Я администрирую Office 365 для нашей компании widgetsRus.com, и я пытаюсь присоединить свой настольный компьютер к домену и войти в систему, используя свой адрес электронной почты Office 365. Я купил домен и подписку на Office 365 у GoDaddy, а серверы имен в настоящее время находятся на he.net. Я администрирую DNS-сервер для этого домена, поэтому могу добавлять или изменять записи. Я определенно готов переместить серверы имен или создать контроллер домена в Azure, если это необходимо.
Я вижу наш домен, пользователей и устройства на сайте portal.azure.com.
Когда я пытаюсь присоединиться к домену с помощью панели управления, я получаю сообщение об ошибке:
Следующая ошибка произошла, когда DNS был запрошен для записи ресурса местоположения службы (SRV), используемой для поиска контроллера домена Active Directory (AD DC) для домена netorgft3xxxxxxx.onmicrosoft.com:
Ошибка была: «DNS-имя не существует». (код ошибки 0x0000232B RCODE_NAME_ERROR)
Запрос был для записи SRV для _ldap._tcp.dc._msdcs.netorgft3xxxxxx.onmicrosoft.com
К распространенным причинам этой ошибки относятся следующие:
- Записи DNS SRV, необходимые для поиска AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:
208.67.222.222 208.67.220.220
Я могу присоединить компьютер к Azure AD, используя Доступ с работы или учебыоднако после этого я не могу войти в систему, используя свой адрес электронной почты.
Я так понимаю, мне нужно добавить еще несколько записей в файл зоны, начиная с упомянутой записи SRV. Как мне узнать, что это должно быть?
Это сбивает с толку тех, кто впервые познакомился с AzureAD.
Сам по себе AzureAD не заменяет контроллер домена. Вы не можете присоединиться к своему домену с помощью AzureAD, если не включите также доменные службы (дополнительная платная услуга). Я, вероятно, слишком упростил приведенные ниже различия, но надеюсь, что это поможет.
AzureAD позволяет регистрировать или регистрировать устройство в службе.
Присоединиться к рабочему месту - это для машин, которые уже настроены и проходят регистрацию устройства. Это может улучшить взаимодействие с пользователем, поскольку проверка подлинности в Windows 10 предназначена для работы непосредственно с AzureAD. Для MDM вам нужно вручную зарегистрировать устройство.
Присоединиться к AzureAD - Microsoft называет это устройство регистрацией. В Windows 10 - если у вас есть готовый к работе OOTB, вы можете выбрать присоединение к AzureAD или домену. Когда вы выбираете первое, вы привязываете свои учетные данные для входа к AzureAD и регистрируетесь в любых политиках Intune, которые могут быть на месте. Это отличный способ управления устройством (при условии, что у вас также есть Intue) для устройств, которые не часто находятся в сети. Это регистрация - b / c можно также зарегистрировать устройство в MDM при регистрации устройства (все это делается вместе).
Вернуться к Доменные службы. Вы можете включить доменные службы в каталоге AzureAD, но это еще одна платная услуга. Кроме того, вам необходимо создать виртуальную сеть Azure, чтобы привязать ее, а затем вам понадобится VPN для подключения к локальной сети (при условии, что вы хотите присоединиться не только к виртуальным машинам Azure). При такой настройке вы действительно можете присоединяться к машинам и управлять ими с помощью GPO. Если у вас традиционные контроллеры домена - эта служба не является частью репликации домена, это отдельная служба, которая работает как «домен». Есть еще много вещей, которые не идеальны для доменных служб, но основы есть. Для развертываний Azure затраты будут такими же, как при развертывании небольшого контроллера домена в качестве виртуальной машины, но опять же, вам не придется управлять репликацией ОС или домена, что идеально, если еще не существует домена Active Directory.