在 Azure AD 和本地 AD 之间建立信任

Question

我们正在将一些 VM 和云服务迁移到 Azure，但我们仍需要这些服务连接回我们合作伙伴的 AD。我是一名开发人员，而不是系统管理员，所以我不确定如何做到这一点，或者是否可能。

根据我的理解，我们需要做这样的事情：

1. 在 Azure 中设置虚拟网络
2. 在 Azure 和合作伙伴的数据中心之间设置站点到站点 VPN
3. 在 Azure 中设置云服务/VM（在 #1 的 VNet 内）
4. 在 Azure AD 中设置域，假设我们称之为“AzureDomain”
5. 在 Azure AD 域和我们合作伙伴的 AD 域（“PartnerDomain”）之间建立信任。
6. 在 Azure 云服务/VM 中设置 Windows 服务/IIS AppPools 以在我们 Azure AD 域中的帐户下运行，例如“AzureDomain\service_account”
7. 让合作伙伴授予“AzureDomain\service_account”权限以访问它需要的任何网络共享/数据库/等资源。

我错过了任何步骤吗？例如，是否需要某种 AD 同步，AzureDomain => 合作伙伴的 DC，或 PartnerDomain => Azure DC？

我不在乎 Azure 基础结构中的服务是在 Azure AD 中的帐户下运行，还是在合作伙伴的 AD 中运行。我只想要最简单的解决方案，它允许 Azure 中的服务访问合作伙伴数据中心中的资源。

Answer 1

您将无法在 Azure AD 和 PartnerDomain 之间创建信任。您可能想要做的是使用 DirSync ( http://technet.microsoft.com/en-us/library/jj151800.aspx ) 来保持两个 AD 实例同步。这样，您实际上将 PartnerDomain 扩展到 Azure AD 上。明智的做法是部署至少 1-2 个副本域控制器作为 Azure VM，这样即使站点到站点 VPN 链路出现故障，基于云的服务也能够联系域。