Tutorial: Erstellen und konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne

Microsoft Entra Domain Services stellen verwaltete Domänendienste bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, LDAP, Kerberos/NTLM-Authentifizierung, die mit Windows Server Active Directory vollständig kompatibel sind. Sie können diese Domänendienste nutzen, ohne selbst Domänencontroller bereitstellen, verwalten und patchen zu müssen. Domain Services kann in Ihren vorhandenen Microsoft Entra-Mandanten integriert werden. Dank dieser Integration können Benutzer sich mit ihren Unternehmensanmeldeinformationen anmelden, und Sie können vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen zu sichern.

Sie können eine verwaltete Domäne mit den Standardkonfigurationsoptionen für Netzwerk und Synchronisierung erstellen oder diese Einstellungen manuell festlegen. In diesem Tutorial wird gezeigt, wie Sie die Standardoptionen zum Erstellen und Konfigurieren einer verwalteten Domain Services-Domäne im Microsoft Entra Admin Center verwenden.

In diesem Tutorial lernen Sie Folgendes:

  • Grundlegendes zu den DNS-Anforderungen für eine verwaltete Domäne
  • Erstellen einer verwalteten Domäne
  • Aktivieren der Kennworthashsynchronisierung

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:

Es ist bei Domain Services zwar nicht erforderlich, für den Microsoft Entra-Mandanten die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) zu konfigurieren, es wird jedoch empfohlen. Benutzer können Ihr Kennwort ohne SSPR ändern. SSPR ist jedoch hilfreich, wenn Benutzer ihr Kennwort vergessen haben und es zurücksetzen müssen.

Wichtig

Nach dem Erstellen können Sie die verwaltete Domäne nicht in ein anderes Abonnement, eine andere Ressourcengruppe oder eine andere Region verschieben. Wählen Sie beim Bereitstellen der verwalteten Domäne das am besten geeignete Abonnement, die am besten geeignete Ressourcengruppe und die am besten geeignete Region aus.

Anmelden beim Microsoft Entra Admin Center

In diesem Tutorial erstellen und konfigurieren Sie die verwaltete Domäne über das Microsoft Entra Admin Center. Um zu beginnen, melden Sie sich zunächst beim Microsoft Entra Admin Center an.

Erstellen einer verwalteten Domäne

Um den Assistenten zum Aktivieren von Microsoft Entra Domain Services zu starten, führen Sie die folgenden Schritte aus:

  1. Suchen Sie im Microsoft Entra Admin Center-Menü oder auf der Startseite nach Domain Services, und wählen Sie dann Microsoft Entra Domain Services aus.

  2. Wählen Sie auf der Microsoft Entra Domain Services-Seite die Option Microsoft Entra Domain Services erstellen aus.

    Screenshot of how to create a managed domain.

  3. Wählen Sie das Azure-Abonnement, in dem Sie die verwaltete Domäne erstellen möchten.

  4. Wählen Sie die Ressourcengruppe, zu der die verwaltete Domäne gehören soll. Klicken Sie auf Neu erstellen, oder wählen Sie eine vorhandene Ressourcengruppe aus.

Beim Erstellen einer verwalteten Domäne geben Sie einen DNS-Namen an. Bei der Auswahl dieses DNS-Namens sind folgende Aspekte zu berücksichtigen:

  • Integrierter Domänenname: Standardmäßig wird der integrierte Domänenname des Verzeichnisses verwendet (das Suffix .onmicrosoft.com). Wenn Sie Secure LDAP für den Zugriff auf die verwaltete Domäne über das Internet aktivieren möchten, können Sie kein digitales Zertifikat erstellen, um die Verbindung mit dieser Standarddomäne zu sichern. Die Domäne .onmicrosoft.com ist im Besitz von Microsoft, daher stellt keine Zertifizierungsstelle ein Zertifikat aus.
  • Benutzerdefinierte Domänennamen: Die gängigste Vorgehensweise besteht darin, einen benutzerdefinierten Domänennamen anzugeben – in der Regel den Namen einer Domäne, die Sie bereits besitzen und die routingfähig ist. Wenn Sie eine routingfähige benutzerdefinierte Domäne verwenden, kann der Datenverkehr ordnungsgemäß und bedarfsgerecht weitergeleitet werden, um Ihre Anwendungen zu unterstützen.
  • Nicht routingfähige Domänensuffixe: Im Allgemeinen wird empfohlen, nicht routingfähige Domänennamesuffixe wie z. B. contoso.local zu vermeiden. Das Suffix .local ist nicht routingfähig und kann zu Problemen mit der DNS-Auflösung führen.

