Verbinden Sie eine Windows Server-VM mit einer von Azure AD Domain Services verwalteten Domäne (2023)

Azure Active Directory Domain Services (Azure AD DS) bietet verwaltete Domänendienste wie Domänenbeitritt, Gruppenrichtlinien, LDAP und Kerberos/NTLM-Authentifizierung, die vollständig mit Windows Server Active Directory kompatibel sind. Mit einer verwalteten Azure AD DS-Domäne können Sie Domänenbeitrittsfunktionen und -verwaltung für virtuelle Maschinen (VMs) in Azure bereitstellen. In diesem Tutorial erfahren Sie, wie Sie eine Windows Server-VM erstellen und diese dann einer verwalteten Domäne hinzufügen.

In diesem Tutorial erfahren Sie, wie Sie:

Wenn Sie kein Azure-Abonnement haben,ein Konto erstellenBevor Sie beginnen.

Voraussetzungen

Um dieses Tutorial abzuschließen, benötigen Sie die folgenden Ressourcen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie kein Azure-Abonnement haben,ein Konto erstellen.
• Ein Azure Active Directory-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Wenn benötigt,Erstellen Sie einen Azure Active Directory-MandantenoderOrdnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Eine von Azure Active Directory Domain Services verwaltete Domäne, die in Ihrem Azure AD-Mandanten aktiviert und konfiguriert ist.
  • Wenn benötigt,Erstellen und Konfigurieren einer verwalteten Azure Active Directory Domain Services-Domäne.
• Ein Benutzerkonto, das Teil der verwalteten Domäne ist.
  • Stellen Sie sicher, dass die Azure AD Connect-Passwort-Hash-Synchronisierung oder das Self-Service-Passwort-Reset durchgeführt wurde, damit sich das Konto bei der verwalteten Domäne anmelden kann.
• Ein Azure Bastion-Host, der in Ihrem virtuellen Azure AD DS-Netzwerk bereitgestellt wird.
  • Wenn benötigt,Erstellen Sie einen Azure Bastion-Host.

Wenn Sie bereits über eine VM verfügen, der Sie einer Domäne beitreten möchten, fahren Sie mit dem Abschnitt fortFügen Sie die VM der verwalteten Domäne hinzu.

Melden Sie sich beim Azure-Portal an

In diesem Tutorial erstellen Sie eine Windows Server-VM, um sie über das Azure-Portal Ihrer verwalteten Domäne hinzuzufügen. Um zu beginnen, melden Sie sich zunächst bei anAzure-Portal.

Erstellen Sie eine virtuelle Windows Server-Maschine

Um zu sehen, wie man einen Computer einer verwalteten Domäne beitritt, erstellen wir eine Windows Server-VM. Diese VM ist mit einem virtuellen Azure-Netzwerk verbunden, das Konnektivität zur verwalteten Domäne bereitstellt. Der Vorgang zum Beitritt zu einer verwalteten Domäne ist derselbe wie zum Beitritt zu einer regulären lokalen Active Directory Domain Services-Domäne.

Wenn Sie bereits über eine VM verfügen, der Sie einer Domäne beitreten möchten, fahren Sie mit dem Abschnitt fortFügen Sie die VM der verwalteten Domäne hinzu.

1. Über das Azure-Portalmenü oder über dasHeimSeite, wählen SieErstellen Sie eine Ressource.

2. AusLoslegen, wählenWindows Server 2016-Rechenzentrum.

   

3. ImGrundlagenKonfigurieren Sie im Fenster die Kerneinstellungen für die virtuelle Maschine. Belassen Sie die Standardeinstellungen fürVerfügbarkeitsoptionen,Bild, UndGröße.

   Parameter	Empfohlener Wert
   Ressourcengruppe	Wählen Sie eine Ressourcengruppe aus oder erstellen Sie sie, zmyResourceGroup
   Name der virtuellen Maschine	Geben Sie einen Namen für die VM ein, zmeineVM
   Region	Wählen Sie die Region aus, in der Sie Ihre VM erstellen möchten, zOsten der USA
   Nutzername	Geben Sie einen Benutzernamen für das lokale Administratorkonto ein, das auf der VM erstellt werden soll, z. BAzureuser
   Passwort	Geben Sie ein sicheres Passwort ein und bestätigen Sie es, damit der lokale Administrator es auf der VM erstellen kann. Geben Sie nicht die Anmeldeinformationen eines Domänenbenutzerkontos an.

