創(chuàng)建和配置 Azure Active Directory 域服務托管域

Azure Active Directory 域服務 (Azure AD DS) 提供與 Windows Server Active Directory 完全兼容的托管域服務，例如域加入、組策略、LDAP、Kerberos/NTLM 身份驗證。 使用這些域服務就無需自行部署、管理和修補域控制器。 Azure AD DS 與現(xiàn)有的 Azure AD 租戶集成。 這種集成可讓用戶使用其企業(yè)憑據(jù)登錄，而你可以使用現(xiàn)有的組和用戶帳戶來保護對資源的訪問。

可以使用默認配置選項創(chuàng)建托管域以實現(xiàn)聯(lián)網(wǎng)和同步，也可以手動定義這些設置。 本教程介紹如何通過 Azure 門戶使用默認選項創(chuàng)建和配置 Azure AD DS 托管域。

在本教程中，你將了解如何執(zhí)行以下操作：

• 了解托管域的 DNS 要求

• 創(chuàng)建托管域

• 啟用密碼哈希同步

如果還沒有 Azure 訂閱，可以在開始前創(chuàng)建一個帳戶。

先決條件

需有以下資源和特權才能完成本教程：

• 一個有效的 Azure 訂閱。

• 如果你沒有 Azure 訂閱，請創(chuàng)建一個帳戶。

• 與訂閱關聯(lián)的 Azure Active Directory 租戶，可以與本地目錄或僅限云的目錄同步。

• 如果需要，請創(chuàng)建一個 Azure Active Directory 租戶或將 Azure 訂閱關聯(lián)到你的帳戶。

• 需要在 Azure AD 目錄中擁有“全局管理員”特權才能啟用 Azure AD DS。

• 需要在 Azure 訂閱中擁有“參與者”特權才能創(chuàng)建所需的 Azure AD DS 資源。

• 具有 DNS 服務器的虛擬網(wǎng)絡，可以查詢所需的基礎結構，例如存儲。 無法執(zhí)行常規(guī) Internet 查詢的 DNS 服務器可能會阻止創(chuàng)建托管域的功能。

盡管 Azure AD DS 不需要，但建議為 Azure AD 租戶配置自助式密碼重置 (SSPR)。 用戶可以在沒有 SSPR 的情況下更改其密碼，但如果用戶忘記其密碼并需要重置密碼，SSPR 會有所幫助。

 重要

創(chuàng)建托管域后，無法將其移動到其他訂閱、資源組、區(qū)域、虛擬網(wǎng)絡或子網(wǎng)。 部署托管域時，請注意選擇最合適的訂閱、資源組、區(qū)域、虛擬網(wǎng)絡和子網(wǎng)。

登錄到 Azure 門戶

在本教程中，你將使用 Azure 門戶來創(chuàng)建并配置托管域。 若要開始操作，請登錄到 Azure 門戶。

創(chuàng)建托管域

若要啟動“啟用 Azure AD 域服務”向導，請完成以下步驟：

1. 在 Azure 門戶菜單或“主頁”頁上，選擇“創(chuàng)建資源” 。

2. 在搜索欄中輸入“域服務”，然后從搜索建議中選擇“Azure AD 域服務”。

3. 在“Azure AD 域服務”頁上選擇“創(chuàng)建”。 “啟用 Azure AD 域服務”向導隨即啟動。

4. 選擇要在其中創(chuàng)建托管域的 Azure“訂閱”。

5. 選擇托管域應屬于的“資源組”。 選擇“新建”，或選擇現(xiàn)有的資源組。

創(chuàng)建托管域時，請指定 DNS 名稱。 選擇此 DNS 名稱時請注意以下事項：

• 內(nèi)置域名： 默認將使用目錄的內(nèi)置域名（帶 .onmicrosoft.com 后綴）。 若要啟用通過 Internet 對托管域進行安全 LDAP 訪問，則不能創(chuàng)建數(shù)字證書來保護與此默認域建立的連接。 Microsoft 擁有 .onmicrosoft.com 域，因此，證書頒發(fā)機構 (CA) 不會頒發(fā)證書。

