Nasazení AD DS ve virtuální síti Azure

Microsoft Entra

Azure Virtual Network

Tato architektura ukazuje, jak rozšířit místní Active Directory doménu do Azure za účelem poskytování distribuovaných ověřovacích služeb.

Architektura

Diagram se skládá ze dvou částí, které jsou označené jako místní síť a virtuální síť. Oddíl místní sítě ukazuje bránu, která má obousměrné připojení ze serverů služby Active Directory k podsíti brány v části virtuální sítě. Šipka ukazuje z této brány do pole, které představuje podsíť aplikace. Toto pole obsahuje ikonu, která představuje skupiny zabezpečení sítě (NSG) a další bránu, která se připojuje ke dvěma virtuálním počítačům. Šipka, která představuje body žádosti o ověření z virtuálních počítačů do pole s popiskem podsítě služby AD DS. Toto pole obsahuje ikonu, která představuje skupiny zabezpečení sítě a skupinu dvou serverů AD DS. V části místní sítě je šipka označená jako veřejné IP body z ikony, která představuje internet k virtuálnímu počítači v části virtuální sítě. Tento virtuální počítač je uvnitř boxu označené podsítě správy. Pole obsahuje také skupiny zabezpečení sítě a jump box. Tečkovaná čára, která představuje Azure DDoS Protection, obklopuje část virtuální sítě.

Stáhněte si soubor aplikace Visio s touto architekturou.

Tato architektura rozšiřuje hybridní síťovou architekturu zobrazenou v připojení místní sítě k Azure pomocí brány VPN.

Workflow

Následující pracovní postup odpovídá předchozímu diagramu:

• Místní síť: Místní síť zahrnuje místní servery služby Active Directory, které můžou provádět ověřování a autorizaci pro komponenty umístěné místně.

• Servery služby Active Directory: Tyto servery jsou řadiče domény, které implementují adresářové služby, které běží jako virtuální počítače v cloudu. Můžou poskytovat ověřování komponent, které běží ve vaší virtuální síti Azure.

• Podsíť služby Active Directory: Servery služby Active Directory Domain Services (AD DS) jsou hostované v samostatné podsíti. Pravidla skupiny zabezpečení sítě (NSG) pomáhají chránit servery SLUŽBY AD DS a poskytovat bránu firewall proti provozu z neočekávaných zdrojů.

• Synchronizace služby Azure VPN Gateway a Active Directory: Vpn Gateway poskytuje připojení mezi místní sítí a službou Azure Virtual Network. Toto připojení může být připojení VPN nebo přes Azure ExpressRoute. Veškeré žádosti o synchronizaci mezi servery služby Active Directory v cloudu a místními servery prochází skrze bránu. Trasy definované uživatelem zpracovávají směrování pro místní provoz, který předává do Azure.

Komponenty

• Microsoft Entra ID je služba podnikové identity, která poskytuje jednotné přihlašování, vícefaktorové ověřování a podmíněný přístup Microsoft Entra. V této architektuře poskytuje Microsoft Entra ID bezpečnější přístup ke cloudovým aplikacím a službám.

• VPN Gateway je služba, která používá brány virtuální sítě k odesílání šifrovaného provozu mezi virtuální sítí Azure a místními umístěními přes veřejný internet. V této architektuře služba VPN Gateway umožňuje zabezpečenému toku synchronizačního provozu služby Active Directory mezi prostředími.

• ExpressRoute je služba, kterou můžete použít k rozšíření místních sítí do cloudu Microsoftu přes privátní připojení pomocí poskytovatele připojení. V této architektuře je ExpressRoute alternativou k připojením VPN pro scénáře, které vyžadují větší šířku pásma a nižší latenci.

• Virtuální síť je základním stavebním blokem privátních sítí v Azure. Můžete ho použít k povolení vzájemné komunikace prostředků Azure, jako jsou virtuální počítače, internetu a místních sítí. V této architektuře podporuje virtuální síť replikaci a ověřování domény.

Podrobnosti scénáře

Pokud je vaše aplikace hostovaná částečně místně a částečně v Azure, může být replikace služby AD DS v Azure efektivnější. Tato replikace může snížit latenci způsobenou odesíláním žádostí o ověření z cloudu zpět do instancí služby AD DS, které běží místně.

