Samouczek: dołączanie maszyny wirtualnej z systemem Windows Server do domeny zarządzanej usług Microsoft Entra Domain Services

Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Dzięki domenie zarządzanej usług Domain Services można udostępniać funkcje przyłączania do domeny i zarządzanie maszynami wirtualnymi na platformie Azure. W tym samouczku pokazano, jak utworzyć maszynę wirtualną z systemem Windows Server, a następnie dołączyć ją do domeny zarządzanej.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawca firmy Microsoft Entra skojarzony z twoją subskrypcją może być zsynchronizowany z katalogiem lokalnym (on-premises) lub katalogiem wyłącznie w chmurze (cloud-only).
  • W razie potrzeby utwórz dzierżawcę Microsoft Entra lub skojarz subskrypcję Azure z twoim kontem.
• Domena zarządzana Microsoft Entra Domain Services, włączona i skonfigurowana w dzierżawie Microsoft Entra.
  • W razie potrzeby utwórz i skonfiguruj domenę zarządzaną usług Microsoft Entra Domain Services.
• Konto użytkownika będące częścią domeny zarządzanej.
  • Upewnij się, że synchronizacja skrótów haseł programu Microsoft Entra Connect lub samoobsługowe resetowanie haseł została wykonana, aby konto mogło zalogować się do domeny zarządzanej.
• Host usługi Azure Bastion wdrożony w sieci wirtualnej usług Domain Services.
  • W razie potrzeby utwórz hosta usługi Azure Bastion.

Jeśli masz już maszynę wirtualną, którą chcesz przyłączyć do domeny, przejdź do sekcji , aby dołączyć maszynę wirtualną do domeny zarządzanej.

Zaloguj się do centrum administracyjnego usługi Microsoft Entra

W tym samouczku utworzysz maszynę wirtualną z systemem Windows Server, aby dołączyć do domeny zarządzanej przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.

Tworzenie maszyny wirtualnej z systemem Windows Server

Aby zobaczyć, jak dołączyć komputer do domeny zarządzanej, utwórzmy maszynę wirtualną z systemem Windows Server. Ta maszyna wirtualna jest połączona z siecią wirtualną platformy Azure, która zapewnia łączność z domeną zarządzaną. Proces dołączania do zarządzanej domeny jest taki sam jak dołączanie do regularnej domeny usługi Active Directory Domain Services na miejscu.

Jeśli masz już maszynę wirtualną, którą chcesz przyłączyć do domeny, przejdź do sekcji , aby dołączyć maszynę wirtualną do domeny zarządzanej.

1. W menu centrum administracyjnym firmy Microsoft Entra lub na stronie głównej wybierz pozycję Utwórz zasób.

2. Poniżej maszyny wirtualnej kliknij Utwórz.

3. W oknie Podstawowe skonfiguruj te ustawienia dla maszyny wirtualnej. Użyj wartości domyślnych dla innych opcji.

   Parametr	Sugerowana wartość
   Grupa zasobów	Wybierz lub utwórz grupę zasobów, taką jak myResourceGroup
   Nazwa maszyny wirtualnej	Wprowadź nazwę maszyny wirtualnej, na przykład myVM
   Region	Wybierz region, w którym chcesz utworzyć maszynę wirtualną, na przykład Wschodnie stany USA
   Obraz	Wybieranie wersji systemu Windows Server
   Username	Wprowadź nazwę użytkownika konta administratora lokalnego do utworzenia na maszynie wirtualnej, na przykład azureuser
   Hasło	Wprowadź, a następnie potwierdź bezpieczne hasło administratora lokalnego do utworzenia na maszynie wirtualnej. Nie należy określać poświadczeń konta użytkownika domeny. System Windows LAPS nie jest obsługiwany.

4. Domyślnie maszyny wirtualne utworzone na platformie Azure są dostępne z Internetu przy użyciu protokołu RDP. Po włączeniu protokołu RDP prawdopodobnie wystąpią automatyczne ataki związane z logowaniem, co może spowodować wyłączenie kont o typowych nazwach, takich jak administrator lub administrator z powodu wielu nieudanych kolejnych prób logowania.

