Tworzenie lasu zasobów usług AD DS na platformie Azure

Tożsamość Microsoft Entra

Microsoft Entra

Azure ExpressRoute

Azure Virtual Network

Azure VPN Gateway

Ta architektura referencyjna pokazuje, jak utworzyć oddzielną domenę usługi Active Directory na platformie Azure, która jest zaufana przez domeny w lokalnym lesie usługi AD.

Pobierz plik programu Visio dla architektury "Las usług AD DS".

Usługi Active Directory Domain Services (AD DS) przechowują informacje o tożsamości w strukturze hierarchicznej. Górny węzeł w strukturze hierarchicznej jest nazywany lasem. Las zawiera domeny i domeny zawierają inne typy obiektów. Ta architektura referencyjna tworzy las usług AD DS na platformie Azure z jednokierunkową relacją zaufania wychodzącego z domeną lokalną. Las na platformie Azure zawiera domenę, która nie istnieje lokalnie. Ze względu na relację zaufania logowania wykonywane względem domen lokalnych mogą być zaufane w celu uzyskania dostępu do zasobów w oddzielnej domenie platformy Azure.

Typowe zastosowania tej architektury obejmują zachowanie separacji zabezpieczeń dla obiektów i tożsamości przechowywanych w chmurze oraz migrowanie poszczególnych domen ze środowiska lokalnego do chmury.

Aby uzyskać dodatkowe uwagi, zobacz Wybieranie rozwiązania do integracji lokalnej usługi Active Directory z platformą Azure.

Architektura

Architektura ma następujące składniki.

• Sieć lokalna. Sieć lokalna zawiera własny las i domeny usługi Active Directory.
• Serwery usługi Active Directory. Są to kontrolery domeny implementowane usługi domeny uruchomione jako maszyny wirtualne w chmurze. Te serwery hostują las zawierający co najmniej jedną domenę, oddzieloną od tych znajdujących się lokalnie.
• Jednokierunkowa relacja zaufania. Na przykładzie na diagramie przedstawiono jednokierunkowe zaufanie z domeny na platformie Azure do domeny lokalnej. Ta relacja umożliwia użytkownikom lokalnym uzyskiwanie dostępu do zasobów w domenie na platformie Azure, ale nie w drugą stronę.
• Podsieć usługi Active Directory. Serwery usług AD DS są hostowane w oddzielnej podsieci. Reguły sieciowych grup zabezpieczeń chronią serwery usług AD DS i zapewniają zaporę dla ruchu z nieoczekiwanych źródeł.
• Brama platformy Azure. Brama platformy Azure zapewnia połączenie między siecią lokalną a siecią wirtualną platformy Azure. Może to być połączenie sieci VPN lub usługa Azure ExpressRoute. Aby uzyskać więcej informacji, zobacz Łączenie sieci lokalnej z platformą Azure przy użyciu bramy sieci VPN.

Zalecenia

Aby uzyskać konkretne zalecenia dotyczące implementowania usługi Active Directory na platformie Azure, zobacz Rozszerzanie usług Active Directory Domain Services (AD DS) na platformę Azure.

Zaufanie

Domeny lokalne znajdują się w innym lesie niż domeny w chmurze. Aby umożliwić uwierzytelnianie użytkowników lokalnych w chmurze, domeny na platformie Azure muszą ufać domenie logowania w lesie lokalnym. Podobnie jeśli chmura udostępnia domenę logowania dla użytkowników zewnętrznych, może być konieczne, aby las lokalny ufał domenie w chmurze.

Relacje zaufania można ustanowić na poziomie lasu, tworząc relacje zaufania lasu lub na poziomie domeny, tworząc relacje zaufania zewnętrzne. Relacja zaufania na poziomie lasu tworzy relację między wszystkimi domenami w dwóch lasach. Relacja zaufania na poziomie domeny zewnętrznej tworzy relację tylko między dwiema określonymi domenami. Należy utworzyć relacje zaufania na poziomie domeny zewnętrznej tylko między domenami w różnych lasach.

Relacje zaufania z lokalną usługą Active Directory są tylko jednokierunkowe (jednokierunkowe). Jednokierunkowa relacja zaufania umożliwia użytkownikom w jednej domenie lub lesie (nazywanym domeną lub lasem przychodzącym ) dostęp do zasobów przechowywanych w innej domenie (domenie wychodzącej lub lesie).

