Distribuire Active Directory Domain Services in una rete virtuale di Azure

Microsoft Entra

Rete virtuale di Azure

Questa architettura illustra come estendere un dominio Active Directory locale ad Azure per fornire servizi di autenticazione distribuiti.

Architettura

Il diagramma è costituito da due sezioni etichettate come rete locale e rete virtuale. La sezione Rete locale mostra un gateway con una connessione bidirezionale dai server Active Directory alla subnet del gateway nella sezione rete virtuale. Una freccia punta da tale gateway a una casella che rappresenta la subnet dell'applicazione. Questa casella contiene un'icona che rappresenta i gruppi di sicurezza di rete (NSG) e un altro gateway che si connette a due macchine virtuali (VM). Freccia che rappresenta un punto di richiesta di autenticazione dalle macchine virtuali a una casella denominata subnet di Active Directory Domain Services. Questa casella contiene un'icona che rappresenta i gruppi di sicurezza di rete e un gruppo di due server di Active Directory Domain Services. Nella sezione Rete locale, una freccia con etichetta ip pubblico punta da un'icona che rappresenta Internet a una macchina virtuale nella sezione rete virtuale. Questa macchina virtuale si trova all'interno di una subnet di gestione con etichetta box. La casella contiene anche gruppi di sicurezza di rete e una jump box. Una linea tratteggiata che rappresenta protezione DDoS di Azure racchiude la sezione della rete virtuale.

Scaricare un file di Visio di questa architettura.

Questa architettura estende l'architettura di rete ibrida illustrata in Connettere una rete locale ad Azure usando un gateway VPN.

Flusso di lavoro

Il flusso di lavoro seguente corrisponde al diagramma precedente:

• Rete locale: La rete locale include server Active Directory locali che possono eseguire l'autenticazione e l'autorizzazione per i componenti che si trovano in locale.

• Server Active Directory: Questi server sono controller di dominio che implementano i servizi directory eseguiti come macchine virtuali (VM) nel cloud. Possono fornire l'autenticazione dei componenti eseguiti nella rete virtuale di Azure.

• Subnet di Active Directory: I server Active Directory Domain Services (AD DS) sono ospitati in una subnet separata. Le regole del gruppo di sicurezza di rete consentono di proteggere i server di Active Directory Domain Services e fornire un firewall dal traffico da origini impreviste.

• Gateway VPN di Azure e sincronizzazione di Active Directory: Il gateway VPN fornisce una connessione tra la rete locale e la rete virtuale di Azure. Questa connessione può essere una connessione VPN o tramite Azure ExpressRoute. Tutte le richieste di sincronizzazione tra i server Active Directory nel cloud e locali passano attraverso il gateway. Le route definite dall'utente gestiscono il routing per il traffico locale che passa ad Azure.

Componenti

• Microsoft Entra ID è un servizio di gestione delle identità aziendale che fornisce l'accesso Single Sign-On, l'autenticazione a più fattori e l'accesso condizionale di Microsoft Entra. In questa architettura, Microsoft Entra ID fornisce un accesso più sicuro alle applicazioni e ai servizi cloud.

• Il gateway VPN è un servizio che usa i gateway di rete virtuale per inviare traffico crittografato tra una rete virtuale di Azure e le posizioni locali tramite La rete Internet pubblica. In questa architettura il gateway VPN consente al traffico di sincronizzazione di Active Directory di fluire in modo più sicuro tra ambienti.

• ExpressRoute è un servizio che è possibile usare per estendere le reti locali nel cloud Microsoft tramite una connessione privata con l'aiuto di un provider di connettività. In questa architettura ExpressRoute è un'alternativa alle connessioni VPN per scenari che richiedono una maggiore larghezza di banda e una latenza inferiore.

• Rete virtuale è il blocco predefinito fondamentale per le reti private in Azure. È possibile usarlo per abilitare le risorse di Azure, ad esempio le macchine virtuali, per comunicare tra loro, internet e reti locali. In questa architettura la rete virtuale supporta la replica e l'autenticazione del dominio.

Dettagli dello scenario

Se l'applicazione è ospitata in parte in locale e in parte in Azure, la replica di Active Directory Domain Services in Azure potrebbe risultare più efficiente. Questa replica può ridurre la latenza causata dall'invio di richieste di autenticazione dal cloud alle istanze di Servizi di dominio Active Directory eseguite in locale.

