Implementar o AD DS numa rede virtual do Azure

Microsoft Entra

Rede Virtual do Azure

Essa arquitetura mostra como estender um domínio do Ative Directory local para o Azure para fornecer serviços de autenticação distribuída.

Arquitetura

O diagrama consiste em duas seções que são rotuladas como a rede local e a rede virtual. A seção de rede local mostra um gateway que tem uma conexão bidirecional dos servidores do Ative Directory para a sub-rede do gateway na seção de rede virtual. Uma seta aponta desse gateway para uma caixa que representa a sub-rede do aplicativo. Esta caixa contém um ícone que representa grupos de segurança de rede (NSGs) e outro gateway que se conecta a duas máquinas virtuais (VMs). Uma seta que representa uma solicitação de autenticação aponta das VMs para uma caixa rotulada como sub-rede do AD DS. Esta caixa contém um ícone que representa NSGs e um grupo de dois servidores AD DS. Na seção de rede local, uma seta rotulada como pontos IP públicos de um ícone que representa a Internet para uma VM na seção de rede virtual. Essa VM está dentro de uma caixa chamada sub-rede de gerenciamento. A caixa também contém NSGs e uma caixa de salto. Uma linha pontilhada que representa a Proteção contra DDoS do Azure envolve a seção de rede virtual.

Transfira um ficheiro do Visio desta arquitetura.

Essa arquitetura estende a arquitetura de rede híbrida mostrada em Conectar uma rede local ao Azure usando um gateway VPN.

Workflow

O fluxo de trabalho a seguir corresponde ao diagrama anterior:

• Rede local: A rede local inclui servidores locais do Ative Directory que podem executar autenticação e autorização para componentes localizados localmente.

• Servidores Ative Directory: Esses servidores são controladores de domínio que implementam serviços de diretório que são executados como máquinas virtuais (VMs) na nuvem. Eles podem fornecer autenticação de componentes que são executados em sua rede virtual do Azure.

• Sub-rede do Ative Directory: Os servidores dos Serviços de Domínio Ative Directory (AD DS) são hospedados em uma sub-rede separada. As regras do NSG (grupo de segurança de rede) ajudam a proteger os servidores AD DS e fornecem um firewall contra o tráfego de fontes inesperadas.

• Gateway de VPN do Azure e sincronização do Ative Directory: O Gateway VPN fornece uma conexão entre a rede local e a Rede Virtual do Azure. Esta ligação pode ser uma ligação VPN ou através do Azure ExpressRoute. Todos os pedidos de sincronização entre os servidores do Active Directory na cloud e no local são transmitidos pelo gateway. As rotas definidas pelo usuário manipulam o roteamento para o tráfego local que passa para o Azure.

Componentes

• O Microsoft Entra ID é um serviço de identidade empresarial que fornece logon único, autenticação multifator e acesso condicional do Microsoft Entra. Nessa arquitetura, o Microsoft Entra ID fornece acesso mais seguro a aplicativos e serviços em nuvem.

• O Gateway VPN é um serviço que usa gateways de rede virtual para enviar tráfego criptografado entre uma rede virtual do Azure e locais locais pela Internet pública. Nessa arquitetura, o Gateway VPN permite que o tráfego de sincronização do Ative Directory flua com mais segurança entre os ambientes.

• O ExpressRoute é um serviço que você pode usar para estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada com a ajuda de um provedor de conectividade. Nessa arquitetura, o ExpressRoute é uma alternativa às conexões VPN para cenários que exigem maior largura de banda e menor latência.

• A Rede Virtual é o bloco de construção fundamental para redes privadas no Azure. Você pode usá-lo para permitir que os recursos do Azure, como VMs, se comuniquem entre si, com a Internet e com as redes locais. Nessa arquitetura, a Rede Virtual oferece suporte à replicação e autenticação de domínio.

Detalhes do cenário

Se seu aplicativo estiver hospedado parcialmente no local e em parte no Azure, replicar o AD DS no Azure pode ser mais eficiente. Essa replicação pode reduzir a latência causada pelo envio de solicitações de autenticação da nuvem de volta para instâncias do AD DS executadas localmente.

