Azure 域服务答案

【问题标题】：Azure Domain ServicesAzure 域服务
【发布时间】：2017-09-24 04:23:53
【问题描述】：

我已经在 vnet 中设置了一个 azure 域服务，并且那里已经有一个 Win10 虚拟机。 vnet 的 DNS 也已成功更新。

我想使用我在默认 Azure AD 中创建的特定帐户“adadmin”管理域，即 adadmin@azureaddefault.onmicrosoft.com。我将该帐户添加到“AAD DC 管理员”组。但是，我无法使用该帐户将机器加入托管 AD 域。

我的理解是，在激活域服务后创建帐户应该允许创建 NTLM 哈希，以便可以使用这些帐户来管理域资源。有人在域配置过程中遇到过这个问题吗？

【问题讨论】：

你能在那个虚拟机上ping那个域名吗？
是的，我能够 ping 域，并使用 nslookup 查找 AAD DS 的 SOA 记录。这里的问题是我认为 AAD 和 AAD DS 之间没有发生帐户同步。
从那以后，我重新创建了 AAD DS 并确保名称匹配。然后，更改密码似乎可以解决问题。当我有一些带宽时，我会尝试在我公司的 msdn 订阅场景中重新创建它，以验证确实自定义名称会阻止我同步帐户。
很高兴听到您的问题已得到解决:) 我会根据我的答案更新您的解决方案，请检查一下。

【解决方案1】：

我的理解是激活域后创建帐户服务应该允许创建 NTLM 哈希，以便帐户可以用于管理域资源。

你是对的，我们可以使用AAD DC Administrators组的成员将加入机器添加到托管域，更多信息我们可以参考这个link

将用户添加到该组后，我们应该等待大约 5 分钟，然后刷新这台机器，然后使用此帐户将这台机器添加到 AAD DS。

注意：
关闭system properties并重新打开，然后使用此账号加入域。

有关将 Windows Server VM 加入 AAD DS 的更多信息，请参阅此link。

更新：

正如 Roman 所说，重新创建 AAD DS 并更改密码，解决此问题。

【讨论】：

我发现有趣的问题是我的 ADDS 域名是自定义的（我在配置步骤中缩短了它）。我已更改 AAD DC 管理员组中现有 Azure AD 帐户的密码，但仍然无法执行广告加入。我最终使用与 Azure AD 匹配的域名重新创建了整个域