4. Standardmäßig kann auf in Azure erstellte VMs über RDP über das Internet zugegriffen werden. Wenn RDP aktiviert ist, kommt es wahrscheinlich zu automatisierten Anmeldeangriffen, die möglicherweise Konten mit gebräuchlichen Namen deaktivieren, zAdministratoroderAdministratoraufgrund mehrerer fehlgeschlagener Anmeldeversuche in Folge.

   RDP sollte nur bei Bedarf aktiviert und auf eine Reihe autorisierter IP-Bereiche beschränkt werden. Diese Konfiguration trägt dazu bei, die Sicherheit der VM zu verbessern und den Bereich für potenzielle Angriffe zu verringern. Oder erstellen und verwenden Sie einen Azure Bastion-Host, der den Zugriff nur über das Azure-Portal über TLS ermöglicht. Im nächsten Schritt dieses Tutorials verwenden Sie einen Azure Bastion-Host, um eine sichere Verbindung mit der VM herzustellen.

   UnterÖffentliche eingehende Ports, wählenKeiner.

5. Wenn Sie fertig sind, wählen Sie ausWeiter: Festplatten.

6. Aus dem Dropdown-Menü fürTyp der Betriebssystemfestplatte, wählenStandard-SSD, dann auswählenWeiter: Networking.

   See Also

   Bereiten Sie sich auf eine erfolgreiche Leistung mit Azure SQL Managed Instance vorEinführung in Synapse Data Warehouse in Microsoft Fabric | Microsoft Fabric-Blog | Microsoft Fabric

7. Ihre VM muss eine Verbindung zu einem Subnetz eines virtuellen Azure-Netzwerks herstellen, das mit dem Subnetz kommunizieren kann, in dem Ihre verwaltete Domäne bereitgestellt wird. Wir empfehlen, dass eine verwaltete Domäne in einem eigenen dedizierten Subnetz bereitgestellt wird. Stellen Sie Ihre VM nicht im selben Subnetz wie Ihre verwaltete Domäne bereit.

   Es gibt im Wesentlichen zwei Möglichkeiten, Ihre VM bereitzustellen und eine Verbindung zu einem geeigneten Subnetz des virtuellen Netzwerks herzustellen:

   • Erstellen Sie ein Subnetz oder wählen Sie ein vorhandenes Subnetz in demselben virtuellen Netzwerk aus, in dem Ihre verwaltete Domäne bereitgestellt wird.
   • Wählen Sie ein Subnetz in einem virtuellen Azure-Netzwerk aus, das mit diesem verbunden istPeering virtueller Azure-Netzwerke.

   Wenn Sie ein Subnetz eines virtuellen Netzwerks auswählen, das nicht mit dem Subnetz Ihrer verwalteten Domäne verbunden ist, können Sie die VM nicht mit der verwalteten Domäne verbinden. Für dieses Tutorial erstellen wir ein neues Subnetz im virtuellen Azure-Netzwerk.

   ImVernetzungWählen Sie im Bereich „Virtuelles Netzwerk“ das virtuelle Netzwerk aus, in dem Ihre verwaltete Domäne bereitgestellt wird, zaaads-vnet

8. In diesem Beispiel das Vorhandeneaaads-subnetzEs wird angezeigt, dass mit der verwalteten Domäne eine Verbindung besteht. Verbinden Sie Ihre VM nicht mit diesem Subnetz. Um ein Subnetz für die VM zu erstellen, wählen SieSubnetzkonfiguration verwalten.

   

9. Wählen Sie im linken Menü des virtuellen Netzwerkfensters ausAdressraum. Das virtuelle Netzwerk wird mit einem einzigen Adressraum erstellt10.0.2.0/24, das vom Standardsubnetz verwendet wird. Andere Subnetze, z. B. fürArbeitsbelastungenoder Azure Bastion ist möglicherweise auch bereits vorhanden.

   Fügen Sie dem virtuellen Netzwerk einen zusätzlichen IP-Adressbereich hinzu. Die Größe dieses Adressbereichs und der tatsächlich zu verwendende IP-Adressbereich hängen von anderen bereits bereitgestellten Netzwerkressourcen ab. Der IP-Adressbereich sollte sich nicht mit vorhandenen Adressbereichen in Ihrer Azure- oder lokalen Umgebung überschneiden. Stellen Sie sicher, dass Sie den IP-Adressbereich groß genug für die Anzahl der VMs wählen, die Sie voraussichtlich im Subnetz bereitstellen.

   Im folgenden Beispiel ein zusätzlicher IP-Adressbereich von10.0.5.0/24hinzugefügt. Wenn Sie fertig sind, wählen Sie ausSpeichern.

