在 Azure 虛擬網路中部署 AD DS

Microsoft Entra

Azure 虛擬網路

此架構示範如何將 內部部署的 Active Directory 網域延伸至 Azure，以提供分散式驗證服務。

架構

此圖表包含兩個區段，這些區段標示為內部部署網路和虛擬網路。 內部部署網路區段會顯示閘道，其具有從 Active Directory 伺服器到虛擬網路區段中閘道子網的雙向連線。 箭號會從該閘道指向代表應用程式子網的方塊。 此方塊包含代表網路安全組 （NSG） 的圖示，以及另一個連線到兩部虛擬機 （VM） 的閘道。 箭號，表示從 VM 到標示為 AD DS 子網的方塊的驗證要求點。 此方塊包含代表 NSG 和兩部 AD DS 伺服器的群組的圖示。 在 [內部部署網路] 區段中，從圖示標示為公用IP點的箭號，代表虛擬網路區段中的因特網到VM。 此 VM 位於標示為管理子網的方塊內。 此方塊也包含 NSG 和跳躍方塊。 代表 Azure DDoS 保護的虛線會圍繞虛擬網路區段。

下載此架構的 Visio 檔案。

此架構會 使用 VPN 閘道將內部部署網路連線至 Azure 中所示的混合式網路架構延伸。

Workflow

下列工作流程對應至上圖：

• 內部部署網路： 內部部署網路包含本機 Active Directory 伺服器，可針對位於內部部署的元件執行驗證和授權。

• Active Directory 伺服器： 這些伺服器是實作在雲端中以虛擬機（VM） 身分執行的目錄服務的域控制器。 他們可以提供在 Azure 虛擬網路中執行的元件驗證。

• Active Directory 子網： Active Directory Domain Services （AD DS） 伺服器裝載於不同的子網中。 網路安全組 （NSG） 規則可協助保護 AD DS 伺服器，並提供防火牆以防止來自非預期來源的流量。

• Azure VPN 閘道和 Active Directory 同步處理： VPN 閘道提供內部部署網路與 Azure 虛擬網路之間的連線。 此連線可以是 VPN 連線 或透過 Azure ExpressRoute。 雲端中的 Active Directory 伺服器與內部部署之間的所有同步處理要求都會通過閘道。 用戶定義的路由會處理傳遞至 Azure 的內部部署流量路由。

元件

• Microsoft Entra ID 是一項企業身分識別服務，可提供單一登錄、多重要素驗證，以及Microsoft Entra 條件式存取。 在此架構中，Microsoft Entra ID 提供更安全的雲端應用程式和服務存取。

• VPN 閘道 是一項服務，使用虛擬網路閘道透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量。 在此架構中，VPN 閘道可讓 Active Directory 同步處理流量在環境之間更安全地流動。

• ExpressRoute 是一項服務，可用來透過連線提供者的協助，透過私人連線將內部部署網路延伸至Microsoft雲端。 在此架構中，ExpressRoute 是 VPN 連線的替代方案，適用於需要較高頻寬和較低延遲的案例。

• 虛擬網絡 是 Azure 上專用網的基本建置組塊。 您可以使用它來啟用 Azure 資源，例如 VM，彼此通訊、因特網和內部部署網路。 在此架構中，虛擬網路支援網域複寫和驗證。

案例詳細資料

如果您的應用程式部分裝載於內部部署，部分裝載在 Azure 中，則復寫 Azure 中的 AD DS 可能會更有效率。 此復寫可以減少從雲端將驗證要求傳送回內部部署的 AD DS 實例所造成的延遲。

潛在使用案例

VPN 或 ExpressRoute 連線連線內部部署和 Azure 虛擬網路時，通常會使用此架構。 此架構也支援雙向複寫，這表示可以進行內部部署或雲端中的變更，而且這兩個來源都會保持一致。 此架構的一般用途包括混合式應用程式，其中功能會在內部部署與 Azure 之間散發，以及使用 Active Directory 執行驗證的應用程式和服務。

建議

您可以將以下建議應用於大多數場景。 除非您有覆寫建議的特定需求，否則請遵循這些建議。

VM 建議

根據預期的驗證要求量來判斷您的 VM 大小 需求。 使用裝載 AD DS 內部部署的電腦規格作為起點，並將其與 Azure VM 大小比對。 部署應用程式之後，請根據 VM 上的實際負載來監視使用量並相應增加或相應減少。 如需詳細資訊，請參閱 AD DS的容量規劃。