Potenciais casos de utilização

Essa arquitetura é comumente usada quando uma conexão VPN ou ExpressRoute conecta as redes virtuais locais e do Azure. Essa arquitetura também oferece suporte à replicação bidirecional, o que significa que as alterações podem ser feitas no local ou na nuvem, e ambas as fontes são mantidas consistentes. Os usos típicos dessa arquitetura incluem aplicativos híbridos nos quais a funcionalidade é distribuída entre o local e o Azure e aplicativos e serviços que executam autenticação usando o Ative Directory.

Recomendações

Você pode aplicar as seguintes recomendações à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Recomendações de VMs

Determine os seus requisitos de tamanho da VM com base no volume esperado dos pedidos de autenticação. Use as especificações das máquinas que hospedam o AD DS local como ponto de partida e combine-as com os tamanhos de VM do Azure. Depois de implantar seu aplicativo, monitore o uso e aumente ou diminua a escala com base na carga real nas VMs. Para obter mais informações, consulte Planejamento de capacidade para AD DS.

Crie um disco de dados virtual separado para armazenar o banco de dados, os logs e a pasta de volume do sistema (sysvol) para o Ative Directory. Não armazene esses itens no mesmo disco que o sistema operacional. Por padrão, os discos de dados são anexados a uma VM usando cache de gravação. No entanto, esta forma de colocação em cache pode entrar em conflito com os requisitos do AD DS. Por esse motivo, configure a definição da Preferência de Cache do Anfitrião no disco de dados para Nenhuma.

Implante pelo menos duas VMs que executam o AD DS como controladores de domínio e adicione-as a zonas de disponibilidade diferentes. Se as zonas de disponibilidade não estiverem disponíveis na região, implante as VMs em um conjunto de disponibilidade.

Recomendações de redes

Configure a interface de rede VM (NIC) para cada controlador de domínio com um endereço IP privado estático em vez de usar o protocolo DHCP (Dynamic Host Configuration Protocol). Ao atribuir um endereço IP estático diretamente à VM, os clientes podem continuar a entrar em contato com o controlador de domínio mesmo se o serviço DHCP não estiver disponível. Para obter mais informações, consulte Criar uma VM que usa um endereço IP privado estático.

Nota

Não configure a NIC da VM para nenhum AD DS usando um endereço IP público. Para obter mais informações, consulte Considerações de segurança.

O NSG da sub-rede do Ative Directory requer regras para permitir o tráfego de entrada do tráfego local e de saída para o local. Para obter mais informações, consulte Configurar um firewall para domínios e relações de confiança do Ative Directory.

Se as novas VMs do controlador de domínio também tiverem a função de servidores DNS (Sistema de Nomes de Domínio), recomendamos configurá-las como servidores DNS personalizados no nível da rede virtual, conforme explicado em Alterar servidores DNS. Você deve aplicar essa configuração para a rede virtual que hospeda os novos controladores de domínio e redes emparelhadas onde outras VMs devem resolver nomes de domínio do Ative Directory. Para obter mais informações, consulte Resolução de nomes para recursos em redes virtuais do Azure.

Para a configuração inicial, talvez seja necessário ajustar a NIC de um dos seus controladores de domínio no Azure para apontar para um controlador de domínio local como a fonte DNS primária.

A inclusão do seu endereço IP na lista de servidores DNS melhora o desempenho e aumenta a disponibilidade dos servidores DNS. No entanto, um atraso de inicialização pode acontecer se o servidor DNS também for um controlador de domínio e apontar apenas para si mesmo ou apontar para si mesmo primeiro para resolução de nomes.

Por esse motivo, tenha cuidado ao configurar o endereço de loopback em um adaptador se o servidor também for um controlador de domínio. Talvez seja necessário substituir as configurações de DNS da NIC no Azure para apontar para outro controlador de domínio hospedado no Azure ou local para o servidor DNS primário. O endereço de loopback deve ser configurado apenas como um servidor DNS secundário ou terciário em um controlador de domínio.

Site do Active Directory

No AD DS, um site representa uma localização física, uma rede ou uma coleção de dispositivos. Use sites do AD DS para gerenciar a replicação do banco de dados do AD DS agrupando objetos do AD DS localizados próximos uns dos outros e conectados por uma rede de alta velocidade. O AD DS inclui lógica para selecionar a melhor estratégia para replicar o banco de dados do AD DS entre sites.