Potenciální případy použití

Tato architektura se běžně používá při připojení VPN nebo ExpressRoute k místním virtuálním sítím a virtuálním sítím Azure. Tato architektura také podporuje obousměrnou replikaci, což znamená, že změny je možné provést místně nebo v cloudu a oba zdroje jsou konzistentní. Typické použití této architektury zahrnuje hybridní aplikace, ve kterých se funkce distribuují mezi místní prostředí a aplikace a služby a služby, které provádějí ověřování pomocí služby Active Directory.

Doporučení

Následující doporučení můžete použít pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Doporučení pro virtuální počítače

Určete požadavky na velikost virtuálního počítače na základě očekávaného objemu žádostí o ověření. Jako výchozí bod použijte specifikace počítačů, které hostují službu AD DS místně, a přiřaďte je k velikostem virtuálních počítačů Azure. Po nasazení aplikace monitorujte využití a vertikální navýšení nebo snížení kapacity na základě skutečného zatížení virtuálních počítačů. Další informace najdete v tématu Plánování kapacity pro službu AD DS.

Vytvořte samostatný virtuální datový disk pro ukládání databáze, protokolů a složky systémového svazku (sysvol) pro službu Active Directory. Neukládejte tyto položky na stejný disk jako operační systém. Datové disky jsou ve výchozím nastavení připojené k virtuálnímu počítači pomocí ukládání do mezipaměti pro zápis. Tento druh mezipaměti však může být v konfliktu s požadavky služby AD DS. Z tohoto důvodu nastavte nastavení preference mezipaměti hostitele datového disku na Žádná.

Nasaďte aspoň dva virtuální počítače se službou AD DS jako řadiče domény a přidejte je do různých zón dostupnosti. Pokud nejsou zóny dostupnosti v dané oblasti dostupné, nasaďte virtuální počítače ve skupině dostupnosti.

Doporučení pro sítě

Nakonfigurujte síťové rozhraní virtuálního počítače (NIC) pro každý řadič domény se statickou privátní IP adresou místo použití protokolu DHCP (Dynamic Host Configuration Protocol). Přiřazením statické IP adresy přímo k virtuálnímu počítači můžou klienti dál kontaktovat řadič domény i v případě, že služba DHCP není k dispozici. Další informace najdete v tématu Vytvoření virtuálního počítače, který používá statickou privátní IP adresu.

Poznámka:

Nenakonfigurujte síťovou kartu virtuálního počítače pro žádnou službu AD DS pomocí veřejné IP adresy. Další informace najdete v tématu Aspekty zabezpečení.

Skupina zabezpečení sítě podsítě služby Active Directory vyžaduje pravidla pro povolení příchozího provozu z místního a odchozího provozu do místního prostředí. Další informace najdete v tématu Konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.

Pokud mají nové virtuální počítače řadiče domény také roli serverů DNS (Domain Name System), doporučujeme je nakonfigurovat jako vlastní servery DNS na úrovni virtuální sítě, jak je vysvětleno v tématu Změna serverů DNS. Tuto konfiguraci byste měli použít pro virtuální síť, která je hostitelem nových řadičů domény a partnerských sítí, kde ostatní virtuální počítače musí překládat názvy domén služby Active Directory. Další informace najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure.

Pro počáteční konfiguraci možná budete muset upravit síťovou kartu jednoho z řadičů domény v Azure tak, aby odkazovat na místní řadič domény jako primární zdroj DNS.

Zahrnutí ip adresy do seznamu serverů DNS zlepšuje výkon a zvyšuje dostupnost serverů DNS. Zpoždění spuštění ale může nastat, pokud je server DNS také řadičem domény a odkazuje pouze na sebe nebo odkazuje na sebe jako první pro překlad názvů.

Proto při konfiguraci adresy zpětné smyčky na adaptéru buďte opatrní, pokud je server také řadičem domény. Možná budete muset přepsat nastavení DNS síťové karty v Azure, aby odkazoval na jiný řadič domény hostovaný v Azure nebo místně pro primární server DNS. Adresa zpětné smyčky by měla být nakonfigurovaná pouze jako sekundární nebo terciární server DNS na řadiči domény.