   

10. Wählen Sie anschließend im linken Menü des virtuellen Netzwerkfensters ausSubnetze, dann wähle+ Subnetzum ein Subnetz hinzuzufügen.

11. Wählen+ Subnetz, und geben Sie dann einen Namen für das Subnetz ein, zManagement. Geben Sie eine anAdressbereich (CIDR-Block), wie zum Beispiel10.0.5.0/24. Stellen Sie sicher, dass sich dieser IP-Adressbereich nicht mit anderen vorhandenen Azure- oder lokalen Adressbereichen überschneidet. Belassen Sie die anderen Optionen als Standardwerte und wählen Sie dann ausOK.

    

12. Das Erstellen des Subnetzes dauert einige Sekunden. Sobald es erstellt ist, wählen Sie das ausXum das Subnetzfenster zu schließen.

13. Zurück inVernetzungUm eine VM zu erstellen, wählen Sie im Dropdown-Menü das von Ihnen erstellte Subnetz aus, z. BManagement. Stellen Sie auch hier sicher, dass Sie das richtige Subnetz auswählen und Ihre VM nicht im selben Subnetz wie Ihre verwaltete Domäne bereitstellen.

14. FürÖffentliche IP, wählenKeineraus dem Dropdown-Menü. Da Sie in diesem Tutorial Azure Bastion verwenden, um eine Verbindung zur Verwaltung herzustellen, müssen Sie der VM keine öffentliche IP-Adresse zuweisen.

15. Belassen Sie die anderen Optionen als Standardwerte und wählen Sie dann ausManagement.

16. SatzBoot-DiagnoseZuAus. Belassen Sie die anderen Optionen als Standardwerte und wählen Sie dann ausÜberprüfen + erstellen.

17. Überprüfen Sie die VM-Einstellungen und wählen Sie dann ausErstellen.

Das Erstellen der VM dauert einige Minuten. Das Azure-Portal zeigt den Status der Bereitstellung an. Sobald die VM bereit ist, wählen Sie ausGehen Sie zur Ressource.

Stellen Sie eine Verbindung zur Windows Server-VM her

Um eine sichere Verbindung zu Ihren VMs herzustellen, verwenden Sie einen Azure Bastion-Host. Mit Azure Bastion wird ein verwalteter Host in Ihrem virtuellen Netzwerk bereitgestellt und stellt webbasierte RDP- oder SSH-Verbindungen zu VMs bereit. Für die VMs sind keine öffentlichen IP-Adressen erforderlich, und Sie müssen keine Netzwerksicherheitsgruppenregeln für externen Remoteverkehr öffnen. Sie stellen über das Azure-Portal über Ihren Webbrowser eine Verbindung zu VMs her. Wenn benötigt,Erstellen Sie einen Azure Bastion-Host.

Um einen Bastion-Host zum Herstellen einer Verbindung mit Ihrer VM zu verwenden, führen Sie die folgenden Schritte aus:

1. ImÜberblickWählen Sie im Bereich für Ihre VM ausVerbinden, DannBastion.

   

2. Geben Sie die Anmeldeinformationen für Ihre VM ein, die Sie im vorherigen Abschnitt angegeben haben, und wählen Sie dann ausVerbinden.

   

Erlauben Sie Ihrem Webbrowser bei Bedarf das Öffnen von Popups zur Anzeige der Bastion-Verbindung. Es dauert einige Sekunden, bis die Verbindung zu Ihrer VM hergestellt ist.

Verbinden Sie die VM mit der verwalteten Domäne

Nachdem die VM erstellt und eine webbasierte RDP-Verbindung mit Azure Bastion hergestellt wurde, verbinden wir nun die virtuelle Windows Server-Maschine mit der verwalteten Domäne. Dieser Vorgang ist derselbe wie bei einem Computer, der eine Verbindung zu einer regulären lokalen Active Directory-Domänendienste-Domäne herstellt.

1. WennServer Administratornicht standardmäßig geöffnet wird, wenn Sie sich bei der VM anmelden, wählen Sie die ausStartMenü und wählen Sie dannServer Administrator.

2. Im linken Bereich desServer AdministratorFenster auswählenLokaler Server. UnterEigenschaftenWählen Sie im rechten Bereich ausArbeitsgruppe.

