Esta arquitectura de referencia muestra cómo crear un dominio de Active Directory independiente en Azure que es de confianza para los dominios del bosque de AD local.
Descargue una de archivos de Visio de para la arquitectura "Bosque de AD DS".
Active Directory Domain Services (AD DS) almacena información de identidad en una estructura jerárquica. El nodo superior de la estructura jerárquica se conoce como bosque. Un bosque contiene dominios y los dominios contienen otros tipos de objetos. Esta arquitectura de referencia crea un bosque de AD DS en Azure con una relación de confianza saliente unidireccional con un dominio local. El bosque de Azure contiene un dominio que no existe en el entorno local. Debido a la relación de confianza, los inicios de sesión realizados en dominios locales pueden ser de confianza para el acceso a los recursos del dominio de Azure independiente.
Los usos típicos de esta arquitectura incluyen mantener la separación de seguridad para objetos e identidades contenidos en la nube y migrar dominios individuales de un entorno local a la nube.
Para más información, consulte Elegir una solución para integrar Active Directory local con Azure.
Arquitectura
La arquitectura tiene los siguientes componentes.
- de red local. La red local contiene su propio bosque y dominios de Active Directory.
- servidores de Active Directory. Estos son controladores de dominio que implementan servicios de dominio que se ejecutan como máquinas virtuales en la nube. Estos servidores hospedan un bosque que contiene uno o varios dominios, independientes de los ubicados en el entorno local.
- relación de confianza unidireccional. En el ejemplo del diagrama se muestra una confianza unidireccional desde el dominio de Azure al dominio local. Esta relación permite a los usuarios locales acceder a los recursos del dominio de Azure, pero no al revés.
- subred de Active Directory. Los servidores de AD DS se hospedan en una subred independiente. Las reglas del grupo de seguridad de red (NSG) protegen los servidores de AD DS y proporcionan un firewall contra el tráfico de orígenes inesperados.
- puerta de enlace de Azure. La puerta de enlace de Azure proporciona una conexión entre la red local y la red virtual de Azure. Puede ser una conexión VPN de o azure ExpressRoute. Para más información, consulte Conexión de una red local a Azure mediante una puerta de enlace de VPN.
Recomendaciones
Para obtener recomendaciones específicas sobre la implementación de Active Directory en Azure, consulte Extensión de Active Directory Domain Services (AD DS) a Azure.
Confianza
Los dominios locales se encuentran dentro de un bosque diferente de los dominios de la nube. Para habilitar la autenticación de usuarios locales en la nube, los dominios de Azure deben confiar en el dominio de inicio de sesión en el bosque local. De forma similar, si la nube proporciona un dominio de inicio de sesión para usuarios externos, puede ser necesario que el bosque local confíe en el dominio de nube.
Puede establecer confianzas en el nivel de bosque mediante la creación de confianzas de bosque, o en el nivel de dominio mediante la creación de confianzas externas. Una confianza de nivel de bosque crea una relación entre todos los dominios de dos bosques. Una confianza de nivel de dominio externo solo crea una relación entre dos dominios especificados. Solo debe crear confianzas de nivel de dominio externo entre dominios de bosques diferentes.
Las confianzas con una instancia local de Active Directory solo son unidireccionales (unidireccionales). Una confianza unidi reccional permite a los usuarios de un dominio o bosque (conocidos como dominio o bosque entrantes) acceder a los recursos contenidos en otro (el dominio o bosque saliente s).
En la tabla siguiente se resumen las configuraciones de confianza para algunos escenarios sencillos:
| Escenario | Confianza local | Confianza en la nube |
|---|---|---|
| Los usuarios locales requieren acceso a los recursos de la nube, pero no viceversa | Unidireccional, entrante | Unidireccional, saliente |
| Los usuarios de la nube requieren acceso a los recursos ubicados en el entorno local, pero no viceversa | Unidireccional, saliente | Unidireccional, entrante |
Consideraciones
Estas consideraciones implementan los pilares de Azure Well-Architected Framework, que es un conjunto de principios rectores que se pueden usar para mejorar la calidad de una carga de trabajo. Para obtener más información, consulte Microsoft Azure Well-Architected Framework.