Tipp

Lassen Sie beim Erstellen eines benutzerdefinierten Domänennamens Vorsicht in Bezug auf DNS-Namespaces walten. Obwohl diese Option unterstützt wird, möchten Sie möglicherweise einen Domänennamen verwenden, der von einem vorhandenen Azure- oder lokalen DNS-Namespace getrennt ist.

Lautet Ihr vorhandener DNS-Namespace beispielsweise contoso.com, erstellen Sie eine verwaltete Domäne mit dem benutzerdefinierten Domänennamen dscontoso.com. Wenn Sie Secure LDAP verwenden, müssen Sie diesen benutzerdefinierten Domänennamen registrieren und sein Besitzer sein, um die erforderlichen Zertifikate generieren zu können.

Möglicherweise müssen Sie einige zusätzliche DNS-Einträge für andere Dienste in Ihrer Umgebung oder bedingte DNS-Weiterleitungen zwischen vorhandenen DNS-Namespaces in Ihrer Umgebung erstellen. Beispiel: Wenn Sie einen Webserver ausführen, der unter Verwendung des DNS-Stammnamens eine Website hostet, können Namenskonflikte auftreten, aufgrund derer zusätzliche DNS-Einträge erforderlich sind.

In diesen Tutorials und Anleitungen wird die benutzerdefinierte Domäne dscontoso.com als kurzes Beispiel verwendet. Geben Sie in allen Befehlen Ihren eigenen Domänennamen an.

Es gelten außerdem die folgenden Einschränkungen für DNS-Namen:

  • Einschränkungen für Domänenpräfixe: Sie können keine verwaltete Domäne mit einem Präfix erstellen, das länger ist als 15 Zeichen. Das Präfix des angegebenen Domänennamens (beispielsweise dscontoso im Domänennamen dscontoso.com) darf maximal 15 Zeichen lang sein.
  • Netzwerknamenskonflikte: Der DNS-Domänenname für Ihre verwaltete Domäne darf im virtuellen Netzwerk noch nicht vorhanden sein. Achten Sie speziell auf die folgenden Szenarien, die zu einem Namenskonflikt führen würden:
    • Im virtuellen Azure-Netzwerk ist bereits eine Active Directory-Domäne mit dem gleichen DNS-Domänennamen vorhanden.
    • Das virtuelle Netzwerk, in dem Sie die verwaltete Domäne aktivieren möchten, verfügt über eine VPN-Verbindung mit Ihrem lokalen Netzwerk. In diesem Szenario stellen Sie sicher, dass Sie keine Domäne mit demselben DNS-Domänennamen in Ihrem lokalen Netzwerk haben.
    • Im virtuellen Azure-Netzwerk ist bereits ein Azure-Clouddienst mit diesem Namen vorhanden.

Füllen Sie im Microsoft Entra Admin Center die Felder im Fenster Grundlagen aus, um eine verwaltete Domäne zu erstellen:

  1. Geben Sie einen DNS-Domänennamen für Ihre verwaltete Domäne ein, und berücksichtigen Sie dabei die oben genannten Punkte.

  2. Wählen Sie die Region, in der die verwaltete Domäne erstellt werden soll. Wenn Sie eine Region mit Unterstützung von Azure-Verfügbarkeitszonen auswählen, werden die Domain Services-Ressourcen auf mehrere Zonen verteilt, um zusätzliche Redundanz zu erzielen.

    Tipp

    Verfügbarkeitszonen sind eindeutige physische Standorte in einer Azure-Region. Jede Zone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren. Zur Gewährleistung der Resilienz sind in allen aktivierten Regionen mindestens drei separate Zonen vorhanden.

    Für die Verteilung auf Zonen für Domain Services fällt für Sie kein Konfigurationsaufwand an. Die Verteilung der Ressourcen auf Zonen wird von der Azure-Plattform automatisch durchgeführt. Weitere Informationen, z. B. zur regionalen Verfügbarkeit, finden Sie unter Was sind Verfügbarkeitszonen in Azure?.

