《Windows Azure Platform 系列文章目录》
本文介绍的是,在单一目录下,使用Azure AD Connect,打通本地Domain Controller
我们需要准备的环境有:
1.Azure China订阅
2.在本地或者在微软云端,创建1台Windows VM,安装Domain Controller域控制器服务。
这里我们的测试环境为在云端创建1台Domain Controller机器,命名为CorpDC,安装的Domain Name为:leicorp.biz
3.注册一个公网的域名,名称为leicorp.biz,注意需要和上面的Domain Name一致
具体的步骤分为三个:
第一步:在Azure AD增加自定义域名,在公网域名增加TXT记录
第二步:使用Azure AD Connect,将本地的Domain Controller用户名,Hash加密后的密码,同步到云端的Azure AD
第三步:使用本地的Domain Controller的用户名和密码,访问Azure Portal
第一步:在Azure AD增加自定义域名,在公网域名增加TXT记录
1.首先我们登录Azure China Portal: https://portal.azure.cn
2.在Azure AD里面,选择Custom Domain Name,点击Add Custom Domain,如下图:
3.增加完毕后,页面会显示TXT记录,如下图:
4.我们在域名服务商那里,增加对leicorp.biz的的TXT记录。这里我用的是海外的Azure App Service Domain服务
把步骤3中的信息,输入到下图中:
(1)Name输入@
(2)Type为TXT
(3)TTL使用默认的1 Hour,对应步骤3中的3600秒
(4)Value输入上面步骤3的记录:MS=ms27412766
5.设置完毕后,我们稍微等待TXT生效,然后回到步骤3中,点击Verify按钮。如下图所示:
6.验证通过后,Custom domain names会显示验证通过:
第二步:使用Azure AD Connect,将本地的Domain Controller用户名,Hash加密后的密码,同步到云端的Azure AD
1.我们已经在云端创建了1台Domain Controller机器,命名为CorpDC,安装的Domain Name为:leicorp.biz
2.我们在DC上创建3个用户:
3.在弹出的窗口中,输入用户信息,命名为user01, user02, user03
4.微软官方建议在另外一台机器上,安装Azure AD Connect,该机器可以访问到Domain Controller域控制器
为了演示方便,我们在云端的DC上,安装Azure AD Connect服务,下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=47594
安装完毕后,选择I agree
5.根据自己的需求,我们这里选择Express
6.在Connect to Azure AD栏目中,输入登录https://portal.azure.cn的用户名和密码
7.在Connect to AD DS中,输入域控制器管理员的用户名和密码
8.验证完毕后,我们先不勾选Start the Synchronization
9.安装完毕后,界面显示Azure AD Connect同步尚未开始。如下图红色部分
9.安装完毕后。我点击桌面的图表Azure AD Connect,进行配置和同步
10.配置里面有很多内容,笔者简单举几个例子,比如:
11.然后输入信息:
12.选择Domain和OU
13.设置AD属性,同时我们注意AD密码是哈希加密
14.选择需要同步的AD属性
15.配置完毕后,选择开始同步Azure AD Connect
16.同步开始后,我们访问portal.azure.cn,可以查看到本地Domain Controller里面的账户都被同步到微软云Azure AD里
第三步:使用本地的Domain Controller的用户名和密码,访问Azure Portal
1.我们打开一个新的浏览器,输入https://portal.azure.cn/
2.输入域控制器里面的用户名:user01@leicorp.biz,和对应的密码
3.登录后,就可以访问Azure Portal了,如下图:
最后请注意:Azure AD的账户user01@leicorp.biz是没有任何订阅的权限,也不能访问任何资源
我们需要把一个资源组的权限,分配给AD账户:user01@leicorp.biz,如下图
