Erkunden primärer Szenarien mit Verwendung von Active Directory Domain Services und Azure-VMs

  • 7 Minuten

Es gibt im Wesentlichen drei Szenarios im Zusammenhang mit AD DS und Azure-VMs:

  • Bereitstellung von AD DS auf Azure-VMs ohne standortübergreifende Verbindung. Bei dieser Bereitstellung wird eine neue Gesamtstruktur erstellt, wobei sich alle Domänencontroller in Azure befinden. Verwenden Sie diesen Ansatz, wenn Sie Workloads in Azure implementieren möchten, die auf Azure-VMs gehostet werden und auf der Kerberos-Authentifizierung oder Gruppenrichtlinie beruhen, aber keine lokalen Abhängigkeiten aufweisen.
  • Vorhandene lokale AD DS-Bereitstellung mit standortübergreifender Verbindung mit einem virtuellen Azure-Netzwerk, in dem sich die Azure-VMs befinden. Bei diesem Szenario wird zum Bereitstellen der Authentifizierung für Workloads auf Azure-VMs eine vorhandene lokale Active Directory-Umgebung verwendet. Wenn Sie dieses Konzept in Betracht ziehen, sollten Sie die Latenz berücksichtigen, die mit dem standortübergreifenden Netzwerkdatenverkehr verbunden ist.
  • Vorhandene lokale AD DS-Bereitstellung mit standortübergreifender Verbindung mit einem virtuellen Azure-Netzwerk, in dem zusätzliche Domänencontroller auf Azure-VMs gehostet werden. Das primäre Ziel dieses Szenarios ist die Optimierung der Workloadleistung durch die Lokalisierung des Datenverkehrs für die Authentifizierung.

Wenn Sie AD DS-Domänencontroller für Azure-VMs bereitstellen möchten, müssen Sie Folgendes berücksichtigen:

  • Standortübergreifende Verbindungen. Bei der Erweiterung einer vorhandenen AD DS-Umgebung auf Azure stellen standortübergreifende Verbindungen zwischen der lokalen Umgebung und dem virtuellen Azure-Netzwerk ein zentrales Entwurfselement dar. Sie müssen entweder ein Site-to-Site-VPN oder Microsoft Azure ExpressRoute einrichten.
  • Active Directory-Topologie. Bei standortübergreifenden Szenarios müssen zur Darstellung der standortübergreifenden Netzwerkinfrastruktur AD DS-Standorte konfigurieren werden. Dadurch können Sie den Authentifizierungsdatenverkehr lokalisieren und den Replikationsdatenverkehr zwischen lokalen und Azure VM-basierten Domänencontrollern steuern. Für die Replikation innerhalb eines Standorts sind hohe Bandbreiten und ständig verfügbare Verbindungen erforderlich. Im Gegensatz dazu ermöglicht die standortübergreifende Replikation die Planung und Drosselung des Replikationsdatenverkehrs. Darüber hinaus wird durch ein ordnungsgemäßen Standortentwurf sichergestellt, dass Domänencontroller an einem bestimmten Standort Authentifizierungsanforderungen bearbeiten, die von diesem Standort stammen.
  • Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODCs). Einige Kundinnen und Kunden sind aufgrund von Sicherheitsbedenken vorsichtig bei der Bereitstellung von beschreibbaren Domänencontrollern auf Azure-VMs. Diese Bedenken lassen sich beispielsweise entkräften, indem stattdessen RODCs bereitgestellt werden. RODCs und beschreibbare Domänencontroller bieten ähnliche Benutzerfunktionen. Mit RODCs lassen sich jedoch der ausgehender Datenverkehr und die damit verbundenen Kosten reduzieren. Dies ist eine gute Option, wenn für eine Workload in Azure kein regelmäßiger Schreibzugriff auf AD DS erforderlich ist.
  • Platzierung des globalen Katalogs. Unabhängig von der Domänentopologie sollten Sie alle auf Azure-VM-basierende Domänencontroller als globale Katalogserver konfigurieren. Dadurch wird verhindert, dass bei der Suche im globalen Katalog standortübergreifende Netzwerkverbindungen genutzt werden, wodurch die Leistung beeinträchtigt würde.