Azure’da AD DS kaynak ormanı oluşturma

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

Bu başvuru mimarisinde, Azure’da şirket içi AD ormanınızdaki etki alanları tarafından güvenilen ayrı bir Active Directory etki alanı oluşturma gösterilmektedir.

Ayrı Active Directory etki alanlarıyla güvenli karma ağ mimarisini gösteren diyagram.

"AD DS Ormanı" mimarisi için bir Visio dosyası indirin.

Active Directory Domain Services (AD DS), kimlik bilgilerini hiyerarşik bir yapıda depolar. Hiyerarşik yapının üst düğümü orman olarak adlandırılır. Ormanlar etki alanlarını ve etki alanları diğer nesne türlerini içerir. Bu başvuru mimarisinde, Azure’da şirket içi bir etki alanıyla tek yönlü bir giden güven ilişkisine sahip bir AD DS ormanı oluşturulmaktadır. Azure’daki orman şirket içinde var olmayan bir etki alanı içeriyor. Güven ilişkisi nedeniyle, şirket içi etki alanlarına karşı yapılan oturum açma işlemlerine ayrı Azure etki alanındaki kaynaklara erişim için güvenilebilir.

Bu mimari için genel kullanımlar bulutta barındırılan nesneler ve kimlikler için güvenli ayırmayı sürdürme ve ayrı etki alanlarını şirket içinden buluta taşımayı içerir.

Ek konular için, bkz. Şirket içi Active Directory’yi Azure ile tümleştirmek için bir çözüm seçme.

Mimari

Mimari aşağıdaki bileşenlere sahiptir.

  • Şirket içi ağ. Şirket içi ağ kendi Active Directory ormanı ve etki alanlarını içerir.
  • Active Directory sunucuları. Bunlar bulutta VM olarak çalışan etki alanı hizmetlerini uygulayan etki alanı denetleyicileridir. Bu sunucular şirket içinde bulunanlardan ayrı bir veya daha fazla etki alanı içeren bir ormanı barındırır.
  • Tek yönlü güven ilişkisi. Diyagramdaki örnekte Azure’daki etki alanından şirket içi etki alanına tek yönlü güven gösterilmektedir. Bu ilişki şirket içi kullanıcıların Azure’daki etki alanındaki kaynaklara erişmesine olanak sağlar ancak tam tersine izin vermez.
  • Active Directory alt ağı. AD DS sunucuları ayrı bir alt ağda barındırılır. Ağ güvenlik grubu (NSG) kuralları, AD DS sunucularını korur ve beklenmeyen kaynaklardan gelen trafiğe karşı bir güvenlik duvarı sağlar.
  • Azure ağ geçidi. Azure ağ geçidi, şirket içi ağ ve Azure sanal ağı arasında bir bağlantı sağlar. Bu bir VPN bağlantısı veya Azure ExpressRoute olabilir. Daha fazla bilgi için bkz. Şirket içi ağı bir VPN ağ geçidi kullanarak Azure’a bağlama.

Öneriler

Azure'da Active Directory uygulamayla ilgili belirli öneriler için bkz. Active Directory Domain Services (AD DS) Azure'a genişletme.

Güven

Şirket içi etki alanları, buluttaki etki alanlarından farklı bir ormanda bulunur. Şirket içi kullanıcıların bulutta kimlik doğrulaması yapmasını etkinleştirmek için, Azure’daki etki alanlarının şirket içi ormandaki oturum açma etki alanına güvenmesi gerekir. Benzer şekilde, bulut dış kullanıcılar için bir oturum açma etki alanı sağlıyorsa, şirket içi ormanın bulut etki alanına güvenmesi gerekebilir.

Orman güvenleri oluşturarak orman düzeyinde güvenler veya dış güvenler oluşturarak etki alanı düzeyinde güvenler oluşturabilirsiniz. Orman düzeyindeki bir güven ilişkisi, iki ormandaki tüm etki alanları arasında bir ilişki oluşturur. Dış etki alanı düzeyindeki bir güven ilişkisi yalnızca belirtilen iki etki alanı arasında bir ilişki oluşturur. Farklı ormanlardaki etki alanları arasında yalnızca dış etki alanı düzeyinde güven oluşturmalısınız.

şirket içi Active Directory olan güvenler yalnızca tek yönlü (tek yönlü) olur. Tek yönlü güven bir etki alanı veya ormandaki (gelen etki alanı veya orman) kullanıcıların başka bir etki alanı veya ormandaki (giden etki alanı veya orman) kaynaklara erişmesine olanak sağlar.

