《Windows Azure Platform 系列文章目录》
本文介绍的是, 在单一目录下, 使用 Azure AD Connect, 打通本地 Domain Controller
我们需要准备的环境有:
1.Azure China 订阅
2. 在本地或者在微软云端, 创建 1 台 Windows VM, 安装 Domain Controller 域控制器服务.
这里我们的测试环境为在云端创建 1 台 Domain Controller 机器, 命名为 CorpDC, 安装的 Domain Name 为: leicorp.biz
3. 注册一个公网的域名, 名称为 leicorp.biz, 注意需要和上面的 Domain Name 一致
具体的步骤分为三个:
第一步: 在 Azure AD 增加自定义域名, 在公网域名增加 TXT 记录
第二步: 使用 Azure AD Connect, 将本地的 Domain Controller 用户名, Hash 加密后的密码, 同步到云端的 Azure AD
第三步: 使用本地的 Domain Controller 的用户名和密码, 访问 Azure Portal
第一步: 在 Azure AD 增加自定义域名, 在公网域名增加 TXT 记录
1. 首先我们登录 Azure China Portal: https://portal.azure.cn/
2. 在 Azure AD 里面, 选择 Custom Domain Name, 点击 Add Custom Domain, 如下图:
3. 增加完毕后, 页面会显示 TXT 记录, 如下图:
4. 我们在域名服务商那里, 增加对 leicorp.biz 的的 TXT 记录. 这里我用的是海外的 Azure App Service Domain 服务
把步骤 3 中的信息, 输入到下图中:
(1)Name 输入 @
(2)Type 为 TXT
(3)TTL 使用默认的 1 Hour, 对应步骤 3 中的 3600 秒
(4)Value 输入上面步骤 3 的记录: MS=ms27412766
5. 设置完毕后, 我们稍微等待 TXT 生效, 然后回到步骤 3 中, 点击 Verify 按钮. 如下图所示:
6. 验证通过后, Custom domain names 会显示验证通过:
第二步: 使用 Azure AD Connect, 将本地的 Domain Controller 用户名, Hash 加密后的密码, 同步到云端的 Azure AD
1. 我们已经在云端创建了 1 台 Domain Controller 机器, 命名为 CorpDC, 安装的 Domain Name 为: leicorp.biz
2. 我们在 DC 上创建 3 个用户:
3. 在弹出的窗口中, 输入用户信息, 命名为 user01, user02, user03
4. 微软官方建议在另外一台机器上, 安装 Azure AD Connect, 该机器可以访问到 Domain Controller 域控制器
为了演示方便, 我们在云端的 DC 上, 安装 Azure AD Connect 服务, 下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=47594
安装完毕后, 选择 I agree
5. 根据自己的需求, 我们这里选择 Express
6. 在 Connect to Azure AD 栏目中, 输入登录 https://portal.azure.cn 的用户名和密码
7. 在 Connect to AD DS 中, 输入域控制器管理员的用户名和密码
8. 验证完毕后, 我们先不勾选 Start the Synchronization
9. 安装完毕后, 界面显示 Azure AD Connect 同步尚未开始. 如下图红色部分
9. 安装完毕后. 我点击桌面的图表 Azure AD Connect, 进行配置和同步
10. 配置里面有很多内容, 笔者简单举几个例子, 比如:
11. 然后输入信息:
12. 选择 Domain 和 OU
13. 设置 AD 属性, 同时我们注意 AD 密码是哈希加密
14. 选择需要同步的 AD 属性
15. 配置完毕后, 选择开始同步 Azure AD Connect
16. 同步开始后, 我们访问 portal.azure.cn, 可以查看到本地 Domain Controller 里面的账户都被同步到微软云 Azure AD 里
第三步: 使用本地的 Domain Controller 的用户名和密码, 访问 Azure Portal
1. 我们打开一个新的浏览器, 输入 https://portal.azure.cn/
2. 输入域控制器里面的用户名: user01@leicorp.biz, 和对应的密码
3. 登录后, 就可以访问 Azure Portal 了, 如下图:
最后请注意: Azure AD 的账户 user01@leicorp.biz 是没有任何订阅的权限, 也不能访问任何资源
我们需要把一个资源组的权限, 分配给 AD 账户: user01@leicorp.biz, 如下图
posted on 2019-06-11 23:20 Lei Zhang 的博客 阅读 (...) 评论 (...) 编辑 收藏
来源: https://www.cnblogs.com/threestone/p/11006223.html