Compartilhar via


Implantar o AD DS em uma rede virtual do Azure

Microsoft Entra
Rede Virtual do Azure

Esta arquitetura mostra como estender um domínio do Active Directory local para o Azure para prestar serviços de autenticação distribuídos.

Arquitetura

Diagrama que mostra uma arquitetura de rede híbrida segura que usa o Active Directory.

Baixe um Arquivo Visio dessa arquitetura.

Essa arquitetura estende a arquitetura de rede híbrida mostrada em Conectar uma rede local ao Azure usando um gateway de VPN.

Workflow

O fluxo de dados a seguir corresponde ao diagrama anterior:

  • Rede local: A rede local inclui servidores locais do Active Directory que podem executar autenticação e autorização para componentes localizados localmente.

  • Servidores do Active Directory: Esses servidores são controladores de domínio que implementam serviços de diretório executados como VMs (máquinas virtuais) na nuvem. Eles podem fornecer autenticação de componentes que são executados em sua rede virtual do Azure.

  • Sub-rede do Active Directory: Os servidores do AD DS (Active Directory Domain Services) são hospedados em uma sub-rede separada. As regras do NSG (grupo de segurança de rede) ajudam a proteger os servidores do AD DS e fornecem um firewall contra o tráfego de fontes inesperadas.

  • Gateway de VPN do Azure e sincronização do Active Directory: O Gateway de VPN fornece uma conexão entre a rede local e a Rede Virtual do Azure. Essa conexão pode ser uma conexão VPN ou por meio do Azure ExpressRoute. Todas as solicitações de sincronização entre os servidores do Active Directory na nuvem e local passam pelo gateway. As rotas definidas pelo usuário manipulam o roteamento para o tráfego local que passa para o Azure.

Componentes

  • O Microsoft Entra ID é um serviço de identidade empresarial que fornece logon único, autenticação multifator e Acesso Condicional do Microsoft Entra. Nessa arquitetura, a ID do Microsoft Entra fornece acesso mais seguro a aplicativos e serviços de nuvem.

  • O Gateway de VPN é um serviço que usa gateways de rede virtual para enviar tráfego criptografado entre uma rede virtual do Azure e locais pela Internet pública. Nessa arquitetura, o Gateway de VPN permite que o tráfego de sincronização do Active Directory flua com mais segurança entre ambientes.

  • O ExpressRoute é um serviço que você pode usar para estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada com a ajuda de um provedor de conectividade. Nessa arquitetura, o ExpressRoute é uma alternativa às conexões VPN para cenários que exigem maior largura de banda e menor latência.

  • A Rede Virtual é o bloco de construção fundamental para redes privadas no Azure. Você pode usá-lo para habilitar recursos do Azure, como VMs, para se comunicarem entre si, com a Internet e com as redes locais. Nessa arquitetura, a Rede Virtual dá suporte à replicação e à autenticação de domínio.

Detalhes do cenário

Se a sua aplicação estiver hospedada parcialmente no local e parcialmente no Azure, a replicação do AD DS no Azure poderá ser mais eficiente. Essa replicação pode reduzir a latência causada pelo envio de solicitações de autenticação da nuvem de volta para instâncias do AD DS que são executadas localmente.

Possíveis casos de uso

Esta arquitetura é comumente usada quando uma conexão VPN ou ExpressRoute conecta as redes virtuais locais e do Azure. Essa arquitetura também dá suporte à replicação bidirecional, o que significa que as alterações podem ser feitas localmente ou na nuvem, e ambas as fontes são mantidas consistentes. Os usos típicos dessa arquitetura incluem aplicativos híbridos nos quais a funcionalidade é distribuída entre o local e o Azure e aplicativos e serviços que executam a autenticação usando o Active Directory.

Recomendações

Você pode aplicar as recomendações a seguir à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Recomendações de VM

Determine seus requisitos de tamanho da VM com base no volume esperado de solicitações de autenticação. Use as especificações dos computadores que hospedam o AD DS local como ponto de partida e as corresponda aos tamanhos da VM do Azure. Depois de implantar seu aplicativo, monitore o uso e reduza ou reduza verticalmente com base na carga real nas VMs. Para obter mais informações, consulte Planejamento de capacidade para o AD DS.

Crie um disco de dados virtual separado para armazenar o banco de dados, os logs e a pasta de volume do sistema (sysvol) para o Active Directory. Não armazene esses itens no mesmo disco do sistema operacional. Por padrão, os discos de dados são anexados a uma VM usando o cache de gravação. No entanto, essa forma de armazenamento em cache pode entrar em conflito com os requisitos do AD DS. Por esse motivo, defina a configuração de Preferência de Cache do Host no disco de dados para Nenhum.

Implante pelo menos duas VMs que executam o AD DS como controladores de domínio e as adicione a zonas de disponibilidade diferentes. Se as zonas de disponibilidade não estiverem disponíveis na região, implante as VMs em um conjunto de disponibilidade.

Recomendações de rede

Configure a NIC (interface de rede da VM) para cada controlador de domínio com um endereço IP privado estático em vez de usar o PROTOCOLO DHCP (Dynamic Host Configuration Protocol). Ao atribuir um endereço IP estático diretamente à VM, os clientes podem continuar a entrar em contato com o controlador de domínio mesmo que o serviço DHCP não esteja disponível. Para obter mais informações, consulte Criar uma VM que usa um endereço IP privado estático.

Observação

Não configure a NIC da VM para nenhum AD DS usando um endereço IP público. Para obter mais informações, consulte Considerações de Segurança.

O NSG da sub-rede do Active Directory requer regras para permitir tráfego recebido do local e tráfego direcionado ao local. Para obter mais informações, consulte Configurar um firewall para domínios e relações de confiança do Active Directory.

Se as novas VMs do controlador de domínio também tiverem a função de servidores DNS (Sistema de Nomes de Domínio), recomendamos configurá-las como servidores DNS personalizados no nível da rede virtual, conforme explicado nos servidores DNS de Alteração. Você deve aplicar essa configuração à rede virtual que hospeda os novos controladores de domínio e redes emparelhadas em que outras VMs devem resolver nomes de domínio do Active Directory. Para obter mais informações, consulte Resolução de nomes para recursos em redes virtuais do Azure.

Para a configuração inicial, talvez seja necessário ajustar a NIC de um de seus controladores de domínio no Azure para apontar para um controlador de domínio local como a fonte DNS primária.

A inclusão de seu endereço IP na lista de servidores DNS melhora o desempenho e aumenta a disponibilidade de servidores DNS. No entanto, um atraso de inicialização poderá ocorrer se o servidor DNS também for um controlador de domínio e apontar apenas para si mesmo ou apontar para si mesmo primeiro para resolução de nomes.

Por esse motivo, tenha cuidado ao configurar o endereço de loopback em um adaptador se o servidor também for um controlador de domínio. Talvez seja necessário substituir as configurações de DNS nic no Azure para apontar para outro controlador de domínio hospedado no Azure ou local para o servidor DNS primário. O endereço de loopback deve ser configurado apenas como um servidor DNS secundário ou terciário em um controlador de domínio.

Site do Active Directory

No AD DS, um site representa um local físico, uma rede ou uma coleção de dispositivos. Use sites do AD DS para gerenciar a replicação de banco de dados do AD DS agrupando objetos do AD DS que estão localizados próximos uns dos outros e conectados por uma rede de alta velocidade. O AD DS inclui lógica para selecionar a melhor estratégia para replicar o banco de dados entre sites.

Recomendamos que você crie um site do AD DS, incluindo as sub-redes definidas para seu aplicativo no Azure. Em seguida, você pode configurar um link de site entre seus sites locais do AD DS. O AD DS executa automaticamente a replicação de banco de dados mais eficiente possível. Essa replicação de banco de dados não requer muito trabalho além da configuração inicial.

