Как создать домен для предприятия

Руководство по Создание и настройка управляемого домена доменных служб Azure Active Directory с помощью расширенных параметров конфигурации

Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование протокола LDAP, а также выполнение аутентификации Kerberos или NTLM (полностью поддерживается Windows Server Active Directory). Эти доменные службы можно использовать без необходимости развертывать, администрировать и обновлять контроллеры домена. Azure AD DS интегрируется с существующим клиентом Azure AD. Такая интеграция позволяет пользователям входить в систему с корпоративными учетными данными. При этом вы можете использовать существующие группы и учетные записи пользователей для защиты доступа к ресурсам.

Вы можете создать управляемый домен, используя параметры конфигурации по умолчанию для сетевых подключений и синхронизации, или вручную определить эти параметры. В этом учебнике описано, как определить эти расширенные параметры конфигурации, чтобы создать и настроить управляемый домен Azure AD DS на портале Azure.

В этом руководстве описано следующее:

• настройка параметров DNS и виртуальной сети для управляемого домена;
• Создание управляемого домена
• Добавление пользователей с правами администратора в службу управления доменами
• Включение синхронизации хэшированных паролей

Если у вас еще нет подписки Azure, создайте учетную запись Azure, прежде чем начинать работу.

Предварительные требования

Для работы с этим учебником требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Связанный с вашей подпиской клиент Azure Active Directory, синхронизированный с локальным или облачным каталогом.
  • Если потребуется, создайте клиент Azure Active Directory или свяжите подписку Azure со своей учетной записью.
• Привилегии глобального администратора для клиента Azure AD, чтобы включить доменные службы Azure AD.
• Для создания нужных ресурсов Azure AD DS требуются привилегии участника в подписке Azure.

Хотя это и не обязательно для Azure AD DS, рекомендуем настроить самостоятельный сброс пароля (SSPR) для клиента Azure AD. Пользователи могут менять свой пароль без SSPR. Однако SSPR помогает в случае, если они забыли пароль и им нужно сбросить его.

После создания управляемого домена вы не сможете переместить его в другую группу ресурсов, виртуальную сеть, подписку и т. д. Выберите наиболее подходящую подписку, группу ресурсов, регион и виртуальную сеть при развертывании управляемого домена.

Вход на портал Azure

При работе с этим учебником вы создадите и настроите управляемый домен с помощью портала Azure. Чтобы начать работу, войдите на портал Azure.

Создание управляемого домена и настройка основных параметров

Чтобы запустить мастер включения доменных служб Azure AD, выполните указанные ниже действия.

1. На домашней странице или в меню портала Azure выберите Создать ресурс.
2. В строке поиска введите Доменные службы и выберите Доменные службы Azure AD в списке вариантов.
3. На странице «Доменные службы Azure AD» щелкните Создать. Запустится мастер включения доменных служб Azure AD.
4. Выберите подписку Azure, в которой следует создать управляемый домен.
5. Выберите группу ресурсов, к которой должен относиться управляемый домен. Щелкните Создать или выберите существующую группу ресурсов.

При создании управляемого домена нужно указать имя DNS. При выборе имени DNS следует учитывать ряд рекомендаций.

• Встроенное доменное имя. По умолчанию используется стандартное доменное имя каталога (с суффиксом .onmicrosoft.com). Если вы хотите разрешить для управляемого домена доступ по защищенному протоколу LDAP, вы не сможете создать цифровой сертификат для защиты подключения к домену по умолчанию. Домен onmicrosoft.com принадлежит корпорации Майкрософт, поэтому центр сертификации не будет выдавать для него сертификаты.
• Имена личных доменов. Популярный подход заключается в том, чтобы указать имя личного домена. Обычно оно принадлежит вашей организации и поддерживает маршрутизацию. При использовании личного домена с поддержкой маршрутизации трафик можно передавать так, нужно приложениям.
• Суффиксы доменов, не поддерживающие маршрутизацию. Обычно мы рекомендуем не использовать суффиксы доменных имен, не поддерживающие маршрутизацию, такие как contoso.local. Суффикс .local не маршрутизируется и его использование может привести к ошибкам при разрешении имен DNS.

