Implementación de AD DS en una red virtual de Azure

Microsoft Entra

Azure Virtual Network

Esta arquitectura muestra cómo extender un dominio de Active Directory local a Azure para proporcionar servicios de autenticación distribuidos.

Arquitectura

El diagrama consta de dos secciones que se etiquetan como la red local y la red virtual. En la sección red local se muestra una puerta de enlace que tiene una conexión bidireccional desde los servidores de Active Directory a la subred de puerta de enlace de la sección red virtual. Una flecha apunta de esa puerta de enlace a un cuadro que representa la subred de la aplicación. Este cuadro contiene un icono que representa grupos de seguridad de red (NSG) y otra puerta de enlace que se conecta a dos máquinas virtuales (VM). Flecha que representa un punto de solicitud de autenticación de las máquinas virtuales a un cuadro con la etiqueta subred de AD DS. Este cuadro contiene un icono que representa grupos de seguridad de red y un grupo de dos servidores de AD DS. En la sección red local, una flecha etiquetada como puntos IP públicos de un icono que representa Internet a una máquina virtual en la sección red virtual. Esta máquina virtual está dentro de una subred de administración con la etiqueta box. El cuadro también contiene grupos de seguridad de red y un jump box. Una línea de puntos que representa Azure DDoS Protection rodea la sección de red virtual.

Descargue un archivo Visio de esta arquitectura.

Esta arquitectura amplía la arquitectura de red híbrida que se muestra en Conexión de una red local a Azure mediante una puerta de enlace de VPN.

Flujo de trabajo

El siguiente flujo de trabajo corresponde al diagrama anterior:

• Red local: La red local incluye servidores locales de Active Directory que pueden realizar la autenticación y autorización de los componentes ubicados en el entorno local.

• Servidores de Active Directory: Estos servidores son controladores de dominio que implementan servicios de directorio que se ejecutan como máquinas virtuales (VM) en la nube. Pueden proporcionar autenticación de componentes que se ejecutan en la red virtual de Azure.

• Subred de Active Directory: Los servidores de Active Directory Domain Services (AD DS) se hospedan en una subred independiente. Las reglas del grupo de seguridad de red (NSG) ayudan a proteger los servidores de AD DS y proporcionan un firewall contra el tráfico de orígenes inesperados.

• Sincronización de Azure VPN Gateway y Active Directory: VPN Gateway proporciona una conexión entre la red local y Azure Virtual Network. Puede ser una conexión VPN o mediante Azure ExpressRoute. Todas las solicitudes de sincronización entre los servidores de Active Directory en la nube y locales pasan a través de la puerta de enlace. Las rutas definidas por el usuario controlan el enrutamiento del tráfico local que pasa a Azure.

Componentes

• Microsoft Entra ID es un servicio de identidad empresarial que proporciona inicio de sesión único, autenticación multifactor y acceso condicional de Microsoft Entra. En esta arquitectura, Microsoft Entra ID proporciona acceso más seguro a las aplicaciones y servicios en la nube.

• VPN Gateway es un servicio que usa puertas de enlace de red virtual para enviar tráfico cifrado entre una red virtual de Azure y ubicaciones locales a través de la red pública de Internet. En esta arquitectura, VPN Gateway permite que el tráfico de sincronización de Active Directory fluya de forma más segura entre entornos.

• ExpressRoute es un servicio que puede usar para ampliar las redes locales a la nube de Microsoft a través de una conexión privada con la ayuda de un proveedor de conectividad. En esta arquitectura, ExpressRoute es una alternativa a las conexiones VPN para escenarios que requieren mayor ancho de banda y menor latencia.

• Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Puede usarlo para permitir que los recursos de Azure, como las máquinas virtuales, se comuniquen entre sí, Internet y redes locales. En esta arquitectura, Virtual Network admite la replicación y la autenticación de dominio.

Detalles del escenario

Si parte de la aplicación está hospedada en el entorno local y parte en Azure, puede que resulte más eficaz replicar AD DS en Azure. Esta replicación puede reducir la latencia causada por el envío de solicitudes de autenticación desde la nube de vuelta a instancias de AD DS que se ejecutan en el entorno local.

