Creación de un bosque de recursos AD DS en Azure

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Esta arquitectura de referencia muestra cómo crear un dominio de Active Directory independiente en Azure en el que confíen los dominios del bosque de AD local.

Diagrama que muestra una arquitectura de red híbrida segura con dominios independientes de Active Directory.

Descargue un archivo de Visio para la arquitectura "Bosque de AD DS".

Active Directory Domain Services (AD DS) almacena información de identidad en una estructura jerárquica. El nodo superior de la estructura jerárquica se conoce como bosque. Un bosque contiene dominios y los dominios contienen otros tipos de objetos. Esta arquitectura de referencia crea un bosque de AD DS en Azure con una relación de confianza saliente unidireccional con un dominio local. El bosque en Azure contiene un dominio que no existe en el entorno local. Debido a la relación de confianza, se puede confiar en los inicios de sesión realizados en los dominios locales para acceder a los recursos del dominio de Azure independiente.

Los usos habituales de esta arquitectura incluyen el mantenimiento de la separación de seguridad de objetos e identidades mantenida en la nube y la migración de dominios individuales del entorno local a la nube.

Para consideraciones adicionales, consulte Selección de una solución para la integración de Active Directory local con Azure.

Architecture

La arquitectura tiene los siguientes componentes.

  • Red local. La red local contiene su propio bosque y dominios de Active Directory.
  • Servidores de Active Directory. Son controladores de dominio que implementan servicios de dominio que se ejecutan como máquinas virtuales en la nube. Estos servidores hospedan un bosque que contiene uno o varios dominios, que están separados de aquellos ubicados en el entorno local.
  • Relación de confianza unidireccional. El ejemplo del diagrama muestra una confianza unidireccional entre el dominio de Azure y el dominio local. Esta relación permite que los usuarios locales accedan a los recursos que hay en el dominio de Azure, pero no al revés.
  • Subred de Active Directory. Los servidores de AD DS se hospedan en una subred independiente. Las reglas de grupo de seguridad de red (NSG) protegen los servidores de AD DS y proporcionan un firewall contra el tráfico de orígenes inesperados.
  • Puerta de enlace de Azure. La puerta de enlace de Azure proporciona una conexión entre la red local y la red virtual de Azure. Puede ser una conexión VPN o de Azure ExpressRoute. Para más información, consulte la sección Connect an on-premises network to Azure using a VPN gateway (Conexión de una red local a Azure mediante una puerta de enlace de VPN).

Recomendaciones

Para obtener recomendaciones específicas sobre cómo implementar Active Directory en Azure, vea Extensión de Active Directory Domain Services (AD DS) a Azure.

Confianza

Los dominios locales están dentro de un bosque diferente de los dominios en la nube. Para permitir la autenticación de usuarios locales en la nube, los dominios de Azure deben confiar en el dominio de inicio de sesión del bosque local. De forma similar, si la nube proporciona un dominio de inicio de sesión para los usuarios externos, puede ser necesario que el bosque local confíe en el dominio en la nube.

Puede establecer relaciones de confianza en el nivel de bosque mediante la creación de confianzas de bosque, o en el nivel de dominio mediante la creación de confianzas externas. Una nivel de confianza de bosque crea una relación entre todos los dominios de los dos bosques. Una confianza de nivel de dominio externo solo crea una relación entre dos dominios especificados. Solo se deben crear confianzas de nivel de dominio externo entre dominios de diferentes bosques.

Las confianzas con una instancia de Active Directory local solo son unidireccionales. Una confianza unidireccional permite a los usuarios de un dominio o bosque (conocido como el dominio o bosque entrante dominio o bosque) acceder a los recursos mantenidos en otro (el dominio o bosque saliente).

En la tabla siguiente se resumen las configuraciones de confianza para algunos escenarios sencillos:

Escenario Confianza local Confianza en la nube
Los usuarios locales necesitan acceso a los recursos de la nube, pero no al revés. Unidireccional, entrante Unidireccional, saliente
Los usuarios de la nube necesitan acceso a los recursos ubicados en el entorno local, pero no al revés. Unidireccional, saliente Unidireccional, entrante

Consideraciones sobre escalabilidad

Active Directory es escalable automáticamente para los controladores de dominio que forman parte del mismo dominio. Las solicitudes se distribuyen entre todos los controladores de un dominio. Si agrega otro controlador de dominio, este se sincroniza automáticamente con el dominio. No configure un equilibrador de carga independiente para dirigir el tráfico a los controladores dentro del dominio. Asegúrese de que todos los controladores de dominio tengan suficientes recursos de memoria y almacenamiento para administrar la base de datos de dominio. Iguale el tamaño de todas las máquinas virtuales de controlador de dominio.

Consideraciones sobre disponibilidad

Aprovisione al menos dos controladores de dominio para cada dominio. Esto permite la replicación automática entre servidores. Cree un conjunto de disponibilidad para las máquinas virtuales que actúan como servidores de Active Directory que administran cada dominio. Coloque al menos dos servidores en este conjunto de disponibilidad.

Además, considere la posibilidad de designar uno o más servidores de cada dominio como maestro de operaciones en espera para los casos en que se produzca un error de conectividad a un servidor que actúa con el rol de operación de maestro único flexible (FSMO).

Consideraciones sobre la manejabilidad

Para conocer las consideraciones sobre administración y supervisión, consulte Extensión de Active Directory a Azure.

Para más información, consulte Supervisión de Active Directory. Puede instalar herramientas como Microsoft Systems Center en un servidor de supervisión en la subred de administración para ayudar a realizar estas tareas.

Consideraciones sobre la seguridad

Las confianzas de nivel de bosque son transitivas. Si establece una confianza de nivel de bosque entre un bosque local y un bosque en la nube, esta confianza se extiende a otros dominios nuevos creados en cualquiera de los bosques. Si usa dominios para proporcionar separación por motivos de seguridad, considere la posibilidad de crear confianzas solo en el nivel de dominio. Las confianzas de nivel de dominio son no transitivas.

Para conocer las consideraciones sobre seguridad específicas de Active Directory, consulte la sección Extensión de Active Directory a Azure.

Consideraciones sobre DevOps

Para consideraciones sobre DevOps, consulte Excelencia operativa en Extensión de Active Directory Domain Services (AD DS) a Azure.

Consideraciones sobre el costo

Puede usar la calculadora de precios de Azure para calcular los costos. Otras consideraciones se describen en la sección Costo de Marco de buena arquitectura de Microsoft Azure.

Estas son las consideraciones de costo de los servicios que se usan en esta arquitectura.

Servicios de dominio de AD

Considere la posibilidad de que Active Directory Domain Services sea un servicio compartido que lo consuman varias cargas de trabajo para reducir costos. Para más información, consulte Precios de Active Directory Domain Services.

Azure VPN Gateway

El componente principal de esta arquitectura es el servicio VPN Gateway. Se le aplicará un cargo dependiendo del tiempo de aprovisionamiento y de la disponibilidad de la puerta de enlace.

Todo el tráfico entrante es gratuito, se cobra todo el tráfico saliente. Al tráfico de salida de la VPN se le aplican los costos de ancho de banda de Internet.

Para obtener más información, vea Precios de VPN Gateway.

Pasos siguientes