Azure解决方案:在Azure IaaS中适用于工作负载的Domain Service
51CTO 博客地址:https://blog.51cto.com/14669127
博客园博客地址:https://www.cnblogs.com/Nancy1983
运行在VM的LOB解决方案都需要Windows Server AD包含以下功能:支持HTLM、Kerberos或者基于LDAP的身份验证,Domain-Joined 虚拟机、组策略,微软为了满足客户的需求,推荐两种解决方案:
- 使用Azure AD Domain Services
- 扩展Windows Server AD 到Azure VM(虚拟机)中
使用Azure AD Domain Services的场景:
- 服务器应用程序管理
- 服务器登录
企业用户可以在现有的Azure AD Tenant中启用Azure AD Domain Service,而不需要部署和管理域控制器。
该域是一个独立域,并不是On Premise Domain/Forest Domain 的基础设施扩展,但,来自On Premise 的所有用户账户、组成员身份和凭证在此托管域中都是可用的,用户可以使用与Azure AD相同的企业用户凭据登录连接到托管域的服务和应用程序,管理员也可以使用现有的组和用户账户来控制对资源的访问,这些特性提供了一个更平稳的本地资源到Azure的转移。
Azure AD Domain Service 工作原理:
- Domain Service连接到Azure IaaS中的虚拟网络中
- 被其他虚拟网络使用的Domain Service实例连接到配置Domain Service的虚拟网络中
扩展Windows Server AD到Azure VM(虚拟机)中:
这个配置是Windows Server AD On Premise 和Azure的混合部署,需要满足:
- Azure IaaS的虚拟网络
- Site to Site的VPN连接或Express Route连接
- 扩展你的本地,私有IP地址范围的虚拟机范围的虚拟机的虚拟网络
- 在Azure虚拟网络中部署一个或多个域控制器,指定为全局Catalog服务器(减少跨VPN连接出口)
连接选项:
- Virtual Private Network (VPN)
- Site to Site连接,Site(包括其他Azure虚拟网络)到单个Azure虚拟网络
- Point to Site连接,从一台机器到Azure虚拟网络
- ExpressRoute:通过云转换、点对点以太网或任意到任意(IP VPN)提供商连接到Azure IaaS的专用私有连接:
- 系统性能
- 低延迟
相关参考连接:
