Esercitazione: Creare un trust tra foreste bidirezionale in Microsoft Entra Domain Services con un dominio locale

È possibile creare un trust tra foreste tra Microsoft Entra Domain Services e gli ambienti di Active Directory Domain Services locali. Questa relazione di trust tra foreste consente a utenti, applicazioni e computer di eseguire l'autenticazione in un dominio locale dal dominio gestito di Domain Services. Un trust tra foreste può aiutare gli utenti ad accedere alle risorse in scenari come:

  • Ambienti in cui non è possibile sincronizzare gli hash delle password o in cui gli utenti accedono esclusivamente tramite smart card e non conoscono la password.
  • Scenari ibridi che richiedono l'accesso ai domini locali.

È possibile scegliere tra tre possibili direzioni quando si crea un trust tra foreste, a seconda del modo in cui gli utenti devono accedere alle risorse. Domain Services supporta solo i trust tra foreste. Un trust esterno a un dominio figlio locale non è supportato.

Direzione del trust Accesso utente
Bidirezionale Consente agli utenti sia nel dominio gestito sia nel dominio locale di accedere alle risorse in entrambi i domini.
Unidirezionale in uscita Consente agli utenti nel dominio locale di accedere alle risorse nel dominio gestito, ma non viceversa.
Unidirezionale in ingresso Consente agli utenti nel dominio gestito di accedere alle risorse nel dominio locale.

Diagramma del trust tra foreste tra Domain Services e un dominio locale.

In questa esercitazione apprenderai a:

  • Configurare il DNS in un dominio Active Directory Domain Services locale per supportare la connettività a Domain Services
  • Creare un trust tra foreste bidirezionale tra il dominio gestito e il dominio locale
  • Testare e convalidare la relazione di trust tra foreste per l'autenticazione e l'accesso alle risorse

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

Importante

Per il dominio gestito sarà necessario usare almeno uno SKU Enterprise. Se necessario, cambiare lo SKU di un dominio gestito.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione viene creato e configurato un trust tra foreste in uscita da Domain Services tramite l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere all'interfaccia di amministrazione di Microsoft Entra.

Considerazioni sulla rete

La rete virtuale che ospita la foresta di Domain Services richiede una connessione VPN o ExpressRoute all'istanza di Active Directory locale. Anche le applicazioni e i servizi necessitano di connettività di rete alla rete virtuale che ospita la foresta di Domain Services. La connettività di rete alla foresta di Domain Services deve essere sempre attiva e stabile. In caso contrario l'autenticazione degli utenti o l'accesso alle risorse potrebbero non riuscire.

Prima di configurare un trust tra foreste in Domain Services, assicurarsi che la rete tra Azure e l'ambiente locale soddisfi i requisiti seguenti:

  • Assicurarsi che le porte del firewall consentano il traffico necessario per creare e usare un trust. Per altre informazioni sulle porte da aprire per usare un trust, vedere Configurare le impostazioni del firewall per i trust di Active Directory Domain Services.
  • Usare indirizzi IP privati. Non basarsi sul protocollo DHCP con l'assegnazione di indirizzi IP dinamici.
  • Evitare la sovrapposizione degli spazi indirizzi IP per consentire il peering di reti virtuali e il routing per la comunicazione corretta tra Azure e l'ambiente locale.
  • Una rete virtuale di Azure richiede una subnet gateway per configurare una VPN da sito a sito di Azure o una connessione ExpressRoute.
  • Creare subnet con un numero di indirizzi IP sufficiente per supportare lo scenario.
  • Assicurarsi che Domain Services disponga di una subnet dedicata, non condividere la subnet della rete virtuale con le macchine virtuali e i servizi dell'applicazione.
  • Le reti virtuali con peering NON sono transitive.
    • È necessario creare i peering di reti virtuali di Azure tra tutte le reti virtuali per cui si vuole usare il trust tra foreste di Domain Services per l'ambiente Active Directory Domain Services locale.
  • Fornire connettività di rete continua alla foresta Active Directory locale. Non usare connessioni su richiesta.
  • Assicurarsi che sia presente la risoluzione dei nomi DNS continua tra il nome della foresta di Domain Services e il nome della foresta Active Directory locale.

