AD DS implementeren in een virtueel Azure-netwerk

Microsoft Entra

Azure Virtual Network

Deze architectuur laat zien hoe u een on-premises Active Directory-domein uitbreidt naar Azure om gedistribueerde verificatieservices te bieden.

Architectuur

Het diagram bestaat uit twee secties die zijn gelabeld als het on-premises netwerk en het virtuele netwerk. In de sectie on-premises netwerk ziet u een gateway met een tweerichtingsverbinding van de Active Directory-servers naar het gatewaysubnet in de sectie virtueel netwerk. Een pijl wijst van die gateway naar een vak dat het subnet van de toepassing vertegenwoordigt. Dit vak bevat een pictogram dat netwerkbeveiligingsgroepen (NSG's) vertegenwoordigt en een andere gateway die verbinding maakt met twee virtuele machines (VM's). Een pijl die een verificatieaanvraagpunt van de VM's vertegenwoordigt naar een vak met het label AD DS-subnet. Dit vak bevat een pictogram dat NSG's en een groep van twee AD DS-servers vertegenwoordigt. In de sectie on-premises netwerk ziet u een pijl met het label openbare IP-punten van een pictogram dat internet vertegenwoordigt naar een virtuele machine in de sectie van het virtuele netwerk. Deze VIRTUELE machine bevindt zich in een subnet met het label Beheer van een vak. De doos bevat ook NSG's en een jumpbox. Met een stippellijn die Azure DDoS Protection vertegenwoordigt, wordt de sectie van het virtuele netwerk omgeven.

Een Visio-bestand van deze architectuur downloaden.

Deze architectuur breidt de hybride netwerkarchitectuur uit die wordt weergegeven in Een on-premises netwerk verbinden met Azure met behulp van een VPN-gateway.

Werkproces

De volgende werkstroom komt overeen met het vorige diagram:

• On-premises netwerk: Het on-premises netwerk bevat lokale Active Directory-servers die verificatie en autorisatie kunnen uitvoeren voor onderdelen die zich on-premises bevinden.

• Active Directory-servers: Deze servers zijn domeincontrollers die adreslijstservices implementeren die worden uitgevoerd als virtuele machines (VM's) in de cloud. Ze kunnen verificatie bieden van onderdelen die worden uitgevoerd in uw virtuele Azure-netwerk.

• Active Directory-subnet: De AD DS-servers (Active Directory Domain Services) worden gehost in een afzonderlijk subnet. Netwerkbeveiligingsgroepregels helpen de AD DS-servers te beveiligen en een firewall te bieden tegen verkeer van onverwachte bronnen.

• Azure VPN Gateway en Active Directory-synchronisatie: VPN Gateway biedt een verbinding tussen het on-premises netwerk en azure Virtual Network. Deze verbinding kan een VPN-verbinding of via Azure ExpressRoute zijn. Alle synchronisatieaanvragen tussen Active Directory-servers in de cloud en on-premises lopen via de gateway. Door de gebruiker gedefinieerde routes verwerken routering voor on-premises verkeer dat doorgeeft aan Azure.

Onderdelen

• Microsoft Entra ID is een service voor bedrijfsidentiteit die eenmalige aanmelding, meervoudige verificatie en voorwaardelijke toegang van Microsoft Entra biedt. In deze architectuur biedt Microsoft Entra ID veiligere toegang tot cloudtoepassingen en -services.

• VPN Gateway is een service die gebruikmaakt van virtuele netwerkgateways om versleuteld verkeer te verzenden tussen een virtueel Azure-netwerk en on-premises locaties via het openbare internet. In deze architectuur staat VPN Gateway Active Directory-synchronisatieverkeer toe om veiliger tussen omgevingen te stromen.

• ExpressRoute is een service die u kunt gebruiken om uw on-premises netwerken uit te breiden naar de Microsoft-cloud via een privéverbinding met behulp van een connectiviteitsprovider. In deze architectuur is ExpressRoute een alternatief voor VPN-verbindingen voor scenario's waarvoor een hogere bandbreedte en een lagere latentie nodig zijn.

• Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. U kunt deze gebruiken om Azure-resources, zoals VM's, in staat te stellen om met elkaar, internet en on-premises netwerken te communiceren. In deze architectuur ondersteunt Virtual Network domeinreplicatie en -verificatie.

Scenariodetails

Als uw toepassing gedeeltelijk on-premises en gedeeltelijk in Azure wordt gehost, is het repliceren van AD DS in Azure mogelijk efficiënter. Deze replicatie kan de latentie verminderen die wordt veroorzaakt door het verzenden van verificatieaanvragen vanuit de cloud naar AD DS-exemplaren die on-premises worden uitgevoerd.