Potenziali casi d'uso

Questa architettura viene comunemente usata quando una connessione VPN o ExpressRoute connette le reti virtuali locali e di Azure. Questa architettura supporta anche la replica bidirezionale, il che significa che è possibile apportare modifiche in locale o nel cloud e entrambe le origini vengono mantenute coerenti. Gli usi tipici di questa architettura includono applicazioni ibride in cui la funzionalità viene distribuita tra l'ambiente locale e azure e le applicazioni e i servizi che eseguono l'autenticazione tramite Active Directory.

Consigli

È possibile applicare le raccomandazioni seguenti alla maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Indicazioni per le VM

Determinare i requisiti di dimensioni delle macchine virtuali in base al volume di richieste di autenticazione previsto. Usare le specifiche dei computer che ospitano Active Directory Domain Services in locale come punto di partenza e associarle alle dimensioni delle macchine virtuali di Azure. Dopo aver distribuito l'applicazione, monitorare l'utilizzo e aumentare o ridurre le prestazioni in base al carico effettivo nelle macchine virtuali. Per altre informazioni, vedere Pianificazione della capacità per Servizi di dominio Active Directory.

Creare un disco dati virtuale separato per archiviare il database, i log e la cartella del volume di sistema (sysvol) per Active Directory. Non archiviare questi elementi nello stesso disco del sistema operativo. Per impostazione predefinita, i dischi dati vengono collegati a una macchina virtuale usando la memorizzazione nella cache write-through. Tuttavia, questa forma di memorizzazione nella cache può essere in conflitto con i requisiti di Active Directory Domain Services. Per questo motivo, impostare l'opzione Preferenze cache dell'host del disco dati su Nessuna.

Distribuire almeno due macchine virtuali che eseguono Servizi di dominio Active Directory come controller di dominio e aggiungerle a zone di disponibilità diverse. Se le zone di disponibilità non sono disponibili nell'area, distribuire le macchine virtuali in un set di disponibilità.

Raccomandazioni di rete

Configurare l'interfaccia di rete della macchina virtuale per ogni controller di dominio con un indirizzo IP privato statico anziché usare DYNAMIC Host Configuration Protocol (DHCP). Assegnando direttamente un indirizzo IP statico alla macchina virtuale, i client possono continuare a contattare il controller di dominio anche se il servizio DHCP non è disponibile. Per altre informazioni, vedere Creare una macchina virtuale che usa un indirizzo IP privato statico.

Nota

Non configurare la scheda di interfaccia di rete della macchina virtuale per servizi di dominio Active Directory usando un indirizzo IP pubblico. Per altre informazioni, vedere considerazioni sulla sicurezza .

Il gruppo di sicurezza di rete della subnet di Active Directory richiede regole per consentire il traffico in ingresso dal traffico locale e in uscita verso l'ambiente locale. Per altre informazioni, vedere Configurare un firewall per domini e trust di Active Directory.

Se le nuove macchine virtuali del controller di dominio hanno anche il ruolo dei server DNS (Domain Name System), è consigliabile configurarle come server DNS personalizzati a livello di rete virtuale, come illustrato in Modificare i server DNS. È necessario applicare questa configurazione per la rete virtuale che ospita i nuovi controller di dominio e le reti con peering in cui altre macchine virtuali devono risolvere i nomi di dominio di Active Directory. Per altre informazioni, vedere Risoluzione dei nomi per le risorse nelle reti virtuali di Azure.

Per la configurazione iniziale, potrebbe essere necessario modificare la scheda di interfaccia di rete di uno dei controller di dominio in Azure in modo che punti a un controller di dominio locale come origine DNS primaria.

L'inclusione dell'indirizzo IP nell'elenco dei server DNS migliora le prestazioni e aumenta la disponibilità dei server DNS. Tuttavia, un ritardo di avvio può verificarsi se il server DNS è anche un controller di dominio e punta solo a se stesso o punta a se stesso per la risoluzione dei nomi.

Per questo motivo, prestare attenzione quando si configura l'indirizzo di loopback in un adattatore se il server è anche un controller di dominio. Potrebbe essere necessario sovrascrivere le impostazioni DNS della scheda di interfaccia di rete in Azure per puntare a un altro controller di dominio ospitato in Azure o in locale per il server DNS primario. L'indirizzo di loopback deve essere configurato solo come server DNS secondario o terziario in un controller di dominio.

Sito Active Directory

In Active Directory Domain Services, un sito rappresenta un percorso fisico, una rete o una raccolta di dispositivi. Usare i siti di Active Directory Domain Services per gestire la replica di database di Active Directory Domain Services raggruppando gli oggetti di Active Directory Domain Services che si trovano vicini tra loro e connessi da una rete ad alta velocità. Active Directory Domain Services include la logica per selezionare la strategia migliore per la replica del database di Active Directory Domain Services tra siti.

