Didacticiel : Créer une relation d’approbation entre forêts bidirectionnelle dans Microsoft Entra Domain Services avec un domaine local

Vous pouvez créer une relation d’approbation entre forêts entre Microsoft Entra Domain Services et des environnements AD DS locaux. La relation d’approbation entre forêts permet aux utilisateurs, aux applications et aux ordinateurs de s’authentifier auprès d’un domaine local à partir du domaine managé Domain Services, ou inversement. Une approbation de forêt peut permettre aux utilisateurs d’accéder aux ressources dans différents scénarios, par exemple :

• Environnements où vous ne pouvez pas synchroniser les hachages de mot de passe, ou où les utilisateurs se connectent exclusivement à l’aide de cartes à puce et ne connaissent pas leur mot de passe.
• Scénarios hybrides nécessitant l’accès aux domaines locaux.

Vous pouvez choisir parmi trois orientations possibles lorsque vous créez un trust de forêt, selon la manière dont les utilisateurs doivent accéder aux ressources. Domain Services prend uniquement en charge les relations d’approbation entre forêts. Une relation d’approbation externe vers un domaine enfant local n’est pas prise en charge.

Dans ce tutoriel, vous allez apprendre à :

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Conditions préalables

Pour suivre ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un client Microsoft Entra associé à votre abonnement, synchronisé avec un répertoire local ou un répertoire uniquement cloud.
  • Si nécessaire, créez un locataire Microsoft Entra ou associez un abonnement Azure à votre compte.
• Domaine managé des services de domaine configuré avec un nom de domaine DNS personnalisé et un certificat SSL valide.
  • Si nécessaire, créez et configurez un domaine managé Microsoft Entra Domain Services.
• Domaine Active Directory local accessible à partir du domaine managé via une connexion VPN ou ExpressRoute.
• Les rôles Administrateur d’applications et Administrateur de groupes Microsoft Entra dans votre locataire sont nécessaires pour modifier une instance Domain Services.
• Un compte d’administrateur de domaine dans le domaine local disposant des autorisations nécessaires pour créer et vérifier les relations d’approbation.

Connectez-vous au Centre d’administration Microsoft Entra

Dans ce didacticiel, vous allez créer et configurer la relation d’approbation entre forêts sortante à partir de Domain Services à l’aide du centre d’administration Microsoft Entra. Pour commencer, connectez-vous d’abord au centre d’administration Microsoft Entra .

Considérations relatives à la mise en réseau

Le réseau virtuel qui héberge la forêt des services de domaine a besoin d’une connexion VPN ou ExpressRoute à votre annuaire Active Directory local. Les applications et les services ont également besoin d'une connectivité réseau au réseau virtuel hébergeant la forêt des Services de domaine. La connectivité réseau à la forêt des services de domaine doit rester activée et stable, sinon les utilisateurs risquent de ne pas pouvoir s’authentifier ou accéder aux ressources.

Avant de configurer une relation d’approbation entre forêts dans Domain Services, assurez-vous que la mise en réseau entre Azure et l’environnement local répond aux exigences suivantes :

