可以在 Microsoft Entra 域服务与内部部署的 AD DS 环境之间创建森林信任。 林信任关系可让用户、应用程序和计算机从域服务托管域针对本地域进行身份验证,反之亦然。 森林信任可帮助用户在以下情况下访问资源:
- 无法同步密码哈希或用户专门使用智能卡登录且不知道其密码的环境。
- 需要访问本地域的混合场景。
创建森林信任时,您可以根据用户访问资源的方式,从三个可能的方向中进行选择。 域服务仅支持林信任。 不支持对本地子域的外部信任。
| 信任方向 | 用户访问权限 |
|---|---|
| 双向 | 允许托管域和本地域中的用户访问任一域中的资源。 |
| 单向传出 | 允许本地域中的用户访问托管域中的资源,但托管域中的用户不能访问本地域的资源。 |
| 单向传入 | 允许托管域中的用户访问本地域中的资源。 |
本教程介绍如何:
- 配置本地 AD DS 域中的 DNS 以支持域服务连接
- 在托管域与本地域之间创建双向林信任
- 测试和验证林信任关系以进行身份验证和资源访问
如果没有 Azure 订阅,请在开始之前 创建帐户。
先决条件
若要完成本教程,需要以下资源和权限:
- 有效的 Azure 订阅。
- 如果没有 Azure 订阅,创建帐户。
- 与订阅关联的 Microsoft Entra 租户,与本地目录或仅限云的目录同步。
- 使用自定义 DNS 域名和有效的 SSL 证书配置的域服务托管域。
- 可以通过 VPN 或 ExpressRoute 连接从托管域访问的本地 Active Directory 域。
- 需要租户中的应用程序管理员和组管理员 Microsoft Entra 角色才能修改域服务实例。
- 在本地域中有一个有权创建和验证信任关系的域管理员帐户。
重要
至少需要为托管域使用 Enterprise SKU。 如果需要,更改托管域的 SKU。
登录到 Microsoft Entra 管理中心
在本教程中,你将使用 Microsoft Entra 管理中心创建并配置域服务的出站林信任。 若要开始,请先登录到 Microsoft Entra 管理中心。
网络注意事项
托管域服务林的虚拟网络需要与本地 Active Directory 建立 VPN 或 ExpressRoute 连接。 应用程序和服务还需要与托管域服务林的虚拟网络建立网络连接。 与域服务林的网络连接必须始终处于打开状态,否则用户可能无法进行身份验证或访问资源。
在域服务中配置林信任之前,请确保 Azure 和本地环境之间的网络连接符合以下要求:
- 确保防火墙端口和域控制器允许创建和使用信任所需的流量。 有关需要打开哪些端口才能使用信任的详细信息,请参阅配置 AD DS 信任的防火墙设置。 域中具有与域服务信任的所有域控制器都需要打开这些端口。
- 使用专用 IP 地址。 不要依赖于具有动态 IP 地址分配的 DHCP。
- 避免 IP 地址空间重叠,使虚拟网络对等互连和路由能够在 Azure 与本地之间成功通信。
- Azure 虚拟网络需要通过一个网关子网来配置 Azure 站点到站点 (S2S) VPN 或 ExpressRoute 连接。
- 创建具有足够 IP 地址的子网以支持你的方案。
- 请确保域服务有自己的子网,不要将此虚拟网络子网与应用程序 VM 和服务共享。
- 对等互连的虚拟网络不是中转性的。
- 若要使用域服务与本地 AD DS 环境之间的林信任,必须在所有相关的虚拟网络之间创建 Azure 虚拟网络对等互连。
- 与本地 Active Directory 林建立持续的网络连接。 请勿使用按需连接。
- 确保你的域服务林名称与本地 Active Directory 林名称之间存在持续的 DNS 名称解析功能。
在本地部署域中配置 DNS
若要从本地环境正确解析托管域,可能需要将转发器添加到现有的 DNS 服务器。 若要配置本地环境以与托管域通信,请从本地 AD DS 域的管理工作站完成以下步骤:
选择启动>管理工具>DNS。
选择 DNS 区域,例如 aaddscontoso.com。
选择 条件转发器,然后右键单击并选择 “新建条件转发器...”
输入其他 DNS 域(如 contoso.com),然后输入该命名空间的 DNS 服务器的 IP 地址,如以下示例所示:
选中“在 Active Directory 中存储此条件转发器,并按如下方式复制它”复选框,然后选择“此域中的所有 DNS 服务器”选项,如以下示例所示:
重要
如果条件转发器存储在林中而不是域中,则条件转发器会失败。
若要创建条件转发器,请选择“确定”。
在本地域中创建双向林信任
本地 AD DS 域需要托管域的双向林信任。 必须在本地 AD DS 域中手动创建此信任;无法从 Microsoft Entra 管理中心创建它。
若要在本地 AD DS 域中配置双向信任,请从本地 AD DS 域的管理工作站以域管理员身份完成以下步骤:
- 选择开始>管理工具>Active Directory 域和信任。
- 右键单击域(如 onprem.contoso.com),然后选择 属性。
- 选择“信任” 选项卡,然后选择“新建信任”。
- 输入域服务域名的名称,例如 aaddscontoso.com,然后选择 下一步。
- 选择创建“林信任”的选项,然后选择创建“双向”信任的选项。
- 选择创建“仅限此域”的信任。 在下一步中,将在托管域的 Microsoft Entra 管理中心中创建信任。
- 选择使用 域林级别身份验证,然后输入并确认信任密码。 下一部分也需要在 Microsoft Entra 管理中心输入同一密码。
- 在接下来的几个窗口中使用默认选项完成每个步骤,然后选择选项“否,不要确认传出信任”。
- 选择“完成”。
如果环境不再需要林信任,请以域管理员的身份完成以下步骤,以将其从本地域中删除:
- 选择开始>管理工具>Active Directory 域和信任。
- 右键单击域(如 onprem.contoso.com),然后选择 属性。
- 选择“信任”选项卡,然后选择“信任此域的域(传入信任)”,单击要移除的信任,然后单击“移除”。
- 在“信任”选项卡的“受此域信任的域(外向信任)”,单击要删除的信任,然后单击“删除”。
- 单击“不,仅从本地域移除信任”。
在域服务中创建双向林信任
若要在 Microsoft Entra 管理中心为托管域创建双向信任,请完成以下步骤:
在 Microsoft Entra 管理中心中,搜索并选择 Microsoft Entra 域服务,然后选择托管域,例如 aaddscontoso.com。
从托管域左侧的菜单中选择“信任”,然后选择“+ 添加”以添加信任 。
选择“双向”作为信任方向。
输入用于标识信任的显示名称,然后输入本地受信任林的 DNS 名称,例如 onprem.contoso.com。
提供在上一部分用于为本地 AD DS 域配置入站林信任的同一信任密码。
为本地 AD DS 域至少提供两个 DNS 服务器,例如 10.1.1.4 和 10.1.1.5。
准备就绪后,保存出站林信任。
如果环境不再需要林信任,请完成以下步骤以将其从域服务中删除:
- 在 Microsoft Entra 管理中心中,搜索并选择 Microsoft Entra 域服务,然后选择托管域,例如 aaddscontoso.com。
- 从托管域左侧的菜单中选择“信任”,选择该林信任,然后单击“删除”。
- 提供用于配置该林信任的同一信任密码,然后单击“确定”。
核实信任创建过程
创建双向或单向传入信任后,可以使用 Active Directory 域和信任控制台或 nltest 命令行工具验证传入信任(本地域的出站信任)。
使用 Active Directory 域和信任管理工具来验证信任
使用有权创建和验证信任关系的帐户,从本地 AD DS 域控制器完成以下步骤。
- 选择开始>管理工具>Active Directory 域和信任。
- 右键单击域并选择“ 属性”。
- 选择“ 信任 ”选项卡。
- 在此域信任的域(传出信任)中,选择你创建的信任。
- 选择“属性”。
- 选择“验证”。
- 选择 “否”,不验证传入的信任。
- 单击 “确定” 。
如果正确配置了信任,你将看到以下消息:
The outgoing trust has been validated. It is in place and active.
使用 nltest 验证信任
还可以使用 nltest 命令行工具验证信任。 使用有权创建和验证信任关系的帐户,从本地 AD DS 域控制器完成以下步骤。
在本地域控制器或管理工作站上打开提升的命令提示符。
运行下面的命令:
nltest /sc_verify:<TrustedDomain>将 TrustedDomain< 替换为 >Microsoft Entra 域服务域的名称。 如果信任有效,该命令将返回成功消息。
验证资源访问
可以使用以下常用方案来验证林信任是否正确对用户进行身份验证以及是否正确访问资源:
通过域服务林进行本地用户身份验证
应已将 Windows Server 虚拟机加入托管域。 使用此虚拟机测试本地用户可以在虚拟机上进行身份验证。 如果需要,创建 Windows VM 并将其加入托管域。
使用 Azure Bastion 和域服务管理员凭据连接到已加入域服务林的 Windows Server VM。
打开命令提示符并使用
whoami命令显示当前已验证用户的专有名称:whoami /fqdn以本地域中的用户身份使用
runas命令进行身份验证。 在以下命令中,请将userUpn@trusteddomain.com替换为受信任本地域中某个用户的 UPN。 该命令会提示输入用户的密码:Runas /u:userUpn@trusteddomain.com cmd.exe如果身份验证成功,将打开新的命令提示符。 新命令提示符的标题包括
running as userUpn@trusteddomain.com。使用新命令提示符中的
whoami /fqdn来查看本地 Active Directory 中经过身份验证的用户的专有名称。
使用本地用户访问域服务树中的资源
在已加入域服务林的 Windows Server VM 上,您可以测试场景。 例如,可以测试登录到本地域的用户是否可以访问托管域中的资源。 以下示例介绍常见测试方案。
启用文件和打印机共享
使用 Azure Bastion 和域服务管理员凭据连接到已加入域服务林的 Windows Server VM。
打开“Windows 设置”。
搜索并选择“网络和共享中心”。
选择“更改高级共享设置”的选项。
在 域配置文件下,选择 打开文件和打印机共享,然后 保存更改。
关闭 网络和共享中心。
创建安全组并添加成员
打开“Active Directory 用户和计算机”。
右键单击域名,选择 新建,然后选择 组织单位。
在名称框中键入 LocalObjects,然后选择确定。
选择并右键单击导航窗格中的 LocalObjects。 依次选择新建、组。
在 组名称 框中键入 FileServerAccess。 对于组作用域,选择域本地,然后选择确定。
在内容窗格中,双击 FileServerAccess。 依次选择成员、添加、位置。
从 位置 视图中选择本地 Active Directory,然后选择“确定”。
在输入要选择的对象名称框中键入域用户。 选择检查名称,提供本地 Active Directory 的凭据,然后选择确定。
注意
必须提供凭据,因为信任关系只是一种方式。 这意味着来自域服务托管域的用户无法访问资源或搜索受信任(本地)域中的用户或组。
来自本地 Active Directory 的 域用户 组应是 FileServerAccess 组的成员。 选择 “确定” 以保存组并关闭窗口。
创建用于跨林访问的文件共享
- 在加入域服务林的 Windows Server VM 上,创建一个文件夹并提供名称,例如 CrossForestShare。
- 右键单击文件夹,然后选择 属性。
- 选择“安全”选项卡,然后选择“编辑”。
- 在 CrossForestShare 的权限对话框中,选择添加。
- 在输入要选择的对象名称中键入 FileServerAccess,然后选择确定
- 从组或用户名称列表中选择 FileServerAccess。 在“FileServerAccess 的权限”列表中,对“修改”和“写入”权限选择“允许”,然后选择“确定”。
- 选择 共享 选项卡,然后选择 高级共享...。
- 选择“共享此文件夹”,然后在“共享名称”中为该文件共享输入一个易记的名称,例如“CrossForestShare”。
- 选择“权限”。 在每个人的权限列表中,对更改权限选择允许。
- 选择确定两次,然后选择关闭。
验证向资源进行的跨林身份验证
使用本地 Active Directory 中的用户帐户登录到已加入本地 Active Directory 的 Windows 计算机。
使用完全限定的主机名和共享名称(例如 )通过“Windows 资源管理器”连接到你创建的共享。
\\fs1.aaddscontoso.com\CrossforestShare若要验证写入权限,请在文件夹中右键单击,选择 新建,然后选择 文本文档。 使用默认名称 新文本文档。
如果正确设置了写入权限,则会创建新的文本文档。 完成以下步骤以根据需要打开、编辑和删除文件。
若要验证读取权限,请打开 新文本文档。
若要验证修改权限,请在文件中添加文本,然后关闭“记事本”。 当系统提示保存更改时,请选择 保存。
若要验证删除权限,请右键单击 “新建文本文档” 并选择 “删除”。 选择 “是” 以确认文件删除。
后续步骤
在本教程中,您学到了如何:
- 在本地 AD DS 环境中配置 DNS 以支持域服务连接
- 在本地 AD DS 环境中创建单向入站林信任
- 在域服务中创建单向出站林信任
- 测试和验证身份验证和资源访问的信任关系
有关域服务中森林的更多概念性信息,请参阅 域服务中的林信任是如何工作的?。