Tutorial: Erstellen einer bidirektionalen Gesamtstruktur-Vertrauensstellung zu Microsoft Entra Domäne Services mit einer lokalen Domäne

Sie können eine Gesamtstruktur-Vertrauensstellung zwischen Microsoft Entra Domain Services und lokalen AD DS-Umgebungen erstellen. Die Gesamtstruktur-Vertrauensstellung ermöglicht es Benutzern, Anwendungen und Computern, sich aus der verwalteten Domain Services-Domäne bei einer lokalen Domäne zu authentifizieren. Eine Gesamtstrukturvertrauensstellung kann Benutzern beim Zugriff auf Ressourcen in Szenarien wie den folgenden unterstützen:

  • Umgebungen, in denen Sie keine Kennworthashes synchronisieren können, oder in denen sich Benutzer ausschließlich mit Smartcards anmelden und ihr Kennwort nicht kennen.
  • Hybridszenarien, die Zugriff auf lokale Domänen erfordern.

Sie können aus drei möglichen Richtungen wählen, wenn Sie eine Gesamtstruktur-Vertrauensstellung erstellen, je nachdem, wie Benutzer auf Ressourcen zugreifen müssen. Domain Services unterstützt nur Gesamtstruktur-Vertrauensstellungen. Eine externe Vertrauensstellung zu einer lokalen untergeordneten Domäne wird nicht unterstützt.

Vertrauensstellungsrichtung Benutzerzugriff
Bidirektional Ermöglicht Benutzern sowohl in der verwalteten Domäne als auch in der lokalen Domäne den Zugriff auf Ressourcen in beiden Domänen.
Unidirektional, ausgehend Ermöglicht Benutzern in der lokalen Domäne den Zugriff auf Ressourcen in der verwalteten Domäne, aber nicht umgekehrt.
Unidirektional, eingehend Ermöglicht Benutzern in der verwalteten Domäne den Zugriff auf Ressourcen in der lokalen Domäne.

Diagramm der Gesamtstruktur-Vertrauensstellung zwischen Domain Services und einer lokalen Domäne

In diesem Tutorial lernen Sie Folgendes:

  • Konfigurieren von DNS in einer lokalen AD DS-Domäne zur Unterstützung der Domain Services-Konnektivität
  • Erstellen einer bidirektionalen Gesamtstruktur-Vertrauensstellung zwischen der verwalteten Domäne und der lokalen Domäne
  • Testen und Überprüfen der Gesamtstruktur-Vertrauensstellung hinsichtlich Authentifizierung und Ressourcenzugriff

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

Wichtig

Sie müssen außerdem mindestens eine Enterprise-SKU für Ihre verwaltete Domäne verwenden. Ändern Sie die SKU ggf. in eine verwaltete Domäne.

Anmelden beim Microsoft Entra Admin Center

In diesem Tutorial erstellen und konfigurieren Sie im Microsoft Entra Admin Center die ausgehende Gesamtstruktur-Vertrauensstellung von Domain Services. Um zu beginnen, melden Sie sich zunächst beim Microsoft Entra Admin Center an.

Überlegungen zum Netzwerkbetrieb

Das virtuelle Netzwerk, in dem die Domain Services-Gesamtstruktur gehostet wird, benötigt eine VPN oder ExpressRoute-Verbindung mit Ihrem lokalen Active Directory. Außerdem benötigen Anwendungen und Dienste Netzwerkkonnektivität mit dem virtuellen Netzwerk, in dem die Domain Services-Gesamtstruktur gehostet wird. Die Netzwerkkonnektivität mit der Domain Services-Gesamtstruktur muss immer aktiv und stabil sein, denn andernfalls kann es passieren, dass Benutzer sich nicht authentifizieren oder nicht auf Ressourcen zugreifen können.

Bevor Sie eine Gesamtstruktur-Vertrauensstellung in Domain Services konfigurieren, sollten Sie sich vergewissern, dass die Netzwerkkonnektivität zwischen Azure und der lokalen Umgebung die folgenden Anforderungen erfüllt:

  • Stellen Sie sicher, dass Firewallports Datenverkehr zulassen, der zum Erstellen und Verwenden einer Vertrauensstellung erforderlich ist. Weitere Informationen zu den Ports, die geöffnet sein müssen, um eine Vertrauensstellung zu verwenden, finden Sie unter Konfigurieren von Firewalleinstellungen für AD DS-Vertrauensstellungen.
  • Es werden private IP-Adressen verwendet. Sie sollten sich nicht auf DHCP mit dynamischer Zuweisung von IP-Adressen verlassen.
  • Überlappende IP-Adressräume sollten vermieden werden, damit Peering und Routing von virtuellen Netzwerken ermöglicht wird, um eine erfolgreiche Kommunikation zwischen Azure und lokalen Ressourcen zu erreichen.
  • Ein virtuelles Azure-Netzwerk erfordert ein Gatewaysubnetz, um eine Azure-S2S-VPN-Verbindung (Site-to-Site) oder ExpressRoute-Verbindung zu konfigurieren.
  • Es wurden Subnetze mit genügend IP-Adressen erstellt, um Ihr Szenario zu unterstützen.
  • Vergewissern Sie sich, dass Domain Services ein eigenes Subnetz hat. Dieses Subnetz des virtuellen Netzwerks sollte nicht gemeinsam mit Anwendungs-VMs und Diensten verwendet werden.
  • Über Peering verbundene virtuelle Netzwerke sind nicht transitiv.
    • Peerings für virtuelle Azure-Netzwerke müssen zwischen allen virtuellen Netzwerken erstellt werden, die Sie zwischen der Domain Services-Gesamtstrukturvertrauensstellung und der lokalen AD DS-Umgebung verwenden möchten.
  • Es muss durchgängige Netzwerkkonnektivität mit Ihrer lokalen Active Directory-Gesamtstruktur bereitgestellt werden. Es dürfen keine bedarfsgesteuerten Verbindungen verwendet werden.
  • Stellen Sie sicher, dass kontinuierliche DNS-Namensauflösung zwischen dem Namen Ihrer Domain Services-Gesamtstruktur und dem Namen Ihrer lokalen Active Directory-Gesamtstruktur vorhanden ist.

Konfigurieren von DNS in der lokalen Domäne

Um die verwaltete Domäne ordnungsgemäß aus der lokalen Umgebung aufzulösen, müssen Sie möglicherweise Weiterleitungen zu den vorhandenen DNS-Servern hinzufügen. Um die lokale Umgebung für die Kommunikation mit der verwalteten Domäne zu konfigurieren, führen Sie auf einer Verwaltungsarbeitsstation die folgenden Schritte für die lokale AD DS-Domäne aus:

  1. Wählen Sie Start>Verwaltung>DNS aus.

  2. Wählen Sie Ihre DNS-Zone (z. B. aaddscontoso.com) aus.

  3. Wählen Sie Bedingte Weiterleitungen aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann Neue bedingte Weiterleitung aus.

  4. Geben Sie Ihre andere DNS-Domäne (z. B. contoso.com) und dann die IP-Adressen der DNS-Server für diesen Namespace wie im folgenden Beispiel gezeigt ein:

    Screenshot: Hinzufügen und Konfigurieren einer bedingten Weiterleitung für den DNS-Server

  5. Aktivieren Sie das Kontrollkästchen Diese bedingte Weiterleitung in Active Directory speichern und wie folgt replizieren, und wählen Sie dann die Option Alle DNS-Server in dieser Domänen aus, wie im folgenden Beispiel gezeigt:

    Screenshot: Auswählen aller DNS-Server in dieser Domäne

    Wichtig

    Wenn die bedingte Weiterleitung in der Gesamtstruktur anstelle der Domäne gespeichert wird, führt sie zu einem Fehler.

  6. Wählen Sie zum Erstellen der bedingten Weiterleitung OK aus.

Erstellen der bidirektionalen Gesamtstruktur-Vertrauensstellung in der lokalen Domäne

Für die lokale AD DS-Domäne ist eine bidirektionale Gesamtstruktur-Vertrauensstellung für die verwaltete Domäne erforderlich. Diese Vertrauensstellung muss manuell in der lokalen AD DS-Domäne erstellt werden, sie kann nicht im Microsoft Entra Admin Center erstellt werden.

Um die bidirektionale Vertrauensstellung in der lokalen AD DS-Domäne zu konfigurieren, führen Sie als Domänenadministrator die folgenden Schritte für die lokale AD DS-Domäne auf einer Verwaltungsarbeitsstation aus:

  1. Wählen Sie Start>Verwaltung>Active Directory-Domänen und -Vertrauensstellungen aus.
  2. Klicken Sie mit der rechten Maustaste auf eine Domäne (beispielsweise onprem.contoso.com), und wählen Sie anschließend Eigenschaften aus.
  3. Wählen Sie die Registerkarte Vertrauensstellungen und dann Neue Vertrauensstellung aus.
  4. Geben Sie einen Namen für die Domain Services-Domäne ein (beispielsweise aaddscontoso.com), und wählen Sie anschließend Weiter aus.
  5. Wählen Sie die Option zum Erstellen einer Gesamtstruktur-Vertrauenswürdigkeit und dann die Option zum Erstellen einer Bidirektionalen Vertrauensstellung aus.
  6. Wählen Sie die Option aus, mit der die Vertrauensstellung Nur für diese Domäne erstellt wird. Im nächsten Schritt erstellen Sie die Vertrauensstellung im Microsoft Entra Admin Center für die verwaltete Domäne.
  7. Wählen Sie die Option zum Verwenden von Gesamtstrukturweite Authentifizierung aus, und geben Sie dann ein Vertrauensstellungskennwort ein. Dasselbe Kennwort wird auch im nächsten Abschnitt im Microsoft Entra Admin Center eingegeben.
  8. Durchlaufen Sie die nächsten Fenster mit Standardoptionen, und aktivieren Sie dann die Option Nein, ausgehende Vertrauensstellung nicht bestätigen.
  9. Wählen Sie Fertig stellenaus.

Wird die Gesamtstruktur-Vertrauensstellung für eine Umgebung nicht mehr benötigt, führen Sie als Domänenadministrator die folgenden Schritte aus, um sie aus der lokalen Domäne zu entfernen:

  1. Wählen Sie Start>Verwaltung>Active Directory-Domänen und -Vertrauensstellungen aus.
  2. Klicken Sie mit der rechten Maustaste auf eine Domäne (beispielsweise onprem.contoso.com), und wählen Sie anschließend Eigenschaften aus.
  3. Wählen Sie die Registerkarte Vertrauensstellungen und anschließend Domänen, die dieser Domäne vertrauen (eingehende Vertrauensstellungen) aus, und klicken Sie auf die zu entfernende Vertrauensstellung und dann auf Entfernen.
  4. Wählen Sie auf der Registerkarte „Vertrauensstellungen“ unter Domänen, denen diese Domäne vertraut (ausgehende Vertrauensstellungen) aus, und klicken Sie auf die zu entfernende Vertrauensstellung und dann auf „Entfernen“.
  5. Klicken Sie auf Nein, die Vertrauensstellung nur aus der lokalen Domäne entfernen.

Erstellen einer bidirektionalen Gesamtstruktur-Vertrauensstellung in Domain Services

Führen Sie die folgenden Schritte aus, um die bidirektionale Vertrauensstellung für die verwaltete Domäne im Microsoft Entra Admin Center zu erstellen:

  1. Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus. Wählen Sie anschließend Ihre verwaltete Domäne aus, z. B. aaddscontoso.com.

  2. Wählen Sie im Menü auf der linken Seite der verwalteten Domäne die Option Vertrauensstellungen und dann + Hinzufügen aus.

  3. Wählen Sie Bidirektional als Vertrauensrichtung aus.

  4. Geben Sie einen Anzeigenamen, der Ihre Vertrauensstellung kennzeichnet, und dann den lokalen DNS-Namen der vertrauenswürdigen Gesamtstruktur ein, z. B. onprem.contoso.com.

  5. Geben Sie dasselbe Vertrauensstellungskennwort an, das beim Konfigurieren der eingehenden Gesamtstruktur-Vertrauensstellung für die lokale AD DS-Domäne im vorherigen Abschnitt verwendet wurde.

  6. Geben Sie mindestens zwei DNS-Server für die lokale AD DS-Domäne an, z. B. 10.1.1.4 und 10.1.1.5.

  7. Wählen Sie dann Speichern aus, um die ausgehende Gesamtstruktur-Vertrauensstellung zu speichern.

    Screenshot: Erstellen einer ausgehenden Gesamtstruktur-Vertrauensstellung im Microsoft Entra Admin Center

Wird die Gesamtstruktur-Vertrauensstellung für eine Umgebung nicht mehr benötigt, führen Sie die folgenden Schritte aus, um sie aus Domain Services zu entfernen:

  1. Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus. Wählen Sie anschließend Ihre verwaltete Domäne aus, z. B. aaddscontoso.com.
  2. Wählen Sie im Menü auf der linken Seite der verwalteten Domäne die Option Vertrauensstellungen und dann die Vertrauensstellung aus, und klicken Sie auf Entfernen.
  3. Geben Sie das gleiche Vertrauensstellungskennwort an, das auch zum Konfigurieren der Gesamtstruktur-Vertrauensstellung verwendet wurde, und klicken Sie auf OK.

