Azure Active Directory Domain Services 的虛擬網路設計考量和設定選項

Azure Active Directory Domain Services (Azure AD DS) 提供驗證和管理服務給其他應用程式和工作負載。 網路連線是關鍵元件。 若未正確設定虛擬網路資源,應用程式和工作負載就無法與 Azure AD DS 提供的功能通訊,並使用 Azure AD DS 提供的功能。 規劃虛擬網路需求,確保 Azure AD DS 可以視需要為應用程式和工作負載提供服務。

本文概述 Azure 虛擬網路支援 Azure AD DS 的設計考量和需求。

Azure 虛擬網路設計

若要提供網路連線能力,並允許應用程式和服務針對 Azure AD DS 受控網域進行驗證,請使用 Azure 虛擬網路和子網路。 在理想情況下,受控網域應該部署到本身的虛擬網路。

您可以在相同的虛擬網路中包含個別的應用程式子網路,藉以裝載您的管理 VM 或輕型應用程式工作負載。 適用於較大型或複雜應用程式工作負載的個別虛擬網路,與 Azure AD DS 虛擬網路對等互連,通常是最適當的設計。

其他設計選項也是有效的,但前提是您符合虛擬網路和子網路的下列各節中所述的需求。

在為 Azure AD DS 設計虛擬網路時,您必須考量下列事項:

  • Azure AD DS 必須部署到與虛擬網路相同的 Azure 區域。
    • 目前,每個 Azure AD 租用戶只能部署一個受控網域。 受控網域會部署至單一區域。 請確定您在支援 Azure AD DS 的區域中建立或選取虛擬網路。
  • 請考量其他 Azure 區域的鄰近性,以及裝載應用程式工作負載的虛擬網路。
    • 若要將延遲降到最低,請將核心應用程式保持在與受控網域的虛擬網路子網路接近或相同的區域中。 您可以使用 Azure 虛擬網路之間的虛擬網路對等互連或虛擬私人網路 (VPN) 連線。 下一節將討論這些連線選項。
  • 虛擬網路無法依賴受控網域提供的 DNS 服務以外的 DNS 服務。
    • Azure AD DS 提供本身的 DNS 服務。 虛擬網路必須設定為使用這些 DNS 服務位址。 您可以使用條件式轉寄站來完成其他命名空間的名稱解析。
    • 您無法使用自訂 DNS 伺服器設定來引導來自其他 DNS 伺服器的查詢,包括 VM 上的查詢。 虛擬網路中的資源必須使用受控網域提供的 DNS 服務。

重要

啟用服務之後,您無法將 Azure AD DS 移至不同的虛擬網路。

受控網域會連線到 Azure 虛擬網路中的子網路。 使用下列考量,為 Azure AD DS 設計此子網路:

  • 受控網域必須部署在其自己的子網路中。 不支援在虛擬網路對等互連中使用現有的子網路、閘道子網路或遠端閘道設定。
  • 部署受控網域時,會建立網路安全性群組。 此網路安全性群組包含正確的服務通訊所需的規則。
    • 請勿使用您本身的自訂規則來建立或使用現有的網路安全性群組。
  • 受控網域需要 3-5 個 IP 位址。 請確定您的子網路 IP 位址範圍可以提供這些位址。
    • 限制可用的 IP 位址可防止受控網域維護兩個網域控制站。

下列範例圖表概述有效的設計,其中受控網域有本身的子網路,也有供外部連線使用的閘道子網路,而且應用程式工作負載位於虛擬網路內已連線的子網路中:

Recommended subnet design

Azure AD DS 虛擬網路的連線

如上一節所述,您只能在 Azure 中的單一虛擬網路中建立受控網域,而且每個 Azure AD 租用戶只能建立一個受控網域。 根據此架構,您可能需要將裝載應用程式工作負載的一或多個虛擬網路連線到受控網域的虛擬網路。

您可以使用下列其中一種方法,連接在其他 Azure 虛擬網路中裝載的應用程式工作負載:

  • 虛擬網路對等互連
  • 虛擬私人網路 (VPN)

虛擬網路對等互連

虛擬網路對等互連是透過 Azure 骨幹網路來連接同一區域中兩個虛擬網路的機制。 全域虛擬網路對等互連:跨 Azure 區域連接虛擬網路。 對等互連後,這兩個虛擬網路會讓 VM 等資源直接使用私人 IP 位址彼此通訊。 使用虛擬網路對等互連,可讓您使用部署在其他虛擬網路中的應用程式工作負載來部署受控網域。

Virtual network connectivity using peering

如需詳細資訊,請參閱 Azure 虛擬網路概觀

虛擬私人網路 (VPN)

