Implementación y configuración de Microsoft Entra Domain Services
Las organizaciones que usan Microsoft Entra ID solo en la nube pueden habilitar Microsoft Entra Domain Services para una red virtual de Azure y, a continuación, obtener un nuevo dominio administrado. Los usuarios y grupos de Microsoft Entra ID están disponibles en el dominio recientemente creado, que tiene servicios de directorio similares a las instancias de AD DS local, incluidos el protocolo Kerberos, la directiva de grupo y la compatibilidad con LDAP.
Puede unir máquinas virtuales de Azure que ejecutan Windows al dominio recientemente creado y puede administrarlas mediante la configuración básica de la directiva de grupo. Al habilitar Microsoft Entra Domain Services, los hash de credenciales necesarios para la autenticación NTLM y Kerberos se almacenan en Microsoft Entra ID.
Dado que Contoso es una organización híbrida, puede integrar sus identidades desde su AD DS local con Microsoft Entra Domain Services mediante Microsoft Entra Connect. Los usuarios de organizaciones híbridas pueden tener la misma experiencia al acceder a recursos basados en dominio, en una infraestructura local o al acceder a recursos de máquinas virtuales que se ejecutan en una red virtual de Azure que se integra con Microsoft Entra Domain Services.
Implementación de Microsoft Entra Domain Services
Para implementar, configurar y usar Microsoft Entra Domain Services, debe tener un inquilino de Microsoft Entra creado en una suscripción de Microsoft Entra. Además, para usar Microsoft Entra Domain Services, debe tener implementada la sincronización de hash de contraseñas con Microsoft Entra Connect. Esto es necesario porque Microsoft Entra Domain Services proporciona autenticación NTLM y Kerberos, por lo que se requieren las credenciales de los usuarios.
Al habilitar Microsoft Entra Domain Services para su inquilino, debe seleccionar el nombre de dominio DNS que usará para este servicio. También debe seleccionar el dominio que va a sincronizar con el entorno local.
Precaución
No debe usar un espacio de nombres de dominio DNS local o de Azure existente.
En la tabla siguiente se describen las opciones de nombre de dominio DNS disponibles.
| Opción | Descripción |
|---|---|
| Nombre de dominio integrado | De manera predeterminada, se usa el nombre de dominio integrado del directorio (un sufijo .onmicrosoft.com). Si se quiere habilitar el acceso LDAP seguro al dominio administrado a través de Internet, no se puede crear un certificado digital para proteger la conexión con este dominio predeterminado. Microsoft es el propietario del dominio .onmicrosoft.com, por lo que una entidad de certificación no emitirá un certificado. |
| Nombres de dominio personalizados | el enfoque más común consiste en especificar un nombre de dominio personalizado, normalmente uno que ya se posee y es enrutable. Cuando se usa un dominio personalizado enrutable, el tráfico puede fluir correctamente según sea necesario para admitir las aplicaciones. |
| Sufijos de dominio no enrutables | Por lo general, se recomienda evitar un sufijo de nombre de dominio no enrutable, como contoso.local. El sufijo .local no es enrutable y puede provocar problemas con la resolución de DNS. |
Sugerencia
Es posible que tenga que crear registros DNS adicionales para otros servicios del entorno o reenviadores DNS condicionales entre los espacios de nombres de DNS existentes en el entorno.
Durante la implementación, también debe seleccionar el tipo de bosque que se va a aprovisionar. Un bosque es una construcción lógica que utiliza AD DS para agrupar uno o más dominios. Hay dos tipos de bosques, tal como se describe en la tabla siguiente.
| Tipo de bosque | Descripción |
|---|---|
| Usuario | Este tipo de bosque sincroniza todos los objetos de Microsoft Entra ID, incluidas las cuentas de usuario creadas en un entorno de AD DS local. |
| Resource | Este tipo de bosque sincroniza únicamente los usuarios y grupos creados directamente en Microsoft Entra ID. |
Después, tendrá que elegir la ubicación de Azure en la que se debe crear el dominio administrado. Si elige una región que admite zonas de disponibilidad, los recursos de Microsoft Entra Domain Services se distribuyen entre las zonas para obtener redundancia adicional.