• Assurez-vous que les ports de pare-feu et les contrôleurs de domaine autorisent le trafic nécessaire pour créer et utiliser une approbation. Pour plus d’informations sur les ports à ouvrir pour utiliser une approbation, consultez Configurer les paramètres de pare-feu pour les approbations AD DS. Tous les contrôleurs de domaine du domaine disposant d’une approbation auprès des services de domaine doivent avoir ces ports ouverts.
• Utilisez des adresses IP privées. Ne vous fiez pas au protocole DHCP avec l’attribution d’adresses IP dynamiques.
• Évitez les espaces d’adressage IP qui se chevauchent pour permettre au peering et au routage de réseaux virtuels de communiquer avec succès entre Azure et local.
• Un réseau virtuel Azure a besoin d’un sous-réseau de passerelle pour configurer une connexion Azure VPN de site à site (S2S) ou ExpressRoute.
• Créez des sous-réseaux avec suffisamment d’adresses IP pour prendre en charge votre scénario.
• Assurez-vous que Domain Services possède son propre sous-réseau, ne partagez pas ce sous-réseau de réseau virtuel avec des machines virtuelles et des services d’application.
• Les réseaux virtuels appairés ne sont PAS transitifs.
  • Des appairages de réseaux virtuels Azure doivent être créés entre tous les réseaux virtuels que vous souhaitez utiliser pour la relation d’approbation entre forêts Domain Services avec l’environnement AD DS local.
• Fournissez une connectivité réseau continue à votre forêt Active Directory locale. N’utilisez pas de connexions à la demande.
• Assurez-vous que la résolution de nom DNS est continue entre le nom de forêt Domain Services et le nom de forêt Active Directory local.

Configurer DNS dans le domaine local

Pour résoudre correctement le domaine managé à partir de l’environnement local, vous devrez peut-être ajouter des redirecteurs aux serveurs DNS existants. Pour configurer l’environnement local pour communiquer avec le domaine managé, effectuez les étapes suivantes à partir d’une station de travail de gestion pour le domaine AD DS local :

1. Sélectionnez Démarrer>Outils d’administration>DNS.

2. Sélectionnez votre zone DNS, par exemple aaddscontoso.com.

3. Sélectionnez Redirecteurs conditionnels, puis cliquez avec le bouton droit et choisissez Nouveau redirecteur conditionnel...

4. Entrez votre autre domaine DNS, par exemple contoso.com, puis entrez les adresses IP des serveurs DNS pour cet espace de noms, comme indiqué dans l’exemple suivant :

   

5. Cochez la case Stocker ce redirecteur conditionnel dans Active Directory et répliquez-le comme suit, puis sélectionnez l’option pour tous les serveurs DNS de ce domaine, comme illustré dans l’exemple suivant :

   

   Importante

   Si le redirecteur conditionnel est stocké dans la forêt au lieu du domaine , le redirecteur conditionnel échoue.

6. Pour créer le redirecteur conditionnel, sélectionnez OK.

Créer une relation d’approbation entre forêts bidirectionnelle dans le domaine local

Le domaine AD DS local a besoin d’une relation d’approbation entre forêts bidirectionnelle pour le domaine managé. Cette approbation doit être créée manuellement dans le domaine AD DS local ; il ne peut pas être créé à partir du Centre d’administration Microsoft Entra.

Pour configurer une approbation bidirectionnelle dans le domaine AD DS local, effectuez les étapes suivantes en tant qu’administrateur de domaine à partir d’une station de travail de gestion pour le domaine AD DS local :

1. Sélectionnez Démarrer>Outils d’administration>Domaines Active Directory et relations d’approbation.
2. Cliquez avec le bouton droit sur le domaine, par exemple onprem.contoso.com, puis sélectionnez Propriétés.
3. Choisissez l’onglet Approbations, puis Nouvelle approbation.
4. Entrez le nom du nom de domaine Domain Services, tel que aaddscontoso.com, puis sélectionnez suivant .
5. Sélectionnez l’option permettant de créer une relation d’approbation entre forêts, puis de créer une relation d’approbation bidirectionnelle.
6. Choisissez de créer l’approbation pour ce domaine uniquement. À l’étape suivante, vous créez la relation d’approbation dans le centre d’administration Microsoft Entra pour le domaine managé.
7. Choisissez d’utiliser l'authentification à l'échelle de la forêt, puis entrez et confirmez un mot de passe d’approbation. Ce même mot de passe est également entré dans le Centre d’administration Microsoft Entra dans la section suivante.
8. Parcourez les fenêtres suivantes avec les options par défaut, puis sélectionnez l’option pour Non, ne pas confirmer l'approbation sortante.
9. Sélectionnez Terminer.