Potentiële gebruikscases

Deze architectuur wordt vaak gebruikt wanneer een VPN- of ExpressRoute-verbinding de on-premises en virtuele Azure-netwerken verbindt. Deze architectuur biedt ook ondersteuning voor bidirectionele replicatie, wat betekent dat wijzigingen on-premises of in de cloud kunnen worden aangebracht en dat beide bronnen consistent blijven. Typische toepassingen voor deze architectuur zijn hybride toepassingen waarin functionaliteit wordt gedistribueerd tussen on-premises en Azure en toepassingen en services die verificatie uitvoeren met behulp van Active Directory.

Aanbevelingen

U kunt de volgende aanbevelingen toepassen op de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Aanbevelingen voor virtuele machines

Bepaal de vereisten voor de VM-grootte op basis van het verwachte volume van verificatieaanvragen. Gebruik de specificaties van de machines waarop AD DS on-premises wordt gehost als uitgangspunt en koppel deze aan de azure-VM-grootten. Nadat u uw toepassing hebt geïmplementeerd, kunt u het gebruik bewaken en omhoog of omlaag schalen op basis van de werkelijke belasting van de VM's. Zie Capaciteitsplanning voor AD DS voor meer informatie.

Maak een afzonderlijke virtuele gegevensschijf om de map database, logboeken en systeemvolume (sysvol) voor Active Directory op te slaan. Sla deze items niet op dezelfde schijf op als het besturingssysteem. Standaard worden gegevensschijven aan een virtuele machine gekoppeld met behulp van write-through-caching. Deze vorm van caching kan echter conflicten veroorzaken met de vereisten van AD DS. Om deze reden moet u Host Cache Preference op de gegevensschijf instellen op None.

Implementeer ten minste twee VIRTUELE machines waarop AD DS wordt uitgevoerd als domeincontrollers en voeg deze toe aan verschillende beschikbaarheidszones. Als beschikbaarheidszones niet beschikbaar zijn in de regio, implementeert u de VM's in een beschikbaarheidsset.

Aanbevelingen voor netwerken

Configureer de VM-netwerkinterface (NIC) voor elke domeincontroller met een statisch privé IP-adres in plaats van DHCP (Dynamic Host Configuration Protocol). Door rechtstreeks een statisch IP-adres toe te wijzen aan de virtuele machine, kunnen clients contact blijven opnemen met de domeincontroller, zelfs als de DHCP-service niet beschikbaar is. Zie Een virtuele machine maken die gebruikmaakt van een statisch privé-IP-adres voor meer informatie.

Notitie

Configureer de VM-NIC niet voor AD DS met behulp van een openbaar IP-adres. Zie Beveiligingsoverwegingenvoor meer informatie.

De NSG van het Active Directory-subnet vereist regels om inkomend verkeer van on-premises en uitgaand verkeer naar on-premises toe te staan. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor meer informatie.

Als de nieuwe domeincontroller-VM's ook de rol van DNS-servers (Domain Name System) hebben, raden we u aan deze te configureren als aangepaste DNS-servers op het niveau van het virtuele netwerk, zoals wordt uitgelegd in DNS-servers wijzigen. U moet deze configuratie toepassen voor het virtuele netwerk dat als host fungeert voor de nieuwe domeincontrollers en gekoppelde netwerken waar andere VM's Active Directory-domeinnamen moeten omzetten. Zie Naamomzetting voor resources in virtuele Azure-netwerken voor meer informatie.

Voor de eerste configuratie moet u mogelijk de NIC van een van uw domeincontrollers in Azure aanpassen om on-premises naar een domeincontroller te verwijzen als de primaire DNS-bron.

De opname van het IP-adres in de lijst met DNS-servers verbetert de prestaties en verhoogt de beschikbaarheid van DNS-servers. Een opstartvertraging kan echter optreden als de DNS-server ook een domeincontroller is en alleen naar zichzelf verwijst of naar zichzelf verwijst voor naamomzetting.

Wees daarom voorzichtig wanneer u het loopback-adres op een adapter configureert als de server ook een domeincontroller is. Mogelijk moet u de NIC DNS-instellingen in Azure overschrijven om te verwijzen naar een andere domeincontroller die wordt gehost in Azure of on-premises voor de primaire DNS-server. Het loopback-adres mag alleen worden geconfigureerd als een secundaire of tertiaire DNS-server op een domeincontroller.

Active Directory-site

In AD DS vertegenwoordigt een site een fysieke locatie, een netwerk of een verzameling apparaten. Gebruik AD DS-sites om ad DS-databasereplicatie te beheren door AD DS-objecten te groeperen die zich dicht bij elkaar bevinden en die zijn verbonden met een netwerk met hoge snelheid. AD DS bevat logica voor het selecteren van de beste strategie voor het repliceren van de AD DS-database tussen sites.