Posibles casos de uso

Esta arquitectura se usa normalmente cuando una conexión VPN o ExpressRoute conecta las redes virtuales locales y de Azure. Esta arquitectura también admite la replicación bidireccional, lo que significa que los cambios se pueden realizar en el entorno local o en la nube, y ambos orígenes se mantienen coherentes. Los usos típicos de esta arquitectura incluyen aplicaciones híbridas en las que la funcionalidad se distribuye entre el entorno local y azure y las aplicaciones y los servicios que realizan la autenticación mediante Active Directory.

Recomendaciones

Puede aplicar las siguientes recomendaciones a la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Recomendaciones de VM

Determine los requisitos de tamaño de la máquina virtual en función del volumen esperado de solicitudes de autenticación. Use las especificaciones de las máquinas que hospedan AD DS en el entorno local como punto de partida y adíquelas con los tamaños de máquina virtual de Azure. Después de implementar la aplicación, supervise el uso y escale verticalmente o reduzca verticalmente según la carga real en las máquinas virtuales. Para obtener más información, consulte Planeamiento de capacidad para AD DS.

Cree un disco de datos virtual independiente para almacenar la base de datos, los registros y la carpeta de volumen del sistema (sysvol) para Active Directory. No almacene estos elementos en el mismo disco que el sistema operativo. De forma predeterminada, los discos de datos se conectan a una máquina virtual mediante el almacenamiento en caché de escritura a través. Sin embargo, esta forma de almacenamiento en caché puede entrar en conflicto con los requisitos de AD DS. Por ello, establezca la preferencia de caché de host en el disco de datos en Ninguna.

Implemente al menos dos máquinas virtuales que ejecutan AD DS como controladores de dominio y agréguelas a diferentes zonas de disponibilidad. Si las zonas de disponibilidad no están disponibles en la región, implemente las máquinas virtuales en un conjunto de disponibilidad.

Recomendaciones de redes

Configure la interfaz de red de máquina virtual (NIC) para cada controlador de dominio con una dirección IP privada estática en lugar de usar el Protocolo de configuración dinámica de host (DHCP). Al asignar una dirección IP estática directamente a la máquina virtual, los clientes pueden seguir poniéndose en contacto con el controlador de dominio aunque el servicio DHCP no esté disponible. Para más información, consulte Creación de una máquina virtual que use una dirección IP privada estática.

Nota

No configure la NIC de máquina virtual para ningún AD DS mediante una dirección IP pública. Para obtener más información, vea Consideraciones sobre la seguridad.

El grupo de seguridad de red de la subred de Active Directory requiere reglas para permitir el tráfico entrante desde el entorno local y el tráfico saliente hacia el entorno local. Para obtener más información, consulte Configuración de un firewall para dominios y confianzas de Active Directory.

Si las nuevas máquinas virtuales del controlador de dominio también tienen el rol de los servidores del sistema de nombres de dominio (DNS), se recomienda configurarlas como servidores DNS personalizados en el nivel de red virtual, como se explica en Cambio de servidores DNS. Debe aplicar esta configuración a la red virtual que hospeda los nuevos controladores de dominio y redes emparejadas donde otras máquinas virtuales deben resolver nombres de dominio de Active Directory. Para más información, consulte Resolución de nombres para recursos en redes virtuales de Azure.

Para la configuración inicial, es posible que tenga que ajustar la NIC de uno de los controladores de dominio de Azure para que apunte a un controlador de dominio local como origen DNS principal.

La inclusión de su dirección IP en la lista de servidores DNS mejora el rendimiento y aumenta la disponibilidad de los servidores DNS. Sin embargo, puede producirse un retraso de inicio si el servidor DNS también es un controlador de dominio y solo apunta a sí mismo o apunta primero a sí mismo para la resolución de nombres.

Por este motivo, tenga cuidado al configurar la dirección de bucle invertido en un adaptador si el servidor también es un controlador de dominio. Es posible que tenga que sobrescribir la configuración de DNS de la NIC en Azure para que apunte a otro controlador de dominio hospedado en Azure o local para el servidor DNS principal. La dirección de bucle invertido solo debe configurarse como un servidor DNS secundario o terciario en un controlador de dominio.

Sitio de Active Directory

En AD DS, un sitio representa una ubicación física, una red o un conjunto de dispositivos. Use sitios de AD DS para administrar la replicación de bases de datos de AD DS mediante la agrupación de objetos de AD DS ubicados cerca de otro y conectados por una red de alta velocidad. AD DS incluye la lógica para seleccionar la mejor estrategia para replicar la base de datos de AD DS entre sitios.