   

3. ImSystemeigenschaftenFenster auswählenÄndernum der verwalteten Domäne beizutreten.

   

4. ImDomainGeben Sie im Feld den Namen Ihrer verwalteten Domäne an, z. Baaddscontoso.com, dann auswählenOK.

   

5. Geben Sie Domänenanmeldeinformationen ein, um der Domäne beizutreten. Geben Sie Anmeldeinformationen für einen Benutzer an, der Teil der verwalteten Domäne ist. Das Konto muss Teil der verwalteten Domäne oder des Azure AD-Mandanten sein – Konten aus externen Verzeichnissen, die Ihrem Azure AD-Mandanten zugeordnet sind, können sich während des Domänenbeitrittsprozesses nicht ordnungsgemäß authentifizieren.

   Kontoanmeldeinformationen können auf eine der folgenden Arten angegeben werden:

   • UPN-Format(empfohlen) – Geben Sie das Suffix des Benutzerprinzipalnamens (UPN) für das Benutzerkonto ein, wie in Azure AD konfiguriert. Beispielsweise das UPN-Suffix des Benutzerscontosoadminwärecontosoadmin@aaddscontoso.onmicrosoft.com. Es gibt einige häufige Anwendungsfälle, in denen das UPN-Format zuverlässig für die Anmeldung bei der Domäne verwendet werden kannSAMAccountNameFormat:
     • Wenn das UPN-Präfix eines Benutzers lang ist, zdeehasareallylongname, DieSAMAccountNamekann automatisch generiert werden.
     • Wenn mehrere Benutzer dasselbe UPN-Präfix in Ihrem Azure AD-Mandanten haben, zdee, ihreSAMAccountNameDas Format wird möglicherweise automatisch generiert.
   • SAMAccountName-Format- Geben Sie den Kontonamen einSAMAccountNameFormat. Zum Beispiel dieSAMAccountNamedes BenutzerscontosoadminwäreAADDSCONTOSO\contosoadmin.

6. Der Beitritt zur verwalteten Domäne dauert einige Sekunden. Wenn Sie fertig sind, werden Sie mit der folgenden Nachricht in der Domain begrüßt:

   

   WählenOKweitermachen.

7. Um den Beitrittsvorgang zur verwalteten Domäne abzuschließen, starten Sie die VM neu.

Sobald die Windows Server-VM neu gestartet wurde, werden alle in der verwalteten Domäne angewendeten Richtlinien an die VM übertragen. Sie können sich jetzt auch mit den entsprechenden Domänenanmeldeinformationen bei der Windows Server-VM anmelden.

Ressourcen bereinigen

Im nächsten Tutorial verwenden Sie diese Windows Server-VM, um die Verwaltungstools zu installieren, mit denen Sie die verwaltete Domäne verwalten können. Wenn Sie mit dieser Tutorialreihe nicht fortfahren möchten, sehen Sie sich die folgenden Bereinigungsschritte anLöschen Sie die VM. Ansonsten,Fahren Sie mit dem nächsten Tutorial fort.

Trennen Sie die VM von der verwalteten Domäne

Um die VM aus der verwalteten Domäne zu entfernen, führen Sie die Schritte erneut ausFügen Sie die VM einer Domäne hinzu. Anstatt der verwalteten Domäne beizutreten, entscheiden Sie sich für den Beitritt zu einer Arbeitsgruppe, beispielsweise der StandardgruppeARBEITSGRUPPE. Nach dem Neustart der VM wird das Computerobjekt aus der verwalteten Domäne entfernt.

Wenn duLöschen Sie die VMohne den Beitritt zur Domäne aufzuheben, verbleibt ein verwaistes Computerobjekt in Azure AD DS.

Löschen Sie die VM

Wenn Sie diese Windows Server-VM nicht verwenden möchten, löschen Sie die VM mit den folgenden Schritten:

1. Wählen Sie im linken Menü ausRessourcengruppen
2. Wählen Sie Ihre Ressourcengruppe, zmyResourceGroup.
3. Wählen Sie Ihre VM aus, zmeineVM, dann auswählenLöschen. WählenJaum das Löschen der Ressource zu bestätigen. Das Löschen der VM dauert einige Minuten.
4. Wenn die VM gelöscht wird, wählen Sie die Betriebssystemfestplatte, die Netzwerkschnittstellenkarte und alle anderen Ressourcen mit ausmyVM-Präfix hinzufügen und löschen.

Beheben Sie Probleme beim Domänenbeitritt

Die Windows Server-VM sollte erfolgreich der verwalteten Domäne beitreten, genauso wie ein normaler lokaler Computer einer Active Directory-Domänendienste-Domäne beitreten würde. Wenn die Windows Server-VM der verwalteten Domäne nicht beitreten kann, weist dies darauf hin, dass ein Problem mit der Konnektivität oder den Anmeldeinformationen vorliegt. Lesen Sie die folgenden Abschnitte zur Fehlerbehebung, um der verwalteten Domäne erfolgreich beizutreten.