Если вы создаете личное доменное имя, важно не допускать конфликтов с существующими пространствами имен DNS. Рекомендуется использовать доменное имя отдельно от существующего локального пространства имен DNS или пространства имен DNS от Azure.

Например, если вы используете существующее пространство имен DNS contoso.com, создайте управляемый домен с именем личного домена aaddscontoso.com. Если вам нужно использовать защищенный протокол LDAP, необходимо зарегистрировать и присвоить это имя личного домена, чтобы создать необходимые сертификаты.

Возможно, вам потребуется создать дополнительные записи DNS для других служб в среде или условные серверы переадресации DNS между существующими пространствами имен DNS в вашей среде. Например, если корневое имя DNS используется в качестве адреса сайта, размещенного на веб-сервере, могут возникнуть конфликты имен, для устранения которых потребуются дополнительные записи DNS.

В этих руководствах и инструкциях в качестве примера используется личный домен aaddscontoso.com. Используйте во всех командах собственное доменное имя.

Также применимы следующие ограничения в отношении DNS:

• Ограничения для префикса домена. Невозможно создать управляемый домен с префиксом длиннее 15 символов. Длина указанного префикса доменного имени (например, aaddscontoso в доменном имени aaddscontoso.com) не должна превышать 15 символов.
• Конфликты сетевых имен. Нельзя использовать для управляемого домена имя DNS, которое уже существует в виртуальной сети. В частности, к конфликту имен приведут следующие сценарии:
  • Если в виртуальной сети уже существует домен Active Directory с таким же доменным именем DNS.
  • Если для виртуальной сети, в которой планируется использовать управляемый домен, установлено VPN-подключение к локальной сети. в этом случае необходимо убедиться в том, что в локальной сети нет домена с таким же DNS-именем домена;
  • Если в виртуальной сети Azure существует облачная служба Azure с таким же именем.

Заполните поля в окне Основные данные на портале Azure, чтобы создать управляемый домен:

Введите доменное имя DNS для управляемого домена, учитывая описанные выше ограничения.

Выберите расположение Azure, в котором необходимо создать управляемый домен. Если вы выбрали регион, который поддерживает зоны доступности, ресурсы Azure AD DS распределяются между зонами для дополнительной избыточности.

Зоны доступности — уникальные физические расположения в пределах одного региона Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оснащенных независимыми системами электроснабжения, охлаждения и сетевого взаимодействия. Чтобы обеспечить устойчивость, во всех включенных областях используются минимум три отдельные зоны.

Вы не можете настроить распределение Azure AD DS между зонами. Платформа Azure автоматически обрабатывает распределение ресурсов зоны. Дополнительные сведения о зонах доступности и регионах см. в статье Что такое зоны доступности в Azure?.

SKU определяет производительность, частоту резервного копирования и максимальное число отношений доверия, которые можно создать для лесов. Если коммерческие или другие требования изменятся, SKU можно будет изменить после создания управляемого домена. Дополнительные сведения см. в статье об основных понятиях SKU Azure AD DS.

Для работы с этим руководством выберите SKU категории Стандартный.

Лес — это логическая конструкция, используемая доменными службами Active Directory для группирования одного или нескольких доменов. По умолчанию управляемый домен создается как лес объектов User. Лес этого типа синхронизирует все объекты из Azure AD, включая учетные записи пользователей, созданные в локальной среде AD DS.

Лес ресурсов синхронизирует только пользователей и группы, созданные непосредственно в Azure AD. Хэши паролей для локальных пользователей не синхронизируются с управляемым доменом при создании леса ресурсов. Дополнительные сведения о лесах ресурсов, в том числе об их предназначении и о создании доверия между лесами и локальными доменами AD DS, см. в этой статье.

