大家好
小弟的公司去年把地端Exchange 2010的信箱全部轉移到Office365,地端Exchange就全部移除,只留下一台Hybrid Exchange 2016用來做Relay email用途。
所以地端的環境就剩下一台Azure AD Connect用來把地端帳號sync到office365, 一台Hybrid Exchange跟地端的AD。
這禮拜老闆希望我們明年把AD也全部上雲,也就是不要再有地端的AD,可是我有個疑問,Azure AD真的可以取代地端的AD嗎? 而且目前的架構真的可以移除地端AD,改用Azure AD嗎?
因為office365的帳號全部都是從地端AD同步上去的,如果沒有了地端AD,這樣在office365的帳號不就也全部消失了嗎? 請各位幫我解惑了,謝謝
目前微軟的 AD 有三大類:
1. self-managed Active Directory Domain Services
自管型 AD DS, 就是大家過去 20 年來用的地端 AD
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview
2. Azure Active Directory
Azure 只為 SAML 驗證提供的 AD 服務, 簡稱 Azure AD 或 AAD
https://docs.microsoft.com/zh-tw/azure/active-directory/
3. managed Azure Active Directory Domain Services
雲端託管型 Azure AD DS, 簡稱: AAD DS
https://docs.microsoft.com/zh-tw/azure/active-directory-domain-services/
Azure AD (AAD) 缺少以下功能:
除非你都用不到以上的功能, 否則 AAD 無法取代傳統地端 AD....
此外, AAD 的身分驗證方法也跟地端 AD 不同, 所以需要用 AAD Connect 將地端身分同步到 AAD 上去, 否則, 你就必須維護兩套不同的 AD 身分....你也無法單獨只靠 AAD 就讓地端電腦登入...(因為地端 Windows 都必須用 Kerberos 驗證, 只有 Win10 可以用雲端 SAML 驗證登入)
不過 3. Azure AD DS (跟上面的 2. Azure AD 不同, 多了地端的 DS 功能), 可以提供比較多的功能, 但是你必須先做好地端網路與雲端 VPC Peering 對接的網路架構 (VPC 傳輸頻寬要另外付費):
https://docs.microsoft.com/zh-tw/azure/active-directory-domain-services/compare-identity-solutions
https://docs.microsoft.com/zh-tw/azure/active-directory-domain-services/tutorial-create-instance
AAD DS 服務是要另外單獨付費訂閱的, 這是他的價格:
https://azure.microsoft.com/zh-tw/pricing/details/active-directory-ds/
簡單來說, 你在 Azure 上面開一台 Windows Server VM, 裡面安裝地端版的 AD DS 功能, 可能會比買雲端版的 AAD DS 要更便宜一些....
您根本就是IT邦的講師!
不好意思....我十幾年前原本就是 MCSE 的講師....
也太厲害了 強大
raytracy大大您好
AAD DS 的價格我看到是每小時計費的,也就是說公司不管有多少人,如果是標準版的話,一年的費用就是4.51x24x365 是嗎?
其實你可以直接切換成以月計價, 這樣一目了然:
請教,雲端VM裝AD DS,除了建VPN以外,能透過防火牆開port讓地端電腦連上運作嗎
開 Port 給 Internet 所有來源都可以連嗎?
這等同於將你的 AD 放到公開網路上, 你若不怕被人攻破的話也是可以.
如果要這樣做, 建議改買雲端的 Azure AD DS 服務, 安全性好很多. 這跟你自建 VM 的效果相同, 但是你自己一個人的防守能力, 絕對遠遜於整個微軟安全團隊的防守力.
抱歉沒講清楚,如果開port設公司白名單,這樣也是會建議用雲端Azure AD DS 服務比較嗎
Azure 防火牆設白名單, 只允許公司的 IP 進來, 這樣風險已經低很多, 應該沒有問題.
不過要提醒一下, 單純只有一台 DC 放在雲端 VM 裡面嗎? 這樣 AD 驗證的速度會很慢喔, 而且幾乎所有用到共享檔案的通訊, 都要去驗證好幾次, 請記得要算好中間驗證要傳輸的流量, 通常流量是最貴的, 比你開一台 VM 的費用還貴.
如果是我, 我會多放一台 DC 在地端, 地雲兩個 AD Site 同步複寫, 這樣地端的來源只會去找地端 DC 驗證, 只有複寫才會用到雲端流量, 比較節省流量費.
想詢問AADDS於網際網路開PORT的模式是否要Join AD 的 PC Client 都不能經過小烏龜的NAT https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/identity/support-for-active-directory-over-nat
您誤會那篇文章的用意, 他指的是: 如果 AD 的 Server 躲在 NAT 後面的時候, 才會遇到這樣的問題. 跟 Client 是否位於 NAT 之後無關.
AADDS 並沒有躲在 NAT 後端, 所以 Client 本身通過 NAT 不會有問題.
小烏龜 NAT 後面加入失敗, 有很大概率是被如: 中華電信的資安艦隊之類 IDP 服務擋掉.
感謝雷神解答,我再花點時間設定測試CLIENT > NAT > AADDS JOIN DOMAIN 的情境