Poniższa tabela zawiera podsumowanie konfiguracji zaufania dla niektórych prostych scenariuszy:

Scenariusz	Zaufanie lokalne	Zaufanie do chmury
Użytkownicy lokalni wymagają dostępu do zasobów w chmurze, ale nie odwrotnie	Jednokierunkowe, przychodzące	Jednokierunkowy, wychodzący
Użytkownicy w chmurze wymagają dostępu do zasobów znajdujących się lokalnie, ale nie odwrotnie	Jednokierunkowy, wychodzący	Jednokierunkowe, przychodzące

Rozważania

Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Design review checklist for Reliability(Lista kontrolna dotycząca niezawodności).

Aprowizuj co najmniej dwa kontrolery domeny dla każdej domeny. Umożliwia to automatyczną replikację między serwerami. Utwórz zestaw dostępności dla maszyn wirtualnych działających jako serwery usługi Active Directory obsługujące każdą domenę. Umieść co najmniej dwa serwery w tym zestawie dostępności.

Należy również rozważyć wyznaczenie co najmniej jednego serwera w każdej domenie jako wzorca operacji rezerwowych w przypadku niepowodzenia łączności z serwerem działającym jako elastyczna rola operacji głównej (FSMO).

Bezpieczeństwo

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.

Relacje zaufania na poziomie lasu są przechodnie. Jeśli ustanowić relację zaufania na poziomie lasu między lasem lokalnym a lasem w chmurze, to zaufanie zostanie rozszerzone do innych nowych domen utworzonych w obu lasach. Jeśli używasz domen do zapewnienia separacji na potrzeby zabezpieczeń, rozważ utworzenie relacji zaufania tylko na poziomie domeny. Relacje zaufania na poziomie domeny nie są przechodnie.

Aby zapoznać się z zagadnieniami dotyczącymi zabezpieczeń specyficznymi dla usługi Active Directory, zobacz sekcję Zagadnienia dotyczące zabezpieczeń w temacie Rozszerzanie usługi Active Directory na platformę Azure.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.

Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Inne zagadnienia zostały opisane w sekcji Koszt w witrynie Microsoft Azure Well-Architected Framework.

Poniżej przedstawiono zagadnienia dotyczące kosztów usług używanych w tej architekturze.

Usługi domenowe AD

Rozważ użycie usług Active Directory Domain Services jako usługi udostępnionej, która jest zużywana przez wiele obciążeń, aby obniżyć koszty. Aby uzyskać więcej informacji, zobacz cennik usług domena usługi Active Directory.

Azure VPN Gateway

Głównym składnikiem tej architektury jest usługa bramy sieci VPN. Opłaty są naliczane na podstawie czasu aprowizacji i dostępności bramy.

Cały ruch przychodzący jest bezpłatny, opłaty są naliczane za cały ruch wychodzący. Opłaty za przepustowość internetową są naliczane za ruch wychodzący sieci VPN.

Aby uzyskać więcej informacji, zobacz temat VPN Gateway — cennik.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.

Metodyka DevOps

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps, zobacz Doskonałość operacyjna w rozszerzaniu usług Active Directory Domain Services (AD DS) na platformę Azure.

Zarządzalność

Aby uzyskać informacje na temat zagadnień związanych z zarządzaniem i monitorowaniem, zobacz Rozszerzanie usługi Active Directory na platformę Azure.

Postępuj zgodnie ze wskazówkami w temacie Monitorowanie usługi Active Directory. Narzędzia, takie jak Microsoft Systems Center , można zainstalować na serwerze monitorowania w podsieci zarządzania, aby ułatwić wykonywanie tych zadań.

Efektywność operacyjna

Wydajność to zdolność obciążenia do zaspokojenia wymagań, które są na nim nakładane przez użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

Usługa Active Directory jest automatycznie skalowalna dla kontrolerów domeny, które są częścią tej samej domeny. Żądania są dystrybuowane na wszystkich kontrolerach w domenie. Możesz dodać inny kontroler domeny i automatycznie synchronizuje się z domeną. Nie należy konfigurować oddzielnego modułu równoważenia obciążenia w celu kierowania ruchu do kontrolerów w domenie. Upewnij się, że wszystkie kontrolery domeny mają wystarczającą ilość pamięci i zasobów magazynu do obsługi bazy danych domeny. Ustaw wszystkie maszyny wirtualne kontrolera domeny na taki sam rozmiar.

Dalsze kroki

• Poznaj najlepsze rozwiązania dotyczące rozszerzania lokalnej domeny usług AD DS na platformę Azure
• Poznaj najlepsze rozwiązania dotyczące tworzenia infrastruktury usług AD FS na platformie Azure.