建立個別的虛擬磁碟，以儲存 Active Directory 的資料庫、記錄和系統磁碟區 （sysvol） 資料夾。 請勿將這些項目儲存在與操作系統相同的磁碟上。 根據預設，數據磁碟會使用寫入快取連結至 VM。 不過，這種快取形式可能會與 AD DS 的需求衝突。 基於這個理由，請將數據磁碟上的 [主機快取喜好設定] 設定設為 [無]。

部署至少兩個以域控制器身分執行 AD DS 的 VM，並將其新增至不同的 可用性區域。 如果區域中無法使用可用性區域，請在 可用性設定組中部署 VM。

網路功能的建議

針對每個具有靜態私人IP位址的域控制器設定VM網路介面 （NIC），而不是使用動態主機設定通訊協定 （DHCP）。 藉由將靜態 IP 位址直接指派給 VM，即使 DHCP 服務無法使用，用戶端仍可繼續連絡域控制器。 如需詳細資訊，請參閱 建立使用靜態私人IP位址的VM。

注意

請勿使用公用IP位址設定任何AD DS的VM NIC。 如需詳細資訊，請參閱 安全性考慮。

Active Directory 子網 NSG 需要規則，以允許來自內部部署的連入流量和連出流量到內部部署。 如需詳細資訊，請參閱 設定 Active Directory 網域和信任的防火牆。

如果新的域控制器 VM 也有功能變數名稱系統 （DNS） 伺服器的角色，建議您將它們設定為虛擬網路層級的自定義 DNS 伺服器，如變更 DNS 伺服器中所述。 您應該為裝載新域控制器和對等互連網路的虛擬網路套用此設定，其中其他 VM 必須解析 Active Directory 功能變數名稱。 如需詳細資訊，請參閱 Azure 虛擬網路中資源的名稱解析。

針對初始設定，您可能需要調整 Azure 中其中一個域控制器的 NIC，以指向內部部署作為主要 DNS 來源的域控制器。

在 DNS 伺服器清單中包含其 IP 位址可改善效能，並增加 DNS 伺服器的可用性。 不過，如果 DNS 伺服器也是域控制器，且只指向本身或指向本身，則可能會發生啟動延遲，以便進行名稱解析。

基於這個理由，當您在適配卡上設定回送位址時，如果伺服器也是域控制器，請小心謹慎。 您可能需要覆寫 Azure 中的 NIC DNS 設定，以指向裝載於 Azure 或主要 DNS 伺服器內部部署的另一個域控制器。 回送地址應該只設定為域控制器上的次要或第三部 DNS 伺服器。

Active Directory 站台

在AD DS中，月臺代表裝置的實體位置、網路或集合。 使用AD DS月臺來管理AD DS資料庫複寫，方法是將靠近彼此的AD DS物件分組，並透過高速網路連線。 AD DS 包含邏輯，可選取在月臺之間複寫 AD DS 資料庫的最佳策略。

建議您建立 AD DS 網站，包括為 Azure 中應用程式定義的子網。 然後，您可以設定內部部署 AD DS 網站之間的月臺連結。 AD DS 會自動執行最有效率的資料庫複寫。 此資料庫複寫不需要在初始設定之外執行太多工作。

Active Directory 作業主機

您可以將作業主要角色指派給 AD DS 域控制器，以便在復寫 AD DS 資料庫實例之間檢查時支援一致性。 這五個作業主要角色是架構主機、網域命名主機、相對標識符主機、主要域控制器主要模擬器和基礎結構主機。 如需詳細資訊，請參閱 規劃作業主要角色放置。

我們也建議您提供至少兩個新的 Azure 域控制器全域編錄 （GC） 角色。 如需詳細資訊，請參閱 規劃 GC 伺服器放置。

監視

監視域控制器 VM 和 AD DS 的資源，並建立計劃以快速更正任何問題。 如需詳細資訊，請參閱 監視 Active Directory。 您也可以在監視伺服器上安裝 Microsoft Systems Center 之類的工具，以協助執行這些工作。

