Domänencontroller in Azure betreiben (1)

Im Exil

Bei einem hybriden Setup ist der Administrator neben dem lokalen Active Directory auch mit dem Azure AD und den Azure AD Domain Services konfrontiert. Was welchem Einsatzzweck dient, hängt von den Anforderungen ab. Wir schauen uns in dieser zweiteiligen Workshopserie zuerst an, was zu beachten ist, wenn ein Domänencontroller aus dem heimischen Active Directory nach Azure wandern soll, und richten die dafür notwendigen Netzwerkkomponenten ein.
In der Dezember-Ausgabe beleuchtet IT-Administrator die Datenspeicherung in kleinen und mittleren Firmen. Darin zeigen wir unter anderem, welche neue ... (mehr)

Unternehmen, die Office 365 einsetzen, müssen für alle Anwender, die Applikationen aus dem Cloud-Portfolio nutzen, Lizenzen zuweisen. Diese hängen an Benutzerkonten im Azure Active Directory (AAD) für das entsprechende Office-365-Abonnement und werden gleichfalls für die Anmeldung in der Microsoft-Cloud benutzt. Dabei spielt es keine Rolle, wie diese Benutzerkonten in das AAD gelangen. Sei es, dass der Administrator die Konten manuell dort anlegt oder er für eine größere Anzahl an Benutzerkonten Azure AD Connect einsetzt und sie mit dem heimischen Active Directory synchronisiert.

Das AAD hat dabei übrigens nichts mit den Active Directory Domain Services (ADDS) gemein, die Sie aus Ihrem Rechenzentrum kennen – außer vielleicht den ähnlich lautenden Namen. Sie finden hier keine Domänencontroller (DC) vor, keine Gruppenrichtlinien oder ähnliche Dinge. Freilich gibt es mehr Möglichkeiten, wie den Benutzerkonten nur Lizenzen zuzuordnen, so lassen sich beispielsweise Sicherheitsgruppen aus dem On-Premises-AD nach AAD synchronisieren, die dann innerhalb der Azure-Infrastruktur Rechte für administrative Tätigkeiten erhalten. Durch den turnusmäßigen Synchronisationsprozess sind Änderungen kurze Zeit später in der Cloud. Das Management der Gruppen unterliegt somit weiterhin der etablierten lokalen Provisionierung. Das AAD ist eigentlich eine Komponente in Azure-IaaS, auch wenn sich die Sichtbarkeit und Administration der Benutzerkonten bis in Office 365 erstreckt.

Was aber, wenn der Administrator in Azure-IaaS Mitgliedserver aus dem heimischen Active Directory bereitstellen möchte? Am einfachsten wäre es, ein VPN zwischen dem lokalen Rechenzentrum und Azure einzurichten und somit den Servern aus Azure zu ermöglichen, DCs für die Authentifizierung über die WAN-Leitung zu verwenden. Dies ist aber nur auf dem ersten Blick charmant. Spätestens bei einer größeren Anzahl von Memberservern stößt die verfügbare Netzwerkbandbreite an ihre

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019