简介
在此模块中,你将了解如何配置 Microsoft Azure 环境,以便支持需要使用 Active Directory 的 Windows Server 基础结构即服务 (IaaS) 工作负载。 你还将了解如何将本地 AD DS 环境集成到 Azure 中。
方案
Contoso 是伦敦一家中型金融服务公司,在纽约有一家分公司。 它的大部分计算环境在 Windows Server 上本地运行。 这包括 Windows Server 2012 R2 主机上的虚拟化工作负载。 Contoso IT 员工正在将 Contoso 服务器迁移到 Windows Server 2019。
Contoso 的 IT 主管意识到 Contoso 的操作模型已过时,其自动化程度有限,而且依赖于过时的技术。 Contoso IT 工程团队已经开始探索 Azure 功能, 他们希望确定 Azure 服务是否可通过自动化和虚拟化帮助实现当前操作模型的现代化。
在初始设计过程中,Contoso IT 团队要求作为首席系统工程师和服务器管理员的你设置一个概念证明环境。 此环境必须验证 Azure 服务是否可帮助实现 IT 基础结构的现代化并满足业务目标。
随着更多联机服务和云中服务的推出,Contoso 这样的组织发现他们需要定义和管理云标识。Contoso 可以在用户尝试访问公司资源时使用云标识对其用户进行身份验证和授权。
Microsoft 在名为 Microsoft Entra ID 的 Azure 平台中提供基于云的目录服务。 Microsoft Entra ID 是多租户、基于云的目录和标识管理服务。 它为云中存在的资源提供标识和访问服务。 Microsoft Entra ID 还可提供对数千个云服务型软件 (SaaS) 应用程序的单一登录 (SSO) 访问。
Contoso 还可选择使用 Microsoft Entra 域服务。 Microsoft Entra 域服务提供托管域服务,例如域加入、组策略、轻型目录访问协议 (LDAP),以及与 Windows Server AD DS 完全兼容的 Kerberos 身份验证或 NTLM 身份验证。 Contoso 可将 Microsoft Entra 域服务与其 Microsoft Entra 租户集成。 这样用户可以使用他们的现有凭据登录。
在此模块中,你将了解如何选择 Microsoft Entra 集成模型以及如何规划集成。 你还将准备并安装 AD DS 同步。 你将了解如何实现 SSO,并为 Azure 虚拟机 (VM) 启用 Microsoft Entra 登录。 最后,你将了解如何规划和实现 Microsoft Entra 域服务。
学习目标
完成本模块后,你将能够:
- 选择 Microsoft Entra 集成模型。
- 规划 Microsoft Entra 集成。
- 准备本地 AD DS 以进行目录同步。
- 使用 Microsoft Entra Connect 安装和配置目录同步。
- 实现无缝 SSO。
- 为 Azure Windows VM 启用 Microsoft Entra 登录。
- 描述 Microsoft Entra 域服务。
- 实现和配置 Microsoft Entra 域服务。
- 在 Microsoft Entra 域服务实例中管理 Windows Server 2019。
- 将 Windows Server VM 加入托管域。
先决条件
为了在本模块中获得最佳学习体验,应具备以下方面的知识和经验:
- 管理本地方案中的 Windows Server 操作系统和 Windows Server 工作负载,包括 AD DS、DNS、分布式文件系统 (DFS)、Microsoft Hyper-V,以及文件和存储服务。
- 常见的 Windows Server 管理工具。
- 核心 Microsoft 计算、存储、网络和虚拟化技术。
- 在 Microsoft Azure 中实现和管理 IaaS 服务。
- Microsoft Entra ID。
- 与安全性相关的技术(防火墙、加密和多重身份验证)。
- Windows PowerShell 脚本。
- 自动化和监视。