   Protokół RDP powinien być włączony tylko w razie potrzeby i ograniczony do zestawu autoryzowanych zakresów adresów IP. Ta konfiguracja pomaga zwiększyć bezpieczeństwo maszyny wirtualnej i zmniejszyć obszar potencjalnego ataku. Możesz też utworzyć hosta usługi Azure Bastion i użyć go, który zezwala na dostęp tylko za pośrednictwem centrum administracyjnego firmy Microsoft za pośrednictwem protokołu TLS. W następnym kroku tego samouczka użyjesz hosta usługi Azure Bastion, aby bezpiecznie nawiązać połączenie z maszyną wirtualną.

   W obszarze Publiczne porty przychodzące wybierz Brak.

5. Po zakończeniu wybierz pozycję Dalej: Dyski.

6. Z menu rozwijanego dla typu dysku systemu operacyjnego wybierz Standard SSD, a następnie wybierz Dalej: Sieć.

7. Maszyna wirtualna musi nawiązać połączenie z podsiecią sieci wirtualnej platformy Azure, która może komunikować się z podsiecią, w ramach którego jest wdrażana domena zarządzana. Zalecamy wdrożenie domeny zarządzanej we własnej dedykowanej podsieci. Nie wdrażaj maszyny wirtualnej w tej samej podsieci co domena zarządzana.

   Istnieją dwa główne sposoby wdrażania maszyny wirtualnej i nawiązywania połączenia z odpowiednią podsiecią sieci wirtualnej:

   • Utwórz nową podsieć lub wybierz istniejącą w tej samej sieci wirtualnej, w której wdrożona jest domena zarządzana.
   • Wybierz podsieć w wirtualnej sieci platformy Azure, która jest z nią połączona przy użyciu połączenia równorzędnego sieci wirtualnych platformy Azure.

   Jeśli wybierzesz podsieć sieci wirtualnej, która nie jest połączona z podsiecią domeny zarządzanej, nie będzie można dołączyć maszyny wirtualnej do domeny zarządzanej. W tym poradniku utworzymy nową podsieć w sieci wirtualnej Azure.

   W okienku Sieć wybierz sieć wirtualną, w której wdrożono domenę zarządzaną, na przykład aaads-vnet

8. W tym przykładzie pokazano istniejącą podsieć aaads-subnet, do której jest podłączona domena zarządzana. Nie należy łączyć maszyny wirtualnej z tą podsiecią. Aby utworzyć podsieć dla maszyny wirtualnej, wybierz pozycję Zarządzaj konfiguracją podsieci.

   

9. W menu po lewej stronie okna sieci wirtualnej wybierz pozycję Przestrzeń adresowa. Sieć wirtualna jest tworzona z jedną przestrzenią adresową 10.0.2.0/24, która jest używana przez domyślną podsieć. Inne podsieci, takie jak dla zadań lub usługi Azure Bastion, również mogą już istnieć.

   Dodaj dodatkowy zakres adresów IP do sieci wirtualnej. Rozmiar tego zakresu adresów i rzeczywisty zakres adresów IP do użycia zależy od innych już wdrożonych zasobów sieciowych. Zakres adresów IP nie powinien pokrywać się z żadnymi istniejącymi zakresami adresów na platformie Azure ani w środowisku lokalnym. Upewnij się, że rozmiar zakresu adresów IP jest wystarczająco duży dla liczby maszyn wirtualnych, które mają zostać wdrożone w podsieci.

   W poniższym przykładzie zostanie dodany dodatkowy zakres adresów IP 10.0.5.0/24 . Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

   

10. Następnie w menu po lewej stronie okna sieci wirtualnej wybierz pozycję Podsieci, a następnie wybierz pozycję + Podsieć, aby dodać podsieć.

11. Wybierz pozycję + Podsieć, a następnie wprowadź nazwę podsieci, taką jak zarządzanie. Podaj zakres adresów (blok CIDR), taki jak 10.0.5.0/24. Upewnij się, że ten zakres adresów IP nie nakłada się na żadną inną istniejącą platformę Azure ani zakresy adresów lokalnych. Pozostaw inne opcje jako wartości domyślne, a następnie wybierz przycisk OK.

