AzureADとローカルADの間に信頼を設定する
一部のVMとクラウドサービスをAzureに移行していますが、パートナーのADに接続し直すにはこれらのサービスが必要です。私は開発者であり、システム管理者ではないので、これを行う方法、またはそれが可能かどうかさえわかりません。
私の理解から、私たちは次のようなことをする必要があります:
- Azureで仮想ネットワークをセットアップする
- Azureとパートナーのデータセンター間にサイト間VPNをセットアップする
- Azureでクラウドサービス/ VMをセットアップします(#1のVNet内)
- Azure ADでドメインを設定します。たとえば、「AzureDomain」と呼びます。
- Azure ADドメインとパートナーのADドメイン(「PartnerDomain」)の間に信頼を設定します。
- Windowsサービスをセットアップします/ IIS Azure Cloud Services/VMのAppPoolsを、Azure ADドメインのアカウント(「AzureDomain\service_account」など)で実行します
- パートナーに「AzureDomain\service_account」にアクセス許可を付与して、必要なネットワーク共有/データベースなどのリソースにアクセスしてもらいます。
ステップを逃しましたか?たとえば、AzureDomain =>パートナーのDCまたはPartnerDomain => Azure DCのいずれかの種類のAD同期が必要ですか?
AzureインフラストラクチャのサービスがAzureADのアカウントで実行されているのか、パートナーのADのアカウントで実行されているのかは関係ありません。 Azureのサービスがパートナーのデータセンターのリソースにアクセスできるようにする、可能な限り単純なソリューションが必要です。
AzureADとPartnerDomainの間に信頼を作成することはできません。おそらくやりたいことは、DirSync( http://technet.Microsoft.com/en-us/library/jj151800.aspx )を使用して2つのADインスタンスの同期を維持することです。このようにして、実質的にPartnerDomainをAzureADに拡張します。サイト間のVPNリンクがダウンした場合でもクラウドベースのサービスがドメインに接続できるように、少なくとも1〜2個のレプリカドメインコントローラーをAzureVMとしてデプロイするのが賢明です。