Auf Englisch lesen Bearbeiten

Freigeben über


Erstellen einer AD DS-Ressourcengesamtstruktur in Azure

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Diese Referenzarchitektur zeigt, wie Sie eine separate Active Directory-Domäne in Azure erstellen, die von Domänen in Ihrer lokalen AD-Gesamtstruktur als vertrauenswürdig eingestuft wird.

Diagramm, das eine sichere Hybridnetzwerkarchitektur mit separaten Active Directory-Domänen zeigt.

Laden Sie eine Visio-Datei für die Architektur "AD DS-Gesamtstruktur" herunter.

Active Directory Domain Services (AD DS) speichert Identitätsinformationen in einer hierarchischen Struktur. Der obere Knoten in der hierarchischen Struktur wird als Gesamtstruktur bezeichnet. Eine Gesamtstruktur enthält Domänen und Domänen andere Objekttypen. Diese Referenzarchitektur erstellt eine AD DS-Gesamtstruktur in Azure mit einer unidirektionale ausgehenden Vertrauensstellung mit einer lokalen Domäne. Die Gesamtstruktur in Azure enthält eine Domäne, die nicht lokal vorhanden ist. Aufgrund der Vertrauensstellung können Anmeldungen für lokale Domänen für den Zugriff auf Ressourcen in der separaten Azure-Domäne als vertrauenswürdig eingestuft werden.

Typische Verwendungsmöglichkeiten für diese Architektur umfassen die Aufrechterhaltung der Sicherheitstrennung für Objekte und Identitäten in der Cloud und das Migrieren einzelner Domänen von lokal zur Cloud.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration von lokalem Active Directory in Azure.

Architektur

Die Architektur verfügt über die folgenden Komponenten.

  • lokale Netzwerk-. Das lokale Netzwerk enthält eine eigene Active Directory-Gesamtstruktur und -domänen.
  • Active Directory-Server. Hierbei handelt es sich um Domänencontroller, die Domänendienste implementieren, die als virtuelle Computer in der Cloud ausgeführt werden. Diese Server hosten eine Gesamtstruktur, die eine oder mehrere Domänen enthält, getrennt von denen, die sich lokal befinden.
  • unidirektionale Vertrauensstellung. Das Beispiel im Diagramm zeigt eine unidirektionale Vertrauensstellung aus der Domäne in Azure zur lokalen Domäne. Diese Beziehung ermöglicht lokalen Benutzern den Zugriff auf Ressourcen in der Domäne in Azure, aber nicht umgekehrt.
  • Active Directory-Subnetz-. Die AD DS-Server werden in einem separaten Subnetz gehostet. Netzwerksicherheitsgruppenregeln (Network Security Group, NSG) schützen die AD DS-Server und stellen eine Firewall vor Datenverkehr aus unerwarteten Quellen bereit.
  • Azure-Gateway. Das Azure-Gateway stellt eine Verbindung zwischen dem lokalen Netzwerk und dem Azure VNet bereit. Dies kann eine VPN-Verbindung oder Azure ExpressRoutesein. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure mithilfe eines VPN-Gateways.

Empfehlungen

Spezifische Empfehlungen zur Implementierung von Active Directory in Azure finden Sie unter Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Vertrauen

Die lokalen Domänen sind in einer anderen Gesamtstruktur als die Domänen in der Cloud enthalten. Um die Authentifizierung lokaler Benutzer in der Cloud zu aktivieren, müssen die Domänen in Azure der Anmeldedomäne in der lokalen Gesamtstruktur vertrauen. Wenn die Cloud eine Anmeldedomäne für externe Benutzer bereitstellt, kann es erforderlich sein, dass die lokale Gesamtstruktur der Clouddomäne vertraut.

Sie können Vertrauensstellungen auf Gesamtstrukturebene einrichten, indem Sie Erstellen von Gesamtstrukturvertrauensstellungenoder auf Domänenebene durch Erstellen externer Vertrauensstellungen. Eine Vertrauensstellung auf Gesamtstrukturebene erstellt eine Beziehung zwischen allen Domänen in zwei Gesamtstrukturen. Eine Vertrauensstellung auf externer Domänenebene erstellt nur eine Beziehung zwischen zwei angegebenen Domänen. Sie sollten nur Vertrauensstellungen auf externer Domänenebene zwischen Domänen in verschiedenen Gesamtstrukturen erstellen.

Vertrauensstellungen mit einem lokalen Active Directory sind nur unidirektional (unidirektional). Eine unidirektionale Vertrauensstellung ermöglicht Benutzern in einer Domäne oder Gesamtstruktur (die als eingehende Domäne oder Gesamtstruktur bezeichnet wird), auf die Ressourcen zuzugreifen, die in einer anderen (der ausgehenden Domäne oder Gesamtstruktur) gespeichert sind.