Se recomienda crear un sitio de AD DS, incluidas las subredes definidas para la aplicación en Azure. A continuación, puede configurar un vínculo de sitio entre los sitios de AD DS locales. AD DS realiza automáticamente la replicación de base de datos más eficaz posible. Esta replicación de base de datos no requiere mucho trabajo más allá de la configuración inicial.

Maestro de operaciones de Active Directory

Puede asignar el rol maestro de operaciones a los controladores de dominio de AD DS para admitir la coherencia cuando comprueban entre instancias de bases de datos de AD DS replicadas. Los cinco roles maestros de operaciones son maestro de esquema, maestro de nomenclatura de dominio, maestro de identificador relativo, emulador maestro de controlador de dominio principal y maestro de infraestructura. Para obtener más información, consulte Planeamiento de la selección de ubicación de roles maestros de operaciones.

También se recomienda proporcionar al menos dos de los nuevos controladores de dominio de Azure el rol de catálogo global (GC). Para obtener más información, consulte Planear la selección de ubicación del servidor GC.

Supervisión

Supervise los recursos de las máquinas virtuales del controlador de dominio y AD DS y cree un plan para corregir los problemas rápidamente. Para obtener más información, consulte Supervisión de Active Directory. También puede instalar herramientas como Microsoft Systems Center en el servidor de supervisión para ayudar a realizar estas tareas.

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para obtener más información, consulte Well-Architected Framework.

Confiabilidad

La confiabilidad ayuda a garantizar que la aplicación pueda cumplir los compromisos que realice para sus clientes. Para obtener más información, consulte Lista de comprobación de revisión de diseño para confiabilidad.

Implemente las máquinas virtuales que ejecutan AD DS en al menos dos zonas de disponibilidad. Si las zonas de disponibilidad no están disponibles en la región, use conjuntos de disponibilidad. Además, considere la posibilidad de asignar el rol de maestro de operaciones en espera a al menos un servidor o más, según sus requisitos. Un maestro de operaciones en modo de espera es una copia activa del maestro de operaciones que puede reemplazar el servidor maestro de operaciones principal durante una conmutación por error.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el uso indebido de sus valiosos datos y sistemas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Los servidores de AD DS proporcionan servicios de autenticación y son un objetivo atractivo para los ataques. Para ayudar a protegerlos, evite la conectividad directa a Internet colocando los servidores de AD DS en una subred independiente con un NSG como firewall. Cierre todos los puertos de los servidores de AD DS, excepto los puertos necesarios para la autenticación, la autorización y la sincronización del servidor. Para obtener más información, consulte Configuración de un firewall para dominios y confianzas de Active Directory.

Use BitLocker o Azure Disk Encryption para cifrar el disco que hospeda la base de datos de AD DS.

Azure DDoS Protection, combinado con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación de DDoS para ayudar a defenderse contra ataques DDoS. Debe habilitar DDoS Protection en cualquier red virtual perimetral.

Optimización de costos

La optimización de costos se centra en formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costes.

Puede usar la calculadora de precios de Azure para calcular los costos. Otras consideraciones se describen en la sección Optimización de costos de Well-Architected Framework.

En las secciones siguientes se describen las consideraciones de costos para los servicios que usa esta arquitectura.

Servicios de dominio de Microsoft Entra

Considere la posibilidad de tener Microsoft Entra Domain Services como un servicio compartido consumido por varias cargas de trabajo para reducir los costos. Para obtener más información, consulte Precios de Domain Services.

VPN Gateway

VPN Gateway es el componente principal de esta arquitectura. Se le cobrará en función del tiempo en que se aprovisione y esté disponible la puerta de enlace.

Todo el tráfico entrante es gratuito, y se cobra todo el tráfico saliente. Al tráfico de salida de la VPN se le aplican los costos de ancho de banda de Internet.

Para obtener más información, vea Precios de VPN Gateway.

Red virtual

Virtual Network es gratis. A cada suscripción se le permite crear un máximo de 1,000 redes virtuales en todas las regiones. Todo el tráfico dentro de los límites de una red virtual es gratuito, por lo que la comunicación entre dos máquinas virtuales de la misma red virtual es gratuita.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para obtener más información, consulte la Lista de comprobación de revisión de diseño para la excelencia operativa.

• Use la infraestructura como prácticas de código para aprovisionar y configurar la infraestructura de red y seguridad. Una opción es usar plantillas de Azure Resource Manager.

