Предыдущий

Следующая

Интеграция локальных каталогов с Azure Active Directory

Завершено

Компания Tailwind Traders использовала доменные службы Active Directory (AD DS) в качестве локального поставщика удостоверений в своей локальной сетевой среде, так как они были перенесены из Windows NT 4.0 в начале 2000-х. Многие существующие приложения Tailwind Traders зависят от Active Directory. Некоторые из этих приложений используют Active Directory в качестве поставщика удостоверений. Другие имеют более глубокую зависимость, например сложные требования групповой политики, пользовательские разделы домена и пользовательские расширения схемы.

Так как Tailwind Traders начинает перемещать некоторые ресурсы и разрабатывать новые приложения в Azure, компания хочет избежать создания решения для параллельной идентификации, которое потребует наличия отдельных данных для входа в локальные и облачные ресурсы.

В этом модуле вы узнаете о различных способах реализации гибридной идентификации.

Развертывание контроллеров домена в Azure

Самый простой способ предоставить ту же локальную среду AD DS организации в Azure состоит в следующем:

1. Развернуть пару контроллеров домена AD DS в подсети в виртуальной сети Azure.

2. Подключить эту виртуальную сеть к локальной сети.

3. Настроить эту подсеть в качестве нового сайта AD DS, как показано на следующем рисунке.

   

Другой вариант — настроить размещенный в облаке домен AD DS как дочерний домен леса локального домена. Дополнительным вариантом является настройка контроллеров домена AD DS, работающих в облаке, в качестве отдельного леса, имеющего отношения доверия с локальным лесом. На следующем рисунке показана соответствующая топология леса ресурсов.

Когда компании развертывают контроллеры домена на виртуальных машинах (ВМ) в Azure, эти компании могут затем развернуть рабочие нагрузки, требующие получения информации о контроллере домена, в той же подсети виртуальной сети Azure, в которой разворачиваются виртуальные машины контроллера домена. Это концептуально простая модель гибридного облака для многих организаций, так как центры обработки данных Azure используются как удаленный узел Active Directory.

Для Tailwind Traders расширение локального домена Active Directory или леса в Azure может быть достаточным в зависимости от требований приложения. Недостаток этого варианта развертывания заключается в том, что виртуальные машины, работающие постоянно на контроллерах домена, требуют постоянных затрат.

Что такое Подключение Microsoft Entra?

Microsoft Entra Подключение (прежнее название — Azure AD Подключение) позволяет организациям синхронизировать удостоверения, присутствующих в своем локальная служба Active Directory экземпляре, с идентификатором Microsoft Entra (ранее — Azure AD). Это позволяет использовать одно удостоверение для облачных ресурсов и локальных ресурсов. Microsoft Entra Подключение чаще всего используется, когда организации принимают Microsoft 365, чтобы разрешить доступ к таким приложениям, как Microsoft SharePoint и Exchange, работающим в облаке, через локальные приложения.

Если Tailwind Traders планирует внедрить технологии Microsoft 365, такие как Exchange Online или Microsoft Teams, необходимо настроить Microsoft Entra Подключение для реплика удостоверений из локальной среды AD DS в Azure. Если компания также хочет использовать локальные удостоверения с приложениями в Azure, но не хочет развертывать контроллеры домена AD DS на виртуальных машинах, также потребуется развернуть Microsoft Entra Подключение.

Что такое доменные службы Microsoft Entra?

Доменные службы Microsoft Entra можно использовать для проекта домена Microsoft Entra в виртуальной подсети Azure. После этого службы, а именно присоединение к домену, групповая политика, протокол LDAP и проверка подлинности Kerberos и NTLM, становятся доступными для любой виртуальной машины, развернутой в подсети.

Доменные службы Microsoft Entra позволяют иметь базовую управляемую среду Active Directory, доступную для виртуальных машин, не беспокоясь об управлении, обслуживании и оплате виртуальных машин, работающих в качестве контроллеров домена. Доменные службы Microsoft Entra также позволяют использовать локальные удостоверения с помощью Microsoft Entra Подключение для взаимодействия с виртуальными машинами, работающими в специально настроенной подсети Azure виртуальная сеть.

Одним из недостатков доменных служб Microsoft Entra является то, что реализация групповой политики является базовой. она включает фиксированный набор групповых политик и не позволяет создавать объекты групповой политики (GPO). Несмотря на то, что удостоверения, используемые в локальной среде, будут доступны в Azure, все политики, настроенные локально, будут недоступны.

Для Tailwind Traders доменные службы Microsoft Entra предоставляют хороший средний уровень для гибридных рабочих нагрузок. Они обеспечивают использование удостоверений, присоединенных к домену, и значительную часть конфигурации групповой политики, но не поддерживают приложения, для которых требуются сложные функции Active Directory, такие как пользовательские разделы домена и расширения схемы.

Проверьте свои знания

1.

Среди виртуальных машин, которые Tailwind Traders планирует перенести из центра обработки данных Окленда, несколько узловых приложений имеют зависимости от AD DS, в том числе пользовательские расширения схемы и использование нескольких пользовательских разделов AD DS. Какое из следующих решений для гибридной идентификации может использовать компания для поддержки этих приложений, если виртуальные машины, на которых размещены приложения, были перенесены в качестве виртуальных машин Azure по технологии "инфраструктура как услуга" (IaaS)?

Настройте microsoft Entra Подключение, чтобы реплика реплика выполнять локальные удостоверения AD DS в Azure. Создайте подсеть в виртуальной сети Azure. Перенесите виртуальные машины из центра обработки данных Окленда в эту подсеть. Присоединение перенесенных виртуальных машин к домену доменных служб Microsoft Entra.

Создайте подсеть в виртуальной сети Azure. Настройте VPN-подключение между этой виртуальной сетью и локальной сетью. Разверните два контроллера домена AD DS на виртуальных машинах подсети Подсети подсети Windows Server 2022. Настройте отдельный сайт AD DS для подсети Azure. Перенесите виртуальные машины из центра обработки данных Окленда в эту подсеть.

Настройте microsoft Entra Подключение, чтобы реплика реплика выполнять локальные удостоверения AD DS в Azure. Создайте подсеть в виртуальной сети Azure. Настройте доменные службы Microsoft Entra и настройте его для этой вновь созданной подсети. Перенесите виртуальные машины из центра обработки данных Окленда в эту подсеть. Присоединение перенесенных виртуальных машин к домену доменных служб Microsoft Entra.

2.

Дочерняя компания Tailwind Traders развертывает виртуальные машины IaaS Windows Server 2022 в подсети в виртуальной сети Azure. Эта виртуальная сеть подключена к отдельной подписке и аренде Microsoft Entra. Эти компьютеры должны быть присоединены к домену в целях безопасности и идентификации, но не требуют сложной конфигурации групповой политики. Для этих виртуальных машин не требуется синхронизация удостоверений из любого локального экземпляра Tailwind Traders AD DS. Необходимо максимально сокращать количество виртуальных машин, развертываемых для достижения этой цели. Какое из следующих решений является наиболее подходящим?

Разверните microsoft Entra Подключение на каждой виртуальной машине и синхронизируйте с клиентом Microsoft Entra.

Разверните доменные службы Microsoft Entra и настройте его для подсети, на котором размещены виртуальные машины. Присоединение виртуальных машин к домену доменных служб Microsoft Entra.

Развертывание AD DS на новой виртуальной машине в подсети. Присоедините виртуальные машины к домену AD DS.

Вы должны ответить на все вопросы перед проверкой.

Продолжить