قم بإنشاء غابة تفرعات موارد AD DS في Azure

معرف Microsoft Entra

Microsoft Entra

Azure ExpressRoute

Azure Virtual Network

Azure VPN Gateway

توضح بنية المرجع هذه كيفية إنشاء مجال Active Directory منفصل في Azure تثق به المجالات في غابة AD المحلية.

قم بتنزيل ملف Visio لبنية "AD DS Forest".

تخزن خدمات مجال الدليل النشط (AD DS) معلومات الهوية في بنية هرمية. تُعرف العقدة العليا في الهيكل الهرمي باسم مجموعة التفرعات. تحتوي مجموعة التفرعات على مجالات، وتحتوي المجالات على أنواع أخرى من الكائنات. تنشئ بنية المرجع هذه غابة AD DS في Azure بعلاقة ثقة صادرة أحادية الاتجاه مع مجال محلي. تحتوي الغابة في Azure على مجال غير موجود محلياً. بسبب علاقة الثقة، يمكن الوثوق بعمليات تسجيل الدخول التي تم إجراؤها على المجالات المحلية للوصول إلى الموارد في مجال Azure المنفصل.

تشمل الاستخدامات النموذجية لهذه البنية الحفاظ على فصل الأمان للعناصر والهويات المحفوظة في السحابة، وترحيل المجالات الفردية من أماكن العمل إلى السحابة.

للحصول على اعتبارات إضافية، راجع اختيار حل لتكامل Active Directory الداخلي مع Azure.

التصميم

البنية لديها المكونات التالية.

الشبكة المحلية. تحتوي الشبكة المحلية على مجالات وغابة Active Directory الخاصة بها.
خوادم Active Directory. هذه هي وحدات تحكم المجال التي تطبق خدمات المجال التي تعمل كأجهزة ظاهرية في السحابة. تستضيف هذه الخوادم غابة تحتوي على مجال واحد أو أكثر، منفصلة عن تلك الموجودة في أماكن العمل.
علاقة ثقة أحادية الاتجاه. يُظهر المثال في الرسم التخطيطي ثقة أحادية الاتجاه من المجال في Azure إلى المجال المحلي. تمكّن هذه العلاقة المستخدمين المحليين من الوصول إلى الموارد في المجال في Azure، ولكن ليس العكس.
الشبكة الفرعية لـ Active Directory. تتم استضافة خوادم AD DS في شبكة فرعية منفصلة. تحمي قواعد مجموعة أمان الشبكة (NSG) خوادم AD DS وتوفر جدار حماية ضد نسبة استخدام الشبكة من مصادر غير متوقعة.
بوابة Azure. توفر بوابة Azure اتصالاً بين الشبكة المحلية وAzure VNet. يمكن أن يكون هذا اتصال VPN أو Azure ExpressRoute. لمزيد من المعلومات، راجع توصيل شبكة محلية بـ Azure باستخدام بوابة VPN.

التوصيات

للحصول على توصيات محددة حول تنفيذ Active Directory في Azure، راجع توسيع خدمات مجال Active Directory (AD DS) إلى Azure.

الثقة

يتم تضمين المجالات المحلية في غابة مختلفة عن المجالات الموجودة في السحابة. لتمكين مصادقة المستخدمين المحليين في السحابة، يجب أن تثق المجالات في Azure في مجال تسجيل الدخول في الغابة المحلية. وبالمثل، إذا كانت السحابة توفر مجال تسجيل دخول للمستخدمين الخارجيين، فقد يكون من الضروري للغابة المحلية أن تثق في مجال السحابة.

يمكنك إنشاء علاقات ثقة على مستوى الغابة عن طريق إنشاء علاقات ثقة للغابة، أو على مستوى المجال عن طريق إنشاء علاقات ثقة خارجية. تنشئ الثقة على مستوى غابة التفرعات علاقة بين جميع المجالات في غابة تفرعات اثنين. تقوم الثقة على مستوى المجال الخارجي فقط بإنشاء علاقة بين مجالين محددين. يجب عليك فقط إنشاء علاقات ثقة على مستوى المجال الخارجي بين المجالات في غابة تفرعات مختلفة.

علاقات الثقة مع Active Directory الداخلي هي فقط أحادية الاتجاه (أحادية الاتجاه). تتيح الثقة أحادية الاتجاه للمستخدمين في مجال أو غابة واحدة (المعروفة باسم المجال أو الغابة الواردة) من الوصول إلى الموارد الموجودة في غابة أخرى (المجال أو الغابة الصادرة).