Lokalita adresářové služby Active Directory

Lokalita ve službě AD DS představuje fyzické umístění, síť nebo kolekci zařízení. Pomocí lokalit služby AD DS můžete spravovat replikaci databáze služby AD DS seskupením objektů služby AD DS, které jsou umístěné blízko sebe a připojené vysokorychlostní sítí. Služba AD DS obsahuje logiku pro výběr nejlepší strategie pro replikaci databáze SLUŽBY AD DS mezi lokalitami.

Doporučujeme vytvořit lokalitu služby AD DS, včetně podsítí definovaných pro vaši aplikaci v Azure. Pak můžete nakonfigurovat propojení lokality mezi místními lokalitami služby AD DS. Služba AD DS automaticky provádí nejúčinnější možnou replikaci databáze. Tato replikace databáze nevyžaduje moc práce nad rámec počáteční konfigurace.

Hlavní operační server služby Active Directory

Roli hlavního operačního serveru můžete přiřadit řadičům domény služby AD DS, aby podporovaly konzistenci při kontrole mezi instancemi replikovaných databází služby AD DS. Pět rolí hlavního operačního serveru jsou hlavní server schématu, hlavní server pojmenování domény, hlavní server relativního identifikátoru, emulátor hlavního serveru primárního řadiče domény a hlavní server infrastruktury. Další informace naleznete v tématu Plánování umístění role hlavního operačního serveru.

Doporučujeme také poskytnout alespoň dvě nové řadiče domény Azure roli globálního katalogu (GC). Další informace naleznete v tématu Plánování umístění serveru GC.

Sledování

Monitorujte prostředky virtuálních počítačů řadiče domény a služby AD DS a vytvořte plán pro rychlé opravy problémů. Další informace naleznete v tématu Monitorování služby Active Directory. Můžete také nainstalovat nástroje, jako je Microsoft Systems Center , na monitorovací server, které vám pomůžou s prováděním těchto úloh.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Spolehlivost

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

Nasaďte virtuální počítače, na kterých běží služba AD DS, do aspoň dvou zón dostupnosti. Pokud v dané oblasti nejsou dostupné zóny dostupnosti, použijte skupiny dostupnosti. V závislosti na vašich požadavcích zvažte také přiřazení role pohotovostního hlavního operačního serveru alespoň k jednomu serveru nebo více. Pohotovostní hlavní operační server je aktivní kopie hlavního operačního serveru, která může během převzetí služeb při selhání nahradit server primárního operačního serveru.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Servery AD DS poskytují ověřovací služby a jsou atraktivním cílem útoků. Chcete-li je zabezpečit, zabraňte přímému připojení k internetu tím, že servery SLUŽBY AD DS umístíte do samostatné podsítě se skupinou zabezpečení sítě jako bránou firewall. Ukončete všechny porty na serverech SLUŽBY AD DS s výjimkou portů, které jsou nezbytné pro ověřování, autorizaci a synchronizaci serverů. Další informace najdete v tématu Konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.

K šifrování disku, který je hostitelem databáze AD DS, použijte Nástroj BitLocker nebo Azure Disk Encryption.

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS, které pomáhají chránit před útoky DDoS. Ochranu před útoky DDoS byste měli povolit v jakékoli hraniční virtuální síti.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsané v části Optimalizace nákladů v Well-Architected Frameworku.

Následující části popisují aspekty nákladů pro služby, které tato architektura používá.

Doménové služby Microsoft Entra

Zvažte, jestli microsoft Entra Domain Services není sdílená služba spotřebovaná více úlohami, aby se snížily náklady. Další informace najdete v tématu Domain Services – ceny.

Brána VPN

Brána VPN Gateway je hlavní součástí této architektury. Účtují se vám poplatky podle času, kdy je brána zřízená a dostupná.

Veškerý příchozí provoz je bezplatný a veškerý odchozí provoz se účtuje. Pro odchozí provoz VPN se účtují náklady na šířku internetového pásma.

Další informace najdete v tématu o cenách služby VPN Gateway.

Virtual Network

Virtuální síť je zdarma. Každé předplatné může vytvářet až 1 000 virtuálních sítí ve všech oblastech. Veškerý provoz v rámci hranic virtuální sítě je bezplatný, takže komunikace mezi dvěma virtuálními počítači ve stejné virtuální síti je bezplatná.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

• Použití infrastruktury jako postupů kódu ke zřízení a konfiguraci síťové a bezpečnostní infrastruktury. Jednou z možností je šablony Azure Resource Manageru.

