Tworzenie lasu zasobów usługi Active Directory Domain Service na platformie Azure
Ta architektura referencyjna pokazuje, jak utworzyć oddzielną domenę usługi Active Directory na platformie Azure, która jest zaufana przez domeny w lokalnym lesie usługi Active Directory.
Architecture
Pobierz plik programu Visio tej architektury.
Components
Sieć lokalna zawiera własny las i domeny usługi Active Directory.
Serwery usługi Active Directory to kontrolery domeny, które implementują usługi domenowe działające jako maszyny wirtualne w chmurze. Te serwery hostują las z co najmniej jedną domeną, która różni się od tych znajdujących się lokalnie.
Jednokierunkowa relacja zaufania umożliwia użytkownikom lokalnym dostęp do zasobów w domenie na platformie Azure. Jednak użytkownicy należący do domeny platformy Azure nie mogą uzyskiwać dostępu do zasobów w domenie lokalnej. Na przykładzie na diagramie przedstawiono jednokierunkowe zaufanie z domeny na platformie Azure do domeny lokalnej.
Podsieć usługi Active Directory to oddzielny segment sieci hostujący serwery usług Domenowych Active Directory (AD DS). Reguły sieciowej grupy zabezpieczeń chronią te serwery i zapewniają zaporę przed ruchem z nieoczekiwanych źródeł.
Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. Aby uzyskać więcej informacji, zobacz Configure ExpressRoute and site-to-site coexisting connections by using PowerShell (Konfigurowanie współistniejących połączeń między lokacjami przy użyciu programu PowerShell).
Scenario details
Usługi AD DS przechowują informacje o tożsamości w strukturze hierarchicznej. The top node in the hierarchical structure is known as a forest. Las zawiera domeny i domeny zawierają inne typy obiektów. Ta architektura referencyjna tworzy las usług AD DS na platformie Azure z jednokierunkową relacją zaufania wychodzącego z domeną lokalną. Las na platformie Azure zawiera domenę, która nie istnieje lokalnie. Ze względu na relację zaufania logowania wykonywane względem domen lokalnych mogą być zaufane w celu uzyskania dostępu do zasobów w oddzielnej domenie platformy Azure.
Potencjalne przypadki użycia
Typowe zastosowania tej architektury obejmują zachowanie separacji zabezpieczeń dla obiektów i tożsamości przechowywanych w chmurze. Obejmują one również migrację poszczególnych domen ze środowiska lokalnego do chmury.
Aby uzyskać więcej informacji, zobacz Integrowanie lokalnych domen usługi Active Directory z identyfikatorem Entra firmy Microsoft.
Recommendations
Poniższe zalecenia można zastosować do większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.
Aby uzyskać szczegółowe zalecenia dotyczące sposobu implementowania usługi Active Directory na platformie Azure, zobacz Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.
Trust
Domeny lokalne znajdują się w innym lesie niż domeny w chmurze. Aby umożliwić uwierzytelnianie użytkowników lokalnych w chmurze, domeny na platformie Azure muszą ufać domenie logowania w lesie lokalnym. Podobnie jeśli chmura udostępnia domenę logowania dla użytkowników zewnętrznych, może być konieczne, aby las lokalny ufał domenie w chmurze.
Relacje zaufania można ustanowić na poziomie lasu, tworząc relacje zaufania lasu lub na poziomie domeny, tworząc relacje zaufania zewnętrzne. Relacja zaufania na poziomie lasu tworzy relację między wszystkimi domenami w dwóch lasach. Relacja zaufania na poziomie domeny zewnętrznej tworzy relację tylko między dwiema określonymi domenami. Należy utworzyć relacje zaufania na poziomie domeny zewnętrznej tylko między domenami w różnych lasach.
Trusts with an on-premises Active Directory are only one way, or unidirectional. Jednokierunkowe zaufanie umożliwia użytkownikom w jednej domenie lub lesie, znanym jako domena lub las przychodzący, dostęp do zasobów w innej domenie lub lesie, nazywanych domeną wychodzącą lub lasem. Użytkownicy w domenie wychodzącej nie mogą uzyskiwać dostępu do zasobów w domenie przychodzącej.
