Kurz: Vytvoření obousměrného vztahu důvěryhodnosti doménové struktury ve službě Microsoft Entra Domain Services s místní doménou
Mezi službami Microsoft Entra Domain Services a místními prostředími AD DS můžete vytvořit vztah důvěryhodnosti doménové struktury. Vztah důvěryhodnosti doménové struktury umožňuje uživatelům, aplikacím a počítačům ověřovat se v místní doméně ze spravované domény Domain Services. Vztah důvěryhodnosti doménové struktury může uživatelům pomoct přistupovat k prostředkům ve scénářích, jako jsou:
- Prostředí, kde nemůžete synchronizovat hodnoty hash hesel nebo kde se uživatelé přihlašují výhradně pomocí čipových karet a nezná jejich heslo.
- Hybridní scénáře, které vyžadují přístup k místním doménám.
Při vytváření vztahu důvěryhodnosti doménové struktury si můžete vybrat ze tří možných směrů v závislosti na tom, jak uživatelé potřebují přístup k prostředkům. Domain Services podporuje pouze vztahy důvěryhodnosti doménové struktury. Externí vztah důvěryhodnosti pro místní podřízený domian není podporován.
Směr důvěryhodnosti | Přístup uživatelů |
---|---|
Obousměrný | Umožňuje uživatelům ve spravované doméně i místní doméně přistupovat k prostředkům v jedné doméně. |
Jednosměrná odchozí | Umožňuje uživatelům v místní doméně přistupovat k prostředkům ve spravované doméně, ale ne naopak. |
Jednosměrná příchozí | Umožňuje uživatelům ve spravované doméně přístup k prostředkům v místní doméně. |
V tomto kurzu se naučíte:
- Konfigurace DNS v místní doméně SLUŽBY AD DS pro podporu připojení ke službě Domain Services
- Vytvoření obousměrného vztahu důvěryhodnosti doménové struktury mezi spravovanou doménou a místní doménou
- Testování a ověření vztahu důvěryhodnosti doménové struktury pro ověřování a přístup k prostředkům
Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.
Požadavky
K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:
- Aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořte účet.
- Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
- V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
- Spravovaná doména služby Domain Services, která je nakonfigurovaná s vlastním názvem domény DNS a platným certifikátem SSL.
- V případě potřeby vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
- Místní Active Directory doména, která je dostupná ze spravované domény přes připojení VPN nebo ExpressRoute.
- Aplikační Správa istrator a skupiny Správa istrator role Microsoft Entra ve vašem tenantovi pro úpravu instance služby Domain Services.
- Doména Správa účet v místní doméně, která má oprávnění k vytvoření a ověření vztahů důvěryhodnosti.
Důležité
Pro spravovanou doménu musíte použít minimálně skladovou položku Enterprise . V případě potřeby změňte skladovou položku pro spravovanou doménu.
Přihlaste se do Centra pro správu Microsoft Entra
V tomto kurzu vytvoříte a nakonfigurujete vztah důvěryhodnosti odchozí doménové struktury ze služby Domain Services pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do Centra pro správu Microsoft Entra.
Aspekty sítí
Virtuální síť, která je hostitelem doménové struktury Domain Services, potřebuje připojení VPN nebo ExpressRoute k vašemu místní Active Directory. Aplikace a služby také potřebují síťové připojení k virtuální síti, která je hostitelem doménové struktury Domain Services. Síťové připojení k doménové struktuře služby Domain Services musí být vždy zapnuté a stabilní, jinak se uživatelům nemusí podařit ověřit nebo získat přístup k prostředkům.
Před konfigurací vztahu důvěryhodnosti doménové struktury ve službě Domain Services se ujistěte, že vaše sítě mezi Azure a místním prostředím splňují následující požadavky:
- Ujistěte se, že porty brány firewall povolují provoz potřebný k vytvoření a použití vztahu důvěryhodnosti. Další informace o tom, které porty je potřeba otevřít pro použití vztahu důvěryhodnosti, najdete v tématu Konfigurace nastavení brány firewall pro vztahy důvěryhodnosti služby AD DS.
- Použijte privátní IP adresy. Nespoléhejte na DHCP s dynamickým přiřazením IP adres.
- Vyhněte se překrývání adresNÍCH prostorů IP adres, aby partnerský vztah virtuálních sítí a směrování mohly úspěšně komunikovat mezi Azure a místním prostředím.
- Virtuální síť Azure potřebuje podsíť brány ke konfiguraci připojení VPN typu Site-to-Site (S2S) Azure nebo ExpressRoute .
- Vytvořte podsítě s dostatečnými IP adresami pro podporu vašeho scénáře.