• Izolujte úlohy, které umožňují DevOps provádět kontinuální integraci a průběžné doručování (CI/CD), protože každá úloha je přidružená a spravovaná odpovídajícím týmem DevOps.

V této architektuře se celá virtuální síť, která zahrnuje různé aplikační vrstvy, jump box pro správu a Domain Services, identifikuje jako jednu izolovanou úlohu.

Službu AD DS na virtuálních počítačích můžete nakonfigurovat pomocí rozšíření virtuálních počítačů a dalších nástrojů, jako je DSC (Desired State Configuration).

• Zvažte automatizaci nasazení pomocí Azure DevOps nebo jiných řešení CI/CD. Azure Pipelines je doporučená komponenta služby Azure DevOps Services. Poskytuje automatizaci pro sestavení a nasazení řešení a je vysoce integrovaná do ekosystému Azure.

• Pomocí služby Azure Monitor můžete analyzovat výkon vaší infrastruktury. Můžete ho také použít k monitorování a diagnostice problémů se sítěmi bez přihlášení k virtuálním počítačům. Application Insights poskytuje bohaté metriky a protokoly pro ověření stavu vaší infrastruktury.

Další informace najdete v části DevOps v Well-Architected Frameworku.

Možnosti správy

Provádějte pravidelné zálohování služby AD DS. Nekopírujte jenom soubory virtuálního pevného disku (VHD) řadičů domény, protože soubor databáze služby AD DS na virtuálním pevném disku nemusí být při kopírování konzistentní, což znemožňuje restartování databáze.

Nedoporučujeme vypínat virtuální počítač řadiče domény pomocí webu Azure Portal. Místo toho vypněte a restartujte hostovaný operační systém. Pokud řadič domény vypnete pomocí webu Azure Portal, způsobí zrušení přidělení virtuálního počítače, což má za následek následující účinky při restartování virtuálního počítače řadiče domény:

• Resetuje VM-GenerationID úložiště Active Directory a invocationID jeho úložiště.
• Zahodí aktuální fond relativního identifikátoru (RID) služby Active Directory.
• Označí složku sysvol jako neověřenou.

První problém je relativně neškodný. Opakované resetování příčin menšího dalšího invocationID využití šířky pásma během replikace, ale toto využití není významné.

Druhý problém může přispět k vyčerpání fondu identifikátorů RID v doméně, zejména pokud je velikost fondu RID nakonfigurovaná tak, aby byla větší než výchozí hodnota. Pokud doména existuje po dlouhou dobu nebo se používá pro pracovní postupy, které vyžadují opakované vytvoření a odstranění účtu, může se již blížit vyčerpání fondu RID. Dobrým postupem je monitorování domény pro události upozornění na vyčerpání fondu RID. Další informace najdete v tématu Správa vystavování identifikátorů RID.

Třetí problém je relativně neškodný, pokud je autoritativní řadič domény k dispozici při restartování virtuálního počítače řadiče domény v Azure. Pokud jsou všechny řadiče domény v doméně spuštěné v Azure a všechny jsou současně vypnuté a uvolněné, každý řadič domény při restartování nenalezne autoritativní repliku. Oprava této podmínky vyžaduje ruční zásah. Další informace naleznete v tématu Vynucení autoritativní a nonauthoritativní synchronizace replikace sysvol replikované replikace DFSR.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Služba AD DS je určená pro škálovatelnost. Nemusíte konfigurovat nástroj pro vyrovnávání zatížení ani řadič provozu, abyste mohli směrovat žádosti na řadiče domény služby AD DS. Jediným aspektem škálovatelnosti je konfigurace virtuálních počítačů se službou AD DS se správnou velikostí pro požadavky na zatížení sítě, monitorováním zatížení virtuálních počítačů a vertikálním navýšením nebo snížením kapacity podle potřeby.

Další kroky

• Co je MICROSOFT Entra ID?
• Azure DevOps
• Azure Pipelines
• Azure Monitor
• Konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory
• Přehled DSC
• Konfigurace společně existujících připojení ExpressRoute a site-to-site pomocí PowerShellu

Související prostředky

• Vytvoření doménové struktury prostředků AD DS v Azure
• Rozšíření místní služby AD FS do Azure

Tato architektura ukazuje, jak rozšířit místní Active Directory doménu do Azure za účelem poskytování distribuovaných ověřovacích služeb.

