我目前正在寻求一些建议和指导,是否在 Azure 中部署额外的 Windows Server 2019 VM 以在名为“Azure”的单独 AD 站点中运行 Active Directory 域控制器/全局目录真的有什么好处吗?
目前我的 AD 域只是单个林 AD,分布在整个亚太地区的多个地理位置。
Azure AD Connect 运行与 Azure AD 的密码哈希同步,因为我们仍在使用 Hybrid Exchange 2016-Office 365。
在 Azure 中再部署一个 AD DS 作为 IaaS 来为名为“Azure”的 AD 站点提供服务时有哪些好处和注意事项,该站点用于我从 Azure 对等到 OnPremise 的 VNET 的 IP 子网?
我们在 Azure 中创建了一个专门的 VM 映像,并在我们组织拥有的一个 Azure 帐户(例如:[email protected])的共享映像库中共享它。问题是,如何在同一组织下的另一个 azure 帐户上提供此图像(例如:[email protected])。我们需要根据在 azure 帐户 ([email protected]) 中创建的映像在 azure 帐户 ([email protected]) 下创建 VM。我们怎样才能做到这一点?至少对我们来说,这方面的所有文档似乎都很模糊,所以如果有人能指导我们如何做到这一点,那就太好了。提前致谢。
编辑:两个 Azure 帐户都在一个订阅和 AAD 下。
伙计们,
我想知道 Azure 门户中禁用不删除仅 Azure AD Cloud 帐户的命令或步骤是什么?
因为到目前为止,我只能删除帐户并重置密码,而不能像 OnPremise 中那样禁用 Azure AD 帐户。
提前致谢。
我创建了一个 Azure VM 并将其加入 Azure AD 域。我在 VM 上启用了 Azure AD 登录,并将用户添加到 Azure AD AAD DC 管理员组,该组在 VM 中分配了管理员角色。
作为 Azure AD 域成员的 AAD DC 管理员组中的用户,我可以 RDP 到 VM。但是,我不能作为 Azure AD 域中来宾用户组中的用户对 VM 进行 RDP。当我尝试这样做时,RDP 客户端指示来宾用户的凭据不正确:
用于连接的凭据不起作用。请输入新凭据。
我已验证我提供的凭据是正确的。我正在尝试确定是否是因为:
我要协助某人升级游艇上的硬件。他们目前有 Active Directory,在船上安装的 Server 2008 机器上运行。
他们还订阅了 Office365,其中包含许多托管电子邮件地址。
我计划整合这两者,并设置混合 AD。
我担心的是船偶尔连接的性质。我记得在过去,如果森林中的 AD 服务器在 90 或 120 天内不同步,它就会“墓碑”,并且需要被按摩回森林。船上连接的性质(如果在海上)意味着可以延长(即 60 天以上)没有互联网连接的情况。
混合拓扑如何处理这个问题?AD 服务器在墓碑之前可以从 Internet 断开连接的最大天数?
我在 Azure AD DS 中有域用户。
我需要为其中一些用户设置不会过期的密码。
当我在域中的计算机上转到“Active Directory 用户和计算机”时,“密码永不过期”选项显示为灰色。
当我去office 365查看密码过期策略时,它被配置为密码永不过期。
当我查看我的一台机器的 GPO 时,我没有设置密码到期。
当我转到同一台机器并在 powershell 中运行 Get-ADUser 时,我得到:
但是,70 天后,用户的密码将过期(在 Windows Server 中),而不是用于登录 Office 365。
谁能指导我到发生这种情况的地方?我有点难过,需要尽快解决这个问题!
谢谢!
