Tato referenční architektura ukazuje, jak vytvořit samostatnou doménu Active Directory v Azure, která je důvěryhodná doménami ve vaší místní doménové struktuře AD.
Stáhněte si soubor Visia pro architekturu doménové struktury SLUŽBY AD DS.
Služba Active Directory Domain Services (AD DS) ukládá informace o identitě v hierarchické struktuře. Horní uzel v hierarchické struktuře se označuje jako doménová struktura. Doménová struktura obsahuje domény a domény obsahují jiné typy objektů. Tato referenční architektura vytvoří v Azure doménovou strukturu AD DS s jednosměrným vztahem důvěryhodnosti odchozí pošty s místní doménou. Doménová struktura v Azure obsahuje doménu, která neexistuje místně. Vzhledem k vztahu důvěryhodnosti je možné pro přístup k prostředkům v samostatné doméně Azure důvěřovat přihlášení k místním doménám.
Typická použití této architektury zahrnuje zachování oddělení zabezpečení pro objekty a identity uchovávané v cloudu a migraci jednotlivých domén z místního prostředí do cloudu.
Další důležité informace najdete v tématu Volba řešení pro integraci místní služby Active Directory s Azure.
Architektura
Architektura má následující komponenty.
- místní síť. Místní síť obsahuje vlastní doménovou strukturu a domény služby Active Directory.
- servery služby Active Directory. Jedná se o řadiče domény, které implementují doménové služby spuštěné jako virtuální počítače v cloudu. Tyto servery hostují doménovou strukturu obsahující jednu nebo více domén oddělených od místních domén.
- jednosměrný vztah důvěryhodnosti. Příklad v diagramu znázorňuje jednosměrný vztah důvěryhodnosti z domény v Azure do místní domény. Tento vztah umožňuje místním uživatelům přístup k prostředkům v doméně v Azure, ale ne naopak.
- podsíť služby Active Directory. Servery SLUŽBY AD DS jsou hostované v samostatné podsíti. Pravidla skupiny zabezpečení sítě (NSG) chrání servery služby AD DS a poskytují bránu firewall proti provozu z neočekávaných zdrojů.
- azure gateway. Brána Azure poskytuje připojení mezi místní sítí a virtuální sítí Azure. Může se jednat o připojení VPN nebo Azure ExpressRoute . Další informace najdete v tématu Připojení místní sítě k Azure pomocí brány VPN gateway.
Doporučení
Konkrétní doporučení týkající se implementace Active Directory v Azure najdete v tématu Rozšíření služby Active Directory Domain Services (AD DS) do Azure.
Důvěřovat
Místní domény jsou obsažené v jiné doménové struktuře než domény v cloudu. Aby bylo možné povolit ověřování místních uživatelů v cloudu, musí domény v Azure důvěřovat přihlašovací doméně v místní doménové struktuře. Podobně pokud cloud poskytuje přihlašovací doménu externím uživatelům, může být nutné, aby místní doménová struktura důvěřovala cloudové doméně.
Vztahy důvěryhodnosti můžete vytvořit na úrovni doménové struktury vytvořením vztahů důvěryhodnosti doménové strukturynebo na úrovni domény vytvořením externích vztahů důvěryhodnosti. Vztah důvěryhodnosti na úrovni doménové struktury vytvoří vztah mezi všemi doménami ve dvou doménových strukturách. Vztah důvěryhodnosti na úrovni externí domény vytvoří pouze vztah mezi dvěma zadanými doménami. Mezi doménami v různých doménových strukturách byste měli vytvářet jenom vztahy důvěryhodnosti na úrovni externí domény.
Vztahy důvěryhodnosti s místní službou Active Directory jsou pouze jednosměrné (jednosměrné). Jednosměrný vztah důvěryhodnosti umožňuje uživatelům v jedné doméně nebo doménové struktuře (označované jako příchozí doméně nebo doménové struktuře) přistupovat k prostředkům uchovávaným v jiné doméně (odchozí doméně nebo doménové struktuře).
Následující tabulka shrnuje konfigurace důvěryhodnosti pro některé jednoduché scénáře:
| Scénář | Místní vztah důvěryhodnosti | Důvěryhodnost cloudu |
|---|---|---|
| Místní uživatelé vyžadují přístup k prostředkům v cloudu, ale ne naopak. | Jednosměrná příchozí | Jednosměrná, odchozí |
| Uživatelé v cloudu vyžadují přístup k prostředkům umístěným v místním prostředí, ale ne naopak. | Jednosměrná, odchozí | Jednosměrná příchozí |
Úvahy
Tyto aspekty implementují pilíře architektury Azure Well-Architected Framework, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace najdete v tématu rozhraní Microsoft Azure Well-Architected Framework.