U wordt aangeraden een AD DS-site te maken, inclusief de subnetten die zijn gedefinieerd voor uw toepassing in Azure. Vervolgens kunt u een sitekoppeling tussen uw on-premises AD DS-sites configureren. AD DS voert automatisch de meest efficiënte databasereplicatie uit. Voor deze databasereplicatie is niet veel meer nodig dan de eerste configuratie.

Active Directory Operations Master

U kunt de operations-masterrol toewijzen aan AD DS-domeincontrollers om consistentie te ondersteunen wanneer ze controleren tussen exemplaren van gerepliceerde AD DS-databases. De vijf operations-masterrollen zijn schemamaster, domeinnaamgevingsmaster, relatieve id-master, primaire domeincontrollerhoofdemulator en infrastructuurmaster. Zie Plaatsing van operations-masterrollen plannen voor meer informatie.

We raden u ook aan ten minste twee van de nieuwe Azure-domeincontrollers de rol globale catalogus (GC) te geven. Zie De plaatsing van de GC-server plannen voor meer informatie.

Controleren

Bewaak de resources van de vm's van de domeincontroller en AD DS en maak een plan om eventuele problemen snel op te lossen. Zie Active Directory bewaken voor meer informatie. U kunt ook hulpprogramma's zoals Microsoft Systems Center installeren op de bewakingsserver om deze taken uit te voeren.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie de controlelijst ontwerpbeoordeling voor betrouwbaarheid voor meer informatie.

Implementeer de VM's waarop AD DS wordt uitgevoerd in ten minste twee beschikbaarheidszones. Als beschikbaarheidszones niet beschikbaar zijn in de regio, gebruikt u beschikbaarheidssets. Overweeg ook om de rol van stand-by operations-master toe te wijzen aan ten minste één server of meer, afhankelijk van uw vereisten. Een stand-by operations-master is een actieve kopie van de operations-master die de server van de primaire operations-master tijdens een failover kan vervangen.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie de controlelijst ontwerpbeoordeling voor beveiliging voor meer informatie.

AD DS-servers bieden verificatieservices en zijn een aantrekkelijk doelwit voor aanvallen. Om ze te beveiligen, voorkomt u directe internetverbinding door de AD DS-servers in een afzonderlijk subnet met een NSG als firewall te plaatsen. Sluit alle poorten op de AD DS-servers, behalve de poorten die nodig zijn voor verificatie, autorisatie en serversynchronisatie. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor meer informatie.

Gebruik BitLocker of Azure-schijfversleuteling om de schijf te versleutelen die als host fungeert voor de AD DS-database.

Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om bescherming te bieden tegen DDoS-aanvallen. Schakel DDoS Protection in voor elk virtueel perimeternetwerk.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie de controlelijst ontwerpbeoordeling voor Kostenoptimalisatie voor meer informatie.

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Andere overwegingen worden beschreven in de sectie Kostenoptimalisatie in Well-Architected Framework.

In de volgende secties worden kostenoverwegingen beschreven voor de services die door deze architectuur worden gebruikt.

Microsoft Entra Domain Services.

Overweeg om Microsoft Entra Domain Services te gebruiken als een gedeelde service die door meerdere workloads wordt gebruikt om de kosten te verlagen. Zie De prijzen van Domain Services voor meer informatie.

VPN Gateway

VPN Gateway is het belangrijkste onderdeel van deze architectuur. Er worden kosten in rekening gebracht op basis van de tijd dat de gateway is ingericht en beschikbaar is.

Al het binnenkomende verkeer is gratis en al het uitgaande verkeer wordt in rekening gebracht. Kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.

Zie prijzen voor VPN Gateway voor meer informatie.

Virtueel netwerk

Virtual Network is gratis. Elk abonnement mag maximaal 1000 virtuele netwerken maken in alle regio's. Al het verkeer binnen de grenzen van een virtueel netwerk is gratis, dus communicatie tussen twee VIRTUELE machines in hetzelfde virtuele netwerk is gratis.

Operationele uitmuntendheid

Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie de controlelijst ontwerpbeoordeling voor Operational Excellence voor meer informatie.

• Gebruik infrastructuur als codeprocedures om de netwerk- en beveiligingsinfrastructuur in te richten en te configureren. Eén optie is Azure Resource Manager-sjablonen.

• Isoleer workloads om DevOps in staat te stellen continue integratie en continue levering (CI/CD) uit te voeren, omdat elke workload is gekoppeld en beheerd door het bijbehorende DevOps-team.

