Tato architektura ukazuje, jak rozšířit místní Active Directory doménu do Azure za účelem poskytování distribuovaných ověřovacích služeb.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Tato architektura rozšiřuje hybridní síťovou architekturu zobrazenou v části Připojení místní sítě k Azure pomocí brány VPN.
Workflow
- Místní síť: Místní síť obsahuje místní servery služby Active Directory, které mohou provádět ověřování a autorizaci místních komponent.
- Servery služby Active Directory. Tyto servery jsou řadiče domény, které implementují adresářové služby (AD DS), které běží jako virtuální počítače v cloudu. Můžou poskytovat ověřování komponent spuštěných ve vaší virtuální síti Azure.
- Podsíť služby Active Directory. Servery Doména služby Active Directory Services (AD DS) jsou hostované v samostatné podsíti. Pravidla skupiny zabezpečení sítě chrání servery AD DS a poskytují bránu firewall proti provozu z neočekávaných zdrojů.
- Synchronizace služby Azure VPN Gateway a Active Directory Vpn Gateway poskytuje připojení mezi místní sítí a službou Azure Virtual Network. Toto připojení může být připojení VPN nebo přes Azure ExpressRoute. Veškeré žádosti o synchronizaci mezi servery služby Active Directory v cloudu a místními servery prochází skrze bránu. Uživatelem definované trasy zpracovávají směrování místního provozu, který se předává do Azure.
Komponenty
- Microsoft Entra ID je služba podnikové identity, která poskytuje jednotné přihlašování, vícefaktorové ověřování a podmíněný přístup.
- VPN Gateway je služba, která používá bránu virtuální sítě k odesílání šifrovaného provozu mezi virtuální sítí Azure a místními umístěními přes veřejný internet.
- ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení pomocí poskytovatele připojení.
- Virtuální síť je základním stavebním blokem privátních sítí v Azure. Můžete ho použít k povolení vzájemné komunikace prostředků Azure, jako jsou virtuální počítače, internetu a místních sítí.
Podrobnosti scénáře
Pokud je vaše aplikace hostovaná částečně místně a částečně v Azure, může být replikace služby AD DS v Azure efektivnější. Tato replikace může snížit latenci způsobenou odesíláním žádostí o ověření z cloudu zpět do služby AD DS spuštěné místně.
Další aspekty najdete v tématu Volba řešení pro integraci místní Active Directory s Azure.
Potenciální případy použití
Tato architektura se běžně používá při připojení VPN nebo ExpressRoute k místním virtuálním sítím a virtuálním sítím Azure. Tato architektura dále podporuje obousměrnou replikaci, což znamená, že změny mohou být prováděny buď místně nebo v cloudu a oba zdroje zůstanou konzistentní. Mezi typické způsoby použití této architektury patří hybridní aplikace, ve kterých se funkce distribuují mezi místní prostředí a aplikace a aplikace a služby, které provádějí ověřování pomocí služby Active Directory.
Doporučení
Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.
Doporučení pro virtuální počítače
Určete požadavky na velikost virtuálního počítače na základě očekávaného objemu žádostí o ověření. Jako výchozí bod použijte specifikace počítačů hostovaných místně službou AD DS a shodujte je s velikostmi virtuálních počítačů Azure. Po nasazení monitorujte využití a na základě skutečného zatížení virtuálních počítačů vertikálně zvyšte nebo snižte kapacitu. Další informace o určení velikosti řadičů domény služby AD DS najdete v tématu Plánování kapacity pro službu Active Directory Domain Services.
Vytvořte samostatný virtuální datový disk pro ukládání databáze, protokolů a složky sysvol pro službu Active Directory. Neukládejte tyto položky na stejný disk jako operační systém. Datové disky jsou ve výchozím nastavení připojené k virtuálnímu počítači pomocí ukládání do mezipaměti pro zápis. Tento druh mezipaměti však může být v konfliktu s požadavky služby AD DS. Z tohoto důvodu nastavte nastavení preference mezipaměti hostitele datového disku na Žádná.