Überprüfen der Ressourcenauthentifizierung

Mit den folgenden gängigen Szenarien können Sie überprüfen, ob die Gesamtstruktur-Vertrauensstellung Benutzer und Zugriff auf Ressourcen ordnungsgemäß authentifiziert:

Lokale Benutzerauthentifizierung aus der Domain Services-Gesamtstruktur

Der virtuelle Windows Server-Computer muss mit der verwalteten Domäne verknüpft sein. Verwenden Sie diesen virtuellen Computer, um zu testen, ob der lokale Benutzer sich bei einem virtuellen Computer authentifizieren kann. Bei Bedarf können Sie einen virtuellen Windows-Computer erstellen und mit der verwalteten Domäne verknüpfen.

  1. Stellen Sie über Azure Bastion und Ihre Domain Services-Administratoranmeldeinformationen eine Verbindung mit dem virtuellen Windows Server-Computer her, der mit der Domain Services-Gesamtstruktur verknüpft ist.

  2. Öffnen Sie eine Eingabeaufforderung, und verwenden Sie den whoami-Befehl, um den kennzeichnenden Namen (distinguished name) des derzeit authentifizierten Benutzers anzuzeigen:

    whoami /fqdn
    
  3. Verwenden Sie den runas-Befehl, um sich als Benutzer aus der lokalen Domäne zu authentifizieren. Ersetzen Sie userUpn@trusteddomain.com im folgenden Befehl durch den Benutzerprinzipalnamen (User Principal Name, UPN) eines Benutzers aus der vertrauenswürdigen lokalen Domäne. Der Befehl fordert Sie auf, das Kennwort des Benutzers einzugeben:

    Runas /u:userUpn@trusteddomain.com cmd.exe
    
  4. Wenn die Authentifizierung erfolgreich ist, wird eine neue Eingabeaufforderung geöffnet. Der Titel der neuen Eingabeaufforderung enthält running as userUpn@trusteddomain.com.

  5. Verwenden Sie whoami /fqdn in der neuen Eingabeaufforderung, um den kennzeichnenden Namen des authentifizierten Benutzers aus dem lokalen Active Directory anzuzeigen.

Zugreifen auf Ressourcen in der Domain Services-Gesamtstruktur mithilfe eines lokalen Benutzers

Von der Windows Server-VM, die der Domänendienste-Gesamtstruktur beigetreten ist, können Sie Szenarien testen. Sie können beispielsweise testen, ob ein Benutzer, der sich bei der lokalen Domäne anmeldet, auf Ressourcen in der verwalteten Domäne zugreifen kann. In den folgenden Beispielen werden allgemeine Testszenarien behandelt.

Aktivieren von Datei- und Druckerfreigabe

  1. Stellen Sie über Azure Bastion und Ihre Domain Services-Administratoranmeldeinformationen eine Verbindung mit dem virtuellen Windows Server-Computer her, der mit der Domain Services-Gesamtstruktur verknüpft ist.

  2. Öffnen Sie Windows-Einstellungen.

  3. Suchen Sie nach Netzwerk- und Freigabecenter und wählen Sie diese Option aus.

  4. Wählen Sie die Option Erweiterte Freigabeeinstellungen ändern aus.

  5. Wählen Sie unter Domänenprofil die Option Datei- und Druckerfreigabe aktivieren aus, und wählen Sie dann Änderungen speichern aus.

  6. Schließen Sie Netzwerk- und Freigabecenter.

Erstellen einer Sicherheitsgruppe und Hinzufügen von Mitgliedern

  1. Öffnen Sie Active Directory-Benutzer und -Computer.

  2. Wählen Sie mit der rechten Maustaste den Domänennamen aus, wählen Sie Neu aus, und wählen Sie dann Organisationseinheit aus.

  3. Geben Sie in das Feld „Name“ den Namen LokaleObjekte ein, und wählen Sie dann OK aus.

  4. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf LokaleObjekte. Wählen Sie Neu und dann Gruppe aus.

  5. Geben Sie Dateiserverzugriff in das Feld Gruppenname ein. Wählen Sie für Gruppenbereich die Option Lokal (in Domäne) aus, und wählen Sie dann OK aus.

  6. Doppelklicken Sie im Inhaltsbereich auf Dateiserverzugriff. Wählen Sie Mitglieder aus, wählen Sie Hinzufügen aus, und wählen Sie dann Standorte aus.

  7. Wählen Sie Ihr lokales Active Directory in der Standort-Ansicht aus, und wählen Sie dann OK aus.

  8. Geben Sie Domänenbenutzer in das Feld Geben Sie die zu verwendenden Objektnamen ein ein. Wählen Sie Namen überprüfen aus, geben Sie die Anmeldeinformationen für das lokale Active Directory an, und wählen Sie dann OK aus.

