Exploración de los principales escenarios donde se usan Active Directory Domain Services y Microsoft Azure Virtual Machines

  • 7 minutos

Hay tres escenarios principales que implican AD DS y Azure Virtual Machines:

  • Implementación de AD DS en Azure Virtual Machines sin conectividad entre locales. Esta implementación da como resultado la creación de un nuevo bosque, en el que todos los controladores de dominio residen en Azure. Use este enfoque si tiene previsto implementar cargas de trabajo residentes en Azure hospedadas en Azure Virtual Machines que se basan en la autenticación Kerberos o de directiva de grupo, pero que no tienen dependencias locales.
  • Implementación de AD DS local ya existente con conectividad entre entornos locales a una red virtual de Azure donde residen las Azure Virtual Machines. Este escenario usa un entorno de Active Directory local ya existente para proporcionar autenticación para las cargas de trabajo residentes en Azure Virtual Machines. Al considerar este diseño, debe tener en cuenta la latencia asociada al tráfico de red entre locales.
  • Implementación de AD DS local ya existente con conectividad entre locales a una red virtual de Azure que hospeda un controlador de dominio adicional en Azure Virtual Machines. El objetivo principal de este escenario consiste en optimizar el rendimiento de las cargas de trabajo al localizar el tráfico de autenticación.

Al planear la implementación de controladores de dominio de AD DS en Azure Virtual Machines, debe tener en cuenta lo siguiente:

  • Conectividad entre locales. Si piensa ampliar el entorno de AD DS existente a Azure, un elemento de diseño clave es la conectividad entre locales entre el entorno local y la red virtual de Azure. Debe configurar una red privada virtual (VPN) de sitio a sitio o Microsoft Azure ExpressRoute.
  • Topología de Active Directory. En escenarios entre locales, debe configurar sitios de AD DS de modo que reflejen la infraestructura de red entre locales. Esto permite localizar el tráfico de autenticación y controlar el tráfico de replicación entre el entorno local y los controladores de dominio basados en Azure Virtual Machines. La replicación dentro de sitios da por supuesto que existe un ancho de banda elevado y conexiones disponibles permanentemente. Por el contrario, la replicación entre sitios permite programar y limitar el tráfico de replicación. Además, un diseño de sitios adecuado garantiza que los controladores de dominio de un sitio determinado puedan controlar las solicitudes de autenticación que se originan en ese sitio.
  • Controladores de dominio de solo lectura (RODC). Algunos clientes se muestran cautelosos a la hora de implementar controladores de dominio grabables en Azure Virtual Machines debido a problemas de seguridad. Una manera de mitigar este problema consiste en implementar RODC en su lugar. Los RODC y los controladores de dominio grabables proporcionan experiencias de usuario similares. La diferencia es que los RODC reducen el volumen de tráfico de salida y los cargos correspondientes. Esta es una buena opción si una carga de trabajo residente en Azure no requiere un acceso de escritura frecuente a AD DS.
  • Ubicación del catálogo global. Independientemente de la topología del dominio, debe configurar todos los controladores de dominio basados en Azure Virtual Machines como servidores de catálogo global. Este diseño impide que las búsquedas del catálogo global atraviesen vínculos de red entre locales, lo que afectaría negativamente al rendimiento.