Creati o padure de resurse AD DS in Azure – Arhitecturi de referinta Azure

Aceasta arhitectura de referinta arata cum sa creati un domeniu Active Directory separat in Azure care este de incredere de domeniile din padurea AD locala.

Descarcati un fisier Visio al acestei arhitecturi.

Active Directory Domain Services (AD DS) stocheaza informatii de identitate intr-o structura ierarhica. Nodul superior din structura ierarhica este cunoscut sub numele de padure. O padure contine domenii, iar domeniile contin alte tipuri de obiecte. Aceasta arhitectura de referinta creeaza o padure AD DS in Azure cu o relatie de incredere de iesire unidirectionala cu un domeniu local. Padurea din Azure contine un domeniu care nu exista local. Datorita relatiei de incredere, conectarile facute impotriva domeniilor locale pot fi de incredere pentru accesul la resurse din domeniul Azure separat.

Utilizarile tipice pentru aceasta arhitectura includ mentinerea separarii de securitate pentru obiectele si identitatile detinute in cloud si migrarea domeniilor individuale de la local la cloud.

Pentru consideratii suplimentare, consultati Alegerea unei solutii pentru integrarea Active Directory locala cu Azure.

Arhitectura

Arhitectura are urmatoarele componente.

• Retea locala . Reteaua locala contine propriile paduri si domenii Active Directory.
• Servere Active Directory . Acestea sunt controlere de domeniu care implementeaza servicii de domeniu care ruleaza ca VM-uri in cloud. Aceste servere gazduiesc o padure care contine unul sau mai multe domenii, separate de cele situate la fata locului.
• Relatia de incredere intr-un singur sens . Exemplul din diagrama arata o incredere unidirectionala de la domeniul din Azure la domeniul local. Aceasta relatie permite utilizatorilor locali sa acceseze resursele din domeniul din Azure, dar nu invers.
• Subretea Active Directory . Serverele AD DS sunt gazduite intr-o subretea separata. Regulile grupului de securitate a retelei (NSG) protejeaza serverele AD DS si ofera un paravan de protectie impotriva traficului din surse neasteptate.
• Azure gateway . Gateway-ul Azure ofera o conexiune intre reteaua locala si reteaua virtuala Azure. Aceasta poate fi o conexiune VPN sau Azure ExpressRoute. Pentru mai multe informatii, consultati Conectarea unei retele locale la Azure utilizand un gateway VPN.

Recomandari

Pentru recomandari specifice privind implementarea Active Directory in Azure, consultati Extinderea serviciilor de domeniu Active Directory (AD DS) la Azure.

Incredere

Domeniile locale sunt continute intr-o padure diferita de domeniile din cloud. Pentru a permite autentificarea utilizatorilor locali in cloud, domeniile din Azure trebuie sa aiba incredere in domeniul de conectare din padurea locala. In mod similar, daca norul ofera un domeniu de conectare pentru utilizatorii externi, poate fi necesar ca padurea locala sa aiba incredere in domeniul cloud.

Puteti stabili trusturi la nivel de padure prin crearea de trusturi de padure sau la nivel de domeniu prin crearea de trusturi externe. O incredere la nivel de padure creeaza o relatie intre toate domeniile din doua paduri. O incredere la nivel de domeniu extern creeaza doar o relatie intre doua domenii specificate. Ar trebui sa creati trusturi la nivel de domeniu extern numai intre domenii din diferite paduri.

Trusturile cu un Active Directory local sunt doar unidirectionale (unidirectionale). Un trust unidirectional permite utilizatorilor dintr-un domeniu sau padure (cunoscut sub numele de domeniu sau padure de intrare ) sa acceseze resursele detinute in altul ( domeniul de iesire sau padure).

Urmatorul tabel rezuma configuratiile de incredere pentru unele scenarii simple:

Scenariu Incredere locala Incredere in cloud Utilizatorii locali necesita acces la resursele din cloud, dar nu si invers Versiunea unica, primita Unidirectionala, de iesire Utilizatorii din cloud necesita acces la resursele localizate, dar nu si invers Unidirectional, de iesire Unidirectional, de intrare

Consideratii de scalabilitate

Active Directory este scalabil automat pentru controlerele de domeniu care fac parte din acelasi domeniu. Solicitarile sunt distribuite in toate controlerele dintr-un domeniu. Puteti adauga un alt controler de domeniu si acesta se sincronizeaza automat cu domeniul. Nu configurati un echilibru de incarcare separat pentru a directiona traficul catre controlorii din domeniu. Asigurati-va ca toate controlerele de domeniu au suficiente resurse de memorie si stocare pentru a gestiona baza de date a domeniului. Faceti ca toate masinile virtuale de controler de domeniu sa aiba aceeasi dimensiune.

Consideratii privind disponibilitatea

Furnizati cel putin doua controlere de domeniu pentru fiecare domeniu. Aceasta permite replicarea automata intre servere. Creati un set de disponibilitate pentru VM-urile care actioneaza ca servere Active Directory care gestioneaza fiecare domeniu. Puneti cel putin doua servere in acest set de disponibilitate.

De asemenea, luati in considerare desemnarea unuia sau mai multor servere in fiecare domeniu ca master de operatiuni de asteptare, in cazul in care conectivitatea la un server care actioneaza ca un rol flexibil de operatie master unic (FSMO) esueaza.

Consideratii de gestionare

Pentru informatii despre consideratii de gestionare si monitorizare, consultati Extinderea Active Directory la Azure.

Pentru informatii suplimentare, consultati Monitorizarea Active Directory. Puteti instala instrumente precum Microsoft Systems Center pe un server de monitorizare din subreteaua de administrare pentru a va ajuta sa efectuati aceste sarcini.

Consideratii de securitate

Trusturile la nivel forestier sunt tranzitive. Daca stabiliti o incredere la nivel de padure intre o padure locala si o padure din cloud, aceasta incredere se extinde la alte domenii noi create in ambele paduri. Daca utilizati domenii pentru a asigura separarea din motive de securitate, luati in considerare crearea de trusturi numai la nivel de domeniu. Trusturile la nivel de domeniu nu sunt tranzitive.

Pentru consideratii de securitate specifice Active Directory, consultati sectiunea Consideratii de securitate din Extinderea Active Directory la Azure.

Consideratii DevOps

Pentru consideratii DevOps, consultati DevOps: Extinderea serviciilor de domeniu Active Directory (AD DS) la Azure.

Consideratii privind costurile

Utilizati calculatorul de preturi Azure pentru a estima costurile. Alte consideratii sunt descrise in sectiunea Cost din Microsoft Azure Well-Architected Framework.

Iata consideratii de cost pentru serviciile utilizate in aceasta arhitectura.

Servicii de domeniu AD

Luati in considerare serviciile de domeniu Active Directory ca serviciu partajat care este consumat de mai multe sarcini de lucru pentru a reduce costurile. Pentru mai multe informatii, consultati Tarifarea serviciilor de domeniu Active Directory.

Azure VPN Gateway

Componenta principala a acestei arhitecturi este serviciul de gateway VPN. Veti fi taxat in functie de perioada de timp in care gateway-ul este furnizat si disponibil.

Tot traficul de intrare este gratuit, tot traficul de iesire este taxat. Costurile latimii de banda de internet sunt aplicate traficului de iesire VPN.

Pentru mai multe informatii, consultati Preturile VPN Gateway.

Pasii urmatori

• Aflati cele mai bune practici pentru extinderea domeniului AD DS local la Azure
• Aflati cele mai bune practici pentru crearea unei infrastructuri AD FS in Azure.