iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 29
1
Everything on Azure

玩轉 Azure 於指尖隨心所欲系列 第 29

給新創,無包袱環境需要目錄管理的新選擇 - Azure Domain Service

複習一下 Azure IaaS可讓我們更快速跳過基礎建設這段麻煩事直接利用Azure VM來即時部署,且只需以分鐘計價。 無論是對Windows、Linux、SQL Server、Oracle、SAP等..支援,幾乎可以在所有作業系統上使用任何語言部署所有工作負載,而這些優勢可讓將內部部署的舊版應用程式移轉至Azure來便於節省營運費用,而目錄服務也是如此,我需要AD管理網域下的電腦,常見還就是手工來做建置還不單單只是DC服務本身更是在OS層面要下更多的管理功夫,這仍舊是不小的維運負擔。
我們一般為了部署在Azure上的應用程式並同時需滿足身分驗證需求,IT經常採用下列幾種作法:

  • 在執行Azure IaaS和企業內部部署多個工作負載間,做Site to Site VPN來打通兩端。
  • 使用Azure VM建置第二台網域控制站複本來延伸公司的AD 網域或樹系結構。
  • 使用已部署的Azure VM做另外獨立的網域控制站。

神燈啊!有沒有可以跟Azure WebApps一樣類似的受控服務..租用網域讓電腦可以加入就可以大功告成的.有了....經過了百天的時間終於有個成熟的Azure服務"Domain Service"它解決了AAD一直都無法做到的事情:

  • 提供受控網域服務,例如:加入網域,群組原則,LDAP,Kerberos/NTLM驗證,與Windows AD完全相容。
  • 我們直接取用網域服務,除了無須繁瑣的在Azure上部署外也宣告管理和修補網域控制站底層都不用自己插手。
  • Azure 網域服務也與你現有Azure AD租用戶整合,能讓使用者使用其公司認證登入。

以下為範例簡圖所示:
https://ithelp.ithome.com.tw/upload/images/20181029/20025481pCf83Yb228.png

我們可以用Azure AD帳戶來啟用Azure網域服務,並讓網域服務佈建在內部虛擬網路並建立受控網域。而Azure AD 用戶中可使用的所有使用者帳戶、群組和使用者認證並在新建立的網域中做使用。
此功能可讓組織中的使用者使用其公司認證登入網域如,透過RDP遠端連線到加入網域的主機。IT管理者可用現有群組成員資格在網域中為資源佈建存取權。 部署在虛擬網路的虛擬機器中的應用程式可以使用加入網域、LDAP讀取、LDAP 繫結、NTLM、Kerberos驗證及群組原則等..功能。

廢話不多說就來直接示範吧!
新增資源找到Domain Service
https://ithelp.ithome.com.tw/upload/images/20181029/20025481FiVkQlhp76.png

有了Domain Service服務來做建立
https://ithelp.ithome.com.tw/upload/images/20181029/20025481CMnXGcY658.png

預設會抓取目前的Azure帳戶名稱,記得要改成你要的網域名稱
https://ithelp.ithome.com.tw/upload/images/20181029/20025481KLz53y749c.png

自訂所要的AD網域名稱並在東南亞落地生根
https://ithelp.ithome.com.tw/upload/images/20181029/20025481gvjmV6RNmr.png

選擇我既有的虛擬網路
https://ithelp.ithome.com.tw/upload/images/20181029/20025481mSLSmbsMDJ.png

選擇底下的子網路..= =.有紅色錯誤
https://ithelp.ithome.com.tw/upload/images/20181029/20025481DiwcCqhQrd.png

恩!簡單說就是網域服務是需要自己獨立的一個子網路因為有他自己的Role設置,就再建一個給它
https://ithelp.ithome.com.tw/upload/images/20181029/20025481Iorp6eoYCR.png

在同個虛擬網路下新增子網路
https://ithelp.ithome.com.tw/upload/images/20181029/200254811wat6FfbRW.png

就是最下面,新增好了
https://ithelp.ithome.com.tw/upload/images/20181029/20025481XqIsHY09Uw.png

套用剛剛新建的子網路就可以建立了,提示也說明會需要建立NSG,Route等規則..沒有問題就建立吧!
https://ithelp.ithome.com.tw/upload/images/20181029/20025481UWQTYkp3WB.png

再來會有一個AAD系統管理員群組等等需要把帳戶加進去才能有管理權限
https://ithelp.ithome.com.tw/upload/images/20181029/200254812B6orNjrnc.png

新增帳號
https://ithelp.ithome.com.tw/upload/images/20181029/20025481xN99Jx9kBU.png

我決定要自建一組,等等你就知道為啥了(記得尾碼)
https://ithelp.ithome.com.tw/upload/images/20181029/20025481XlnJsQqxXC.png

要打跟他一樣的尾碼很長...所以要記得,好了就新增
https://ithelp.ithome.com.tw/upload/images/20181029/20025481aR18uSfRvM.png

新增完成的帳戶顯示在最下面
https://ithelp.ithome.com.tw/upload/images/20181029/200254815EtrNq2xNR.png

可以把這新增的帳號加到這AAD群組中
https://ithelp.ithome.com.tw/upload/images/20181029/20025481gCloHWanSJ.png

完成就確定
https://ithelp.ithome.com.tw/upload/images/20181029/20025481oeu2meP1CS.png

沒有問題就給他建置下去
https://ithelp.ithome.com.tw/upload/images/20181029/20025481K27qHU0yhX.png

建立過程中會需要1小時的表定時間.....等等等
https://ithelp.ithome.com.tw/upload/images/20181029/20025481g93X6wGvlo.png

仍在佈建中,其實還沒有到時間啦!愛瞄..
https://ithelp.ithome.com.tw/upload/images/20181029/20025481nBdkWqMR16.png

完成,有提示你要先更新DNS,就是把這網域服務的IP更新到此虛擬網路上讓解析改由此接手
https://ithelp.ithome.com.tw/upload/images/20181029/200254818ntfOGEPed.png

更新完成,另外為何有兩組,因為預設為了高可用就是一次兩台,沒得挑
https://ithelp.ithome.com.tw/upload/images/20181029/200254817U46G30aqh.png

接下來最後一步..要變更你剛剛在AAD群組下帳戶的密碼,因為一開始用的密碼與網域服務本身並不相干,所以你必須要在變更一次並...等約20分鐘才會生效(你才知道為何我不用自己的帳號吧!)
記得到此AAD面板的設定檔來做變更
https://login.microsoftonline.com/common/oauth2/authorize?client_id=0000000c-0000-0000-c000-000000000000&redirect_uri=https%3A%2F%2Faccount.activedirectory.windowsazure.com%2F&response_mode=form_post&response_type=code%20id_token&scope=openid%20profile&state=OpenIdConnect.AuthenticationProperties%3D0yzYOgOY074wAL_75ML2Wur9ig2EOdkFqaIQUJBO5TQmL2vKpTTne6shgA_6PdN3PMEYksi9p7pXwfPUeEItCur7xBwJlxt_qMqk4cpoVAqCI8vOCNNosS9EzRQn-Yl1yBGadwbUBu8EECEuvhbmN0-YpmTVtBbnvapCONZk470PPLgSA8I6m0SOmBwxxFwPGt8H94Ee_yOD3mL3Y4Tk5XD_38pRB3b4hpldfLmABxAMy1H0Wa2pHCe2NZovbMCL&nonce=1540806122.vds6RGs3omzbKCMSjHSHGg&nux=1
https://ithelp.ithome.com.tw/upload/images/20181029/20025481ogOOfqJVH5.png

變更你的密碼(這才真的是網域服務吃得到的)
https://ithelp.ithome.com.tw/upload/images/20181029/20025481gfyVCa1D0U.png

更新完成,就等待吧!
https://ithelp.ithome.com.tw/upload/images/20181029/20025481JgTV9YHs9H.png

直接有現成未加入網域的工作站
https://ithelp.ithome.com.tw/upload/images/20181029/20025481eUD8jW5GJH.png

登入確認此機器是工作群組
https://ithelp.ithome.com.tw/upload/images/20181029/20025481SneWylQuzM.png

確認一下網域服務的IP可以從屬性來看即可
https://ithelp.ithome.com.tw/upload/images/20181029/20025481XxwGzAEOwF.png

再到虛擬網路的DNS也已經指向網域服務的這兩組IP
https://ithelp.ithome.com.tw/upload/images/20181029/20025481fQCD4FVHWP.png

要加入前一定要檢查自己的DNS是用哪個IP解析不然也無法加入,沒有吃到,因為這台還活著的時候網域服務對虛擬網路的DNS還沒更新還是舊的,重開一下嘍!
https://ithelp.ithome.com.tw/upload/images/20181029/20025481LTGEWm1zka.png

重開完成並登入DNS已經更新嘍!就是這兩筆
https://ithelp.ithome.com.tw/upload/images/20181029/20025481fKrqO6Fajr.png

加入網域並打上剛剛建立的帳戶,記得是帳戶名稱加上網域而非一整串喔!
https://ithelp.ithome.com.tw/upload/images/20181029/20025481o9GGgiVa69.png

加入完成就重開
https://ithelp.ithome.com.tw/upload/images/20181029/20025481nykgSYl3EX.png

補充如果你想要管理DS網域要怎麼做了,很簡單直接找一台已加入網域下的Member安裝ADDS管理工具
https://ithelp.ithome.com.tw/upload/images/20181029/200254815oyyLMCnsw.png

安裝完成是不是有你看到熟悉的AD帳戶管理的介面,這就是所以有目前網域下的成員包含我剛剛建立的帳號
https://ithelp.ithome.com.tw/upload/images/20181029/20025481JctYd21bq8.png

已經加入的成員電腦
https://ithelp.ithome.com.tw/upload/images/20181029/20025481PVOmyMLwkx.png

看看網域控制站是不是兩台啊!都是亂數顯示真不是人可以看的難怪不用管..
https://ithelp.ithome.com.tw/upload/images/20181029/200254812zOhLxGEdb.png

另外如果要做群組原則一樣記得啟用GPO管理並做Policy設置
https://ithelp.ithome.com.tw/upload/images/20181029/200254811qgDzVDaHM.png

我隨意簡單的bat測試放在登入並做gpupdate /force
https://ithelp.ithome.com.tw/upload/images/20181029/20025481P3vTF95li3.png

我用另一台Member登入就可以自動跑此bat了
https://ithelp.ithome.com.tw/upload/images/20181029/20025481qqHkNpE9V3.png

以上就是小弟簡單的示範,今天先這樣嘍!881


上一篇
企業服務監看要角 - Log Analytics 監控方案與分析
下一篇
簡單示範 Azure DevOps Project 來佈建一個網站
系列文
玩轉 Azure 於指尖隨心所欲32

尚未有邦友留言

立即登入留言