Poniższa tabela zawiera podsumowanie konfiguracji zaufania dla prostych scenariuszy:
| Scenario | On-premises trust | Cloud trust |
|---|---|---|
| Użytkownicy lokalni wymagają dostępu do zasobów w chmurze, ale użytkownicy chmury nie wymagają dostępu do zasobów w środowisku lokalnym. | One-way, incoming | One-way, outgoing |
| Użytkownicy w chmurze wymagają dostępu do zasobów znajdujących się lokalnie, ale użytkownicy w środowisku lokalnym nie wymagają dostępu do zasobów w chmurze. | One-way, outgoing | One-way, incoming |
Considerations
Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. For more information, see Well-Architected Framework.
Reliability
Niezawodność pomaga zapewnić, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz
Aprowizuj co najmniej dwa kontrolery domeny dla każdej domeny. Takie podejście umożliwia automatyczną replikację między serwerami. Utwórz zestaw dostępności dla maszyn wirtualnych, które działają jako serwery usługi Active Directory obsługujące każdą domenę. Umieść co najmniej dwa serwery w tym zestawie dostępności.
Rozważ wyznaczenie co najmniej jednego serwera w każdej domenie jako wzorca operacji rezerwowych , jeśli łączność z serwerem działającym jako elastyczna rola operacji wzorca kończy się niepowodzeniem.
Zabezpieczenia
Zabezpieczenia zapewniają ochronę przed celowymi atakami i nieprawidłowym użyciem cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.
Relacje zaufania na poziomie lasu są przechodnie. Jeśli ustanowić relację zaufania na poziomie lasu między lasem lokalnym a lasem w chmurze, relacja zaufania zostanie rozszerzona na wszystkie nowe domeny utworzone w dowolnym lesie. Jeśli używasz domen do zapewnienia separacji na potrzeby zabezpieczeń, rozważ utworzenie relacji zaufania tylko na poziomie domeny. Relacje zaufania na poziomie domeny nie są przechodnie.
Aby zapoznać się z zagadnieniami dotyczącymi zabezpieczeń specyficznymi dla usługi Active Directory, zobacz sekcję Zagadnienia dotyczące zabezpieczeń w temacie Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.
Cost Optimization
Optymalizacja kosztów koncentruje się na sposobach zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.
Skorzystaj z kalkulatora cen platformy Azure , aby oszacować koszty usług używanych w tej architekturze.
Usługi domenowe Microsoft Entra
Rozważ wdrożenie usług Microsoft Entra Domain Services jako usługi udostępnionej, z których korzysta wiele obciążeń, aby obniżyć koszty. Aby uzyskać więcej informacji, porównaj samoobsługowe usługi Active Directory Domain Services, Microsoft Entra ID i zarządzane usługi Microsoft Entra Domain Services.
Azure VPN Gateway
Głównym składnikiem tej architektury jest usługa bramy sieci VPN. Opłaty są naliczane na podstawie czasu aprowizacji i dostępności bramy.
Cały ruch przychodzący jest bezpłatny i opłaty są naliczane za cały ruch wychodzący. Opłaty za przepustowość internetową są naliczane za ruch wychodzący sieci VPN.
Aby uzyskać więcej informacji, zobacz Cennik usługi VPN Gateway.
Operational Excellence
Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.
DevOps
For DevOps considerations, see Operational Excellence.
Manageability
Aby uzyskać więcej informacji na temat zagadnień związanych z zarządzaniem i monitorowaniem, zobacz Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.
Postępuj zgodnie ze wskazówkami w temacie Monitorowanie usługi Active Directory. Narzędzia, takie jak Microsoft System Center , można zainstalować na serwerze monitorowania w podsieci zarządzania, aby ułatwić wykonywanie tych zadań.
Performance Efficiency
Wydajność odnosi się do możliwości skalowania obciążenia w celu efektywnego zaspokojenia wymagań użytkowników. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.
Usługa Active Directory jest automatycznie skalowalna dla kontrolerów domeny, które są częścią tej samej domeny. Żądania są dystrybuowane na wszystkich kontrolerach w domenie. Możesz dodać inny kontroler domeny i automatycznie synchronizuje się z domeną. Nie należy konfigurować oddzielnego modułu równoważenia obciążenia w celu kierowania ruchu do kontrolerów w domenie. Upewnij się, że wszystkie kontrolery domeny mają wystarczającą ilość pamięci i zasobów magazynu do obsługi bazy danych domeny. Ustaw wszystkie maszyny wirtualne kontrolera domeny na taki sam rozmiar.
Related resources
- Poznaj najlepsze rozwiązania dotyczące rozszerzania lokalnej domeny usług AD DS na platformę Azure.
- Poznaj najlepsze rozwiązania dotyczące tworzenia infrastruktury usług Active Directory Federation Services (AD FS) na platformie Azure.