Architektura

Diagram se skládá ze dvou částí, které jsou označené jako místní síť a virtuální síť. Oddíl místní sítě ukazuje bránu, která má obousměrné připojení ze serverů služby Active Directory k podsíti brány v části virtuální sítě. Šipka ukazuje z této brány do pole, které představuje podsíť aplikace. Toto pole obsahuje ikonu, která představuje skupiny zabezpečení sítě (NSG) a další bránu, která se připojuje ke dvěma virtuálním počítačům. Šipka, která představuje body žádosti o ověření z virtuálních počítačů do pole s popiskem podsítě služby AD DS. Toto pole obsahuje ikonu, která představuje skupiny zabezpečení sítě a skupinu dvou serverů AD DS. V části místní sítě je šipka označená jako veřejné IP body z ikony, která představuje internet k virtuálnímu počítači v části virtuální sítě. Tento virtuální počítač je uvnitř boxu označené podsítě správy. Pole obsahuje také skupiny zabezpečení sítě a jump box. Tečkovaná čára, která představuje Azure DDoS Protection, obklopuje část virtuální sítě.

Stáhněte si soubor aplikace Visio s touto architekturou.

Tato architektura rozšiřuje hybridní síťovou architekturu zobrazenou v připojení místní sítě k Azure pomocí brány VPN.

Workflow

Následující pracovní postup odpovídá předchozímu diagramu:

• Místní síť: Místní síť zahrnuje místní servery služby Active Directory, které můžou provádět ověřování a autorizaci pro komponenty umístěné místně.

• Servery služby Active Directory: Tyto servery jsou řadiče domény, které implementují adresářové služby, které běží jako virtuální počítače v cloudu. Můžou poskytovat ověřování komponent, které běží ve vaší virtuální síti Azure.

• Podsíť služby Active Directory: Servery služby Active Directory Domain Services (AD DS) jsou hostované v samostatné podsíti. Pravidla skupiny zabezpečení sítě (NSG) pomáhají chránit servery SLUŽBY AD DS a poskytovat bránu firewall proti provozu z neočekávaných zdrojů.

• Synchronizace služby Azure VPN Gateway a Active Directory: Vpn Gateway poskytuje připojení mezi místní sítí a službou Azure Virtual Network. Toto připojení může být připojení VPN nebo přes Azure ExpressRoute. Veškeré žádosti o synchronizaci mezi servery služby Active Directory v cloudu a místními servery prochází skrze bránu. Trasy definované uživatelem zpracovávají směrování pro místní provoz, který předává do Azure.

Komponenty

• Microsoft Entra ID je služba podnikové identity, která poskytuje jednotné přihlašování, vícefaktorové ověřování a podmíněný přístup Microsoft Entra. V této architektuře poskytuje Microsoft Entra ID bezpečnější přístup ke cloudovým aplikacím a službám.

• VPN Gateway je služba, která používá brány virtuální sítě k odesílání šifrovaného provozu mezi virtuální sítí Azure a místními umístěními přes veřejný internet. V této architektuře služba VPN Gateway umožňuje zabezpečenému toku synchronizačního provozu služby Active Directory mezi prostředími.

• ExpressRoute je služba, kterou můžete použít k rozšíření místních sítí do cloudu Microsoftu přes privátní připojení pomocí poskytovatele připojení. V této architektuře je ExpressRoute alternativou k připojením VPN pro scénáře, které vyžadují větší šířku pásma a nižší latenci.

• Virtuální síť je základním stavebním blokem privátních sítí v Azure. Můžete ho použít k povolení vzájemné komunikace prostředků Azure, jako jsou virtuální počítače, internetu a místních sítí. V této architektuře podporuje virtuální síť replikaci a ověřování domény.

Podrobnosti scénáře

Pokud je vaše aplikace hostovaná částečně místně a částečně v Azure, může být replikace služby AD DS v Azure efektivnější. Tato replikace může snížit latenci způsobenou odesíláním žádostí o ověření z cloudu zpět do instancí služby AD DS, které běží místně.

Potenciální případy použití

Tato architektura se běžně používá při připojení VPN nebo ExpressRoute k místním virtuálním sítím a virtuálním sítím Azure. Tato architektura také podporuje obousměrnou replikaci, což znamená, že změny je možné provést místně nebo v cloudu a oba zdroje jsou konzistentní. Typické použití této architektury zahrnuje hybridní aplikace, ve kterých se funkce distribuují mezi místní prostředí a aplikace a služby a služby, které provádějí ověřování pomocí služby Active Directory.