Ta architektura referencyjna pokazuje, jak utworzyć oddzielną domenę usługi Active Directory na platformie Azure, która jest zaufana przez domeny w lokalnym lesie usługi AD.

Pobierz plik programu Visio dla architektury "Las usług AD DS".

Usługi Active Directory Domain Services (AD DS) przechowują informacje o tożsamości w strukturze hierarchicznej. Górny węzeł w strukturze hierarchicznej jest nazywany lasem. Las zawiera domeny i domeny zawierają inne typy obiektów. Ta architektura referencyjna tworzy las usług AD DS na platformie Azure z jednokierunkową relacją zaufania wychodzącego z domeną lokalną. Las na platformie Azure zawiera domenę, która nie istnieje lokalnie. Ze względu na relację zaufania logowania wykonywane względem domen lokalnych mogą być zaufane w celu uzyskania dostępu do zasobów w oddzielnej domenie platformy Azure.

Typowe zastosowania tej architektury obejmują zachowanie separacji zabezpieczeń dla obiektów i tożsamości przechowywanych w chmurze oraz migrowanie poszczególnych domen ze środowiska lokalnego do chmury.

Aby uzyskać dodatkowe uwagi, zobacz Wybieranie rozwiązania do integracji lokalnej usługi Active Directory z platformą Azure.

Architektura

Architektura ma następujące składniki.

• Sieć lokalna. Sieć lokalna zawiera własny las i domeny usługi Active Directory.
• Serwery usługi Active Directory. Są to kontrolery domeny implementowane usługi domeny uruchomione jako maszyny wirtualne w chmurze. Te serwery hostują las zawierający co najmniej jedną domenę, oddzieloną od tych znajdujących się lokalnie.
• Jednokierunkowa relacja zaufania. Na przykładzie na diagramie przedstawiono jednokierunkowe zaufanie z domeny na platformie Azure do domeny lokalnej. Ta relacja umożliwia użytkownikom lokalnym uzyskiwanie dostępu do zasobów w domenie na platformie Azure, ale nie w drugą stronę.
• Podsieć usługi Active Directory. Serwery usług AD DS są hostowane w oddzielnej podsieci. Reguły sieciowych grup zabezpieczeń chronią serwery usług AD DS i zapewniają zaporę dla ruchu z nieoczekiwanych źródeł.
• Brama platformy Azure. Brama platformy Azure zapewnia połączenie między siecią lokalną a siecią wirtualną platformy Azure. Może to być połączenie sieci VPN lub usługa Azure ExpressRoute. Aby uzyskać więcej informacji, zobacz Łączenie sieci lokalnej z platformą Azure przy użyciu bramy sieci VPN.

Zalecenia

Aby uzyskać konkretne zalecenia dotyczące implementowania usługi Active Directory na platformie Azure, zobacz Rozszerzanie usług Active Directory Domain Services (AD DS) na platformę Azure.

Zaufanie

Domeny lokalne znajdują się w innym lesie niż domeny w chmurze. Aby umożliwić uwierzytelnianie użytkowników lokalnych w chmurze, domeny na platformie Azure muszą ufać domenie logowania w lesie lokalnym. Podobnie jeśli chmura udostępnia domenę logowania dla użytkowników zewnętrznych, może być konieczne, aby las lokalny ufał domenie w chmurze.

Relacje zaufania można ustanowić na poziomie lasu, tworząc relacje zaufania lasu lub na poziomie domeny, tworząc relacje zaufania zewnętrzne. Relacja zaufania na poziomie lasu tworzy relację między wszystkimi domenami w dwóch lasach. Relacja zaufania na poziomie domeny zewnętrznej tworzy relację tylko między dwiema określonymi domenami. Należy utworzyć relacje zaufania na poziomie domeny zewnętrznej tylko między domenami w różnych lasach.

Relacje zaufania z lokalną usługą Active Directory są tylko jednokierunkowe (jednokierunkowe). Jednokierunkowa relacja zaufania umożliwia użytkownikom w jednej domenie lub lesie (nazywanym domeną lub lasem przychodzącym ) dostęp do zasobów przechowywanych w innej domenie (domenie wychodzącej lub lesie).

Poniższa tabela zawiera podsumowanie konfiguracji zaufania dla niektórych prostych scenariuszy:

Scenariusz	Zaufanie lokalne	Zaufanie do chmury
Użytkownicy lokalni wymagają dostępu do zasobów w chmurze, ale nie odwrotnie	Jednokierunkowe, przychodzące	Jednokierunkowy, wychodzący
Użytkownicy w chmurze wymagają dostępu do zasobów znajdujących się lokalnie, ale nie odwrotnie	Jednokierunkowy, wychodzący	Jednokierunkowe, przychodzące

Rozważania

Te zagadnienia obejmują implementację filarów platformy Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Niezawodność

Niezawodność zapewnia, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Design review checklist for Reliability(Lista kontrolna dotycząca niezawodności).