- Ujistěte se, že služba Domain Services má vlastní podsíť, nesdílejte tuto podsíť virtuální sítě s aplikačními virtuálními počítači a službami.
- Partnerské virtuální sítě nejsou tranzitivní.
- Partnerské vztahy virtuálních sítí Azure musí být vytvořeny mezi všemi virtuálními sítěmi, které chcete používat důvěryhodnost doménové struktury Domain Services s místním prostředím AD DS.
- Zajištění nepřetržitého síťového připojení k doménové struktuře místní Active Directory. Nepoužívejte připojení na vyžádání.
- Ujistěte se, že mezi názvem doménové struktury služby Domain Services a názvem doménové struktury místní Active Directory existuje nepřetržitý překlad názvů DNS.
Konfigurace DNS v místní doméně
Pokud chcete správně přeložit spravovanou doménu z místního prostředí, možná budete muset přidat služby předávání na existující servery DNS. Pokud chcete nakonfigurovat místní prostředí pro komunikaci se spravovanou doménou, proveďte následující kroky z pracovní stanice pro správu pro místní doménu SLUŽBY AD DS:
Vyberte Start> Správa istrative Tools>DNS.
Vyberte zónu DNS, například aaddscontoso.com.
Vyberte Podmíněné služby pro předávání, pak vyberte pravým tlačítkem a zvolte Nový podmíněný předávací...
Zadejte jinou doménu DNS, například contoso.com, a pak zadejte IP adresy serverů DNS pro tento obor názvů, jak je znázorněno v následujícím příkladu:
Zaškrtněte políčko Uložit tento podmíněný předávací modul ve službě Active Directory a následujícím způsobem ho replikujte a pak vyberte možnost Pro všechny servery DNS v této doméně, jak je znázorněno v následujícím příkladu:
Důležité
Pokud je podmíněný předávač uložený v doménové struktuře místo domény, podmíněný předávač selže.
Pokud chcete vytvořit podmíněný předávač, vyberte OK.
Vytvoření obousměrného vztahu důvěryhodnosti doménové struktury v místní doméně
Místní doména služby AD DS potřebuje obousměrný vztah důvěryhodnosti doménové struktury pro spravovanou doménu. Tento vztah důvěryhodnosti musí být ručně vytvořen v místní doméně služby AD DS; Nejde ho vytvořit z Centra pro správu Microsoft Entra.
Pokud chcete nakonfigurovat obousměrný vztah důvěryhodnosti v místní doméně služby AD DS, proveďte následující kroky jako Správa Domény z pracovní stanice pro správu pro místní doménu SLUŽBY AD DS:
- Vyberte Start> Správa istrativní nástroje> Doména služby Active Directory a vztahy důvěryhodnosti.
- Klikněte pravým tlačítkem myši na doménu, například onprem.contoso.com, a pak vyberte Vlastnosti.
- Zvolte kartu Vztahy důvěryhodnosti a pak Nový vztah důvěryhodnosti.
- Zadejte název domény domain Services, například aaddscontoso.com, a pak vyberte Další.
- Vyberte možnost vytvoření vztahu důvěryhodnosti doménové struktury a pak vytvořte obousměrný vztah důvěryhodnosti.
- Zvolte, že chcete vytvořit vztah důvěryhodnosti pouze pro tuto doménu. V dalším kroku vytvoříte vztah důvěryhodnosti v Centru pro správu Microsoft Entra pro spravovanou doménu.
- Zvolte použití ověřování pro celou doménovou strukturu a pak zadejte a potvrďte heslo důvěryhodnosti. Stejné heslo je také zadáno v Centru pro správu Microsoft Entra v další části.
- Projděte si několik dalších oken s výchozími možnostmi a pak zvolte možnost Ne, nepotvrzujte odchozí vztah důvěryhodnosti.
- Vyberte Dokončit.
Pokud už vztah důvěryhodnosti doménové struktury pro prostředí nepotřebujete, proveďte následující kroky jako doména, Správa ji odeberte z místní domény:
- Vyberte Start> Správa istrativní nástroje> Doména služby Active Directory a vztahy důvěryhodnosti.
- Klikněte pravým tlačítkem myši na doménu, například onprem.contoso.com, a pak vyberte Vlastnosti.
- Zvolte kartu Vztahy důvěryhodnosti , potom Domény, které důvěřují této doméně (příchozí vztahy důvěryhodnosti), klikněte na vztah důvěryhodnosti, který chcete odebrat, a potom klepněte na tlačítko Odebrat.
- Na kartě Vztahy důvěryhodnosti klikněte v části Domény důvěryhodné touto doménou (odchozí vztahy důvěryhodnosti) na vztah důvěryhodnosti, který chcete odebrat, a potom klepněte na tlačítko Odebrat.
