Azure AD Domain Service（一）將 Azure VM 實例添加到域服務裏

一，引言

　　有網友提到實際項目中如何將 Azuer VM 實例加入到 Azure AD 域，那我們今天就帶着整個問題開始今天的分析！首先我們得了解什麼是 Azure AD 域服務，Azure AD 域服務如何於現有的 Azure AD 租戶集成?

1， Azure AD 和 AD 是不一樣的

　　AD 是目錄服務，是一個組織單位，可以通過活動目錄對計算機進行管理，AD 中存儲了有關網絡對象的信息。AD 支持NTML 和 Kerberos 等協議。而 Azure AD 是對用戶和設備進行了分組，Azure AD 是一種基於雲和身份的訪問管理服務，可以通過使用協議 OAuth 2 協議登錄到更多的內部和外部服務。

2，什麼是 Azure AD 域服務

　　Azure AD 域服務是 微軟提供的一套無需重構即可將舊應用程序直接遷移到雲的解決方案。Azure AD 域服務是 Azure AD 租戶的只讀副本。在 Azure AD 域服務中創建/更改的所有內容都不會寫入 Azure AD。同時，Azure AD 域服務中的所有用戶的身份與 Azure AD 用戶完全不同。

以下內容摘自官方解釋：

　　Azure Active Directory 域服務 (Azure AD DS) 提供託管域服務，例如域加入、組策略、輕型目錄訪問協議 (LDAP) 和 Kerberos/NTLM 身份驗證。 無需在雲中部署、管理和修補域控制器 (DC) 即可使用這些域服務。

　　Azure AD DS 託管域使你能夠在雲中或你不希望目錄查找始終返回到本地 AD DS 環境的位置，運行無法使用現代身份驗證方法的舊版應用程序。 你可以將這些舊版應用程序從本地環境直接遷移到託管域，而無需在雲中管理 AD DS 環境。

　　Azure AD DS 與現有的 Azure AD 租戶集成。 通過此集成，用戶可以使用其現有憑據登錄到與託管域相連的服務和應用程序。 還可以使用現有組和用戶帳戶來保護對資源的訪問。 這些功能可更順暢地將本地資源直接遷移到 Azure。

二，正文

1，配置 Azure AD 域服務

登錄到 Azure Portal 後，點擊 “Create a resource”，搜索 “Azure AD Domain Services”。並創建

輸入以下參數

Resource group 選擇創建新的：“Web_Test_AD_DomainService_RG”

DNS domain name：“cnbateblogweb.com”（DNS 默認域名：默認內置目錄.onmicrosoft.com ）

Region：“East Asia”

SKU：“Standard”

重點 ：Azure AD 租戶中有 “全局管理員” 的權限才能啓用 Azure AD 域服務

點擊 “Next” 設置網絡

修改默認創建的虛擬網絡

Name：”cnbate_aadds_vnet“

Subnets

　　Subnet name：”cnbate_aadds_subnet“

　　Address range：”10.1.0.0/24“

配置完網絡信息，點擊 ”Review + create“ 

預校驗完成後，點擊 ”Create“ 進行創建

等待創建完成後，跳轉到該資源。我們可以看到  託管域 正在部署。在完全預配託管域之前無法對其進行配置。

等待域服務部署好了，我們就可以進行配置操作了

2，設置 AAD DC 管理員

Azure AD 域服務頁面選擇 “Settings =》Synchronization” ，開啓 “Synchronization scope”，點擊 “+ Add groups”

選擇 “AAD DC Administrator”，點擊 “OK”

設置完畢 同步組 後，點擊 “Save synchronization scope” 進行保存操作

接下來需要爲 “AAD DC Administrator” 組添加成員了，選擇 “Azure Active Directory”

選擇 “Manage =》Groups”

進入 “AAD DC Administrators” 組

添加組成員 “zhangsan”

3，將虛擬機加入到當前創建好的 ”cnbateblogweb.com“ 的服務域中

創建一個虛擬機並部署到 ”cnbate_aadds_vnet“ 網絡中

Resource group：”Web_Test_AD_DomainService_RG“

Virtual machine name：”cnbateblogweb-domain01“

Region：”East Asia“

其他參數根據實際項目需求輸入即可

點擊 ”Next ：Disks >“ 配置磁盤 

磁盤根據實際需要選擇，我選擇 ”Standard HDD“，點擊 ”Next : Networking >“ 配置網絡

Virtual network：”cnbate_aadds_vnet“

Subnet：”cnbate_aadds_subnet“

Public IP

　　SKU：“Basic”

　　Assignment：“Static”

點擊 “Review + create” 進行創建

等待 Azure VM 創建完成後，利用RDP遠程桌面登錄到 Azure VM 後配置域信息，打開系統設置配置，加入域

Member of 選擇：“Domain”，

Domain：“cnbateblogweb”

點擊 “OK”

登錄驗證成功後，我們就可以看到成功的將 Azure VM 添加到 Azure AD 域服務中。

三，結尾

　　大家需要注意的是在添加 Azure AD域服務時，用戶必須是屬於Azure AD 組的用戶。並且如果我們啓用與 Azure AD 域服務的密碼哈希同步之前，用戶無法使用安全 LDAP 進行綁定或登錄到託管域。根據 Azure AD 目錄中的用戶類型，按照以下說明進行操作。

官方文檔：什麼是 Azure Active Directory 域服務，創建和配置Azure AD 域服務託管

並且在本文所分享的內容也存在着很多我自己的一些理解，有理解不到位的，還包含，並且指出不足之處！！！！！

歡迎大家關注博主的博客：https://allenmasters.com/

作者：Allen 

版權：轉載請在文章明顯位置註明作者及出處。如發現錯誤，歡迎批評指正。