È consigliabile creare un sito di Active Directory Domain Services, incluse le subnet definite per l'applicazione in Azure. È quindi possibile configurare un collegamento di sito tra i siti di Active Directory Domain Services locali. Servizi di dominio Active Directory esegue automaticamente la replica del database più efficiente possibile. Questa replica di database non richiede molto lavoro oltre la configurazione iniziale.

Master operazioni di Active Directory

È possibile assegnare il ruolo master operazioni ai controller di dominio Active Directory Domain Services per supportare la coerenza quando controllano tra istanze di database di Active Directory Domain Services replicati. I cinque ruoli master operazioni sono master dello schema, master di denominazione del dominio, master identificatore relativo, emulatore master controller di dominio primario e master infrastruttura. Per altre informazioni, vedere Pianificare il posizionamento dei ruoli master delle operazioni.

È anche consigliabile assegnare almeno due dei nuovi controller di dominio di Azure al ruolo GC (Global Catalog). Per altre informazioni, vedere Pianificare il posizionamento del server GC.

Monitoraggio

Monitorare le risorse delle macchine virtuali del controller di dominio e di Active Directory Domain Services e creare un piano per risolvere rapidamente eventuali problemi. Per altre informazioni, vedere Monitorare Active Directory. È anche possibile installare strumenti come Microsoft Systems Center nel server di monitoraggio per eseguire queste attività.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Well-Architected Framework.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni assunti dai clienti. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'affidabilità.

Distribuire le macchine virtuali che eseguono Active Directory Domain Services in almeno due zone di disponibilità. Se le zone di disponibilità non sono disponibili nell'area, usare i set di disponibilità. Valutare anche la possibilità di assegnare il ruolo di master operazioni di standby ad almeno un server o più, a seconda dei requisiti. Un master operazioni di standby è una copia attiva del master operazioni che può sostituire il server master operazioni primario durante il failover.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'uso improprio dei dati e dei sistemi preziosi. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per la sicurezza.

I server di Active Directory Domain Services forniscono servizi di autenticazione e sono un obiettivo interessante per gli attacchi. Per proteggerli, impedire la connettività Internet diretta inserendo i server di Active Directory Domain Services in una subnet separata con un gruppo di sicurezza di rete come firewall. Chiudere tutte le porte nei server di Active Directory Domain Services, ad eccezione delle porte necessarie per l'autenticazione, l'autorizzazione e la sincronizzazione del server. Per altre informazioni, vedere Configurare un firewall per domini e trust di Active Directory.

Usare BitLocker o crittografia dischi di Azure per crittografare il disco che ospita il database di Active Directory Domain Services.

Protezione DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. È necessario abilitare Protezione DDoS in qualsiasi rete virtuale perimetrale.

Ottimizzazione dei costi

L'ottimizzazione dei costi è incentrata sui modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

Usare il calcolatore dei prezzi di Azure per stimare i costi. Altre considerazioni sono descritte nella sezione Ottimizzazione costi in Well-Architected Framework.

Le sezioni seguenti descrivono le considerazioni sui costi per i servizi usati da questa architettura.

Servizi di dominio Microsoft Entra

Prendere in considerazione la possibilità di usare Microsoft Entra Domain Services come servizio condiviso utilizzato da più carichi di lavoro per ridurre i costi. Per altre informazioni, vedere Prezzi di Domain Services.

Gateway VPN

Il gateway VPN è il componente principale di questa architettura. Vengono addebitati i costi in base al tempo in cui viene effettuato il provisioning e la disponibilità del gateway.

Tutto il traffico in ingresso è gratuito e viene addebitato tutto il traffico in uscita. I costi della larghezza di banda Internet vengono applicati al traffico in uscita della VPN.

Per altre informazioni, vedere Prezzi di Gateway VPN.

Rete virtuale

Rete virtuale è gratuito. Ogni sottoscrizione può creare fino a 1.000 reti virtuali in tutte le aree. Tutto il traffico all'interno dei limiti di una rete virtuale è gratuito, quindi la comunicazione tra due macchine virtuali nella stessa rete virtuale è gratuita.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'eccellenza operativa.

• Usare l'infrastruttura come procedure di codice per effettuare il provisioning e configurare l'infrastruttura di rete e sicurezza. Un'opzione è i modelli di Azure Resource Manager.

• Isolare i carichi di lavoro per consentire a DevOps di eseguire l'integrazione continua e il recapito continuo (CI/CD) perché ogni carico di lavoro è associato e gestito dal team DevOps corrispondente.

In questa architettura, l'intera rete virtuale che include i diversi livelli applicazione, jump box di gestione e Servizi di dominio viene identificato come un singolo carico di lavoro isolato.

È possibile configurare Servizi di dominio Active Directory nelle macchine virtuali usando le estensioni della macchina virtuale e altri strumenti, ad esempio DSC (Desired State Configuration).

• Valutare la possibilità di automatizzare le distribuzioni usando Azure DevOps o qualsiasi altra soluzione CI/CD. Azure Pipelines è il componente consigliato di Azure DevOps Services. Offre automazione per le compilazioni e le distribuzioni delle soluzioni ed è altamente integrato nell'ecosistema di Azure.

• Usare Monitoraggio di Azure per analizzare le prestazioni dell'infrastruttura. È anche possibile usarlo per monitorare e diagnosticare i problemi di rete senza accedere alle macchine virtuali. Application Insights offre metriche e log avanzati per verificare lo stato dell'infrastruttura.

Per altre informazioni, vedere la sezione DevOps in Well-Architected Framework.

Gestione

Eseguire backup regolari di Active Directory Domain Services. Non copiare solo i file del disco rigido virtuale (VHD) dei controller di dominio perché il file di database di Active Directory Domain Services nel disco rigido virtuale potrebbe non essere coerente quando viene copiato, il che rende impossibile riavviare il database.

Non è consigliabile arrestare una macchina virtuale del controller di dominio usando il portale di Azure. Arrestare e riavviare invece il sistema operativo guest. Se si arresta un controller di dominio usando il portale di Azure, la macchina virtuale viene deallocata, con i seguenti effetti quando si riavvia la macchina virtuale del controller di dominio:

• Reimposta l'oggetto VM-GenerationID e del invocationID repository di Active Directory.
• Rimuove il pool di identificatori relativi (RID) di Active Directory corrente.
• Contrassegna la cartella sysvol come non autenticativa.

Il primo problema è relativamente benigno. La reimpostazione ripetuta di causa un minor utilizzo della larghezza di banda aggiuntivo durante la invocationID replica, ma questo utilizzo non è significativo.

Il secondo problema può contribuire all'esaurimento del pool RID nel dominio, soprattutto se le dimensioni del pool RID sono configurate per essere maggiori del valore predefinito. Se il dominio esiste per molto tempo o viene usato per i flussi di lavoro che richiedono la creazione e l'eliminazione ripetitive dell'account, potrebbe essere già prossimo all'esaurimento del pool RID. Il monitoraggio del dominio per gli eventi di avviso di esaurimento del pool RID è una procedura consigliata. Per altre informazioni, vedere Gestire il rilascio di RID.

Il terzo problema è relativamente dannoso, purché sia disponibile un controller di dominio autorevole quando viene riavviata una macchina virtuale del controller di dominio in Azure. Se tutti i controller di dominio in un dominio sono in esecuzione in Azure e vengono tutti arrestati e deallocati contemporaneamente, ogni controller di dominio non riesce a trovare una replica autorevole al riavvio. La correzione di questa condizione richiede l'intervento manuale. Per altre informazioni, vedere Forzare la sincronizzazione autorevole e non autenticativa per la replica sysvol replicata DFSR.

Efficienza delle prestazioni

L'efficienza delle prestazioni si riferisce alla capacità del carico di lavoro di ridimensionarsi per soddisfare in modo efficiente le esigenze degli utenti. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'efficienza delle prestazioni.

Active Directory Domain Services è progettato per la scalabilità. Non è necessario configurare un servizio di bilanciamento del carico o un controller del traffico per indirizzare le richieste ai controller di dominio Active Directory Domain Services. L'unica considerazione sulla scalabilità consiste nel configurare le macchine virtuali che eseguono Servizi di dominio Active Directory con le dimensioni corrette per i requisiti di carico di rete, monitorare il carico sulle macchine virtuali e aumentare o ridurre le prestazioni in base alle esigenze.

Passaggi successivi

• Cos'è Microsoft Entra ID?
• Azure DevOps
• Azure Pipelines
• Monitoraggio di Azure
• Configurare un firewall per domini e trust di Active Directory
• Panoramica di DSC
• Configurare connessioni coesistenti expressroute e da sito a sito tramite PowerShell

Risorse correlate

• Creare una foresta di risorse di Active Directory Domain Services in Azure
• Estensione di AD FS locali in Azure

Questa architettura illustra come estendere un dominio Active Directory locale ad Azure per fornire servizi di autenticazione distribuiti.