• Aísle las cargas de trabajo para permitir a DevOps realizar la integración continua y la entrega continua (CI/CD), ya que el equipo correspondiente de DevOps asocia y administra todas las cargas de trabajo.

En esta arquitectura, toda la red virtual que incluye los distintos niveles de aplicación, el jump box de administración y Domain Services se identifica como una sola carga de trabajo aislada.

Puede configurar AD DS en máquinas virtuales mediante extensiones de máquina virtual y otras herramientas, como Desired State Configuration (DSC).

• Considere la posibilidad de automatizar las implementaciones mediante Azure DevOps o cualquier otra solución de CI/CD. Azure Pipelines es el componente recomendado de Azure DevOps Services. Proporciona automatización para compilaciones e implementaciones de soluciones y está muy integrada en el ecosistema de Azure.

• Use Azure Monitor para analizar el rendimiento de su infraestructura. También puede usarlo para supervisar y diagnosticar problemas de red sin iniciar sesión en las máquinas virtuales. Application Insights proporciona métricas y registros completos para comprobar el estado de la infraestructura.

Para obtener más información, consulte la sección DevOps en Well-Architected Framework.

Facilidad de uso

Realice copias de seguridad periódicas de AD DS. No copie solo los archivos de disco duro virtual (VHD) de controladores de dominio porque es posible que el archivo de base de datos de AD DS en el disco duro virtual no sea coherente cuando se copia, lo que hace que sea imposible reiniciar la base de datos.

No se recomienda apagar una máquina virtual del controlador de dominio mediante Azure Portal. En su lugar, apague y reinicie el sistema operativo invitado. Si apaga un controlador de dominio mediante Azure Portal, hace que la máquina virtual se desasigne, lo que produce los siguientes efectos al reiniciar la máquina virtual del controlador de dominio:

• Restablece y VM-GenerationID del invocationID repositorio de Active Directory.
• Descarta el grupo actual de identificadores relativos de Active Directory (RID).
• Marca la carpeta sysvol como no autenticativa.

El primer problema es relativamente benigno. El restablecimiento repetido de provoca un uso de ancho de banda adicional menor durante la invocationID replicación, pero este uso no es significativo.

El segundo problema puede contribuir al agotamiento del grupo rid en el dominio, especialmente si el tamaño del grupo de RID está configurado para que sea mayor que el predeterminado. Si el dominio existe durante mucho tiempo o se usa para flujos de trabajo que requieren la creación y eliminación repetitivas de cuentas, es posible que ya esté cerca del agotamiento del grupo rid. La supervisión del dominio para los eventos de advertencia de agotamiento del grupo rid es un procedimiento recomendado. Para obtener más información, consulte Administración de la emisión de RID.

El tercer problema es relativamente benigno siempre que un controlador de dominio autoritativo esté disponible cuando se reinicie una máquina virtual de controlador de dominio en Azure. Si todos los controladores de dominio de un dominio se ejecutan en Azure y todos se apagan y desasignan simultáneamente, cada controlador de dominio no encuentra una réplica autoritativa al reiniciarlos. La corrección de esta condición requiere intervención manual. Para obtener más información, consulte Forzar la sincronización autoritativa y no autenticativa para la replicación de sysvol replicada por DFSR.

Eficiencia del rendimiento

La eficiencia del rendimiento hace referencia a la capacidad de escalado de la carga de trabajo para satisfacer las demandas de los usuarios de forma eficaz. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.

AD DS está diseñado para ofrecer escalabilidad. No es necesario configurar un equilibrador de carga o un controlador de tráfico para dirigir las solicitudes a controladores de dominio de AD DS. La única consideración de escalabilidad es configurar las máquinas virtuales que ejecutan AD DS con el tamaño correcto para los requisitos de carga de red, supervisar la carga en las máquinas virtuales y escalar o reducir verticalmente según sea necesario.

Pasos siguientes

• ¿Qué es Microsoft Entra ID?
• Azure DevOps
• Azure Pipelines
• Azure Monitor
• Configuración de un firewall para dominios y confianzas de Active Directory
• Introducción a DSC
• Configuración de conexiones coexistentes de ExpressRoute y de sitio a sitio mediante PowerShell

Recursos relacionados

• Creación de un bosque de recursos AD DS en Azure
• Extensión de AD FS local a Azure

Esta arquitectura muestra cómo extender un dominio de Active Directory local a Azure para proporcionar servicios de autenticación distribuidos.

