Azure解决方案:在Azure IaaS中适用于工作负载的Domain Service

51CTO 博客地址：https://blog.51cto.com/14669127

博客园博客地址：https://www.cnblogs.com/Nancy1983 

运行在VM的LOB解决方案都需要Windows Server AD包含以下功能：支持HTLM、Kerberos或者基于LDAP的身份验证，Domain-Joined 虚拟机、组策略，微软为了满足客户的需求，推荐两种解决方案：

• 使用Azure AD Domain Services
• 扩展Windows Server AD 到Azure VM（虚拟机）中

使用Azure AD Domain Services的场景：

• 服务器应用程序管理
• 服务器登录

企业用户可以在现有的Azure AD Tenant中启用Azure AD Domain Service，而不需要部署和管理域控制器。

该域是一个独立域，并不是On Premise Domain/Forest Domain 的基础设施扩展，但，来自On Premise 的所有用户账户、组成员身份和凭证在此托管域中都是可用的，用户可以使用与Azure AD相同的企业用户凭据登录连接到托管域的服务和应用程序，管理员也可以使用现有的组和用户账户来控制对资源的访问，这些特性提供了一个更平稳的本地资源到Azure的转移。

Azure AD Domain Service 工作原理：

 

• Domain Service连接到Azure IaaS中的虚拟网络中
• 被其他虚拟网络使用的Domain Service实例连接到配置Domain Service的虚拟网络中

 

扩展Windows Server AD到Azure VM（虚拟机）中：

这个配置是Windows Server AD On Premise 和Azure的混合部署，需要满足：

• Azure IaaS的虚拟网络
• Site to Site的VPN连接或Express Route连接
• 扩展你的本地，私有IP地址范围的虚拟机范围的虚拟机的虚拟网络
• 在Azure虚拟网络中部署一个或多个域控制器，指定为全局Catalog服务器（减少跨VPN连接出口）

 

连接选项：

• Virtual Private Network （VPN）
  • Site to Site连接，Site（包括其他Azure虚拟网络）到单个Azure虚拟网络
  • Point to Site连接，从一台机器到Azure虚拟网络
• ExpressRoute：通过云转换、点对点以太网或任意到任意（IP VPN）提供商连接到Azure IaaS的专用私有连接：
  • 系统性能
  • 低延迟

相关参考连接：

• What is Azure Active Directory Domain Services？
• Common Use-Cases and Scenarios for Azure Active Directory Domain Services

• 还没有人评论，欢迎说说您的想法！