In deze architectuur wordt het hele virtuele netwerk met de verschillende toepassingslagen, de beheersprongbox en Domain Services geïdentificeerd als één geïsoleerde workload.

U kunt AD DS op VM's configureren met behulp van VM-extensies en andere hulpprogramma's, zoals DSC (Desired State Configuration).

• Overweeg uw implementaties te automatiseren met behulp van Azure DevOps of andere CI/CD-oplossingen. Azure Pipelines is het aanbevolen onderdeel van Azure DevOps Services. Het biedt automatisering voor het bouwen en implementeren van oplossingen en is sterk geïntegreerd in het Azure-ecosysteem.

• Gebruik Azure Monitor om de prestaties van uw infrastructuur te analyseren. U kunt het ook gebruiken om netwerkproblemen te bewaken en diagnosticeren zonder u aan te melden bij uw VM's. Application Insights biedt uitgebreide metrische gegevens en logboeken om de status van uw infrastructuur te controleren.

Zie de sectie DevOps in Well-Architected Framework voor meer informatie.

Beheerbaarheid

Maak regelmatig back-ups van AD DS. Kopieer niet alleen de VHD-bestanden (Virtual Hard Disk) van domeincontrollers omdat het AD DS-databasebestand op de VHD mogelijk niet consistent is bij het kopiëren, waardoor het onmogelijk is om de database opnieuw op te starten.

Het wordt afgeraden om een vm met domeincontrollers af te sluiten met behulp van Azure Portal. Sluit in plaats daarvan het gastbesturingssysteem af en start het opnieuw op. Als u een domeincontroller afsluit met behulp van Azure Portal, wordt de toewijzing van de VIRTUELE machine ongedaan gemaakt. Dit resulteert in de volgende effecten wanneer u de vm van de domeincontroller opnieuw opstart:

• Hiermee worden de VM-GenerationID en de invocationID Active Directory-opslagplaats opnieuw ingesteld.
• Hiermee wordt de huidige RID-pool (Relative Identifier) van Active Directory verwijderd.
• Hiermee wordt de sysvol-map gemarkeerd als niet-verificatief.

Het eerste probleem is relatief goedaardig. Herhaaldelijk opnieuw instellen van de invocationID oorzaken van minder bandbreedtegebruik tijdens replicatie, maar dit gebruik is niet significant.

Het tweede probleem kan bijdragen aan de uitputting van rid-pools in het domein, met name als de RID-poolgrootte is geconfigureerd om groter te zijn dan de standaardwaarde. Als het domein al lange tijd bestaat of wordt gebruikt voor werkstromen waarvoor steeds een account moet worden gemaakt en verwijderd, is het mogelijk dat de RID-pooluitputting al bijna wordt bereikt. Het bewaken van het domein voor waarschuwingsgebeurtenissen voor rid-pooluitputting is een goede gewoonte. Zie RID-uitgifte beheren voor meer informatie.

Het derde probleem is relatief goedaardig zolang een gezaghebbende domeincontroller beschikbaar is wanneer een domeincontroller-VM in Azure opnieuw wordt opgestart. Als alle domeincontrollers in een domein worden uitgevoerd in Azure en ze allemaal tegelijkertijd worden afgesloten en de toewijzing ervan ongedaan gemaakt, kan elke domeincontroller geen gezaghebbende replica vinden wanneer u ze opnieuw opstart. Voor het oplossen van deze voorwaarde is handmatige tussenkomst vereist. Zie Gezaghebbende en niet-bindende synchronisatie voor sysvol-replicatie met DFSR voor meer informatie.

Prestatie-efficiëntie

Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie de controlelijst ontwerpbeoordeling voor prestatie-efficiëntie voor meer informatie.

AD DS is ontworpen voor schaalbaarheid. U hoeft geen load balancer of verkeerscontroller te configureren om aanvragen om te leiden naar AD DS-domeincontrollers. De enige overweging voor schaalbaarheid is het configureren van de VM's waarop AD DS wordt uitgevoerd met de juiste grootte voor uw netwerkbelastingsvereisten, het bewaken van de belasting op de VM's en zo nodig omhoog of omlaag schalen.

Volgende stappen

• Wat is Microsoft Entra ID?
• Azure DevOps
• Azure-pijplijnen
• Azure Monitor
• Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties
• OVERZICHT VAN DSC
• Gelijktijdige ExpressRoute- en site-naar-site-verbindingen configureren met behulp van PowerShell

Verwante resources

• Een AD DS-resourceforest maken in Azure
• On-premises AD FS uitbreiden naar Azure

Deze architectuur laat zien hoe u een on-premises Active Directory-domein uitbreidt naar Azure om gedistribueerde verificatieservices te bieden.

