AD DS üzembe helyezése Azure-beli virtuális hálózaton

Microsoft Entra

Azure Virtual Network

Ez az architektúra bemutatja, hogyan terjeszthet ki egy helyi Active Directory tartományt az Azure-ra elosztott hitelesítési szolgáltatások biztosítására.

Architektúra

A diagram két szakaszból áll, amelyek a helyszíni hálózatként és a virtuális hálózatként vannak megjelölve. A helyszíni hálózati szakasz egy átjárót jelenít meg, amely kétirányú kapcsolatot létesít az Active Directory-kiszolgálókról a virtuális hálózat szakasz átjáróalhálózatával. Egy nyíl mutat az átjáróról egy olyan mezőre, amely az alkalmazás alhálózatát jelöli. Ez a mező egy olyan ikont tartalmaz, amely a hálózati biztonsági csoportokat (NSG-ket) és egy másik átjárót jelöl, amely két virtuális géphez csatlakozik. Egy olyan nyíl, amely egy hitelesítési kérést jelöl, amely a virtuális gépekről egy AD DS-alhálózat címkével ellátott dobozra mutat. Ez a mező egy ikont tartalmaz, amely az NSG-ket és két AD DS-kiszolgáló egy csoportját jelöli. A helyszíni hálózat szakaszában egy nyíl, amely nyilvános IP-pontokat jelöl egy ikonról, amely az internetet jelöli a virtuális hálózat szakaszában lévő virtuális gép felé. Ez a virtuális gép egy felügyeleti alhálózaton belül található. A mező NSG-ket és egy jump boxot is tartalmaz. Az Azure DDoS Protectiont jelképező pontozott vonal veszi körül a virtuális hálózati szakaszt.

Töltse le az architektúra Visio-fájlját.

Ez az architektúra egy VPN-átjáró használatával kibővíti a helyszíni hálózat csatlakoztatása az Azure-hoz című cikkben bemutatott hibrid hálózati architektúrát.

Workflow

A következő munkafolyamat az előző diagramnak felel meg:

• Helyszíni hálózat: A helyszíni hálózat helyi Active Directory-kiszolgálókat tartalmaz, amelyek képesek hitelesítést és engedélyezést végezni a helyszínen található összetevőkhöz.

• Active Directory-kiszolgálók: Ezek a kiszolgálók olyan tartományvezérlők, amelyek virtuális gépként (VM-ként) futó címtárszolgáltatásokat implementálnak a felhőben. Az Azure-beli virtuális hálózaton futó összetevők hitelesítését biztosítják.

• Active Directory-alhálózat: Az Active Directory Domain Services (AD DS) kiszolgálókat külön alhálózat üzemelteti. A hálózati biztonsági csoport (NSG) szabályai segítenek megvédeni az AD DS-kiszolgálókat, és tűzfalat biztosítani a váratlan forrásokból érkező forgalom ellen.

• Azure VPN Gateway és Active Directory-szinkronizálás: A VPN Gateway kapcsolatot biztosít a helyszíni hálózat és az Azure Virtual Network között. Ez a kapcsolat lehet VPN-kapcsolat vagy az Azure ExpressRoute-on keresztül. A felhőben és a helyszínen lévő Active Directory-kiszolgálók közötti minden forgalom ezen az átjárón halad keresztül. A felhasználó által megadott útvonalak kezelik az Azure-ba irányuló helyszíni forgalom útválasztását.

Összetevők

• A Microsoft Entra ID egy vállalati identitásszolgáltatás, amely egyszeri bejelentkezést, többtényezős hitelesítést és Microsoft Entra feltételes hozzáférést biztosít. Ebben az architektúrában a Microsoft Entra ID biztonságosabb hozzáférést biztosít a felhőalkalmazásokhoz és -szolgáltatásokhoz.

• A VPN Gateway egy olyan szolgáltatás, amely virtuális hálózati átjárókkal küld titkosított forgalmat egy Azure-beli virtuális hálózat és a helyszíni helyek között a nyilvános interneten keresztül. Ebben az architektúrában a VPN Gateway lehetővé teszi, hogy az Active Directory szinkronizálási forgalma biztonságosabban haladjon a környezetek között.

• Az ExpressRoute egy szolgáltatás, amellyel a helyszíni hálózatokat kiterjesztheti a Microsoft-felhőbe egy privát kapcsolaton keresztül egy kapcsolatszolgáltató segítségével. Ebben az architektúrában az ExpressRoute alternatívát jelent a VPN-kapcsolatok helyett olyan forgatókönyvek esetében, amelyek nagyobb sávszélességet és kisebb késést igényelnek.

• A virtuális hálózat az Azure-beli magánhálózatok alapvető építőeleme. Ezzel engedélyezheti az Azure-erőforrásokat, például a virtuális gépeket, hogy kommunikáljanak egymással, az internettel és a helyszíni hálózatokkal. Ebben az architektúrában a virtuális hálózat támogatja a tartományreplikációt és a hitelesítést.

