教學課程:使用內部部署網域以在 Microsoft Entra Domain Services 中建立雙向樹系信任

您可以在 Microsoft Entra Domain Services 與內部部署 AD DS 環境之間建立樹系信任。 此樹系信任關係可讓使用者、應用程式和電腦向 Domain Services 受控網域中的內部部署網域進行驗證。 樹系信任可以協助使用者在如下案例中存取資源:

  • 無法同步密碼雜湊的環境,或使用者專門使用智慧卡登入,卻不知道其密碼的環境。
  • 需要存取內部部署網域的混合式案例。

根據使用者存取資源的方式,在您建立樹系信任時,可以從三個可能的方向中進行選擇。 Domain Services 僅支援樹系信任。 不支援子網域內部部署環境的外部信任。

信任方向 使用者存取
雙向 可讓受控網域和內部部署網域中的使用者存取任一網域中的資源。
單向連出 可讓內部部署網域中的使用者存取受控網域中的資源,但反之則無法。
單向連入 可讓受控網域中的使用者存取內部部署網域中的資源。

Domain Services 與內部部署網域之間的樹系信任圖表。

在本教學課程中,您會了解如何:

  • 在內部部署 AD DS 網域中設定 DNS 以支援 Domain Services 連線
  • 建立受控網域與內部部署網域之間的雙向樹系信任
  • 測試和驗證樹系信任關係以進行驗證和資源存取

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶

必要條件

若要完成本教學課程,您需要下列資源和權限:

重要

您至少必須使用受控網域的 Enterprise SKU。 如有需要,請變更受控網域的 SKU

登入 Microsoft Entra 系統管理中心

在本教學課程中,您會使用 Microsoft Entra 系統管理中心以從 Domain Services 建立和設定輸出樹系信任。 若要開始使用,請先登入 Microsoft Entra 系統管理中心

網路考量

裝載 Domain Services 樹系的虛擬網路需要 VPN 或 ExpressRoute 連線才能連線至內部部署 Active Directory。 應用程式和服務也需要與裝載 Domain Services 樹系的虛擬網路的網路連線。 與 Domain Services 樹系的網路連線必須一律開啟且保持穩定,否則使用者可能無法驗證或存取資源。

在 Domain Services 中設定樹系信任之前,請確定 Azure 與內部部署環境之間的網路功能符合下列需求:

  • 請確定防火牆連接埠允許建立和使用信任所需的流量。 如需需要開啟哪些連接埠才能使用信任的詳細資訊,請參閱設定 AD DS 信任的防火牆設定
  • 使用私人 IP 位址。 不要依賴具有動態 IP 位址指派的 DHCP。
  • 避免重疊的 IP 位址空間,讓虛擬網路對等互連和路由能夠成功地在 Azure 與內部部署之間通訊。
  • Azure 虛擬網路需要閘道子網路來設定 Azure 站對站 (S2S) VPNExpressRoute 連線。
  • 建立具有足夠 IP 位址的子網路,以支援您的案例。
  • 請確定 Domain Services 有自己的子網路,而且請不要與應用程式 VM 和服務共用此虛擬網路子網路。
  • 對等互連虛擬網路「不可」轉移。
    • 必須在您想要對內部部署 AD DS 環境使用 Domain Services 樹系信任的所有虛擬網路之間建立 Azure 虛擬網路對等互連。
  • 提供內部部署 Active Directory 樹系的持續網路連線能力。 請勿使用指定連線。
  • 請確定您的 Domain Services 樹系名稱與內部部署 Active Directory 樹系名稱之間有持續的 DNS 名稱解析。

設定內部部署網域中的 DNS

若要從內部部署環境正確地解析受控網域,建議您將轉寄站新增至現有的 DNS 伺服器。 若要將內部部署環境設定為可與受控網域進行通訊,請從內部部署 AD DS 網域的管理工作站來完成下列步驟:

  1. 選取 [開始]>[系統管理工具]>[DNS]

  2. 選取您的 DNS 區域,例如 aaddscontoso.com

  3. 選取 [條件式轉寄站],然後以滑鼠右鍵按一下並選擇 [新增條件式轉寄站...]

  4. 輸入其他 DNS 網域,例如 contoso.com,然後輸入該命名空間的 DNS 伺服器 IP 位址,如下列範例所示:

    如何為 DNS 伺服器新增和設定條件式轉寄站的螢幕擷取畫面。

  5. 勾選 [在 Active Directory 中儲存此條件式轉寄站,並複寫如下] 方塊,然後選取 [此網域中的所有 DNS 伺服器] 選項,如下列範例所示:

    如何選取此網域中 [所有 DNS 伺服器] 的螢幕擷取畫面。

    重要

    如果條件式轉寄站儲存在「樹系」中,而不是「網域」中,條件式轉寄站就會失敗。

  6. 若要建立條件式轉寄站,請選取 [確定]