Architettura

Il diagramma è costituito da due sezioni etichettate come rete locale e rete virtuale. La sezione Rete locale mostra un gateway con una connessione bidirezionale dai server Active Directory alla subnet del gateway nella sezione rete virtuale. Una freccia punta da tale gateway a una casella che rappresenta la subnet dell'applicazione. Questa casella contiene un'icona che rappresenta i gruppi di sicurezza di rete (NSG) e un altro gateway che si connette a due macchine virtuali (VM). Freccia che rappresenta un punto di richiesta di autenticazione dalle macchine virtuali a una casella denominata subnet di Active Directory Domain Services. Questa casella contiene un'icona che rappresenta i gruppi di sicurezza di rete e un gruppo di due server di Active Directory Domain Services. Nella sezione Rete locale, una freccia con etichetta ip pubblico punta da un'icona che rappresenta Internet a una macchina virtuale nella sezione rete virtuale. Questa macchina virtuale si trova all'interno di una subnet di gestione con etichetta box. La casella contiene anche gruppi di sicurezza di rete e una jump box. Una linea tratteggiata che rappresenta protezione DDoS di Azure racchiude la sezione della rete virtuale.

Scaricare un file di Visio di questa architettura.

Questa architettura estende l'architettura di rete ibrida illustrata in Connettere una rete locale ad Azure usando un gateway VPN.

Flusso di lavoro

Il flusso di lavoro seguente corrisponde al diagramma precedente:

• Rete locale: La rete locale include server Active Directory locali che possono eseguire l'autenticazione e l'autorizzazione per i componenti che si trovano in locale.

• Server Active Directory: Questi server sono controller di dominio che implementano i servizi directory eseguiti come macchine virtuali (VM) nel cloud. Possono fornire l'autenticazione dei componenti eseguiti nella rete virtuale di Azure.

• Subnet di Active Directory: I server Active Directory Domain Services (AD DS) sono ospitati in una subnet separata. Le regole del gruppo di sicurezza di rete consentono di proteggere i server di Active Directory Domain Services e fornire un firewall dal traffico da origini impreviste.

• Gateway VPN di Azure e sincronizzazione di Active Directory: Il gateway VPN fornisce una connessione tra la rete locale e la rete virtuale di Azure. Questa connessione può essere una connessione VPN o tramite Azure ExpressRoute. Tutte le richieste di sincronizzazione tra i server Active Directory nel cloud e locali passano attraverso il gateway. Le route definite dall'utente gestiscono il routing per il traffico locale che passa ad Azure.

Componenti

• Microsoft Entra ID è un servizio di gestione delle identità aziendale che fornisce l'accesso Single Sign-On, l'autenticazione a più fattori e l'accesso condizionale di Microsoft Entra. In questa architettura, Microsoft Entra ID fornisce un accesso più sicuro alle applicazioni e ai servizi cloud.

• Il gateway VPN è un servizio che usa i gateway di rete virtuale per inviare traffico crittografato tra una rete virtuale di Azure e le posizioni locali tramite La rete Internet pubblica. In questa architettura il gateway VPN consente al traffico di sincronizzazione di Active Directory di fluire in modo più sicuro tra ambienti.

• ExpressRoute è un servizio che è possibile usare per estendere le reti locali nel cloud Microsoft tramite una connessione privata con l'aiuto di un provider di connettività. In questa architettura ExpressRoute è un'alternativa alle connessioni VPN per scenari che richiedono una maggiore larghezza di banda e una latenza inferiore.

• Rete virtuale è il blocco predefinito fondamentale per le reti private in Azure. È possibile usarlo per abilitare le risorse di Azure, ad esempio le macchine virtuali, per comunicare tra loro, internet e reti locali. In questa architettura la rete virtuale supporta la replica e l'autenticazione del dominio.

Dettagli dello scenario

Se l'applicazione è ospitata in parte in locale e in parte in Azure, la replica di Active Directory Domain Services in Azure potrebbe risultare più efficiente. Questa replica può ridurre la latenza causata dall'invio di richieste di autenticazione dal cloud alle istanze di Servizi di dominio Active Directory eseguite in locale.

Potenziali casi d'uso

Questa architettura viene comunemente usata quando una connessione VPN o ExpressRoute connette le reti virtuali locali e di Azure. Questa architettura supporta anche la replica bidirezionale, il che significa che è possibile apportare modifiche in locale o nel cloud e entrambe le origini vengono mantenute coerenti. Gli usi tipici di questa architettura includono applicazioni ibride in cui la funzionalità viene distribuita tra l'ambiente locale e azure e le applicazioni e i servizi che eseguono l'autenticazione tramite Active Directory.

