web-dev-qa-db-ja.com

AzureADとローカルADの間に信頼を設定する

一部のVMとクラウドサービスをAzureに移行していますが、パートナーのADに接続し直すにはこれらのサービスが必要です。私は開発者であり、システム管理者ではないので、これを行う方法、またはそれが可能かどうかさえわかりません。

私の理解から、私たちは次のようなことをする必要があります:

  1. Azureで仮想ネットワークをセットアップする
  2. Azureとパートナーのデータセンター間にサイト間VPNをセットアップする
  3. Azureでクラウドサービス/ VMをセットアップします(#1のVNet内)
  4. Azure ADでドメインを設定します。たとえば、「AzureDomain」と呼びます。
  5. Azure ADドメインとパートナーのADドメイン(「PartnerDomain」)の間に信頼を設定します。
  6. Windowsサービスをセットアップします/ IIS Azure Cloud Services/VMのAppPoolsを、Azure ADドメインのアカウント(「AzureDomain\service_account」など)で実行します
  7. パートナーに「AzureDomain\service_account」にアクセス許可を付与して、必要なネットワーク共有/データベースなどのリソースにアクセスしてもらいます。

ステップを逃しましたか?たとえば、AzureDomain =>パートナーのDCまたはPartnerDomain => Azure DCのいずれかの種類のAD同期が必要ですか?

AzureインフラストラクチャのサービスがAzureADのアカウントで実行されているのか、パートナーのADのアカウントで実行されているのかは関係ありません。 Azureのサービスがパートナーのデータセンターのリソースにアクセスできるようにする、可能な限り単純なソリューションが必要です。

5
Giscard Biamby

AzureADとPartnerDomainの間に信頼を作成することはできません。おそらくやりたいことは、DirSync( http://technet.Microsoft.com/en-us/library/jj151800.aspx )を使用して2つのADインスタンスの同期を維持することです。このようにして、実質的にPartnerDomainをAzureADに拡張します。サイト間のVPNリンクがダウンした場合でもクラウドベースのサービスがドメインに接続できるように、少なくとも1〜2個のレプリカドメインコントローラーをAzureVMとしてデプロイするのが賢明です。

3
Trondh