Интеграция доменных служб Microsoft Entra с развертыванием RDS
Доменные службы Microsoft Entra можно использовать в развертывании служб удаленных рабочих столов вместо Windows Server Active Directory. Доменные службы Microsoft Entra позволяют использовать существующие удостоверения Microsoft Entra в классических рабочих нагрузках Windows.
С помощью доменных служб Microsoft Entra вы можете:
- создать среду Azure с локальным доменом для полностью облачных организаций;
- создать изолированную среду Azure с теми же удостоверениями, которые используются для локальной и онлайн-среды без необходимости создания соединения ExpressRoute или VPN-соединения типа "сеть-сеть".
После завершения интеграции доменных служб Microsoft Entra в развертывание удаленного рабочего стола архитектура будет выглядеть примерно так:
Чтобы сравнить эту архитектуру с другими сценариями развертывания служб удаленных рабочих столов, см. статью Архитектура служб удаленных рабочих столов.
Чтобы лучше понять доменные службы Microsoft Entra, проверка обзор доменных служб Microsoft Entra и как решить, подходит ли доменные службы Microsoft Entra для вашего варианта использования.
Используйте следующие сведения для развертывания доменных служб Microsoft Entra с помощью RDS.
Необходимые компоненты
Прежде чем вы сможете перенести удостоверения из идентификатора Microsoft Entra для использования в развертывании RDS, настройте идентификатор Microsoft Entra, чтобы сохранить хэшированные пароли для удостоверений пользователей. Организации, родившиеся в облаке, не должны вносить дополнительные изменения в каталоге; однако локальным организациям необходимо разрешить синхронизацию хэшей паролей и хранить их в идентификаторе Microsoft Entra, что может быть недопустимо для некоторых организаций. Пользователи вынуждены сбрасывать свои пароли после смены настроек.
Развертывание доменных служб Microsoft Entra и RDS
Чтобы развернуть доменные службы Microsoft Entra и RDS, выполните следующие действия.
Включите доменные службы Microsoft Entra. Обратите внимание, что статья по ссылке охватывает следующие действия:
- Пошаговое руководство по созданию соответствующих групп Microsoft Entra для администрирования домена.
- Выделите, когда пользователям может потребоваться изменить пароль, чтобы учетные записи могли работать с доменными службами Microsoft Entra.
Задайте настройки службы удаленных рабочих столов. Вы можете использовать шаблон Azure или развернуть службу удаленных рабочих столов вручную.
Используйте существующий шаблон доменных служб. Не забудьте задать следующие настройки.
Параметры
Группа ресурсов. Используйте группу ресурсов, в которой требуется создать ресурсы RDS.
Примечание.
Это должна быть та же группа ресурсов, в которой существует виртуальная сеть диспетчера ресурсов Azure.
Префикс метки DNS: введите URL-адрес, который пользователи будут использовать для доступа к интернету удаленных рабочих столах.
Доменное имя ad: введите полное имя экземпляра Microsoft Entra, например "contoso.onmicrosoft.com" или "contoso.com".
Имя виртуальной сети Ad и имя подсети Ad. Введите те же значения, которые использовались при создании виртуальной сети Azure resource manager. Это подсеть, к которой будут подключаться ресурсы служб удаленных рабочих столов.
Администратор имя пользователя и пароль Администратор: введите учетные данные для пользователя администратора, являющегося членом группы Администратор istratorов контроллера домена AAD в идентификаторе Microsoft Entra.
Шаблон
Удалите все свойства dnsServers: выбрав команду Изменить шаблон на странице шаблона быстрого запуска Azure найдите запись dnsServers и удалите свойство.
Например, перед удалением свойства dnsServers:
Здесь тот же файл после удаления свойства: