Cette architecture de référence montre comment créer un domaine Active Directory distinct dans Azure approuvé par les domaines de votre forêt AD locale.
Téléchargez une fichier Visio pour l’architecture « Forêt AD DS ».
Active Directory Domain Services (AD DS) stocke les informations d’identité dans une structure hiérarchique. Le nœud supérieur de la structure hiérarchique est appelé forêt. Une forêt contient des domaines et des domaines contiennent d’autres types d’objets. Cette architecture de référence crée une forêt AD DS dans Azure avec une relation d’approbation sortante unidirectionnelle avec un domaine local. La forêt dans Azure contient un domaine qui n’existe pas localement. En raison de la relation d’approbation, les connexions effectuées sur des domaines locaux peuvent être approuvées pour l’accès aux ressources dans le domaine Azure distinct.
Les utilisations classiques pour cette architecture incluent la gestion de la séparation de la sécurité pour les objets et les identités détenus dans le cloud, et la migration de domaines individuels d’un emplacement local vers le cloud.
Pour plus d’informations, consultez Choisir une solution pour l’intégration d’Active Directory local à Azure.
Architecture
L’architecture comporte les composants suivants.
- réseau local . Le réseau local contient ses propres domaines et forêts Active Directory.
- serveurs Active Directory. Il s’agit de contrôleurs de domaine implémentant des services de domaine s’exécutant en tant que machines virtuelles dans le cloud. Ces serveurs hébergent une forêt contenant un ou plusieurs domaines, séparés de ceux situés localement.
- relation d’approbation unidirectionnelle. L’exemple du diagramme montre une approbation unidirectionnelle du domaine dans Azure vers le domaine local. Cette relation permet aux utilisateurs locaux d’accéder aux ressources du domaine dans Azure, mais pas de l’autre façon.
- sous-réseau Active Directory. Les serveurs AD DS sont hébergés dans un sous-réseau distinct. Les règles de groupe de sécurité réseau protègent les serveurs AD DS et fournissent un pare-feu contre le trafic provenant de sources inattendues.
- passerelle Azure. La passerelle Azure fournit une connexion entre le réseau local et le réseau virtuel Azure. Il peut s’agir d’une connexion VPN ou Azure ExpressRoute. Pour plus d’informations, consultez Connecter un réseau local à Azure à l’aide d’une passerelle VPN.
Recommandations
Pour obtenir des recommandations spécifiques sur l’implémentation d’Active Directory dans Azure, consultez Extension des services de domaine Active Directory (AD DS) à Azure.
Confiance
Les domaines locaux sont contenus dans une forêt différente des domaines du cloud. Pour activer l’authentification des utilisateurs locaux dans le cloud, les domaines d’Azure doivent approuver le domaine d’ouverture de session dans la forêt locale. De même, si le cloud fournit un domaine d’ouverture de session pour les utilisateurs externes, il peut être nécessaire que la forêt locale approuve le domaine cloud.
Vous pouvez établir des approbations au niveau de la forêt en en créant des approbations de forêt, ou au niveau du domaine par la création d’approbations externes. Une approbation au niveau de la forêt crée une relation entre tous les domaines dans deux forêts. Une approbation de niveau de domaine externe crée uniquement une relation entre deux domaines spécifiés. Vous devez uniquement créer des approbations de niveau domaine externe entre des domaines dans différentes forêts.
Les approbations avec un Active Directory local ne sont unidirectionnelles (unidirectionnelles). Une approbation unidirectionnelle permet aux utilisateurs d’un domaine ou d’une forêt (appelé domaine ou forêt entrants) d’accéder aux ressources conservées dans un autre (le domaine ou forêt sortant).
Le tableau suivant récapitule les configurations d’approbation pour certains scénarios simples :
| Scénario | Approbation locale | Confiance dans le cloud |
|---|---|---|
| Les utilisateurs locaux nécessitent l’accès aux ressources dans le cloud, mais pas inversement | Unidirectionnel, entrant | Unidirectionnel, sortant |
| Les utilisateurs du cloud nécessitent l’accès aux ressources locales, mais pas inversement | Unidirectionnel, sortant | Unidirectionnel, entrant |
Considérations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework, qui est un ensemble d’ensembles guidants qui peuvent être utilisés pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.
Fiabilité
La fiabilité garantit que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d’informations, consultez liste de vérification de la révision de conception pour lede fiabilité.
Provisionnez au moins deux contrôleurs de domaine pour chaque domaine. Cela permet la réplication automatique entre les serveurs. Créez un groupe à haute disponibilité pour les machines virtuelles agissant en tant que serveurs Active Directory gérant chaque domaine. Placez au moins deux serveurs dans ce groupe à haute disponibilité.
En outre, envisagez de concevoir un ou plusieurs serveurs dans chaque domaine, car maîtres d’opérations de secours en cas d’échec de la connectivité à un serveur agissant comme un rôle DSMO (Single Master Operation) flexible.
Sécurité
La sécurité offre des garanties contre les attaques délibérées et l’abus de vos données et systèmes précieux. Pour plus d’informations, consultez liste de vérification de la révision de conception pour security.
Les approbations au niveau de la forêt sont transitives. Si vous établissez une approbation au niveau de la forêt entre une forêt locale et une forêt dans le cloud, cette approbation est étendue à d’autres domaines créés dans l’une ou l’autre forêt. Si vous utilisez des domaines pour assurer la séparation à des fins de sécurité, envisagez de créer des approbations au niveau du domaine uniquement. Les approbations au niveau du domaine ne sont pas transitives.
Pour connaître les considérations de sécurité spécifiques à Active Directory, consultez la section considérations relatives à la sécurité dans Extension d’Active Directory à Azure.
Optimisation des coûts
L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’optimisation des coûts.
Utilisez la calculatrice de prix Azure pour estimer les coûts. D’autres considérations sont décrites dans la section Coût de Microsoft Azure Well-Architected Framework.
Voici les considérations relatives aux coûts pour les services utilisés dans cette architecture.
Services de domaine AD
Envisagez d’utiliser les services de domaine Active Directory en tant que service partagé consommé par plusieurs charges de travail pour réduire les coûts. Pour plus d’informations, consultez tarification des services de domaine Active Directory.
Passerelle VPN Azure
Le composant principal de cette architecture est le service de passerelle VPN. Vous êtes facturé en fonction de la durée pendant laquelle la passerelle est provisionnée et disponible.
Tout le trafic entrant est gratuit, tout le trafic sortant est facturé. Les coûts de bande passante Internet sont appliqués au trafic sortant VPN.
Pour plus d’informations, consultez tarification de la passerelle VPN.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et la conservent en production. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’excellence opérationnelle.
DevOps
Pour plus d’informations sur DevOps, consultez l’excellence opérationnelle dans extension des services de domaine Active Directory (AD DS) à Azure.
Gérabilité
Pour plus d’informations sur les considérations relatives à la gestion et à la surveillance, consultez Extension d’Active Directory à Azure.
Suivez les instructions de Monitoring Active Directory. Vous pouvez installer des outils tels que Microsoft Systems Center sur un serveur de surveillance dans le sous-réseau de gestion pour effectuer ces tâches.
Efficacité des performances
L’efficacité des performances est la capacité de votre charge de travail à répondre aux demandes qu’elle impose aux utilisateurs de manière efficace. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’efficacité des performances.
Active Directory est automatiquement évolutif pour les contrôleurs de domaine qui font partie du même domaine. Les requêtes sont distribuées sur tous les contrôleurs au sein d’un domaine. Vous pouvez ajouter un autre contrôleur de domaine et il se synchronise automatiquement avec le domaine. Ne configurez pas un équilibreur de charge distinct pour diriger le trafic vers les contrôleurs au sein du domaine. Vérifiez que tous les contrôleurs de domaine disposent de suffisamment de ressources de mémoire et de stockage pour gérer la base de données de domaine. Faites en sorte que toutes les machines virtuelles du contrôleur de domaine de la même taille.
Étapes suivantes
- Découvrez les meilleures pratiques pour étendre votre domaine AD DS local à Azure
- Découvrez les meilleures pratiques pour la création d’une infrastructure AD FS dans Azure.