Recomendamos que você crie um site do AD DS, incluindo as sub-redes definidas para seu aplicativo no Azure. Em seguida, você pode configurar um link de site entre seus sites do AD DS locais. O AD DS executa automaticamente a replicação de banco de dados mais eficiente possível. Essa replicação de banco de dados não requer muito trabalho além da configuração inicial.

Mestre de operações do Ative Directory

Você pode atribuir a função de mestre de operações aos controladores de domínio do AD DS para oferecer suporte à consistência quando eles verificam entre instâncias de bancos de dados AD DS replicados. As cinco funções de mestre de operações são mestre de esquema, mestre de nomeação de domínio, mestre de identificador relativo, emulador mestre de controlador de domínio primário e mestre de infraestrutura. Para obter mais informações, consulte Planejar o posicionamento da função de mestre de operações.

Também recomendamos que você dê a pelo menos dois dos novos controladores de domínio do Azure a função de catálogo global (GC). Para obter mais informações, consulte Planejar o posicionamento do servidor GC.

Monitorização

Monitore os recursos das VMs do controlador de domínio e do AD DS e crie um plano para corrigir quaisquer problemas rapidamente. Para obter mais informações, consulte Monitorar o Ative Directory. Você também pode instalar ferramentas como o Microsoft Systems Center no servidor de monitoramento para ajudar a executar essas tarefas.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Fiabilidade

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

Implante as VMs que executam o AD DS em pelo menos duas zonas de disponibilidade. Se as zonas de disponibilidade não estiverem disponíveis na região, use conjuntos de disponibilidade. Além disso, considere atribuir a função de mestre de operações em espera a pelo menos um servidor ou mais, dependendo de suas necessidades. Um mestre de operações em espera é uma cópia ativa do mestre de operações que pode substituir o servidor do mestre de operações primário durante o failover.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

Os servidores AD DS fornecem serviços de autenticação e são um alvo atraente para ataques. Para ajudar a protegê-los, impeça a conectividade direta com a Internet colocando os servidores AD DS em uma sub-rede separada com um NSG como firewall. Feche todas as portas nos servidores AD DS, exceto as portas necessárias para autenticação, autorização e sincronização do servidor. Para obter mais informações, consulte Configurar um firewall para domínios e relações de confiança do Ative Directory.

Use a criptografia de disco BitLocker ou Azure para criptografar o disco que hospeda o banco de dados do AD DS.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para ajudar na defesa contra ataques DDoS. Você deve habilitar a Proteção contra DDoS em qualquer rede virtual de perímetro.

Otimização de Custos

A Otimização de Custos concentra-se em formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

Utilize a calculadora de preços do Azure para prever os custos. Outras considerações são descritas na seção Otimização de custos em Well-Architected Framework.

As seções a seguir descrevem considerações de custo para os serviços que essa arquitetura usa.

Serviços de Domínio Microsoft Entra

Considere ter o Microsoft Entra Domain Services como um serviço compartilhado consumido por várias cargas de trabalho para reduzir custos. Para obter mais informações, consulte Preços dos Serviços de Domínio.

Gateway de VPN

O VPN Gateway é o principal componente dessa arquitetura. Você é cobrado com base no tempo em que o gateway está provisionado e disponível.

Todo o tráfego de entrada é gratuito e todo o tráfego de saída é cobrado. São aplicados os custos com a largura de banda da Internet ao tráfego de saída da VPN.

Para obter mais informações, consulte Preços do gateway VPN.

Rede Virtual

A Rede Virtual é gratuita. Cada assinatura pode criar até 1.000 redes virtuais em todas as regiões. Todo o tráfego dentro dos limites de uma rede virtual é gratuito, portanto, a comunicação entre duas VMs na mesma rede virtual é gratuita.

Excelência Operacional

A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.

• Use a infraestrutura como práticas de código para provisionar e configurar a infraestrutura de rede e segurança. Uma opção são os modelos do Azure Resource Manager.