Aprowizuj co najmniej dwa kontrolery domeny dla każdej domeny. Umożliwia to automatyczną replikację między serwerami. Utwórz zestaw dostępności dla maszyn wirtualnych działających jako serwery usługi Active Directory obsługujące każdą domenę. Umieść co najmniej dwa serwery w tym zestawie dostępności.

Należy również rozważyć wyznaczenie co najmniej jednego serwera w każdej domenie jako wzorca operacji rezerwowych w przypadku niepowodzenia łączności z serwerem działającym jako elastyczna rola operacji głównej (FSMO).

Bezpieczeństwo

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotyczącazabezpieczeń.

Relacje zaufania na poziomie lasu są przechodnie. Jeśli ustanowić relację zaufania na poziomie lasu między lasem lokalnym a lasem w chmurze, to zaufanie zostanie rozszerzone do innych nowych domen utworzonych w obu lasach. Jeśli używasz domen do zapewnienia separacji na potrzeby zabezpieczeń, rozważ utworzenie relacji zaufania tylko na poziomie domeny. Relacje zaufania na poziomie domeny nie są przechodnie.

Aby zapoznać się z zagadnieniami dotyczącymi zabezpieczeń specyficznymi dla usługi Active Directory, zobacz sekcję Zagadnienia dotyczące zabezpieczeń w temacie Rozszerzanie usługi Active Directory na platformę Azure.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dlaoptymalizacji kosztów.

Koszty możesz szacować za pomocą kalkulatora cen platformy Azure. Inne zagadnienia zostały opisane w sekcji Koszt w witrynie Microsoft Azure Well-Architected Framework.

Poniżej przedstawiono zagadnienia dotyczące kosztów usług używanych w tej architekturze.

Usługi domenowe AD

Rozważ użycie usług Active Directory Domain Services jako usługi udostępnionej, która jest zużywana przez wiele obciążeń, aby obniżyć koszty. Aby uzyskać więcej informacji, zobacz cennik usług domena usługi Active Directory.

Azure VPN Gateway

Głównym składnikiem tej architektury jest usługa bramy sieci VPN. Opłaty są naliczane na podstawie czasu aprowizacji i dostępności bramy.

Cały ruch przychodzący jest bezpłatny, opłaty są naliczane za cały ruch wychodzący. Opłaty za przepustowość internetową są naliczane za ruch wychodzący sieci VPN.

Aby uzyskać więcej informacji, zobacz temat VPN Gateway — cennik.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca doskonałości operacyjnej.

Metodyka DevOps

Aby zapoznać się z zagadnieniami dotyczącymi metodyki DevOps, zobacz Doskonałość operacyjna w rozszerzaniu usług Active Directory Domain Services (AD DS) na platformę Azure.

Zarządzalność

Aby uzyskać informacje na temat zagadnień związanych z zarządzaniem i monitorowaniem, zobacz Rozszerzanie usługi Active Directory na platformę Azure.

Postępuj zgodnie ze wskazówkami w temacie Monitorowanie usługi Active Directory. Narzędzia, takie jak Microsoft Systems Center , można zainstalować na serwerze monitorowania w podsieci zarządzania, aby ułatwić wykonywanie tych zadań.

Efektywność operacyjna

Wydajność to zdolność obciążenia do zaspokojenia wymagań, które są na nim nakładane przez użytkowników w wydajny sposób. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

Usługa Active Directory jest automatycznie skalowalna dla kontrolerów domeny, które są częścią tej samej domeny. Żądania są dystrybuowane na wszystkich kontrolerach w domenie. Możesz dodać inny kontroler domeny i automatycznie synchronizuje się z domeną. Nie należy konfigurować oddzielnego modułu równoważenia obciążenia w celu kierowania ruchu do kontrolerów w domenie. Upewnij się, że wszystkie kontrolery domeny mają wystarczającą ilość pamięci i zasobów magazynu do obsługi bazy danych domeny. Ustaw wszystkie maszyny wirtualne kontrolera domeny na taki sam rozmiar.

Dalsze kroki

• Poznaj najlepsze rozwiązania dotyczące rozszerzania lokalnej domeny usług AD DS na platformę Azure
• Poznaj najlepsze rozwiązania dotyczące tworzenia infrastruktury usług AD FS na platformie Azure.