А AD DS не подходит потому что туда нельзя ввести машины, которые не в Azure (нужен вход через SSSD на инстансы в AWS)

Тогда еще вопрос - я правильно понимаю, если я в AAD Connect в signt in включу pass-throug  authentication, то я смогу авторизовываться на машинах в on-premise м в AAD?

Хм, хотя наверное проще создать AD DS, создать в Azure инстанс в том же нетворке и его поднять до контроллера домена

>Can I add domain controllers to an Azure AD Domain Services managed domain?

No. The domain provided by Azure AD Domain Services is a managed domain. You don't need to provision, configure, or otherwise manage domain controllers for this domain. These management activities are provided as a service by Microsoft. Therefore, you can't add additional domain controllers (read-write or read-only) for the managed domain.

ага, хер там

Значит придется пилить VPN между AWS и Azure

Ковыряюсь значит дальше

В AD DS никак после синка аккаунты не надо разлочивать? Пытаюсь ввести в домен машину - про 2 акка говорит, что они заблокированы, хотя ни разу под ними даже не пытался зайти в DS

Ага, похоже догадываюсь, с тех пор как я добавил из в группу админов DS синка еще не было

после добавления аккаунта нужно пассворд резет делать

чтоб хэши синканулись

Эти акки еще до домена были

Но на момент последнего синка еще не были в группе админов DS

А там как-то форс синк нельзя сделать? Чот ни в гуе ни в PS не нашел

Или частоту синка изменить хотя бы

вроде в портале можно

0 ручек

Хер там, синк прошел, не работает. Попробую нового создать

А если акк существовал еще до Azure DS - получается так же только после смены пароля синк хеша происходит? Создал нового юзера, дождался синка - с ним ввел в домен

с любым аком вроде