在 Azure 虛擬網路中部署 AD DS

Microsoft Entra
Azure 虛擬網路

此架構示範如何將 內部部署的 Active Directory 網域延伸至 Azure,以提供分散式驗證服務。

架構

Diagram that shows a secure hybrid network architecture with Active Directory.

下載此架構的 Visio 檔案

此架構會使用 VPN 閘道,將 連線 內部部署網路中顯示的混合式網路架構延伸至 Azure。

工作流程

  • 內部部署網路。 內部部署網路包含本機 Active Directory 伺服器,可針對位於內部部署的元件執行驗證和授權。
  • Active Directory 伺服器。 這些伺服器是實作在雲端中作為 VM 執行的目錄服務 (AD DS) 的域控制器。 他們可以提供在 Azure 虛擬網路中執行的元件驗證。
  • Active Directory 子網。 Active Directory 網域服務 (AD DS) 伺服器裝載於不同的子網中。 網路安全組 (NSG) 規則會保護 AD DS 伺服器,並提供防火牆以防止來自非預期來源的流量。
  • Azure VPN 閘道 和 Active Directory 同步處理。 VPN 閘道 提供內部部署網路與 Azure 虛擬網絡 之間的連線。 此連線可以是 VPN 連線 或透過 Azure ExpressRoute。 雲端中的 Active Directory 伺服器與內部部署之間的所有同步處理要求都會通過閘道。 使用者定義的路由 (UDR) 會處理傳遞至 Azure 的內部部署流量路由。

元件

  • Microsoft Entra ID 是企業身分識別服務,可提供單一登錄、多重要素驗證和條件式存取。
  • VPN 閘道 是一項服務,使用虛擬網路閘道透過公用因特網在 Azure 虛擬網路與內部部署位置之間傳送加密流量。
  • ExpressRoute 可讓您透過私人連線,透過連線提供者的協助,將內部部署網路延伸至 Microsoft 雲端。
  • 虛擬網絡 是 Azure 上專用網的基本建置組塊。 您可以使用它來啟用 Azure 資源,例如虛擬機,以彼此通訊、因特網和內部部署網路。

案例詳細資料

如果您的應用程式部分裝載於內部部署,部分裝載在 Azure 中,則復寫 Azure 中的 AD DS 可能會更有效率。 此複寫可以減少從雲端將驗證要求傳送回內部部署執行的 AD DS 所造成的延遲。

如需詳細資訊,請參閱選擇整合 內部部署的 Active Directory 與 Azure 的解決方案。

潛在的使用案例

VPN 或 ExpressRoute 連線連線內部部署和 Azure 虛擬網路時,通常會使用此架構。 此架構也支援雙向複寫,這表示可以在內部部署或雲端進行變更,而且這兩個來源都會保持一致。 此架構的一般用途包括混合式應用程式,其中功能會在內部部署與 Azure 之間散發,以及使用 Active Directory 執行驗證的應用程式和服務。

建議

下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

VM 建議

根據預期的驗證要求量來判斷您的 VM 大小 需求。 使用裝載 AD DS 內部部署的電腦規格作為起點,並將其與 Azure VM 大小比對。 部署之後,請根據 VM 的實際負載來監視使用率並相應增加或相應減少。 如需調整 AD DS 域控制器大小的詳細資訊,請參閱 Active Directory 網域服務 的容量規劃。

建立個別的虛擬磁碟,以儲存 Active Directory 的資料庫、記錄和 sysvol 資料夾。 請勿將這些項目儲存在與操作系統相同的磁碟上。 根據預設,數據磁碟會使用寫入快取連結至 VM。 不過,這種快取形式可能會與 AD DS 的需求衝突。 基於這個理由,請將數據磁碟上的 [主機快取喜好設定] 設定設為 []。

將至少兩部執行 AD DS 的 VM 部署為域控制器,並將其新增至不同的 可用性區域。 如果區域中無法使用,請在 可用性設定組中部署。

網路功能的建議

針對每個 AD DS 伺服器設定 VM 網路介面 (NIC),並針對完整域名服務 (DNS) 支援設定靜態私人 IP 位址。 如需詳細資訊,請參閱如何在 Azure 入口網站 中設定靜態私人IP位址。