- Klikněte na tlačítko Ne, odeberte vztah důvěryhodnosti pouze z místní domény.
Vytvoření obousměrného vztahu důvěryhodnosti doménové struktury ve službě Domain Services
Pokud chcete vytvořit obousměrný vztah důvěryhodnosti pro spravovanou doménu v Centru pro správu Microsoft Entra, proveďte následující kroky:
V Centru pro správu Microsoft Entra vyhledejte a vyberte Microsoft Entra Domain Services a pak vyberte svou spravovanou doménu, například aaddscontoso.com.
V nabídce na levé straně spravované domény vyberte Vztahy důvěryhodnosti a pak zvolte + Přidat vztah důvěryhodnosti.
Jako směr důvěryhodnosti vyberte obousměrný výběr.
Zadejte zobrazovaný název, který identifikuje váš vztah důvěryhodnosti, a pak název DNS místní důvěryhodné doménové struktury, například onprem.contoso.com.
Zadejte stejné heslo důvěryhodnosti, které bylo použito ke konfiguraci vztahu důvěryhodnosti příchozí doménové struktury pro místní doménu SLUŽBY AD DS v předchozí části.
Zadejte alespoň dva servery DNS pro místní doménu SLUŽBY AD DS, například 10.1.1.4 a 10.1.1.5.
Až budete připraveni, uložte vztah důvěryhodnosti odchozí doménové struktury.
Pokud už vztah důvěryhodnosti doménové struktury není pro prostředí potřeba, proveďte následující kroky a odeberte ho ze služby Domain Services:
- V Centru pro správu Microsoft Entra vyhledejte a vyberte Microsoft Entra Domain Services a pak vyberte svou spravovanou doménu, například aaddscontoso.com.
- V nabídce na levé straně spravované domény vyberte Vztahy důvěryhodnosti, zvolte vztah důvěryhodnosti a klikněte na Odebrat.
- Zadejte stejné heslo důvěryhodnosti, které jste použili ke konfiguraci vztahu důvěryhodnosti doménové struktury, a klikněte na OK.
Ověření ověřování prostředků
Následující běžné scénáře umožňují ověřit, že doménová struktura správně ověřuje uživatele a přístup k prostředkům:
- Místní ověřování uživatelů z doménové struktury Domain Services
- Přístup k prostředkům v doménové struktuře Domain Services pomocí místního uživatele
Místní ověřování uživatelů z doménové struktury Domain Services
K spravované doméně byste měli mít připojený virtuální počítač s Windows Serverem. Tento virtuální počítač použijte k otestování, že se místní uživatel může ověřit na virtuálním počítači. V případě potřeby vytvořte virtuální počítač s Windows a připojte ho ke spravované doméně.
Připojení k virtuálnímu počítači s Windows Serverem připojeným k doménové struktuře Domain Services pomocí Azure Bastion a přihlašovací údaje správce služby Domain Services
Otevřete příkazový řádek a pomocí
whoami
příkazu zobrazte rozlišující název aktuálně ověřeného uživatele:whoami /fqdn
runas
Pomocí příkazu se můžete ověřit jako uživatel z místní domény. V následujícím příkazu nahraďteuserUpn@trusteddomain.com
hlavní název uživatele z důvěryhodné místní domény. Příkaz vás vyzve k zadání hesla uživatele:Runas /u:userUpn@trusteddomain.com cmd.exe
Pokud je ověření úspěšné, otevře se nový příkazový řádek. Název nového příkazového řádku obsahuje
running as userUpn@trusteddomain.com
.Pomocí
whoami /fqdn
nového příkazového řádku zobrazíte rozlišující název ověřeného uživatele z místní Active Directory.
Přístup k prostředkům v doménové struktuře Domain Services pomocí místního uživatele
Z virtuálního počítače s Windows Serverem připojeným k doménové struktuře Domain Services můžete otestovat scénáře. Můžete například otestovat, jestli má uživatel, který se přihlásí k místní doméně, přístup k prostředkům ve spravované doméně. Následující příklady zahrnují běžné testovací scénáře.
Povolení sdílení souborů a tiskáren
Připojení k virtuálnímu počítači s Windows Serverem připojeným k doménové struktuře Domain Services pomocí Azure Bastion a přihlašovací údaje správce služby Domain Services
Otevřete Windows Nastavení.
Vyhledejte a vyberte Centrum síťových připojení a sdílení.
Zvolte možnost Změnit upřesňující nastavení sdílení .
V části Profil domény vyberte Zapnout sdílení souborů a tiskáren a pak Uložit změny.
Zavřete Centrum síťových připojení a sdílení.