在內部部署網域中建立雙向樹系信任

內部部署 AD DS 網域需要受控網域的雙向樹系信任。 此信任必須在內部部署 AD DS 網域中手動予以建立,無法從 Microsoft Entra 系統管理中心予以建立。

若要在內部部署 AD DS 網域中設定雙向信任,請以網域系統管理員身分從內部部署 AD DS 網域的管理工作站來完成下列步驟:

  1. 選取 [開始]>[系統管理工具]>[Active Directory 網域及信任]
  2. 以滑鼠右鍵按一下網域,例如 onprem.contoso.com,然後選取 [屬性]
  3. 選擇 [信任] 索引標籤,然後選擇 [新增信任]
  4. 輸入 Domain Services 網域名稱的名稱 (例如 aaddscontoso.com),然後選取 [下一步]
  5. 選取選項以建立「樹系信任」,然後建立「雙向」信任。
  6. 選擇為僅此網域建立信任。 在下一個步驟中,您會在受控網域的 Microsoft Entra 系統管理中心中建立信任。
  7. 選擇使用全樹系驗證,然後輸入並確認信任密碼。 在下節中,也會在 Microsoft Entra 系統管理中心中輸入這個相同的密碼。
  8. 使用預設選項逐步執行接下來的幾個視窗,然後選擇 [否,不要確認外寄信任] 的選項。
  9. 選取 [完成]。

如果環境不再需要樹系信任,則請以網域系統管理員身分完成下列步驟,以將其從內部部署網域中移除:

  1. 選取 [開始]>[系統管理工具]>[Active Directory 網域及信任]
  2. 以滑鼠右鍵按一下網域,例如 onprem.contoso.com,然後選取 [屬性]
  3. 選擇 [信任] 索引標籤,然後選擇 [信任這個網域的網域 (連入的信任)],按一下要移除的信任,然後按一下 [移除]
  4. 在 [信任] 索引標籤的 [被這個網域所信任的網域 (連出的信任)] 下,按一下要移除的信任,然後按一下 [移除]。
  5. 按一下 [否,只將信任從本機網域移除]

在 Domain Services 中建立雙向樹系信任

若要在 Microsoft Entra 系統管理中心建立受控網域的雙向信任,請完成下列步驟:

  1. 在 Microsoft Entra 系統管理中心中,搜尋並選取 [Microsoft Entra Domain Services],然後選取您的受控網域 (例如 aaddscontoso.com)。

  2. 從受控網域左側的功能表中選取 [信任],然後選擇 [+ 新增] 信任。

  3. 選取 [雙向] 作為信任方向。

  4. 輸入顯示名稱來識別您的信任,然後輸入內部部署信任的樹系 DNS 名稱,例如 onprem.contoso.com

  5. 提供在上一節中設定內部部署 AD DS 網域的輸入樹系信任時,使用的相同信任密碼。

  6. 為內部部署 AD DS 網域提供至少兩部 DNS 伺服器,例如 10.1.1.4 和 10.1.1.5

  7. 準備好時,儲存輸出樹系信任。

    如何在 Microsoft Entra 系統管理中心建立輸出樹系信任的螢幕擷取畫面。

如果環境不再需要樹系信任,則請完成下列步驟,以將其從 Domain Services 中移除:

  1. 在 Microsoft Entra 系統管理中心中,搜尋並選取 [Microsoft Entra Domain Services],然後選取您的受控網域 (例如 aaddscontoso.com)。
  2. 從受控網域左側的功能表中選取 [信任],選擇信任,然後按一下 [移除]
  3. 提供用來設定樹系信任的相同信任密碼,然後按一下 [確定]

驗證資源驗證

下列常見案例可讓您驗證樹系信任是否正確地驗證使用者和資源的存取權:

來自 Domain Services 樹系的內部部署使用者驗證

您應該已將 Windows Server 虛擬機器加入受控網域。 使用這部虛擬機器來測試您的內部部署使用者是否可以在虛擬機器上進行驗證。 如有需要,請建立 Windows VM,並將其加入受控網域

  1. 使用 Azure Bastion 和您的 Domain Services 系統管理員認證,連線至已加入 Domain Services 樹系的 Windows Server VM。

  2. 開啟命令提示字元,然後使用 whoami 命令來顯示目前已驗證使用者的辨別名稱:

    whoami /fqdn
    
  3. 使用 runas 命令,以來自內部部署網域的使用者身分進行驗證。 在下列命令中,以來自受信任內部部署網域之使用者的 UPN 取代 userUpn@trusteddomain.com。 此命令會提示您輸入使用者密碼:

    Runas /u:userUpn@trusteddomain.com cmd.exe
    
  4. 如果驗證成功,就會開啟新的命令提示字元。 新命令提示字元的標題包含 running as userUpn@trusteddomain.com

  5. 在新的命令提示字元中使用 whoami /fqdn,以從內部部署 Active Directory 檢視已驗證使用者的辨別名稱。

使用內部部署使用者來存取 Domain Services 樹系中的資源

從已加入 Domain Services 樹系的 Windows Server VM,您可以測試案例。 例如,您可以測試登入內部部署網域的使用者是否可以存取受控網域中的資源。 下列範例涵蓋常見測試案例。

啟用檔案及印表機共用

  1. 使用 Azure Bastion 和您的 Domain Services 系統管理員認證,連線至已加入 Domain Services 樹系的 Windows Server VM。

  2. 開啟 [Windows 設定]

  3. 搜尋並選取 [網路和共用中心]

  4. 選擇 [變更進階共用] 設定選項。

  5. 在 [網域設定檔]下,選取 [開啟檔案及印表機共用] 然後選取 [儲存變更]

  6. 關閉網路和共用中心

建立安全性群組並新增成員

  1. 開啟 [Active Directory 使用者及電腦]。

  2. 在網域名稱上按一下滑鼠右鍵,選擇 [新增],然後選取 [組織單位]

  3. 在 [名稱] 方塊中,輸入 LocalObjects,然後選取 [確定]

  4. 選取並以滑鼠右鍵按一下瀏覽窗格中的 LocalObjects。 選取 [新增],然後選取 [群組]

  5. 在 [群組名稱] 方塊中,輸入 FileServerAccess。 在 [群組範圍] 中,選取 [網域本機],然後選擇 [確定]

  6. 在內容窗格中,按兩下 FileServerAccess。 選取 [成員],選擇 [新增],然後選取 [位置]

  7. 位置檢視中選取您的內部部署 Active Directory,然後選擇 [確定]

  8. 在 [輸入要選取的物件名稱] 方塊中輸入「網域使用者」。 選取 [檢查名稱]並提供內部部署 Active Directory 的認證,然後選取 [確定]

    注意

    您必須提供認證,因為信任關係只有單向。 這表示來自 Domain Services 受控網域的使用者無法存取資源,也無法在受信任的 (內部部署) 網域中搜尋使用者或群組。

  9. 來自內部部署 Active Directory 的網域使用者群組應該是 FileServerAccess 群組的成員。 選取 [確定] 儲存群組並關閉視窗。

建立跨樹系存取的檔案共用

  1. 在已加入 Domain Services 樹系的 Windows Server VM 上,建立資料夾並提供名稱,例如 CrossForestShare
  2. 以滑鼠右鍵按一下資料夾,然後選擇 [屬性]
  3. 選取 [安全性] 索引標籤,接著選取 [編輯]
  4. 在 [CrossForestShare 權限] 對話方塊中,選取 [新增]
  5. 輸入物件名稱以選取中輸入 FileServerAccess,然後選取 [確定]
  6. 從 [群組或使用者名稱] 清單中選取 FileServerAccess。 在 [FileServerAccess 權限] 清單中,針對 [修改] 和 [寫入] 權限選擇 [允許],然後選取 [確定]
  7. 選取 [共用] 索引標籤,然後選擇 [進階共用...]
  8. 選擇 [共用此資料夾],然後在 [共用名稱] 中,為檔案共用輸入易記的名稱,例如 CrossForestShare
  9. 選取 [權限]。 在 [每個人的權限] 清單中,針對 [變更] 權限選擇 [允許]
  10. 選取 [確定] 兩次,然後選取 [關閉]

驗證資源的跨樹系驗證

  1. 使用內部部署 Active Directory 的使用者帳戶,登入已加入內部部署 Active Directory 的 Windows 電腦。

  2. 使用 Windows 檔案總管連線到您使用完整主機名稱和共用 (例如 \\fs1.aaddscontoso.com\CrossforestShare) 所建立的共用。

  3. 若要驗證寫入權限,請在資料夾中按一下滑鼠右鍵,選擇 [新增],然後選取 [文字文件]。 使用預設名稱新增文字檔

    如果已正確設定寫入權限,則會建立新的文字檔。 完成下列步驟,以適當地開啟、編輯和刪除檔案。

  4. 若要驗證讀取權限,請開啟新增文字文件

  5. 若要驗證修改權限,請將文字新增至檔案,然後關閉記事本。 當系統提示您儲存變更時,請選擇 [儲存]

  6. 若要驗證刪除權限,請以滑鼠右鍵選取 [新增文字文件],然後選擇 [刪除]。 選擇 [是] 確認檔案刪除。

下一步

在本教學課程中,您已了解如何:

  • 在內部部署 AD DS 環境中設定 DNS,以支援 Domain Services 連線
  • 在內部部署 AD DS 環境中建立單向的輸入樹系信任
  • 在 Domain Services 中建立單向輸出樹系信任
  • 測試和驗證信任關係以進行驗證和資源存取

如需 Domain Services 中樹系的詳細概念資訊,請參閱樹系信任如何在 Domain Services 中運作?