Для работы с этим учебником создайте лес пользователей.

Чтобы вручную настроить дополнительные параметры, выберите Далее — Сетевые подключения. В противном случае выберите Просмотр и создание, чтобы принять параметры конфигурации по умолчанию, а затем перейдите к разделу Развертывание управляемого домена. При выборе этого параметра создания настраиваются следующие значения по умолчанию:

• Создается виртуальная сеть с именем aadds-vnet, которая использует диапазон IP-адресов 10.0.1.0/24.
• Создается подсеть с именем aadds-vnet, которая использует диапазон IP-адресов 10.0.1.0/24.
• Синхронизируются все пользователи из Azure AD в управляемый домен.

Создание и настройка виртуальной сети.

Чтобы настроить подключение, требуются виртуальная сеть Azure и выделенная подсеть. Службы Azure AD DS включены в этой подсети виртуальной сети. В этом руководстве описано, как создать виртуальную сеть, но вместо этого можно использовать уже существующую. В любом случае вам нужно создать выделенную подсеть для Azure AD DS.

При использовании выделенной виртуальной сети необходимо учитывать следующее:

• В подсети должны быть доступными не менее 3–5 свободных IP-адресов для ресурсов Azure AD DS.
• Не выбирайте подсеть Gateway для развертывания Azure AD DS. Развертывание Azure AD DS в подсети шлюза не поддерживается.
• Не развертывайте другие виртуальные машины в этой подсети. Приложения и виртуальные машины часто используют группы безопасности сети для защиты подключения. Выполнение рабочих нагрузок в отдельной подсети позволяет применять группы безопасности сети, не влияя на подключение к управляемому домену.
• После включения Azure AD DS переместить управляемый домен в другую виртуальную сеть нельзя.

См. сведения о проектировании и настройке виртуальной сети в рекомендациях по использованию сетей для доменных служб Azure AD.

Заполните поля в окне Сеть, как описано ниже.

На странице Сеть выберите виртуальную сеть, в которую будет развертываться Azure AD DS, в раскрывающемся меню или выберите Создать.

1. При создании виртуальной сети введите ее имя, например myVnet, и укажите диапазон адресов, например 10.0.1.0/24.
2. Создайте выделенную подсеть с понятным именем, например DomainServices. Укажите диапазон адресов, например 10.0.1.0/24.

Выбранное адресное пространство должно входить в пространство частных IP-адресов. Использование не принадлежащих вам IP-адресов из пространства общедоступных адресов приведет к сбоям в работе доменных служб Azure AD.

Выберите подсеть виртуальной сети, например DomainServices.

Когда все будет готово, выберите Далее — Администрирование.

Настройка административной группы

Для управления доменом Azure AD DS используется специальная административная группа с именем Администраторы AAD DC. Участникам этой группы предоставляются разрешения администратора на виртуальных машинах, присоединенных к управляемому домену. На виртуальных машинах, присоединенных к домену, эта группа добавляется в группу локальных администраторов. Участники этой группы могут подключаться по протоколу удаленного рабочего стола к виртуальным машинам, присоединенным к домену.

При работе с Azure AD DS вы не получаете разрешения администратора домена или администратора предприятия для управляемого домена. Эти разрешения зарезервированы службой и не предоставляются для пользователей в клиенте.

Вместо этого для некоторых операций с повышенным уровнем доступа можно применять группу Администраторы AAD DC. Сюда относятся вхождение в группу администраторов на виртуальных машинах, присоединенных к домену, и настройка групповой политики.

Мастер автоматически создает группу Администраторы AAD DC в каталоге Azure AD. Если у вас уже есть группа с таким именем в каталоге Azure AD, мастер выберет ее. При желании вы можете добавить других пользователей в группу Администраторы AAD DC в ходе развертывания. Эти действия можно выполнить и позже.