Vytvoření skupiny zabezpečení a přidání členů
Otevřete položku Uživatelé a počítače služby Active Directory.
Pravým tlačítkem myši vyberte název domény, zvolte Nový a pak vyberte Organizační jednotka.
Do pole název zadejte LocalObjects a pak vyberte OK.
V navigačním podokně vyberte a klikněte na místní objekty pravým tlačítkem myši. Vyberte Nový a pak Skupinu.
Do pole Název skupiny zadejte FileServerAccess. Jako obor skupiny vyberte Místní doména a pak zvolte OK.
V podokně obsahu poklikejte na FileServerAccess. Vyberte Členy, zvolte Přidat a pak vyberte Umístění.
V zobrazení Umístění vyberte místní Active Directory a pak zvolte OK.
Do pole Zadejte názvy objektů, které chcete vybrat, zadejte do pole Uživatelédomény. Vyberte Zkontrolovat jména, zadejte přihlašovací údaje pro místní Active Directory a pak vyberte OK.
Poznámka:
Přihlašovací údaje musíte zadat, protože vztah důvěryhodnosti je jen jedním ze způsobů. To znamená, že uživatelé ze spravované domény Domain Services nemají přístup k prostředkům ani nemůžou vyhledávat uživatele nebo skupiny v důvěryhodné (místní) doméně.
Skupina Domain Users z vašeho místní Active Directory by měla být členem skupiny FileServerAccess. Výběrem ok uložte skupinu a zavřete okno.
Vytvoření sdílené složky pro přístup mezi doménovými strukturami
- Na virtuálním počítači s Windows Serverem připojeným k doménové struktuře Domain Services vytvořte složku a zadejte název, například CrossForestShare.
- Vyberte složku pravým tlačítkem a zvolte Vlastnosti.
- Vyberte kartu Zabezpečení a pak zvolte Upravit.
- V dialogovém okně Oprávnění pro CrossForestShare vyberte Přidat.
- Do pole Zadejte názvy objektů, které chcete vybrat, zadejte FileServerAccessa pak vyberte OK.
- Ze seznamu Skupin nebo uživatelských jmen vyberte FileServerAccess. V seznamu Oprávnění pro FileServerAccess zvolte Povolit pro oprávnění upravit a zapisovat a pak vyberte OK.
- Vyberte kartu Sdílení a pak zvolte Rozšířené sdílení....
- Zvolte Sdílet tuto složku a zadejte zapamatovatelný název sdílené složky v názvu sdílené složky, například CrossForestShare.
- Vyberte oprávnění. V seznamu Oprávnění pro všechny zvolte Povolit pro oprávnění Změnit.
- Dvakrát vyberte OK a pak zavřete.
Ověření ověřování mezi doménovými strukturami u prostředku
Přihlaste se k počítači s Windows připojeným k místní Active Directory pomocí uživatelského účtu ze svého místní Active Directory.
Pomocí Průzkumníka Windows se připojte ke sdílené složce, kterou jste vytvořili, pomocí plně kvalifikovaného názvu hostitele a sdílené složky, například
\\fs1.aaddscontoso.com\CrossforestShare
.Pokud chcete ověřit oprávnění k zápisu, vyberte ve složce pravým tlačítkem, zvolte Nový a pak vyberte Textový dokument. Použijte výchozí název Nový textový dokument.
Pokud jsou oprávnění k zápisu správně nastavená, vytvoří se nový textový dokument. Provedením následujících kroků otevřete, upravte a odstraňte soubor podle potřeby.
Pokud chcete ověřit oprávnění ke čtení, otevřete nový textový dokument.
Pokud chcete ověřit oprávnění k úpravě, přidejte do souboru text a zavřete Poznámkový blok. Po zobrazení výzvy k uložení změn zvolte Uložit.
Pokud chcete ověřit oprávnění k odstranění, vyberte pravým tlačítkem Nový textový dokument a zvolte Odstranit. Pokud chcete potvrdit odstranění souboru, zvolte Ano .
Další kroky
V tomto kurzu jste se naučili, jak:
- Konfigurace DNS v místním prostředí SLUŽBY AD DS pro podporu připojení ke službě Domain Services
- Vytvoření jednosměrného vztahu důvěryhodnosti příchozí doménové struktury v místním prostředí SLUŽBY AD DS
- Vytvoření jednosměrného vztahu důvěryhodnosti odchozí doménové struktury ve službě Domain Services
- Testování a ověření vztahu důvěryhodnosti pro ověřování a přístup k prostředkům
Další koncepční informace o doménové struktuře ve službě Domain Services najdete v tématu Jak fungují vztahy důvěryhodnosti doménové struktury ve službě Domain Services?.