• Isole cargas de trabalho para permitir que o DevOps faça integração contínua e entrega contínua (CI/CD) porque cada carga de trabalho é associada e gerenciada por sua equipe de DevOps correspondente.

Nessa arquitetura, toda a rede virtual que inclui as diferentes camadas de aplicativo, a caixa de salto de gerenciamento e os Serviços de Domínio é identificada como uma única carga de trabalho isolada.

Você pode configurar o AD DS em VMs usando extensões de VM e outras ferramentas, como DSC (Configuração de Estado Desejado).

• Considere automatizar suas implantações usando o Azure DevOps ou qualquer outra solução de CI/CD. O Azure Pipelines é o componente recomendado dos Serviços de DevOps do Azure. Ele fornece automação para compilações e implantações de soluções e é altamente integrado ao ecossistema do Azure.

• Use o Azure Monitor para analisar o desempenho de sua infraestrutura. Você também pode usá-lo para monitorar e diagnosticar problemas de rede sem fazer login em suas VMs. O Application Insights fornece métricas e logs avançados para verificar o estado da sua infraestrutura.

Para obter mais informações, consulte a seção DevOps no Well-Architected Framework.

Capacidade de gestão

Faça cópias de segurança regulares do AD DS. Não copie apenas os arquivos de disco rígido virtual (VHD) dos controladores de domínio porque o arquivo de banco de dados do AD DS no VHD pode não ser consistente quando copiado, o que impossibilita a reinicialização do banco de dados.

Não recomendamos que você desligue uma VM de controlador de domínio usando o portal do Azure. Em vez disso, desligue e reinicie o sistema operacional convidado. Se você desligar um controlador de domínio usando o portal do Azure, isso fará com que a VM seja deslocalizada, o que resulta nos seguintes efeitos quando você reiniciar a VM do controlador de domínio:

• Ele redefine o VM-GenerationID e o invocationID do repositório do Ative Directory.
• Ele descarta o pool atual de identificadores relativos do Ative Directory (RID).
• Ele marca a pasta sysvol como não autoritativa.

O primeiro problema é relativamente benigno. A redefinição repetida do causa um pequeno uso adicional de largura de banda durante a invocationID replicação, mas esse uso não é significativo.

O segundo problema pode contribuir para a exaustão do pool de RID no domínio, especialmente se o tamanho do pool de RID estiver configurado para ser maior do que o padrão. Se o domínio existir por muito tempo ou for usado para fluxos de trabalho que exigem criação e exclusão repetitivas de contas, ele já pode estar se aproximando do esgotamento do pool de RID. Monitorar o domínio para eventos de aviso de exaustão do pool de RID é uma boa prática. Para obter mais informações, consulte Gerenciar emissão de RID.

O terceiro problema é relativamente benigno, desde que um controlador de domínio autoritativo esteja disponível quando uma VM de controlador de domínio no Azure é reiniciada. Se todos os controladores de domínio em um domínio estiverem em execução no Azure e todos forem simultaneamente desligados e deslocalizados, cada controlador de domínio não conseguirá encontrar uma réplica autoritativa quando você reiniciá-los. A correção desta condição requer intervenção manual. Para obter mais informações, consulte Forçar sincronização autoritativa e não autoritativa para replicação sysvol replicada por DFSR.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da sua carga de trabalho de escalar para atender às demandas dos usuários de forma eficiente. Para obter mais informações, consulte Lista de verificação de revisão de projeto para eficiência de desempenho.

O AD DS foi concebido tendo em conta a escalabilidade. Não precisa de configurar um balanceador de carga ou controlador de tráfego para direcionar os pedidos para os controladores de domínio do AD DS. A única consideração de escalabilidade é configurar as VMs que executam o AD DS com o tamanho correto para seus requisitos de carga de rede, monitorar a carga nas VMs e aumentar ou diminuir a escala conforme necessário.

Próximos passos

• O que é o Microsoft Entra ID?
• Azure DevOps
• Azure Pipelines
• Azure Monitor
• Configurar um firewall para domínios e relações de confiança do Ative Directory
• Visão geral do DSC
• Configurar a Rota Expressa e conexões coexistentes site a site usando o PowerShell

Recursos relacionados

• Criar uma floresta de recursos do AD DS no Azure
• Estender o AD FS local para o Azure

Essa arquitetura mostra como estender um domínio do Ative Directory local para o Azure para fornecer serviços de autenticação distribuída.

Arquitetura

O diagrama consiste em duas seções que são rotuladas como a rede local e a rede virtual. A seção de rede local mostra um gateway que tem uma conexão bidirecional dos servidores do Ative Directory para a sub-rede do gateway na seção de rede virtual. Uma seta aponta desse gateway para uma caixa que representa a sub-rede do aplicativo. Esta caixa contém um ícone que representa grupos de segurança de rede (NSGs) e outro gateway que se conecta a duas máquinas virtuais (VMs). Uma seta que representa uma solicitação de autenticação aponta das VMs para uma caixa rotulada como sub-rede do AD DS. Esta caixa contém um ícone que representa NSGs e um grupo de dois servidores AD DS. Na seção de rede local, uma seta rotulada como pontos IP públicos de um ícone que representa a Internet para uma VM na seção de rede virtual. Essa VM está dentro de uma caixa chamada sub-rede de gerenciamento. A caixa também contém NSGs e uma caixa de salto. Uma linha pontilhada que representa a Proteção contra DDoS do Azure envolve a seção de rede virtual.

Transfira um ficheiro do Visio desta arquitetura.

Essa arquitetura estende a arquitetura de rede híbrida mostrada em Conectar uma rede local ao Azure usando um gateway VPN.

Workflow

O fluxo de trabalho a seguir corresponde ao diagrama anterior:

• Rede local: A rede local inclui servidores locais do Ative Directory que podem executar autenticação e autorização para componentes localizados localmente.

• Servidores Ative Directory: Esses servidores são controladores de domínio que implementam serviços de diretório que são executados como máquinas virtuais (VMs) na nuvem. Eles podem fornecer autenticação de componentes que são executados em sua rede virtual do Azure.

• Sub-rede do Ative Directory: Os servidores dos Serviços de Domínio Ative Directory (AD DS) são hospedados em uma sub-rede separada. As regras do NSG (grupo de segurança de rede) ajudam a proteger os servidores AD DS e fornecem um firewall contra o tráfego de fontes inesperadas.

• Gateway de VPN do Azure e sincronização do Ative Directory: O Gateway VPN fornece uma conexão entre a rede local e a Rede Virtual do Azure. Esta ligação pode ser uma ligação VPN ou através do Azure ExpressRoute. Todos os pedidos de sincronização entre os servidores do Active Directory na cloud e no local são transmitidos pelo gateway. As rotas definidas pelo usuário manipulam o roteamento para o tráfego local que passa para o Azure.

Componentes

• O Microsoft Entra ID é um serviço de identidade empresarial que fornece logon único, autenticação multifator e acesso condicional do Microsoft Entra. Nessa arquitetura, o Microsoft Entra ID fornece acesso mais seguro a aplicativos e serviços em nuvem.

• O Gateway VPN é um serviço que usa gateways de rede virtual para enviar tráfego criptografado entre uma rede virtual do Azure e locais locais pela Internet pública. Nessa arquitetura, o Gateway VPN permite que o tráfego de sincronização do Ative Directory flua com mais segurança entre os ambientes.

• O ExpressRoute é um serviço que você pode usar para estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada com a ajuda de um provedor de conectividade. Nessa arquitetura, o ExpressRoute é uma alternativa às conexões VPN para cenários que exigem maior largura de banda e menor latência.

• A Rede Virtual é o bloco de construção fundamental para redes privadas no Azure. Você pode usá-lo para permitir que os recursos do Azure, como VMs, se comuniquem entre si, com a Internet e com as redes locais. Nessa arquitetura, a Rede Virtual oferece suporte à replicação e autenticação de domínio.

Detalhes do cenário

Se seu aplicativo estiver hospedado parcialmente no local e em parte no Azure, replicar o AD DS no Azure pode ser mais eficiente. Essa replicação pode reduzir a latência causada pelo envio de solicitações de autenticação da nuvem de volta para instâncias do AD DS executadas localmente.