Si la relation d’approbation entre forêts n’est plus nécessaire pour un environnement, procédez comme suit en tant qu’administrateur de domaine pour la supprimer du domaine local :

1. Sélectionnez Démarrer>Outils d’administration>Domaines Active Directory et relations d’approbation.
2. Cliquez avec le bouton droit sur le domaine, par exemple onprem.contoso.com, puis sélectionnez Propriétés.
3. Choisissez onglet Approbations, puis Domaines qui approuvent ce domaine (approbations entrantes), cliquez sur l’approbation à supprimer, puis cliquez sur Supprimer.
4. Sous l’onglet Approbations, sous Domaines approuvés par ce domaine (approbations sortantes), cliquez sur l’approbation à supprimer, puis cliquez sur Supprimer.
5. Cliquez sur Non, supprimer l’approbation du domaine local uniquement.

Créer une relation d’approbation entre forêts bidirectionnelle dans Domain Services

Pour créer l’approbation bidirectionnelle pour le domaine managé dans le Centre d’administration Microsoft Entra, procédez comme suit :

1. Dans le Centre d’administration Microsoft Entra, recherchez et sélectionnez Microsoft Entra Domain Services, puis sélectionnez votre domaine managé, tel que aaddscontoso.com.

2. Dans le menu de gauche du domaine managé, sélectionnez Approbations, puis + Ajouter une approbation.

3. Sélectionnez Bidirectionnelle comme direction de la relation d’approbation.

4. Entrez un nom d’affichage qui identifie votre approbation, puis le nom DNS de la forêt locale approuvée, par exemple onprem.contoso.com.

5. Indiquez le même mot de passe d’approbation que celui utilisé à la section précédente pour configurer l’approbation de forêt entrante pour le domaine AD DS local.

6. Fournissez au moins deux serveurs DNS pour le domaine AD DS local, tels que 10.1.1.4 et 10.1.1.5.

7. Lorsque vous êtes prêt, enregistrez l’approbation de forêt sortante.

   

Si la relation d’approbation entre forêts n’est plus nécessaire pour un environnement, procédez comme suit pour la supprimer de Domain Services :

1. Dans le Centre d’administration Microsoft Entra, recherchez et sélectionnez Microsoft Entra Domain Services, puis sélectionnez votre domaine managé, tel que aaddscontoso.com.
2. Dans le menu de gauche du domaine managé, sélectionnez Approbations, choisissez l’approbation, puis cliquez sur Supprimer.
3. Spécifiez le mot de passe d’approbation qui a été utilisé pour configurer l’approbation de forêt, puis cliquez sur OK.

Vérifier la création de la confiance

Après avoir créé une approbation entrante bidirectionnelle ou unidirectionnelle, vous pouvez vérifier l’approbation entrante (approbation sortante à partir de votre domaine local) à l’aide de la console Domaines et approbations Active Directory ou de l’outil en ligne de commande nltest.

Utiliser les domaines et approbations Active Directory pour vérifier une approbation

Effectuez les étapes suivantes à partir du contrôleur de domaine AD DS local à l’aide d’un compte disposant d’autorisations pour créer et valider des relations d’approbation.

1. Sélectionnez Démarrer>Outils d’administration>Domaines Active Directory et relations d’approbation.
2. Cliquez avec le bouton droit sur votre domaine et sélectionnez Propriétés.
3. Choisissez l’onglet Confiances.
4. Sous Domaines approuvés par ce domaine (approbations sortantes), sélectionnez l’approbation que vous avez créée.
5. Choisissez Propriétés.
6. Sélectionnez Valider.
7. Sélectionnez Non, ne validez pas la confiance entrante.
8. Cliquez sur OK.

Si la confiance est correctement configurée, le message s’affiche :

The outgoing trust has been validated. It is in place and active.