• 自定義域名： 最常見的方法是指定自定義域名，通常是你已擁有且可路由的域名。 使用可路由的自定義域時，流量可根據(jù)需要正確傳送，以支持你的應用程序。

• 不可路由的域后綴： 一般情況下，我們建議避免使用不可路由的域名后綴，例如 contoso.local。 .local 后綴不可路由，并可能導致 DNS 解析出現(xiàn)問題。

 提示

如果創(chuàng)建自定義域名，請注意現(xiàn)有的 DNS 命名空間。 建議使用獨立于任何現(xiàn)有 Azure 或本地 DNS 命名空間的域名。

例如，如果現(xiàn)有的 DNS 命名空間為 contoso.com，則使用自定義域名 aaddscontoso.com 創(chuàng)建托管域 。 如果需要使用安全 LDAP，則必須注冊并擁有此自定義域名才能生成所需的證書。

可能需要為環(huán)境中的其他服務或環(huán)境中現(xiàn)有 DNS 名稱空間之間的條件 DNS 轉發(fā)器創(chuàng)建一些其他的 DNS 記錄。 例如，如果運行使用根 DNS 名稱托管站點的 Web 服務器，則可能存在命名沖突，從而需要其他 DNS 條目。

在這些教程和操作指南文章中，我們使用自定義域 aaddscontoso.com 作為簡短示例。 在所有命令中，指定你自己的域名。

還存在以下 DNS 名稱限制：

• 域前綴限制： 不能創(chuàng)建前綴長度超過 15 個字符的托管域。 指定域名的前綴（例如 aaddscontoso.com 域名中的 aaddscontoso）所包含的字符不得超過 15 個。

• 網(wǎng)絡名稱沖突： 托管域的 DNS 域名不能已存在于虛擬網(wǎng)絡中。 具體而言，請檢查可能導致名稱沖突的以下情況：

• Azure 虛擬網(wǎng)絡中是否已存在具有相同 DNS 域名的 Active Directory 域。

• 計劃在其中啟用托管域的虛擬網(wǎng)絡是否與本地網(wǎng)絡建立了 VPN 連接。 在此方案中，確保在本地網(wǎng)絡上沒有具有相同 DNS 域名的域。

• 虛擬網(wǎng)絡中是否存在具有該名稱的 Azure 云服務。

填寫 Azure 門戶的“基本信息”窗口中的字段，以創(chuàng)建托管域：

1. 輸入托管域的 DNS 域名，并注意前面所述的問題。

2. 選擇應在其中創(chuàng)建托管域的 Azure“位置”。 如果選擇支持 Azure 可用性區(qū)域的區(qū)域，則 Azure AD DS 資源會跨區(qū)域分布以實現(xiàn)額外的冗余。

    提示

   可用性區(qū)域是 Azure 區(qū)域中獨特的物理位置。 每個區(qū)域由一個或多個數(shù)據(jù)中心組成，這些數(shù)據(jù)中心配置了獨立電源、冷卻和網(wǎng)絡。 為確保能夠進行復原，所有已啟用的地區(qū)中都必須至少有三個單獨的區(qū)域。

   對于要跨區(qū)域分布 Azure AD DS，無需進行任何配置。 Azure 平臺會自動處理資源的區(qū)域分配。 若要查看區(qū)域可用性的詳細信息，請參閱Azure 中的可用性區(qū)域是什么？

3. SKU 決定性能和備份頻率。 如果業(yè)務需求或要求發(fā)生變化，可以在創(chuàng)建托管域后更改 SKU。 有關詳細信息，請參閱 Azure AD DS SKU 概念。

   對于本教程，請選擇“標準”SKU。

4. 林是 Active Directory 域服務用來對一個或多個域進行分組的邏輯構造。 默認情況下，托管域作為用戶林創(chuàng)建。 此類林可同步 Azure AD 中的所有對象，包括在本地 AD DS 環(huán)境中創(chuàng)建的所有用戶帳戶。

