In deze voorbeeldarchitectuur ziet u hoe u een afzonderlijk Active Directory-domein maakt in Azure dat wordt vertrouwd door de domeinen in uw on-premises AD-forest.
Download een Visio-bestand voor de architectuur 'AD DS-forest'.
In AD DS (Active Directory Domain Services) worden identiteitsgegevens opgeslagen in een hiërarchische structuur. Het bovenste knooppunt in de hiërarchische structuur wordt een forest genoemd. Een forest bevat domeinen en domeinen bevatten op hun beurt andere typen objecten. In deze voorbeeldarchitectuur wordt in Azure een AD DS-forest gemaakt met een uitgaande eenrichtingsvertrouwensrelatie met een on-premises domein. Het forest in Azure bevat een domein dat on-premises niet bestaat. Vanwege de vertrouwensrelatie kunnen aanmeldingen bij on-premises domeinen worden vertrouwd voor toegang tot resources in het afzonderlijke Azure-domein.
Typische toepassingen van deze architectuur zijn het scheiden van de beveiliging voor objecten en identiteiten die zijn ondergebracht in de cloud en het migreren van afzonderlijke domeinen van on-premises naar de cloud.
Zie Een oplossing kiezen voor het integreren van on-premises Active Directory met Azure voor aanvullende informatie.
Architectuur
De architectuur heeft de volgende onderdelen:
- On-premises netwerk. Het on-premises netwerk bevat een eigen Active Directory-forest en -domeinen.
- Active Directory-servers. Dit zijn domeincontrollers die domeinservices implementeren die als virtuele machines worden uitgevoerd in de cloud. Deze servers hosten een forest met een of meer domeinen, die zijn gescheiden van de on-premises domeinen.
- Eenrichtingsvertrouwensrelatie. In het voorbeeld in het diagram ziet u een eenrichtingsvertrouwensrelatie vanuit het domein in Azure naar het on-premises domein. Deze relatie stelt on-premises gebruikers in staat om toegang te krijgen tot resources in het domein in Azure, maar niet andersom.
- Active Directory-subnet. De AD DS-servers worden gehost in een afzonderlijk subnet. Via regels voor netwerkbeveiligingsgroepen (NSG's) worden de AD DS-servers beveiligd. Deze regels vormen ook een firewall tegen verkeer van onverwachte bronnen.
- Azure-gateway. De Azure-gateway biedt een verbinding tussen het on-premises netwerk en het virtuele Azure-netwerk. Dit kan een VPN-verbinding zijn of Azure ExpressRoute. Raadpleeg Connect an on-premises network to Azure using a VPN gateway (Een on-premises netwerk verbinden met Azure met behulp van een VPN-gateway) voor meer informatie.
Aanbevelingen
Zie Uitbreiden van Active Directory Domain Services (AD DS) naar Azure voor specifieke aanbevelingen voor het implementeren van Active Directory in Azure.
Vertrouwen
De on-premises domeinen bevinden zich in een ander forest dan de domeinen in de cloud. Als u on-premises gebruikers wilt laten verifiëren in de cloud, moeten de domeinen in Azure het aanmeldingsdomein in het on-premises forest vertrouwen. Omgekeerd is het zo dat als de cloud een aanmeldingsdomein biedt voor externe gebruikers, het nodig kan zijn dat het on-premises forest het domein in de cloud vertrouwt.
U kunt vertrouwensrelaties op forestniveau tot stand brengen door vertrouwensrelaties tussen forests te maken of door op het niveau van het domein externe vertrouwensrelaties te maken. Een vertrouwensrelatie op forestniveau betekent dat er een relatie tot stand wordt gebracht tussen alle domeinen in twee forests. Met een externe vertrouwensrelatie op domeinniveau wordt er alleen een relatie opgezet tussen twee opgegeven domeinen. Maak alleen externe vertrouwensrelaties tussen domeinen in verschillende forests.
Vertrouwensrelaties met een on-premises Active Directory zijn slechts eenrichtingsrelaties (eenrichtingsverkeer). Een eenrichtingsvertrouwensrelatie biedt gebruikers in een domein of forest (ook wel het binnenkomende domein of forest genoemd) toegang tot de resources die zijn ondergebracht in een ander domein of forest (het uitgaande domein of forest).