  3. Die SKU bestimmt die Leistung und Sicherungshäufigkeit. Sie können die SKU nach der Erstellung der verwalteten Domäne ändern, wenn es Ihr Unternehmen erfordert oder sich die Anforderungen ändern. Weitere Informationen finden Sie unter Konzepte der Domain Services-SKU.

    Wählen Sie für dieses Tutorial die SKU Standard aus. Das Fenster Grundlagen sollte wie in diesem Screenshot aussehen:

    Screenshot of Basics configuration page for a managed domain.

Zum schnellen Erstellen einer verwalteten Domäne können Sie Überprüfen + erstellen auswählen, um zusätzliche Standardkonfigurationsoptionen zu akzeptieren. Bei Verwendung dieser Erstellungsoption werden folgende Standardwerte konfiguriert:

  • Es wird standardmäßig ein virtuelles Netzwerk mit dem Namen ds-vnet erstellt, das den IP-Adressbereich 10.0.1.0/24 verwendet.
  • Es wird ein Subnetz mit dem Namen ds-subnet erstellt, das den IP-Adressbereich 10.0.1.0/24 verwendet.
  • Alle Benutzer aus Microsoft Entra werden mit der verwalteten Domäne synchronisiert.

Hinweis

Aufgrund der folgenden Probleme sollten Sie keine öffentlichen IP-Adressen für virtuelle Netzwerke und deren Subnetze verwenden:

  • Knappheit der IP-Adresse: Öffentliche IPv4-IP-Adressen sind begrenzt, und die Nachfrage übersteigt häufig das verfügbare Angebot. Außerdem gibt es potenziell überlappende IP-Adressen mit öffentlichen Endpunkten.

  • Sicherheitsrisiken: Bei der Verwendung öffentlicher IP-Adressen für virtuelle Netzwerke sind Ihre Geräte direkt dem Internet ausgesetzt, wodurch das Risiko von nicht autorisiertem Zugriff und potenziellen Angriffen erhöht wird. Ohne geeignete Sicherheitsmaßnahmen können Ihre Geräte anfällig für verschiedene Bedrohungen werden.

  • Komplexität: Die Verwaltung eines virtuellen Netzwerks mit öffentlichen IP-Adressen kann komplexer sein als bei der Verwendung privater IP-Adressen, da der Umgang mit externen IP-Bereichen und die Gewährleistung einer angemessenen Netzwerksegmentierung und -sicherheit erforderlich sind.

Es wird dringend empfohlen, private IP-Adressen zu verwenden. Wenn Sie eine öffentliche IP-Adresse verwenden, stellen Sie sicher, dass Sie der Besitzer/dedizierte Benutzer der ausgewählten IP-Adressen in dem von Ihnen ausgewählten öffentlichen Bereich sind.

Wählen Sie Überprüfen + erstellen aus, um diese Standardkonfigurationsoptionen zu akzeptieren.

Bereitstellen der verwalteten Domäne

Überprüfen Sie die Konfigurationseinstellungen für Ihre verwaltete Domäne auf der Seite Zusammenfassung des Assistenten. Sie können zu jedem Schritt des Assistenten zurückgehen, um Änderungen vorzunehmen. Wenn Sie eine verwaltete Domäne mit diesen Konfigurationsoptionen auf konsistente Weise für einen anderen Microsoft Entra-Mandanten erneut bereitstellen möchten, können Sie auch eine Vorlage für die Automatisierung herunterladen.

  1. Wählen Sie zum Erstellen der verwalteten Domäne Erstellen aus. Ein Hinweis wird angezeigt, dass bestimmte Konfigurationsoptionen, etwa der DNS-Name oder das virtuelle Netzwerk, nach der Erstellung der verwalteten Domain Services-Domäne nicht geändert werden können. Wählen Sie OK aus, um fortzufahren.

    Screenshot of configuration options for managed domain.

  2. Der Prozess der Bereitstellung Ihrer verwalteten Domänen kann bis zu einer Stunde dauern. Es wird eine Benachrichtigung angezeigt, die Sie über den Status Ihrer Domain Services-Bereitstellung informiert.

  3. Wenn die verwaltete Domäne vollständig bereitgestellt ist, zeigt die Registerkarte Overview (Übersicht) den Domänenstatus als Running (Wird ausgeführt) an. Erweitert die Bereitstellungsdetails für Links zu Ressourcen, z. B. virtuelles Netzwerk und Netzwerkressourcengruppe.

