Azure Windows Server 2019 虚拟机的 AAD 身份验证
AAD authentication to Azure Windows Server 2019 virtual machine
我在使用我的 AAD 用户验证我的 Azure Windows Server 2019 虚拟机时遇到问题。
根据 Microsoft 的文档:https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows,我使用 Terraform 创建了 Azure Windows Server 2019 VM,并使用以下方法安装了 Windows AAD 身份验证扩展:
provisioner "local-exec" {
command = "az vm extension set --publisher Microsoft.Azure.ActiveDirectory --name AADLoginForWindows --resource-group ${data.azurerm_resource_group.RG.name} --vm-name ${var.prefix}"
}
机器已启动,运行 扩展安装成功。
我还为用户和组分配了适当的角色,以便使用 AAD 身份验证登录该 VM。
并确保我的 VM 网络配置允许通过 TCP 端口 443 进行出站访问。
但是,当尝试使用 RDP 和我的 AAD 用户(与角色相关联)登录 VM 时,出现如上所示的错误 "The logon attempt failed"。
我正在尝试从 Windows 10 Pro VM RDP Windows 10 VM。
我的 Windows 10 Pro VM 已加入 Azure AD(与我的 AAD 用户一起)。
然而,当 RDP 从我的主 Win10Pro VM 到另一个 Windows VM 时,我收到此错误。
当尝试使用 AAD 身份验证登录 Linux 个 VM 时,一切正常。
运行 来自 Win10Pro VM 的命令 "dsregcmd /status" 给出了以上输出:
还尝试使用 "AzureAD\Username@Domain" RDP 但 git 相同的凭据错误。
可能是什么问题?
感谢您的帮助:)
对于该错误,您可以验证用于启动远程桌面连接的 Windows 10 PC 是加入了 Azure AD 还是混合 Azure AD 加入到 您的 VM 加入的同一 Azure AD 目录。有关详细信息,请参阅 document.
请注意
Remote connection to VMs joined to Azure AD is only allowed from
Windows 10 PCs that are Azure AD joined or hybrid Azure AD joined to
the same directory as the VM. Additionally, to RDP using Azure AD
credentials, the user must belong to one of the two RBAC roles,
Virtual Machine Administrator Login or Virtual Machine User Login.
已解决,我必须配置我的 RDP 来自的 Windows10Pro 和我的 RDP 加入到 Azure AD 的 Windows10Pro 与我的 AAD 用户。
只有当我将两个虚拟机与我的 AAD 用户一起加入 AAD 时,我才能与该用户进行 RDP。
因此,如果使用 AAD 凭据对 Windows VM 进行身份验证,应考虑一些步骤:
我们从中进行 RDP 的机器应该是 Windows 10.
我们RDP到的机器应该是Windows10.
AADLoginForWindows 扩展应该安装在远程 VM 上。
登录角色应与 AAD 用户/组一起分配给远程 VM。
两台机器都应该加入 Azure AD 或加入混合 Azure AD。
我在使用我的 AAD 用户验证我的 Azure Windows Server 2019 虚拟机时遇到问题。
根据 Microsoft 的文档:https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows,我使用 Terraform 创建了 Azure Windows Server 2019 VM,并使用以下方法安装了 Windows AAD 身份验证扩展:
provisioner "local-exec" {
command = "az vm extension set --publisher Microsoft.Azure.ActiveDirectory --name AADLoginForWindows --resource-group ${data.azurerm_resource_group.RG.name} --vm-name ${var.prefix}"
}
机器已启动,运行 扩展安装成功。
我还为用户和组分配了适当的角色,以便使用 AAD 身份验证登录该 VM。
并确保我的 VM 网络配置允许通过 TCP 端口 443 进行出站访问。
但是,当尝试使用 RDP 和我的 AAD 用户(与角色相关联)登录 VM 时,出现如上所示的错误 "The logon attempt failed"。
我正在尝试从 Windows 10 Pro VM RDP Windows 10 VM。
我的 Windows 10 Pro VM 已加入 Azure AD(与我的 AAD 用户一起)。
然而,当 RDP 从我的主 Win10Pro VM 到另一个 Windows VM 时,我收到此错误。 当尝试使用 AAD 身份验证登录 Linux 个 VM 时,一切正常。
运行 来自 Win10Pro VM 的命令 "dsregcmd /status" 给出了以上输出:
还尝试使用 "AzureAD\Username@Domain" RDP 但 git 相同的凭据错误。
可能是什么问题? 感谢您的帮助:)
对于该错误,您可以验证用于启动远程桌面连接的 Windows 10 PC 是加入了 Azure AD 还是混合 Azure AD 加入到 您的 VM 加入的同一 Azure AD 目录。有关详细信息,请参阅 document.
请注意
Remote connection to VMs joined to Azure AD is only allowed from Windows 10 PCs that are Azure AD joined or hybrid Azure AD joined to the same directory as the VM. Additionally, to RDP using Azure AD credentials, the user must belong to one of the two RBAC roles, Virtual Machine Administrator Login or Virtual Machine User Login.
已解决,我必须配置我的 RDP 来自的 Windows10Pro 和我的 RDP 加入到 Azure AD 的 Windows10Pro 与我的 AAD 用户。 只有当我将两个虚拟机与我的 AAD 用户一起加入 AAD 时,我才能与该用户进行 RDP。
因此,如果使用 AAD 凭据对 Windows VM 进行身份验证,应考虑一些步骤:
我们从中进行 RDP 的机器应该是 Windows 10.
我们RDP到的机器应该是Windows10.
AADLoginForWindows 扩展应该安装在远程 VM 上。
登录角色应与 AAD 用户/组一起分配给远程 VM。
两台机器都应该加入 Azure AD 或加入混合 Azure AD。