   資源 林僅同步直接在 Azure AD 中創(chuàng)建的用戶和組。 有關資源林的詳細信息，包括為何使用資源林以及如何創(chuàng)建本地 AD DS 域的林信任，請參閱 Azure AD DS 資源林概述。

   對于本教程，請選擇創(chuàng)建用戶林。

   

若要快速創(chuàng)建托管域，可以選擇“查看 + 創(chuàng)建”以接受其他默認的配置選項。 選擇此創(chuàng)建選項時，會配置以下默認設置：

• 創(chuàng)建名為 aadds-vnet 的虛擬網(wǎng)絡，該網(wǎng)絡使用的 IP 地址范圍為 10.0.2.0/24。

• 創(chuàng)建名為 aadds-vnet 的子網(wǎng)，該子網(wǎng)使用的 IP 地址范圍為 10.0.2.0/24。

• 將所有用戶從 Azure AD 同步到托管域。

選擇“查看 + 創(chuàng)建”以接受這些默認的配置選項。

部署托管域

在向導的“摘要”頁上，檢查托管域的配置設置。 可以后退到向導中的任何步驟進行更改。 若要通過這些配置選項采用一致的方式將托管域重新部署到另一 Azure AD 租戶，也可下載用于自動化操作的模板。

1. 若要創(chuàng)建托管域，請選擇“創(chuàng)建”。 系統(tǒng)會顯示一個通知，指出在創(chuàng)建 Azure AD DS 托管域后，某些配置選項（例如 DNS 名稱或虛擬網(wǎng)絡）不能更改。 若要繼續(xù)操作，請選擇“確定”。

2. 預配托管域的過程可能最多需要一小時。 門戶中會顯示一條通知，其中顯示了 Azure AD DS 部署的進度。 選擇該通知可查看部署的詳細進度。

   

3. 此頁面會加載部署過程的更新，包括在目錄中創(chuàng)建新資源。

4. 選擇資源組（例如 myResourceGroup），然后從 Azure 資源列表中選擇托管域，例如 aaddscontoso.com 。 “概述”選項卡顯示了當前“正在部署”的托管域。 在完全預配托管域之前無法對其進行配置。

   

5. 托管域完全預配之后，“概覽” 選項卡會將域狀態(tài)顯示為“正在運行” 。

   

 重要

托管域與 Azure AD 租戶相關聯(lián)。 在預配過程中，Azure AD DS 會在 Azure AD 租戶中創(chuàng)建名為 Domain Controller Services 和 AzureActiveDirectoryDomainControllerServices 的兩個企業(yè)應用程序。 需要這些企業(yè)應用程序來為托管域提供服務。 不要刪除這些應用程序。

更新 Azure 虛擬網(wǎng)絡的 DNS 設置

成功部署 Azure AD DS 后，請配置虛擬網(wǎng)絡，以允許其他連接的 VM 和應用程序使用托管域。 若要提供此連接，請更新虛擬網(wǎng)絡的 DNS 服務器設置，以指向部署托管域的兩個 IP 地址。

1. 托管域的“概述”選項卡顯示了一些“必需的配置步驟”。 第一個配置步驟是更新虛擬網(wǎng)絡的 DNS 服務器設置。 正確配置 DNS 設置后，不再會顯示此步驟。

   列出的地址是在虛擬網(wǎng)絡中使用的域控制器。 在本示例中，這些地址為 10.0.2.4 和 10.0.2.5。 稍后可在“屬性”選項卡上找到這些 IP 地址。

   