    

12. Utworzenie podsieci trwa kilka sekund. Po utworzeniu wybierz X, aby zamknąć okno podsieci.

13. Wróć do okienka Sieć , aby utworzyć maszynę wirtualną, wybierz podsieć utworzoną z menu rozwijanego, na przykład zarządzanie. Ponownie upewnij się, że wybrano poprawną podsieć i nie wdrażaj maszyny wirtualnej w tej samej podsieci co domena zarządzana.

14. W obszarze Publiczny adres IP wybierz pozycję Brak z menu rozwijanego. W przypadku używania usługi Azure Bastion w tym samouczku do nawiązywania połączenia z zarządzaniem nie potrzebujesz publicznego adresu IP przypisanego do maszyny wirtualnej.

15. Pozostaw inne opcje jako wartości domyślne, a następnie wybierz pozycję Zarządzanie.

16. Ustaw Diagnostykę rozruchu na Wyłączone. Pozostaw inne opcje jako wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

17. Przejrzyj ustawienia maszyny wirtualnej, a następnie wybierz pozycję Utwórz.

Utworzenie maszyny wirtualnej trwa kilka minut. Centrum administracyjne firmy Microsoft Entra pokazuje stan wdrożenia. Gdy maszyna wirtualna będzie gotowa, wybierz pozycję Przejdź do zasobu.

Nawiązywanie połączenia z maszyną wirtualną z systemem Windows Server

Aby bezpiecznie nawiązać połączenie z maszynami wirtualnymi, użyj hosta usługi Azure Bastion. W usłudze Azure Bastion zarządzany host jest wdrażany w sieci wirtualnej i zapewnia internetowe połączenia RDP lub SSH z maszynami wirtualnymi. Dla maszyn wirtualnych nie są wymagane żadne publiczne adresy IP i nie trzeba otwierać reguł sieciowej grupy zabezpieczeń dla ruchu zdalnego zewnętrznego. Nawiąż połączenie z maszynami wirtualnymi przy użyciu centrum administracyjnego firmy Microsoft Entra w przeglądarce internetowej. W razie potrzeby utwórz hosta usługi Azure Bastion.

Aby nawiązać połączenie z maszyną wirtualną przy użyciu hosta usługi Bastion, wykonaj następujące kroki:

1. W okienku Przegląd maszyny wirtualnej wybierz Połącz, a następnie Bastion.

   

2. Wprowadź poświadczenia maszyny wirtualnej określonej w poprzedniej sekcji, a następnie wybierz pozycję Połącz.

   

Jeśli to konieczne, zezwól przeglądarce internetowej na otwieranie wyskakujących okienek, aby wyświetlić połączenie z usługą Bastion. Nawiązanie połączenia z maszyną wirtualną zajmuje kilka sekund.

Przyłącz maszynę wirtualną do domeny zarządzanej

Po utworzeniu maszyny wirtualnej i nawiązaniu internetowego połączenia RDP przy użyciu usługi Azure Bastion dołączmy teraz maszynę wirtualną z systemem Windows Server do domeny zarządzanej. Ten proces jest taki sam jak w przypadku komputera łączącego się ze zwykłą lokalną usługą Active Directory Domain Services.

1. Jeśli Menedżer serwera nie jest domyślnie otwierana podczas logowania się do maszyny wirtualnej, wybierz menu Start, a następnie wybierz pozycję Menedżer serwera.

2. W lewym okienku okna Menedżer serwera wybierz pozycję Serwer lokalny. W obszarze Właściwości w okienku po prawej stronie wybierz pozycję Grupa robocza.

   

3. W oknie Właściwości systemu wybierz pozycję Zmień, aby dołączyć do domeny zarządzanej.

   

4. W polu Domena określ nazwę domeny zarządzanej, taką jak aaddscontoso.com, a następnie wybierz przycisk OK.

   

5. Wprowadź poświadczenia domeny, aby przyłączyć się do domeny. Podaj poświadczenia dla użytkownika będącego częścią domeny zarządzanej. Konto musi należeć do zarządzanej domeny lub dzierżawy Microsoft Entra – konta z zewnętrznych katalogów powiązanych z dzierżawą Microsoft Entra nie mogą poprawnie uwierzytelniać się podczas procesu łączenia z domeną.