Nasaďte alespoň dva virtuální počítače se službou AD DS jako řadiče domény a přidejte je do různých zón dostupnosti. Pokud není dostupná v oblasti, nasaďte ji ve skupině dostupnosti.
Doporučení pro sítě
Nakonfigurujte síťové rozhraní virtuálního počítače pro každý server služby AD DS se statickou privátní IP adresou, abyste zajistili plnou podporu DNS. Další informace najdete v článku Postup nastavení statické privátní IP adresy na portálu Azure Portal.
Poznámka:
Nenakonfigurujte síťovou kartu virtuálního počítače pro žádnou službu AD DS s veřejnou IP adresou. Další podrobnosti najdete v tématu Aspekty zabezpečení.
Skupina zabezpečení sítě podsítě služby Active Directory vyžaduje pravidla pro povolení příchozího provozu z místního a odchozího provozu do místního prostředí. Podrobné informace o portech používaných službou AD DS najdete v tématu Požadavky portů služeb Active Directory a Active Directory Domain Services.
Pokud mají nové virtuální počítače řadiče domény také roli serverů DNS, doporučujeme je nakonfigurovat jako vlastní servery DNS na úrovni virtuální sítě, jak je vysvětleno v tématu Změna serverů DNS. To by se mělo provést pro virtuální síť hostující nové řadiče domény a partnerské sítě, kde ostatní virtuální počítače musí překládat názvy domén služby Active Directory. Další informace o konfiguraci hybridního překladu názvů DNS najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure.
Pro počáteční konfiguraci možná budete muset upravit síťové rozhraní jednoho z řadičů domény v Azure tak, aby odkazovat na místní řadič domény jako primární zdroj DNS.
Zahrnutí ip adresy do seznamu serverů DNS zlepšuje výkon a zvyšuje dostupnost serverů DNS. Zpoždění spuštění ale může vést k tomu, že server DNS je také řadičem domény a odkazuje pouze na sebe nebo na sebe odkazuje jako první pro překlad názvů. Z tohoto důvodu buďte opatrní při konfiguraci adresy zpětné smyčky na adaptéru, pokud je server také řadičem domény.
To může znamenat přepsání nastavení DNS síťového rozhraní v Azure tak, aby ukazovalo na jiný řadič domény hostovaný v Azure nebo místně pro primární server DNS. Adresa zpětné smyčky by měla být nakonfigurovaná pouze jako sekundární nebo terciární server DNS na řadiči domény.
Lokalita adresářové služby Active Directory
Lokalita ve službě AD DS představuje fyzické umístění, síť nebo kolekci zařízení. Lokality služby AD DS slouží ke správě replikace databáze služby AD DS seskupením objektů služby AD DS umístěných blízko sebe a připojených vysokorychlostní sítí. Služba AD DS obsahuje logiku pro výběr nejlepší strategie pro replikaci databáze SLUŽBY AD DS mezi lokalitami.
Doporučujeme vytvořit lokalitu služby AD DS, včetně podsítí definovaných pro vaši aplikaci v Azure. Pak můžete nakonfigurovat propojení lokality mezi místními lokalitami služby AD DS a služba AD DS automaticky provede nejúčinnější možnou replikaci databáze. Tato replikace databáze vyžaduje jen málo nad rámec počáteční konfigurace.
Hlavní operační server služby Active Directory
Roli hlavního operačního serveru je možné přiřadit řadičům domény služby AD DS, aby se podporovala kontrola konzistence mezi instancemi replikovaných databází služby AD DS. Existuje pět rolí hlavního operačního serveru (FSMO): hlavní server schématu, hlavní server pojmenování domény, hlavní server relativního identifikátoru, emulátor hlavního serveru primárního řadiče domény a hlavní server infrastruktury. Další informace o těchto rolích naleznete v tématu Plánování umístění role hlavního operačního serveru. Doporučujeme také poskytnout alespoň dvě nové řadiče domény Azure globálního katalogu (GC). Další podrobnosti o umístění GC najdete zde.