Potenciais casos de utilização

Essa arquitetura é comumente usada quando uma conexão VPN ou ExpressRoute conecta as redes virtuais locais e do Azure. Essa arquitetura também oferece suporte à replicação bidirecional, o que significa que as alterações podem ser feitas no local ou na nuvem, e ambas as fontes são mantidas consistentes. Os usos típicos dessa arquitetura incluem aplicativos híbridos nos quais a funcionalidade é distribuída entre o local e o Azure e aplicativos e serviços que executam autenticação usando o Ative Directory.

Recomendações

Você pode aplicar as seguintes recomendações à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Recomendações de VMs

Determine os seus requisitos de tamanho da VM com base no volume esperado dos pedidos de autenticação. Use as especificações das máquinas que hospedam o AD DS local como ponto de partida e combine-as com os tamanhos de VM do Azure. Depois de implantar seu aplicativo, monitore o uso e aumente ou diminua a escala com base na carga real nas VMs. Para obter mais informações, consulte Planejamento de capacidade para AD DS.

Crie um disco de dados virtual separado para armazenar o banco de dados, os logs e a pasta de volume do sistema (sysvol) para o Ative Directory. Não armazene esses itens no mesmo disco que o sistema operacional. Por padrão, os discos de dados são anexados a uma VM usando cache de gravação. No entanto, esta forma de colocação em cache pode entrar em conflito com os requisitos do AD DS. Por esse motivo, configure a definição da Preferência de Cache do Anfitrião no disco de dados para Nenhuma.

Implante pelo menos duas VMs que executam o AD DS como controladores de domínio e adicione-as a zonas de disponibilidade diferentes. Se as zonas de disponibilidade não estiverem disponíveis na região, implante as VMs em um conjunto de disponibilidade.

Recomendações de redes

Configure a interface de rede VM (NIC) para cada controlador de domínio com um endereço IP privado estático em vez de usar o protocolo DHCP (Dynamic Host Configuration Protocol). Ao atribuir um endereço IP estático diretamente à VM, os clientes podem continuar a entrar em contato com o controlador de domínio mesmo se o serviço DHCP não estiver disponível. Para obter mais informações, consulte Criar uma VM que usa um endereço IP privado estático.

Nota

Não configure a NIC da VM para nenhum AD DS usando um endereço IP público. Para obter mais informações, consulte Considerações de segurança.

O NSG da sub-rede do Ative Directory requer regras para permitir o tráfego de entrada do tráfego local e de saída para o local. Para obter mais informações, consulte Configurar um firewall para domínios e relações de confiança do Ative Directory.

Se as novas VMs do controlador de domínio também tiverem a função de servidores DNS (Sistema de Nomes de Domínio), recomendamos configurá-las como servidores DNS personalizados no nível da rede virtual, conforme explicado em Alterar servidores DNS. Você deve aplicar essa configuração para a rede virtual que hospeda os novos controladores de domínio e redes emparelhadas onde outras VMs devem resolver nomes de domínio do Ative Directory. Para obter mais informações, consulte Resolução de nomes para recursos em redes virtuais do Azure.

Para a configuração inicial, talvez seja necessário ajustar a NIC de um dos seus controladores de domínio no Azure para apontar para um controlador de domínio local como a fonte DNS primária.

A inclusão do seu endereço IP na lista de servidores DNS melhora o desempenho e aumenta a disponibilidade dos servidores DNS. No entanto, um atraso de inicialização pode acontecer se o servidor DNS também for um controlador de domínio e apontar apenas para si mesmo ou apontar para si mesmo primeiro para resolução de nomes.

Por esse motivo, tenha cuidado ao configurar o endereço de loopback em um adaptador se o servidor também for um controlador de domínio. Talvez seja necessário substituir as configurações de DNS da NIC no Azure para apontar para outro controlador de domínio hospedado no Azure ou local para o servidor DNS primário. O endereço de loopback deve ser configurado apenas como um servidor DNS secundário ou terciário em um controlador de domínio.

Site do Active Directory

No AD DS, um site representa uma localização física, uma rede ou uma coleção de dispositivos. Use sites do AD DS para gerenciar a replicação do banco de dados do AD DS agrupando objetos do AD DS localizados próximos uns dos outros e conectados por uma rede de alta velocidade. O AD DS inclui lógica para selecionar a melhor estratégia para replicar o banco de dados do AD DS entre sites.

Recomendamos que você crie um site do AD DS, incluindo as sub-redes definidas para seu aplicativo no Azure. Em seguida, você pode configurar um link de site entre seus sites do AD DS locais. O AD DS executa automaticamente a replicação de banco de dados mais eficiente possível. Essa replicação de banco de dados não requer muito trabalho além da configuração inicial.

Mestre de operações do Ative Directory

Você pode atribuir a função de mestre de operações aos controladores de domínio do AD DS para oferecer suporte à consistência quando eles verificam entre instâncias de bancos de dados AD DS replicados. As cinco funções de mestre de operações são mestre de esquema, mestre de nomeação de domínio, mestre de identificador relativo, emulador mestre de controlador de domínio primário e mestre de infraestrutura. Para obter mais informações, consulte Planejar o posicionamento da função de mestre de operações.

Também recomendamos que você dê a pelo menos dois dos novos controladores de domínio do Azure a função de catálogo global (GC). Para obter mais informações, consulte Planejar o posicionamento do servidor GC.

Monitorização

Monitore os recursos das VMs do controlador de domínio e do AD DS e crie um plano para corrigir quaisquer problemas rapidamente. Para obter mais informações, consulte Monitorar o Ative Directory. Você também pode instalar ferramentas como o Microsoft Systems Center no servidor de monitoramento para ajudar a executar essas tarefas.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Fiabilidade

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

Implante as VMs que executam o AD DS em pelo menos duas zonas de disponibilidade. Se as zonas de disponibilidade não estiverem disponíveis na região, use conjuntos de disponibilidade. Além disso, considere atribuir a função de mestre de operações em espera a pelo menos um servidor ou mais, dependendo de suas necessidades. Um mestre de operações em espera é uma cópia ativa do mestre de operações que pode substituir o servidor do mestre de operações primário durante o failover.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

Os servidores AD DS fornecem serviços de autenticação e são um alvo atraente para ataques. Para ajudar a protegê-los, impeça a conectividade direta com a Internet colocando os servidores AD DS em uma sub-rede separada com um NSG como firewall. Feche todas as portas nos servidores AD DS, exceto as portas necessárias para autenticação, autorização e sincronização do servidor. Para obter mais informações, consulte Configurar um firewall para domínios e relações de confiança do Ative Directory.

Use a criptografia de disco BitLocker ou Azure para criptografar o disco que hospeda o banco de dados do AD DS.

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para ajudar na defesa contra ataques DDoS. Você deve habilitar a Proteção contra DDoS em qualquer rede virtual de perímetro.

Otimização de Custos

A Otimização de Custos concentra-se em formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

Utilize a calculadora de preços do Azure para prever os custos. Outras considerações são descritas na seção Otimização de custos em Well-Architected Framework.

As seções a seguir descrevem considerações de custo para os serviços que essa arquitetura usa.

Serviços de Domínio Microsoft Entra

Considere ter o Microsoft Entra Domain Services como um serviço compartilhado consumido por várias cargas de trabalho para reduzir custos. Para obter mais informações, consulte Preços dos Serviços de Domínio.

Gateway de VPN

O VPN Gateway é o principal componente dessa arquitetura. Você é cobrado com base no tempo em que o gateway está provisionado e disponível.

Todo o tráfego de entrada é gratuito e todo o tráfego de saída é cobrado. São aplicados os custos com a largura de banda da Internet ao tráfego de saída da VPN.

Para obter mais informações, consulte Preços do gateway VPN.

Rede Virtual

A Rede Virtual é gratuita. Cada assinatura pode criar até 1.000 redes virtuais em todas as regiões. Todo o tráfego dentro dos limites de uma rede virtual é gratuito, portanto, a comunicação entre duas VMs na mesma rede virtual é gratuita.

Excelência Operacional

A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.

• Use a infraestrutura como práticas de código para provisionar e configurar a infraestrutura de rede e segurança. Uma opção são os modelos do Azure Resource Manager.

• Isole cargas de trabalho para permitir que o DevOps faça integração contínua e entrega contínua (CI/CD) porque cada carga de trabalho é associada e gerenciada por sua equipe de DevOps correspondente.