Forgatókönyv részletei

Ha az alkalmazást részben a helyszínen, részben az Azure-ban üzemeltetik, hatékonyabb lehet az AD DS replikálása az Azure-ban. Ez a replikáció csökkentheti a felhőből a helyszínen futó AD DS-példányokra küldött hitelesítési kérések okozta késést.

Lehetséges használati esetek

Ezt az architektúrát gyakran használják, ha EGY VPN- vagy ExpressRoute-kapcsolat összekapcsolja a helyszíni és az Azure-beli virtuális hálózatokat. Ez az architektúra támogatja a kétirányú replikációt is, ami azt jelenti, hogy a módosítások a helyszínen vagy a felhőben is végezhetők, és mindkét forrás konzisztens marad. Az architektúra tipikus felhasználási módjai közé tartoznak a hibrid alkalmazások, amelyekben a funkciók eloszthatók a helyszíni és az Azure között, valamint az Active Directory használatával hitelesítést végző alkalmazások és szolgáltatások.

Ajánlások

A legtöbb forgatókönyvre az alábbi javaslatokat alkalmazhatja. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

Virtuális gépekre vonatkozó javaslatok

Határozza meg a virtuális gép méretkövetelményeit a hitelesítési kérelmek várt mérete alapján. Használja a helyszíni AD DS-t futtató gépek specifikációit kiindulási pontként, és egyezzen meg az Azure-beli virtuálisgép-méretekkel. Az alkalmazás üzembe helyezése után monitorozza a használatot, és a virtuális gépek tényleges terhelése alapján vertikálisan fel- vagy leskálázható. További információ: Az AD DS kapacitástervezése.

Hozzon létre egy külön virtuális adatlemezt az Active Directory adatbázis-, napló- és rendszerköteti (sysvol) mappájának tárolásához. Ne tárolja ezeket az elemeket ugyanazon a lemezen, mint az operációs rendszer. Alapértelmezés szerint az adatlemezek írási gyorsítótárazással vannak csatolva egy virtuális géphez. A gyorsítótárazás ezen formája azonban ütközhet az AD DS követelményeivel. Ezért az adatlemez Host Cache Preference (Gazdagép gyorsítótár-beállítása) beállítást állítsa None (Nincs) értékre.

Helyezzen üzembe legalább két olyan virtuális gépet, amely tartományvezérlőként futtatja az AD DS-t, és vegye fel őket a különböző rendelkezésre állási zónákba. Ha a rendelkezésre állási zónák nem érhetők el a régióban, helyezze üzembe a virtuális gépeket egy rendelkezésre állási csoportban.

Hálózatokra vonatkozó javaslatok

Konfigurálja a virtuálisgép-hálózati adaptert (NIC) minden tartományvezérlőhöz statikus privát IP-címmel a Dinamikus gazdagép konfigurációs protokoll (DHCP) használata helyett. Ha statikus IP-címet rendel közvetlenül a virtuális géphez, az ügyfelek akkor is kapcsolatba léphetnek a tartományvezérlővel, ha a DHCP szolgáltatás nem érhető el. További információ: Statikus magánhálózati IP-címet használó virtuális gép létrehozása.

Feljegyzés

Ne konfigurálja a virtuálisgép-hálózati adaptert egyetlen AD DS-hez sem nyilvános IP-cím használatával. További információ: Biztonsági szempontok.

Az Active Directory alhálózati NSG-hez szabályok szükségesek a helyszíni és a kimenő forgalom helyszíni felé irányuló bejövő forgalmának engedélyezéséhez. További információ: Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatósági kapcsolatokhoz.

Ha az új tartományvezérlő virtuális gépek dns-kiszolgálókat is használnak, javasoljuk, hogy egyéni DNS-kiszolgálókként konfigurálja őket a virtuális hálózat szintjén, a DNS-kiszolgálók módosítása című témakörben leírtak szerint. Ezt a konfigurációt az új tartományvezérlőket és társhálózatokat üzemeltető virtuális hálózatra kell alkalmaznia, ahol más virtuális gépeknek fel kell oldaniuk az Active Directory-tartományneveket. További információ: Az Azure-beli virtuális hálózatok erőforrásainak névfeloldása.

A kezdeti konfigurációhoz előfordulhat, hogy módosítania kell az Azure egyik tartományvezérlőjének hálózati adapterét, hogy elsődleges DNS-forrásként a helyszíni tartományvezérlőre mutasson.

Az IP-cím felvétele a DNS-kiszolgálók listájába javítja a teljesítményt, és növeli a DNS-kiszolgálók rendelkezésre állását. Az indítási késleltetés azonban akkor fordulhat elő, ha a DNS-kiszolgáló szintén tartományvezérlő, és csak önmagára mutat, vagy a névfeloldáshoz először önmagára mutat.

Ezért legyen óvatos, ha a visszacsatolási címet egy adapteren konfigurálja, ha a kiszolgáló szintén tartományvezérlő. Előfordulhat, hogy felül kell írnia a hálózati adapter DNS-beállításait az Azure-ban ahhoz, hogy egy másik, az Azure-ban vagy az elsődleges DNS-kiszolgálón a helyszínen üzemeltetett tartományvezérlőre mutasson. A visszacsatolási címet csak másodlagos vagy harmadlagos DNS-kiszolgálóként kell konfigurálni egy tartományvezérlőn.