您可以將虛擬網路連線至另一個虛擬網路 (VNet 對 VNet),就像將虛擬網路設定為內部部署網站位置一樣。 這兩種連線都使用 VPN 閘道建立使用 IPsec/IKE 的安全通道。 此連線模型可讓您將受控網域部署到 Azure 虛擬網路,然後連接內部部署位置或其他雲端。

Virtual network connectivity using a VPN Gateway

如需使用虛擬私人網路的詳細資訊,請參閱使用 Azure 入口網站設定 VNet 對 VNet 的 VPN 閘道連線

連接虛擬網路時的名稱解析

連線到受控網域虛擬網路的虛擬網路通常會有本身的 DNS 設定。 當您連接虛擬網路時,它不會自動設定連接虛擬網路的名稱解析,藉以解析受控網域提供的服務。 連接虛擬網路上的名稱解析必須設定為讓應用程式工作負載找出受控網域。

在支援連接虛擬網路的 DNS 伺服器上使用條件式 DNS 轉寄站,或使用來自受控網域虛擬網路的相同 DNS IP 位址,都可以啟用名稱解析。

Azure AD DS 使用的網路資源

受控網域會在部署期間建立一些網路資源。 成功操作和管理受控網域時,需要這些資源,而且不應該手動設定。

請勿鎖定 Azure AD DS 使用的網路資源。 如果網路資源遭到鎖定,就無法加以刪除。 在此情況下且需要重建網域控制站時,必須建立具有不同 IP 位址的新網路資源。

Azure 資源 描述
網路介面卡 Azure AD DS 會將受控網域裝載在兩個網域控制站 (DC) 上,以 Azure VM 的形式在 Windows 伺服器上執行。 每個 VM 都有連線到虛擬網路子網路的虛擬網路介面。
動態標準公用 IP 位址 Azure AD DS 會使用標準 SKU 公用 IP 位址與同步處理和管理服務通訊。 如需公用 IP 位址的詳細資訊,請參閱 Azure 中的 IP 位址類型和配置方法
Azure Standard Load Balancer Azure AD DS 使用標準 SKU 負載平衡器進行網路位址轉譯 (NAT) 和負載平衡 (在搭配安全 LDAP 使用時)。 如需 Azure Load Balancer 的詳細資訊,請參閱什麼是 Azure Load Balancer?
網路位址轉譯 (NAT) 規則 Azure AD DS 會在負載平衡器上建立並使用兩個輸入 NAT 規則來保護 PowerShell 遠端。 如果使用標準 SKU 負載平衡器,它也會有輸出 NAT 規則。 針對基本 SKU 負載平衡器,不需要輸出 NAT 規則。
負載平衡器規則 當受控網域設定為 TCP 通訊埠 636 上的安全 LDAP 時,會在負載平衡器上建立和使用三個規則來散發流量。

警告

請勿刪除或修改 Azure AD DS 所建立的任何網路資源,例如手動設定負載平衡器或規則。 如果您刪除或修改任何網路資源,可能會導致 Azure AD DS 服務中斷。

網路安全性群組與必要連接埠

網路安全性群組 (NSG) 包含規則清單,可允許或拒絕 Azure 虛擬網路中的網路流量。 在部署受控網域時,會使用一組規則來建立網路安全性群組,讓服務提供驗證和管理功能。 此預設網路安全性群組會與受控網域部署所在的虛擬網路子網路相關聯。

下列各節涵蓋網路安全性群組和輸入和輸出連接埠需求。

輸入連線

受控網域需要下列網路安全性群組輸入規則,才能提供驗證和管理服務。 對於受控網域部署所在的虛擬網路子網路,請勿編輯或刪除這些網路安全性群組規則。

輸入連接埠號碼 通訊協定 來源 Destination 動作 必要 目的
5986 TCP AzureActiveDirectoryDomainServices 任意 允許 管理您的網域。
3389 TCP CorpNetSaw 任意 允許 選擇性 支援偵錯。

已建立的 Azure 標準負載平衡器需要執行這些規則。 此網路安全性群組會保護 Azure AD DS,而且能讓受控網域正確運作。 請勿刪除此網路安全性群組。 如果沒有此群組,負載平衡器將無法正常運作。

如有需要,您可以使用 Azure PowerShell 建立必要的網路安全性群組和規則

警告

您將設定錯誤的網路安全性群組或使用者定義的路由表與部署受控網域的子網路產生關聯時,可能會中斷 Microsoft 的服務和管理網域的能力。 此外,Azure AD 租用戶與受控網域之間的同步處理已中斷。 請遵循所有列出的需求,藉以避免不支援而可能會中斷同步、修補或管理的設定。

如果您使用安全 LDAP,您可以新增必要的 TCP 通訊埠 636 規則,藉以視需要允許外部流量。 新增此規則並不會將您的網路安全性群組規則置於不支援的狀態。 如需詳細資訊,請參閱鎖定透過網際網路進行的安全 LDAP 存取

