Tags: Azure, Active Directory, Gruppenrichtlinien, Authentifizierung
Bei Azure AD lassen sich die Domänendienste zuschalten, um Protokolle wie Kerberos oder auch Gruppenrichtlinien zu nutzen. Die Azure Active Directory Domain Services (AAD DS) erlauben dann wie das On-Premises-Pendant den Beitritt zu Domänen. Die Verwaltung von OUs und GPOs ist bis dato eingeschränkt möglich.
Bisher haben Unternehmen Azure-VMs mit Windows Server gebucht und diese zu Domänen-Controllern hochgestuft, wenn sie Domänendienste in der Cloud benötigten. VMs mussten meist redundant ausgelegt werden. Dann wurde das On-Prem-Verzeichnis über ein Site-to-Site-VPN mit den DCs in den Azure-VMs synchronisiert. Natürlich sind solche VMs in der Cloud nicht wartungsarm, sondern brauchen Updates, unterliegen auch dem Hardening- und Schema-Update Prozess.
Kein VPN und keine DCs erforderlich
Hier kommen nun die Domänendienste (Domain Services) von Azure AD ins Spiel. Diese machen ein VPN, eigene DCs in der Cloud und Wartungsarbeiten überflüssig. Die AADDS lagen bis Oktober 2016 als Preview vor und haben erst kürzlich den Status General Availability (GA) erreicht.
Sie bieten LDAP read/bind, Secure LDAP, Kerberos/NTLM-Authentifizierung und Gruppenrichtlinien ähnlich wie ein On-Premise-Verzeichnis an. Hinzu kommen die Hochverfügbarkeit und eine wartungsarme Betreuung, wodurch sich Kosten sparen lassen. Obendrein verhalten sie sich gegenüber Applikationen genauso wie ein Windows Server Active Directory.
Domänendienste aktivieren, Passwort-Hashes generieren
Die Aktivierung der Domänendienste erfolgt im Azure Portal unterhalb des entsprechenden Verzeichnisses. Über Konfigurieren werden die Services im Azure-AD-Mandanten zugeschaltet und bis zur endgültigen Bereitstellung der ersten von zwei hochverfügbaren DC IP vergehen meist 20 Minuten. Unterhalb des Schalters zur Aktivierung zeigt der Dialog einen Hinweis auf die Einwilligung zur Speicherung der Anmeldeinformationshashes an.
Um die vorhandenen Benutzer der verwalteten Azure-Domäne zu authentifizieren, müssen deren Anmeldedaten für eine NTML- und Kerberos-Identitätsprüfung in einem geeigneten Format vorliegen. Ohne Zuschalten der Domänendienste werden die Anmeldedaten der User generell nicht im Klartext gespeichert, außerdem liegen keine Hashes vor, die für NTML/Kerberos verwertbar wären.
Benutzer eines cloud-only AD-Mandanten sollten sich daher anschließend einmal an ihrem MyApps-Portal anmelden, um hier im Profil das Kennwort zu ändern. Auch ist es dem AAD-Administrator möglich, die Passwörter im Portal zurückzusetzen. Nach wenigen Minuten stehen die Anmeldedaten dann auch für die Domänendienste zur Verfügung.
Bei einem Abgleich mittels Azure AD Connect in einer Hybrid-Konfiguration muss man den Vorgang hingegen per PowerShell-Script vorbereiten, damit auch Hashes für die NTLM/Kerberos-Authentifizierung aus dem On-Prem-Verzeichnis synchronisiert werden.
Virtuelles Netzwerk und Peering
Vor der Aktivierung der Domänendienste ist ein bereits eingerichtetes virtuelles Netzwerk (VNet) erforderlich um dieses dann auszuwählen. Der DNS-Domänenname sowie die IPs der DCs werden später für den Domain Join verwendet. Jene automatisiert ausgestellten IP-Adressen verwende ich für die DNS-Konfiguration des virtuellen Netzes.
Die Domänendienste können in einem klassischen virtuellen Netzwerk angeboten werden, sind aber nicht verfügbar bei VNets, die im Azure Resource Manager (ARM) erstellt werden.
Möglich ist jedoch ein Peering der Netzwerke innerhalb von Azure-Regionen, soll heißen, ein ARM-basiertes VNet kann die Domänendienste des Classic VNet nutzen. Auch die Verbindung von einem Classic VNet zu einem anderen Classic VNet wird unterstützt. VNet zu VNet erfordert ein Site-to-Site VPN.
Domäne beitreten, GPOs verwalten
Bevor meine gebuchte Azure-VM mit Windows Server 2016 der Domäne beitreten kann, muss die Gruppe AAD DC Administrators unterhalb des Azure AD angelegt werden. In diese administrative Azure Gruppe nehme ich den Globalen Administrator als Mitglied auf. Ein Domain Join verläuft dann wie auf einer On-Premise-Infrastruktur.
Nach dem erfolgreichen Beitritt und einem Neustart der Azure Maschine passiert der Login über die Domäne nun erfolgreich. Werden anschließend die Features zur Administration des Active Directory und der Gruppenrichtlinien nachinstalliert, ist die Sicht auf das AD und der GPOs frei.
Einige Änderungen sind hier durchführbar, beispielsweise das Anlegen neuer Computer Accounts. Bei anderen Operationen bleibt der Zugriff eingeschränkt, darunter fällt auch das Anlegen von OUs. Die verlinkten GPOs (Group Policy Objects) der AADDC Computers GPO und AADDC Users GPO sind editierbar. Berechtigungen wie die eines Domain- oder Enterprise Admins sind bei diesem reinen Cloud-Dienst nicht eingeräumt.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris.
Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions.
Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
Ähnliche Beiträge
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
- Privilegierte Konten mit Azure PIM schützen
- Mit der Authenticator App an M365 oder Azure AD ohne Kennwort anmelden
Weitere Links