GPOs, Kerberos: Domänendienste in Azure Active Directory nutzen

Bei Azure AD lassen sich die Domänen­dienste zu­schal­ten, um Proto­kolle wie Ker­beros oder auch Gruppen­richt­linien zu nutzen. Die Azure Active Directory Domain Services (AAD DS) er­lau­ben dann wie das On-Premises-Pendant den Beitritt zu Domä­nen­. Die Verwal­tung von OUs und GPOs ist bis dato einge­schränkt möglich.

Bisher haben Unternehmen Azure-VMs mit Windows Server gebucht und diese zu Domänen-Controllern hochgestuft, wenn sie Domänen­dienste in der Cloud benötigten. VMs mussten meist redundant ausgelegt werden. Dann wurde das On-Prem-Verzeichnis über ein Site-to-Site-VPN mit den DCs in den Azure-VMs synchronisiert. Natürlich sind solche VMs in der Cloud nicht wartungsarm, sondern brauchen Updates, unterliegen auch dem Hardening- und Schema-Update Prozess.

Kein VPN und keine DCs erforderlich

Hier kommen nun die Domänendienste (Domain Services) von Azure AD ins Spiel. Diese machen ein VPN, eigene DCs in der Cloud und Wartungs­arbeiten überflüssig. Die AADDS lagen bis Oktober 2016 als Preview vor und haben erst kürzlich den Status General Availability (GA) erreicht.

Sie bieten LDAP read/bind, Secure LDAP, Kerberos/NTLM-Authenti­fizierung und Gruppen­richtlinien ähnlich wie ein On-Premise-Verzeichnis an. Hinzu kommen die Hochverfüg­barkeit und eine wartungs­arme Betreuung, wodurch sich Kosten sparen lassen. Obendrein verhalten sie sich gegenüber Applikationen genauso wie ein Windows Server Active Directory.

Domänendienste aktivieren, Passwort-Hashes generieren

Die Aktivierung der Domänen­dienste erfolgt im Azure Portal unterhalb des entsprechenden Verzeichnisses. Über Konfigurieren werden die Services im Azure-AD-Mandanten zugeschaltet und bis zur endgültigen Bereitstellung der ersten von zwei hochverfügbaren DC IP vergehen meist 20 Minuten. Unterhalb des Schalters zur Aktivierung zeigt der Dialog einen Hinweis auf die Einwilligung zur Speicherung der Anmelde­informations­hashes an.

Um die vorhandenen Benutzer der verwalteten Azure-Domäne zu authentifizieren, müssen deren Anmeldedaten für eine NTML- und Kerberos-Identitätsprüfung in einem geeigneten Format vorliegen. Ohne Zuschalten der Domänen­dienste werden die Anmeldedaten der User generell nicht im Klartext gespeichert, außerdem liegen keine Hashes vor, die für NTML/Kerberos verwertbar wären.

Benutzer eines cloud-only AD-Mandanten sollten sich daher anschließend einmal an ihrem MyApps-Portal anmelden, um hier im Profil das Kennwort zu ändern. Auch ist es dem AAD-Administrator möglich, die Passwörter im Portal zurückzusetzen. Nach wenigen Minuten stehen die Anmelde­daten dann auch für die Domänen­dienste zur Verfügung.

Bei einem Abgleich mittels Azure AD Connect in einer Hybrid-Konfiguration muss man den Vorgang hingegen per PowerShell-Script vorbereiten, damit auch Hashes für die NTLM/Kerberos-Authentifizierung aus dem On-Prem-Verzeichnis synchronisiert werden.

Virtuelles Netzwerk und Peering

Vor der Aktivierung der Domänen­dienste ist ein bereits eingerichtetes virtuelles Netzwerk (VNet) erforderlich um dieses dann auszuwählen. Der DNS-Domänenname sowie die IPs der DCs werden später für den Domain Join verwendet. Jene automatisiert ausgestellten IP-Adressen verwende ich für die DNS-Konfiguration des virtuellen Netzes.

Die Domänendienste können in einem klassischen virtuellen Netzwerk angeboten werden, sind aber nicht verfügbar bei VNets, die im Azure Resource Manager (ARM) erstellt werden.

Möglich ist jedoch ein Peering der Netzwerke innerhalb von Azure-Regionen, soll heißen, ein ARM-basiertes VNet kann die Domänen­dienste des Classic VNet nutzen. Auch die Verbindung von einem Classic VNet zu einem anderen Classic VNet wird unterstützt. VNet zu VNet erfordert ein Site-to-Site VPN.

Domäne beitreten, GPOs verwalten

Bevor meine gebuchte Azure-VM mit Windows Server 2016 der Domäne beitreten kann, muss die Gruppe AAD DC Administrators unterhalb des Azure AD angelegt werden. In diese administrative Azure Gruppe nehme ich den Globalen Administrator als Mitglied auf. Ein Domain Join verläuft dann wie auf einer On-Premise-Infrastruktur.

Nach dem erfolgreichen Beitritt und einem Neustart der Azure Maschine passiert der Login über die Domäne nun erfolgreich. Werden anschließend die Features zur Administration des Active Directory und der Gruppen­richt­linien nachinstalliert, ist die Sicht auf das AD und der GPOs frei.

Einige Änderungen sind hier durchführbar, beispielsweise das Anlegen neuer Computer Accounts. Bei anderen Operationen bleibt der Zugriff eingeschränkt, darunter fällt auch das Anlegen von OUs. Die verlinkten GPOs (Group Policy Objects) der AADDC Computers GPO und AADDC Users GPO sind editierbar. Berechtigungen wie die eines Domain- oder Enterprise Admins sind bei diesem reinen Cloud-Dienst nicht eingeräumt.