考量

這些考量能實作 Azure Well-Architected Framework 的支柱，這是一組指導原則，可以用來改善工作負載的品質。 如需詳細資訊，請參閱 Well-Architected Framework。

可靠性

可靠性有助於確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊，請參閱可靠性的設計檢閱檢查清單。

將執行 AD DS 的 VM 部署到至少兩個 可用性區域。 如果區域中無法使用可用性區域，請使用 可用性設定組。 此外，請考慮根據需求，將 待命作業主機 的角色指派給至少一部或多部伺服器。 待命作業主機是作業主機的作用中複本，可在故障轉移期間取代主要作業主機的伺服器。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊，請參閱安全性的設計檢閱檢查清單。

AD DS 伺服器提供驗證服務，而且是攻擊的吸引力目標。 為了協助保護它們，請將AD DS 伺服器放在具有NSG作為防火牆的個別子網中，以防止直接因特網連線。 關閉 AD DS 伺服器上的所有埠，但驗證、授權和伺服器同步處理所需的埠除外。 如需詳細資訊，請參閱 設定 Active Directory 網域和信任的防火牆。

使用 BitLocker 或 Azure 磁碟加密來加密裝載 AD DS 資料庫的磁碟。

Azure DDoS 保護結合應用程式設計最佳做法，提供增強的 DDoS 風險降低功能，以協助抵禦 DDoS 攻擊。 您應該在任何周邊虛擬網路上啟用 DDoS 保護 。

成本優化

成本優化著重於減少不必要的費用，並提升營運效率的方式。 如需詳細資訊，請參閱成本最佳化的設計檢閱檢查清單。

使用 Azure 定價計算機來預估成本。 Well-Architected Framework 中的成本優化一節會說明其他考慮。

下列各節說明此架構所使用的服務成本考慮。

Microsoft Entra 網域服務

請考慮將 entra Domain Services Microsoft為多個工作負載所取用的共用服務，以降低成本。 如需詳細資訊，請參閱 Domain Services 定價。

VPN 閘道

VPN 閘道是此架構的主要元件。 系統會根據閘道布建和可用時間向您收費。

所有輸入流量都是免費的，而且所有輸出流量都會收費。 因特網頻寬成本會套用至 VPN 輸出流量。

如需詳細資訊，請參閱 VPN 閘道定價。

虛擬網絡

虛擬網絡 是免費的。 每個訂用帳戶最多可以跨所有區域建立 1,000 個虛擬網路。 虛擬網路界限內的所有流量都是免費的，因此相同虛擬網路中的兩部 VM 之間的通訊是免費的。

卓越營運

卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊，請參閱卓越營運的設計檢閱檢查清單。

• 使用基礎結構作為程式代碼作法來布建及設定網路和安全性基礎結構。 其中一個選項是 Azure Resource Manager 範本。

• 隔離工作負載，讓 DevOps 能夠執行持續整合和持續傳遞 （CI/CD），因為每個工作負載都會由其對應的 DevOps 小組相關聯及管理。

在此架構中，包含不同應用層、管理跳躍方塊和 Domain Services 的整個虛擬網路會識別為單一隔離工作負載。

您可以使用 VM 擴充功能和其他工具，例如 Desired State Configuration （DSC）在 VM 上設定 AD DS。

• 請考慮使用 Azure DevOps 或任何其他 CI/CD 解決方案將部署自動化。 Azure Pipelines 是 Azure DevOps Services 的建議元件。 它提供解決方案組建和部署的自動化，並高度整合至 Azure 生態系統。

• 使用 Azure 監視器 來分析基礎結構的效能。 您也可以使用它來監視和診斷網路問題，而不需要登入您的 VM。 Application Insights 提供豐富的計量和記錄，以驗證基礎結構的狀態。

如需詳細資訊，請參閱 Well-Architected Framework 中的DevOps一節。

管理能力

執行一般 AD DS 備份。 不只是複製域控制器的虛擬硬碟 （VHD） 檔案，因為複製 VHD 上的 AD DS 資料庫檔案可能不一致，因此無法重新啟動資料庫。

我們不建議您使用 Azure 入口網站關閉域控制器 VM。 相反地，關閉並重新啟動客體操作系統。 如果您使用 Azure 入口網站關閉網域控制器，它會導致 VM 解除分配，這會導致重新啟動域控制器 VM 時產生下列影響：