   Poświadczenia konta można określić na jeden z następujących sposobów:

   • Format UPN (zalecany) — wprowadź sufiks głównej nazwy użytkownika (UPN) dla konta użytkownika zgodnie z konfiguracją w Microsoft Entra ID. Na przykład sufiks nazwy UPN użytkownika contosoadmin to contosoadmin@aaddscontoso.onmicrosoft.com. Istnieje kilka typowych przypadków użycia, w których można niezawodnie używać formatu UPN do logowania się do domeny zamiast formatu SAMAccountName.
     • Jeśli prefiks nazwy UPN użytkownika jest długi, taki jak deehasareallylongname, nazwa SAMAccountName może zostać wygenerowana automatycznie.
     • Jeśli wielu użytkowników ma ten sam prefiks UPN w środowisku Microsoft Entra, na przykład dee, ich format SAMAccountName może zostać wygenerowany automatycznie.
   • Format SAMAccountName - wprowadź nazwę konta w formacie SAMAccountName. Na przykład nazwa SAMAccountName użytkownika contosoadmin to AADDSCONTOSO\contosoadmin.

6. Dołączenie do domeny zarządzanej trwa kilka sekund. Po zakończeniu wyświetli się następujący komunikat powitalny dotyczący domeny.

   

   Naciśnij OK, aby kontynuować.

7. Aby ukończyć proces dołączania do domeny zarządzanej, uruchom ponownie maszynę wirtualną.

Po ponownym uruchomieniu maszyny wirtualnej z systemem Windows Server wszystkie zasady zastosowane w domenie zarządzanej są wypychane do maszyny wirtualnej. Teraz możesz również zalogować się do maszyny wirtualnej z systemem Windows Server przy użyciu odpowiednich poświadczeń domeny.

Czyszczenie zasobów

W następnym samouczku użyjesz tej maszyny wirtualnej z systemem Windows Server do zainstalowania narzędzi do zarządzania, które umożliwiają administrowanie domeną zarządzaną. Jeśli nie chcesz kontynuować pracy z tej serii samouczków, zapoznaj się z poniższymi krokami czyszczenia, aby usunąć maszynę wirtualną. W przeciwnym razie przejdź do następnego samouczka.

Odłącz maszynę wirtualną od domeny zarządzanej

Aby usunąć maszynę wirtualną z domeny zarządzanej, wykonaj ponownie kroki, aby dołączyć maszynę wirtualną do domeny. Zamiast dołączać do domeny zarządzanej, wybierz opcję dołączenia do grupy roboczej, takiej jak domyślna grupa ROBOCZA. Po ponownym uruchomieniu maszyny wirtualnej obiekt komputera zostanie usunięty z domeny zarządzanej.

Jeśli usuniesz maszynę wirtualną bez odłączenia się od domeny, w usługach domenowych pozostanie oddzielony obiekt komputera.

Usuwanie maszyny wirtualnej

Jeśli nie używasz tej maszyny wirtualnej z systemem Windows Server, usuń maszynę wirtualną, wykonując następujące kroki:

1. W menu po lewej stronie wybierz pozycję Grupy zasobów
2. Wybierz grupę zasobów, taką jak myResourceGroup.
3. Wybierz maszynę wirtualną, taką jak myVM, a następnie wybierz pozycję Usuń. Wybierz pozycję Tak , aby potwierdzić usunięcie zasobu. Usunięcie maszyny wirtualnej może potrwać kilka minut.
4. Po usunięciu maszyny wirtualnej wybierz dysk systemu operacyjnego, kartę interfejsu sieciowego i wszystkie inne zasoby z prefiksem myVM i usuń je.