Configurare il DNS nel dominio locale

Per risolvere correttamente il dominio gestito dall'ambiente locale, può essere necessario aggiungere server d'inoltro ai server DNS esistenti. Per configurare l'ambiente locale per comunicare con il dominio gestito, completare i passaggi seguenti da una workstation di gestione per il dominio di Active Directory Domain Services locale:

  1. Fare clic su Start>Strumenti di amministrazione>DNS.

  2. Selezionare la zona DNS, ad esempio aaddscontoso.com.

  3. Selezionare Server d'inoltro condizionali, quindi fare clic con il pulsante destro del mouse e scegliere Nuovo server d'inoltro condizionale...

  4. Specificare l'altro Dominio DNS, ad esempio contoso.com, quindi immettere gli indirizzi IP dei server DNS per tale spazio dei nomi, come illustrato nell'esempio seguente:

    Screenshot che mostra come aggiungere e configurare un server d'inoltro condizionale per il server DNS.

  5. Selezionare la casella per Archivia questo server d'inoltro condizionale in Active Directory e replicalo come indicato di seguito, quindi selezionare l'opzione per Tutti i server DNS in questo dominio, come illustrato nell'esempio seguente:

    Screenshot che mostra come selezionare Tutti i server DNS in questo dominio.

    Importante

    Se il server d'inoltro condizionale viene archiviato nella foresta anziché nel dominio, il server d'inoltro condizionale presenta un errore.

  6. Per creare il server d'inoltro condizionale, selezionare OK.

Creare un trust tra foreste bidirezionale nel dominio locale

Il dominio di Active Directory Domain Services locale richiede un trust tra foreste bidirezionale per il dominio gestito. Il trust deve essere creato manualmente nel dominio di Active Directory Domain Services locale e non può essere creato dall'interfaccia di amministrazione di Microsoft Entra.

Per configurare un trust bidirezionale nel dominio Active Directory Domain Services locale, completare i passaggi seguenti come Amministratore di dominio da una workstation di gestione per il dominio di Active Directory Domain Services locale:

  1. Fare clic su Start>Strumenti di amministrazione>Domini e trust di Active Directory.
  2. Fare clic con il pulsante destro del mouse sul dominio, ad esempio onprem.contoso.com e quindi scegliere Proprietà.
  3. Scegliere la scheda Trust, quindi Nuova relazione di trust.
  4. Immettere il nome per il dominio di Domain Services, ad esempio aaddscontoso.com e quindi selezionare Avanti.
  5. Selezionare l'opzione per creare un Trust tra foreste, quindi creare un trust Bidirezionale.
  6. Scegliere di creare il trust per Solo questo dominio. Nel passaggio successivo si creerà il trust nell'interfaccia di amministrazione di Microsoft Entra per il dominio gestito.
  7. Scegliere di usare l'Autenticazione estesa a tutta la foresta, quindi immettere e confermare una password del trust. Questa stessa password verrà anche immessa nell'interfaccia di amministrazione di Microsoft Entra nella sezione successiva.
  8. Per le finestre successive lasciare le opzioni predefinite, quindi scegliere l'opzione No, non confermare il trust in uscita.
  9. Selezionare Fine.

Se il trust tra foreste non è più necessario per un ambiente, completare la procedura seguente come Amministratore di dominio per rimuoverlo dal dominio locale:

  1. Fare clic su Start>Strumenti di amministrazione>Domini e trust di Active Directory.
  2. Fare clic con il pulsante destro del mouse sul dominio, ad esempio onprem.contoso.com e quindi scegliere Proprietà.
  3. Scegliere la scheda Trust, quindi Domini trusting di questo dominio (trust in ingresso), fare clic sul trust da rimuovere e quindi su Rimuovi.
  4. Nella scheda Trust in Domini trusted di questo dominio (trust in uscita), fare clic sul trust da rimuovere e quindi su Rimuovi.
  5. Fare clic su No, rimuovi il trust soltanto dal dominio locale.

Creare un trust tra foreste bidirezionale in Domain Services

Per creare il trust bidirezionale per il dominio gestito nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services, quindi selezionare il dominio gestito, ad esempio aaddscontoso.com.

  2. Nel menu sul lato sinistro del dominio gestito selezionare Trust, quindi scegliere + Aggiungi per aggiungere un trust.