Aşağıdaki tabloda bazı basit senaryolar için güven yapılandırmaları özetlenmektedir:

Senaryo Şirket içi güven Bulut güveni
Şirket içi kullanıcıların buluttaki kaynaklara erişmesi gerekiyor ancak tam tersi gerekmiyor Tek yönlü, gelen Tek yönlü, giden
Buluttaki kullanıcıların şirket içindeki kaynaklara erişmesi gerekiyor ancak tam tersi gerekmiyor Tek yönlü, giden Tek yönlü, gelen

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenler

Active Directory aynı etki alanının parçası olan etki alanı denetleyicileri için otomatik olarak ölçeklenebilir. İstekler bir etki alanı içindeki tüm denetleyicilere dağıtılır. Başka bir etki alanı denetleyicisi eklediğinizde otomatik olarak etki alanıyla eşitlenir. Trafiği etki alanı içindeki denetleyicilere yönlendirmek için ayrı bir yük dengeleyici yapılandırmayın. Tüm etki alanı denetleyicilerinde etki alanı veritabanını işlemek için yeterli bellek ve depolama kaynakları olduğundan emin olun. Tüm etki alanı denetleyicisi VM’lerini aynı boyutta oluşturun.

Kullanılabilirlik konusunda dikkat edilmesi gerekenler

Her etki alanı için en az iki etki alanı denetleyicisi sağlayın. Bu, sunucular arasında otomatik çoğaltmayı etkinleştirir. Her etki alanını işleyen Active Directory sunucuları olarak davranan VM’ler için bir kullanılabilirlik kümesi oluşturun. Bu kullanılabilirlik kümesine en az iki sunucu yerleştirin.

Ayrıca, bir esnek tek ana işlem (FSMO) rolü olarak davranan bir sunucuyla bağlantının başarısız olması durumuna karşı her etki alanında bir veya daha fazla sunucuyu bekleme işlem yöneticisi olarak belirlemeyi göz önünde bulundurun.

Yönetilebilirlik konusunda dikkat edilmesi gerekenler

Yönetim ve izleme ile ilgili önemli konular hakkında daha fazla bilgi için bkz. Active Directory’yi Azure’a genişletme.

Ek bilgi için bkz. Active Directory’yi izleme. Bu işleri gerçekleştirmeye yardımcı olmak için yönetim alt ağında bir izleme sunucusuna Microsoft Systems Center gibi araçlar yükleyebilirsiniz.

Güvenlik konuları

Orman düzeyindeki güvenler geçişlidir. Bir şirket içi orman ile buluttaki bir orman arasında orman düzeyinde bir güven oluşturursanız, bu güven iki ormanda da oluşturulan yeni etki alanlarına genişletilir. Güvenlik amacıyla ayırma sağlamak için etki alanlarını kullanıyorsanız, güvenleri yalnızca etki alanı düzeyinde oluşturmayı düşünün. Etki alanı düzeyindeki güvenler geçişli değildir.

Active Directory’ye özgü güvenlik konuları için Active Directory’yi Azure’a genişletme konusunda güvenlik konuları bölümüne bakın.

DevOps için dikkat edilmesi gerekenler

DevOps ile ilgili dikkat edilmesi gerekenler için bkz. Active Directory Domain Services (AD DS) Azure'a genişletme konusunda operasyonel mükemmellik.

Maliyetle ilgili konular

Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın. Diğer önemli noktalar Microsoft Azure Well-Architected Framework'ün Maliyet bölümünde açıklanmıştır.

Bu mimaride kullanılan hizmetler için maliyetle ilgili dikkat edilmesi gerekenler aşağıdadır.

AD Etki Alanı Hizmetleri

Maliyetleri düşürmek için, birden çok iş yükü tarafından kullanılan paylaşılan bir hizmet olarak Active Directory Domain Services edinmeniz faydalı olabilir. Daha fazla bilgi için bkz. fiyatlandırma Active Directory Domain Services.

Azure VPN Gateway

Bu mimarinin ana bileşeni VPN ağ geçidi hizmetidir. Ücretlendirme, ağ geçidinin sağlandığı ve kullanılabilir olduğu saat üzerinden hesaplanır.

Tüm gelen trafik ücretsizdir, tüm giden trafik ücretlendirilir. İnternet bant genişliği maliyetleri, VPN giden trafiğine uygulanır.

Daha fazla bilgi için bkz. VPN Gateway Fiyatlandırması.

Sonraki adımlar