Utilisez nltest pour vérifier une relation de confiance

Vous pouvez également vérifier l’approbation à l’aide de l’outil en ligne de commande nltest. Effectuez les étapes suivantes à partir du contrôleur de domaine AD DS local à l’aide d’un compte disposant d’autorisations pour créer et valider des relations d’approbation.

1. Ouvrez une invite de commandes avec élévation de privilèges sur votre contrôleur de domaine local ou votre station de travail administrative.

2. Exécutez la commande suivante:

   nltest /sc_verify:<TrustedDomain>
   

   Remplacez <TrustedDomain> par le nom du domaine Microsoft Entra Domain Services. Si l’approbation est valide, la commande retourne un message de réussite.

   

Valider l’accès aux ressources

Les scénarios courants suivants vous permettent de vérifier que l’approbation de forêt authentifie correctement les utilisateurs et l’accès aux ressources :

• Authentification locale des utilisateurs à partir de la forêt Domain Services
• Accéder aux ressources de la forêt Domain Services à l’aide d’un utilisateur local
  • activer le partage de fichiers et d’imprimantes
  • Créer un groupe de sécurité et ajouter des membres
  • Créer un partage de fichiers pour l’accès inter-forêts
  • Valider l’authentification inter-forêts sur une ressource

Authentification des utilisateurs sur site depuis la forêt des services de domaine

Vous devez avoir une machine virtuelle Windows Server jointe au domaine managé. Utilisez cette machine virtuelle pour tester votre utilisateur local peut s’authentifier sur une machine virtuelle. Si nécessaire, créez une machine virtuelle Windows et joignez-la au domaine managé.

1. Connectez-vous à la machine virtuelle Windows Server jointe à la forêt Services de domaine à l’aide de Azure Bastion et de vos identifiants d’administrateur des services de domaine.

2. Ouvrez une invite de commandes et utilisez la commande whoami pour afficher le nom unique de l’utilisateur actuellement authentifié :

   whoami /fqdn
   

3. Utilisez la commande runas pour vous authentifier en tant qu’utilisateur à partir du domaine local. Dans la commande suivante, remplacez userUpn@trusteddomain.com par l’UPN d’un utilisateur à partir du domaine local approuvé. La commande vous invite à entrer le mot de passe de l’utilisateur :

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Si l’authentification réussit, une nouvelle invite de commandes s’ouvre. Le titre de la nouvelle invite de commandes inclut running as userUpn@trusteddomain.com.

5. Utilisez whoami /fqdn dans la nouvelle invite de commandes pour afficher le nom unique de l’utilisateur authentifié à partir d’Active Directory local.

Accéder aux ressources dans la forêt des services de domaine en utilisant un utilisateur sur site.

Depuis la machine virtuelle Windows Server jointe à la forêt Active Directory des Services de domaine, vous pouvez tester des scénarios. Par exemple, vous pouvez tester si un utilisateur qui se connecte au domaine local peut accéder aux ressources du domaine managé. Les exemples suivants couvrent les scénarios de test courants.

Activer le partage de fichiers et d’imprimantes

1. Connectez-vous à la machine virtuelle Windows Server jointe à la forêt Services de domaine à l’aide de Azure Bastion et de vos identifiants d’administrateur des services de domaine.

2. Ouvrez Paramètres Windows.

3. Recherchez et sélectionnez Centre Réseau et partage.

4. Choisissez l’option Modifier les paramètres de partage avancé.

5. Sous le Profil de Domaine, sélectionnez Activer le Partage de Fichiers et d’Imprimantes, puis Enregistrer les Modifications.

6. Fermez Centre Réseau et partage.

Créer un groupe de sécurité et ajouter des membres

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Sélectionnez avec le bouton droit le nom de domaine, choisissez Nouveau, puis sélectionnez 'unité d’organisation.

3. Dans la zone de nom, tapez LocalObjects, puis sélectionnez OK.

4. Sélectionnez et cliquez avec le bouton droit sur LocalObjects dans le volet de navigation. Sélectionnez Nouveau, puis Groupe.

5. Entrez FileServerAccess dans la zone Nom du groupe. Pour Étendue du groupe, sélectionnez Domaine local, puis OK.

6. Dans le volet de contenu, double-cliquez sur FileServerAccess. Sélectionnez Membres, Ajouter, puis Emplacements.

7. Sélectionnez votre annuaire Active Directory local dans la vue Emplacement, puis choisissez OK.

8. Entrez Utilisateurs du domaine dans la zone Entrer les noms des objets à sélectionner. Sélectionnez Vérifier les noms, fournissez des informations d’identification pour Active Directory local, puis sélectionnez OK.

   Note

   Vous devez fournir des informations d'identification, car la relation de confiance est unilatérale. Cela signifie que les utilisateurs du domaine managé Des services de domaine ne peuvent pas accéder aux ressources ni rechercher des utilisateurs ou des groupes dans le domaine approuvé (local).

9. Le groupe Utilisateurs du domaine de votre Active Directory local doit être membre du groupe FileServerAccess. Sélectionnez OK pour enregistrer le groupe et fermer la fenêtre.

Créer un partage de fichiers pour l’accès inter-forêts

1. Sur la machine virtuelle Windows Server jointe à la forêt Services de domaine, créez un dossier et fournissez un nom tel que CrossForestShare.
2. Sélectionnez avec le bouton droit le dossier et choisissez Propriétés.
3. Sélectionnez l’onglet Sécurité, puis choisissez Modifier.
4. Dans la boîte de dialogue Autorisations pour CrossForestShare, sélectionnez Ajouter.
5. Tapez FileServerAccess dans Entrez les noms d’objets pour sélectionner, puis sélectionnez OK.
6. Sélectionnez FileServerAccess dans la liste Groupes ou noms d’utilisateurs. Dans la liste Autorisations pour FileServerAccess, sélectionnez Autoriser pour les autorisations Modifier et Écrire, puis OK.
7. Sélectionnez l’onglet Partage, puis choisissez Partage avancé....
8. Sélectionnez Partager ce dossier, puis entrez un nom de partage de fichiers facile à retenir dans Nom du partage, par exemple CrossForestShare.
9. Sélectionnez Autorisations. Dans la liste Autorisations pour tous, sélectionnez Autoriser pour l'autorisation Modifier.
10. Sélectionnez OK deux fois, puis Fermer.

Valider l’authentification inter-forêts sur une ressource

1. Connectez-vous à un ordinateur Windows joint à votre annuaire Active Directory local à l’aide d’un compte d’utilisateur à partir de votre annuaire Active Directory local.

2. À l’aide de l'Explorateur Windows, connectez-vous au partage que vous avez créé à l’aide du nom d’hôte complet et le partage, par exemple \\fs1.aaddscontoso.com\CrossforestShare.

3. Pour valider l’autorisation d’écriture, sélectionnez avec le bouton droit dans le dossier, choisissez Nouveau, puis sélectionnez document texte. Utilisez le nom par défaut nouveau document texte.

   Si les autorisations d’écriture sont correctement définies, un nouveau document texte est créé. Effectuez les étapes suivantes pour ouvrir, modifier et supprimer le fichier selon les besoins.

4. Pour valider l’autorisation de lecture, ouvrez nouveau document de texte.

5. Pour valider l'autorisation d'effectuer des modifications, ajoutez du texte au fichier et fermez Bloc-notes. Lorsque vous y êtes invité à enregistrer les modifications, choisissez Enregistrer.

6. Pour valider l’autorisation de suppression, sélectionnez avec le bouton droit nouveau document de texte et choisissez Supprimer. Choisissez Oui pour confirmer la suppression du fichier.

Étapes suivantes

Dans ce tutoriel, vous avez appris à :

Pour plus d’informations conceptuelles sur les forêts dans Domain Services, consultez Comment fonctionnent les relations d’approbation entre forêts dans Domain Services ?