Sledování
Monitorujte prostředky virtuálních počítačů řadiče domény a služeb AD DS a vytvořte plán pro rychlé opravy problémů. Další informace najdete v článku Monitorování služby Active Directory. Na monitorovací server (viz diagram architektury) můžete také nainstalovat nástroje, jako je například Microsoft Systems Center, které vám s prováděním těchto úkolů pomohou.
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Spolehlivost
Spolehlivost zajišťuje, aby vaše aplikace splňovala vaše závazky vůči vašim zákazníkům. Další informace najdete v tématu Přehled pilíře spolehlivosti.
Nasaďte virtuální počítače se službou AD DS do alespoň dvou zón dostupnosti. Pokud v dané oblasti nejsou dostupné zóny dostupnosti, použijte skupiny dostupnosti. V závislosti na vašich požadavcích zvažte také přiřazení role hlavního operačního serveru pohotovostního operačního serveru a případně i více. Pohotovostní hlavní operační server je aktivní kopie hlavního operačního serveru, která může během převzetí služeb při selhání nahradit server primárního operačního serveru.
Zabezpečení
Zabezpečení zajišťuje proti úmyslným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.
Servery služby AD DS poskytují služby ověřování a jsou atraktivním cílem útoků. Pokud je chcete zabezpečit, zabraňte přímému připojení k internetu tím, že servery AD DS umístíte do samostatné podsítě se skupinou zabezpečení sítě jako bránou firewall. Na serverech AD DS zavřete všechny porty, kromě portů nezbytných pro ověřování, autorizaci a synchronizaci serverů. Další informace najdete v tématu Požadavky portů služeb Active Directory a Active Directory Domain Services.
K šifrování disku hostujícího databázi služby AD DS použijte nástroj BitLocker nebo službu Azure Disk Encryption.
Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené funkce pro zmírnění rizik DDoS, které poskytují větší ochranu před útoky DDoS. Službu Azure DDOS Protection byste měli povolit v jakékoli hraniční virtuální síti.
Provozní dokonalost
Efektivita provozu zahrnuje provozní procesy, které nasazují a udržují aplikaci spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.
Použití praxe infrastruktury jako kódu (IaC) ke zřízení a konfiguraci infrastruktury sítě a zabezpečení. Jednou z možností je šablony Azure Resource Manageru.
Izolujte úlohy, které umožňují DevOps provádět kontinuální integraci a průběžné doručování (CI/CD), protože každá úloha je přidružená a spravovaná odpovídajícím týmem DevOps.
V této architektuře se celá virtuální síť, která zahrnuje různé aplikační vrstvy, jump box pro správu a službu Microsoft Entra Domain Services, identifikuje jako jednu izolovanou úlohu.
Virtuální počítače se konfigurují pomocí rozšíření virtuálních počítačů a dalších nástrojů, jako je Desired State Configuration (DSC) sloužící ke konfiguraci služby AD DS na virtuálních počítačích.
Zvažte automatizaci nasazení pomocí Azure DevOps nebo jiných řešení CI/CD. Azure Pipelines je doporučená komponenta azure DevOps Services, která přináší automatizaci pro sestavování a nasazení řešení a je vysoce integrovaná do ekosystému Azure.
Pomocí služby Azure Monitor můžete analyzovat výkon vaší infrastruktury. Umožňuje také monitorovat a diagnostikovat problémy se sítěmi bez přihlášení k virtuálním počítačům. Application Insights poskytuje bohaté metriky a protokoly pro ověření stavu vaší infrastruktury.
Další informace najdete v části DevOps v architektuře Microsoft Azure Well-Architected Framework.
Možnosti správy
Provádějte pravidelné zálohování služby AD DS. Nekopírujte soubory VHD řadičů domény místo provádění pravidelných záloh, protože při kopírování nemusí být soubor databáze SLUŽBY AD DS konzistentní, takže není možné databázi restartovat.