Active Directory-hely

Az AD DS-ben a hely egy fizikai helyet, hálózatot vagy eszközgyűjteményt jelent. Az AD DS-webhelyek használatával kezelheti az AD DS-adatbázisreplikálást olyan AD DS-objektumok csoportosításával, amelyek egymás közelében találhatók, és nagy sebességű hálózattal csatlakoznak. Az AD DS logikával választja ki az AD DS-adatbázis helyek közötti replikálásának legjobb stratégiáját.

Javasoljuk, hogy hozzon létre egy AD DS-webhelyet, beleértve az alkalmazáshoz az Azure-ban definiált alhálózatokat is. Ezután konfigurálhat egy helykapcsolatot a helyszíni AD DS-webhelyek között. Az AD DS automatikusan elvégzi a lehető leghatékonyabb adatbázis-replikációt. Ez az adatbázis-replikáció nem igényel sok munkát a kezdeti konfiguráción túl.

Active Directory műveleti főkiszolgáló

Az AD DS-tartományvezérlőkhöz hozzárendelheti a műveleti főkiszolgálói szerepkört, hogy támogassa a konzisztenciát, amikor a replikált AD DS-adatbázisok példányai között ellenőrzik őket. Az öt műveleti főkiszolgálói szerepkör a séma főkiszolgálója, a tartományelnevezési főkiszolgáló, a relatív azonosító főkiszolgálója, az elsődleges tartományvezérlő főemulátora és az infrastruktúra-főkiszolgáló. További információ: Plan operations master role placement.

Azt is javasoljuk, hogy az új Azure-tartományvezérlők közül legalább kettőnek adjon globális katalógus (GC) szerepkört. További információ: GC-kiszolgáló elhelyezésének tervezése.

Figyelés

Figyelje a tartományvezérlő virtuális gépek és az AD DS erőforrásait, és hozzon létre egy tervet a problémák gyors kijavítására. További információ: Active Directory monitorozása. A feladatok elvégzéséhez telepíthet olyan eszközöket is, mint a Microsoft Systems Center a monitorozási kiszolgálón.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információkért tekintse meg a Megbízhatósági terv felülvizsgálati ellenőrzőlistát.

Helyezze üzembe az AD DS-t futtató virtuális gépeket legalább két rendelkezésre állási zónában. Ha a rendelkezésre állási zónák nem érhetők el a régióban, használja a rendelkezésre állási csoportokat. A követelményektől függően érdemes lehet a készenléti műveleti főkiszolgáló szerepkörét is hozzárendelni legalább egy kiszolgálóhoz. A készenléti műveleti főkiszolgáló a műveleti főkiszolgáló aktív másolata, amely a feladatátvétel során lecserélheti az elsődleges műveleti főkiszolgáló kiszolgálóját.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

Az AD DS-kiszolgálók hitelesítési szolgáltatásokat nyújtanak, és vonzó célpontok a támadásokhoz. A biztonságuk érdekében megakadályozza a közvetlen internetkapcsolatot azáltal, hogy az AD DS-kiszolgálókat egy külön alhálózatba helyezi egy NSG-vel tűzfalként. Zárja be az AD DS-kiszolgálók összes portjait, kivéve a hitelesítéshez, engedélyezéshez és kiszolgálószinkronizáláshoz szükséges portokat. További információ: Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatósági kapcsolatokhoz.

Az AD DS-adatbázist üzemeltető lemez titkosításához használjon BitLocker- vagy Azure-lemeztitkosítást.

Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A DDoS Protectiont minden szegélyhálózaton engedélyeznie kell.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésére és a működési hatékonyság javítására összpontosít. További információt a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistájában talál.

Az Azure díjkalkulátorával megbecsülheti költségeit. Egyéb szempontokat a Well-Architected-keretrendszer Költségoptimalizálás című szakasza ismertet.

A következő szakaszok az architektúra által használt szolgáltatások költségbeli szempontjait ismertetik.

Microsoft Entra Domain-szolgáltatások

Fontolja meg, hogy a Microsoft Entra Domain Services egy megosztott szolgáltatás, amelyet több számítási feladat használ fel a költségek csökkentése érdekében. További információkért lásd a Domain Services díjszabását.

VPN Gateway

A VPN Gateway az architektúra fő összetevője. Az átjáró üzembe helyezésének és rendelkezésre állásának időpontja alapján kell fizetnie.

Minden bejövő forgalom ingyenes, és az összes kimenő forgalom díjköteles. Az internetes sávszélesség költségei a VPN kimenő forgalmára vonatkoznak.

További információkért lásd a VPN Gateway díjszabását.

Virtual Network

A virtuális hálózat ingyenes. Minden előfizetés legfeljebb 1000 virtuális hálózatot hozhat létre minden régióban. A virtuális hálózat határain belüli összes forgalom ingyenes, így az ugyanazon a virtuális hálózaton lévő két virtuális gép közötti kommunikáció ingyenes.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben működtetik. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

• Használja az infrastruktúrát kódként a hálózati és biztonsági infrastruktúra kiépítéséhez és konfigurálásához. Az egyik lehetőség az Azure Resource Manager-sablonok.

