可以在远程桌面服务部署中使用 Microsoft Entra 域服务 来代替 Windows Server Active Directory。 Microsoft Entra 域服务允许将现有Microsoft Entra 标识与经典 Windows 工作负载一起使用。
使用 Microsoft Entra 域服务,可以:
- 为云中生成的组织创建一个具有本地域的 Azure 环境。
- 无需创建站点到站点 VPN 或 ExpressRoute,即可创建使用本地和在线环境相同身份的独立 Azure 环境。
完成将 Microsoft Entra 域服务集成到远程桌面部署后,体系结构将如下所示:
若要查看此体系结构与其他 RDS 部署方案之间的比较,请查看 远程桌面服务体系结构。
若要更好地了解 Microsoft Entra 域服务,请查看 Microsoft Entra 域服务概述 以及如何 确定 Microsoft Entra 域服务是否适合你的用例。
使用以下信息通过 RDS 部署 Microsoft Entra 域服务。
Prerequisites
在将您的标识从 Microsoft Entra ID 移至 RDS 部署之前,请将 Microsoft Entra ID 配置为保存用户标识的哈希密码。 云端原生组织无需对其目录进行任何额外的更改;然而,本地部署的组织需要允许密码哈希同步并存储到 Microsoft Entra ID 中,而这可能不符合某些组织的规定。 进行此配置更改后,用户必须重置其密码。
部署 Microsoft Entra 域服务和 RDS
使用以下步骤部署 Microsoft Entra 域服务和 RDS。
启用 Microsoft Entra 域服务。 请注意,链接的文章执行以下操作:
- 演练如何为域管理创建适当的Microsoft Entra 组。
- 突出显示何时可能必须强制用户更改其密码,以便其帐户可以使用 Microsoft Entra 域服务。
设置 RDS。 可以使用 Azure 模板或手动部署 RDS。
使用 现有 AD 模板。 请确保自定义以下内容:
Settings
资源组:使用要在其中创建 RDS 资源的资源组。
Note
现在,这必须是 Azure 资源管理器虚拟网络所在的同一资源组。
Dns 标签前缀:输入希望用户用于访问 RD Web 的 URL。
广告域名:输入Microsoft Entra 实例的完整名称,例如“contoso.onmicrosoft.com”或“contoso.com”。
广告 Vnet 名称和广告子网名称:输入在创建 Azure 资源管理器虚拟网络时使用的相同值。 这是 RDS 资源将连接到的子网。
管理员用户名 和 管理员密码:输入作为 Microsoft Entra ID 中 AAD DC 管理员 组成员的管理员用户的凭据。
Template
删除 dnsServers 的所有属性:从 Azure 快速入门模板页中选择 “编辑模板 ”后,搜索“dnsServers”并删除该属性。
例如,在删除 dnsServers 属性之前:
删除属性后,该文件是相同的:
