Editar

Partilhar via


Implementar o AD DS numa rede virtual do Azure

Microsoft Entra
Azure Virtual Network

Essa arquitetura mostra como estender um domínio do Ative Directory local para o Azure para fornecer serviços de autenticação distribuída.

Arquitetura

Diagrama que mostra uma arquitetura de rede híbrida segura com o Ative Directory.

Transfira um ficheiro do Visio desta arquitetura.

Essa arquitetura estende a arquitetura de rede híbrida mostrada em Conectar uma rede local ao Azure usando um gateway VPN.

Fluxo de Trabalho

  • Rede no local. A rede no local inclui servidores do Active Directory locais que podem realizar a autenticação e autorização de componentes localizados no local.
  • Servidores do Active Directory. Esses servidores são controladores de domínio que implementam serviços de diretório (AD DS) em execução como VMs na nuvem. Eles podem fornecer autenticação de componentes em execução em sua rede virtual do Azure.
  • Sub-rede do Active Directory. Os servidores dos Serviços de Domínio Ative Directory (AD DS) são hospedados em uma sub-rede separada. As regras do grupo de segurança de rede (NSG) protegem os servidores do AD DS e fornecem uma firewall contra o tráfego de origens inesperadas.
  • Gateway de VPN do Azure e sincronização do Ative Directory. O Gateway VPN fornece uma conexão entre a rede local e a Rede Virtual do Azure. Esta ligação pode ser uma ligação VPN ou através do Azure ExpressRoute. Todos os pedidos de sincronização entre os servidores do Active Directory na cloud e no local são transmitidos pelo gateway. As rotas definidas pelo utilizador (UDRs) processam o encaminhamento do tráfego no local que é transmitido para o Azure.

Componentes

  • O Microsoft Entra ID é um serviço de identidade corporativa que fornece logon único, autenticação multifator e acesso condicional.
  • O Gateway VPN é um serviço que usa um gateway de rede virtual para enviar tráfego criptografado entre uma rede virtual do Azure e locais locais pela Internet pública.
  • O ExpressRoute permite que você estenda suas redes locais para a nuvem da Microsoft por meio de uma conexão privada com a ajuda de um provedor de conectividade.
  • A Rede Virtual é o bloco de construção fundamental para redes privadas no Azure. Você pode usá-lo para permitir que os recursos do Azure, como máquinas virtuais, se comuniquem entre si, com a Internet e com as redes locais.

Detalhes do cenário

Se seu aplicativo estiver hospedado parcialmente no local e em parte no Azure, replicar o AD DS no Azure pode ser mais eficiente. Essa replicação pode reduzir a latência causada pelo envio de solicitações de autenticação da nuvem de volta para o AD DS em execução local.

Para obter mais considerações, consulte Escolher uma solução para integrar o Ative Directory local com o Azure.

Potenciais casos de utilização

Essa arquitetura é comumente usada quando uma conexão VPN ou ExpressRoute conecta as redes virtuais locais e do Azure. Esta arquitetura também suporta a replicação bidirecional, o que significa que pode realizar alterações no local ou na cloud, sendo que ambas as origens serão mantidas consistentes. Os usos típicos dessa arquitetura incluem aplicativos híbridos nos quais a funcionalidade é distribuída entre o local e o Azure e aplicativos e serviços que executam autenticação usando o Ative Directory.

Recomendações

As recomendações a seguir se aplicam à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Recomendações de VMs

Determine os seus requisitos de tamanho da VM com base no volume esperado dos pedidos de autenticação. Use as especificações das máquinas que hospedam o AD DS local como ponto de partida e combine-as com os tamanhos de VM do Azure. No final da implementação, monitorize a utilização e aumente ou reduza verticalmente a carga real nas VMs. Para obter mais informações sobre o dimensionamento dos controladores de domínio do AD DS, veja Capacity Planning for Active Directory Domain Services (Planeamento da Capacidade do Active Directory Domain Services).

Crie um disco de dados virtual separado para armazenar o banco de dados, os logs e a pasta sysvol para o Ative Directory. Não armazene esses itens no mesmo disco que o sistema operacional. Por padrão, os discos de dados são anexados a uma VM usando cache de gravação. No entanto, esta forma de colocação em cache pode entrar em conflito com os requisitos do AD DS. Por esse motivo, configure a definição da Preferência de Cache do Anfitrião no disco de dados para Nenhuma.

Implante pelo menos duas VMs executando o AD DS como controladores de domínio e adicione-as a zonas de disponibilidade diferentes. Se não estiver disponível na região, implante em um conjunto de disponibilidade.

Recomendações de redes

Configure a interface de rede (NIC) da VM para cada servidor do AD DS com um endereço IP privado estático para obter suporte completo para os serviços de nome de domínio (DNS). Para obter mais informações, veja Como definir um endereço IP privado estático no portal do Azure.

Nota

Não configure a NIC da VM para qualquer AD DS com um endereço IP público. Veja Considerações de segurança para obter mais detalhes.