Verbindungsprobleme

Wenn Sie keine Eingabeaufforderung erhalten, in der Sie nach Anmeldeinformationen für den Beitritt zur Domäne gefragt werden, liegt ein Verbindungsproblem vor. Die VM kann die verwaltete Domäne im virtuellen Netzwerk nicht erreichen.

Nachdem Sie jeden dieser Fehlerbehebungsschritte ausgeführt haben, versuchen Sie erneut, die Windows Server-VM der verwalteten Domäne hinzuzufügen.

• Stellen Sie sicher, dass die VM mit demselben virtuellen Netzwerk verbunden ist, in dem Azure AD DS aktiviert ist, oder über eine Peer-Netzwerkverbindung verfügt.
• Versuchen Sie, den DNS-Domänennamen der verwalteten Domäne anzupingen, zPing aaddscontoso.com.
  • Wenn die Ping-Anfrage fehlschlägt, versuchen Sie, die IP-Adressen für die verwaltete Domäne anzupingen, zping 10.0.0.4. Die IP-Adresse für Ihre Umgebung wird auf der angezeigtEigenschaftenSeite, wenn Sie die verwaltete Domäne aus Ihrer Liste der Azure-Ressourcen auswählen.
  • Wenn Sie die IP-Adresse, aber nicht die Domäne anpingen können, ist DNS möglicherweise falsch konfiguriert. Bestätigen Sie, dass die IP-Adressen der verwalteten Domäne als DNS-Server für das virtuelle Netzwerk konfiguriert sind.
• Versuchen Sie, den DNS-Resolver-Cache auf der virtuellen Maschine mithilfe von zu leerenipconfig /flushdnsBefehl.

Probleme im Zusammenhang mit Anmeldeinformationen

Wenn Sie eine Eingabeaufforderung erhalten, in der Sie nach Anmeldeinformationen für den Beitritt zur Domäne gefragt werden, nach der Eingabe dieser Anmeldeinformationen jedoch ein Fehler auftritt, kann die VM eine Verbindung zur verwalteten Domäne herstellen. Die von Ihnen angegebenen Anmeldeinformationen erlauben es der VM dann nicht, der verwalteten Domäne beizutreten.

Nachdem Sie jeden dieser Fehlerbehebungsschritte ausgeführt haben, versuchen Sie erneut, die Windows Server-VM der verwalteten Domäne hinzuzufügen.

• Stellen Sie sicher, dass das von Ihnen angegebene Benutzerkonto zur verwalteten Domäne gehört.
• Bestätigen Sie, dass das Konto Teil der verwalteten Domäne oder des Azure AD-Mandanten ist. Konten aus externen Verzeichnissen, die Ihrem Azure AD-Mandanten zugeordnet sind, können sich während des Domänenbeitrittsprozesses nicht ordnungsgemäß authentifizieren.
• Versuchen Sie, das UPN-Format zu verwenden, um Anmeldeinformationen anzugeben, zcontosoadmin@aaddscontoso.onmicrosoft.com. Wenn es in Ihrem Mandanten viele Benutzer mit demselben UPN-Präfix gibt oder Ihr UPN-Präfix zu lang ist, wird derSAMAccountNamefür Ihr Konto kann automatisch generiert werden. In diesen Fällen ist dieSAMAccountNameDas Format Ihres Kontos unterscheidet sich möglicherweise von dem, was Sie in Ihrer lokalen Domäne erwarten oder verwenden.
• Überprüfen Sie, ob Sie dies getan habenaktivierte Passwortsynchronisierungzu Ihrer verwalteten Domäne. Ohne diesen Konfigurationsschritt sind die erforderlichen Passwort-Hashes in der verwalteten Domäne nicht vorhanden, um Ihren Anmeldeversuch korrekt zu authentifizieren.
• Warten Sie, bis die Passwortsynchronisierung abgeschlossen ist. Wenn das Kennwort eines Benutzerkontos geändert wird, aktualisiert eine automatische Hintergrundsynchronisierung von Azure AD das Kennwort in Azure AD DS. Es dauert einige Zeit, bis das Passwort für den Domänenbeitritt verfügbar ist.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

Um Ihre verwaltete Domäne zu verwalten, konfigurieren Sie eine Verwaltungs-VM mithilfe des Active Directory Administrative Center (ADAC).