  3. Selezionare bidirezionale come direzione del trust.

  4. Immettere un nome visualizzato che identifichi il trust, quindi il nome DNS della foresta trusted locale, ad esempio onprem.contoso.com.

  5. Specificare la stessa password del trust usata durante la configurazione del trust tra foreste in ingresso per il dominio Active Directory Domain Services locale nella sezione precedente.

  6. Specificare almeno due server DNS per il dominio Active Directory Domain Services locale, ad esempio 10.1.1.4 e 10.1.1.5.

  7. Quando si è pronti, fare clic su Salva per salvare il trust tra foreste in uscita.

    Screenshot che mostra come creare un trust tra foreste in uscita nell'interfaccia di amministrazione di Microsoft Entra.

Se il trust tra foreste non è più necessario per un ambiente, completare la procedura seguente come Amministratore di dominio per rimuoverlo da Domain Services:

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services, quindi selezionare il dominio gestito, ad esempio aaddscontoso.com.
  2. Nel menu sul lato sinistro del dominio gestito selezionare Trust, quindi scegliere il trust e fare clic su Rimuovi.
  3. Specificare la stessa password del trust usata per configurare il trust tra foreeste e fare clic su OK.

Convalidare l'autenticazione delle risorse

Gli scenari comuni seguenti consentono di verificare che il trust tra foreste esegua correttamente l'autenticazione degli utenti e l'accesso alle risorse:

Autenticazione utente locale dalla foresta di Domain Services

È necessario che la macchina virtuale Windows Server sia stata aggiunta al dominio gestito. Usare questa macchina virtuale per verificare che l'utente locale possa eseguire l'autenticazione in una macchina virtuale. Se necessario, creare una macchina virtuale Windows e aggiungerla al dominio gestito.

  1. Connettersi alla macchina virtuale Windows Server aggiunta alla foresta di Domain Services usando Azure Bastion e le credenziali di amministratore di Domain Services.

  2. Aprire un prompt dei comandi e usare il comando whoami per visualizzare il nome distinto dell'utente attualmente autenticato:

    whoami /fqdn
    
  3. Usare il comando runas per eseguire l'autenticazione come utente dal dominio locale. Nel comando seguente sostituire userUpn@trusteddomain.com con il nome dell'entità utente di un utente dal dominio locale attendibile. Il comando richiede l'immissione della password dell'utente:

    Runas /u:userUpn@trusteddomain.com cmd.exe
    
  4. Se l'autenticazione ha esito positivo, verrà aperto un nuovo prompt dei comandi. Il titolo del nuovo prompt dei comandi include running as userUpn@trusteddomain.com.

  5. Usare whoami /fqdn nel nuovo prompt dei comandi per visualizzare il nome distinto dell'utente autenticato da Active Directory locale.

Accesso alle risorse nella foresta di Domain Services usando un utente locale

Dalla macchina virtuale Windows Server aggiunta alla foresta di Domain Services è possibile testare gli scenari. Ad esempio, è possibile verificare se un utente che accede al dominio locale può accedere alle risorse nel dominio gestito. Gli esempi seguenti illustrano gli scenari di test comuni.

Abilitare la condivisione di file e stampanti

  1. Connettersi alla macchina virtuale Windows Server aggiunta alla foresta di Domain Services usando Azure Bastion e le credenziali di amministratore di Domain Services.

  2. Aprire Impostazioni di Windows.

  3. Cercare e selezionare Centro connessioni di rete e condivisione.

  4. Scegliere l'opzione per Modifica impostazioni di condivisione avanzate.

  5. In Profilo di dominio selezionare Attiva condivisione file e stampanti e quindi Salva modifiche.

  6. Chiudere Centro connessioni di rete e condivisione.

Creare un gruppo di sicurezza e aggiungere membri

  1. Aprire Utenti e computer di Active Directory.

  2. Fare clic con il pulsante destro del mouse sul nome di dominio, scegliere Nuovo, quindi selezionare Unità organizzativa.

  3. Nella casella del nome digitare LocalObjects e quindi selezionare OK.

  4. Scegliere e fare clic con il pulsante destro del mouse su LocalObjects nel riquadro di spostamento. Scegliere Nuovo e quindi Gruppo.