    Screenshot of deployment details for a managed domain.

Wichtig

Die verwaltete Domäne wird Ihrem Microsoft Entra-Verzeichnis zugeordnet. Während des Bereitstellungsprozesses erstellt Domain Services im Microsoft Entra-Verzeichnis zwei Unternehmensanwendungen mit den Namen Domain Controller Services und AzureActiveDirectoryDomainControllerServices. Diese Unternehmensanwendungen werden zur Unterstützung Ihrer verwalteten Domäne benötigt. Löschen Sie diese Anwendungen nicht.

Aktualisieren der DNS-Einstellungen für das virtuelle Azure-Netzwerk

Nachdem Domain Services erfolgreich bereitgestellt wurde, konfigurieren Sie nun das virtuelle Netzwerk so, dass andere verbundene VMs und Anwendungen die verwaltete Domäne verwenden können. Um diese Konnektivität zu ermöglichen, aktualisieren Sie die DNS-Servereinstellungen für Ihr virtuelles Netzwerk so, dass diese auf die beiden IP-Adressen verweisen, unter denen die verwaltete Domäne bereitgestellt ist.

  1. Auf der Registerkarte Übersicht für Ihre verwaltete Domäne werden einige erforderliche Konfigurationsschritte angezeigt. Der erste Konfigurationsschritt besteht darin, die DNS-Servereinstellungen für Ihr virtuelles Netzwerk zu aktualisieren. Sobald die DNS-Einstellungen ordnungsgemäß konfiguriert sind, wird dieser Schritt nicht mehr angezeigt.

    Die aufgelisteten Adressen sind die Domänencontroller, die im virtuellen Netzwerk genutzt werden können. In diesem Beispiel lauten die Adressen 10.0.1.4 und 10.0.1.5. Sie finden diese IP-Adressen später auf der Registerkarte Eigenschaften.

    Screenshot of Overview page for a managed domain.

  2. Klicken Sie auf die Schaltfläche Konfigurieren, um die DNS-Servereinstellungen für das virtuelle Netzwerk zu aktualisieren. Die DNS-Einstellungen werden automatisch für Ihr virtuelles Netzwerk konfiguriert.

Tipp

Wenn Sie in den vorherigen Schritten ein virtuelles Netzwerk ausgewählt haben, erhalten alle VMs, die mit dem Netzwerk verbunden sind, die neuen DNS-Einstellungen erst nach einem Neustart. Sie können VMs über das Microsoft Entra Admin Center, Microsoft Graph PowerShell oder die Azure-Befehlszeilenschnittstelle neu starten.

Aktivieren von Benutzerkonten für Domain Services

Um Benutzer*innen in der verwalteten Domäne authentifizieren zu können, benötigt Domain Services Kennworthashes in einem Format, das für die Authentifizierung über NT LAN Manager (NTLM) und Kerberos geeignet ist. Microsoft Entra ID generiert oder speichert erst dann Kennworthashes in dem für die NTLM- oder Kerberos-Authentifizierung erforderlichen Format, wenn Sie Domain Services für Ihren Mandanten aktivieren. Aus Sicherheitsgründen speichert Microsoft Entra ID Kennwörter nicht als Klartext. Daher kann Microsoft Entra IID diese NTLM- oder Kerberos-Kennworthashes nicht automatisch auf der Grundlage bereits vorhandener Anmeldeinformationen von Benutzern generieren.

Hinweis

Nach entsprechender Konfiguration werden die verwendbaren Kennworthashes in der verwalteten Domäne gespeichert. Wenn Sie die verwaltete Domäne löschen, werden alle zu diesem Zeitpunkt gespeicherten Kennworthashes ebenfalls gelöscht.

Synchronisierte Anmeldeinformationen in Microsoft Entra ID können nicht wiederverwendet werden, wenn Sie später eine verwaltete Domäne erstellen. Sie müssen die Kennworthashsynchronisierung erneut konfigurieren, um die Kennworthashes wieder zu speichern. VMs oder Benutzer, die zuvor in eine Domäne eingebunden wurden, können sich nicht sofort authentifizieren. Microsoft Entra ID muss die Kennworthashes in der neuen verwalteten Domäne generieren und speichern.