• Különítse el a számítási feladatokat, hogy lehetővé tegyék a DevOps számára a folyamatos integrációt és a folyamatos teljesítést (CI/CD), mivel minden számítási feladatot a megfelelő DevOps-csapat társít és kezel.

Ebben az architektúrában a különböző alkalmazásszinteket, felügyeleti jump boxot és Domain Servicest tartalmazó teljes virtuális hálózat egyetlen izolált számítási feladatként van azonosítva.

Az AD DS virtuális gépeken virtuálisgép-bővítmények és egyéb eszközök, például a Desired State Configuration (DSC) használatával konfigurálható.

• Fontolja meg az üzembe helyezés automatizálását az Azure DevOps vagy bármely más CI/CD-megoldás használatával. Az Azure Pipelines az Azure DevOps Services ajánlott összetevője. Automatizálást biztosít a megoldások összeállításához és üzembe helyezéséhez, és nagy mértékben integrálható az Azure-ökoszisztémába.

• Az Azure Monitor használatával elemezheti az infrastruktúra teljesítményét. A hálózatkezelési problémák monitorozására és diagnosztizálására is használható anélkül, hogy bejelentkezett volna a virtuális gépekre. Az Application Insights gazdag metrikákat és naplókat biztosít az infrastruktúra állapotának ellenőrzéséhez.

További információ: Well-Architected Framework DevOps szakasza.

Kezelhetőség

Rendszeresen készítsen biztonsági mentést az AD DS-ről. Ne csak másolja a tartományvezérlők virtuális merevlemez-fájljait, mert előfordulhat, hogy a VHD-n lévő AD DS-adatbázisfájl nem lesz konzisztens a másoláskor, ami lehetetlenné teszi az adatbázis újraindítását.

Nem javasoljuk, hogy állítsa le a tartományvezérlő virtuális gépét az Azure Portal használatával. Ehelyett állítsa le és indítsa újra a vendég operációs rendszert. Ha az Azure Portal használatával leállítja a tartományvezérlőt, az a virtuális gép felszabadítását okozza, ami a következő hatásokat eredményezi a tartományvezérlő virtuális gépének újraindításakor:

• Alaphelyzetbe állítja az VM-GenerationID Active Directory-adattárat és invocationID azokat.
• Elveti az aktuális Active Directory relatív azonosító (RID) készletet.
• A sysvol mappát nemauthoritatívként jelöli meg.

Az első probléma viszonylag jóindulatú. A replikáció során kisebb sávszélesség-használatot okoz, invocationID de ez a használat nem jelentős.

A második probléma hozzájárulhat a rid-készlet kimerüléséhez a tartományban, különösen akkor, ha a RID-készlet mérete az alapértelmezettnél nagyobbra van konfigurálva. Ha a tartomány hosszú ideig létezik, vagy olyan munkafolyamatokhoz használják, amelyek ismétlődő fióklétrehozást és -törlést igényelnek, előfordulhat, hogy már a RID-készlet kimerüléséhez közeledik. Ajánlott a tartomány figyelése a RID-készlet kimerülésére figyelmeztető események esetén. További információt a RID-kiállítás kezelése című témakörben talál.

A harmadik probléma viszonylag jóindulatú, ha egy mérvadó tartományvezérlő érhető el az Azure-beli tartományvezérlő virtuális gépének újraindításakor. Ha egy tartomány összes tartományvezérlője az Azure-ban fut, és mind egyszerre van leállítva és felszabadítva, akkor minden tartományvezérlő nem talál mérvadó replikát, amikor újraindítja őket. A feltétel javítása manuális beavatkozást igényel. További információkért lásd: Mérvadó és nem hiteles szinkronizálás kényszerítve az elosztott fájlrendszer által replikált sysvol replikációhoz.

Teljesítményhatékonyság

A teljesítményhatékonyság azt jelenti, hogy a számítási feladat hatékonyan képes méretezni a felhasználói igényeket. További információt a Teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistájában talál.

Az AD DS-t méretezhetőségre tervezték. Nem kell terheléselosztót vagy forgalomirányítót konfigurálnia a kérelmek AD DS-tartományvezérlőkre történő irányításához. Az egyetlen skálázhatósági szempont az AD DS-t futtató virtuális gépek konfigurálása a hálózati terhelési követelményeknek megfelelő mérettel, a virtuális gépek terhelésének figyelése és szükség szerint fel- vagy leskálázás.

Következő lépések

• Mi a Microsoft Entra-azonosító?
• Azure DevOps
• Azure-folyamatok
• Azure Monitor
• Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatóságokhoz
• A DSC áttekintése
• Az ExpressRoute és a helyek közötti egyidejű kapcsolatok konfigurálása a PowerShell használatával

Kapcsolódó erőforrások

• AD DS-erőforráserdő létrehozása az Azure-ban
• Helyszíni AD FS kiterjesztése az Azure-ra

Ez az architektúra bemutatja, hogyan terjeszthet ki egy helyi Active Directory tartományt az Azure-ra elosztott hitelesítési szolgáltatások biztosítására.

Architektúra

A diagram két szakaszból áll, amelyek a helyszíni hálózatként és a virtuális hálózatként vannak megjelölve. A helyszíni hálózati szakasz egy átjárót jelenít meg, amely kétirányú kapcsolatot létesít az Active Directory-kiszolgálókról a virtuális hálózat szakasz átjáróalhálózatával. Egy nyíl mutat az átjáróról egy olyan mezőre, amely az alkalmazás alhálózatát jelöli. Ez a mező egy olyan ikont tartalmaz, amely a hálózati biztonsági csoportokat (NSG-ket) és egy másik átjárót jelöl, amely két virtuális géphez csatlakozik. Egy olyan nyíl, amely egy hitelesítési kérést jelöl, amely a virtuális gépekről egy AD DS-alhálózat címkével ellátott dobozra mutat. Ez a mező egy ikont tartalmaz, amely az NSG-ket és két AD DS-kiszolgáló egy csoportját jelöli. A helyszíni hálózat szakaszában egy nyíl, amely nyilvános IP-pontokat jelöl egy ikonról, amely az internetet jelöli a virtuális hálózat szakaszában lévő virtuális gép felé. Ez a virtuális gép egy felügyeleti alhálózaton belül található. A mező NSG-ket és egy jump boxot is tartalmaz. Az Azure DDoS Protectiont jelképező pontozott vonal veszi körül a virtuális hálózati szakaszt.

Töltse le az architektúra Visio-fájlját.

Ez az architektúra egy VPN-átjáró használatával kibővíti a helyszíni hálózat csatlakoztatása az Azure-hoz című cikkben bemutatott hibrid hálózati architektúrát.

Workflow

A következő munkafolyamat az előző diagramnak felel meg:

• Helyszíni hálózat: A helyszíni hálózat helyi Active Directory-kiszolgálókat tartalmaz, amelyek képesek hitelesítést és engedélyezést végezni a helyszínen található összetevőkhöz.

• Active Directory-kiszolgálók: Ezek a kiszolgálók olyan tartományvezérlők, amelyek virtuális gépként (VM-ként) futó címtárszolgáltatásokat implementálnak a felhőben. Az Azure-beli virtuális hálózaton futó összetevők hitelesítését biztosítják.

• Active Directory-alhálózat: Az Active Directory Domain Services (AD DS) kiszolgálókat külön alhálózat üzemelteti. A hálózati biztonsági csoport (NSG) szabályai segítenek megvédeni az AD DS-kiszolgálókat, és tűzfalat biztosítani a váratlan forrásokból érkező forgalom ellen.

• Azure VPN Gateway és Active Directory-szinkronizálás: A VPN Gateway kapcsolatot biztosít a helyszíni hálózat és az Azure Virtual Network között. Ez a kapcsolat lehet VPN-kapcsolat vagy az Azure ExpressRoute-on keresztül. A felhőben és a helyszínen lévő Active Directory-kiszolgálók közötti minden forgalom ezen az átjárón halad keresztül. A felhasználó által megadott útvonalak kezelik az Azure-ba irányuló helyszíni forgalom útválasztását.

Összetevők

• A Microsoft Entra ID egy vállalati identitásszolgáltatás, amely egyszeri bejelentkezést, többtényezős hitelesítést és Microsoft Entra feltételes hozzáférést biztosít. Ebben az architektúrában a Microsoft Entra ID biztonságosabb hozzáférést biztosít a felhőalkalmazásokhoz és -szolgáltatásokhoz.

• A VPN Gateway egy olyan szolgáltatás, amely virtuális hálózati átjárókkal küld titkosított forgalmat egy Azure-beli virtuális hálózat és a helyszíni helyek között a nyilvános interneten keresztül. Ebben az architektúrában a VPN Gateway lehetővé teszi, hogy az Active Directory szinkronizálási forgalma biztonságosabban haladjon a környezetek között.

• Az ExpressRoute egy szolgáltatás, amellyel a helyszíni hálózatokat kiterjesztheti a Microsoft-felhőbe egy privát kapcsolaton keresztül egy kapcsolatszolgáltató segítségével. Ebben az architektúrában az ExpressRoute alternatívát jelent a VPN-kapcsolatok helyett olyan forgatókönyvek esetében, amelyek nagyobb sávszélességet és kisebb késést igényelnek.

• A virtuális hálózat az Azure-beli magánhálózatok alapvető építőeleme. Ezzel engedélyezheti az Azure-erőforrásokat, például a virtuális gépeket, hogy kommunikáljanak egymással, az internettel és a helyszíni hálózatokkal. Ebben az architektúrában a virtuális hálózat támogatja a tartományreplikációt és a hitelesítést.

Forgatókönyv részletei

Ha az alkalmazást részben a helyszínen, részben az Azure-ban üzemeltetik, hatékonyabb lehet az AD DS replikálása az Azure-ban. Ez a replikáció csökkentheti a felhőből a helyszínen futó AD DS-példányokra küldött hitelesítési kérések okozta késést.