编辑 1:我是全局管理员。
我有一个使用 Azure VM 和 Google Cloud VM 的多云设置,它们通过站点到站点 VPN(来自 Azure)连接。VPN 连接一切正常,但我现在正尝试将所有(Azure 和 Google)VM 加入 Azure (AADDS) 中托管的同一个域。Azure VM 在对等 Vnet 并调整 DNS 服务器以指向 AADDS 内部 IP 后成功加入,但我被困在 google VM 上。
我有:
考虑到 ping 工作正常,我觉得这是一个 DNS 问题。最初我得到了 SVR 记录丢失错误,所以我添加了一个特定的 SVR 记录 _ldap._tcp.dc._msdcs svr 并尝试了通配符 SVR。但是我在尝试加入时最终出现以下错误:
Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\Windows\debug\dcdiag.txt.
DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "mydomain.com":
The query was for the SRV record for _ldap._tcp.dc._msdcs.mydomain.com
The following domain controllers were identified by the query:
mydomain.com
However no domain controllers could be contacted.
Common causes of this error include:
- Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.
- Domain controllers registered in DNS are not connected to the network or are not running.
我们希望完全摆脱我们的本地基础设施。
我们希望我们的员工在家中拥有一台公司笔记本电脑,该笔记本电脑可以通过 AAD DS 进行身份验证,并由我们的 IT 员工通过 GPO/Intune 进行管理。
我看到的文档总是假设在使用 AAD DS 时有一个本地 AD 可以与之同步。这不是我们的情况。我们希望机器加入 AAD DS 域并在没有任何本地 DC 的情况下从那里进行管理。
在这种情况下仅使用 AAD DS 会起作用还是有一些限制?
我正在使用 Windows Server Essentials 2019 来管理小型企业的域。它运行我们的 DNS、DHCP 和 AD DS,并有一个相当严格的组策略,在第二台机器上运行一个 MS SQL 服务器。
我正在另一个城镇为我的企业添加第二个物理站点。一个场所的工作人员偶尔会在另一个场所工作(但这种情况很少见)。我仍将管理整个业务的网络。
我的问题是是在新站点添加第二个域控制器还是只是将新站点计算机添加到现有域?这两个站点都有很好的光纤连接,我仍然在 Essentials 的许可条款范围内。我想另一种解决方案是查看 Azure 域服务,但我不熟悉这个解决方案(我从 1999 年开始就熟悉 Windows Server)。
我不一定要寻找“所以这样”或“那样做” - 但我应该考虑什么?
术语
鉴于非常相似的术语,让我列出我要问的两件事......
首先,Azure 活动目录。这是支持 o365 的目录服务。您可以将凭据同步到其中,并通过 SAML 和其他一些位将其用于 SSO,但基本上就是这样。
其次,Azure Active Directory 域服务。这更接近于自 Windows 2000 以来我们所知道的 ADDS(OU、组策略、NTLM 等),但提供了as-a-service。有很多限制(没有域管理员权限、没有架构扩展、没有对 DC 的直接访问),但您可以以传统方式将服务器加入域。
他们的名字如此相似,在尝试获取有关他们如何交互的任何信息时,谷歌的结果非常令人沮丧,因此我的问题就在这里!
我的目标
我的目标是尽可能多地迁移到云端。我已经通过 o365 移动了 Exchange 和 SharePoint,并且我的本地 AD 与 Azure AD 同步。我也想将我的所有服务器都迁移到 Azure 并使用 Azure AD 域服务,而不是将我自己的 DC 构建为 Azure VM。这一切似乎都可以实现。
我的关键要求:我希望登录到其 o365 邮箱的用户使用与登录到已加入 Azure AD 域服务域的服务器(或服务器上运行的服务)相同的凭据来执行此操作。
我的问题
我如何实现这一关键要求?!
我是“扩展”还是“升级”?我的 Azure AD 实例到 Azure AD DS 实例?似乎没有任何选择可以这样做。
我是否以某种方式同步我的 Azure AD 和 Azure AD DS 实例?这是否意味着构建一个虚拟机来运行 AD Connect 工具?
似乎几乎没有关于该主题的文章(我可以找到!),因此非常感谢您的见解!