Чтобы добавить пользователей в группу Администраторы AAD DC щелкните Управление членством в группах.

Щелкните Добавить участников, а затем найдите и добавьте пользователей из каталога Azure AD. Например, найдите и добавьте собственную учетную запись в группу Администраторы AAD DC.

При необходимости измените или добавьте дополнительных получателей уведомлений при наличии оповещений в управляемом домене, требующих внимания.

Когда все будет готово, выберите Далее — Синхронизация.

Настройка синхронизации

Службы Azure AD DS позволяют синхронизировать всех пользователей и все группы, которые доступны в Azure AD, или только определенные группы. Вы можете изменить область синхронизации сейчас или после развертывания управляемого домена. Дополнительные сведения см. в разделе Настройка синхронизации с заданной областью из Azure AD в Azure Active Directory доменных служб с помощью портал Azure.

Для нашего примера выберите синхронизацию всех пользователей и групп. Этот вариант синхронизации используется по умолчанию.

Выберите Review + create (Просмотреть и создать).

Развертывание управляемого домена

На странице Сводка в мастере просмотрите параметры конфигурации для своего управляемого домена. Вы всегда можете вернуться к любому шагу мастера и внести изменения. Чтобы согласованно повторно развернуть управляемый домен в другой клиент Azure AD с помощью этих же параметров конфигурации, можно также выполнить действие Скачать шаблон для автоматизации.

Чтобы создать управляемый домен, щелкните Создать. Отобразится примечание о том, что некоторые параметры конфигурации, такие как DNS-имя или виртуальная сеть, нельзя изменить после создания управляемого домена Azure AD DS. Чтобы продолжить, нажмите кнопку ОК.

Процесс подготовки управляемого домена может занять до одного часа. На портале отображается уведомление, которое демонстрирует ход выполнения развертывания Azure AD DS. Щелкните это уведомление, чтобы просмотреть подробное описание процесса развертывания.

Выберите группу ресурсов, например myResourceGroup, а затем выберите в списке ресурсов Azure управляемый домен, например aaddscontoso.com. На вкладке Обзор можно увидеть, что сейчас выполняется развертывание управляемого домена. Настроить управляемый домен можно только после его полной подготовки.

После полной подготовки управляемого домена на вкладке Обзор состояние домена отображается как Выполняется.

Управляемый домен связан с вашим клиентом Azure AD. В процессе подготовки Azure AD DS создает в вашем клиенте Azure AD два корпоративных приложения с именами Domain Controller Services и AzureActiveDirectoryDomainControllerServices. Эти корпоративные приложения нужны для обслуживания управляемого домена. Не удаляйте эти приложения.

Обновление настроек DNS для виртуальной сети Azure

После успешного развертывания Azure AD DS следует настроить виртуальную сеть, чтобы другие подключенные виртуальные машины и приложения могли использовать управляемый домен. Чтобы создать такое подключение, измените параметры DNS-сервера для виртуальной сети, указав IP-адреса развертывания управляемого домена.

На вкладке Обзор для управляемого домена отображаются некоторые требуемые шаги конфигурации. Первый из них — обновление параметров DNS-сервера для виртуальной сети. После правильной настройки параметров DNS этот шаг исчезает из списка.

Указанные здесь адреса принадлежат контроллерам домена для использования в виртуальной сети. В нашем примере это адреса 10.0.1.4 и 10.0.1.5. Эти IP-адреса вы можете найти на вкладке Свойства.

Щелкните Настроить, чтобы обновить параметры DNS-сервера для виртуальной сети. Параметры DNS автоматически настраиваются для виртуальной сети.

Если на предыдущих шагах вы выбрали существующую виртуальную сеть, все виртуальные машины в этой сети получат новые параметры DNS только после перезапуска. Виртуальные машины можно перезапустить с помощью портала Azure, Azure CLI или Azure PowerShell.

