Ta architektura referencyjna pokazuje, jak utworzyć na platformie Azure oddzielną domenę usługi Active Directory, która jest zaufana przez lokalny las usługi AD.
Pobierz plik programu Visio dla architektury "Las usług AD DS".
Usługa Active Directory Domain Services (AD DS) przechowuje informacje o tożsamościach w strukturze hierarchicznej. Najwyższy węzeł w strukturze hierarchicznej jest nazywany lasem. Las zawiera domeny, a domeny zawierają obiekty innych typów. Ta architektura referencyjna tworzy na platformie Azure las usługi AD z jednokierunkową wychodzącą relacją zaufania z domeną lokalną. Las na platformie Azure zawiera domenę, która nie istnieje lokalnie. Z powodu relacji zaufania logowania w domenach lokalnych mogą być zaufane na potrzeby dostępu do zasobów w oddzielnej domenie platformy Azure.
Typowe zastosowania tej architektury obejmują ochronną separację obiektów i tożsamości przechowywanych w chmurze oraz migrowanie pojedynczych danych ze środowiska lokalnego do chmury.
Aby uzyskać dodatkowe informacje, zobacz Choose a solution for integrating on-premises Active Directory with Azure (Wybieranie rozwiązania do integracji lokalnej usługi Active Directory z platformą Azure).
Architektura
Architektura ma następujące składniki.
- Sieć lokalna. Sieć lokalna zawiera własny las i własne domeny usługi Active Directory.
- Serwery usługi Active Directory. To są kontrolery domeny implementujące usługi domeny uruchamiane jako maszyny wirtualne w chmurze. Te serwery hostują las zawierający co najmniej jedną domenę oddzielną od domen w środowisku lokalnym.
- Jednokierunkowa relacja zaufania. Przykład na diagramie prezentuje jednokierunkowe zaufanie z domeny na platformie Azure do domeny lokalnej. Ta relacja umożliwia użytkownikom lokalnym uzyskiwanie dostępu do zasobów w domenie na platformie Azure, ale nie odwrotnie.
- Podsieć usługi Active Directory. Serwery usług AD DS są hostowane w osobnej podsieci. Reguły sieciowych grup zabezpieczeń chronią serwery usług AD DS i zapewniają zaporę dla ruchu z nieoczekiwanych źródeł.
- Brama platformy Azure. Brama platformy Azure zapewnia połączenie między siecią lokalną a siecią wirtualną platformy Azure. Może to być połączenie sieci VPN lub usługi Azure ExpressRoute. Aby uzyskać więcej informacji, zobacz Łączenie sieci lokalnej z platformą Azure za pomocą bramy sieci VPN.
Zalecenia
Aby uzyskać szczegółowe zalecenia dotyczące implementowania usługi Active Directory na platformie Azure, zobacz Rozszerzanie Active Directory Domain Services (AD DS) na platformę Azure.
Zaufanie
Domeny lokalne są zawarte w innym lesie niż domeny w chmurze. Aby umożliwić uwierzytelnianie się w chmurze użytkownikom lokalnym, domeny na platformie Azure muszą ufać domenie logowania w lesie lokalnym. Podobnie jeśli chmura udostępnia domenę logowania użytkownikom zewnętrznym, konieczne może być ufanie domenie w chmurze przez las lokalny.
Relacje zaufania można ustanawiać na poziomie lasu, tworząc relacje zaufania lasu, lub na poziomie domeny, tworząc zewnętrzne relacje zaufania. Relacja zaufania na poziomie lasu tworzy relację między wszystkimi domenami w dwóch lasach. Relacja zaufania na poziomie domeny zewnętrznej tworzy wyłącznie relację między dwiema konkretnymi domenami. Relacje zaufania na poziomie domeny zewnętrznej należy tworzyć tylko między domenami w różnych lasach.
Relacje zaufania z lokalna usługa Active Directory są tylko jednokierunkowe (jednokierunkowe). Jednokierunkowa relacja zaufania pozwala użytkownikom w jednej domenie lub w jednym lesie (tzw. domenie przychodzącej lub lesie przychodzącym) na dostęp do zasobów przechowywanych w innej domenie lub innym lesie (tzw. domenie wychodzącej lub lesie wychodzącym).