Doporučení

Následující doporučení můžete použít pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Doporučení pro virtuální počítače

Určete požadavky na velikost virtuálního počítače na základě očekávaného objemu žádostí o ověření. Jako výchozí bod použijte specifikace počítačů, které hostují službu AD DS místně, a přiřaďte je k velikostem virtuálních počítačů Azure. Po nasazení aplikace monitorujte využití a vertikální navýšení nebo snížení kapacity na základě skutečného zatížení virtuálních počítačů. Další informace najdete v tématu Plánování kapacity pro službu AD DS.

Vytvořte samostatný virtuální datový disk pro ukládání databáze, protokolů a složky systémového svazku (sysvol) pro službu Active Directory. Neukládejte tyto položky na stejný disk jako operační systém. Datové disky jsou ve výchozím nastavení připojené k virtuálnímu počítači pomocí ukládání do mezipaměti pro zápis. Tento druh mezipaměti však může být v konfliktu s požadavky služby AD DS. Z tohoto důvodu nastavte nastavení preference mezipaměti hostitele datového disku na Žádná.

Nasaďte aspoň dva virtuální počítače se službou AD DS jako řadiče domény a přidejte je do různých zón dostupnosti. Pokud nejsou zóny dostupnosti v dané oblasti dostupné, nasaďte virtuální počítače ve skupině dostupnosti.

Doporučení pro sítě

Nakonfigurujte síťové rozhraní virtuálního počítače (NIC) pro každý řadič domény se statickou privátní IP adresou místo použití protokolu DHCP (Dynamic Host Configuration Protocol). Přiřazením statické IP adresy přímo k virtuálnímu počítači můžou klienti dál kontaktovat řadič domény i v případě, že služba DHCP není k dispozici. Další informace najdete v tématu Vytvoření virtuálního počítače, který používá statickou privátní IP adresu.

Poznámka:

Nenakonfigurujte síťovou kartu virtuálního počítače pro žádnou službu AD DS pomocí veřejné IP adresy. Další informace najdete v tématu Aspekty zabezpečení.

Skupina zabezpečení sítě podsítě služby Active Directory vyžaduje pravidla pro povolení příchozího provozu z místního a odchozího provozu do místního prostředí. Další informace najdete v tématu Konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.

Pokud mají nové virtuální počítače řadiče domény také roli serverů DNS (Domain Name System), doporučujeme je nakonfigurovat jako vlastní servery DNS na úrovni virtuální sítě, jak je vysvětleno v tématu Změna serverů DNS. Tuto konfiguraci byste měli použít pro virtuální síť, která je hostitelem nových řadičů domény a partnerských sítí, kde ostatní virtuální počítače musí překládat názvy domén služby Active Directory. Další informace najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure.

Pro počáteční konfiguraci možná budete muset upravit síťovou kartu jednoho z řadičů domény v Azure tak, aby odkazovat na místní řadič domény jako primární zdroj DNS.

Zahrnutí ip adresy do seznamu serverů DNS zlepšuje výkon a zvyšuje dostupnost serverů DNS. Zpoždění spuštění ale může nastat, pokud je server DNS také řadičem domény a odkazuje pouze na sebe nebo odkazuje na sebe jako první pro překlad názvů.

Proto při konfiguraci adresy zpětné smyčky na adaptéru buďte opatrní, pokud je server také řadičem domény. Možná budete muset přepsat nastavení DNS síťové karty v Azure, aby odkazoval na jiný řadič domény hostovaný v Azure nebo místně pro primární server DNS. Adresa zpětné smyčky by měla být nakonfigurovaná pouze jako sekundární nebo terciární server DNS na řadiči domény.

Lokalita adresářové služby Active Directory

Lokalita ve službě AD DS představuje fyzické umístění, síť nebo kolekci zařízení. Pomocí lokalit služby AD DS můžete spravovat replikaci databáze služby AD DS seskupením objektů služby AD DS, které jsou umístěné blízko sebe a připojené vysokorychlostní sítí. Služba AD DS obsahuje logiku pro výběr nejlepší strategie pro replikaci databáze SLUŽBY AD DS mezi lokalitami.

