スタンドアロンのオンプレミス ドメイン (以下、DMZ) と AD/AAD (同期) である企業ドメイン (以下、CORP) の間に信頼関係を設定して、CORP のユーザーが DMZ に参加しているサーバーにログインできるようにします。明確に言うと、それらは別のフォレストにあります。
私の意図は、DMZ から CORP への外部の非推移的な信頼を確立することです。
さて、問題は、CORP ドメインにオンプレミスのドメイン コントローラーが 2 つあり、Azure に VM としてドメイン コントローラーが 2 つあることです。ファイアウォール ルールを 2 つ追加しなくても済むようにしたいです (オンプレミスの DC 用に 1 つ、Azure DC 用に 1 つ)。DMZ から CORP への AD トラフィックをオンプレミスの CORP DC のみにヒットするように制限するにはどうすればよいでしょうか。それとも、冗長性以外の理由でそれが望ましくないでしょうか。
可能であれば、これはサイトとサービスの下の CORP AD 構成に関係していると思います。その場合、いくつか追加の質問があるかもしれません :)
よろしくお願いします。初心者で申し訳ありません。
答え1
AAD が Azure AD を意味している場合は、心配する必要はありません。AD と AAD は完全に異なる 2 つのシステムであり、中間ツール (AD Connect) を使用してそれらの間でデータを同期します。基本的に、DNZ ドメイン コントローラーは AAD について何も知りません。