Erstellen einer Active Directory Domain Service-Ressourcengesamtstruktur in Azure
Diese Referenzarchitektur zeigt, wie Sie eine separate Active Directory-Domäne in Azure erstellen, die von Domänen in Ihrer lokalen Active Directory-Gesamtstruktur als vertrauenswürdig eingestuft wird.
Architecture
Laden Sie eine Visio-Datei dieser Architektur herunter.
Components
Das lokale Netzwerk enthält eine eigene Active Directory-Gesamtstruktur und -domänen.
Active Directory-Server sind Domänencontroller, die Domänendienste implementieren, die als virtuelle Computer (VMs) in der Cloud ausgeführt werden. Diese Server hosten eine Gesamtstruktur mit einer oder mehreren Domänen, die sich von den lokalen Domänen unterscheiden.
Eine unidirektionale Vertrauensstellung ermöglicht lokalen Benutzern den Zugriff auf Ressourcen in der Domäne in Azure. Benutzer, die zur Azure-Domäne gehören, können jedoch nicht auf Ressourcen in der lokalen Domäne zugreifen. Das Beispiel im Diagramm zeigt eine unidirektionale Vertrauensstellung aus der Domäne in Azure zur lokalen Domäne.
Das Active Directory-Subnetz ist ein separates Netzwerksegment, in dem die Active Directory Domain Services (AD DS)-Server gehostet werden. Netzwerksicherheitsgruppenregeln schützen diese Server und stellen eine Firewall vor Datenverkehr aus unerwarteten Quellen bereit.
Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. Weitere Informationen finden Sie unter Configure ExpressRoute and site-to-site coexisting connections by using PowerShell.
Scenario details
AD DS speichert Identitätsinformationen in einer hierarchischen Struktur. The top node in the hierarchical structure is known as a forest. Eine Gesamtstruktur enthält Domänen und Domänen andere Objekttypen. Diese Referenzarchitektur erstellt eine AD DS-Gesamtstruktur in Azure mit einer unidirektionale ausgehenden Vertrauensstellung mit einer lokalen Domäne. Die Gesamtstruktur in Azure enthält eine Domäne, die nicht lokal vorhanden ist. Aufgrund der Vertrauensstellung können Anmeldungen für lokale Domänen für den Zugriff auf Ressourcen in der separaten Azure-Domäne als vertrauenswürdig eingestuft werden.
Potenzielle Anwendungsfälle
Typische Verwendungsmöglichkeiten für diese Architektur umfassen die Aufrechterhaltung der Sicherheitstrennung für Objekte und Identitäten, die in der Cloud gespeichert sind. Sie umfassen auch die Migration einzelner Domänen von der lokalen Bereitstellung in die Cloud.
Weitere Informationen finden Sie unter Integrieren lokaler Active Directory-Domänen mit Microsoft Entra ID.
Recommendations
Sie können die folgenden Empfehlungen auf die meisten Szenarien anwenden. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.
Spezifische Empfehlungen zur Implementierung von Active Directory in Azure finden Sie unter Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk.
Trust
Die lokalen Domänen sind in einer anderen Gesamtstruktur als die Domänen in der Cloud enthalten. Um die Authentifizierung lokaler Benutzer in der Cloud zu aktivieren, müssen die Domänen in Azure der Anmeldedomäne in der lokalen Gesamtstruktur vertrauen. Wenn die Cloud eine Anmeldedomäne für externe Benutzer bereitstellt, ist es möglicherweise erforderlich, dass die lokale Gesamtstruktur der Clouddomäne vertraut.
Sie können Vertrauensstellungen auf Gesamtstrukturebene einrichten, indem Sie Gesamtstrukturvertrauensstellungen oder auf Domänenebene erstellen, indem Sie externe Vertrauensstellungen erstellen. Eine Vertrauensstellung auf Gesamtstrukturebene erstellt eine Beziehung zwischen allen Domänen in zwei Gesamtstrukturen. Eine Vertrauensstellung auf externer Domänenebene erstellt nur eine Beziehung zwischen zwei angegebenen Domänen. Sie sollten nur Vertrauensstellungen auf externer Domänenebene zwischen Domänen in verschiedenen Gesamtstrukturen erstellen.
Trusts with an on-premises Active Directory are only one way, or unidirectional. Eine unidirektionale Vertrauensstellung ermöglicht Benutzern in einer Domäne oder Gesamtstruktur, die als eingehende Domäne oder Gesamtstruktur bezeichnet wird, auf Ressourcen in einer anderen Domäne oder Gesamtstruktur zuzugreifen, die als ausgehende Domäne oder Gesamtstruktur bezeichnet wird. Benutzer in der ausgehenden Domäne können nicht auf Ressourcen in der eingehenden Domäne zugreifen.
