一,引言
有网友提到实际项目中如何将 Azuer VM 实例加入到 Azure AD 域,那我们今天就带着整个问题开始今天的分析!首先我们得了解什么是 Azure AD 域服务,Azure AD 域服务如何于现有的 Azure AD 租户集成?
1, Azure AD 和 AD 是不一样的
AD 是目录服务,是一个组织单位,可以通过活动目录对计算机进行管理,AD 中存储了有关网络对象的信息。AD 支持NTML 和 Kerberos 等协议。而 Azure AD 是对用户和设备进行了分组,Azure AD 是一种基于云和身份的访问管理服务,可以通过使用协议 OAuth 2 协议登录到更多的内部和外部服务。
2,什么是 Azure AD 域服务
Azure AD 域服务是 微软提供的一套无需重构即可将旧应用程序直接迁移到云的解决方案。Azure AD 域服务是 Azure AD 租户的只读副本。在 Azure AD 域服务中创建/更改的所有内容都不会写入 Azure AD。同时,Azure AD 域服务中的所有用户的身份与 Azure AD 用户完全不同。
以下内容摘自官方解释:
Azure Active Directory 域服务 (Azure AD DS) 提供托管域服务,例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。 无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。
Azure AD DS 托管域使你能够在云中或你不希望目录查找始终返回到本地 AD DS 环境的位置,运行无法使用现代身份验证方法的旧版应用程序。 你可以将这些旧版应用程序从本地环境直接迁移到托管域,而无需在云中管理 AD DS 环境。
Azure AD DS 与现有的 Azure AD 租户集成。 通过此集成,用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。
-------------------- 我是分割线 --------------------
1,Azure AD Domain Service(一)将 Azure VM 实例添加到域服务里
2,Azure AD Domain Service(二)为域服务中的机器配置 Azure File Share 磁盘共享
二,正文
1,配置 Azure AD 域服务
登录到 Azure Portal 后,点击 “Create a resource”,搜索 “Azure AD Domain Services”。并创建
输入以下参数
Resource group 选择创建新的:“Web_Test_AD_DomainService_RG”
DNS domain name:“cnbateblogweb.com”(DNS 默认域名:默认内置目录.onmicrosoft.com )
Region:“East Asia”
SKU:“Standard”
重点 :Azure AD 租户中有 “全局管理员” 的权限才能启用 Azure AD 域服务
点击 “Next” 设置网络
修改默认创建的虚拟网络
Name:”cnbate_aadds_vnet“
Subnets
Subnet name:”cnbate_aadds_subnet“
Address range:”10.1.0.0/24“
配置完网络信息,点击 ”Review + create“
预校验完成后,点击 ”Create“ 进行创建
等待创建完成后,跳转到该资源。我们可以看到 托管域 正在部署。在完全预配托管域之前无法对其进行配置。
等待域服务部署好了,我们就可以进行配置操作了
2,设置 AAD DC 管理员
Azure AD 域服务页面选择 “Settings =》Synchronization” ,开启 “Synchronization scope”,点击 “+ Add groups”
选择 “AAD DC Administrator”,点击 “OK”
设置完毕 同步组 后,点击 “Save synchronization scope” 进行保存操作
接下来需要为 “AAD DC Administrator” 组添加成员了,选择 “Azure Active Directory”
选择 “Manage =》Groups”
进入 “AAD DC Administrators” 组
添加组成员 “zhangsan”
3,将虚拟机加入到当前创建好的 ”cnbateblogweb.com“ 的服务域中
创建一个虚拟机并部署到 ”cnbate_aadds_vnet“ 网络中
Resource group:”Web_Test_AD_DomainService_RG“
Virtual machine name:”cnbateblogweb-domain01“
Region:”East Asia“
其他参数根据实际项目需求输入即可
点击 ”Next :Disks >“ 配置磁盘
磁盘根据实际需要选择,我选择 ”Standard HDD“,点击 ”Next : Networking >“ 配置网络
Virtual network:”cnbate_aadds_vnet“
Subnet:”cnbate_aadds_subnet“
Public IP
SKU:“Basic”
Assignment:“Static”
点击 “Review + create” 进行创建
等待 Azure VM 创建完成后,利用RDP远程桌面登录到 Azure VM 后配置域信息,打开系统设置配置,加入域
Member of 选择:“Domain”,
Domain:“cnbateblogweb”
点击 “OK”
登录验证成功后,我们就可以看到成功的将 Azure VM 添加到 Azure AD 域服务中。
三,结尾
大家需要注意的是在添加 Azure AD域服务时,用户必须是属于Azure AD 组的用户。并且如果我们启用与 Azure AD 域服务的密码哈希同步之前,用户无法使用安全 LDAP 进行绑定或登录到托管域。根据 Azure AD 目录中的用户类型,按照以下说明进行操作。
官方文档:什么是 Azure Active Directory 域服务,创建和配置Azure AD 域服务托管
并且在本文所分享的内容也存在着很多我自己的一些理解,有理解不到位的,还包含,并且指出不足之处!!!!!
欢迎大家关注博主的博客:https://allenmasters.com/
作者:Allen
版权:转载请在文章明显位置注明作者及出处。如发现错误,欢迎批评指正。