none
Usar AD na Nuvem para autenticar maquinas locais. RRS feed

  • Pergunta

  • Boa Tarde!

    Estou com um projeto para empresa no qual levarei toda infra para a nuvem, criando uma VPN s2s com o azure e usando AD direto na nuvem.

    Tenho como usar este serviço? ou seja autenticar na nuvem minhas maquinas do escritório?

    Fazer como que meus computadores trabalhassem como se o AD fosse local, tem um serviço para isso ou tenho que subir uma maquina virtual mesmo?

    Abraços!


    Airton Munaretto

    sexta-feira, 2 de janeiro de 2015 17:07

Respostas

  • Olá Airton,

    Neste seu caso está correto. Você deve deixa um controlador de domínio (DC) no seu ambiente e criar um outro DC em uma máquina virtual (VM) no Azure. A replicação do AD entre a rede do seu escritório e do Azure deve ser feita através da VPN Site-to-Site.

    Respondendo sua segunda pergunta primeiro, sobre o Azure Active Directory, na realidade ele não possui a mesma funcionalidade do Active Directory que você usa no escritório. A ideia do Azure Active Directory é você fazer integrações de autenticação para aplicativos locais e na nuvem com o Active Directory do seu escritório (On-Premises). É um componente mais utilizado pelo pessoal de desenvolvimento para integrar aplicações com o Active Directory que vc possui. Existe um link que ele descreve os cenários de utilização do Azure Active Directory com exemplos de cenários. Ver:
    Cenários de autenticação do AD do Azure
    http://msdn.microsoft.com/pt-BR/library/azure/dn499820.aspx

    Sumarizando, no seu caso você vai precisar de uma VM no Azure com a função de DC.

    Quanto a sua pergunta sobre VIP que está associado com o IP público do Serviço da Nuvem que toda vez que você faz um dealocação de um VM ele muda, isso é um comportamento esperado e padrão do Azure. Existe uma forma de criar uma reserva do VIP para que não ocorra este comportamento. Existe um documento de como realizar a reserva. Você pode encontrar aqui:

    Endereços IP Reservados
    http://msdn.microsoft.com/pt-br/library/azure/dn690120.aspx

    Vale lembrar que o procedimento funciona apenas no processo de criação do serviço de nuvem e não pode ser utilizado para serviços de nuvem já existentes. Neste caso, eu recomendaria você executar o procedimento criando um novo serviço de nuvem e migrar sua maquina virtual de uma para outra se já estive em produção. Caso não esteja em produção apenas crie as novas VMs no serviço de nuvem pelo qual o procedimento acima foi criado.

    Por favor me avise se tiver mais alguma dúvida.

    Att.
    Daniel Mauser

    sexta-feira, 16 de janeiro de 2015 21:17

Todas as Respostas

  • Alguém?

    Airton Munaretto

    terça-feira, 6 de janeiro de 2015 10:20
  • Olá Airton,

    Neste caso você pode instalar uma Máquina Virtual no Azure com a função de controlador de domínio. Como está seu ambiente no escritório hoje? Você tem AD? Tem algumas considerações que deveremos levar em conta, se sua ideia é deixar todos os servidores no Azure e conectar a sua empresa através de VPN Site para Site talvez isso não seja ideal do ponto de vista de disponibilidade. Talvez deixar um AD no escritório para caso haja alguma indisponibilidade na sua conectividade de Internet não interfira no procedimento de logon dos usuários.

    Deixe-me sabendo qual seu objetivo que terei o prazer de te ajudar as esclarecer suas dúvidas.

    Att.
    Daniel Mauser

    sexta-feira, 16 de janeiro de 2015 16:19
  • Hoje estamos com AD local, ambiente padrão mesmo.

    A ideia seria colocar o ambiente inteiro na nuvem deixando local um ad somente para redundância mesmo, neste tempo fiz alguns testes e encontrei algumas dificuldades que vou listar abaixo.

    1- Existe como definir IP FIXO publico, pois como acesso vários clientes tenho q ter um IP fixo para liberar nos clientes, visto que o "VIP" altera sempre que desaloco a maquina.

    2- No Azure existe uma parte ali Azure Active Directory, para que serve? não consigo usar ele como meu ad?

    Agora que me lembro nas duvidas é isso.

    A SIM CLARO! MUITO OBRIGADO PELA ATENÇÃO


    Airton Munaretto


    sexta-feira, 16 de janeiro de 2015 16:34
  • Olá Airton,

    Neste seu caso está correto. Você deve deixa um controlador de domínio (DC) no seu ambiente e criar um outro DC em uma máquina virtual (VM) no Azure. A replicação do AD entre a rede do seu escritório e do Azure deve ser feita através da VPN Site-to-Site.

    Respondendo sua segunda pergunta primeiro, sobre o Azure Active Directory, na realidade ele não possui a mesma funcionalidade do Active Directory que você usa no escritório. A ideia do Azure Active Directory é você fazer integrações de autenticação para aplicativos locais e na nuvem com o Active Directory do seu escritório (On-Premises). É um componente mais utilizado pelo pessoal de desenvolvimento para integrar aplicações com o Active Directory que vc possui. Existe um link que ele descreve os cenários de utilização do Azure Active Directory com exemplos de cenários. Ver:
    Cenários de autenticação do AD do Azure
    http://msdn.microsoft.com/pt-BR/library/azure/dn499820.aspx

    Sumarizando, no seu caso você vai precisar de uma VM no Azure com a função de DC.

    Quanto a sua pergunta sobre VIP que está associado com o IP público do Serviço da Nuvem que toda vez que você faz um dealocação de um VM ele muda, isso é um comportamento esperado e padrão do Azure. Existe uma forma de criar uma reserva do VIP para que não ocorra este comportamento. Existe um documento de como realizar a reserva. Você pode encontrar aqui:

    Endereços IP Reservados
    http://msdn.microsoft.com/pt-br/library/azure/dn690120.aspx

    Vale lembrar que o procedimento funciona apenas no processo de criação do serviço de nuvem e não pode ser utilizado para serviços de nuvem já existentes. Neste caso, eu recomendaria você executar o procedimento criando um novo serviço de nuvem e migrar sua maquina virtual de uma para outra se já estive em produção. Caso não esteja em produção apenas crie as novas VMs no serviço de nuvem pelo qual o procedimento acima foi criado.

    Por favor me avise se tiver mais alguma dúvida.

    Att.
    Daniel Mauser

    sexta-feira, 16 de janeiro de 2015 21:17