Mestre de operações do Active Directory

Você pode atribuir a função mestra de operações aos controladores de domínio do AD DS para dar suporte à consistência quando eles verificam entre instâncias de bancos de dados do AD DS replicados. As cinco funções mestras de operações são mestre de esquema, mestre de nomenclatura de domínio, mestre do identificador relativo, emulador mestre do controlador de domínio primário e mestre de infraestrutura. Para obter mais informações, consulte o posicionamento da função mestra de operações de plano.

Também recomendamos que você dê a pelo menos dois dos novos controladores de domínio do Azure a função de catálogo global (GC). Para obter mais informações, consulte o posicionamento do servidor do Plano GC.

Monitoramento

Monitore os recursos das VMs do controlador de domínio e do AD DS e crie um plano para corrigir os problemas rapidamente. Para obter mais informações, consulte Monitorar o Active Directory. Você também pode instalar ferramentas como o Microsoft Systems Center no servidor de monitoramento para ajudar a executar essas tarefas.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework​, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Confiabilidade

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você faz aos seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

Implante as VMs que executam o AD DS em pelo menos duas zonas de disponibilidade. Se as zonas de disponibilidade não estiverem disponíveis na região, use o conjunto de disponibilidade. Além disso, considere atribuir a função de mestre de operações em espera a pelo menos um servidor ou mais, dependendo de seus requisitos. Um mestre de operações em espera é uma cópia ativa do mestre de operações que pode substituir o lugar do servidor mestre de operações principal durante o failover.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

Os servidores do AD DS fornecem serviços de autenticação e são um alvo atraente para ataques. Para ajudar a protegê-los, evite a conectividade direta com a Internet colocando os servidores do AD DS em uma sub-rede separada com um NSG como firewall. Feche todas as portas nos servidores do AD DS, exceto as portas necessárias para autenticação, autorização e sincronização de servidor. Para obter mais informações, consulte Configurar um firewall para domínios e relações de confiança do Active Directory.

Use o BitLocker ou a criptografia de disco do Azure para criptografar o disco que hospeda o banco de dados do AD DS.

A Proteção contra DDoS do Azure, combinada com as melhores práticas de design de aplicativo, fornece recursos aprimorados de mitigação de DDoS para ajudar a se defender contra ataques de DDoS. Você deve habilitar a Proteção contra DDoS em qualquer rede virtual de perímetro.

Otimização de custos

A Otimização de Custos concentra-se em maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

Use a Calculadora de Preços do Azure para estimar os custos. Outras considerações são descritas na seção Otimização de Custos no Well-Architected Framework.

As seções a seguir descrevem considerações de custo para os serviços que essa arquitetura usa.

Microsoft Entra Domain Services

Considere ter o Microsoft Entra Domain Services como um serviço compartilhado consumido por várias cargas de trabalho para reduzir os custos. Para obter mais informações, consulte os preços dos Serviços de Domínio.

Gateway de VPN

O Gateway de VPN é o principal componente dessa arquitetura. Você é cobrado com base no tempo em que o gateway é provisionado e disponível.

Todo o tráfego de entrada é gratuito, e todo o tráfego de saída é cobrado. Os custos de largura de banda da Internet são aplicados ao tráfego de saída da VPN.

Para saber mais, veja Preços do Gateway de VPN.

Rede Virtual

A Rede Virtual é gratuita. Cada assinatura tem permissão para criar até 1,000 redes virtuais em todas as regiões. Todo o tráfego dentro dos limites de uma rede virtual é gratuito, portanto, a comunicação entre duas VMs na mesma rede virtual é gratuita.

Excelência operacional

A Excelência operacional abrange os processos de operações que implantam uma aplicação e as mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design para Excelência Operacional.