In de volgende tabel ziet u een overzicht van vertrouwensrelaties voor enkele eenvoudige scenario's:
Scenario | On-premises vertrouwensrelatie | Cloudvertrouwensrelatie |
---|---|---|
On-premises gebruikers moeten toegang hebben tot resources in de cloud, maar niet omgekeerd | Een richting, binnenkomend | Een richting, uitgaand |
Gebruikers in de cloud moeten toegang hebben tot on-premises resources, maar niet omgekeerd | Een richting, uitgaand | Een richting, binnenkomend |
Schaalbaarheidsoverwegingen
De schaal van Active Directory kan automatisch worden aangepast voor domeincontrollers die deel uitmaken van hetzelfde domein. Aanvragen worden verdeeld over alle domeincontrollers binnen een domein. U kunt een andere domeincontroller toevoegen en deze wordt dan automatisch gesynchroniseerd met het domein. U moet dus niet een afzonderlijke load balancer configureren om verkeer om te leiden naar domeincontrollers binnen het domein. Zorg ervoor dat alle domeincontrollers voldoende geheugen en opslagruimte hebben voor het afhandelen van de domeindatabase. Gebruik voor alle virtuele machines met de rol van domeincontroller dezelfde grootte.
Beschikbaarheidsoverwegingen
Richt ten minste twee domeincontrollers in voor elk domein. Hierdoor is automatische replicatie tussen servers mogelijk. Maak een beschikbaarheidsset voor de virtuele machines die fungeren als Active Directory-servers en die een domein voor hun rekening nemen. Plaats ten minste twee servers in deze beschikbaarheidsset.
Het kan ook een goed idee zijn om in elk domein een of meer servers aan te wijzen als stand-by operations-masters, voor het geval de verbinding wegvalt met een server die de rol heeft van FSMO (Flexible Single Master Operation).
Beheerbaarheidsoverwegingen
Zie Active Directory naar Azure uitbreiden voor informatie over aandachtspunten voor beheer en controle.
Zie Monitoring Active Directory (Active Directory controleren) voor meer informatie. U kunt op een controleserver in het beheersubnet hulpprogramma's zoals Microsoft Systems Center installeren om deze taken uit te voeren.
Beveiligingsoverwegingen
Vertrouwensrelaties op forestniveau zijn transitief. Als u een vertrouwensrelatie op forestniveau instelt tussen een on-premises forest en een forest in de cloud, wordt deze vertrouwensrelatie uitgebreid naar andere, nieuwe domeinen die in een van beide forests worden gemaakt. Als u domeinen gebruikt voor scheiding omwille van beveiliging, kunt u overwegen om alleen vertrouwensrelaties op domeinniveau te maken. Vertrouwensrelaties op domeinniveau zijn namelijk niet transitief.
Als u overwegingen wilt bekijken die specifiek zijn voor beveiliging in Active Directory, gaat u naar het gedeelte over beveiligingsoverwegingen in Active Directory naar Azure uitbreiden.
DevOps overwegingen
Zie Operational excellence in Extending Active Directory Domain Services (AD DS) naar Azure voor Overwegingen bij DevOps.
Kostenoverwegingen
Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Andere overwegingen worden beschreven in de sectie Kosten in Microsoft Azure Well-Architected Framework.
Hier volgen kostenoverwegingen voor de services die in deze architectuur worden gebruikt.
AD Domain Services
Overweeg om Active Directory Domain Services te gebruiken als een gedeelde service die voor meerdere workloads wordt gebruikt om de kosten te verlagen. Zie prijzen voor Active Directory Domain Services voor meer informatie.
Azure VPN-gateway
Het belangrijkste onderdeel van deze architectuur is de VPN-gatewayservice. Kosten worden in rekening gebracht op basis van de duur van het inrichten van de gateway en de beschikbaarheid.
Al het inkomende verkeer is gratis, al het uitgaande verkeer wordt in rekening gebracht. Kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.
Zie Prijzen van VPN Gateway voor meer informatie.
Volgende stappen
- Lees alles over de aanbevolen procedures voor het uitbreiden van uw on-premises AD DS-domein naar Azure
- Lees alles over de aanbevolen procedures voor het maken van een AD FS-infrastructuur in Azure.