O NSG da sub-rede do Ative Directory requer regras para permitir o tráfego de entrada do tráfego local e de saída para o local. Para obter informações detalhadas sobre as portas utilizadas pelo AD DS, veja Active Directory and Active Directory Domain Services Port Requirements (Requisitos de Porta do Active Directory e do Active Directory Domain Services).

Se as novas VMs do controlador de domínio também tiverem a função de servidores DNS, recomendamos que você as configure como servidores DNS personalizados no nível da rede virtual, conforme explicado em Alterar servidores DNS. Isso deve ser feito para a rede virtual que hospeda os novos controladores de domínio e redes emparelhadas, onde outras VMs devem resolver nomes de domínio do Ative Directory. Para obter mais informações sobre como configurar a resolução de nomes DNS híbrida, consulte Resolução de nomes para recursos em redes virtuais do Azure.

Para a configuração inicial, talvez seja necessário ajustar a Interface de Rede de um dos seus Controladores de Domínio no Azure, para apontar para um controlador de domínio local como a fonte DNS primária.

A inclusão do seu endereço IP na lista de servidores DNS melhora o desempenho e aumenta a disponibilidade dos servidores DNS. No entanto, um atraso de inicialização pode resultar se o servidor DNS também for um controlador de domínio e apontar apenas para si mesmo ou apontar para si mesmo primeiro para resolução de nomes. Por esse motivo, tenha cuidado ao configurar o endereço de loopback em um adaptador se o servidor também for um controlador de domínio.

Isso pode significar substituir as configurações de DNS da Interface de Rede no Azure para apontar para outro Controlador de Domínio hospedado no Azure ou local para o servidor DNS primário. O endereço de loopback deve ser configurado apenas como um servidor DNS secundário ou terciário em um controlador de domínio.

Site do Active Directory

No AD DS, um site representa uma localização física, uma rede ou uma coleção de dispositivos. Os sites do AD DS são usados para gerenciar a replicação do banco de dados do AD DS agrupando objetos do AD DS localizados próximos uns dos outros e conectados por uma rede de alta velocidade. O AD DS inclui lógica para selecionar a melhor estratégia para replicar o banco de dados do AD DS entre sites.

Recomendamos a criação de um site do AD DS, incluindo as sub-redes definidas para seu aplicativo no Azure. Em seguida, você pode configurar um link de site entre os sites do AD DS local e o AD DS executará automaticamente a replicação de banco de dados mais eficiente possível. Essa replicação de banco de dados requer pouco além da configuração inicial.

Mestre de operações do Ative Directory

A função de mestre de operações pode ser atribuída aos controladores de domínio do AD DS para dar suporte à verificação de consistência entre instâncias de bancos de dados do AD DS replicados. Há cinco funções de mestre de operações (FSMO): mestre de esquema, mestre de nomeação de domínio, mestre de identificador relativo, emulador mestre de controlador de domínio primário e mestre de infraestrutura. Para obter mais informações sobre essas funções, consulte Planejando o posicionamento da função de mestre de operações. Dar a pelo menos dois dos novos DCs do Azure a função de Catálogo Global (GC) também é recomendado. Mais detalhes sobre a colocação de GC podem ser encontrados aqui.

Monitorização

Monitore os recursos das VMs do controlador de domínio e dos Serviços AD DS e crie um plano para corrigir problemas rapidamente. Para obter mais informações, veja Monitorizar o Active Directory. Pode igualmente instalar ferramentas como o Microsoft Systems Center num servidor de monitorização (veja o diagrama de arquitetura) para ajudar a realizar estas tarefas.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos seus compromissos com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

Implante as VMs que executam o AD DS em pelo menos duas zonas de disponibilidade. Se as zonas de disponibilidade não estiverem disponíveis na região, use conjuntos de disponibilidade. Além disso, considere atribuir a função de mestre de operações em espera a pelo menos um servidor, e possivelmente mais, dependendo de suas necessidades. Um mestre de operações em espera é uma cópia ativa do mestre de operações que pode substituir o servidor do mestre de operações primário durante o failover.

Segurança

A segurança garante contra ataques deliberados e o abuso dos seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Os servidores do AD DS fornecem serviços de autenticação e são um destino apelativo para ataques. Para protegê-los, impeça a conectividade direta com a Internet colocando os servidores AD DS em uma sub-rede separada com um NSG como firewall. Feche todas as portas nos servidores do AD DS, exceto as necessárias para autenticação, autorização e sincronização do servidor. Para obter mais informações, veja Active Directory and Active Directory Domain Services Port Requirements (Requisitos de Porta do Active Directory e do Active Directory Domain Services).

Utilize a encriptação de disco do BitLocker ou do Azure para encriptar o disco que aloja a base de dados do AD DS.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar a Proteção DDOS do Azure em qualquer rede virtual de perímetro.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam e mantêm um aplicativo em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

  • Use a prática de Infraestrutura como Código (IaC) para provisionar e configurar a infraestrutura de rede e segurança. Uma opção são os modelos do Azure Resource Manager.