Consigli

È possibile applicare le raccomandazioni seguenti alla maggior parte degli scenari. Seguire queste indicazioni, a meno che non si disponga di un requisito specifico che le escluda.

Indicazioni per le VM

Determinare i requisiti di dimensioni delle macchine virtuali in base al volume di richieste di autenticazione previsto. Usare le specifiche dei computer che ospitano Active Directory Domain Services in locale come punto di partenza e associarle alle dimensioni delle macchine virtuali di Azure. Dopo aver distribuito l'applicazione, monitorare l'utilizzo e aumentare o ridurre le prestazioni in base al carico effettivo nelle macchine virtuali. Per altre informazioni, vedere Pianificazione della capacità per Servizi di dominio Active Directory.

Creare un disco dati virtuale separato per archiviare il database, i log e la cartella del volume di sistema (sysvol) per Active Directory. Non archiviare questi elementi nello stesso disco del sistema operativo. Per impostazione predefinita, i dischi dati vengono collegati a una macchina virtuale usando la memorizzazione nella cache write-through. Tuttavia, questa forma di memorizzazione nella cache può essere in conflitto con i requisiti di Active Directory Domain Services. Per questo motivo, impostare l'opzione Preferenze cache dell'host del disco dati su Nessuna.

Distribuire almeno due macchine virtuali che eseguono Servizi di dominio Active Directory come controller di dominio e aggiungerle a zone di disponibilità diverse. Se le zone di disponibilità non sono disponibili nell'area, distribuire le macchine virtuali in un set di disponibilità.

Raccomandazioni di rete

Configurare l'interfaccia di rete della macchina virtuale per ogni controller di dominio con un indirizzo IP privato statico anziché usare DYNAMIC Host Configuration Protocol (DHCP). Assegnando direttamente un indirizzo IP statico alla macchina virtuale, i client possono continuare a contattare il controller di dominio anche se il servizio DHCP non è disponibile. Per altre informazioni, vedere Creare una macchina virtuale che usa un indirizzo IP privato statico.

Nota

Non configurare la scheda di interfaccia di rete della macchina virtuale per servizi di dominio Active Directory usando un indirizzo IP pubblico. Per altre informazioni, vedere considerazioni sulla sicurezza .

Il gruppo di sicurezza di rete della subnet di Active Directory richiede regole per consentire il traffico in ingresso dal traffico locale e in uscita verso l'ambiente locale. Per altre informazioni, vedere Configurare un firewall per domini e trust di Active Directory.

Se le nuove macchine virtuali del controller di dominio hanno anche il ruolo dei server DNS (Domain Name System), è consigliabile configurarle come server DNS personalizzati a livello di rete virtuale, come illustrato in Modificare i server DNS. È necessario applicare questa configurazione per la rete virtuale che ospita i nuovi controller di dominio e le reti con peering in cui altre macchine virtuali devono risolvere i nomi di dominio di Active Directory. Per altre informazioni, vedere Risoluzione dei nomi per le risorse nelle reti virtuali di Azure.

Per la configurazione iniziale, potrebbe essere necessario modificare la scheda di interfaccia di rete di uno dei controller di dominio in Azure in modo che punti a un controller di dominio locale come origine DNS primaria.

L'inclusione dell'indirizzo IP nell'elenco dei server DNS migliora le prestazioni e aumenta la disponibilità dei server DNS. Tuttavia, un ritardo di avvio può verificarsi se il server DNS è anche un controller di dominio e punta solo a se stesso o punta a se stesso per la risoluzione dei nomi.

Per questo motivo, prestare attenzione quando si configura l'indirizzo di loopback in un adattatore se il server è anche un controller di dominio. Potrebbe essere necessario sovrascrivere le impostazioni DNS della scheda di interfaccia di rete in Azure per puntare a un altro controller di dominio ospitato in Azure o in locale per il server DNS primario. L'indirizzo di loopback deve essere configurato solo come server DNS secondario o terziario in un controller di dominio.

Sito Active Directory

In Active Directory Domain Services, un sito rappresenta un percorso fisico, una rete o una raccolta di dispositivi. Usare i siti di Active Directory Domain Services per gestire la replica di database di Active Directory Domain Services raggruppando gli oggetti di Active Directory Domain Services che si trovano vicini tra loro e connessi da una rete ad alta velocità. Active Directory Domain Services include la logica per selezionare la strategia migliore per la replica del database di Active Directory Domain Services tra siti.