Nota:
No es necesario configurar Microsoft Entra Domain Services para que se distribuya entre zonas. La plataforma de Azure administra de forma automática la distribución de zonas de los recursos.
También debe seleccionar una red virtual a la que se conectará este servicio. Dado que Microsoft Entra Domain Services proporciona funciones para los recursos locales, debe tener una red virtual entre los entornos locales y de Azure.
Durante el aprovisionamiento, Microsoft Entra Domain Services crea dos aplicaciones empresariales en el inquilino de Microsoft Entra. Estas aplicaciones son necesarias para atender el dominio administrado y, por tanto, no debe eliminarlas. Las aplicaciones empresariales son las siguientes:
- Servicios del controlador de dominio.
- AzureActiveDirectoryDomainControllerServices.
Después de implementar la instancia de Microsoft Entra Domain Services, debe configurar la red virtual para permitir que otras máquinas virtuales y aplicaciones conectadas usen el dominio administrado. Para proporcionar esta conectividad, debe actualice la configuración del servidor DNS de la red virtual, de modo que apunte a las direcciones IP asociadas con la instancia de Microsoft Entra Domain Services.
Microsoft Entra Domain Services necesita los valores hash de las contraseñas en un formato adecuado para la autenticación de NTLM y Kerberos para poder autenticar a los usuarios en el dominio administrado. A menos que habilite Microsoft Entra Domain Services para el inquilino, Microsoft Entra ID no genera ni almacena los valores hash de las contraseñas en el formato necesario para la autenticación NTLM o Kerberos. Por motivos de seguridad, Microsoft Entra ID tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar. Por consiguiente, Microsoft Entra ID no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios. Una vez configurados los hash de contraseña utilizables, se almacenan en el dominio administrado por Microsoft Entra Domain Services.
Nota:
Si elimina el dominio administrado por Microsoft Entra Domain Services, también se eliminan los hashes de contraseña almacenados en ese momento.
No se puede volver a usar la información de credenciales sincronizada en Microsoft Entra ID si posteriormente crea un dominio administrado por Microsoft Entra Domain Services. Debe volver a configurar la sincronización de hash de contraseña para volver a almacenar los hashes de contraseña. Las máquinas virtuales o los usuarios unidos previamente a un dominio no podrán autenticarse inmediatamente: el identificador de Microsoft Entra debe generar y almacenar los hashes de contraseña en el nuevo dominio administrado de Microsoft Entra Domain Services.
Los pasos necesarios para generar y almacenar estos hash de contraseña son diferentes según se trate de cuentas de usuario solo de nube creadas en Microsoft Entra o de las cuentas de usuarios que se sincronizan desde el directorio local mediante Microsoft Entra Connect. Una cuenta de usuario solo en la nube es una cuenta que se creó en el directorio de Microsoft Entra con los cmdlets de Azure Portal o de PowerShell de Microsoft Graph. Estas cuentas de usuario no se sincronizan desde un directorio local.
En el caso de las cuentas de usuario solo de nube, los usuarios deben cambiar sus contraseñas para poder usar Microsoft Entra Domain Services. Este proceso de cambio de contraseña hace que los valores hash de contraseñas para la autenticación Kerberos y NTLM se generen y almacenen en Microsoft Entra. La cuenta no se sincroniza desde Microsoft Entra ID a Microsoft Entra Domain Services hasta que se cambia la contraseña. Puede hacer expirar las contraseñas de todos los usuarios en la nube del inquilino que tenga que usar Azure AD DS, lo que fuerza un cambio de contraseña en el siguiente inicio de sesión, o bien indicarles que cambien sus contraseñas manualmente.
Sugerencia
Para que un usuario pueda restablecer su contraseña, el inquilino de Microsoft Entra debe estar configurado para el autoservicio de restablecimiento de contraseña.
Otras lecturas
Para obtener más información, consulte los documentos siguientes.
- Tutorial: Cree y configure un dominio administrado de Microsoft Entra Domain Services con opciones de configuración avanzadas.
- Tutorial: Creación de una confianza de bosque de salida en un dominio local de Microsoft Entra Domain Services (versión preliminar)
- Implemente la sincronización de hash de contraseñas con Microsoft Entra Connect Sync.