Rozwiązywanie problemów z przyłączaniami do domeny

Maszyna wirtualna z systemem Windows Server powinna pomyślnie dołączyć do domeny zarządzanej, tak samo jak zwykły komputer stacjonarny dołączyłby do domeny Active Directory Domain Services. Jeśli maszyna wirtualna z systemem Windows Server nie może dołączyć do domeny zarządzanej, oznacza to, że występuje problem związany z łącznością lub poświadczeniami. Przejrzyj następujące sekcje rozwiązywania problemów, aby pomyślnie dołączyć domenę zarządzaną.

Problemy z połączeniem

Jeśli nie zostanie wyświetlony monit z prośbą o dołączenie poświadczeń do domeny, wystąpi problem z łącznością. Maszyna wirtualna nie może nawiązać połączenia z domeną zarządzaną w sieci wirtualnej.

Po wypróbowaniu każdego z tych kroków rozwiązywania problemów spróbuj ponownie dołączyć maszynę wirtualną z systemem Windows Server do domeny zarządzanej.

• Sprawdź, czy maszyna wirtualna jest połączona z tą samą siecią wirtualną, w którą włączono usługi Domain Services, lub ma równorzędne połączenie sieciowe.
• Spróbuj wysłać polecenie ping do nazwy domeny DNS domeny zarządzanej, takiej jak ping aaddscontoso.com.
  • Jeśli żądanie ping nie powiedzie się, spróbuj wysłać polecenie ping do adresów IP domeny zarządzanej, na przykład ping 10.0.0.4. Adres IP środowiska jest wyświetlany na stronie Właściwości po wybraniu domeny zarządzanej z listy zasobów platformy Azure.
  • Jeśli możesz wysłać polecenie ping do adresu IP, ale nie domeny, usługa DNS może być niepoprawnie skonfigurowana. Upewnij się, że adresy IP domeny zarządzanej są skonfigurowane jako serwery DNS dla sieci wirtualnej.
• Spróbuj opróżnić pamięć podręczną programu rozpoznawania nazw DNS na maszynie wirtualnej przy użyciu ipconfig /flushdns polecenia .

Problemy związane z poświadczeniami

Jeśli zostanie wyświetlony monit z prośbą o dołączenie poświadczeń do domeny, ale po wprowadzeniu tych poświadczeń zostanie wyświetlony błąd, maszyna wirtualna może nawiązać połączenie z domeną zarządzaną. Podane poświadczenia nie pozwalają następnie maszynie wirtualnej dołączyć do domeny zarządzanej.

Po wypróbowaniu każdego z tych kroków rozwiązywania problemów spróbuj ponownie dołączyć maszynę wirtualną z systemem Windows Server do domeny zarządzanej.

• Upewnij się, że określone konto użytkownika należy do domeny zarządzanej.
• Upewnij się, że konto jest częścią domeny zarządzanej lub dzierżawcy firmy Microsoft Entra. Konta z katalogów zewnętrznych skojarzonych z dzierżawą firmy Microsoft Entra nie mogą poprawnie uwierzytelniać się podczas procesu przyłączania do domeny.
• Spróbuj użyć formatu UPN, aby określić poświadczenia, takie jak contosoadmin@aaddscontoso.onmicrosoft.com. Jeśli w twoim dzierżawcy istnieje wielu użytkowników z tym samym prefiksem UPN lub jeśli prefiks UPN jest zbyt długi, nazwa SAMAccountName dla konta może zostać automatycznie wygenerowana. W takich przypadkach format SAMAccountName dla twojego konta może być inny niż oczekiwany lub używany w domenie lokalnej.
• Sprawdź, czy włączono synchronizację haseł w domenie zarządzanej. Bez tego kroku konfiguracji wymagane skróty haseł nie będą obecne w domenie zarządzanej w celu poprawnego uwierzytelnienia próby logowania.
• Poczekaj na ukończenie synchronizacji haseł. Po zmianie hasła konta użytkownika automatyczna synchronizacja w tle z identyfikatora Entra firmy Microsoft aktualizuje hasło w usługach Domain Services. Udostępnienie hasła do użycia przy przyłączeniu do domeny zajmuje trochę czasu.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

Aby administrować domeną zarządzaną, skonfiguruj maszynę wirtualną zarządzania przy użyciu Centrum administracyjnego usługi Active Directory (ADAC).