Arquitectura

El diagrama consta de dos secciones que se etiquetan como la red local y la red virtual. En la sección red local se muestra una puerta de enlace que tiene una conexión bidireccional desde los servidores de Active Directory a la subred de puerta de enlace de la sección red virtual. Una flecha apunta de esa puerta de enlace a un cuadro que representa la subred de la aplicación. Este cuadro contiene un icono que representa grupos de seguridad de red (NSG) y otra puerta de enlace que se conecta a dos máquinas virtuales (VM). Flecha que representa un punto de solicitud de autenticación de las máquinas virtuales a un cuadro con la etiqueta subred de AD DS. Este cuadro contiene un icono que representa grupos de seguridad de red y un grupo de dos servidores de AD DS. En la sección red local, una flecha etiquetada como puntos IP públicos de un icono que representa Internet a una máquina virtual en la sección red virtual. Esta máquina virtual está dentro de una subred de administración con la etiqueta box. El cuadro también contiene grupos de seguridad de red y un jump box. Una línea de puntos que representa Azure DDoS Protection rodea la sección de red virtual.

Descargue un archivo Visio de esta arquitectura.

Esta arquitectura amplía la arquitectura de red híbrida que se muestra en Conexión de una red local a Azure mediante una puerta de enlace de VPN.

Flujo de trabajo

El siguiente flujo de trabajo corresponde al diagrama anterior:

• Red local: La red local incluye servidores locales de Active Directory que pueden realizar la autenticación y autorización de los componentes ubicados en el entorno local.

• Servidores de Active Directory: Estos servidores son controladores de dominio que implementan servicios de directorio que se ejecutan como máquinas virtuales (VM) en la nube. Pueden proporcionar autenticación de componentes que se ejecutan en la red virtual de Azure.

• Subred de Active Directory: Los servidores de Active Directory Domain Services (AD DS) se hospedan en una subred independiente. Las reglas del grupo de seguridad de red (NSG) ayudan a proteger los servidores de AD DS y proporcionan un firewall contra el tráfico de orígenes inesperados.

• Sincronización de Azure VPN Gateway y Active Directory: VPN Gateway proporciona una conexión entre la red local y Azure Virtual Network. Puede ser una conexión VPN o mediante Azure ExpressRoute. Todas las solicitudes de sincronización entre los servidores de Active Directory en la nube y locales pasan a través de la puerta de enlace. Las rutas definidas por el usuario controlan el enrutamiento del tráfico local que pasa a Azure.

Componentes

• Microsoft Entra ID es un servicio de identidad empresarial que proporciona inicio de sesión único, autenticación multifactor y acceso condicional de Microsoft Entra. En esta arquitectura, Microsoft Entra ID proporciona acceso más seguro a las aplicaciones y servicios en la nube.

• VPN Gateway es un servicio que usa puertas de enlace de red virtual para enviar tráfico cifrado entre una red virtual de Azure y ubicaciones locales a través de la red pública de Internet. En esta arquitectura, VPN Gateway permite que el tráfico de sincronización de Active Directory fluya de forma más segura entre entornos.

• ExpressRoute es un servicio que puede usar para ampliar las redes locales a la nube de Microsoft a través de una conexión privada con la ayuda de un proveedor de conectividad. En esta arquitectura, ExpressRoute es una alternativa a las conexiones VPN para escenarios que requieren mayor ancho de banda y menor latencia.

• Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Puede usarlo para permitir que los recursos de Azure, como las máquinas virtuales, se comuniquen entre sí, Internet y redes locales. En esta arquitectura, Virtual Network admite la replicación y la autenticación de dominio.

Detalles del escenario

Si parte de la aplicación está hospedada en el entorno local y parte en Azure, puede que resulte más eficaz replicar AD DS en Azure. Esta replicación puede reducir la latencia causada por el envío de solicitudes de autenticación desde la nube de vuelta a instancias de AD DS que se ejecutan en el entorno local.

Posibles casos de uso

Esta arquitectura se usa normalmente cuando una conexión VPN o ExpressRoute conecta las redes virtuales locales y de Azure. Esta arquitectura también admite la replicación bidireccional, lo que significa que los cambios se pueden realizar en el entorno local o en la nube, y ambos orígenes se mantienen coherentes. Los usos típicos de esta arquitectura incluyen aplicaciones híbridas en las que la funcionalidad se distribuye entre el entorno local y azure y las aplicaciones y los servicios que realizan la autenticación mediante Active Directory.

