAD, повинен виконати ці кроки, і керування паролями має бути включено для орендарів Azure AD.

  • Перейдіть на сторінку "Панель доступу до Azure" на сторінці http://myapps.microsoft.com.
  • Переключитися на профіль Вкладка.
  • Натисніть Змінити пароль плитка
  • Дотримуйтесь інструкцій, щоб змінити пароль.

Після зміни пароля користувача вони повинні зачекати принаймні двадцять хвилин, перш ніж намагатись входити до комп'ютерів, приєднаних до керованого домену.

Повідомлення Початок роботи з доменними службами Azure Active Directory вперше з'явився на Петрі.

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.