我的伺服器分佈在多個本機位置,我想將它們加入 Azure AD DS,但我不想設定 ADFS,因為工作量太大。
所以這就是我的想法:
- 使用 VPN 將每個伺服器連接到 AD DS 網路
- 加入域
- 將 VPN 連線配置為僅適用於與 Active Directory 相關的流量
有人這樣做過嗎?如果是這樣,你實際上是如何做到的?任何建議將不勝感激。我無法在網路上找到好的答案。
答案1
對的,這是可能的。
是的,只要您在本機和 Azure 之間具有站台對站台 VPN 連接,就可以使用 Azure ADDS 來管理本機工作站。預設情況下,在 Azure AD 中建立的使用者和群組會同步到 Azure ADDS。您也可以使用 Azure ADDS 來管理和控制使用 GPO 的工作站。請參閱https://docs.microsoft.com/en-us/azure/active-directory-domain-services/manage-group-policy更多細節。我在這種情況下看到的唯一挑戰是,如果站台對站台 VPN 關閉,您的工作站將無法與 Azure ADDS 網域控制站通訊。不支援將 Azure AD 上的現有使用者資訊遷移到本機 AD DS。使用 AD Connect,您可以執行群組和裝置寫回,但無法將使用者從 Azure AD 同步到本機 AD。作為解決方法,你可以考慮部署 Azure ADDS,一旦物件從 Azure AD 同步到 Azure ADDS,就可以使用此處提到的 LDIFDE 匯出用戶,並將其匯入本機 AD。希望這能涵蓋您的所有問題。
希望這可以幫助!