注意

請勿為具有公用IP位址的任何AD DS 設定VM NIC。 如需詳細資訊,請參閱 安全性考慮

Active Directory 子網 NSG 需要規則,以允許來自內部部署的連入流量和連出流量到內部部署。 如需 AD DS 所使用埠的詳細資訊,請參閱 Active Directory 和 Active Directory 網域服務 埠需求

如果新的域控制器 VM 也有 DNS 伺服器的角色,建議您將它們設定為虛擬網路層級的自定義 DNS 伺服器,如變更 DNS 伺服器中所述。 這應該針對裝載新域控制器的虛擬網路和對等互連網路來完成,其中其他 VM 必須解析 Active Directory 功能變數名稱。 如需設定混合式 DNS 名稱解析的詳細資訊,請參閱 Azure 虛擬網路中資源的名稱解析。

針對初始設定,您可能需要調整 Azure 中其中一個域控制器的網路介面,以指向內部部署作為主要 DNS 來源的域控制器。

在 DNS 伺服器清單中包含其 IP 位址可改善效能,並增加 DNS 伺服器的可用性。 不過,如果 DNS 伺服器也是域控制器,且只指向本身或指向本身,則啟動延遲可能會導致名稱解析。 基於這個理由,如果伺服器也是域控制器,請在適配卡上設定回送位址時,請小心謹慎。

這可能表示覆寫 Azure 中的網路介面 DNS 設定,以指向裝載於 Azure 或主要 DNS 伺服器內部部署的另一個域控制器。 回送地址應該只設定為域控制器上的次要或第三部 DNS 伺服器。

Active Directory 站台

在AD DS中,月臺代表裝置的實體位置、網路或集合。 AD DS 月臺可用來管理 AD DS 資料庫複寫,方法是將靠近彼此的 AD DS 物件分組,並透過高速網路連線。 AD DS 包含邏輯,可選取在月臺之間複寫 AD DS 資料庫的最佳策略。

建議您建立 AD DS 網站,包括為 Azure 中應用程式定義的子網。 然後,您可以在內部部署 AD DS 網站之間設定月臺連結,而 AD DS 會自動執行最有效率的資料庫複寫。 此資料庫復寫只需要比初始設定還少。

Active Directory 作業主機

作業主要角色可以指派給AD DS域控制器,以支持複寫AD DS資料庫實例之間的一致性檢查。 有五個作業主機角色(FSMO):架構主機、網域命名主機、相對標識符主機、主要域控制器主要模擬器和基礎結構主機。 如需這些角色的詳細資訊,請參閱 規劃作業主要角色放置。 也建議至少提供兩個新的 Azure DC 全域編錄 (GC) 角色。 如需有關 GC 放置的詳細資訊,請參閱 這裡

監視

監視域控制器 VM 和 AD DS 服務的資源,並建立計劃以快速更正任何問題。 如需詳細資訊,請參閱 監視 Active Directory。 您也可以在監視伺服器上安裝 Microsoft Systems Center 之類的工具(請參閱架構圖表),以協助執行這些工作。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

可靠性

可靠性可確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱 可靠性要素概觀。

將執行 AD DS 的 VM 部署到至少兩 個可用性區域。 如果區域中無法使用可用性區域,請使用 可用性設定組。 此外,請考慮根據需求,將待命作業主機的角色指派給至少一部伺服器,而且可能更多。 待命作業主機是作業主機的作用中複本,可在故障轉移期間取代主要作業主機的伺服器。

安全性

安全性可確保防範蓄意攻擊,以及濫用寶貴的數據和系統。 如需詳細資訊,請參閱 安全性要素概觀。

AD DS 伺服器提供驗證服務,而且是攻擊的吸引力目標。 若要保護它們,請將AD DS 伺服器放在具有NSG作為防火牆的個別子網中,以防止直接因特網連線。 關閉 AD DS 伺服器上的所有埠,但驗證、授權和伺服器同步處理所需的埠除外。 如需詳細資訊,請參閱 Active Directory 和 Active Directory 網域服務 埠需求

