Локальная инфраструктура и Azure AD

Егор Васильев Communications 24.11.201624.01.2020Azure, Azure AD 0 Комментариев

В статье Локальная инфраструктура и Azure AD я расскажу о подготовке вашей локальной инфраструктуры Active Directory для успешной интеграции с облаком. Речь пойдет о подготовке основного домена организации, а также об установке обязательного компонента — Azure AD Connect — на отдельном сервере внутри периметра сети.

Если вам интересна тематика облачных технологий, рекомендую обратиться к тегу Cloud на моем блоге.

Содержание

1 Локальная инфраструктура и Azure AD
- 1.1 Имя домена Active Directory
- 1.2 Azure AD Connect
  - 1.2.1 Требования
  - 1.2.2 Установка

Локальная инфраструктура и Azure AD

Статья разбита на два основных раздела — настройка основного имени домена организации и развертывание Azure AD Connect. В первой части много чисто технической информации, но для полного понимания работы связки локалка-облако очень важно с ней ознакомиться.

Напоминаю, что настройку облачной инфраструктуры я рассматривал ранее в статье Подготовка Azure Active Directory.

Имя домена Active Directory

Имя домена вашей локальной инфраструктуры Active Directory может соответствовать какому-либо реальному публичному имени DNS, а может быть исключительно локальным. Единственное, вы должны понимать одну вещь: имя домена DNS и имя домена Active Directory — это не одно и то же, хоть они и могут полностью совпадать.

Если вы находитесь в процессе планирования вашей инфраструктуры, то советую ответственно отнестись к имени домена AD, поскольку изменить его потом будет проблемно, а неправильно выбранное имя обеспечит вам в будущем массу неудобств. Подробнее о выборе имени DNS для AD читайте в моей статье Пара слов про именование доменов Active Directory.

Под локальным именем я подразумеваю любые имена домена AD, которые заканчиваются на .local, .domain и др. (в общем те имена, которых в интернете нет). Публичные имена домена AD — это имена, которые соответствуют зарегистрированным доменным именам, например bissquit.ru или corp.bissquit.ru.

Публичное имя

Имея имя AD, которое соответствует публичному имени DNS, вам сравнительно повезло. Есть масса плюсов использования подобных имен, например возможность получить сертификаты от публичных доверенных центров, которые будут содержать внутренние имена серверов (если кто не в курсе, то включать локальные имена а-ля srv01.domain.local в сертификаты нельзя уже давно ¹).

В контексте Azure AD публичное имя локального домена AD позволяет нам проходить аутентификацию на облачных ресурсах без каких-либо существенных изменений в инфраструктуре. Рассмотрим пример: есть домен corp.bissquit.ru, есть юзер Иван Иванов с учеткой i.ivanov. Этот пользователь сможет залогиниться в облачных ресурсах под своей обычной учетной записью i.ivanov@corp.bissquit.ru.

С локальными именами домена AD другая история.

Локальное имя

Если имя AD локальное, то в этом случае при развертывании Azure AD есть некоторые неудобства, поскольку залогиниться в облаке под учеткой например i.ivanov@sc.local вы не сможете, ведь домена sc.local в реальности не существует, это лишь ваш локальный домен. Также неудобства возникнут с сертификатами, как я и говорил выше.

Примечание: на данный момент не существует ни одной адекватной причины использовать локальные имена AD. С точки зрения безопасности это ни чуть не лучше публичного имени, с точки зрения удобства тем более..

Тем не менее, решение проблемы есть и заключается оно в создании дополнительного UPN-суффикса, о чем ниже.

Изменение UPN-суффикса

Ни для кого не секрет, что для повышения удобства пользователей и упрощения администрирования вы можете создать дополнительные UPN-суффиксы Active Directory. Сделать это можно через оснастку Active Directory — домены и доверие:

Просто откройте свойства раздела Active Directory — домены и доверие и добавьте нужный вам домен.