Lehetséges használati esetek

Ezt az architektúrát gyakran használják, ha EGY VPN- vagy ExpressRoute-kapcsolat összekapcsolja a helyszíni és az Azure-beli virtuális hálózatokat. Ez az architektúra támogatja a kétirányú replikációt is, ami azt jelenti, hogy a módosítások a helyszínen vagy a felhőben is végezhetők, és mindkét forrás konzisztens marad. Az architektúra tipikus felhasználási módjai közé tartoznak a hibrid alkalmazások, amelyekben a funkciók eloszthatók a helyszíni és az Azure között, valamint az Active Directory használatával hitelesítést végző alkalmazások és szolgáltatások.

Ajánlások

A legtöbb forgatókönyvre az alábbi javaslatokat alkalmazhatja. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.

Virtuális gépekre vonatkozó javaslatok

Határozza meg a virtuális gép méretkövetelményeit a hitelesítési kérelmek várt mérete alapján. Használja a helyszíni AD DS-t futtató gépek specifikációit kiindulási pontként, és egyezzen meg az Azure-beli virtuálisgép-méretekkel. Az alkalmazás üzembe helyezése után monitorozza a használatot, és a virtuális gépek tényleges terhelése alapján vertikálisan fel- vagy leskálázható. További információ: Az AD DS kapacitástervezése.

Hozzon létre egy külön virtuális adatlemezt az Active Directory adatbázis-, napló- és rendszerköteti (sysvol) mappájának tárolásához. Ne tárolja ezeket az elemeket ugyanazon a lemezen, mint az operációs rendszer. Alapértelmezés szerint az adatlemezek írási gyorsítótárazással vannak csatolva egy virtuális géphez. A gyorsítótárazás ezen formája azonban ütközhet az AD DS követelményeivel. Ezért az adatlemez Host Cache Preference (Gazdagép gyorsítótár-beállítása) beállítást állítsa None (Nincs) értékre.

Helyezzen üzembe legalább két olyan virtuális gépet, amely tartományvezérlőként futtatja az AD DS-t, és vegye fel őket a különböző rendelkezésre állási zónákba. Ha a rendelkezésre állási zónák nem érhetők el a régióban, helyezze üzembe a virtuális gépeket egy rendelkezésre állási csoportban.

Hálózatokra vonatkozó javaslatok

Konfigurálja a virtuálisgép-hálózati adaptert (NIC) minden tartományvezérlőhöz statikus privát IP-címmel a Dinamikus gazdagép konfigurációs protokoll (DHCP) használata helyett. Ha statikus IP-címet rendel közvetlenül a virtuális géphez, az ügyfelek akkor is kapcsolatba léphetnek a tartományvezérlővel, ha a DHCP szolgáltatás nem érhető el. További információ: Statikus magánhálózati IP-címet használó virtuális gép létrehozása.

Feljegyzés

Ne konfigurálja a virtuálisgép-hálózati adaptert egyetlen AD DS-hez sem nyilvános IP-cím használatával. További információ: Biztonsági szempontok.

Az Active Directory alhálózati NSG-hez szabályok szükségesek a helyszíni és a kimenő forgalom helyszíni felé irányuló bejövő forgalmának engedélyezéséhez. További információ: Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatósági kapcsolatokhoz.

Ha az új tartományvezérlő virtuális gépek dns-kiszolgálókat is használnak, javasoljuk, hogy egyéni DNS-kiszolgálókként konfigurálja őket a virtuális hálózat szintjén, a DNS-kiszolgálók módosítása című témakörben leírtak szerint. Ezt a konfigurációt az új tartományvezérlőket és társhálózatokat üzemeltető virtuális hálózatra kell alkalmaznia, ahol más virtuális gépeknek fel kell oldaniuk az Active Directory-tartományneveket. További információ: Az Azure-beli virtuális hálózatok erőforrásainak névfeloldása.

A kezdeti konfigurációhoz előfordulhat, hogy módosítania kell az Azure egyik tartományvezérlőjének hálózati adapterét, hogy elsődleges DNS-forrásként a helyszíni tartományvezérlőre mutasson.

Az IP-cím felvétele a DNS-kiszolgálók listájába javítja a teljesítményt, és növeli a DNS-kiszolgálók rendelkezésre állását. Az indítási késleltetés azonban akkor fordulhat elő, ha a DNS-kiszolgáló szintén tartományvezérlő, és csak önmagára mutat, vagy a névfeloldáshoz először önmagára mutat.

Ezért legyen óvatos, ha a visszacsatolási címet egy adapteren konfigurálja, ha a kiszolgáló szintén tartományvezérlő. Előfordulhat, hogy felül kell írnia a hálózati adapter DNS-beállításait az Azure-ban ahhoz, hogy egy másik, az Azure-ban vagy az elsődleges DNS-kiszolgálón a helyszínen üzemeltetett tartományvezérlőre mutasson. A visszacsatolási címet csak másodlagos vagy harmadlagos DNS-kiszolgálóként kell konfigurálni egy tartományvezérlőn.