Spolehlivost
Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace naleznete v tématu Kontrolní seznam pro kontrolu spolehlivosti.
Zřiďte alespoň dva řadiče domény pro každou doménu. To umožňuje automatickou replikaci mezi servery. Vytvořte pro virtuální počítače skupiny dostupnosti, které fungují jako servery služby Active Directory, které zpracovávají každou doménu. Do této skupiny dostupnosti umístěte aspoň dva servery.
Zvažte také určení jednoho nebo více serverů v každé doméně jako pohotovostních operačních serverů v případě, že připojení k serveru, který funguje jako flexibilní role FSMO (Single Master Operation), selže.
Bezpečnost
Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu prozabezpečení .
Vztahy důvěryhodnosti na úrovni doménové struktury jsou přechodné. Pokud vytvoříte vztah důvěryhodnosti na úrovni doménové struktury mezi místní doménovou strukturou a doménovou strukturou v cloudu, rozšíří se tento vztah důvěryhodnosti na další nové domény vytvořené v obou doménových strukturách. Pokud používáte domény k zajištění oddělení pro účely zabezpečení, zvažte vytvoření vztahů důvěryhodnosti pouze na úrovni domény. Vztahy důvěryhodnosti na úrovni domény nejsou tranzitivní.
Informace o zabezpečení specifické pro Active Directory najdete v části Aspekty zabezpečení v tématu Rozšíření active Directory do Azure.
Optimalizace nákladů
Optimalizacenákladůch Další informace naleznete v tématu Kontrolní seznam pro kontrolu návrhu proOptimalizace nákladů .
K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsány v části Náklady v rozhraní Microsoft Azure Well-Architected Framework.
Tady jsou požadavky na náklady pro služby používané v této architektuře.
AD Domain Services
Zvažte možnost mít službu Active Directory Domain Services jako sdílenou službu, která je spotřebovaná více úlohami, aby se snížily náklady. Další informace najdete v tématu cen služby Active Directory Domain Services.
Azure VPN Gateway
Hlavní součástí této architektury je služba brány VPN. Účtují se vám poplatky podle doby, po kterou je brána zřízená a dostupná.
Veškerý příchozí provoz je bezplatný, veškerý odchozí provoz se účtuje. Na odchozí provoz VPN se použijí náklady na šířku pásma internetu.
Další informace najdete v tématu cen služby VPN Gateway .
Efektivita provozu
Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace naleznete v tématu kontrolní seznam pro kontrolu efektivity provozu.
DevOps
Důležité informace o DevOps najdete v tématu Efektivita provozu v rozšíření služby Active Directory Domain Services (AD DS) do Azure.
Ovladatelnost
Informace o aspektech správy a monitorování najdete v tématu Rozšíření služby Active Directory do Azure.
Postupujte podle pokynů v Monitorování služby Active Directory. Nástroje, jako je Microsoft Systems Center, můžete nainstalovat na monitorovací server v podsíti pro správu, které vám pomůžou tyto úlohy provádět.
Efektivita výkonu
Efektivita výkonu je schopnost vaší úlohy efektivně splňovat požadavky, které na ni mají uživatelé. Další informace naleznete v tématu Kontrola návrhu kontrolní seznam pro zvýšení efektivity výkonu.
Služba Active Directory je automaticky škálovatelná pro řadiče domény, které jsou součástí stejné domény. Požadavky se distribuují napříč všemi řadiči v rámci domény. Můžete přidat další řadič domény a automaticky se synchronizuje s doménou. Nekonfigurujte samostatný nástroj pro vyrovnávání zatížení pro směrování provozu na kontrolery v rámci domény. Ujistěte se, že všechny řadiče domény mají dostatek paměti a prostředků úložiště pro zpracování databáze domény. Nastavení stejné velikosti všech virtuálních počítačů řadiče domény
Další kroky
- Seznamte se s osvědčenými postupy pro rozšíření místní domény AD DS do Azure
- Seznamte se s osvědčenými postupy pro vytváření infrastruktury SLUŽBY AD FS v Azure.