Recomendaciones

Puede aplicar las siguientes recomendaciones a la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Recomendaciones de VM

Determine los requisitos de tamaño de la máquina virtual en función del volumen esperado de solicitudes de autenticación. Use las especificaciones de las máquinas que hospedan AD DS en el entorno local como punto de partida y adíquelas con los tamaños de máquina virtual de Azure. Después de implementar la aplicación, supervise el uso y escale verticalmente o reduzca verticalmente según la carga real en las máquinas virtuales. Para obtener más información, consulte Planeamiento de capacidad para AD DS.

Cree un disco de datos virtual independiente para almacenar la base de datos, los registros y la carpeta de volumen del sistema (sysvol) para Active Directory. No almacene estos elementos en el mismo disco que el sistema operativo. De forma predeterminada, los discos de datos se conectan a una máquina virtual mediante el almacenamiento en caché de escritura a través. Sin embargo, esta forma de almacenamiento en caché puede entrar en conflicto con los requisitos de AD DS. Por ello, establezca la preferencia de caché de host en el disco de datos en Ninguna.

Implemente al menos dos máquinas virtuales que ejecutan AD DS como controladores de dominio y agréguelas a diferentes zonas de disponibilidad. Si las zonas de disponibilidad no están disponibles en la región, implemente las máquinas virtuales en un conjunto de disponibilidad.

Recomendaciones de redes

Configure la interfaz de red de máquina virtual (NIC) para cada controlador de dominio con una dirección IP privada estática en lugar de usar el Protocolo de configuración dinámica de host (DHCP). Al asignar una dirección IP estática directamente a la máquina virtual, los clientes pueden seguir poniéndose en contacto con el controlador de dominio aunque el servicio DHCP no esté disponible. Para más información, consulte Creación de una máquina virtual que use una dirección IP privada estática.

Nota

No configure la NIC de máquina virtual para ningún AD DS mediante una dirección IP pública. Para obtener más información, vea Consideraciones sobre la seguridad.

El grupo de seguridad de red de la subred de Active Directory requiere reglas para permitir el tráfico entrante desde el entorno local y el tráfico saliente hacia el entorno local. Para obtener más información, consulte Configuración de un firewall para dominios y confianzas de Active Directory.

Si las nuevas máquinas virtuales del controlador de dominio también tienen el rol de los servidores del sistema de nombres de dominio (DNS), se recomienda configurarlas como servidores DNS personalizados en el nivel de red virtual, como se explica en Cambio de servidores DNS. Debe aplicar esta configuración a la red virtual que hospeda los nuevos controladores de dominio y redes emparejadas donde otras máquinas virtuales deben resolver nombres de dominio de Active Directory. Para más información, consulte Resolución de nombres para recursos en redes virtuales de Azure.

Para la configuración inicial, es posible que tenga que ajustar la NIC de uno de los controladores de dominio de Azure para que apunte a un controlador de dominio local como origen DNS principal.

La inclusión de su dirección IP en la lista de servidores DNS mejora el rendimiento y aumenta la disponibilidad de los servidores DNS. Sin embargo, puede producirse un retraso de inicio si el servidor DNS también es un controlador de dominio y solo apunta a sí mismo o apunta primero a sí mismo para la resolución de nombres.

Por este motivo, tenga cuidado al configurar la dirección de bucle invertido en un adaptador si el servidor también es un controlador de dominio. Es posible que tenga que sobrescribir la configuración de DNS de la NIC en Azure para que apunte a otro controlador de dominio hospedado en Azure o local para el servidor DNS principal. La dirección de bucle invertido solo debe configurarse como un servidor DNS secundario o terciario en un controlador de dominio.

Sitio de Active Directory

En AD DS, un sitio representa una ubicación física, una red o un conjunto de dispositivos. Use sitios de AD DS para administrar la replicación de bases de datos de AD DS mediante la agrupación de objetos de AD DS ubicados cerca de otro y conectados por una red de alta velocidad. AD DS incluye la lógica para seleccionar la mejor estrategia para replicar la base de datos de AD DS entre sitios.