    Hinweis

    Sie müssen Anmeldeinformationen angeben, weil die Vertrauensstellung nur unidirektional ist. Das heißt, dass Benutzer aus der verwalteten Domain Services-Domäne weder auf Ressourcen in der vertrauenswürdigen (lokalen) Domäne zugreifen noch dort nach Benutzern oder Gruppen suchen können.

  9. Die Gruppe Domänenbenutzer aus Ihrem lokalen Active Directory muss Mitglied der Gruppe Dateiserverzugriff sein. Wählen Sie OK aus, um die Gruppe zu speichern und das Fenster zu schließen.

Erstellen einer Dateifreigabe für gesamtstrukturübergreifenden Zugriff

  1. Erstellen Sie auf der Windows Server-VM, die mit der Domain Services-Gesamtstruktur verknüpft ist, einen Ordner, und geben Sie diesem einen Namen wie CrossForestShare.
  2. Wählen Sie den Ordner mit der rechten Maustaste aus, und wählen Sie Eigenschaften aus.
  3. Wählen Sie die Registerkarte Sicherheit aus, und wählen Sie dann Bearbeiten aus.
  4. Wählen Sie im Dialogfeld Berechtigungen für GesamtstrukturFreigabe die Option Hinzufügen aus.
  5. Geben Sie Dateiserverzugriff in das Feld Geben Sie die zu verwendenden Objektnamen ein ein, und wählen Sie dann OK aus.
  6. Wählen Sie Dateiserverzugriff in der Liste Gruppen- oder Benutzernamen aus. Wählen Sie in der Liste Berechtigungen für GesamtstrukturFreigabe die Option Zulassen für die Berechtigungen Ändern und Schreiben aus, und wählen Sie dann OK aus.
  7. Wählen Sie die Registerkarte Freigabe und dann Erweiterte Freigabe... aus.
  8. Wählen Sie Diesen Ordner freigeben aus, und geben Sie dann einen Namen für die Dateifreigabe in Freigabename ein, z. B. GesamtstrukturFreigabe.
  9. Wählen Sie Berechtigungen aus. Wählen Sie in der Liste Berechtigungen für Jeder die Option Zulassen für die Berechtigung Ändern aus.
  10. Wählen Sie zweimal OK und dann Schließen aus.

Überprüfen der gesamtstrukturübergreifenden Authentifizierung für eine Ressource

  1. Melden Sie sich mit einem Benutzerkonto aus Ihrem lokalen Active Directory bei einem Windows-Computer an, der mit Ihrem lokalen Active Directory verknüpft ist.

  2. Stellen Sie über Windows-Explorer- eine Verbindung mit der von Ihnen erstellten Freigabe her. Verwenden Sie dazu den vollqualifizierten Hostnamen und den Namen der Freigabe, z. B. \\fs1.aaddscontoso.com\CrossforestShare.

  3. Um die Schreibberechtigung zu überprüfen, wählen Sie den Ordner mit der rechten Maustaste aus, wählen Sie Neu aus, und wählen Sie dann Textdokument aus. Verwenden Sie den Standardnamen Neues Textdokument.

    Wenn die Schreibberechtigungen ordnungsgemäß festgelegt sind, wird ein neues Textdokument erstellt. Führen Sie die folgenden Schritte aus, um die Datei zu öffnen, zu bearbeiten und zu löschen.

  4. Um die Leseberechtigung zu überprüfen, öffnen Sie Neues Textdokument.

  5. Um die Änderungsberechtigung zu überprüfen, fügen Sie Text zur Datei hinzu, und schließen Sie Editor. Wenn Sie aufgefordert werden, Änderungen zu speichern, wählen Sie Speichern aus.

  6. Um die Löschberechtigung zu überprüfen, wählen Sie mit der rechten Maustaste den Namen Neues Textdokument aus, und wählen Sie Löschen aus. Wählen Sie Ja aus, um das Löschen der Datei Löschung zu bestätigen.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Konfigurieren von DNS in einer lokalen AD DS-Umgebung zur Unterstützung der Domain Services-Konnektivität
  • Erstellen einer unidirektionalen eingehenden Gesamtstruktur-Vertrauensstellung in einer lokalen AD DS-Umgebung
  • Erstellen einer unidirektionalen ausgehenden Gesamtstruktur-Vertrauensstellung in Domain Services
  • Testen und Überprüfen der Vertrauensstellung hinsichtlich Authentifizierung und Ressourcenzugriff

Weitere konzeptbezogene Informationen zu Gesamtstrukturen in Domain Services finden Sie unter Funktionsweise von Gesamtstruktur-Vertrauensstellungen in Domain Services.