Nedoporučujeme vypínat virtuální počítač řadiče domény pomocí webu Azure Portal. Místo toho vypněte a restartujte hostovaný operační systém. Vypnutí prostřednictvím webu Azure Portal způsobí uvolnění virtuálního počítače, což má za následek následující účinky při restartování virtuálního počítače řadiče domény:
- Resetuje
VM-GenerationID
úložiště Active Directory ainvocationID
jeho úložiště. - Zahodí aktuální fond relativního identifikátoru (RID) služby Active Directory.
- Označí složku sysvol jako neověřenou.
První problém je relativně neškodný. Opakované resetování invocationID
způsobí menší dodatečné využití šířky pásma během replikace, ale obvykle to není významné.
Druhý problém může přispět k vyčerpání fondu RID v doméně, zejména pokud je velikost fondu RID nakonfigurovaná tak, aby byla větší než výchozí hodnota. Vezměte v úvahu, že pokud je doména po dlouhou dobu nebo se používá pro pracovní postupy vyžadující opakované vytváření a odstraňování účtů, může se už doména blížit vyčerpání fondu identifikátorů RID. Monitorování domény pro události upozornění na vyčerpání fondu RID je dobrým postupem – viz článek Správa vystavování identifikátorů RID.
Třetí problém je relativně neškodný, pokud je po restartování virtuálního počítače řadiče domény v Azure dostupný autoritativní řadič domény. Pokud jsou všechny řadiče domény v doméně spuštěné v Azure a všechny jsou současně vypnuté a uvolněné, při restartování se každému řadiči domény nepodaří najít autoritativní repliku. Oprava této podmínky vyžaduje ruční zásah – přečtěte si článek o vynucení autoritativní a neautoritativní synchronizace replikace sysvol replikované službou DFSR.
Efektivita výkonu
Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni uživatelé efektivně umístili. Další informace najdete v tématu Přehled pilíře efektivity výkonu.
Služba AD DS je určená pro škálovatelnost. Nemusíte konfigurovat nástroj pro vyrovnávání zatížení ani řadič provozu, abyste mohli směrovat žádosti na řadiče domény služby AD DS. Jediným aspektem škálovatelnosti je konfigurace virtuálních počítačů se službou AD DS se správnou velikostí pro požadavky na zatížení sítě, monitorováním zatížení virtuálních počítačů a vertikálním navýšením nebo snížením kapacity podle potřeby.
Optimalizace nákladů
Optimalizace nákladů se týká snížení zbytečných výdajů a zlepšení efektivity provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.
K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsané v části Náklady v architektuře Microsoft Azure Well-Architected Framework.
Tady jsou požadavky na náklady pro služby používané v této architektuře.
AD Domain Services
Zvažte možnost Doména služby Active Directory Services jako sdílené služby spotřebované více úlohami, aby se snížily náklady. Další informace najdete v tématu Doména služby Active Directory Services – ceny.
VPN Gateway
Hlavní součástí této architektury je služba brány VPN. Účtují se vám poplatky podle času, kdy je brána zřízená a dostupná.
Veškerý příchozí provoz je bezplatný a veškerý odchozí provoz se účtuje. Pro odchozí provoz VPN se účtují náklady na šířku internetového pásma.
Další informace najdete v tématu o cenách služby VPN Gateway.
Virtual Network
Virtuální síť je zdarma. Každé předplatné může vytvářet až 1 000 virtuálních sítí ve všech oblastech. Veškerý provoz v rámci hranic virtuální sítě je bezplatný, takže komunikace mezi dvěma virtuálními počítači ve stejné virtuální síti je bezplatná.
Další kroky
- Co je MICROSOFT Entra ID?
- Azure DevOps
- Azure Pipelines
- Azure Monitor
- Požadavky na porty služby Active Directory a Doména služby Active Directory Services
- Konfigurace požadovaného stavu (DSC)
- Připojení místní sítě k Azure pomocí brány VPN