يلخص الجدول التالي تكوينات الثقة لبعض السيناريوهات البسيطة:

السيناريو	الثقة محلياً	ثقة السحابة
يحتاج المستخدمون المحليون إلى الوصول إلى الموارد في السحابة، ولكن ليس العكس	اتجاه واحد، وارد	اتجاه واحد، صادر
يحتاج المستخدمون في السحابة إلى الوصول إلى الموارد الموجودة في أماكن العمل، ولكن ليس العكس	اتجاه واحد، صادر	اتجاه واحد، وارد

اعتبارات قابلية التوسع

Active Directory قابل للتحجيم تلقائياً لوحدات التحكم بالمجال التي تعد جزءاً من نفس المجال. يتم توزيع الطلبات عبر جميع وحدات التحكم داخل المجال. يمكنك إضافة وحدة تحكم مجال أخرى، وتتم مزامنتها تلقائياً مع المجال. لا تقم بتكوين موازن تحميل منفصل لتوجيه نسبة استخدام الشبكة إلى وحدات التحكم داخل المجال. تأكد من أن جميع وحدات تحكم المجال لديها ذاكرة كافية وموارد تخزين للتعامل مع قاعدة بيانات المجال. جعل جميع أجهزة التحكم بالمجال VMs بنفس الحجم.

اعتبارات التوفر

توفير وحدتي تحكم مجال على الأقل لكل مجال. يتيح هذا النسخ المتماثل التلقائي بين الخوادم. قم بإنشاء مجموعة توفر للأجهزة الافتراضية التي تعمل كخوادم Active Directory تتعامل مع كل مجال. ضع خادمين على الأقل في مجموعة الإتاحة هذه.

أيضاً، ضع في اعتبارك تعيين خادم واحد أو أكثر في كل مجال كـ خوادم رئيسية للعمليات الاحتياطية في حالة فشل الاتصال بخادم يعمل بمثابة عملية رئيسية مفردة مرنة (FSMO).

اعتبارات سهولة الإدارة

للحصول على معلومات حول اعتبارات الإدارة والمراقبة، راجع توسيع Active Directory إلى Azure.

للحصول على معلومات إضافية، راجع مراقبة خدمات مجال Active Directory. يمكنك تثبيت أدوات مثل Microsoft Systems Center على خادم مراقبة في الشبكة الفرعية للإدارة للمساعدة في أداء هذه المهام.

الاعتبارات الأمنية

علاقات الثقة على مستوى الغابة متعدية. إذا قمت بتأسيس ثقة على مستوى غابة التفرعات بين غابة تفرعات محلية وغابة تفرعات في السحابة، فسيتم توسيع هذه الثقة إلى مجالات جديدة أخرى تم إنشاؤها في أي غابة. إذا كنت تستخدم المجالات لتوفير الفصل لأغراض الأمان، ففكر في إنشاء علاقات ثقة على مستوى المجال فقط. علاقات الثقة على مستوى المجال غير متعدية.

بالنسبة لاعتبارات الأمان الخاصة بـ Active Directory، راجع قسم اعتبارات الأمان في توسيع Active Directory إلى Azure.

اعتبارات DevOps

لاعتبارات DevOps، راجع التميز التشغيلي في توسيع خدمات مجال Active Directory (AD DS) إلى Azure.

اعتبارات التكلفة

استخدم حاسبة تسعير Azure لتقدير التكاليف. تم توضيح الاعتبارات الأخرى في قسم التكلفة في Microsoft Azure Well-Architected Framework.

فيما يلي اعتبارات التكلفة للخدمات المستخدمة في هذه البنية.

خدمات مجال AD

ضع في اعتبارك الحصول على خدمات مجال Active Directory كخدمة مشتركة تستهلكها أحمال عمل متعددة لخفض التكاليف. لمزيد من المعلومات، راجع أسعار خدمات مجال Active Directory.

مدخل Microsoft Azure VPN

المكون الرئيسي لهذه البنية هو خدمة بوابة VPN. تتم محاسبتك بناءً على مقدار الوقت الذي يتم فيه توفير البوابة وإتاحتها.

جميع حركات المرور الواردة مجانية، ويتم تحصيل رسوم جميع نسبة استخدام الشبكة الصادرة. يتم تطبيق تكاليف النطاق الترددي للإنترنت على حركة مرور VPN الصادرة.

لمزيد من المعلومات، راجع أسعار VPN Gateway.

الخطوات التالية

تعرَّف على أفضل الممارسات لتوسيع نطاق AD DS الداخلي الخاص بك إلى Azure
تعرَّف على أفضل الممارسات لإنشاء بنية أساسية لـ AD FS في Azure.

مشاركة عبر