Следующий этап немного сложнее — необходимо для каждого пользователя AD, который будет обращаться к облачным ресурсам, изменить домен имени входа. Сделать это можно вручную, зайдя в свойства учетной записи пользователя:

Изменять учетку у каждого пользователя таким способом не совсем удобно, а потому все можно проделать скриптом:

Import-Module ActiveDirectory
$oldSuffix = "sc.local"
$newSuffix = "bissquit.ru"
$ou = "OU=1 Users,DC=sc,DC=local"
$server = "dc01"
Get-ADUser -SearchBase $ou -filter * | ForEach-Object {
$newUpn = $_.UserPrincipalName.Replace($oldSuffix,$newSuffix)
$_ | Set-ADUser -server $server -UserPrincipalName $newUpn
}

Import-Module ActiveDirectory

$oldSuffix = "sc.local"

$newSuffix = "bissquit.ru"

$ou = "OU=1 Users,DC=sc,DC=local"

$server = "dc01"

Get-ADUser -SearchBase $ou -filter * | ForEach-Object {

$newUpn = $_.UserPrincipalName.Replace($oldSuffix,$newSuffix)

$_ | Set-ADUser -server $server -UserPrincipalName $newUpn

}

Скрипт ² нагло взят с блогов Microsoft. Выполните в Powershell, предварительно изменив выделенные жирным шрифтом переменные.

Все учетные записи в указанном OU должны иметь новый UPN-суффикс и пользователи могут логиниться, используя конструкцию имя_юзера@новый_upn-суффикс.

После этого можно приступать к установке и настройке Azure AD Connect, с учетными записями проблем возникнуть не должно.

Azure AD Connect

Azure AD Connect — обязательный компонент, выполняющий задачи синхронизации локальных данных с облаком. Любая гибридная инфраструктура (например Exchange Online) начинается именно с развертывания Azure AD Connect.

Требования

Список технических требований для установки Azure AD Connect достаточно большой и вы можете ознакомиться с ним на официальных ресурсах ³, а потому мне нет смысла его дублировать.

Тем не менее, говоря о требованиях, я бы хотел рассказать о Azure AD Connect и службах AD FS (Federation Services). Бытует мнение, что для реализации единого входа (один и тот же логин & пароль для локальной и облачной инфраструктуры) необходимо развернуть AD FS. На деле это не так. Для реализации единого входа вполне достаточно механизма синхронизации паролей, который как раз реализован в Azure AD Connect.

Подробнее о преимуществах каждого метода синхронизации читайте в официальной документации ⁴.

Установка

Скачиваем дистрибутив с официального сайта ⁵, запускаем инсталлятор. Процесс установки достаточно простой, как и у многих других продуктов Microsoft.

1. Начинается с процесса согласия с условиями использования:

Нажав Продолжить, переходим на страницу параметров.

2. Поскольку имя моего домена AD является локальным, вылезло предупреждение (см. внизу скриншота):

Ничего страшного в этом нет и дальше вы в этом убедитесь.

Примечание: Вы можете нажать Настроить, чтобы все параметры выбрать вручную ⁶ (например может быть у вас уже есть развернутый сервер с MS SQL и вы не хотите использовать версию Express). В таком случае вы увидите окно выбора параметров:

В большинстве случаев более разумно воспользоваться быстрыми параметрами ⁷, именно так я и поступил.

3. Далее нужно задать имя пользователя и пароль учетной записи глобального администратора Azure. Напоминаю, что эту учетную запись я создавал в своей прошлой статье (см. Подготовка Azure Active Directory) и она является облачной учетной записью, но не учеткой, на которую зарегистрирована подписка.

Мастер тут же проверит возможность подключения и если все пройдет успешно, вы перейдете на следующую страницу.

