我的公司使用 Azure 在云中拥有整个用户/组架构。我们最近购买了一台 Windows 2016 Server 计算机,并要求我对其进行设置,以便我们可以使用 Azure 帐户。我需要执行一些简单操作,例如文件共享和设置 VPN。现在,我读到 Azure AD Connect 对我来说不是一个选择:https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-existing-tenant
如果我无法将 Azure AD 用户/组同步到服务器上的新 AD,那么我该怎么办?我不想创建新帐户并让人们给我他们的密码。我听说过 Azure AD 域服务,但似乎我需要使用 Windows Server 2016 在 Azure 上启动虚拟机,但我不认为这会对我的情况有帮助,因为我的服务器在现场!如何将此本地域(我尚未设置)加入已存在的 Azure 域,并且其 AD 中包含我们所有的帐户和机器?
我一直在思考这个问题,但不知道该怎么做:
答案1
Azure AD 本身并不是经典 AD,您无法像本地 AD 那样将计算机加入其中。您可以将 Win 10 计算机加入其中,但不能将服务器操作系统加入其中。
您的解决方案将是 Azure AD 域服务,此服务的作用是扩展 Azure AD 以提供完整的 AD 服务(有一些限制)。它不需要您启动新的 VM,它是一项 PaaS 服务,您只需为您的域启用它,但它确实需要部署到 Azure vNet 中。
完成此操作后,您将拥有一个完整的 AD 域,您的服务器 2016 机器可以加入,只要该机器所在的网络连接到您为 AAD DS 创建的 Azure 中的 vNet(可以是 VPN、Express Route 等)。
如果这不可行,那么您可以使用 AAD 连接同步,但您必须在完整 AD 中重新创建所有用户帐户,然后同步到 AAD。