• 它會重 VM-GenerationID 設 Active Directory 存放庫的 與 invocationID 。
• 它會捨棄目前的 Active Directory 相對識別碼 （RID） 集區。
• 它會將 sysvol 資料夾標示為非授權。

第一個問題相對良性。 重複重設會導致 invocationID 復寫期間的額外頻寬使用量稍微增加，但此使用方式並不重要。

第二個問題可能會導致網域中的 RID 集區耗盡，特別是當 RID 集區大小設定為大於預設值時。 如果網域存在很長一段時間，或用於需要重複建立和刪除帳戶的工作流程，它可能已經接近 RID 集區耗盡。 監視 RID 集區耗盡警告事件的網域是很好的作法。 如需詳細資訊，請參閱 管理 RID 發行。

只要 Azure 中的域控制器 VM 重新啟動，第三個問題就比較良性。 如果網域中的所有域控制器都在 Azure 中執行，而且它們全都會同時關閉並解除分配，則當您重新啟動網域時，每個域控制器都找不到授權複本。 修正此條件需要手動介入。 如需詳細資訊，請參閱 強制進行 DFSR 複寫 sysvol 複寫的授權和非授權同步處理。

效能效率

效能效率是指工作負載能夠有效率地調整以符合使用者需求。 有關詳細資訊，請參閱效能效率的設計審核清單。

AD DS 是專為延展性所設計。 您不需要設定負載平衡器或流量控制器，即可將要求導向 AD DS 域控制器。 唯一的延展性考慮是針對網路負載需求設定執行 AD DS 的 VM、監視 VM 上的負載，並視需要相應增加或減少。

下一步

• 什麼是 Microsoft Entra 識別碼？
• Azure DevOps
• Azure Pipelines
• Azure 監視器
• 設定 Active Directory 網域和信任的防火牆
• DSC 概觀
• 使用 PowerShell 設定 ExpressRoute 和站對站並存連線

相關資源

• 在 Azure 中建立 AD DS 資源樹系
• 將內部部署 AD FS 延伸至 Azure

此架構示範如何將 內部部署的 Active Directory 網域延伸至 Azure，以提供分散式驗證服務。

架構

此圖表包含兩個區段，這些區段標示為內部部署網路和虛擬網路。 內部部署網路區段會顯示閘道，其具有從 Active Directory 伺服器到虛擬網路區段中閘道子網的雙向連線。 箭號會從該閘道指向代表應用程式子網的方塊。 此方塊包含代表網路安全組 （NSG） 的圖示，以及另一個連線到兩部虛擬機 （VM） 的閘道。 箭號，表示從 VM 到標示為 AD DS 子網的方塊的驗證要求點。 此方塊包含代表 NSG 和兩部 AD DS 伺服器的群組的圖示。 在 [內部部署網路] 區段中，從圖示標示為公用IP點的箭號，代表虛擬網路區段中的因特網到VM。 此 VM 位於標示為管理子網的方塊內。 此方塊也包含 NSG 和跳躍方塊。 代表 Azure DDoS 保護的虛線會圍繞虛擬網路區段。

下載此架構的 Visio 檔案。

此架構會 使用 VPN 閘道將內部部署網路連線至 Azure 中所示的混合式網路架構延伸。

Workflow

下列工作流程對應至上圖：

• 內部部署網路： 內部部署網路包含本機 Active Directory 伺服器，可針對位於內部部署的元件執行驗證和授權。

• Active Directory 伺服器： 這些伺服器是實作在雲端中以虛擬機（VM） 身分執行的目錄服務的域控制器。 他們可以提供在 Azure 虛擬網路中執行的元件驗證。

• Active Directory 子網： Active Directory Domain Services （AD DS） 伺服器裝載於不同的子網中。 網路安全組 （NSG） 規則可協助保護 AD DS 伺服器，並提供防火牆以防止來自非預期來源的流量。

• Azure VPN 閘道和 Active Directory 同步處理： VPN 閘道提供內部部署網路與 Azure 虛擬網路之間的連線。 此連線可以是 VPN 連線 或透過 Azure ExpressRoute。 雲端中的 Active Directory 伺服器與內部部署之間的所有同步處理要求都會通過閘道。 用戶定義的路由會處理傳遞至 Azure 的內部部署流量路由。

