Active Directory Domain Services

Azure ¨Active Directory Domain Services¨ esta creado para evitar tener tus propios controladores de dominio corriendo en máquinas virtuales en Azure. Azure AD provee servicios de autenticación (Kerberos y NTLM)

Solo se puede crear un AD DS por cada AAD existente (uno por cada subscripción de Azure)

Crear servicio de Azure AD Domain Services

Para proceder a crear un Azure AD DS iremos a servicios y buscaremos Azure AD Domain Services – Añadir

Seleccionamos el DNS que queremos darle a nuestro dominio, la subscripción, el grupo de recursos y la localización.

OJO, aunque lo ideal es que el DNS domain name coincida con el nombre de Azure AD esto no es siempre posible ya que el DNS domain name tiene un máximo de caracteres. Las entidades de Azure AD y Azure AD DS estarán sincronizadas por lo tanto continuaremos utilizando los alias de los Azure AD para logarnos en los servicios AD DS en vez del DNS domain name que estamos configurando aquí. Pero para evitar confusiones lo mejor es configurar el mismo nombre si es posible.

Seleccionamos la red virtual al que el AD DS va a dar servicio. Esta es la red virtual y subnet donde tenemos o tendremos las máquinas virtuales que queremos añadir al dominio que estamos creando.

Añadimos un administrador al grupo de Administradores del Dominio. Este administrador tiene que ser uno de los usuarios existentes en AAD (ya sea esta una identidad cloud-only o sincronizada de un dominio on-premises)

Una vez creada la veremos así

Siguiente paso es configurar la configuración del DNS server en tu red virtual.

Con solo darle al botón configurar se configurara automáticamente.

El siguiente paso depende de la arquitectura que tengamos, cloud-only o hibrida.

En el caso de una infraestructura CLOUD ONLY:

¨enable password hash synchronization to your managed domain for cloud-only user accounts¨

Vete al directorio de Azure

https://account.activedirectory.windowsazure.com

Selecciona perfil

Cambia la contraseña del usuario.

A partir de este momento este usuario se podría utilizar para logarse en una máquina virtual existente en la red virtual que hemos definido

En el caso de una infraestructura hibrida:

¨Enable password synchronization to your managed domain for user accounts synced with your on-premises AD¨

En un entorno hibrido con AD DS on-premises y AAD y asumiendo que ¨AD connect¨ ya está instalado y configurado (ver AD connect) es necesario activar los hashes de credenciales de NTLM and Kerberos a Azure AD para poder utilizar AAD DS

Lo primero que tenemos que saber es el nombre de los conectores de ¨AD connect¨.

Sino lo sabemos en el controlador de dominio iremos a la carpeta donde tenemos instalado Azure AD Sync y ejecutamos miisclient.exe

En esta herramienta podremos ver el nombre de los conectores

Después lanzaremos el siguiente powershell script desde el controlador de dominio principal de cada forest existente.

$adConnector = «<CASE SENSITIVE AD CONNECTOR NAME>»

$azureadConnector = «<CASE SENSITIVE AZURE AD CONNECTOR NAME>»

Import-Module adsync

$c = Get-ADSyncConnector -Name $adConnector

$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter «Microsoft.Synchronize.ForceFullPasswordSync», String, ConnectorGlobal, $null, $null, $null

$p.Value = 1

$c.GlobalParameters.Remove($p.Name)

$c.GlobalParameters.Add($p)

$c = Add-ADSyncConnector -Connector $c

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true

En el ejemplo seria:

$adConnector = «ES.TRAINING.LOCAL»

$azureadConnector = «piedpipertesting.onmicrosoft.com – AAD»

Import-Module adsync

$c = Get-ADSyncConnector -Name $adConnector

$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter «Microsoft.Synchronize.ForceFullPasswordSync», String, ConnectorGlobal, $null, $null, $null

$p.Value = 1

$c.GlobalParameters.Remove($p.Name)

$c.GlobalParameters.Add($p)

$c = Add-ADSyncConnector -Connector $c

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true

A partir de este momento este usuario se podría utilizar para logarse en una máquina virtual existente en la red virtual que hemos definido

Añadir una máquina virtual al dominio

Sino existe crea un máquina virtual (crear máquina virtual)

Una vez creada logarse en ella con el administrador local y cambiar el dominio desde control panel

Para ello necesitaras utilizar la cuenta (en el ejemplo marcos.losa@piedpipertesting.onmicrosoft.com) a la que le diste permisos de administrador en AD DS al configurar el servicio

A partir de ahora ya puedes conectarte con una cuenta de Azure AD DS en la máquina virtual

Para instalar administration tools

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-admin-guide-create-ou

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*