Doporučujeme vytvořit lokalitu služby AD DS, včetně podsítí definovaných pro vaši aplikaci v Azure. Pak můžete nakonfigurovat propojení lokality mezi místními lokalitami služby AD DS. Služba AD DS automaticky provádí nejúčinnější možnou replikaci databáze. Tato replikace databáze nevyžaduje moc práce nad rámec počáteční konfigurace.

Hlavní operační server služby Active Directory

Roli hlavního operačního serveru můžete přiřadit řadičům domény služby AD DS, aby podporovaly konzistenci při kontrole mezi instancemi replikovaných databází služby AD DS. Pět rolí hlavního operačního serveru jsou hlavní server schématu, hlavní server pojmenování domény, hlavní server relativního identifikátoru, emulátor hlavního serveru primárního řadiče domény a hlavní server infrastruktury. Další informace naleznete v tématu Plánování umístění role hlavního operačního serveru.

Doporučujeme také poskytnout alespoň dvě nové řadiče domény Azure roli globálního katalogu (GC). Další informace naleznete v tématu Plánování umístění serveru GC.

Sledování

Monitorujte prostředky virtuálních počítačů řadiče domény a služby AD DS a vytvořte plán pro rychlé opravy problémů. Další informace naleznete v tématu Monitorování služby Active Directory. Můžete také nainstalovat nástroje, jako je Microsoft Systems Center , na monitorovací server, které vám pomůžou s prováděním těchto úloh.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace najdete v tématu Well-Architected Framework.

Spolehlivost

Spolehlivost pomáhá zajistit, aby vaše aplikace splňovala závazky, které jste pro své zákazníky udělali. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

Nasaďte virtuální počítače, na kterých běží služba AD DS, do aspoň dvou zón dostupnosti. Pokud v dané oblasti nejsou dostupné zóny dostupnosti, použijte skupiny dostupnosti. V závislosti na vašich požadavcích zvažte také přiřazení role pohotovostního hlavního operačního serveru alespoň k jednomu serveru nebo více. Pohotovostní hlavní operační server je aktivní kopie hlavního operačního serveru, která může během převzetí služeb při selhání nahradit server primárního operačního serveru.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Servery AD DS poskytují ověřovací služby a jsou atraktivním cílem útoků. Chcete-li je zabezpečit, zabraňte přímému připojení k internetu tím, že servery SLUŽBY AD DS umístíte do samostatné podsítě se skupinou zabezpečení sítě jako bránou firewall. Ukončete všechny porty na serverech SLUŽBY AD DS s výjimkou portů, které jsou nezbytné pro ověřování, autorizaci a synchronizaci serverů. Další informace najdete v tématu Konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.

K šifrování disku, který je hostitelem databáze AD DS, použijte Nástroj BitLocker nebo Azure Disk Encryption.

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce omezení rizik DDoS, které pomáhají chránit před útoky DDoS. Ochranu před útoky DDoS byste měli povolit v jakékoli hraniční virtuální síti.

Optimalizace nákladů

Optimalizace nákladů se zaměřuje na způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsané v části Optimalizace nákladů v Well-Architected Frameworku.

Následující části popisují aspekty nákladů pro služby, které tato architektura používá.

Doménové služby Microsoft Entra

Zvažte, jestli microsoft Entra Domain Services není sdílená služba spotřebovaná více úlohami, aby se snížily náklady. Další informace najdete v tématu Domain Services – ceny.

Brána VPN

Brána VPN Gateway je hlavní součástí této architektury. Účtují se vám poplatky podle času, kdy je brána zřízená a dostupná.

Veškerý příchozí provoz je bezplatný a veškerý odchozí provoz se účtuje. Pro odchozí provoz VPN se účtují náklady na šířku internetového pásma.

Další informace najdete v tématu o cenách služby VPN Gateway.

Virtual Network

Virtuální síť je zdarma. Každé předplatné může vytvářet až 1 000 virtuálních sítí ve všech oblastech. Veškerý provoz v rámci hranic virtuální sítě je bezplatný, takže komunikace mezi dvěma virtuálními počítači ve stejné virtuální síti je bezplatná.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

• Použití infrastruktury jako postupů kódu ke zřízení a konfiguraci síťové a bezpečnostní infrastruktury. Jednou z možností je šablony Azure Resource Manageru.