元件

• Microsoft Entra ID 是一項企業身分識別服務，可提供單一登錄、多重要素驗證，以及Microsoft Entra 條件式存取。 在此架構中，Microsoft Entra ID 提供更安全的雲端應用程式和服務存取。

• VPN 閘道 是一項服務，使用虛擬網路閘道透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量。 在此架構中，VPN 閘道可讓 Active Directory 同步處理流量在環境之間更安全地流動。

• ExpressRoute 是一項服務，可用來透過連線提供者的協助，透過私人連線將內部部署網路延伸至Microsoft雲端。 在此架構中，ExpressRoute 是 VPN 連線的替代方案，適用於需要較高頻寬和較低延遲的案例。

• 虛擬網絡 是 Azure 上專用網的基本建置組塊。 您可以使用它來啟用 Azure 資源，例如 VM，彼此通訊、因特網和內部部署網路。 在此架構中，虛擬網路支援網域複寫和驗證。

案例詳細資料

如果您的應用程式部分裝載於內部部署，部分裝載在 Azure 中，則復寫 Azure 中的 AD DS 可能會更有效率。 此復寫可以減少從雲端將驗證要求傳送回內部部署的 AD DS 實例所造成的延遲。

潛在使用案例

VPN 或 ExpressRoute 連線連線內部部署和 Azure 虛擬網路時，通常會使用此架構。 此架構也支援雙向複寫，這表示可以進行內部部署或雲端中的變更，而且這兩個來源都會保持一致。 此架構的一般用途包括混合式應用程式，其中功能會在內部部署與 Azure 之間散發，以及使用 Active Directory 執行驗證的應用程式和服務。

建議

您可以將以下建議應用於大多數場景。 除非您有覆寫建議的特定需求，否則請遵循這些建議。

VM 建議

根據預期的驗證要求量來判斷您的 VM 大小 需求。 使用裝載 AD DS 內部部署的電腦規格作為起點，並將其與 Azure VM 大小比對。 部署應用程式之後，請根據 VM 上的實際負載來監視使用量並相應增加或相應減少。 如需詳細資訊，請參閱 AD DS的容量規劃。

建立個別的虛擬磁碟，以儲存 Active Directory 的資料庫、記錄和系統磁碟區 （sysvol） 資料夾。 請勿將這些項目儲存在與操作系統相同的磁碟上。 根據預設，數據磁碟會使用寫入快取連結至 VM。 不過，這種快取形式可能會與 AD DS 的需求衝突。 基於這個理由，請將數據磁碟上的 [主機快取喜好設定] 設定設為 [無]。

部署至少兩個以域控制器身分執行 AD DS 的 VM，並將其新增至不同的 可用性區域。 如果區域中無法使用可用性區域，請在 可用性設定組中部署 VM。

網路功能的建議

針對每個具有靜態私人IP位址的域控制器設定VM網路介面 （NIC），而不是使用動態主機設定通訊協定 （DHCP）。 藉由將靜態 IP 位址直接指派給 VM，即使 DHCP 服務無法使用，用戶端仍可繼續連絡域控制器。 如需詳細資訊，請參閱 建立使用靜態私人IP位址的VM。

注意

請勿使用公用IP位址設定任何AD DS的VM NIC。 如需詳細資訊，請參閱 安全性考慮。

Active Directory 子網 NSG 需要規則，以允許來自內部部署的連入流量和連出流量到內部部署。 如需詳細資訊，請參閱 設定 Active Directory 網域和信任的防火牆。

如果新的域控制器 VM 也有功能變數名稱系統 （DNS） 伺服器的角色，建議您將它們設定為虛擬網路層級的自定義 DNS 伺服器，如變更 DNS 伺服器中所述。 您應該為裝載新域控制器和對等互連網路的虛擬網路套用此設定，其中其他 VM 必須解析 Active Directory 功能變數名稱。 如需詳細資訊，請參閱 Azure 虛擬網路中資源的名稱解析。

針對初始設定，您可能需要調整 Azure 中其中一個域控制器的 NIC，以指向內部部署作為主要 DNS 來源的域控制器。

在 DNS 伺服器清單中包含其 IP 位址可改善效能，並增加 DNS 伺服器的可用性。 不過，如果 DNS 伺服器也是域控制器，且只指向本身或指向本身，則可能會發生啟動延遲，以便進行名稱解析。

基於這個理由，當您在適配卡上設定回送位址時，如果伺服器也是域控制器，請小心謹慎。 您可能需要覆寫 Azure 中的 NIC DNS 設定，以指向裝載於 Azure 或主要 DNS 伺服器內部部署的另一個域控制器。 回送地址應該只設定為域控制器上的次要或第三部 DNS 伺服器。

Active Directory 站台

在AD DS中，月臺代表裝置的實體位置、網路或集合。 使用AD DS月臺來管理AD DS資料庫複寫，方法是將靠近彼此的AD DS物件分組，並透過高速網路連線。 AD DS 包含邏輯，可選取在月臺之間複寫 AD DS 資料庫的最佳策略。

建議您建立 AD DS 網站，包括為 Azure 中應用程式定義的子網。 然後，您可以設定內部部署 AD DS 網站之間的月臺連結。 AD DS 會自動執行最有效率的資料庫複寫。 此資料庫複寫不需要在初始設定之外執行太多工作。

Active Directory 作業主機

您可以將作業主要角色指派給 AD DS 域控制器，以便在復寫 AD DS 資料庫實例之間檢查時支援一致性。 這五個作業主要角色是架構主機、網域命名主機、相對標識符主機、主要域控制器主要模擬器和基礎結構主機。 如需詳細資訊，請參閱 規劃作業主要角色放置。

我們也建議您提供至少兩個新的 Azure 域控制器全域編錄 （GC） 角色。 如需詳細資訊，請參閱 規劃 GC 伺服器放置。

監視

監視域控制器 VM 和 AD DS 的資源，並建立計劃以快速更正任何問題。 如需詳細資訊，請參閱 監視 Active Directory。 您也可以在監視伺服器上安裝 Microsoft Systems Center 之類的工具，以協助執行這些工作。

考量

這些考量能實作 Azure Well-Architected Framework 的支柱，這是一組指導原則，可以用來改善工作負載的品質。 如需詳細資訊，請參閱 Well-Architected Framework。

可靠性

可靠性有助於確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊，請參閱可靠性的設計檢閱檢查清單。

將執行 AD DS 的 VM 部署到至少兩個 可用性區域。 如果區域中無法使用可用性區域，請使用 可用性設定組。 此外，請考慮根據需求，將 待命作業主機 的角色指派給至少一部或多部伺服器。 待命作業主機是作業主機的作用中複本，可在故障轉移期間取代主要作業主機的伺服器。

安全性

安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊，請參閱安全性的設計檢閱檢查清單。

AD DS 伺服器提供驗證服務，而且是攻擊的吸引力目標。 為了協助保護它們，請將AD DS 伺服器放在具有NSG作為防火牆的個別子網中，以防止直接因特網連線。 關閉 AD DS 伺服器上的所有埠，但驗證、授權和伺服器同步處理所需的埠除外。 如需詳細資訊，請參閱 設定 Active Directory 網域和信任的防火牆。

使用 BitLocker 或 Azure 磁碟加密來加密裝載 AD DS 資料庫的磁碟。

Azure DDoS 保護結合應用程式設計最佳做法，提供增強的 DDoS 風險降低功能，以協助抵禦 DDoS 攻擊。 您應該在任何周邊虛擬網路上啟用 DDoS 保護 。

成本優化

成本優化著重於減少不必要的費用，並提升營運效率的方式。 如需詳細資訊，請參閱成本最佳化的設計檢閱檢查清單。

使用 Azure 定價計算機來預估成本。 Well-Architected Framework 中的成本優化一節會說明其他考慮。

下列各節說明此架構所使用的服務成本考慮。

Microsoft Entra 網域服務

請考慮將 entra Domain Services Microsoft為多個工作負載所取用的共用服務，以降低成本。 如需詳細資訊，請參閱 Domain Services 定價。

