24 out 2015 @ 17:56 

Apresentando Azure AD Serviços de Domínio – ADDS

Serviços Azure AD domínio fornece serviços gerenciados de domínio baseado em nuvem, como associação de domínio, a política de grupo, LDAP e autenticação Kerberos / NTLM na nuvem Azure que são totalmente compatíveis com o Windows Server Active Directory. Com estes serviços, você recebe o valor integral do Windows AD Server no domínio nuvem, sem a necessidade de implantar, gerenciar, monitorar e controladores de domínio do patch.

E porque Azure Serviços de Domínio do AD é parte de seu inquilino Azure AD existente, os usuários login usando as mesmas credenciais corporativas que utilizam para Azure AD, e você pode usar os grupos existentes e contas de usuário para garantir o acesso aos recursos.

Como funciona?

Azure Serviços de Domínio do AD funciona perfeitamente com a executar a aplicação de VM em Azure, independentemente de sua AD inquilino Azure é cloud-only ou se sincronizar com o Active Directory no local.

Vamos ver como – com um exemplo de cada um.

Contoso, uma organização só de nuvem

Vamos começar com Contoso, neste exemplo uma nuvem-única organização sem pegada identidade no local. Contoso já tem um inquilino AD Azure existente, que eles dependem para o acesso ao SaaS aplicativos baseados em nuvem, como o Office 365, Salesforce etc.

Agora, a Contoso está olhando para tornar mais fácil para os seus administradores para gerenciar cargas de trabalho implantadas em Azure Serviços de Infraestrutura. Esses administradores precisam ser capazes de usar suas credenciais corporativas para conectar remotamente a VMs e eles querem usar associação de domínio e de política de grupo para definir a política de configuração para estas VMs.

AD Azure Serviços de Domínio para as organizações só de nuvem.

Administrador de TI da Contoso pode ativar Azure Serviços de Domínio do AD para o seu inquilino Azure AD existente. Em seguida, com alguns cliques, eles podem se conectar-lo para as redes virtuais Azure em que suas cargas de trabalho (servidor SQL, máquinas virtuais Windows etc.) são implantados.

Azure Serviços de Domínio do AD, em seguida, cuida do resto – um domínio totalmente gerenciado é provisionado para Contoso e disponibilizado na rede virtual selecionada no Azure. Todas as contas de usuário, credenciais e membros do grupo no Azure AD inquilino da Contoso estão automaticamente disponíveis neste domínio gerenciado.

Uma vez que completa, máquinas virtuais nesta rede virtual pode ser associado ao domínio e os usuários podem acessar essas máquinas virtuais usando suas credenciais corporativas. Aplicações e servidores implantados em máquinas virtuais conectadas à rede virtual pode aproveitar os benefícios dos serviços de domínio como o LDAP ler e bind, NTLM, Kerberos e de política de grupo.

Nota: LDAP gravação será ativada na próxima atualização para este pré-visualização

Litware Corporation, uma organização de TI híbrido

Mas e se a infra-estrutura de TI da sua organização é híbrido – com uma mistura de no local e recursos de nuvem, incluindo um Windows Server Active Directory no local?

Vamos usar Litware Corporation por este exemplo. No exemplo, Litware é uma organização com uma infra-estrutura de TI híbrido e eles já têm o seu no local contas de usuários, grupos e credenciais de sincronização com seu AD Azure inquilino. Litware tem implantado Azure AD Conectar-se a executar essa sincronização.

Como ilustrado no diagrama abaixo, Litware já implantou suas aplicações e servidores em uma rede virtual no Azure Serviços de Infraestrutura. Administrador de TI da Litware pode agora permitir Azure Serviços de Domínio do AD para o seu inquilino Azure AD existente e optar por fazer um domínio gerenciado disponível nesta rede virtual.

Azure Serviços de Domínio do AD para organizações híbridas.

Assim como antes, Azure Serviços de Domínio do AD cuida do resto – um domínio totalmente gerenciado é provisionado para Litware e disponibilizado na rede virtual selecionada no Azure. Todas as contas de usuário, credenciais e membros do grupo no Azure AD inquilino da Litware (que estão em sincronia com o seu diretório local) estão automaticamente disponíveis neste domínio gerenciado.

Isso garante que os usuários podem assinar-in para o domínio usando suas credenciais corporativas. Os administradores podem acessar disposição a recursos no domínio usando associações de grupos existentes. E, assim como aplicativos da Contoso, apps do litware pode tirar proveito dos benefícios de serviços de domínio como associação de domínio, LDAP ler e bind, NTLM, Kerberos e de política de grupo.