Se recomienda crear un sitio de AD DS, incluidas las subredes definidas para la aplicación en Azure. A continuación, puede configurar un vínculo de sitio entre los sitios de AD DS locales. AD DS realiza automáticamente la replicación de base de datos más eficaz posible. Esta replicación de base de datos no requiere mucho trabajo más allá de la configuración inicial.

Maestro de operaciones de Active Directory

Puede asignar el rol maestro de operaciones a los controladores de dominio de AD DS para admitir la coherencia cuando comprueban entre instancias de bases de datos de AD DS replicadas. Los cinco roles maestros de operaciones son maestro de esquema, maestro de nomenclatura de dominio, maestro de identificador relativo, emulador maestro de controlador de dominio principal y maestro de infraestructura. Para obtener más información, consulte Planeamiento de la selección de ubicación de roles maestros de operaciones.

También se recomienda proporcionar al menos dos de los nuevos controladores de dominio de Azure el rol de catálogo global (GC). Para obtener más información, consulte Planear la selección de ubicación del servidor GC.

Supervisión

Supervise los recursos de las máquinas virtuales del controlador de dominio y AD DS y cree un plan para corregir los problemas rápidamente. Para obtener más información, consulte Supervisión de Active Directory. También puede instalar herramientas como Microsoft Systems Center en el servidor de supervisión para ayudar a realizar estas tareas.

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para obtener más información, consulte Well-Architected Framework.

Confiabilidad

La confiabilidad ayuda a garantizar que la aplicación pueda cumplir los compromisos que realice para sus clientes. Para obtener más información, consulte Lista de comprobación de revisión de diseño para confiabilidad.

Implemente las máquinas virtuales que ejecutan AD DS en al menos dos zonas de disponibilidad. Si las zonas de disponibilidad no están disponibles en la región, use conjuntos de disponibilidad. Además, considere la posibilidad de asignar el rol de maestro de operaciones en espera a al menos un servidor o más, según sus requisitos. Un maestro de operaciones en modo de espera es una copia activa del maestro de operaciones que puede reemplazar el servidor maestro de operaciones principal durante una conmutación por error.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el uso indebido de sus valiosos datos y sistemas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Los servidores de AD DS proporcionan servicios de autenticación y son un objetivo atractivo para los ataques. Para ayudar a protegerlos, evite la conectividad directa a Internet colocando los servidores de AD DS en una subred independiente con un NSG como firewall. Cierre todos los puertos de los servidores de AD DS, excepto los puertos necesarios para la autenticación, la autorización y la sincronización del servidor. Para obtener más información, consulte Configuración de un firewall para dominios y confianzas de Active Directory.

Use BitLocker o Azure Disk Encryption para cifrar el disco que hospeda la base de datos de AD DS.

Azure DDoS Protection, combinado con los procedimientos recomendados de diseño de aplicaciones, proporciona características mejoradas de mitigación de DDoS para ayudar a defenderse contra ataques DDoS. Debe habilitar DDoS Protection en cualquier red virtual perimetral.

Optimización de costos

La optimización de costos se centra en formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costes.

Puede usar la calculadora de precios de Azure para calcular los costos. Otras consideraciones se describen en la sección Optimización de costos de Well-Architected Framework.

En las secciones siguientes se describen las consideraciones de costos para los servicios que usa esta arquitectura.

Servicios de dominio de Microsoft Entra

Considere la posibilidad de tener Microsoft Entra Domain Services como un servicio compartido consumido por varias cargas de trabajo para reducir los costos. Para obtener más información, consulte Precios de Domain Services.

VPN Gateway

VPN Gateway es el componente principal de esta arquitectura. Se le cobrará en función del tiempo en que se aprovisione y esté disponible la puerta de enlace.

Todo el tráfico entrante es gratuito, y se cobra todo el tráfico saliente. Al tráfico de salida de la VPN se le aplican los costos de ancho de banda de Internet.

Para obtener más información, vea Precios de VPN Gateway.

Red virtual

Virtual Network es gratis. A cada suscripción se le permite crear un máximo de 1,000 redes virtuales en todas las regiones. Todo el tráfico dentro de los límites de una red virtual es gratuito, por lo que la comunicación entre dos máquinas virtuales de la misma red virtual es gratuita.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para obtener más información, consulte la Lista de comprobación de revisión de diseño para la excelencia operativa.

• Use la infraestructura como prácticas de código para aprovisionar y configurar la infraestructura de red y seguridad. Una opción es usar plantillas de Azure Resource Manager.

