我为我们公司 widgetsRus.com 管理 Office 365,并尝试将我的台式电脑加入域并使用我的 Office 365 电子邮件地址登录。我从 GoDaddy 购买了域和 Office 365 订阅,名称服务器目前位于 he.net。我管理该域的 DNS 服务器,因此我可以添加或更改记录。如果有必要,我当然愿意重新定位名称服务器或在 Azure 上创建域控制器。
我可以在 portal.azure.com 上看到我们的域、用户和设备。
当我尝试使用控制面板加入域时,收到一条错误消息:
在向 DNS 查询用于定位域“netorgft3xxxxxxx.onmicrosoft.com”的 Active Directory 域控制器 (AD DC) 的服务定位 (SRV) 资源记录时发生以下错误:
错误为:“DNS 名称不存在。”(错误代码 0x0000232B RCODE_NAME_ERROR)
该查询针对 _ldap._tcp.dc._msdcs.netorgft3xxxxxx.onmicrosoft.com 的 SRV 记录
导致此错误的常见原因包括:
- 定位域的 AD DC 所需的 DNS SRV 记录未在 DNS 中注册。当 AD DC 添加到域时,这些记录会自动在 DNS 服务器上注册。它们由 AD DC 按照设定的时间间隔进行更新。此计算机配置为使用具有以下 IP 地址的 DNS 服务器:
208.67.222.222 208.67.220.220
我可以使用以下方式将计算机加入 Azure AD从工作单位或学校访问但此后我无法使用我的电子邮件地址登录。
我认为我需要向区域文件添加更多记录,从提到的 SRV 记录开始。我如何才能知道应该添加哪些记录?
答案1
对于初次接触 AzureAD 的人来说,这是一个令人困惑的话题。
AzureAD 本身不会取代域控制器。除非您还启用了域服务(额外的付费服务),否则您无法使用 AzureAD 加入您的域。我可能过于简化了下面的差异,但希望对您有所帮助。
AzureAD 确实允许您在服务中注册或登记设备。
职场加入- 这是针对已配置且为设备注册的机器。它可以改善用户体验,因为 Windows 10 中的身份验证是为直接与 AzureAD 配合使用而构建的。对于 MDM,您可以手动注册设备。
AzureAD 加入- 微软将此称为设备注册。使用 Windows 10 - 当您拥有“开箱即用”的 OOTB 体验时,您可以选择加入 AzureAD 或域。当您选择前者时,您将您的登录凭据绑定到 AzureAD 并注册到可能存在的任何 Intune 策略中。对于不经常上网的设备,这是一种管理设备的好方法(假设您也有 Intue)。这就是注册 - 因为也可以在设备注册时将设备注册到 MDM(所有这些都是一起完成的)。
回到领域服务。您可以在 AzureAD 目录中启用域服务 - 但这是另一项付费服务。此外,您必须创建一个 Azure 虚拟网络来绑定它,然后您需要一个 VPN 将其连接到本地网络(假设您想要加入的不仅仅是 Azure VM)。使用此设置 - 您确实可以加入机器,并使用 GPO 管理它们。如果您有传统的域控制器 - 此服务不是域复制的一部分,它是一个像“域”一样工作的单独服务。仍然有很多东西不适合域服务,但基本的东西就在那里。对于 Azure 部署,成本将类似于自己将小型 DC 部署为 VM - 但同样,您不必管理操作系统或域复制,如果尚不存在 Active Directory 域,这是理想的选择。