In der folgenden Tabelle sind Vertrauenskonfigurationen für einfache Szenarien zusammengefasst:
| Scenario | On-premises trust | Cloud trust |
|---|---|---|
| Lokale Benutzer benötigen Zugriff auf Ressourcen in der Cloud, Cloudbenutzer benötigen jedoch keinen Zugriff auf Ressourcen in der lokalen Umgebung. | One-way, incoming | One-way, outgoing |
| Benutzer in der Cloud benötigen Zugriff auf Ressourcen, die sich lokal befinden, aber Benutzer in der lokalen Umgebung benötigen keinen Zugriff auf Ressourcen in der Cloud. | One-way, outgoing | One-way, incoming |
Considerations
Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. For more information, see Well-Architected Framework.
Reliability
Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.
Stellen Sie mindestens zwei Domänencontroller für jede Domäne bereit. Dieser Ansatz ermöglicht die automatische Replikation zwischen Servern. Erstellen Sie einen Verfügbarkeitssatz für die virtuellen Computer, die als Active Directory-Server fungieren, die jede Domäne behandeln. Platzieren Sie mindestens zwei Server in diesem Verfügbarkeitssatz.
Erwägen Sie, einen oder mehrere Server in jeder Domäne als Standby-Betriebsmaster zu entwerfen, wenn die Verbindung mit einem Server, der als flexible Masteroperationsrolle fungiert, fehlschlägt.
Security
Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für sicherheitsrelevante.
Vertrauensstellungen auf Gesamtstrukturebene sind transitiv. Wenn Sie eine Vertrauensstellung auf Gesamtstrukturebene zwischen einer lokalen Gesamtstruktur und einer Gesamtstruktur in der Cloud einrichten, erstreckt sich die Vertrauensstellung auf alle neuen Domänen, die in beiden Gesamtstrukturen erstellt wurden. Wenn Sie Domänen verwenden, um eine Trennung für Sicherheitszwecke bereitzustellen, sollten Sie nur Vertrauensstellungen auf Domänenebene erstellen. Vertrauensstellungen auf Domänenebene sind nicht transitiv.
Informationen zu Active Directory-spezifischen Sicherheitsaspekten finden Sie im Abschnitt "Sicherheitsüberlegungen" in der Bereitstellung von AD DS in einem virtuellen Azure-Netzwerk.
Cost Optimization
Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung der Kostenoptimierung.
Verwenden Sie den Azure-Preisrechner , um die Kosten für die in dieser Architektur verwendeten Dienste zu schätzen.
Microsoft Entra Domain Services
Erwägen Sie die Bereitstellung von Microsoft Entra Domain Services als gemeinsam genutzten Dienst, den mehrere Workloads nutzen, um Kosten zu senken. Weitere Informationen erhalten Sie im Vergleich zu selbstverwalteten Active Directory-Domänendiensten, Microsoft Entra-ID und verwalteten Microsoft Entra Domain Services.
Azure VPN-Gateway
Die Hauptkomponente dieser Architektur ist der VPN-Gatewaydienst. Sie werden basierend auf dem Zeitraum belastet, in dem das Gateway bereitgestellt und verfügbar ist.
Der gesamte eingehende Datenverkehr ist kostenlos und der gesamte ausgehende Datenverkehr wird in Rechnung gestellt. Die Kosten der Internetbandbreite werden auf ausgehenden VPN-Datenverkehr angewendet.
Weitere Informationen finden Sie unter VPN Gateway: Preise.
Operational Excellence
Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung von Operational Excellence.
DevOps
For DevOps considerations, see Operational Excellence.
Manageability
Weitere Informationen zu Verwaltungs- und Überwachungsaspekten finden Sie unter Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk.
Folgen Sie den Anweisungen in Monitor Active Directory. Sie können Tools wie Microsoft System Center auf einem Überwachungsserver im Verwaltungssubnetz installieren, um diese Aufgaben auszuführen.
Performance Efficiency
Die Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Workload, die Anforderungen der Benutzer effizient zu erfüllen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für die Leistungseffizienz.
Active Directory ist für Domänencontroller, die Teil derselben Domäne sind, automatisch skalierbar. Anforderungen werden über alle Controller innerhalb einer Domäne verteilt. Sie können einen anderen Domänencontroller hinzufügen und automatisch mit der Domäne synchronisiert werden. Konfigurieren Sie kein separates Lastenausgleichsmodul, um den Datenverkehr an Controller innerhalb der Domäne zu leiten. Stellen Sie sicher, dass alle Domänencontroller über ausreichend Arbeitsspeicher und Speicherressourcen verfügen, um die Domänendatenbank zu verarbeiten. Machen Sie alle VMs des Domänencontrollers zur gleichen Größe.
Related resources
- Erfahren Sie mehr über die bewährten Methoden zum Erweitern Ihrer lokalen AD DS-Domäne auf Azure.
- Erfahren Sie mehr über die bewährten Methoden zum Erstellen einer Active Directory-Verbunddienste (AD FS)-Infrastruktur in Azure.