  • Isole cargas de trabalho para permitir que o DevOps faça integração contínua e entrega contínua (CI/CD) porque cada carga de trabalho é associada e gerenciada por sua equipe de DevOps correspondente.

Nessa arquitetura, toda a rede virtual que inclui as diferentes camadas de aplicativo, a caixa de salto de gerenciamento e os Serviços de Domínio Microsoft Entra é identificada como uma única carga de trabalho isolada.

As máquinas virtuais são configuradas usando Extensões de Máquina Virtual e outras ferramentas, como a Configuração de Estado Desejado (DSC), usadas para configurar o AD DS nas máquinas virtuais.

  • Considere automatizar suas implantações usando o Azure DevOps ou qualquer outra solução de CI/CD. O Azure Pipelines é o componente recomendado dos Serviços de DevOps do Azure que traz automação para compilações e implantações de soluções e é altamente integrado ao ecossistema do Azure.

  • Use o Azure Monitor para analisar o desempenho de sua infraestrutura. Ele também permite que você monitore e diagnostique problemas de rede sem fazer login em suas máquinas virtuais. O Application Insights fornece métricas e logs avançados para verificar o estado da sua infraestrutura.

Para obter mais informações, consulte a seção DevOps no Microsoft Azure Well-Architected Framework.

Capacidade de gestão

Faça cópias de segurança regulares do AD DS. Não copie os arquivos VHD de controladores de domínio em vez de executar backups regulares porque o arquivo de banco de dados AD DS no VHD pode não ser consistente quando copiado, tornando impossível reiniciar o banco de dados.

Não recomendamos que você desligue uma VM de controlador de domínio usando o portal do Azure. Em vez disso, desligue e reinicie o sistema operacional convidado. O desligamento por meio do portal do Azure faz com que a VM seja deslocalizada, o que resulta nos seguintes efeitos quando a VM do controlador de domínio é reiniciada:

  1. Redefine o VM-GenerationID e o invocationID do repositório do Ative Directory
  2. Descarta o pool atual de identificadores relativos do Ative Directory (RID)
  3. Marca a pasta sysvol como não autoritativa

A primeira questão é relativamente benigna. A redefinição repetida do causará um pequeno uso adicional de largura de banda durante a invocationID replicação, mas isso geralmente não é significativo.

O segundo problema pode contribuir para a exaustão do pool de RID no domínio, especialmente se o tamanho do pool de RID tiver sido configurado para ser maior do que o padrão. Considere que, se o domínio já existe há muito tempo ou é usado para fluxos de trabalho que exigem criação repetitiva e exclusão de contas, o domínio já pode estar se aproximando do esgotamento do pool de RID. Monitorar o domínio para eventos de aviso de exaustão do pool de RID é uma boa prática – consulte o artigo Gerenciando a emissão de RID.

O terceiro problema é relativamente benigno, desde que um controlador de domínio autoritativo esteja disponível quando uma VM de controlador de domínio no Azure é reiniciada. Se todos os controladores de domínio em um domínio estiverem em execução no Azure e todos forem simultaneamente desligados e deslocalizados, em uma reinicialização, cada controlador de domínio não conseguirá localizar uma réplica autoritativa. A correção dessa condição requer intervenção manual – consulte o artigo Como forçar a sincronização autoritativa e não autoritativa para replicação sysvol replicada por DFSR.

Eficiência de desempenho

Eficiência de desempenho é a capacidade de sua carga de trabalho de escalar para atender às demandas colocadas a ela pelos usuários de forma eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.

O AD DS foi concebido tendo em conta a escalabilidade. Não precisa de configurar um balanceador de carga ou controlador de tráfego para direcionar os pedidos para os controladores de domínio do AD DS. A única consideração de escalabilidade é configurar as VMs que executam o AD DS com o tamanho correto para seus requisitos de carga de rede, monitorar a carga nas VMs e aumentar ou diminuir a escala conforme necessário.

Otimização de custos

A otimização de custos consiste em reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Utilize a calculadora de preços do Azure para prever os custos. Outras considerações são descritas na seção Custo em Microsoft Azure Well-Architected Framework.

Aqui estão considerações de custo para os serviços usados nessa arquitetura.

Serviços de Domínio do AD

Considere ter os Serviços de Domínio Ative Directory como um serviço compartilhado consumido por várias cargas de trabalho para reduzir custos. Para obter mais informações, consulte Preços dos Serviços de Domínio Ative Directory.

Gateway de VPN

O principal componente dessa arquitetura é o serviço de gateway VPN. Você é cobrado com base no tempo em que o gateway é provisionado e disponível.

Todo o tráfego de entrada é gratuito e todo o tráfego de saída é cobrado. São aplicados os custos com a largura de banda da Internet ao tráfego de saída da VPN.

Para obter mais informações, consulte Preços do gateway VPN.

Rede Virtual

A Rede Virtual é gratuita. Cada assinatura pode criar até 1.000 redes virtuais em todas as regiões. Todo o tráfego dentro dos limites de uma rede virtual é gratuito, portanto, a comunicação entre duas VMs na mesma rede virtual é gratuita.

Próximos passos