一般情況下自己為了學習 dyamics 365, 需要安裝一個虛擬機,在虛擬機上安裝一個環境。這個環境一般有成本限制會將所有的組件都安裝到一台機器上,叫做 FullServer 既有 ad (activity dictionary)服務,也有 AD Domain Services,SQL SERVER 數據庫,Dynamics 365也是前端和異步服務數據庫全部安裝在一台服務器上。這個環境安裝好,會拿來給客户演示,或者自己學習。但是時間一長特別容易忘記密碼,的如果了密碼所有的服務都會停止。
另外所有的服務全部安裝在一台服務器上也容易將簡單的狀況搞的複雜。不容易理解產品。所以如果能把一些服務拆出來安裝會有很大的好處。
正在這個時候,瞭解到 windows azure 這個雲平台,這個真是了不起的平台,windows azure 提供了一整套的解決方案解決企業遇到的痛點。網關服務、存儲服務、計算機服務、網絡服務、雲數據庫服務、及我們這次要説的aad Domain 服務。
這次有機會使用了aad domain 服務,步驟的話根據官方文檔使用設置域服務,網絡DNS設置。
這個聯接是如何創建一個域服務,這個過程應該注意的是,你在add 裏設置的服務會自動同步你的域服務中。但是密碼不會同步不,需要在域服務設置完成之後,用户手動更新一次密碼,或都安裝一個域賬號同步工具,使用power shell 腳本同步aad裏的賬號密碼。
https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-create-instance
下邊是如何將一個現有的網絡加到 domain services 服務中,設置dns 服務。這個是因為我先創建了虛擬機,另外默認也創建了一個虛擬網絡,為了這兩個虛擬網絡通信,需要設置對等網絡通信
https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-configure-networking#configure-virtual-network-peering
https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/tutorial-configure-networking
設置好網絡後就是將虛擬機加入到域裏了,這裏和傳統的虛擬機加域沒有什麼不一樣,只要在第一步正確設置好域服務,並且域的管理員賬號重設過密碼就可以
https://docs.microsoft.com/zh-cn/azure/active-directory-domain-services/join-windows-vm
數據庫的安裝規則:
安裝Dynamics 365 服務的時候需要SQL Server 2016 SP2 的版本,需要Sql Server DataEngin ,Fulltext Index ,Reporting Services 這些基本服務就可以,安裝太多服務比較浪費虛擬機資源,畢竟在一台機器上安裝內存和CPU 影響比較大。
安裝Dynamics 365 規劃
最重要的就是賬號規劃,不同的環境使用的賬號一樣要做區分。生產上的安裝部署的賬號、產品運行的賬號一定要規劃清楚。防止後期賬號安全隱患。
安全規劃:需要不同的服務分配不同的賬號。並且每個賬號給的權限都是相對較小。應用服務的賬號和普通用户的賬號區分開
https://docs.microsoft.com/zh-cn/dynamics365/customerengagement/on-premises/deploy/security-considerations-for-microsoft-dynamics-365
在azure 上創建的計算機除了計算機本身有防火牆,對外的公網也有一個安全路由表,管理端口訪問權限。
通過這次使用aad domain services 來做 D365的 域控服務。後面會驗證這些用户能不能使用aad 上的多重身份認證來登錄CRM。配置一下ADFS 後應該就可以達到我想要的目的了。
另外告訴大家寫這篇博客是在ubantu操作系統上寫的,現在windows azure 上對linux 服務器支持的也特別好,所以學習一下linux 對了解整個azure 服務是必不可少的。做為傳統的web 開發都,流行的k8s服務框架對我來説非常有興趣,windows azure 也非常靈活的支持了這種服務架構。只需要不到10行代碼,就可以讓你的應用在k8s運行。這也是非常吸引我學習使用 windows azure 特別大的動力之一
