iT邦幫忙

0

請問Azure AD 是否可以取代地端AD

ad

大家好

小弟的公司去年把地端Exchange 2010的信箱全部轉移到Office365,地端Exchange就全部移除,只留下一台Hybrid Exchange 2016用來做Relay email用途。

所以地端的環境就剩下一台Azure AD Connect用來把地端帳號sync到office365, 一台Hybrid Exchange跟地端的AD。

這禮拜老闆希望我們明年把AD也全部上雲,也就是不要再有地端的AD,可是我有個疑問,Azure AD真的可以取代地端的AD嗎? 而且目前的架構真的可以移除地端AD,改用Azure AD嗎?

因為office365的帳號全部都是從地端AD同步上去的,如果沒有了地端AD,這樣在office365的帳號不就也全部消失了嗎? 請各位幫我解惑了,謝謝

cmwang iT邦大師 1 級 ‧ 2021-03-07 08:56:54 檢舉
勸您不要這麼幹,先不管技術上可不可行,光網路連線或是Azure那邊有任何狀況,您就知道了....
通通 iT邦新手 4 級 ‧ 2021-03-07 10:07:04 檢舉
基本上你理解的沒太大的錯誤
Azure AD 基本上還是會一台AD在地端 會比較好不然到時候Azure AD 有問題不能驗證的時候你就會被老闆叫去了
請考慮好 荷包 Azure AD 就算沒人登入 錢照樣噴 而且不少錢 Azure 6000免費額度一下就被這東西吃光了 你老闆很快就會後悔 基本上這個東根本就不應該收錢
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

19
Ray
iT邦大神 1 級 ‧ 2021-03-07 11:37:39

目前微軟的 AD 有三大類:
1. self-managed Active Directory Domain Services
自管型 AD DS, 就是大家過去 20 年來用的地端 AD
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

2. Azure Active Directory
Azure 只為 SAML 驗證提供的 AD 服務, 簡稱 Azure AD 或 AAD
https://docs.microsoft.com/zh-tw/azure/active-directory/

3. managed Azure Active Directory Domain Services
雲端託管型 Azure AD DS, 簡稱: AAD DS
https://docs.microsoft.com/zh-tw/azure/active-directory-domain-services/

Azure AD (AAD) 缺少以下功能:

  1. 無法將電腦 Join 入 AD 網域 (Win10例外)
  2. 沒有 GPO 可控制
  3. 不支援 LDAP, NTLM 和 Kerberos 驗證
  4. 不支援 OU 組織

除非你都用不到以上的功能, 否則 AAD 無法取代傳統地端 AD....

此外, AAD 的身分驗證方法也跟地端 AD 不同, 所以需要用 AAD Connect 將地端身分同步到 AAD 上去, 否則, 你就必須維護兩套不同的 AD 身分....你也無法單獨只靠 AAD 就讓地端電腦登入...(因為地端 Windows 都必須用 Kerberos 驗證, 只有 Win10 可以用雲端 SAML 驗證登入)

不過 3. Azure AD DS (跟上面的 2. Azure AD 不同, 多了地端的 DS 功能), 可以提供比較多的功能, 但是你必須先做好地端網路與雲端 VPC Peering 對接的網路架構 (VPC 傳輸頻寬要另外付費):
https://docs.microsoft.com/zh-tw/azure/active-directory-domain-services/compare-identity-solutions

https://docs.microsoft.com/zh-tw/azure/active-directory-domain-services/tutorial-create-instance

AAD DS 服務是要另外單獨付費訂閱的, 這是他的價格:
https://azure.microsoft.com/zh-tw/pricing/details/active-directory-ds/

簡單來說, 你在 Azure 上面開一台 Windows Server VM, 裡面安裝地端版的 AD DS 功能, 可能會比買雲端版的 AAD DS 要更便宜一些....

看更多先前的回應...收起先前的回應...
雷伊 iT邦高手 1 級 ‧ 2021-03-08 09:52:32 檢舉

您根本就是IT邦的講師!

Ray iT邦大神 1 級 ‧ 2021-03-08 10:31:56 檢舉

不好意思....我十幾年前原本就是 MCSE 的講師....
/images/emoticon/emoticon25.gif

kylen iT邦新手 4 級 ‧ 2021-03-09 11:52:35 檢舉

也太厲害了 強大

gundanz iT邦新手 5 級 ‧ 2021-03-15 16:17:00 檢舉

raytracy大大您好

AAD DS 的價格我看到是每小時計費的,也就是說公司不管有多少人,如果是標準版的話,一年的費用就是4.51x24x365 是嗎?

Ray iT邦大神 1 級 ‧ 2021-03-15 19:48:47 檢舉

其實你可以直接切換成以月計價, 這樣一目了然:
https://ithelp.ithome.com.tw/upload/images/20210315/20026603bBUP69yXpq.png

請教,雲端VM裝AD DS,除了建VPN以外,能透過防火牆開port讓地端電腦連上運作嗎

Ray iT邦大神 1 級 ‧ 2022-10-21 10:04:53 檢舉

開 Port 給 Internet 所有來源都可以連嗎?
這等同於將你的 AD 放到公開網路上, 你若不怕被人攻破的話也是可以.

如果要這樣做, 建議改買雲端的 Azure AD DS 服務, 安全性好很多. 這跟你自建 VM 的效果相同, 但是你自己一個人的防守能力, 絕對遠遜於整個微軟安全團隊的防守力.

抱歉沒講清楚,如果開port設公司白名單,這樣也是會建議用雲端Azure AD DS 服務比較嗎

Ray iT邦大神 1 級 ‧ 2022-10-21 15:11:15 檢舉

Azure 防火牆設白名單, 只允許公司的 IP 進來, 這樣風險已經低很多, 應該沒有問題.

不過要提醒一下, 單純只有一台 DC 放在雲端 VM 裡面嗎? 這樣 AD 驗證的速度會很慢喔, 而且幾乎所有用到共享檔案的通訊, 都要去驗證好幾次, 請記得要算好中間驗證要傳輸的流量, 通常流量是最貴的, 比你開一台 VM 的費用還貴.

如果是我, 我會多放一台 DC 在地端, 地雲兩個 AD Site 同步複寫, 這樣地端的來源只會去找地端 DC 驗證, 只有複寫才會用到雲端流量, 比較節省流量費.

想詢問AADDS於網際網路開PORT的模式是否要Join AD 的 PC Client 都不能經過小烏龜的NAT https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/identity/support-for-active-directory-over-nat

Ray iT邦大神 1 級 ‧ 2023-07-07 09:12:22 檢舉

您誤會那篇文章的用意, 他指的是: 如果 AD 的 Server 躲在 NAT 後面的時候, 才會遇到這樣的問題. 跟 Client 是否位於 NAT 之後無關.

AADDS 並沒有躲在 NAT 後端, 所以 Client 本身通過 NAT 不會有問題.

小烏龜 NAT 後面加入失敗, 有很大概率是被如: 中華電信的資安艦隊之類 IDP 服務擋掉.

感謝雷神解答,我再花點時間設定測試CLIENT > NAT > AADDS JOIN DOMAIN 的情境 /images/emoticon/emoticon12.gif

我要發表回答

立即登入回答