Bạn đang triển khai AD Domain Controller trên Azure và phân vân chọn kiểu trust nào cho hợp lý? Đây là bảng vàng dành cho bạn!

Trong hạ tầng Hybrid, việc thiết lập mối quan hệ Trust giữa domain controller tại Azure và On-prem là yếu tố quyết định trải nghiệm truy cập và xác thực của người dùng.

Dưới đây là các kịch bản điển hình:

1. Người dùng tại On-prem cần truy cập tài nguyên trên Azure (ví dụ như ứng dụng nội bộ, máy chủ file, VM chạy trên Azure):
   • Cấu hình trust tại On-prem: One-way, incoming (cho phép On-prem nhận xác thực từ Azure)
   • Cấu hình trust tại Azure: One-way, outgoing (Azure gửi yêu cầu xác thực sang On-prem)
2. Người dùng ở Azure (VDI, App Services, hoặc nhân viên làm việc từ xa) cần truy cập tài nguyên nội bộ tại On-prem (như cơ sở dữ liệu, ERP):
   • Cấu hình trust tại On-prem: One-way, outgoing
   • Cấu hình trust tại Azure: One-way, incoming
3. Kịch bản phổ biến trong doanh nghiệp: Cả hai bên đều cần truy cập lẫn nhau (hybrid full-access):
   • Cấu hình Two-way trust trên cả Azure và On-prem, cho phép xác thực hai chiều.

---

Lưu ý quan trọng cho anh em mới bắt đầu:

• Trust không tự động mở port! Đảm bảo bạn đã mở đúng các cổng RPC/LDAP/SMB qua VPN hoặc ExpressRoute giữa hai bên.
• Kiểm tra phân quyền SID filtering và selective authentication nếu bạn muốn kiểm soát mức truy cập chi tiết hơn.
• Môi trường test nên được thiết lập trước để kiểm chứng trước khi áp dụng production.

---

Ví dụ thực tế:


Công ty A triển khai hệ thống ERP ở On-premises nhưng đồng thời mở rộng hệ thống CRM mới lên Azure. Nhân viên cần truy cập chéo lẫn nhau. Vậy giải pháp là gì?

→ Thiết lập Two-way trust, cấu hình domain controller replica trên Azure, và đảm bảo route mạng đã thông suốt giữa hai vùng.

---

Bạn đã triển khai trust giữa Azure và On-prem chưa? Gặp khó ở bước nào? Hãy chia sẻ để cùng cộng đồng giải quyết nhé!

vnpro #HybridAD #AzureVM #DomainController #TrustRelationship MCSA AZURE AWS #SysAdmin #CloudReady #AzureInfrastructure
​