一,引言
有網友提到實際專案中如何將 Azuer VM 例項加入到 Azure AD 域,那我們今天就帶著整個問題開始今天的分析!首先我們得了解什麼是 Azure AD 域服務,Azure AD 域服務如何於現有的 Azure AD 租戶整合?
1, Azure AD 和 AD 是不一樣的
AD 是目錄服務,是一個組織單位,可以通過活動目錄對計算機進行管理,AD 中儲存了有關網路物件的資訊。AD 支援NTML 和 Kerberos 等協議。而 Azure AD 是對使用者和裝置進行了分組,Azure AD 是一種基於雲和身份的訪問管理服務,可以通過使用協議 OAuth 2 協議登入到更多的內部和外部服務。
2,什麼是 Azure AD 域服務
Azure AD 域服務是 微軟提供的一套無需重構即可將舊應用程式直接遷移到雲的解決方案。Azure AD 域服務是 Azure AD 租戶的只讀副本。在 Azure AD 域服務中建立/更改的所有內容都不會寫入 Azure AD。同時,Azure AD 域服務中的所有使用者的身份與 Azure AD 使用者完全不同。
以下內容摘自官方解釋:
Azure Active Directory 域服務 (Azure AD DS) 提供託管域服務,例如域加入、組策略、輕型目錄訪問協議 (LDAP) 和 Kerberos/NTLM 身份驗證。 無需在雲中部署、管理和修補域控制器 (DC) 即可使用這些域服務。
Azure AD DS 託管域使你能夠在雲中或你不希望目錄查詢始終返回到本地 AD DS 環境的位置,執行無法使用現代身份驗證方法的舊版應用程式。 你可以將這些舊版應用程式從本地環境直接遷移到託管域,而無需在雲中管理 AD DS 環境。
Azure AD DS 與現有的 Azure AD 租戶整合。 通過此整合,使用者可以使用其現有憑據登入到與託管域相連的服務和應用程式。 還可以使用現有組和使用者帳戶來保護對資源的訪問。 這些功能可更順暢地將本地資源直接遷移到 Azure。
二,正文
1,配置 Azure AD 域服務
登入到 Azure Portal 後,點選 “Create a resource”,搜尋 “Azure AD Domain Services”。並建立
輸入以下引數
Resource group 選擇建立新的:“Web_Test_AD_DomainService_RG”
DNS domain name:“cnbateblogweb.com”(DNS 預設域名:預設內建目錄.onmicrosoft.com )
Region:“East Asia”
SKU:“Standard”
重點 :Azure AD 租戶中有 “全域性管理員” 的許可權才能啟用 Azure AD 域服務
點選 “Next” 設定網路
修改預設建立的虛擬網路
Name:”cnbate_aadds_vnet“
Subnets
Subnet name:”cnbate_aadds_subnet“
Address range:”10.1.0.0/24“
配置完網路資訊,點選 ”Review + create“
預校驗完成後,點選 ”Create“ 進行建立
等待建立完成後,跳轉到該資源。我們可以看到 託管域 正在部署。在完全預配託管域之前無法對其進行配置。
等待域服務部署好了,我們就可以進行配置操作了
2,設定 AAD DC 管理員
Azure AD 域服務頁面選擇 “Settings =》Synchronization” ,開啟 “Synchronization scope”,點選 “+ Add groups”
選擇 “AAD DC Administrator”,點選 “OK”
設定完畢 同步組 後,點選 “Save synchronization scope” 進行儲存操作
接下來需要為 “AAD DC Administrator” 組新增成員了,選擇 “Azure Active Directory”
選擇 “Manage =》Groups”
進入 “AAD DC Administrators” 組
新增組成員 “zhangsan”
3,將虛擬機器加入到當前建立好的 ”cnbateblogweb.com“ 的服務域中
建立一個虛擬機器並部署到 ”cnbate_aadds_vnet“ 網路中
Resource group:”Web_Test_AD_DomainService_RG“
Virtual machine name:”cnbateblogweb-domain01“
Region:”East Asia“
其他引數根據實際專案需求輸入即可
點選 ”Next :Disks >“ 配置磁碟
磁碟根據實際需要選擇,我選擇 ”Standard HDD“,點選 ”Next : Networking >“ 配置網路
Virtual network:”cnbate_aadds_vnet“
Subnet:”cnbate_aadds_subnet“
Public IP
SKU:“Basic”
Assignment:“Static”
點選 “Review + create” 進行建立
等待 Azure VM 建立完成後,利用RDP遠端桌面登入到 Azure VM 後配置域資訊,開啟系統設定配置,加入域
Member of 選擇:“Domain”,
Domain:“cnbateblogweb”
點選 “OK”
登入驗證成功後,我們就可以看到成功的將 Azure VM 新增到 Azure AD 域服務中。
三,結尾
大家需要注意的是在新增 Azure AD域服務時,使用者必須是屬於Azure AD 組的使用者。並且如果我們啟用與 Azure AD 域服務的密碼雜湊同步之前,使用者無法使用安全 LDAP 進行繫結或登入到託管域。根據 Azure AD 目錄中的使用者型別,按照以下說明進行操作。
官方文件:什麼是 Azure Active Directory 域服務,建立和配置Azure AD 域服務託管
並且在本文所分享的內容也存在著很多我自己的一些理解,有理解不到位的,還包含,並且指出不足之處!!!!!
歡迎大家關注博主的部落格:https://allenmasters.com/
作者:Allen
版權:轉載請在文章明顯位置註明作者及出處。如發現錯誤,歡迎批評指正。