In der folgenden Tabelle sind Vertrauenskonfigurationen für einige einfache Szenarien zusammengefasst:

Szenario Lokale Vertrauensstellung Cloudvertrauensstellung
Lokale Benutzer benötigen Zugriff auf Ressourcen in der Cloud, aber nicht umgekehrt Unidirektionales, eingehendes Unidirektionale, ausgehende
Benutzer in der Cloud benötigen Zugriff auf Ressourcen, die sich lokal befinden, aber nicht umgekehrt. Unidirektionale, ausgehende Unidirektionales, eingehendes

Betrachtungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, das eine Reihe von leitden Tenets ist, die verwendet werden können, um die Qualität einer Workload zu verbessern. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie an Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Stellen Sie mindestens zwei Domänencontroller für jede Domäne bereit. Dies ermöglicht die automatische Replikation zwischen Servern. Erstellen Sie einen Verfügbarkeitssatz für die virtuellen Computer, die als Active Directory-Server fungieren, die jede Domäne behandeln. Platzieren Sie mindestens zwei Server in diesem Verfügbarkeitssatz.

Erwägen Sie außerdem, einen oder mehrere Server in jeder Domäne als Standbyvorgänge Master-Vorgänge zu entwerfen, falls die Verbindung zu einem Server, der als flexible Einzelmasteroperationsrolle (FSMO) fungiert, fehlschlägt.

Sicherheit

Die Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für sicherheitsrelevante.

Vertrauensstellungen auf Gesamtstrukturebene sind transitiv. Wenn Sie eine Vertrauensstellung auf Gesamtstrukturebene zwischen einer lokalen Gesamtstruktur und einer Gesamtstruktur in der Cloud einrichten, wird diese Vertrauensstellung auf andere neue Domänen erweitert, die in beiden Gesamtstrukturen erstellt wurden. Wenn Sie Domänen verwenden, um eine Trennung für Sicherheitszwecke bereitzustellen, sollten Sie nur Vertrauensstellungen auf Domänenebene erstellen. Vertrauensstellungen auf Domänenebene sind nicht transitiv.

Informationen zu Active Directory-spezifischen Sicherheitsaspekten finden Sie im Abschnitt "Sicherheitsüberlegungen" in Erweitern von Active Directory auf Azure.

Kostenoptimierung

Bei der Kostenoptimierung geht es um Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung der Kostenoptimierung.

Verwenden Sie den Azure-Preisrechner, um Kosten zu schätzen. Weitere Überlegungen werden im Abschnitt "Kosten" in Microsoft Azure Well-Architected Frameworkbeschrieben.

Hier sind Kostenüberlegungen für die in dieser Architektur verwendeten Dienste.

AD Domain Services

Erwägen Sie, Active Directory Domain Services als gemeinsam genutzten Dienst zu verwenden, der von mehreren Workloads genutzt wird, um die Kosten zu senken. Weitere Informationen finden Sie unter Preise für Active Directory Domain Services.

Azure VPN-Gateway

Die Hauptkomponente dieser Architektur ist der VPN-Gatewaydienst. Sie werden basierend auf dem Zeitraum berechnet, in dem das Gateway bereitgestellt und verfügbar ist.

Der gesamte eingehende Datenverkehr ist kostenlos, der gesamte ausgehende Datenverkehr wird in Rechnung gestellt. Die Kosten der Internetbandbreite werden auf ausgehenden VPN-Datenverkehr angewendet.

Weitere Informationen finden Sie unter VPN Gateway Pricing.

Operative Exzellenz

Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung von Operational Excellence.

DevOps

Überlegungen zu DevOps finden Sie unter Operational Excellence in Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Fügsamkeit

Informationen zu Verwaltungs- und Überwachungsaspekten finden Sie unter Erweitern von Active Directory auf Azure.

Befolgen Sie die Anleitungen in Monitoring Active Directory. Sie können Tools wie Microsoft Systems Center auf einem Überwachungsserver im Verwaltungssubnetz installieren, um diese Aufgaben auszuführen.

Leistungseffizienz

Die Leistungseffizienz ist die Fähigkeit Ihrer Arbeitsauslastung, die anforderungen, die die Benutzer auf effiziente Weise an sie stellen, zu erfüllen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für die Leistungseffizienz.

Active Directory ist für Domänencontroller, die Teil derselben Domäne sind, automatisch skalierbar. Anforderungen werden über alle Controller innerhalb einer Domäne verteilt. Sie können einen anderen Domänencontroller hinzufügen und automatisch mit der Domäne synchronisiert werden. Konfigurieren Sie kein separates Lastenausgleichsmodul, um den Datenverkehr an Controller innerhalb der Domäne zu leiten. Stellen Sie sicher, dass alle Domänencontroller über ausreichend Arbeitsspeicher und Speicherressourcen verfügen, um die Domänendatenbank zu verarbeiten. Machen Sie alle VMs des Domänencontrollers zur gleichen Größe.

Nächste Schritte