Active Directory-hely

Az AD DS-ben a hely egy fizikai helyet, hálózatot vagy eszközgyűjteményt jelent. Az AD DS-webhelyek használatával kezelheti az AD DS-adatbázisreplikálást olyan AD DS-objektumok csoportosításával, amelyek egymás közelében találhatók, és nagy sebességű hálózattal csatlakoznak. Az AD DS logikával választja ki az AD DS-adatbázis helyek közötti replikálásának legjobb stratégiáját.

Javasoljuk, hogy hozzon létre egy AD DS-webhelyet, beleértve az alkalmazáshoz az Azure-ban definiált alhálózatokat is. Ezután konfigurálhat egy helykapcsolatot a helyszíni AD DS-webhelyek között. Az AD DS automatikusan elvégzi a lehető leghatékonyabb adatbázis-replikációt. Ez az adatbázis-replikáció nem igényel sok munkát a kezdeti konfiguráción túl.

Active Directory műveleti főkiszolgáló

Az AD DS-tartományvezérlőkhöz hozzárendelheti a műveleti főkiszolgálói szerepkört, hogy támogassa a konzisztenciát, amikor a replikált AD DS-adatbázisok példányai között ellenőrzik őket. Az öt műveleti főkiszolgálói szerepkör a séma főkiszolgálója, a tartományelnevezési főkiszolgáló, a relatív azonosító főkiszolgálója, az elsődleges tartományvezérlő főemulátora és az infrastruktúra-főkiszolgáló. További információ: Plan operations master role placement.

Azt is javasoljuk, hogy az új Azure-tartományvezérlők közül legalább kettőnek adjon globális katalógus (GC) szerepkört. További információ: GC-kiszolgáló elhelyezésének tervezése.

Figyelés

Figyelje a tartományvezérlő virtuális gépek és az AD DS erőforrásait, és hozzon létre egy tervet a problémák gyors kijavítására. További információ: Active Directory monitorozása. A feladatok elvégzéséhez telepíthet olyan eszközöket is, mint a Microsoft Systems Center a monitorozási kiszolgálón.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

Megbízhatóság

A megbízhatóság biztosítja, hogy az alkalmazás megfeleljen az ügyfelek felé vállalt kötelezettségeknek. További információkért tekintse meg a Megbízhatósági terv felülvizsgálati ellenőrzőlistát.

Helyezze üzembe az AD DS-t futtató virtuális gépeket legalább két rendelkezésre állási zónában. Ha a rendelkezésre állási zónák nem érhetők el a régióban, használja a rendelkezésre állási csoportokat. A követelményektől függően érdemes lehet a készenléti műveleti főkiszolgáló szerepkörét is hozzárendelni legalább egy kiszolgálóhoz. A készenléti műveleti főkiszolgáló a műveleti főkiszolgáló aktív másolata, amely a feladatátvétel során lecserélheti az elsődleges műveleti főkiszolgáló kiszolgálóját.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

Az AD DS-kiszolgálók hitelesítési szolgáltatásokat nyújtanak, és vonzó célpontok a támadásokhoz. A biztonságuk érdekében megakadályozza a közvetlen internetkapcsolatot azáltal, hogy az AD DS-kiszolgálókat egy külön alhálózatba helyezi egy NSG-vel tűzfalként. Zárja be az AD DS-kiszolgálók összes portjait, kivéve a hitelesítéshez, engedélyezéshez és kiszolgálószinkronizáláshoz szükséges portokat. További információ: Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatósági kapcsolatokhoz.

Az AD DS-adatbázist üzemeltető lemez titkosításához használjon BitLocker- vagy Azure-lemeztitkosítást.

Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentő funkciókat biztosít a DDoS-támadások elleni védelemhez. A DDoS Protectiont minden szegélyhálózaton engedélyeznie kell.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésére és a működési hatékonyság javítására összpontosít. További információt a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistájában talál.

Az Azure díjkalkulátorával megbecsülheti költségeit. Egyéb szempontokat a Well-Architected-keretrendszer Költségoptimalizálás című szakasza ismertet.

A következő szakaszok az architektúra által használt szolgáltatások költségbeli szempontjait ismertetik.

Microsoft Entra Domain-szolgáltatások

Fontolja meg, hogy a Microsoft Entra Domain Services egy megosztott szolgáltatás, amelyet több számítási feladat használ fel a költségek csökkentése érdekében. További információkért lásd a Domain Services díjszabását.

VPN Gateway

A VPN Gateway az architektúra fő összetevője. Az átjáró üzembe helyezésének és rendelkezésre állásának időpontja alapján kell fizetnie.

Minden bejövő forgalom ingyenes, és az összes kimenő forgalom díjköteles. Az internetes sávszélesség költségei a VPN kimenő forgalmára vonatkoznak.

További információkért lásd a VPN Gateway díjszabását.

Virtual Network

A virtuális hálózat ingyenes. Minden előfizetés legfeljebb 1000 virtuális hálózatot hozhat létre minden régióban. A virtuális hálózat határain belüli összes forgalom ingyenes, így az ugyanazon a virtuális hálózaton lévő két virtuális gép közötti kommunikáció ingyenes.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben működtetik. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

• Használja az infrastruktúrát kódként a hálózati és biztonsági infrastruktúra kiépítéséhez és konfigurálásához. Az egyik lehetőség az Azure Resource Manager-sablonok.