Architectuur

Het diagram bestaat uit twee secties die zijn gelabeld als het on-premises netwerk en het virtuele netwerk. In de sectie on-premises netwerk ziet u een gateway met een tweerichtingsverbinding van de Active Directory-servers naar het gatewaysubnet in de sectie virtueel netwerk. Een pijl wijst van die gateway naar een vak dat het subnet van de toepassing vertegenwoordigt. Dit vak bevat een pictogram dat netwerkbeveiligingsgroepen (NSG's) vertegenwoordigt en een andere gateway die verbinding maakt met twee virtuele machines (VM's). Een pijl die een verificatieaanvraagpunt van de VM's vertegenwoordigt naar een vak met het label AD DS-subnet. Dit vak bevat een pictogram dat NSG's en een groep van twee AD DS-servers vertegenwoordigt. In de sectie on-premises netwerk ziet u een pijl met het label openbare IP-punten van een pictogram dat internet vertegenwoordigt naar een virtuele machine in de sectie van het virtuele netwerk. Deze VIRTUELE machine bevindt zich in een subnet met het label Beheer van een vak. De doos bevat ook NSG's en een jumpbox. Met een stippellijn die Azure DDoS Protection vertegenwoordigt, wordt de sectie van het virtuele netwerk omgeven.

Een Visio-bestand van deze architectuur downloaden.

Deze architectuur breidt de hybride netwerkarchitectuur uit die wordt weergegeven in Een on-premises netwerk verbinden met Azure met behulp van een VPN-gateway.

Werkproces

De volgende werkstroom komt overeen met het vorige diagram:

• On-premises netwerk: Het on-premises netwerk bevat lokale Active Directory-servers die verificatie en autorisatie kunnen uitvoeren voor onderdelen die zich on-premises bevinden.

• Active Directory-servers: Deze servers zijn domeincontrollers die adreslijstservices implementeren die worden uitgevoerd als virtuele machines (VM's) in de cloud. Ze kunnen verificatie bieden van onderdelen die worden uitgevoerd in uw virtuele Azure-netwerk.

• Active Directory-subnet: De AD DS-servers (Active Directory Domain Services) worden gehost in een afzonderlijk subnet. Netwerkbeveiligingsgroepregels helpen de AD DS-servers te beveiligen en een firewall te bieden tegen verkeer van onverwachte bronnen.

• Azure VPN Gateway en Active Directory-synchronisatie: VPN Gateway biedt een verbinding tussen het on-premises netwerk en azure Virtual Network. Deze verbinding kan een VPN-verbinding of via Azure ExpressRoute zijn. Alle synchronisatieaanvragen tussen Active Directory-servers in de cloud en on-premises lopen via de gateway. Door de gebruiker gedefinieerde routes verwerken routering voor on-premises verkeer dat doorgeeft aan Azure.

Onderdelen

• Microsoft Entra ID is een service voor bedrijfsidentiteit die eenmalige aanmelding, meervoudige verificatie en voorwaardelijke toegang van Microsoft Entra biedt. In deze architectuur biedt Microsoft Entra ID veiligere toegang tot cloudtoepassingen en -services.

• VPN Gateway is een service die gebruikmaakt van virtuele netwerkgateways om versleuteld verkeer te verzenden tussen een virtueel Azure-netwerk en on-premises locaties via het openbare internet. In deze architectuur staat VPN Gateway Active Directory-synchronisatieverkeer toe om veiliger tussen omgevingen te stromen.

• ExpressRoute is een service die u kunt gebruiken om uw on-premises netwerken uit te breiden naar de Microsoft-cloud via een privéverbinding met behulp van een connectiviteitsprovider. In deze architectuur is ExpressRoute een alternatief voor VPN-verbindingen voor scenario's waarvoor een hogere bandbreedte en een lagere latentie nodig zijn.

• Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. U kunt deze gebruiken om Azure-resources, zoals VM's, in staat te stellen om met elkaar, internet en on-premises netwerken te communiceren. In deze architectuur ondersteunt Virtual Network domeinreplicatie en -verificatie.

Scenariodetails

Als uw toepassing gedeeltelijk on-premises en gedeeltelijk in Azure wordt gehost, is het repliceren van AD DS in Azure mogelijk efficiënter. Deze replicatie kan de latentie verminderen die wordt veroorzaakt door het verzenden van verificatieaanvragen vanuit de cloud naar AD DS-exemplaren die on-premises worden uitgevoerd.