Включение учетных записей пользователей для Azure AD DS

Чтобы выполнять аутентификацию пользователей в управляемом домене, Azure AD DS использует хэши паролей в формате, требуемом для аутентификации NTLM и Kerberos. Пока вы не включите Azure AD DS для клиента, Azure AD не будет создавать и хранить хэши паролей в формате, требуемом для аутентификации NTLM или Kerberos. Из соображений безопасности Azure AD никогда не хранит пароли в виде открытого текста. Поэтому Azure AD не может автоматически создать хэши паролей в формате NTLM или Kerberos по уже существующим учетным данным пользователей.

После настройки хэши паролей в требуемом формате сохраняются в управляемом домене. Если вы удалите управляемый домен, вместе с ним будут удалены все сохраненные хэши паролей.

Синхронизированные в Azure AD учетные данные нельзя использовать повторно, если вы снова создадите управляемый домен. Вам придется повторно настраивать синхронизацию хэшей паролей, чтобы сохранить их. Ранее присоединенные к домену виртуальные машины и пользователи не смогут сразу выполнить аутентификацию, пока Azure AD не создаст и не сохранит хэши паролей в новом управляемом домене.

Этапы создания и сохранения хэшей паролей будут разными для облачных учетных записей, созданных в Azure AD, и учетных записей, синхронизируемых из локального каталога с помощью Azure AD Connect.

Облачная учетная запись пользователей — это учетная запись, созданная в каталоге Azure AD с помощью портала Azure или командлетов Azure AD PowerShell. Такие учетные записи пользователей не синхронизируются из локального каталога.

В этом руководстве мы будем использовать простой вариант облачной учетной записи. Дополнительные шаги, которые потребуются для использования Azure AD Connect, см. в руководстве по синхронизации хэшей паролей для учетных записей пользователей, синхронизируемых из локального каталога Azure AD в управляемый домен.

Если клиент Azure AD содержит и пользователей в облаке, и пользователей из локального каталога Azure AD, необходимо выполнить оба блока действий.

При использовании облачных учетных записей пользователям нужно сменить пароль, чтобы получить доступ к Azure AD DS. При смене пароля хэши паролей автоматически создаются и сохраняются в Azure AD для аутентификации Kerberos и NTLM. Данные об учетной записи не синхронизируются из Azure AD в Azure AD DS, пока пароль не будет изменен. Вы можете принудительно завершить срок действия паролей для всех пользователей облака в арендаторе, использующем Azure AD DS, что приведет к изменению пароля при следующем входе, или сообщите пользователям облака о необходимости изменить свои пароли вручную. В этом руководстве описано, как изменить пароль пользователя вручную.

Чтобы пользователь мог сменить свой пароль, для клиента Azure AD должна быть включена функция самостоятельного сброса пароля.

Чтобы изменить пароль для облачного пользователя, выполните от его имени следующие действия:

Откройте Панель доступа Azure AD по адресу https://myapps.microsoft.com.

Вверху справа щелкните имя и выберите Профиль в раскрывающемся меню.

На странице Профиль щелкните Изменить пароль.

На странице Изменение пароля введите существующий (старый) пароль, а затем введите и подтвердите новый пароль.

Нажмите кнопку Submit (Отправить).

Новый пароль становится работоспособным в Azure AD DS через несколько минут после изменения, позволяя выполнять вход на компьютеры, которые объединены в управляемый домен.

Дальнейшие действия

В этом руководстве вы узнали, как выполнять следующие задачи:

• настройка параметров DNS и виртуальной сети для управляемого домена;
• Создание управляемого домена
• Добавление пользователей с правами администратора в службу управления доменами
• Включение учетных записей пользователей для Azure AD DS и создание хэшей паролей

Чтобы увидеть, как работает управляемый домен, создайте виртуальную машину и присоедините ее к домену.

Источник