Fiabilidad
La confiabilidad garantiza que la aplicación pueda cumplir los compromisos que realice para sus clientes. Para obtener más información, vea Lista de comprobación de revisión de diseño para lade confiabilidad.
Aprovisione al menos dos controladores de dominio para cada dominio. Esto permite la replicación automática entre servidores. Cree un conjunto de disponibilidad para las máquinas virtuales que actúan como servidores de Active Directory que controlan cada dominio. Coloque al menos dos servidores en este conjunto de disponibilidad.
Además, considere la posibilidad de designar uno o varios servidores en cada dominio como maestros de operaciones en espera en caso de que se produzca un error en la conectividad a un servidor que actúe como un rol de operación maestra (FSMO) flexible.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de sus valiosos datos y sistemas. Para obtener más información, vea Lista de comprobación de revisión de diseño para security.
Las confianzas de nivel de bosque son transitivas. Si establece una confianza de nivel de bosque entre un bosque local y un bosque en la nube, esta confianza se extiende a otros dominios nuevos creados en cualquier bosque. Si usa dominios para proporcionar separación con fines de seguridad, considere la posibilidad de crear confianzas solo en el nivel de dominio. Las confianzas de nivel de dominio no son transitivas.
Para conocer las consideraciones de seguridad específicas de Active Directory, consulte la sección consideraciones de seguridad de Extensión de Active Directory a Azure.
Optimización de costos
La optimización de costos consiste en examinar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costos.
Use la calculadora de precios de Azure para calcular los costos. Otras consideraciones se describen en la sección Costo de Microsoft Azure Well-Architected Framework.
Estas son las consideraciones de costos para los servicios usados en esta arquitectura.
AD Domain Services
Considere la posibilidad de tener Active Directory Domain Services como un servicio compartido consumido por varias cargas de trabajo para reducir los costos. Para obtener más información, consulte precios de Active Directory Domain Services.
Azure VPN Gateway
El componente principal de esta arquitectura es el servicio VPN Gateway. Se le cobra según la cantidad de tiempo que se aprovisiona y está disponible la puerta de enlace.
Todo el tráfico entrante es gratuito, se cobra todo el tráfico saliente. Los costos de ancho de banda de Internet se aplican al tráfico saliente de VPN.
Para más información, consulte precios de VPN Gateway.
Excelencia operativa
La excelencia operativa abarca los procesos de operaciones que implementan una aplicación y lo mantienen en ejecución en producción. Para obtener más información, vea Lista de comprobación de revisión de diseño para la excelencia operativa.
DevOps
Para conocer las consideraciones de DevOps, consulte Excelencia operativa en extensión de Active Directory Domain Services (AD DS) a Azure.
Manejabilidad
Para obtener información sobre las consideraciones de administración y supervisión, consulte Extensión de Active Directory a Azure.
Siga las instrucciones de Supervisión de Active Directory. Puede instalar herramientas como Microsoft Systems Center en un servidor de supervisión de la subred de administración para ayudar a realizar estas tareas.
Eficiencia del rendimiento
La eficiencia del rendimiento es la capacidad de la carga de trabajo para satisfacer las demandas que los usuarios ponen en ella de forma eficaz. Para obtener más información, vea Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.
Active Directory es escalable automáticamente para los controladores de dominio que forman parte del mismo dominio. Las solicitudes se distribuyen entre todos los controladores de un dominio. Puede agregar otro controlador de dominio y se sincroniza automáticamente con el dominio. No configure un equilibrador de carga independiente para dirigir el tráfico a los controladores dentro del dominio. Asegúrese de que todos los controladores de dominio tengan suficientes recursos de memoria y almacenamiento para controlar la base de datos de dominio. Haga que todas las máquinas virtuales del controlador de dominio sean del mismo tamaño.
Pasos siguientes
- Conozca los procedimientos recomendados para ampliar el dominio de AD DS local a Azure
- Conozca los procedimientos recomendados para crear una infraestructura de AD FS en Azure.