  5. Digitare FileServerAccess nella casella Nome gruppo. Per Ambito gruppo selezionare Locale dominio, quindi scegliere OK.

  6. Nel riquadro del contenuto fare doppio clic su FileServerAccess. Selezionare Membri, scegliere Aggiungi, quindi selezionare Percorsi.

  7. Selezionare l'istanza di Active Directory locale dalla visualizzazione Percorsi, quindi scegliere OK.

  8. Digitare Utenti del dominio nella casella Immettere i nomi degli oggetti da selezionare. Selezionare Controlla nomi, fornire le credenziali per l'istanza di Active Directory locale, quindi selezionare OK.

    Nota

    È necessario fornire le credenziali perché la relazione di trust è unidirezionale. Questo significa che gli utenti del dominio gestito di Domain Services non possono accedere alle risorse o cercare utenti o gruppi nel dominio trusted (locale).

  9. Il gruppo Utenti del dominio dell'istanza di Active Directory locale deve essere membro del gruppo FileServerAccess. Selezionare OK per salvare il gruppo e chiudere la finestra.

Creare una condivisione file per l'accesso tra foreste

  1. Nella macchina virtuale Windows Server aggiunta alla foresta di Domain Services creare una cartella e specificare un nome, ad esempio CrossForestShare.
  2. Fare clic con il pulsante destro del mouse sulla nuova cartella e scegliere Proprietà.
  3. Selezionare la scheda Sicurezza e quindi scegliere Modifica.
  4. Nella finestra di dialogo Autorizzazioni per CrossForestShare selezionare Aggiungi.
  5. Digitare FileServerAccess in Immettere i nomi degli oggetti da selezionare, quindi selezionare OK.
  6. Selezionare FileServerAccess dall'elenco Gruppi o nomi utente. Nell'elenco Autorizzazioni per FileServerAccess scegliere Consenti per le autorizzazioni di modifica e scrittura, quindi selezionare OK.
  7. Selezionare la scheda Condivisione, quindi scegliere Condivisione avanzata.
  8. Scegliere Condividi la cartella, quindi immettere un nome facile da ricordare per la condivisione file in Nome condivisione, ad esempio CrossForestShare.
  9. Selezionare Autorizzazioni. Nell'elenco Autorizzazioni per Everyone scegliere Consenti per l'autorizzazione Modifica.
  10. Selezionare OK due volte e quindi Chiudi.

Convalidare l'autenticazione tra foreste a una risorsa

  1. Accedere a un computer Windows aggiunto all'istanza di Active Directory locale usando un account utente di Active Directory locale.

  2. Con Esplora risorse connettersi alla condivisione creata usando il nome host completo e la condivisione, ad esempio \\fs1.aaddscontoso.com\CrossforestShare.

  3. Per convalidare l'autorizzazione di scrittura, fare clic con il pulsante destro del mouse sulla cartella, scegliere Nuovo e quindi selezionare Documento di testo. Usare il nome predefinito Nuovo documento di testo.

    Se le autorizzazioni di scrittura sono impostate correttamente, verrà creato un nuovo documento di testo. Completare i passaggi seguenti per aprire, modificare ed eliminare il file in base alle esigenze.

  4. Per convalidare l'autorizzazione di lettura, aprire il Nuovo documento di testo.

  5. Per convalidare l'autorizzazione di modifica, aggiungere testo al file e chiudere Blocco note. Quando viene richiesto di salvare le modifiche, scegliere Salva.

  6. Per convalidare l'autorizzazione di eliminazione, fare clic con il pulsante destro del mouse su Nuovo documento di testo e scegliere Elimina. Scegliere per confermare l'eliminazione del file.

Passaggi successivi

Questa esercitazione ha descritto come:

  • Configurare il DNS in un ambiente Active Directory Domain Services locale per supportare la connettività a Domain Services
  • Creare un trust tra foreste in ingresso unidirezionale in un ambiente Active Directory Domain Services locale
  • Creare un trust tra foreste in uscita unidirezionale in Domain Services
  • Testare e convalidare la relazione di trust per l'autenticazione e l'accesso alle risorse

Per altre informazioni concettuali sulla foresta in Domain Services, vedere Funzionamento dei trust tra foreste in Domain Services.