4. На ней необходимо ввести логин и пароль учетной записи администратора предприятия вашего локального домена AD:

5. Следующая страница — настройка входа в Azure AD. Тут вы увидите имя домена AD и все дополнительные имена UPN-суффиксов, которые вы когда-либо добавляли:

Примечание: на этом этапе у меня был необъяснимый глюк — отображалось лишь имя домена AD, но никаких имен UPN-суффиксов не было, хотя я уже спокойно логинился в локальном домене под учетными записями, в которых фигурировал недавно добавленный UPN-суффикс. Решить проблему удалось повторным добавлением UPN-суффикса в оснастке Active Directory — домены и доверие.

Нажимаем Далее.

6. Попадаем на страницу проверки конфигурации:

Если вас все устраивает, нажимайте Установить.

7. По окончанию установки появится последнее окно:

У меня были предупреждения о сбое регистрации агента. Проверить синхронизацию данных вы можете все там же в Azure AD:

Если же вы являетесь счастливым обладателем подписки Microsoft Azure AD Premium ⁸, то вам доступна единая консоль управления, которая находится в Azure как отдельная служба — Azure Active Directory Connect Health ⁹.

При успешной синхронизации локальных учетных записей с облаком, вы сможете увидеть их всех в админке Azure AD.

Notes:

comments powered by HyperComments

2consecrate

2022-06-18 03:31:06

1pleased

writing your dissertation proposal

2022-07-05 14:56:57

online edd no dissertation https://professionaldissertationwriting.org/

uk dissertation help

2022-07-05 17:58:31

help me https://professionaldissertationwriting.com/

best dissertation writing service

2022-07-05 20:55:08

essay writing services 2019 https://helpwithdissertationwritinglondon.com/

dissertation proofreading services

2022-07-05 23:19:41

dissertation defense questions https://dissertationwritingcenter.com/

dissertation defense

2022-07-06 01:51:31

how to write a dissertation proposal https://dissertationhelpexpert.com/

dissertation writing assistance

2022-07-06 04:36:13

18 month doctorate without dissertation https://accountingdissertationhelp.com/

rfp writing services

2022-07-06 06:54:10

dissertation writing services https://examplesofdissertation.com/

dissertation help free

2022-07-06 09:44:29

disertation https://writing-a-dissertation.net/

uga dissertation

2022-07-06 12:02:42

paper help https://bestdissertationwritingservice.net/

dissertation help online free

2022-07-06 14:42:27

writing your dissertation https://businessdissertationhelp.com/

writing a masters dissertation

2022-07-06 17:16:04

dissertation presentation https://customdissertationwritinghelp.com/

dissertation help ireland editing

2022-07-06 20:37:48

dissertation help glasgow https://writingadissertationproposal.com/

thesis dissertation writing

2022-07-06 23:42:42

help me https://dissertationhelpspecialist.com/

writing phd dissertation

2022-07-07 02:59:44

dissertation help galway https://dissertationhelperhub.com/

dissertation editing

2022-07-07 06:09:15

dissertation writing process https://customthesiswritingservices.com/

echeck online casino

2022-07-25 18:20:11

online casino with free sign up bonus https://download-casino-slots.com/

online casino real money no deposit

2022-07-25 21:30:35

online betting casino https://firstonlinecasino.org/

online casino list

2022-07-25 23:27:39

best online casino games https://onlinecasinofortunes.com/

vegas 777 online casino

2022-07-26 03:18:51

online casino reviews usa https://newlasvegascasinos.com/

my choice casino online

2022-07-26 04:33:35

codeshare online doubledown casino https://trust-online-casino.com/

casino royale full movie online free

2022-07-26 07:52:36

meadows casino online https://onlinecasinosdirectory.org/

no deposit online casino bonus codes

2022-07-26 09:50:08

casino online bonus no deposit https://9lineslotscasino.com/

fantasy springs online casino

2022-07-26 11:47:55

borgota casino online https://free-online-casinos.net/

best online baccarat casino

2022-07-26 15:30:18

online casino for us players https://internet-casinos-online.net/

secure online casino

2022-07-26 18:31:25

no deposit online casino bonus codes https://cybertimeonlinecasino.com/

nj online casino no deposit bonus

2022-07-26 21:06:16

caesar casino online https://1freeslotscasino.com/

vegas casino online no deposit bonus codes 2021

2022-07-26 23:36:04

twin river online casino https://vrgamescasino.com/

mobile casino online

2022-07-27 01:45:06

live roulette online casino https://casino-online-roulette.com/

online casino illinois

2022-07-27 03:20:21

safe online casino https://casino-online-jackpot.com/

casino games online

2022-07-27 07:00:13

casino ohne anmeldung gratis online spielen where

casino stream online

2022-07-27 10:49:32

online casino with real money https://ownonlinecasino.com/

lotus casino online

2022-07-27 12:18:24

casino online real money no deposit https://all-online-casino-games.com/

vpn service usa buy

2022-08-07 17:02:48

best mobile vpn https://shiva-vpn.com/

best vpn for linux

2022-08-07 20:13:47

free vpn for mac https://freehostingvpn.com/

best vpn 2019

2022-08-07 23:19:06

globus free vpn https://ippowervpn.net/

free vpn that works

2022-08-08 01:00:13

pcmag best vpn https://imfreevpn.net/

best free windows 10 vpn

2022-08-08 05:50:08

how to use vpn https://free-vpn-proxy.com/

best vpn for downloading

2022-08-08 07:01:12

best vpn 2022 reddit https://rsvpnorthvalley.com/

san diego speed dating gay

2022-08-23 14:35:27

young gay boys looking for daddies dating https://gay-singles-dating.com/

dating gay anacortes

2022-08-23 16:22:51

gay dating profile "always-looking" https://gayedating.com/

free dating site for usa

2022-08-24 18:03:35

relationship website https://adult-singles-online-dating.com/

japanese singles dating sites

2022-08-24 19:48:08

ourtime login canada https://adult-classifieds-online-dating.com/

senior dating sites free

2022-08-24 22:44:03

local dating sites https://online-internet-dating.net/

local personals

2022-08-25 00:05:10

best online dating sites https://speedatingwebsites.com/

dating dating site

2022-08-25 03:23:57

find online dating https://datingpersonalsonline.com/

online chat dating websites

2022-08-25 04:17:10

local free dating sites https://wowdatingsites.com/

free dating online

2022-08-25 06:54:33

singles and personals https://lavaonlinedating.com/

lady dating

2022-08-25 10:27:57

browse free dating without registering https://freeadultdatingpasses.com/

personals online

2022-08-25 13:24:27

sz dating seiten https://zonlinedating.com/

dating relationships

2022-08-25 16:27:48

best sites for online dating https://onlinedatingservicesecrets.com/

casino card games online

2022-08-30 08:55:08

diamond online casino https://onlinecasinos4me.com/

newest online casino pa

2022-08-30 17:11:43

best casino online usa https://casinosonlinex.com/

free gay chat by zip code 53214

2022-09-02 23:01:01

bi gay chat rooms https://newgaychat.com/

google zoom gay chat rooms

2022-09-03 06:22:02

amature gay video chat https://gaychatcams.net/

free gay bays chat

2022-09-03 11:19:47

gay video chat apps ios https://gaychatspots.com/

gay men webcame and chat

2022-09-03 15:06:41

bing gay chat rooms https://gay-live-chat.net/

ierracial gay chat rooms

2022-09-03 19:37:25

gay chat toms river nj https://chatcongays.com/

gay universe chat

2022-09-04 02:51:13

gay men webcam chat broadcast self https://gayphillychat.com/

gay phone chat lines with free trials

2022-09-04 08:49:43

free xxx gay chat rooms https://gaychatnorules.com/

chat avenue gay chat room

2022-09-04 13:33:10

free gay chat no sign up https://gaymusclechatrooms.com/

chat room for gay chubs

2022-09-04 20:42:02

chat avenue gay chat room https://gayinteracialchat.com/

b - gay chat

2022-10-20 16:30:33

gay daddy cam chat https://gaymanchatrooms.com/

best paper writers

2022-10-20 18:03:03

buy a literature review paper https://term-paper-help.org/

write my statistics paper

2022-10-20 19:31:56

website that writes papers for you https://sociologypapershelp.com/

help with a paper

2022-10-20 20:29:33

custom note paper https://uktermpaperwriters.com/

write my paper please

2022-10-20 22:51:21

need help writing my paper https://paperwritinghq.com/

websites to type papers

2022-10-21 00:44:47

where to buy writing paper https://write-my-paper-for-me.org/

buy custom paper

2022-10-21 02:30:22

help me with my paper https://doyourpapersonline.com/

writing paper services

2022-10-21 05:23:17

instant paper writer https://researchpaperswriting.org/

paper writing service college

2022-10-21 06:18:51

best custom papers https://cheapcustompaper.org/

pay people to write papers

2022-10-21 07:51:55

buy a paper https://writingpaperservice.net/

college paper writing service reviews

2022-10-21 09:39:11

help with writing paper https://buyessaypaperz.com/

help with your paper

2022-10-21 10:21:37

buy paper online https://mypaperwritinghelp.com/

college papers writing service

2022-10-21 11:46:11

paper writers college https://writemypaperquick.com/

custom writing paper service

2022-10-21 13:17:59

pay for someone to write your paper https://essaybuypaper.com/

write my paper in 3 hours

2022-10-21 14:52:23

order a paper https://papercranewritingservices.com/

buy papers online for college

2022-10-21 15:54:13

college papers for sale https://premiumpapershelp.com/

help with college papers

2022-10-21 17:16:52

help with college papers https://ypaywallpapers.com/

buying college papers

2022-10-21 18:30:53

custom writing paper service https://studentpaperhelp.com/

2bereavement

2023-01-26 08:52:25

3curtail

do my coursework

2023-02-05 15:52:25

coursework writing https://courseworkninja.com/

creative writing coursework ideas

2023-02-05 19:01:58

custom coursework writing service https://mycourseworkhelp.net/

coursework service

2023-02-05 20:31:00

coursework only degree https://courseworkdownloads.com/

design and technology gcse coursework

2023-02-05 21:46:45

creative writing coursework https://courseworkinfotest.com/

coursework papers

2023-02-05 22:39:03

coursework in english https://coursework-expert.com/

coursework marking

2023-02-06 00:02:06

creative writing coursework https://teachingcoursework.com/

coursework writing help

2023-02-06 01:08:48

coursework website https://buycoursework.org/

custom coursework writing

2023-02-06 02:39:41

coursework marking https://courseworkdomau.com/

meet older women for free

2023-02-08 12:32:35

single senior dating sites https://freewebdating.net/

free dating apps no fees

2023-02-08 14:28:12

single website https://jewish-dating-online.net/

local free chatline

2023-02-08 16:35:22

meet single https://free-dating-sites-free-personals.com/

onlinelovedating

2023-02-08 18:06:50

dating sites for free https://sexanddatingonline.com/

meet woman

2023-02-08 18:45:46

adult singles dating site https://onlinedatingsurvey.com/

free dating sites without registering

2023-02-08 20:51:49

single seniors dating sites https://onlinedatinghunks.com/

dating sites for totally free for usa

2023-02-08 22:35:52

free gay dating sites chat https://datingwebsiteshopper.com/

dating women online

2023-02-09 00:19:08

dating online site https://allaboutdatingsites.com/

local single

2023-02-09 01:18:26

top internet dating sites https://freedatinglive.com/

dating top sites

2023-02-09 02:17:46

meet older women for free https://freewebdating.net/