Prozkoumání primárních scénářů s využitím služeb Doména služby Active Directory a virtuálních počítačů Azure

  • 7 min

Existují tři hlavní scénáře, které zahrnují službu AD DS a Azure Virtual Machines:

  • Služba AD DS nasazená ve službě Azure Virtual Machines bez připojení mezi místy Výsledkem tohoto nasazení je vytvoření nové doménové struktury se všemi řadiči domény umístěnými v Azure. Tento přístup použijte, pokud plánujete implementovat úlohy hostované v Azure Virtual Machines hostované na virtuálních počítačích Azure, které spoléhají na ověřování kerberos nebo zásady skupiny, ale nemají žádné místní závislosti.
  • Stávající místní nasazení služby AD DS s připojením mezi místy k virtuální síti Azure, ve které se nachází virtuální počítače Azure. Tento scénář používá existující prostředí místní Active Directory k zajištění ověřování úloh rezidentů virtuálních počítačů Azure. Při zvažování tohoto návrhu byste měli zvážit latenci spojenou s provozem mezi místními sítěmi.
  • Stávající místní nasazení služby AD DS s připojením mezi místy k virtuální síti Azure, která hostuje další řadič domény na virtuálních počítačích Azure. Hlavním cílem tohoto scénáře je optimalizovat výkon úloh lokalizací provozu ověřování.

Při plánování nasazení řadičů domény SLUŽBY AD DS do služby Azure Virtual Machines byste měli zvážit následující:

  • Připojení mezi místními sítěmi. Pokud máte v úmyslu rozšířit stávající prostředí AD DS do Azure, je klíčovým prvkem návrhu propojení mezi místním prostředím a virtuální sítí Azure. Musíte nastavit buď virtuální privátní síť typu site-to-site (VPN), nebo Microsoft Azure ExpressRoute.
  • Topologie služby Active Directory. Ve scénářích mezi místními sítěmi byste měli nakonfigurovat lokality služby AD DS tak, aby odrážely vaši infrastrukturu mezi místními sítěmi. To vám umožní lokalizovat ověřovací provoz a řídit provoz replikace mezi místními a virtuálními počítači Azure. Replikace uvnitř lokality předpokládá vysokou šířku pásma a trvale dostupná připojení. Naproti tomu replikace mezi lokalitami umožňuje plánování a omezování provozu replikace. Kromě toho správný návrh lokality zajišťuje, aby řadiče domény v dané lokalitě zpracovávaly žádosti o ověření pocházející z této lokality.
  • Řadiče domény jen pro čtení (řadiče jen pro čtení) Někteří zákazníci se cítí obezřetně při nasazování zapisovatelných řadičů domény do služby Azure Virtual Machines kvůli obavám z zabezpečení. Jedním ze způsobů, jak tento problém zmírnit, je místo toho nasadit řadiče domény jen pro čtení. Řadiče domény jen pro čtení a zapisovatelné řadiče domény poskytují podobné uživatelské prostředí. Řadiče domény jen pro čtení ale snižují objem odchozího provozu a odpovídající poplatky. Tato možnost je vhodná v případě, že úloha rezidenta Azure nevyžaduje častý přístup k zápisu do ad DS.
  • Umístění globálního katalogu. Bez ohledu na topologii domény byste měli nakonfigurovat všechny řadiče domény založené na virtuálních počítačích Azure jako servery globálního katalogu. Toto uspořádání brání vyhledávání globálního katalogu v procházení mezi místními síťovými propojeními, což by negativně ovlivnilo výkon.