Azure SLA 不適用於封鎖未正確設定網路安全性群組或使用者定義的路由表進行更新或管理的部署。 中斷的網路設定也可以防止套用安全性修補程式。

輸出連線

針對輸出連線,您可以保留 AllowVnetOutboundAllowInternetOutBound,也可以使用下表所列的 ServiceTag 限制輸出流量。 必須透過 PowerShell 新增 AzureUpdateDelivery 的 ServiceTag。

傳統部署不支援篩選的輸出流量。

輸出連接埠號碼 通訊協定 來源 Destination 動作 必要 目的
443 TCP 任意 AzureActiveDirectoryDomainServices 允許 與 Azure AD Domain Services 管理服務進行通訊。
443 TCP 任意 AzureMonitor Allow 監視虛擬機器。
443 TCP 任意 儲存體 Allow 與 Azure 進行通訊。
443 TCP 任意 AzureActiveDirectory 允許 與 Azure Active Directory 進行通訊。
443 TCP 任意 AzureUpdateDelivery 允許 與 Windows Update 進行通訊。
80 TCP 任意 AzureFrontDoor.FirstParty 允許 從 Windows Update 下載修補程式。
443 TCP 任意 GuestAndHybridManagement 允許 安全性修補程式的自動化管理。

連接埠 5986 - 使用 PowerShell 遠端系統進行管理

  • 用來在受控網域上使用 PowerShell 遠端執行管理工作。

  • 若無法存取此連接埠,將無法更新、設定、備份或監視您的受控網域。

  • 對於使用 Resource Manager 型虛擬網路的受控網域,您可以將此連接埠的輸入存取限制為 AzureActiveDirectoryDomainServices 服務標籤。

    • 如需使用傳統虛擬網路的舊版受控網域,您可以將輸入存取限制為下列的來源 IP 位址:52.180.183.8、23.101.0.70、52.225.184.198、52.179.126.223、13.74.249.156、52.187.117.83、52.161.13.95、104.40.156.18 和 104.40.87.209。

    注意

    在 2017 年,Azure AD Domain Services 開始能夠裝載於 Azure Resource Manager 網路中。 至此之後,我們可以使用 Azure Resource Manager 的新式功能來建置更安全的服務。 由於 Azure Resource Manager 部署完全取代傳統部署,Azure AD DS 傳統虛擬網路部署將於 2023 年 3 月 1 日淘汰。

    如需詳細資訊,請參閱官方淘汰通知

連接埠 3389 - 使用遠端桌面進行管理

  • 用於在受控網域對網域控制站進行遠端桌面連線。
  • 預設網路安全性群組規則會使用 CorpNetSaw 服務標籤進一步限制流量。
    • 此服務標記只允許 Microsoft 公司網路上的安全存取工作站對於受控網域使用遠端桌面。
    • 只有對於業務理由才允許存取,例如管理或疑難排解案例。
  • 此規則可以設定為 [拒絕],而且只在必要時才設定為 [允許]。 大部分的管理與監視工作都是使用 PowerShell 遠端執行的。 只有在罕見的情況下,Microsoft 需要從遠端連線到您的受控網域進行進階疑難排解時,才會使用 RDP。

如果您嘗試編輯此網路安全性群組規則,就無法從入口網站手動選取 CorpNetSaw 服務標籤。 您必須使用 Azure PowerShell 或 Azure CLI 手動設定使用 CorpNetSaw 服務標籤的規則。

例如,您可以使用下列指令碼建立允許 RDP 的規則:

Get-AzNetworkSecurityGroup -Name "nsg-name" -ResourceGroupName "resource-group-name" | Add-AzNetworkSecurityRuleConfig -Name "new-rule-name" -Access "Allow" -Protocol "TCP" -Direction "Inbound" -Priority "priority-number" -SourceAddressPrefix "CorpNetSaw" -SourcePortRange "*" -DestinationPortRange "3389" -DestinationAddressPrefix "*" | Set-AzNetworkSecurityGroup

使用者定義的路由

預設不會建立使用者定義的路由,而且 Azure AD DS 不需要使用者定義的路由即可正常運作。 如果您需要使用路由表,請避免對 0.0.0.0 路由進行任何變更。 此路由的變更會中斷 Azure AD DS,並將受控網域置於不支援的狀態。

您也必須將來自個別 Azure 服務標籤內含 IP 位址的輸入流量路由傳送至受控網域的子網路。 如需服務標籤及其相關聯 IP 位址的詳細資訊,請參閱 Azure IP 範圍和服務標籤 - 公用雲端

警告

這些 Azure 資料中心 IP 範圍可能會變更,恕不另行通知。 請確定您有流程可驗證您有最新的 IP 位址。

後續步驟

如需 Azure AD DS 使用的一些網路資源和連線選項有關的詳細資訊,請參閱下列文章: