我的服务器分布在多个本地位置,我想将它们加入 Azure AD DS,但我不想设置 ADFS,因为这太麻烦了。
所以我的想法是:
- 使用 VPN 将每台服务器连接到 AD DS 网络
- 加入域
- 配置 VPN 连接仅适用于与 Active Directory 相关的流量
有人这样做过吗?如果有,您实际上是怎么做的?任何建议都将不胜感激。我在网上找不到好的答案。
答案1
对的,这是可能的。
是的,只要您在本地和 Azure 之间建立了站点到站点 VPN 连接,您就可以使用 Azure ADDS 来管理本地工作站。在 Azure AD 中创建的用户和组默认同步到 Azure ADDS。您也可以使用 Azure ADDS 来管理和控制使用 GPO 的工作站。请参考https://docs.microsoft.com/en-us/azure/active-directory-domain-services/manage-group-policy了解更多详情。我在这个场景中看到的唯一挑战是,如果站点到站点 VPN 发生故障,您的工作站将无法与 Azure ADDS 域控制器通信。不支持将 Azure AD 上的现有用户信息迁移到本地 AD DS。使用 AD Connect,您可以执行组和设备写回,但用户无法从 Azure AD 同步到本地 AD。作为一种解决方法,您可以考虑部署 Azure ADDS,一旦对象从 Azure AD 同步到 Azure ADDS,使用 LDIFDE 导出用户(如此处所述)并将其导入到本地 AD。希望这涵盖了您的所有问题。
希望这可以帮助!