• Izolujte úlohy, které umožňují DevOps provádět kontinuální integraci a průběžné doručování (CI/CD), protože každá úloha je přidružená a spravovaná odpovídajícím týmem DevOps.

V této architektuře se celá virtuální síť, která zahrnuje různé aplikační vrstvy, jump box pro správu a Domain Services, identifikuje jako jednu izolovanou úlohu.

Službu AD DS na virtuálních počítačích můžete nakonfigurovat pomocí rozšíření virtuálních počítačů a dalších nástrojů, jako je DSC (Desired State Configuration).

• Zvažte automatizaci nasazení pomocí Azure DevOps nebo jiných řešení CI/CD. Azure Pipelines je doporučená komponenta služby Azure DevOps Services. Poskytuje automatizaci pro sestavení a nasazení řešení a je vysoce integrovaná do ekosystému Azure.

• Pomocí služby Azure Monitor můžete analyzovat výkon vaší infrastruktury. Můžete ho také použít k monitorování a diagnostice problémů se sítěmi bez přihlášení k virtuálním počítačům. Application Insights poskytuje bohaté metriky a protokoly pro ověření stavu vaší infrastruktury.

Další informace najdete v části DevOps v Well-Architected Frameworku.

Možnosti správy

Provádějte pravidelné zálohování služby AD DS. Nekopírujte jenom soubory virtuálního pevného disku (VHD) řadičů domény, protože soubor databáze služby AD DS na virtuálním pevném disku nemusí být při kopírování konzistentní, což znemožňuje restartování databáze.

Nedoporučujeme vypínat virtuální počítač řadiče domény pomocí webu Azure Portal. Místo toho vypněte a restartujte hostovaný operační systém. Pokud řadič domény vypnete pomocí webu Azure Portal, způsobí zrušení přidělení virtuálního počítače, což má za následek následující účinky při restartování virtuálního počítače řadiče domény:

• Resetuje VM-GenerationID úložiště Active Directory a invocationID jeho úložiště.
• Zahodí aktuální fond relativního identifikátoru (RID) služby Active Directory.
• Označí složku sysvol jako neověřenou.

První problém je relativně neškodný. Opakované resetování příčin menšího dalšího invocationID využití šířky pásma během replikace, ale toto využití není významné.

Druhý problém může přispět k vyčerpání fondu identifikátorů RID v doméně, zejména pokud je velikost fondu RID nakonfigurovaná tak, aby byla větší než výchozí hodnota. Pokud doména existuje po dlouhou dobu nebo se používá pro pracovní postupy, které vyžadují opakované vytvoření a odstranění účtu, může se již blížit vyčerpání fondu RID. Dobrým postupem je monitorování domény pro události upozornění na vyčerpání fondu RID. Další informace najdete v tématu Správa vystavování identifikátorů RID.

Třetí problém je relativně neškodný, pokud je autoritativní řadič domény k dispozici při restartování virtuálního počítače řadiče domény v Azure. Pokud jsou všechny řadiče domény v doméně spuštěné v Azure a všechny jsou současně vypnuté a uvolněné, každý řadič domény při restartování nenalezne autoritativní repliku. Oprava této podmínky vyžaduje ruční zásah. Další informace naleznete v tématu Vynucení autoritativní a nonauthoritativní synchronizace replikace sysvol replikované replikace DFSR.

Efektivita výkonu

Efektivita výkonu odkazuje na schopnost vaší úlohy efektivně škálovat tak, aby splňovala požadavky uživatelů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Služba AD DS je určená pro škálovatelnost. Nemusíte konfigurovat nástroj pro vyrovnávání zatížení ani řadič provozu, abyste mohli směrovat žádosti na řadiče domény služby AD DS. Jediným aspektem škálovatelnosti je konfigurace virtuálních počítačů se službou AD DS se správnou velikostí pro požadavky na zatížení sítě, monitorováním zatížení virtuálních počítačů a vertikálním navýšením nebo snížením kapacity podle potřeby.

Další kroky

• Co je MICROSOFT Entra ID?
• Azure DevOps
• Azure Pipelines
• Azure Monitor
• Konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory
• Přehled DSC
• Konfigurace společně existujících připojení ExpressRoute a site-to-site pomocí PowerShellu

Související prostředky

• Vytvoření doménové struktury prostředků AD DS v Azure
• Rozšíření místní služby AD FS do Azure