Microsoft Entra Connect-Cloudsynchronisierung wird von Domain Services nicht unterstützt. Lokale Benutzer müssen mithilfe von Microsoft Entra Connect synchronisiert werden, damit der Zugriff auf in Domänen eingebundene VMs möglich ist. Weitere Informationen finden Sie unter Prozess zur Kennworthashsynchronisierung für Domain Services und Microsoft Entra Connect.

Zum Generieren und Speichern dieser Kennworthashes müssen für in Microsoft Entra ID erstellte reine Cloudbenutzerkonten andere Schritte ausgeführt werden als für Benutzerkonten, die mit Microsoft Entra Connect aus Ihrem lokalen Verzeichnis synchronisiert werden.

Ein reines Cloudbenutzerkonto ist ein Konto, das in Ihrem Microsoft Entra-Verzeichnis über das Microsoft Entra Admin Center oder PowerShell erstellt wurde. Diese Benutzerkonten werden nicht von einem lokalen Verzeichnis aus synchronisiert.

In diesem Tutorial verwenden wir ein einfaches, rein cloudbasiertes Benutzerkonto. Weitere Informationen zu den zusätzlichen Schritten, die für die Verwendung von Microsoft Entra Connect erforderlich sind, finden Sie unter Synchronisieren von Kennworthashes für Benutzerkonten, die von Ihrem lokalen Active Directory aus in Ihrer verwalteten Domäne synchronisiert werden.

Tipp

Wenn Ihr Microsoft Entra-Verzeichnis über eine Kombination aus reinen Cloudbenutzer*innen und synchronisierten Benutzer*innen verfügt, müssen beide Prozeduren durchgeführt werden.

Bei reinen Cloudbenutzerkonten müssen Benutzer*innen ihre Kennwörter ändern, bevor sie Domain Services verwenden können. Diese Kennwortänderung führt dazu, dass die Kennworthashes für die Kerberos- und NTLM-Authentifizierung in Microsoft Entra ID generiert und gespeichert werden. Das Konto wird erst dann von Microsoft Entra ID mit Domain Services synchronisiert, wenn das Kennwort geändert wird. Markieren Sie die Kennwörter für alle Cloudbenutzer*innen im Mandanten, die Domain Services verwenden müssen, als „abgelaufen“, wodurch bei der nächsten Anmeldung eine Kennwortänderung erzwungen wird. Alternativ dazu können Sie Cloudbenutzer*innen anweisen, ihre Kennwörter manuell zu ändern. In diesem Tutorial ändern wir ein Benutzerkennwort manuell.

Bevor ein Benutzer sein Kennwort zurücksetzen kann, muss der Microsoft Entra-Mandant für die Self-Service-Kennwortzurücksetzung konfiguriert werden.

Wenn Sie reiner Cloudbenutzer sind, müssen Sie zum Ändern des Kennworts folgende Schritte ausführen:

  1. Gehen Sie zur Seite „Microsoft Entra ID-Zugriffsbereich“ unter https://myapps.microsoft.com.

  2. Klicken Sie in der oberen rechten Ecke auf Ihren Namen, und wählen Sie dann aus dem Dropdownmenü die Option Profil aus.

    Screenshot of how to select a profile.

  3. Klicken Sie auf der Seite Profil auf Kennwort ändern.

  4. Geben Sie auf der Seite Kennwort ändern Ihr vorhandenes (altes) Kennwort ein. Geben Sie dann ein neues Kennwort ein und bestätigen dies.

  5. Klicken Sie auf Senden.

Nach der Kennwortänderung dauert es einige Minuten, bis das neue Kennwort in Domain Services verwendet werden kann und Sie sich bei Computern anmelden können, die in die verwaltete Domäne eingebunden sind.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Grundlegendes zu den DNS-Anforderungen für eine verwaltete Domäne
  • Erstellen einer verwalteten Domäne
  • Hinzufügen von Administratorbenutzern zur Domänenverwaltung
  • Aktivieren von Benutzerkonten für Domain Services und Generieren von Kennworthashes

Konfigurieren Sie ein virtuelles Azure-Netzwerk für Anwendungsworkloads, bevor Sie virtuelle Computer in eine Domäne einbinden und Anwendungen bereitstellen, die die verwaltete Domäne verwenden.