Potentiële gebruikscases

Deze architectuur wordt vaak gebruikt wanneer een VPN- of ExpressRoute-verbinding de on-premises en virtuele Azure-netwerken verbindt. Deze architectuur biedt ook ondersteuning voor bidirectionele replicatie, wat betekent dat wijzigingen on-premises of in de cloud kunnen worden aangebracht en dat beide bronnen consistent blijven. Typische toepassingen voor deze architectuur zijn hybride toepassingen waarin functionaliteit wordt gedistribueerd tussen on-premises en Azure en toepassingen en services die verificatie uitvoeren met behulp van Active Directory.

Aanbevelingen

U kunt de volgende aanbevelingen toepassen op de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Aanbevelingen voor virtuele machines

Bepaal de vereisten voor de VM-grootte op basis van het verwachte volume van verificatieaanvragen. Gebruik de specificaties van de machines waarop AD DS on-premises wordt gehost als uitgangspunt en koppel deze aan de azure-VM-grootten. Nadat u uw toepassing hebt geïmplementeerd, kunt u het gebruik bewaken en omhoog of omlaag schalen op basis van de werkelijke belasting van de VM's. Zie Capaciteitsplanning voor AD DS voor meer informatie.

Maak een afzonderlijke virtuele gegevensschijf om de map database, logboeken en systeemvolume (sysvol) voor Active Directory op te slaan. Sla deze items niet op dezelfde schijf op als het besturingssysteem. Standaard worden gegevensschijven aan een virtuele machine gekoppeld met behulp van write-through-caching. Deze vorm van caching kan echter conflicten veroorzaken met de vereisten van AD DS. Om deze reden moet u Host Cache Preference op de gegevensschijf instellen op None.

Implementeer ten minste twee VIRTUELE machines waarop AD DS wordt uitgevoerd als domeincontrollers en voeg deze toe aan verschillende beschikbaarheidszones. Als beschikbaarheidszones niet beschikbaar zijn in de regio, implementeert u de VM's in een beschikbaarheidsset.

Aanbevelingen voor netwerken

Configureer de VM-netwerkinterface (NIC) voor elke domeincontroller met een statisch privé IP-adres in plaats van DHCP (Dynamic Host Configuration Protocol). Door rechtstreeks een statisch IP-adres toe te wijzen aan de virtuele machine, kunnen clients contact blijven opnemen met de domeincontroller, zelfs als de DHCP-service niet beschikbaar is. Zie Een virtuele machine maken die gebruikmaakt van een statisch privé-IP-adres voor meer informatie.

Notitie

Configureer de VM-NIC niet voor AD DS met behulp van een openbaar IP-adres. Zie Beveiligingsoverwegingenvoor meer informatie.

De NSG van het Active Directory-subnet vereist regels om inkomend verkeer van on-premises en uitgaand verkeer naar on-premises toe te staan. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor meer informatie.

Als de nieuwe domeincontroller-VM's ook de rol van DNS-servers (Domain Name System) hebben, raden we u aan deze te configureren als aangepaste DNS-servers op het niveau van het virtuele netwerk, zoals wordt uitgelegd in DNS-servers wijzigen. U moet deze configuratie toepassen voor het virtuele netwerk dat als host fungeert voor de nieuwe domeincontrollers en gekoppelde netwerken waar andere VM's Active Directory-domeinnamen moeten omzetten. Zie Naamomzetting voor resources in virtuele Azure-netwerken voor meer informatie.

Voor de eerste configuratie moet u mogelijk de NIC van een van uw domeincontrollers in Azure aanpassen om on-premises naar een domeincontroller te verwijzen als de primaire DNS-bron.

De opname van het IP-adres in de lijst met DNS-servers verbetert de prestaties en verhoogt de beschikbaarheid van DNS-servers. Een opstartvertraging kan echter optreden als de DNS-server ook een domeincontroller is en alleen naar zichzelf verwijst of naar zichzelf verwijst voor naamomzetting.

Wees daarom voorzichtig wanneer u het loopback-adres op een adapter configureert als de server ook een domeincontroller is. Mogelijk moet u de NIC DNS-instellingen in Azure overschrijven om te verwijzen naar een andere domeincontroller die wordt gehost in Azure of on-premises voor de primaire DNS-server. Het loopback-adres mag alleen worden geconfigureerd als een secundaire of tertiaire DNS-server op een domeincontroller.

Active Directory-site

In AD DS vertegenwoordigt een site een fysieke locatie, een netwerk of een verzameling apparaten. Gebruik AD DS-sites om ad DS-databasereplicatie te beheren door AD DS-objecten te groeperen die zich dicht bij elkaar bevinden en die zijn verbonden met een netwerk met hoge snelheid. AD DS bevat logica voor het selecteren van de beste strategie voor het repliceren van de AD DS-database tussen sites.

U wordt aangeraden een AD DS-site te maken, inclusief de subnetten die zijn gedefinieerd voor uw toepassing in Azure. Vervolgens kunt u een sitekoppeling tussen uw on-premises AD DS-sites configureren. AD DS voert automatisch de meest efficiënte databasereplicatie uit. Voor deze databasereplicatie is niet veel meer nodig dan de eerste configuratie.

Active Directory Operations Master

U kunt de operations-masterrol toewijzen aan AD DS-domeincontrollers om consistentie te ondersteunen wanneer ze controleren tussen exemplaren van gerepliceerde AD DS-databases. De vijf operations-masterrollen zijn schemamaster, domeinnaamgevingsmaster, relatieve id-master, primaire domeincontrollerhoofdemulator en infrastructuurmaster. Zie Plaatsing van operations-masterrollen plannen voor meer informatie.

We raden u ook aan ten minste twee van de nieuwe Azure-domeincontrollers de rol globale catalogus (GC) te geven. Zie De plaatsing van de GC-server plannen voor meer informatie.

Controleren

Bewaak de resources van de vm's van de domeincontroller en AD DS en maak een plan om eventuele problemen snel op te lossen. Zie Active Directory bewaken voor meer informatie. U kunt ook hulpprogramma's zoals Microsoft Systems Center installeren op de bewakingsserver om deze taken uit te voeren.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie de controlelijst ontwerpbeoordeling voor betrouwbaarheid voor meer informatie.

Implementeer de VM's waarop AD DS wordt uitgevoerd in ten minste twee beschikbaarheidszones. Als beschikbaarheidszones niet beschikbaar zijn in de regio, gebruikt u beschikbaarheidssets. Overweeg ook om de rol van stand-by operations-master toe te wijzen aan ten minste één server of meer, afhankelijk van uw vereisten. Een stand-by operations-master is een actieve kopie van de operations-master die de server van de primaire operations-master tijdens een failover kan vervangen.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie de controlelijst ontwerpbeoordeling voor beveiliging voor meer informatie.

AD DS-servers bieden verificatieservices en zijn een aantrekkelijk doelwit voor aanvallen. Om ze te beveiligen, voorkomt u directe internetverbinding door de AD DS-servers in een afzonderlijk subnet met een NSG als firewall te plaatsen. Sluit alle poorten op de AD DS-servers, behalve de poorten die nodig zijn voor verificatie, autorisatie en serversynchronisatie. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor meer informatie.

Gebruik BitLocker of Azure-schijfversleuteling om de schijf te versleutelen die als host fungeert voor de AD DS-database.

Azure DDoS Protection, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om bescherming te bieden tegen DDoS-aanvallen. Schakel DDoS Protection in voor elk virtueel perimeternetwerk.

Kostenoptimalisatie

Kostenoptimalisatie richt zich op manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie de controlelijst ontwerpbeoordeling voor Kostenoptimalisatie voor meer informatie.

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Andere overwegingen worden beschreven in de sectie Kostenoptimalisatie in Well-Architected Framework.

In de volgende secties worden kostenoverwegingen beschreven voor de services die door deze architectuur worden gebruikt.

Microsoft Entra Domain Services.

Overweeg om Microsoft Entra Domain Services te gebruiken als een gedeelde service die door meerdere workloads wordt gebruikt om de kosten te verlagen. Zie De prijzen van Domain Services voor meer informatie.

VPN Gateway

VPN Gateway is het belangrijkste onderdeel van deze architectuur. Er worden kosten in rekening gebracht op basis van de tijd dat de gateway is ingericht en beschikbaar is.

Al het binnenkomende verkeer is gratis en al het uitgaande verkeer wordt in rekening gebracht. Kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.

Zie prijzen voor VPN Gateway voor meer informatie.

Virtueel netwerk

Virtual Network is gratis. Elk abonnement mag maximaal 1000 virtuele netwerken maken in alle regio's. Al het verkeer binnen de grenzen van een virtueel netwerk is gratis, dus communicatie tussen twee VIRTUELE machines in hetzelfde virtuele netwerk is gratis.

Operationele uitmuntendheid

Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie de controlelijst ontwerpbeoordeling voor Operational Excellence voor meer informatie.

• Gebruik infrastructuur als codeprocedures om de netwerk- en beveiligingsinfrastructuur in te richten en te configureren. Eén optie is Azure Resource Manager-sjablonen.

• Isoleer workloads om DevOps in staat te stellen continue integratie en continue levering (CI/CD) uit te voeren, omdat elke workload is gekoppeld en beheerd door het bijbehorende DevOps-team.

In deze architectuur wordt het hele virtuele netwerk met de verschillende toepassingslagen, de beheersprongbox en Domain Services geïdentificeerd als één geïsoleerde workload.

U kunt AD DS op VM's configureren met behulp van VM-extensies en andere hulpprogramma's, zoals DSC (Desired State Configuration).

• Overweeg uw implementaties te automatiseren met behulp van Azure DevOps of andere CI/CD-oplossingen. Azure Pipelines is het aanbevolen onderdeel van Azure DevOps Services. Het biedt automatisering voor het bouwen en implementeren van oplossingen en is sterk geïntegreerd in het Azure-ecosysteem.

• Gebruik Azure Monitor om de prestaties van uw infrastructuur te analyseren. U kunt het ook gebruiken om netwerkproblemen te bewaken en diagnosticeren zonder u aan te melden bij uw VM's. Application Insights biedt uitgebreide metrische gegevens en logboeken om de status van uw infrastructuur te controleren.

Zie de sectie DevOps in Well-Architected Framework voor meer informatie.

Beheerbaarheid

Maak regelmatig back-ups van AD DS. Kopieer niet alleen de VHD-bestanden (Virtual Hard Disk) van domeincontrollers omdat het AD DS-databasebestand op de VHD mogelijk niet consistent is bij het kopiëren, waardoor het onmogelijk is om de database opnieuw op te starten.

Het wordt afgeraden om een vm met domeincontrollers af te sluiten met behulp van Azure Portal. Sluit in plaats daarvan het gastbesturingssysteem af en start het opnieuw op. Als u een domeincontroller afsluit met behulp van Azure Portal, wordt de toewijzing van de VIRTUELE machine ongedaan gemaakt. Dit resulteert in de volgende effecten wanneer u de vm van de domeincontroller opnieuw opstart:

• Hiermee worden de VM-GenerationID en de invocationID Active Directory-opslagplaats opnieuw ingesteld.
• Hiermee wordt de huidige RID-pool (Relative Identifier) van Active Directory verwijderd.
• Hiermee wordt de sysvol-map gemarkeerd als niet-verificatief.

Het eerste probleem is relatief goedaardig. Herhaaldelijk opnieuw instellen van de invocationID oorzaken van minder bandbreedtegebruik tijdens replicatie, maar dit gebruik is niet significant.

Het tweede probleem kan bijdragen aan de uitputting van rid-pools in het domein, met name als de RID-poolgrootte is geconfigureerd om groter te zijn dan de standaardwaarde. Als het domein al lange tijd bestaat of wordt gebruikt voor werkstromen waarvoor steeds een account moet worden gemaakt en verwijderd, is het mogelijk dat de RID-pooluitputting al bijna wordt bereikt. Het bewaken van het domein voor waarschuwingsgebeurtenissen voor rid-pooluitputting is een goede gewoonte. Zie RID-uitgifte beheren voor meer informatie.

Het derde probleem is relatief goedaardig zolang een gezaghebbende domeincontroller beschikbaar is wanneer een domeincontroller-VM in Azure opnieuw wordt opgestart. Als alle domeincontrollers in een domein worden uitgevoerd in Azure en ze allemaal tegelijkertijd worden afgesloten en de toewijzing ervan ongedaan gemaakt, kan elke domeincontroller geen gezaghebbende replica vinden wanneer u ze opnieuw opstart. Voor het oplossen van deze voorwaarde is handmatige tussenkomst vereist. Zie Gezaghebbende en niet-bindende synchronisatie voor sysvol-replicatie met DFSR voor meer informatie.

Prestatie-efficiëntie

Prestatie-efficiëntie verwijst naar de mogelijkheid van uw workload om efficiënt te voldoen aan de behoeften van de gebruiker. Zie de controlelijst ontwerpbeoordeling voor prestatie-efficiëntie voor meer informatie.

AD DS is ontworpen voor schaalbaarheid. U hoeft geen load balancer of verkeerscontroller te configureren om aanvragen om te leiden naar AD DS-domeincontrollers. De enige overweging voor schaalbaarheid is het configureren van de VM's waarop AD DS wordt uitgevoerd met de juiste grootte voor uw netwerkbelastingsvereisten, het bewaken van de belasting op de VM's en zo nodig omhoog of omlaag schalen.

Volgende stappen

• Wat is Microsoft Entra ID?
• Azure DevOps
• Azure-pijplijnen
• Azure Monitor
• Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties
• OVERZICHT VAN DSC
• Gelijktijdige ExpressRoute- en site-naar-site-verbindingen configureren met behulp van PowerShell

Verwante resources

• Een AD DS-resourceforest maken in Azure
• On-premises AD FS uitbreiden naar Azure