(É importante notar que, por razões de segurança, esta gestão de domínio é um domínio independente e não é uma extensão da infra-estrutura florestal da Litware domínio no local /. No entanto, todas as contas de usuário, associações de grupo e credenciais do diretório local são disponível neste domínio gerenciado.)

Em ambos os casos, os administradores de TI não precisam gerenciar, remendo, monitorar ou solucionar problemas de sua infra-estrutura de identidade em Azure. Eles podem contar com Azure AD de prestação de serviços de domínio necessários para aplicações legadas para ser implantado em Azure, tudo sem a necessidade de executar o AD adicional VM.

Começando

Primeiros passos com o Azure Serviços de Domínio do AD é fácil. Você pode ativar Azure Serviços de Domínio do AD para qualquer inquilino Azure AD existente – o mesmo inquilino você usa com outras aplicações SaaS Office 365 ou. Azure Serviços de Domínio do AD estão disponíveis para todos os SKUs do Azure AD – ou seja, grátis, Basic e Premium.

Você também pode se inscrever para um julgamento Azure livre para testar isto.

Por favor, consulte o nosso detalhado guia de Introdução para obter instruções para configurar Azure Serviços de Domínio do AD. O que se segue é uma versão abreviada.

Passo 1 – Criar o grupo “AAD DC Administradores

Usando o portal de gerenciamento de Azure, criar um grupo chamado ‘AAD DC Administradores e adicionar todos os usuários que precisam ser administradores no domínio gerido a ele. Estes administradores serão capazes de juntar-se máquinas para o domínio e para configurar a política de grupo para o domínio.

A rede virtual Azure na qual a permitir Azure Serviços de Domínio do AD Selecione (ou criar) – Passo 2

Ao habilitar Azure AD Domain Services, você precisará especificar qual Azure rede virtual que você gostaria de fazer serviços de domínio disponíveis em Certifique-se de escolher uma rede virtual que satisfaça os seguintes critérios.:
• A rede virtual pertence a uma região apoiada por Azure Serviços de Domínio do AD. Consulte a página região para obter detalhes.
• Assegurar a rede virtual é uma rede virtual regional e não utiliza o mecanismo de grupos de afinidade legado.
• Garantam suas cargas de trabalho implantadas nos serviços de infra-estrutura Azure estão conectados a esta rede virtual.

Tome nota do nome da rede virtual para uso posterior.

Passo 3 – Ativar Serviços Azure AD domínio para o seu AD inquilino Azure

Habilitando Serviços Azure AD domínio para o seu AD inquilino Azure é um processo simples. Navegue até o AD inquilino Azure e clique na guia “Configurar” de seu diretório. Você vai notar uma nova seção intitulada “Serviços de Domínio ‘.

Virar a alternância intitulado “Ativar Serviços de Domínio para este diretório ‘para’ Sim ‘para ver outras opções de configuração.

Especifique um nome de domínio para o domínio que você está criando usando os Serviços de Domínio AD Azure. Você pode optar por usar o nome de built-in de domínio (* .onmicrosoft.com) ou qualquer um dos nomes de domínio disponíveis na guia domínios de seu diretório. Opcionalmente, você também pode especificar um nome de domínio personalizado, digitando-o na caixa de texto.

No menu suspenso, selecione a rede virtual em que devem ser disponibilizados os serviços de domínio.

Quando você estiver pronto, clique em “Salvar” na parte inferior da página.

Neste ponto, Azure Serviços de Domínio do AD vai começar a disposição um domínio para o seu inquilino ea página deve exibir um estado «Até … ‘. Debaixo das cobertas, serviços de domínio estão sendo provisionados e conectado à rede virtual que você selecionou.

Você vai notar os endereços IP dos Serviços de Domínio do AD Azure começam a aparecer na página como estes vêm online. Serviços Azure AD domínio fornecem alta disponibilidade e você deve esperar para ver dois endereços IP quando os serviços são integralmente provisionadas para o seu domínio. Pode levar 20-30 minutos para o primeiro endereço de IP para ser exibido e mais 20-30 minutos para a segunda IP para estar disponível.

Passo 4 – Atualizar as configurações de DNS para a rede virtual Azure

Neste ponto, você pode definir esses endereços IP dos servidores de DNS para a rede virtual em que você tinha permitido Azure Serviços de Domínio do AD. Isso permite que as máquinas virtuais dentro da rede virtual para ‘ver’ o domínio e se conectar a ele por associação de domínio, LDAP, autenticação etc.

Passo 5 – Ative a sincronização do legado credencial hashes para Azure Serviços de Domínio do AD

Este é um passo importante que você precisa para completar a fim de usar o domínio que você acabou de criar. Por padrão, o Azure AD não armazena os hashes de credenciais necessárias para autenticação NTLM / Kerberos. Você precisa preencher esses hashes de credenciais em Azure AD assim os usuários podem usá-los para autenticar contra o domínio.

As etapas envolvidas em preencher esses hashes AD Azure Serviços de Domínio são diferentes para cloud-somente e inquilinos sincronizados.

Cloud-somente inquilinos

Se a sua organização é um AD tenant de nuvem Azure-only, os usuários que precisam usar Azure AD Domain Services irá precisar alterar suas senhas. Essa etapa faz com que os hashes legado de credenciais exigidas pelo Azure Serviços de Domínio do AD para autenticação Kerberos e NTLM a ser gerado no Azure AD e preenchidos nos serviços AD Domínio Azure. Você pode expirar senhas para todos os usuários do inquilino que precisam usar Azure Serviços de Domínio do AD ou instruir esses utilizadores finais a alterar suas senhas.

Os usuários podem usar self-service mecanismo de AD Azure alteração de senha a partir da página Painel de Acesso Azure AD, a fim de alterar suas senhas.

Depois que os usuários alterem suas senhas, os hashes será preenchida em Azure Serviços de Domínio do AD. Após a população estiver concluída, os usuários podem acessar o domínio usando seu recém-mudado senha. Note-se que este é um processo de uma só vez e alterações de senha subseqüentes funcionarão automaticamente com o Azure Serviços de Domínio do AD.

Inquilinos sincronizados

Se o seu inquilino Azure AD está configurado para sincronizar com o seu diretório local, você vai precisar para assegurar que você tem a última versão do Azure AD Conectar. Depois de ter Azure AD Connect em execução, você precisa forçar a sincronização de senhas completo usando Azure AD Conectar. Isso garante que os hashes de credenciais de todos os usuários necessários para o Azure Serviços AD domínio são sincronizados para AD Azure. Para forçar a sincronização de senhas completo e permitir que todas as senhas no local dos usuários para sincronizar com o AD inquilino Azure, executar o script PowerShell seguinte em cada floresta AD. Atualize os valores no script com base em caminhos de instalação em seu ambiente.

$ adConnector = “”

$ aadConnector = “”

Import-Module adsync

$ c = Get-ADSyncConnector -Name $ adConnector

$ p = Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter New-Object “Microsoft.Synchronize.ForceFullPasswordSync”, String, ConnectorGlobal, $ null, $ null, $ null

$ = 1 p.Value

$ c.GlobalParameters.Remove ($ p.Name)

$ c.GlobalParameters.Add ($ p)

$ c = Add-ADSyncConnector -Conector $ c

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $ adConnector -TargetConnector $ aadConnector Habilite $ false

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $ adConnector -TargetConnector $ aadConnector Habilite $ true

NOTA: Dependendo do tamanho do seu diretório (número de usuários, grupos, etc.), a sincronização de contas de usuários, associações de grupo e credenciais para Azure AD e, em seguida, a Azure Serviços de Domínio do AD pode levar algum tempo nesta visualização. Estamos trabalhando para acelerar este processo para GA.

Cenários

É isso aí! AD Azure Serviços de Domínio deve ser configurada para o seu AD inquilino Azure. Experimente um par de cenários, incluindo juntar máquinas virtuais na rede virtual para o domínio, a implantação de aplicativos que dependem de leitura LDAP / vincular etc.

Alguns cenários e casos de uso que você pode experimentar com Azure Serviços de Domínio do AD são listados na nossa página de documentação.

Preço

Azure Serviços de Domínio do AD estão disponíveis para todos os SKUs do Azure AD – ou seja, grátis, Basic e Premium.

Ativo uso Azure Directory Domain Services é cobrado por hora, com base no número total de objetos em seu inquilino Azure Active Directory, incluindo usuários, grupos e computadores associados a um domínio. Cada camada suporta um certo volume de trabalho médio do usuário, como se mostra na tabela a seguir. Mais detalhes estão disponíveis na página de preços para Azure Serviços de Domínio do AD.

Durante a visualização, apenas o (5,001-25,000 objetos) camada de destaque está disponível e é cobrado a 50% do preço de disponibilidade geral.

livre tradução

Posted By: luciussp
Last Edit: 24 out 2015 @ 17:58

EmailPermalink
Tags


 

Comente sobre este Post » (None)

 
Post um Comentário

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Note: A moderação para comentários está habilitada e seu comentário pode sofrer um atraso para ser postado.


 Last 50 Posts
 Back
Change Theme...
  • Users » 2
  • Posts/Pages » 199
  • Comments » 2
Change Theme...
  • VoidVoid « Default
  • LifeLife
  • EarthEarth
  • WindWind
  • WaterWater
  • FireFire
  • LightLight