使用 BitLocker 或 Azure 磁碟加密來加密裝載 AD DS 資料庫的磁碟。

Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護

卓越營運

卓越營運涵蓋部署及讓應用程式在生產環境中執行的操作程式。 如需詳細資訊,請參閱 營運卓越支柱概觀。

  • 使用基礎結構即程序代碼 (IaC) 練習來布建及設定網路和安全性基礎結構。 其中一個選項是 Azure Resource Manager 範本

  • 隔離工作負載,讓 DevOps 能夠執行持續整合和持續傳遞 (CI/CD),因為每個工作負載都會由其對應的 DevOps 小組相關聯及管理。

在此架構中,包含不同應用層、管理跳板和 Microsoft Entra Domain Services 的整個虛擬網路會識別為單一隔離工作負載。

虛擬機是使用虛擬機擴充功能和其他工具來設定,例如 Desired 狀態設定 (DSC),用來在虛擬機上設定 AD DS。

  • 請考慮使用 Azure DevOps 或任何其他 CI/CD 解決方案將部署自動化。 Azure Pipelines 是 Azure DevOps Services 的建議元件,可將解決方案建置和部署自動化,並高度整合到 Azure 生態系統中。

  • 使用 Azure 監視器 來分析基礎結構的效能。 它也可讓您監視和診斷網路問題,而不需要登入虛擬機。 Application Insights 提供豐富的計量和記錄,以驗證基礎結構的狀態。

如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework 中的 DevOps 一節。

管理能力

執行一般 AD DS 備份。 請勿複製域控制器的 VHD 檔案,而不是執行一般備份,因為複製 VHD 上的 AD DS 資料庫檔案可能不一致,因此無法重新啟動資料庫。

我們不建議您使用 Azure 入口網站 關閉域控制器 VM。 相反地,關閉並重新啟動客體操作系統。 透過 Azure 入口網站 關閉會導致 VM 解除分配,這會導致域控制器 VM 重新啟動時產生下列影響:

  1. VM-GenerationID設 Active Directory 存放庫的 和invocationID
  2. 捨棄目前的Active Directory相對識別碼 (RID) 集區
  3. 將 sysvol 資料夾標示為非授權

第一個問題相對良性。 重複重設 invocationID 會導致復寫期間使用輕微的額外頻寬,但這通常並不重要。

第二個問題會導致網域中的 RID 集區耗盡,特別是當 RID 集區大小已設定為大於預設值時。 請考慮,如果網域已經存在很長一段時間,或用於需要重複建立和刪除帳戶的工作流程,網域可能已經接近 RID 集區耗盡。 監視 RID 集區耗盡警告事件的網域是很好的作法 – 請參閱 管理 RID 發行 一文。

只要在 Azure 中的域控制器 VM 重新啟動時,授權域控制器可用,第三個問題就相對良性。 如果網域中的所有域控制器都在 Azure 中執行,而且它們都會同時關閉並解除分配,請在重新啟動時,每個域控制器都找不到授權複本。 修正此條件需要手動介入 – 請參閱 如何強制進行 DFSR 複寫 sysvol 複寫的授權和非權威同步處理一文。

效能效益

效能效率是您工作負載調整的能力,以符合使用者有效率地對它的需求。 如需詳細資訊,請參閱 效能效率要素概觀

AD DS 是專為延展性所設計。 您不需要設定負載平衡器或流量控制器,即可將要求導向 AD DS 域控制器。 唯一的延展性考慮是針對網路負載需求設定執行 AD DS 的 VM、監視 VM 上的負載,以及視需要相應增加或減少。

成本最佳化

成本優化是減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素概觀。

使用 Azure 定價計算機來預估成本。 Microsoft Azure 架構良好架構中的成本一節會說明其他考慮。

以下是此架構中使用的服務成本考慮。

AD 網域服務

請考慮將 Active Directory 網域服務 作為多個工作負載所耗用的共享服務,以降低成本。 如需詳細資訊,請參閱 Active Directory 網域服務 定價

VPN 閘道

此架構的主要元件是 VPN 閘道服務。 系統會根據閘道布建和可用時間向您收費。

所有輸入流量都是免費的,而且所有輸出流量都會收費。 因特網頻寬成本會套用至 VPN 輸出流量。

如需詳細資訊,請參閱 VPN 閘道 定價

虛擬網路

虛擬網絡 是免費的。 每個訂用帳戶可跨所有區域建立最多 50 個虛擬網路。 虛擬網路界限內的所有流量都是免費的,因此相同虛擬網路中的兩部 VM 之間的通訊是免費的。

下一步