Poniższa tabela zawiera podsumowanie konfiguracji relacji zaufania dla niektórych prostych scenariuszy:
| Scenariusz | Lokalna relacja zaufania | Relacja zaufania w chmurze |
|---|---|---|
| Użytkownicy lokalni wymagają dostępu do zasobów w chmurze, ale nie na odwrót | Jednokierunkowa, przychodząca | Jednokierunkowa, wychodząca |
| Użytkownicy w chmurze wymagają dostępu do zasobów lokalnych, ale nie na odwrót | Jednokierunkowa, wychodząca | Jednokierunkowa, przychodząca |
Zagadnienia dotyczące skalowalności
Usługa Active Directory jest automatycznie skalowana dla kontrolerów domeny będących częścią tej samej domeny. Żądania są rozsyłane do wszystkich kontrolerów w domenie. Można dodać kolejny kontroler domeny, a zostanie on automatycznie zsynchronizowany z domeną. Nie konfiguruj oddzielnego modułu równoważenia obciążenia kierującego ruch na kontrolery w domenie. Upewnij się, że wszystkie kontrolery domeny mają wystarczającą ilość zasobów pamięci i magazynu, aby obsłużyć bazę danych domeny. Ustaw wszystkie maszyny wirtualne kontrolerów domeny na ten sam rozmiar.
Zagadnienia dotyczące dostępności
Zaaprowizuj co najmniej dwa kontrolery domeny dla każdej domeny. Umożliwia to automatyczną replikację między serwerami. Utwórz zestaw dostępności dla maszyn wirtualnych działających jako serwery usługi Active Directory obsługujące każdą domenę. W tym zestawie dostępności umieść co najmniej dwa serwery.
Rozważ również wyznaczenie co najmniej jednego serwera w każdej domenie na serwer nadrzędny operacji w trybie gotowości na wypadek niepowodzenia komunikacji z serwerem pełniącym rolę elastycznego pojedynczego serwera nadrzędnego operacji (FSMO).
Zagadnienia dotyczące możliwości zarządzania
Aby uzyskać informacje na temat zagadnień związanych z zarządzeniem i monitorowaniem, zobacz Extending Active Directory to Azure (Rozszerzanie usługi Active Directory na platformę Azure).
Aby uzyskać dodatkowe informacje, zobacz Monitoring Active Directory (Monitorowanie usługi Active Directory). Aby ułatwić wykonywanie tych zadań, możesz zainstalować narzędzia takie jak Microsoft Systems Center na serwerze monitorowania w podsieci zarządzania.
Zagadnienia dotyczące bezpieczeństwa
Relacje zaufania na poziomie lasu są przechodnie. Jeśli ustanowisz relację zaufania na poziomie lasu między lasem lokalnym i lasem w chmurze, ta relacja będzie rozszerzania o domeny utworzone w obu lasach. Jeśli używasz domen do zapewniania separacji na potrzeby zabezpieczeń, rozważ utworzenie relacji zaufania tylko na poziomie domeny. Relacje zaufania na poziomie domeny nie są przechodnie.
Aby uzyskać informacje na temat zagadnień dotyczących zabezpieczeń specyficznych dla usługi Active Directory, zajrzyj do sekcji z zagadnieniami dotyczącymi zabezpieczeń w temacie Extending Active Directory to Azure (Rozszerzanie usługi Active Directory na platformę Azure).
Kwestie do rozważenia dotyczące metodyki DevOps
Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps, zobacz Doskonałość operacyjna w rozszerzaniu Active Directory Domain Services (AD DS) na platformę Azure.
Kwestie związane z kosztami
Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Inne zagadnienia opisano w sekcji Koszty w programie Microsoft Azure Well-Architected Framework.
Poniżej przedstawiono zagadnienia dotyczące kosztów usług używanych w tej architekturze.
Usługi domenowe AD
Rozważ skonfigurowanie usługi Active Directory Domain Services jako usługi udostępnionej, która jest używana przez wiele obciążeń, aby obniżyć koszty. Aby uzyskać więcej informacji, zobacz Active Directory Domain Services cennik.
Azure VPN Gateway
Głównym składnikiem tej architektury jest usługa bramy sieci VPN. Opłata jest naliczana na podstawie czasu, przez jaki brama jest aprowizowana i dostępna.
Cały ruch przychodzący jest bezpłatny, opłaty są naliczane za cały ruch wychodzący. Opłaty za przepustowość internetową są naliczane za ruch wychodzący sieci VPN.
Aby uzyskać więcej informacji, zobacz temat VPN Gateway — cennik.
Następne kroki
- Poznaj najlepsze rozwiązania z zakresu rozszerzania Twojej lokalnej domeny usługi AD DS na platformę Azure
- Poznaj najlepsze rozwiązania dotyczące tworzenia infrastruktury usługi AD FS na platformie Azure.