Я пытаюсь начать развертывание и изучаю, как использовать AD DS в Azure, чтобы увидеть, смогу ли я избавиться от требования иметь выделенные виртуальные машины, на которых работают доменные службы. Я борюсь прямо на первом этапе, поскольку пытаюсь настроить домен моего клиента, длина которого превышает 15 символов. Раньше я без проблем устанавливал множество контроллеров домена в локальной среде с маршрутизируемым доменом длиной более 15 символов.
Это какая-то особенность AD DS в Azure? Я надеялся использовать для него одно доменное имя, такое же, как домен компании, поэтому оно соответствует веб-сайту, электронной почте и т. Д. Я действительно не хочу использовать другое доменное имя.
Есть предположения? Спасибо!
Вы можете обойти это с помощью PowerShell. Я смог обойти ограничение в 15 символов с помощью инструкций на этой странице:
Вот сценарий на случай, если страница исчезнет:
# Change the following values to match your deployment.
$AaddsAdminUserUpn = "admin@contoso100.onmicrosoft.com"
$AzureSubscriptionId = "YOUR_AZURE_SUBSCRIPTION_ID"
$ManagedDomainName = "contoso100.com"
$ResourceGroupName = "ContosoAaddsRg"
$VnetName = "DomainServicesVNet_WUS"
$AzureLocation = "westus"
# Connect to your Azure AD directory.
Connect-AzureAD
# Login to your Azure subscription.
Connect-AzAccount
# Create the service principal for Azure AD Domain Services.
New-AzureADServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
# Create the delegated administration group for AAD Domain Services.
New-AzureADGroup -DisplayName "AAD DC Administrators" `
-Description "Delegated group to administer Azure AD Domain Services" `
-SecurityEnabled $true -MailEnabled $false `
-MailNickName "AADDCAdministrators"
# First, retrieve the object ID of the newly created 'AAD DC Administrators' group.
$GroupObjectId = Get-AzureADGroup `
-Filter "DisplayName eq 'AAD DC Administrators'" | `
Select-Object ObjectId
# Now, retrieve the object ID of the user you'd like to add to the group.
$UserObjectId = Get-AzureADUser `
-Filter "UserPrincipalName eq '$AaddsAdminUserUpn'" | `
Select-Object ObjectId
# Add the user to the 'AAD DC Administrators' group.
Add-AzureADGroupMember -ObjectId $GroupObjectId.ObjectId -RefObjectId $UserObjectId.ObjectId
# Register the resource provider for Azure AD Domain Services with Resource Manager.
Register-AzResourceProvider -ProviderNamespace Microsoft.AAD
# Create the resource group.
New-AzResourceGroup `
-Name $ResourceGroupName `
-Location $AzureLocation
# Create the dedicated subnet for AAD Domain Services.
$AaddsSubnet = New-AzVirtualNetworkSubnetConfig `
-Name DomainServices `
-AddressPrefix 10.0.0.0/24
$WorkloadSubnet = New-AzVirtualNetworkSubnetConfig `
-Name Workloads `
-AddressPrefix 10.0.1.0/24
# Create the virtual network in which you will enable Azure AD Domain Services.
$Vnet=New-AzVirtualNetwork `
-ResourceGroupName $ResourceGroupName `
-Location $AzureLocation `
-Name $VnetName `
-AddressPrefix 10.0.0.0/16 `
-Subnet $AaddsSubnet,$WorkloadSubnet
# Enable Azure AD Domain Services for the directory.
New-AzResource -ResourceId "/subscriptions/$AzureSubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.AAD/DomainServices/$ManagedDomainName" `
-Location $AzureLocation `
-Properties @{"DomainName"=$ManagedDomainName; `
"SubnetId"="/subscriptions/$AzureSubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/DomainServices"} `
-ApiVersion 2017-06-01 -Force -Verbose
Префикс доменного имени в Azure AD DS не может превышать 15 символов: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started.
Ограничения по префиксу домена: Префикс указанного вами доменного имени (например, contoso100 в contoso100.com доменное имя) должно содержать 15 или меньше символов. Вы не можете создать управляемый домен с префиксом более 15 символов.
Основная техническая причина, вероятно, связана с ограничениями имени NetBIOS; у каждого домена AD также есть имя NetBIOS, которое обычно идентично префиксу домена (часть полного имени домена до первого символа "."); это можно настроить в «реальной» AD, что позволит вам создать домен с более длинным префиксом, используя другое, более короткое имя NetBIOS; похоже, что это ограничение применяется в Azure AD DS.