VPN 閘道

VPN 閘道是此架構的主要元件。 系統會根據閘道布建和可用時間向您收費。

所有輸入流量都是免費的，而且所有輸出流量都會收費。 因特網頻寬成本會套用至 VPN 輸出流量。

如需詳細資訊，請參閱 VPN 閘道定價。

虛擬網絡

虛擬網絡 是免費的。 每個訂用帳戶最多可以跨所有區域建立 1,000 個虛擬網路。 虛擬網路界限內的所有流量都是免費的，因此相同虛擬網路中的兩部 VM 之間的通訊是免費的。

卓越營運

卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊，請參閱卓越營運的設計檢閱檢查清單。

• 使用基礎結構作為程式代碼作法來布建及設定網路和安全性基礎結構。 其中一個選項是 Azure Resource Manager 範本。

• 隔離工作負載，讓 DevOps 能夠執行持續整合和持續傳遞 （CI/CD），因為每個工作負載都會由其對應的 DevOps 小組相關聯及管理。

在此架構中，包含不同應用層、管理跳躍方塊和 Domain Services 的整個虛擬網路會識別為單一隔離工作負載。

您可以使用 VM 擴充功能和其他工具，例如 Desired State Configuration （DSC）在 VM 上設定 AD DS。

• 請考慮使用 Azure DevOps 或任何其他 CI/CD 解決方案將部署自動化。 Azure Pipelines 是 Azure DevOps Services 的建議元件。 它提供解決方案組建和部署的自動化，並高度整合至 Azure 生態系統。

• 使用 Azure 監視器 來分析基礎結構的效能。 您也可以使用它來監視和診斷網路問題，而不需要登入您的 VM。 Application Insights 提供豐富的計量和記錄，以驗證基礎結構的狀態。

如需詳細資訊，請參閱 Well-Architected Framework 中的DevOps一節。

管理能力

執行一般 AD DS 備份。 不只是複製域控制器的虛擬硬碟 （VHD） 檔案，因為複製 VHD 上的 AD DS 資料庫檔案可能不一致，因此無法重新啟動資料庫。

我們不建議您使用 Azure 入口網站關閉域控制器 VM。 相反地，關閉並重新啟動客體操作系統。 如果您使用 Azure 入口網站關閉網域控制器，它會導致 VM 解除分配，這會導致重新啟動域控制器 VM 時產生下列影響：

• 它會重 VM-GenerationID 設 Active Directory 存放庫的 與 invocationID 。
• 它會捨棄目前的 Active Directory 相對識別碼 （RID） 集區。
• 它會將 sysvol 資料夾標示為非授權。

第一個問題相對良性。 重複重設會導致 invocationID 復寫期間的額外頻寬使用量稍微增加，但此使用方式並不重要。

第二個問題可能會導致網域中的 RID 集區耗盡，特別是當 RID 集區大小設定為大於預設值時。 如果網域存在很長一段時間，或用於需要重複建立和刪除帳戶的工作流程，它可能已經接近 RID 集區耗盡。 監視 RID 集區耗盡警告事件的網域是很好的作法。 如需詳細資訊，請參閱 管理 RID 發行。

只要 Azure 中的域控制器 VM 重新啟動，第三個問題就比較良性。 如果網域中的所有域控制器都在 Azure 中執行，而且它們全都會同時關閉並解除分配，則當您重新啟動網域時，每個域控制器都找不到授權複本。 修正此條件需要手動介入。 如需詳細資訊，請參閱 強制進行 DFSR 複寫 sysvol 複寫的授權和非授權同步處理。

效能效率

效能效率是指工作負載能夠有效率地調整以符合使用者需求。 有關詳細資訊，請參閱效能效率的設計審核清單。

AD DS 是專為延展性所設計。 您不需要設定負載平衡器或流量控制器，即可將要求導向 AD DS 域控制器。 唯一的延展性考慮是針對網路負載需求設定執行 AD DS 的 VM、監視 VM 上的負載，並視需要相應增加或減少。

下一步

• 什麼是 Microsoft Entra 識別碼？
• Azure DevOps
• Azure Pipelines
• Azure 監視器
• 設定 Active Directory 網域和信任的防火牆
• DSC 概觀
• 使用 PowerShell 設定 ExpressRoute 和站對站並存連線

相關資源

• 在 Azure 中建立 AD DS 資源樹系
• 將內部部署 AD FS 延伸至 Azure