È consigliabile creare un sito di Active Directory Domain Services, incluse le subnet definite per l'applicazione in Azure. È quindi possibile configurare un collegamento di sito tra i siti di Active Directory Domain Services locali. Servizi di dominio Active Directory esegue automaticamente la replica del database più efficiente possibile. Questa replica di database non richiede molto lavoro oltre la configurazione iniziale.

Master operazioni di Active Directory

È possibile assegnare il ruolo master operazioni ai controller di dominio Active Directory Domain Services per supportare la coerenza quando controllano tra istanze di database di Active Directory Domain Services replicati. I cinque ruoli master operazioni sono master dello schema, master di denominazione del dominio, master identificatore relativo, emulatore master controller di dominio primario e master infrastruttura. Per altre informazioni, vedere Pianificare il posizionamento dei ruoli master delle operazioni.

È anche consigliabile assegnare almeno due dei nuovi controller di dominio di Azure al ruolo GC (Global Catalog). Per altre informazioni, vedere Pianificare il posizionamento del server GC.

Monitoraggio

Monitorare le risorse delle macchine virtuali del controller di dominio e di Active Directory Domain Services e creare un piano per risolvere rapidamente eventuali problemi. Per altre informazioni, vedere Monitorare Active Directory. È anche possibile installare strumenti come Microsoft Systems Center nel server di monitoraggio per eseguire queste attività.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Well-Architected Framework.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni assunti dai clienti. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'affidabilità.

Distribuire le macchine virtuali che eseguono Active Directory Domain Services in almeno due zone di disponibilità. Se le zone di disponibilità non sono disponibili nell'area, usare i set di disponibilità. Valutare anche la possibilità di assegnare il ruolo di master operazioni di standby ad almeno un server o più, a seconda dei requisiti. Un master operazioni di standby è una copia attiva del master operazioni che può sostituire il server master operazioni primario durante il failover.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'uso improprio dei dati e dei sistemi preziosi. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per la sicurezza.

I server di Active Directory Domain Services forniscono servizi di autenticazione e sono un obiettivo interessante per gli attacchi. Per proteggerli, impedire la connettività Internet diretta inserendo i server di Active Directory Domain Services in una subnet separata con un gruppo di sicurezza di rete come firewall. Chiudere tutte le porte nei server di Active Directory Domain Services, ad eccezione delle porte necessarie per l'autenticazione, l'autorizzazione e la sincronizzazione del server. Per altre informazioni, vedere Configurare un firewall per domini e trust di Active Directory.

Usare BitLocker o crittografia dischi di Azure per crittografare il disco che ospita il database di Active Directory Domain Services.

Protezione DDoS di Azure, combinata con le procedure consigliate per la progettazione delle applicazioni, offre funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. È necessario abilitare Protezione DDoS in qualsiasi rete virtuale perimetrale.

Ottimizzazione dei costi

L'ottimizzazione dei costi è incentrata sui modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

Usare il calcolatore dei prezzi di Azure per stimare i costi. Altre considerazioni sono descritte nella sezione Ottimizzazione costi in Well-Architected Framework.

Le sezioni seguenti descrivono le considerazioni sui costi per i servizi usati da questa architettura.

Servizi di dominio Microsoft Entra

Prendere in considerazione la possibilità di usare Microsoft Entra Domain Services come servizio condiviso utilizzato da più carichi di lavoro per ridurre i costi. Per altre informazioni, vedere Prezzi di Domain Services.

Gateway VPN

Il gateway VPN è il componente principale di questa architettura. Vengono addebitati i costi in base al tempo in cui viene effettuato il provisioning e la disponibilità del gateway.

Tutto il traffico in ingresso è gratuito e viene addebitato tutto il traffico in uscita. I costi della larghezza di banda Internet vengono applicati al traffico in uscita della VPN.

Per altre informazioni, vedere Prezzi di Gateway VPN.

Rete virtuale

Rete virtuale è gratuito. Ogni sottoscrizione può creare fino a 1.000 reti virtuali in tutte le aree. Tutto il traffico all'interno dei limiti di una rete virtuale è gratuito, quindi la comunicazione tra due macchine virtuali nella stessa rete virtuale è gratuita.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'eccellenza operativa.

• Usare l'infrastruttura come procedure di codice per effettuare il provisioning e configurare l'infrastruttura di rete e sicurezza. Un'opzione è i modelli di Azure Resource Manager.

• Isolare i carichi di lavoro per consentire a DevOps di eseguire l'integrazione continua e il recapito continuo (CI/CD) perché ogni carico di lavoro è associato e gestito dal team DevOps corrispondente.

In questa architettura, l'intera rete virtuale che include i diversi livelli applicazione, jump box di gestione e Servizi di dominio viene identificato come un singolo carico di lavoro isolato.

È possibile configurare Servizi di dominio Active Directory nelle macchine virtuali usando le estensioni della macchina virtuale e altri strumenti, ad esempio DSC (Desired State Configuration).

• Valutare la possibilità di automatizzare le distribuzioni usando Azure DevOps o qualsiasi altra soluzione CI/CD. Azure Pipelines è il componente consigliato di Azure DevOps Services. Offre automazione per le compilazioni e le distribuzioni delle soluzioni ed è altamente integrato nell'ecosistema di Azure.

• Usare Monitoraggio di Azure per analizzare le prestazioni dell'infrastruttura. È anche possibile usarlo per monitorare e diagnosticare i problemi di rete senza accedere alle macchine virtuali. Application Insights offre metriche e log avanzati per verificare lo stato dell'infrastruttura.

Per altre informazioni, vedere la sezione DevOps in Well-Architected Framework.

Gestione

Eseguire backup regolari di Active Directory Domain Services. Non copiare solo i file del disco rigido virtuale (VHD) dei controller di dominio perché il file di database di Active Directory Domain Services nel disco rigido virtuale potrebbe non essere coerente quando viene copiato, il che rende impossibile riavviare il database.

Non è consigliabile arrestare una macchina virtuale del controller di dominio usando il portale di Azure. Arrestare e riavviare invece il sistema operativo guest. Se si arresta un controller di dominio usando il portale di Azure, la macchina virtuale viene deallocata, con i seguenti effetti quando si riavvia la macchina virtuale del controller di dominio:

• Reimposta l'oggetto VM-GenerationID e del invocationID repository di Active Directory.
• Rimuove il pool di identificatori relativi (RID) di Active Directory corrente.
• Contrassegna la cartella sysvol come non autenticativa.

Il primo problema è relativamente benigno. La reimpostazione ripetuta di causa un minor utilizzo della larghezza di banda aggiuntivo durante la invocationID replica, ma questo utilizzo non è significativo.

Il secondo problema può contribuire all'esaurimento del pool RID nel dominio, soprattutto se le dimensioni del pool RID sono configurate per essere maggiori del valore predefinito. Se il dominio esiste per molto tempo o viene usato per i flussi di lavoro che richiedono la creazione e l'eliminazione ripetitive dell'account, potrebbe essere già prossimo all'esaurimento del pool RID. Il monitoraggio del dominio per gli eventi di avviso di esaurimento del pool RID è una procedura consigliata. Per altre informazioni, vedere Gestire il rilascio di RID.

Il terzo problema è relativamente dannoso, purché sia disponibile un controller di dominio autorevole quando viene riavviata una macchina virtuale del controller di dominio in Azure. Se tutti i controller di dominio in un dominio sono in esecuzione in Azure e vengono tutti arrestati e deallocati contemporaneamente, ogni controller di dominio non riesce a trovare una replica autorevole al riavvio. La correzione di questa condizione richiede l'intervento manuale. Per altre informazioni, vedere Forzare la sincronizzazione autorevole e non autenticativa per la replica sysvol replicata DFSR.

Efficienza delle prestazioni

L'efficienza delle prestazioni si riferisce alla capacità del carico di lavoro di ridimensionarsi per soddisfare in modo efficiente le esigenze degli utenti. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per l'efficienza delle prestazioni.

Active Directory Domain Services è progettato per la scalabilità. Non è necessario configurare un servizio di bilanciamento del carico o un controller del traffico per indirizzare le richieste ai controller di dominio Active Directory Domain Services. L'unica considerazione sulla scalabilità consiste nel configurare le macchine virtuali che eseguono Servizi di dominio Active Directory con le dimensioni corrette per i requisiti di carico di rete, monitorare il carico sulle macchine virtuali e aumentare o ridurre le prestazioni in base alle esigenze.

Passaggi successivi

• Cos'è Microsoft Entra ID?
• Azure DevOps
• Azure Pipelines
• Monitoraggio di Azure
• Configurare un firewall per domini e trust di Active Directory
• Panoramica di DSC
• Configurare connessioni coesistenti expressroute e da sito a sito tramite PowerShell

Risorse correlate

• Creare una foresta di risorse di Active Directory Domain Services in Azure
• Estensione di AD FS locali in Azure