  • Use a infraestrutura como práticas de código para provisionar e configurar a infraestrutura de rede e segurança. Uma opção são os modelos do Azure Resource Manager.

  • Isole cargas de trabalho para permitir que o DevOps faça a CI/CD (Integração Contínua e Entrega Contínua), pois cada carga de trabalho é associada e gerenciada pela equipe de DevOps correspondente.

Nessa arquitetura, toda a rede virtual que inclui as diferentes camadas de aplicativo, a jump box de gerenciamento e os Serviços de Domínio é identificada como uma única carga de trabalho isolada.

Você pode configurar o AD DS em VMs usando extensões de VM e outras ferramentas, como a DSC (Desired State Configuration).

  • Considere automatizar suas implantações usando o Azure DevOps ou qualquer outra solução de CI/CD. O Azure Pipelines é o componente recomendado do Azure DevOps Services. Ele fornece automação para builds e implantações de solução e é altamente integrado ao ecossistema do Azure.

  • Use o Azure Monitor para analisar o desempenho da infraestrutura. Você também pode usá-lo para monitorar e diagnosticar problemas de rede sem fazer logon em suas VMs. O Application Insights oferece métricas e logs avançados para verificar o estado da infraestrutura.

Para obter mais informações, consulte a seção DevOps no Well-Architected Framework.

Capacidade de gerenciamento

Execute backups regulares do AD DS. Não basta copiar os arquivos VHD (Disco Rígido Virtual) dos controladores de domínio porque o arquivo de banco de dados do AD DS no VHD pode não ser consistente quando copiado, o que torna impossível reiniciar o banco de dados.

Não recomendamos que você desligue uma VM do controlador de domínio usando o portal do Azure. Em vez disso, desligue e reinicie o sistema operacional convidado. Se você desligar um controlador de domínio usando o portal do Azure, ele fará com que a VM seja desalocada, o que resultará nos seguintes efeitos ao reiniciar a VM do controlador de domínio:

  • Ele redefine o VM-GenerationID repositório e o invocationID do Active Directory.
  • Ele descarta o pool de RID (identificador relativo) do Active Directory atual.
  • Ela marca a pasta sysvol como nonauthoritative.

O primeiro problema é relativamente benigno. A redefinição repetida das invocationID causas causas de menor uso de largura de banda adicional durante a replicação, mas esse uso não é significativo.

O segundo problema pode contribuir para o esgotamento do pool RID no domínio, especialmente se o tamanho do pool RID estiver configurado para ser maior que o padrão. Se o domínio existir por um longo tempo ou for usado para fluxos de trabalho que exigem criação e exclusão repetitivas de conta, ele já pode estar se aproximando do esgotamento do pool RID. Monitorar o domínio para eventos de aviso de esgotamento do pool RID é uma boa prática. Para obter mais informações, consulte Gerenciar a emissão de RID.

O terceiro problema é relativamente benigno, desde que um controlador de domínio autoritativo esteja disponível quando uma VM do controlador de domínio no Azure for reiniciada. Se todos os controladores de domínio em um domínio estiverem em execução no Azure e estiverem todos desligados e desalocados simultaneamente, cada controlador de domínio não conseguirá encontrar uma réplica autoritativa ao reiniciá-los. Corrigir essa condição requer intervenção manual. Para obter mais informações, consulte Force authoritative and nonauthoritative synchronization for DFSR-replicad sysvol replication.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da carga de trabalho de dimensionar para atender às demandas do usuário com eficiência. Para obter mais informações, consulte Lista de verificação de revisão de design para eficiência de desempenho.

O AD DS foi projetado visando a escalabilidade. Não é necessário configurar um balanceador de carga ou controlador de tráfego para direcionar solicitações para os controladores de domínio do AD DS. A única consideração de escalabilidade é configurar as VMs que executam o AD DS com o tamanho correto para seus requisitos de carga de rede, monitorar a carga nas VMs e escalar verticalmente ou reduzir conforme necessário.

Próximas etapas