複習一下 Azure IaaS可讓我們更快速跳過基礎建設這段麻煩事直接利用Azure VM來即時部署,且只需以分鐘計價。 無論是對Windows、Linux、SQL Server、Oracle、SAP等..支援,幾乎可以在所有作業系統上使用任何語言部署所有工作負載,而這些優勢可讓將內部部署的舊版應用程式移轉至Azure來便於節省營運費用,而目錄服務也是如此,我需要AD管理網域下的電腦,常見還就是手工來做建置還不單單只是DC服務本身更是在OS層面要下更多的管理功夫,這仍舊是不小的維運負擔。
我們一般為了部署在Azure上的應用程式並同時需滿足身分驗證需求,IT經常採用下列幾種作法：

• 在執行Azure IaaS和企業內部部署多個工作負載間,做Site to Site VPN來打通兩端。
• 使用Azure VM建置第二台網域控制站複本來延伸公司的AD 網域或樹系結構。
• 使用已部署的Azure VM做另外獨立的網域控制站。

神燈啊！有沒有可以跟Azure WebApps一樣類似的受控服務..租用網域讓電腦可以加入就可以大功告成的.有了....經過了百天的時間終於有個成熟的Azure服務"Domain Service"它解決了AAD一直都無法做到的事情：

• 提供受控網域服務，例如：加入網域,群組原則,LDAP,Kerberos/NTLM驗證,與Windows AD完全相容。
• 我們直接取用網域服務，除了無須繁瑣的在Azure上部署外也宣告管理和修補網域控制站底層都不用自己插手。
• Azure 網域服務也與你現有Azure AD租用戶整合，能讓使用者使用其公司認證登入。

以下為範例簡圖所示：

我們可以用Azure AD帳戶來啟用Azure網域服務，並讓網域服務佈建在內部虛擬網路並建立受控網域。而Azure AD 用戶中可使用的所有使用者帳戶、群組和使用者認證並在新建立的網域中做使用。
此功能可讓組織中的使用者使用其公司認證登入網域如，透過RDP遠端連線到加入網域的主機。IT管理者可用現有群組成員資格在網域中為資源佈建存取權。 部署在虛擬網路的虛擬機器中的應用程式可以使用加入網域、LDAP讀取、LDAP 繫結、NTLM、Kerberos驗證及群組原則等..功能。

廢話不多說就來直接示範吧！
新增資源找到Domain Service

有了Domain Service服務來做建立

預設會抓取目前的Azure帳戶名稱,記得要改成你要的網域名稱

自訂所要的AD網域名稱並在東南亞落地生根

選擇我既有的虛擬網路

選擇底下的子網路..= =.有紅色錯誤

恩！簡單說就是網域服務是需要自己獨立的一個子網路因為有他自己的Role設置,就再建一個給它

在同個虛擬網路下新增子網路

就是最下面,新增好了

套用剛剛新建的子網路就可以建立了,提示也說明會需要建立NSG,Route等規則..沒有問題就建立吧！

再來會有一個AAD系統管理員群組等等需要把帳戶加進去才能有管理權限

新增帳號

我決定要自建一組,等等你就知道為啥了(記得尾碼)

要打跟他一樣的尾碼很長...所以要記得,好了就新增

新增完成的帳戶顯示在最下面

可以把這新增的帳號加到這AAD群組中

完成就確定

沒有問題就給他建置下去

建立過程中會需要1小時的表定時間.....等等等

仍在佈建中,其實還沒有到時間啦！愛瞄..

完成,有提示你要先更新DNS,就是把這網域服務的IP更新到此虛擬網路上讓解析改由此接手

更新完成,另外為何有兩組,因為預設為了高可用就是一次兩台,沒得挑

接下來最後一步..要變更你剛剛在AAD群組下帳戶的密碼,因為一開始用的密碼與網域服務本身並不相干,所以你必須要在變更一次並...等約20分鐘才會生效(你才知道為何我不用自己的帳號吧！)
記得到此AAD面板的設定檔來做變更
https://login.microsoftonline.com/common/oauth2/authorize?client_id=0000000c-0000-0000-c000-000000000000&redirect_uri=https%3A%2F%2Faccount.activedirectory.windowsazure.com%2F&response_mode=form_post&response_type=code%20id_token&scope=openid%20profile&state=OpenIdConnect.AuthenticationProperties%3D0yzYOgOY074wAL_75ML2Wur9ig2EOdkFqaIQUJBO5TQmL2vKpTTne6shgA_6PdN3PMEYksi9p7pXwfPUeEItCur7xBwJlxt_qMqk4cpoVAqCI8vOCNNosS9EzRQn-Yl1yBGadwbUBu8EECEuvhbmN0-YpmTVtBbnvapCONZk470PPLgSA8I6m0SOmBwxxFwPGt8H94Ee_yOD3mL3Y4Tk5XD_38pRB3b4hpldfLmABxAMy1H0Wa2pHCe2NZovbMCL&nonce=1540806122.vds6RGs3omzbKCMSjHSHGg&nux=1

變更你的密碼(這才真的是網域服務吃得到的)

更新完成,就等待吧！

直接有現成未加入網域的工作站

登入確認此機器是工作群組

確認一下網域服務的IP可以從屬性來看即可

再到虛擬網路的DNS也已經指向網域服務的這兩組IP

要加入前一定要檢查自己的DNS是用哪個IP解析不然也無法加入,沒有吃到,因為這台還活著的時候網域服務對虛擬網路的DNS還沒更新還是舊的,重開一下嘍！

重開完成並登入DNS已經更新嘍！就是這兩筆

加入網域並打上剛剛建立的帳戶,記得是帳戶名稱加上網域而非一整串喔！

加入完成就重開

補充如果你想要管理DS網域要怎麼做了,很簡單直接找一台已加入網域下的Member安裝ADDS管理工具

安裝完成是不是有你看到熟悉的AD帳戶管理的介面,這就是所以有目前網域下的成員包含我剛剛建立的帳號

已經加入的成員電腦

看看網域控制站是不是兩台啊！都是亂數顯示真不是人可以看的難怪不用管..

另外如果要做群組原則一樣記得啟用GPO管理並做Policy設置

我隨意簡單的bat測試放在登入並做gpupdate /force

我用另一台Member登入就可以自動跑此bat了

以上就是小弟簡單的示範,今天先這樣嘍！881