• Aísle las cargas de trabajo para permitir a DevOps realizar la integración continua y la entrega continua (CI/CD), ya que el equipo correspondiente de DevOps asocia y administra todas las cargas de trabajo.

En esta arquitectura, toda la red virtual que incluye los distintos niveles de aplicación, el jump box de administración y Domain Services se identifica como una sola carga de trabajo aislada.

Puede configurar AD DS en máquinas virtuales mediante extensiones de máquina virtual y otras herramientas, como Desired State Configuration (DSC).

• Considere la posibilidad de automatizar las implementaciones mediante Azure DevOps o cualquier otra solución de CI/CD. Azure Pipelines es el componente recomendado de Azure DevOps Services. Proporciona automatización para compilaciones e implementaciones de soluciones y está muy integrada en el ecosistema de Azure.

• Use Azure Monitor para analizar el rendimiento de su infraestructura. También puede usarlo para supervisar y diagnosticar problemas de red sin iniciar sesión en las máquinas virtuales. Application Insights proporciona métricas y registros completos para comprobar el estado de la infraestructura.

Para obtener más información, consulte la sección DevOps en Well-Architected Framework.

Facilidad de uso

Realice copias de seguridad periódicas de AD DS. No copie solo los archivos de disco duro virtual (VHD) de controladores de dominio porque es posible que el archivo de base de datos de AD DS en el disco duro virtual no sea coherente cuando se copia, lo que hace que sea imposible reiniciar la base de datos.

No se recomienda apagar una máquina virtual del controlador de dominio mediante Azure Portal. En su lugar, apague y reinicie el sistema operativo invitado. Si apaga un controlador de dominio mediante Azure Portal, hace que la máquina virtual se desasigne, lo que produce los siguientes efectos al reiniciar la máquina virtual del controlador de dominio:

• Restablece y VM-GenerationID del invocationID repositorio de Active Directory.
• Descarta el grupo actual de identificadores relativos de Active Directory (RID).
• Marca la carpeta sysvol como no autenticativa.

El primer problema es relativamente benigno. El restablecimiento repetido de provoca un uso de ancho de banda adicional menor durante la invocationID replicación, pero este uso no es significativo.

El segundo problema puede contribuir al agotamiento del grupo rid en el dominio, especialmente si el tamaño del grupo de RID está configurado para que sea mayor que el predeterminado. Si el dominio existe durante mucho tiempo o se usa para flujos de trabajo que requieren la creación y eliminación repetitivas de cuentas, es posible que ya esté cerca del agotamiento del grupo rid. La supervisión del dominio para los eventos de advertencia de agotamiento del grupo rid es un procedimiento recomendado. Para obtener más información, consulte Administración de la emisión de RID.

El tercer problema es relativamente benigno siempre que un controlador de dominio autoritativo esté disponible cuando se reinicie una máquina virtual de controlador de dominio en Azure. Si todos los controladores de dominio de un dominio se ejecutan en Azure y todos se apagan y desasignan simultáneamente, cada controlador de dominio no encuentra una réplica autoritativa al reiniciarlos. La corrección de esta condición requiere intervención manual. Para obtener más información, consulte Forzar la sincronización autoritativa y no autenticativa para la replicación de sysvol replicada por DFSR.

Eficiencia del rendimiento

La eficiencia del rendimiento hace referencia a la capacidad de escalado de la carga de trabajo para satisfacer las demandas de los usuarios de forma eficaz. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.

AD DS está diseñado para ofrecer escalabilidad. No es necesario configurar un equilibrador de carga o un controlador de tráfico para dirigir las solicitudes a controladores de dominio de AD DS. La única consideración de escalabilidad es configurar las máquinas virtuales que ejecutan AD DS con el tamaño correcto para los requisitos de carga de red, supervisar la carga en las máquinas virtuales y escalar o reducir verticalmente según sea necesario.

Pasos siguientes

• ¿Qué es Microsoft Entra ID?
• Azure DevOps
• Azure Pipelines
• Azure Monitor
• Configuración de un firewall para dominios y confianzas de Active Directory
• Introducción a DSC
• Configuración de conexiones coexistentes de ExpressRoute y de sitio a sitio mediante PowerShell

Recursos relacionados

• Creación de un bosque de recursos AD DS en Azure
• Extensión de AD FS local a Azure