Nessa arquitetura, toda a rede virtual que inclui as diferentes camadas de aplicativo, a caixa de salto de gerenciamento e os Serviços de Domínio é identificada como uma única carga de trabalho isolada.

Você pode configurar o AD DS em VMs usando extensões de VM e outras ferramentas, como DSC (Configuração de Estado Desejado).

• Considere automatizar suas implantações usando o Azure DevOps ou qualquer outra solução de CI/CD. O Azure Pipelines é o componente recomendado dos Serviços de DevOps do Azure. Ele fornece automação para compilações e implantações de soluções e é altamente integrado ao ecossistema do Azure.

• Use o Azure Monitor para analisar o desempenho de sua infraestrutura. Você também pode usá-lo para monitorar e diagnosticar problemas de rede sem fazer login em suas VMs. O Application Insights fornece métricas e logs avançados para verificar o estado da sua infraestrutura.

Para obter mais informações, consulte a seção DevOps no Well-Architected Framework.

Capacidade de gestão

Faça cópias de segurança regulares do AD DS. Não copie apenas os arquivos de disco rígido virtual (VHD) dos controladores de domínio porque o arquivo de banco de dados do AD DS no VHD pode não ser consistente quando copiado, o que impossibilita a reinicialização do banco de dados.

Não recomendamos que você desligue uma VM de controlador de domínio usando o portal do Azure. Em vez disso, desligue e reinicie o sistema operacional convidado. Se você desligar um controlador de domínio usando o portal do Azure, isso fará com que a VM seja deslocalizada, o que resulta nos seguintes efeitos quando você reiniciar a VM do controlador de domínio:

• Ele redefine o VM-GenerationID e o invocationID do repositório do Ative Directory.
• Ele descarta o pool atual de identificadores relativos do Ative Directory (RID).
• Ele marca a pasta sysvol como não autoritativa.

O primeiro problema é relativamente benigno. A redefinição repetida do causa um pequeno uso adicional de largura de banda durante a invocationID replicação, mas esse uso não é significativo.

O segundo problema pode contribuir para a exaustão do pool de RID no domínio, especialmente se o tamanho do pool de RID estiver configurado para ser maior do que o padrão. Se o domínio existir por muito tempo ou for usado para fluxos de trabalho que exigem criação e exclusão repetitivas de contas, ele já pode estar se aproximando do esgotamento do pool de RID. Monitorar o domínio para eventos de aviso de exaustão do pool de RID é uma boa prática. Para obter mais informações, consulte Gerenciar emissão de RID.

O terceiro problema é relativamente benigno, desde que um controlador de domínio autoritativo esteja disponível quando uma VM de controlador de domínio no Azure é reiniciada. Se todos os controladores de domínio em um domínio estiverem em execução no Azure e todos forem simultaneamente desligados e deslocalizados, cada controlador de domínio não conseguirá encontrar uma réplica autoritativa quando você reiniciá-los. A correção desta condição requer intervenção manual. Para obter mais informações, consulte Forçar sincronização autoritativa e não autoritativa para replicação sysvol replicada por DFSR.

Eficiência de desempenho

A Eficiência de Desempenho refere-se à capacidade da sua carga de trabalho de escalar para atender às demandas dos usuários de forma eficiente. Para obter mais informações, consulte Lista de verificação de revisão de projeto para eficiência de desempenho.

O AD DS foi concebido tendo em conta a escalabilidade. Não precisa de configurar um balanceador de carga ou controlador de tráfego para direcionar os pedidos para os controladores de domínio do AD DS. A única consideração de escalabilidade é configurar as VMs que executam o AD DS com o tamanho correto para seus requisitos de carga de rede, monitorar a carga nas VMs e aumentar ou diminuir a escala conforme necessário.

Próximos passos

• O que é o Microsoft Entra ID?
• Azure DevOps
• Azure Pipelines
• Azure Monitor
• Configurar um firewall para domínios e relações de confiança do Ative Directory
• Visão geral do DSC
• Configurar a Rota Expressa e conexões coexistentes site a site usando o PowerShell

Recursos relacionados

• Criar uma floresta de recursos do AD DS no Azure
• Estender o AD FS local para o Azure