2. 若要更新虛擬網(wǎng)絡的 DNS 服務器設置，請選擇“配置”按鈕。 系統(tǒng)會自動為虛擬網(wǎng)絡配置 DNS 設置。

 提示

如果在前面的步驟中選擇了現(xiàn)有的虛擬網(wǎng)絡，連接到該網(wǎng)絡的任何 VM 只會在重啟后才能獲取新的 DNS 設置。 可以使用 Azure 門戶、Azure PowerShell 或 Azure CLI 來重啟 VM。

啟用 Azure AD DS 的用戶帳戶

若要對托管域上的用戶進行身份驗證，Azure AD DS 需要密碼哈希，其格式適用于 NT LAN Manager (NTLM) 和 Kerberos 身份驗證。 除非為租戶啟用了 Azure AD DS，否則 Azure AD 不會以 NTLM 或 Kerberos 身份驗證所需的格式生成或存儲密碼哈希。 出于安全考慮，Azure AD 也不以明文形式存儲任何密碼憑據(jù)。 因此，Azure AD 無法基于用戶的現(xiàn)有憑據(jù)自動生成這些 NTLM 或 Kerberos 密碼哈希。

 備注

經(jīng)過適當?shù)呐渲煤?，可用的密碼哈希將存儲在托管域中。 刪除托管域也會刪除其中存儲的所有密碼哈希。

如果以后創(chuàng)建托管域，Azure AD 中已同步的憑據(jù)信息不可重復使用 - 必須重新配置密碼哈希同步，以再次存儲密碼哈希。 以前加入域的 VM 或用戶無法立即進行身份驗證 - Azure AD 需要在新的托管域中生成并存儲密碼哈希。

[Azure AD DS 不支持 Azure AD Connect 云同步][/azure/active-directory/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync]。 本地用戶需要使用 Azure AD Connect 進行同步，才能訪問已加入域的 VM。 有關詳細信息，請參閱 Azure AD DS 和 Azure AD Connect 的密碼哈希同步過程。

對于在 Azure AD 中創(chuàng)建的僅限云的用戶帳戶而言，生成和存儲這些密碼哈希的步驟不同于使用 Azure AD Connect 從本地目錄同步的用戶帳戶。

僅限云的用戶帳戶是在 Azure AD 目錄中使用 Azure 門戶或 Azure AD PowerShell cmdlet 創(chuàng)建的帳戶。 這些用戶帳戶不是從本地目錄同步的。

本教程使用一個基本的僅限云的用戶帳戶。 有關使用 Azure AD Connect 所需的其他步驟的詳細信息，請參閱將從本地 AD 同步的用戶帳戶的密碼哈希同步到托管域。

 提示

如果 Azure AD 租戶既有僅限云的用戶，又有來自本地 AD 的用戶，則需完成兩組步驟。

對于僅限云的用戶帳戶，用戶必須更改其密碼才能使用 Azure AD DS。 此密碼更改過程會導致在 Azure AD 中生成并存儲用于 Kerberos 和 NTLM 身份驗證的密碼哈希。 在更改密碼之前，帳戶不會從 Azure AD 同步到 Azure AD DS。 對于租戶中所有需要使用 Azure AD DS 的云用戶，可以使其密碼過期，以強制他們在下次登錄時更改密碼，或指示他們手動更改密碼。 對于本教程，我們將手動更改用戶密碼。

只有在 Azure AD 租戶中配置自助式密碼重置后，用戶才能重置其密碼。

若要更改僅限云的用戶的密碼，用戶必須完成以下步驟：

1. 轉到 Azure AD 訪問面板頁 (https://myapps.microsoft.com)。

2. 在右上角選擇自己的姓名，然后從下拉菜單中選擇“個人資料”。

   

3. 在“個人資料”頁上，選擇“更改密碼”。

4. 在“更改密碼”頁上輸入現(xiàn)有（舊）密碼，然后輸入并確認新密碼。

5. 選擇“提交”。

更改密碼后，需要幾分鐘才能在 Azure AD DS 中使用新密碼，并成功登錄已加入托管域的計算機。