• Különítse el a számítási feladatokat, hogy lehetővé tegyék a DevOps számára a folyamatos integrációt és a folyamatos teljesítést (CI/CD), mivel minden számítási feladatot a megfelelő DevOps-csapat társít és kezel.

Ebben az architektúrában a különböző alkalmazásszinteket, felügyeleti jump boxot és Domain Servicest tartalmazó teljes virtuális hálózat egyetlen izolált számítási feladatként van azonosítva.

Az AD DS virtuális gépeken virtuálisgép-bővítmények és egyéb eszközök, például a Desired State Configuration (DSC) használatával konfigurálható.

• Fontolja meg az üzembe helyezés automatizálását az Azure DevOps vagy bármely más CI/CD-megoldás használatával. Az Azure Pipelines az Azure DevOps Services ajánlott összetevője. Automatizálást biztosít a megoldások összeállításához és üzembe helyezéséhez, és nagy mértékben integrálható az Azure-ökoszisztémába.

• Az Azure Monitor használatával elemezheti az infrastruktúra teljesítményét. A hálózatkezelési problémák monitorozására és diagnosztizálására is használható anélkül, hogy bejelentkezett volna a virtuális gépekre. Az Application Insights gazdag metrikákat és naplókat biztosít az infrastruktúra állapotának ellenőrzéséhez.

További információ: Well-Architected Framework DevOps szakasza.

Kezelhetőség

Rendszeresen készítsen biztonsági mentést az AD DS-ről. Ne csak másolja a tartományvezérlők virtuális merevlemez-fájljait, mert előfordulhat, hogy a VHD-n lévő AD DS-adatbázisfájl nem lesz konzisztens a másoláskor, ami lehetetlenné teszi az adatbázis újraindítását.

Nem javasoljuk, hogy állítsa le a tartományvezérlő virtuális gépét az Azure Portal használatával. Ehelyett állítsa le és indítsa újra a vendég operációs rendszert. Ha az Azure Portal használatával leállítja a tartományvezérlőt, az a virtuális gép felszabadítását okozza, ami a következő hatásokat eredményezi a tartományvezérlő virtuális gépének újraindításakor:

• Alaphelyzetbe állítja az VM-GenerationID Active Directory-adattárat és invocationID azokat.
• Elveti az aktuális Active Directory relatív azonosító (RID) készletet.
• A sysvol mappát nemauthoritatívként jelöli meg.

Az első probléma viszonylag jóindulatú. A replikáció során kisebb sávszélesség-használatot okoz, invocationID de ez a használat nem jelentős.

A második probléma hozzájárulhat a rid-készlet kimerüléséhez a tartományban, különösen akkor, ha a RID-készlet mérete az alapértelmezettnél nagyobbra van konfigurálva. Ha a tartomány hosszú ideig létezik, vagy olyan munkafolyamatokhoz használják, amelyek ismétlődő fióklétrehozást és -törlést igényelnek, előfordulhat, hogy már a RID-készlet kimerüléséhez közeledik. Ajánlott a tartomány figyelése a RID-készlet kimerülésére figyelmeztető események esetén. További információt a RID-kiállítás kezelése című témakörben talál.

A harmadik probléma viszonylag jóindulatú, ha egy mérvadó tartományvezérlő érhető el az Azure-beli tartományvezérlő virtuális gépének újraindításakor. Ha egy tartomány összes tartományvezérlője az Azure-ban fut, és mind egyszerre van leállítva és felszabadítva, akkor minden tartományvezérlő nem talál mérvadó replikát, amikor újraindítja őket. A feltétel javítása manuális beavatkozást igényel. További információkért lásd: Mérvadó és nem hiteles szinkronizálás kényszerítve az elosztott fájlrendszer által replikált sysvol replikációhoz.

Teljesítményhatékonyság

A teljesítményhatékonyság azt jelenti, hogy a számítási feladat hatékonyan képes méretezni a felhasználói igényeket. További információt a Teljesítményhatékonyság tervezési felülvizsgálati ellenőrzőlistájában talál.

Az AD DS-t méretezhetőségre tervezték. Nem kell terheléselosztót vagy forgalomirányítót konfigurálnia a kérelmek AD DS-tartományvezérlőkre történő irányításához. Az egyetlen skálázhatósági szempont az AD DS-t futtató virtuális gépek konfigurálása a hálózati terhelési követelményeknek megfelelő mérettel, a virtuális gépek terhelésének figyelése és szükség szerint fel- vagy leskálázás.

Következő lépések

• Mi a Microsoft Entra-azonosító?
• Azure DevOps
• Azure-folyamatok
• Azure Monitor
• Tűzfal konfigurálása Active Directory-tartományokhoz és megbízhatóságokhoz
• A DSC áttekintése
• Az ExpressRoute és a helyek közötti egyidejű kapcsolatok konfigurálása a PowerShell használatával

Kapcsolódó erőforrások

• AD DS-erőforráserdő létrehozása az Azure-ban
• Helyszíni AD FS kiterjesztése az Azure-ra