Explorez les scénarios principaux avec Active Directory Domain Services et des machines virtuelles Azure

  • 7 minutes

Il existe trois scénarios principaux qui impliquent AD DS et des Machines virtuelles Azure :

  • AD DS déployé sur des Machines virtuelles Azure sans connectivité entre locaux. Ce déploiement entraîne la création d’une forêt, avec tous les contrôleurs de domaine se trouvant dans Azure. Utilisez cette approche si vous envisagez de mettre en œuvre des charges de travail résidant dans Azure qui sont hébergées sur des machines virtuelles Azure reposant sur l’authentification Kerberos ou une stratégie de groupe, mais qui n’ont pas de dépendances locales.
  • Déploiement AD DS en local existant avec une connectivité entre différents sites à un réseau virtuel Azure sur lequel résident les machines virtuelles Azure. Ce scénario utilise un environnement Active Directory local existant afin de fournir l’authentification pour les charges de travail résidentes sur des machines virtuelles Azure. Quand vous envisagez cette conception, vous devez prendre en compte la latence associée au trafic réseau entre locaux.
  • Déploiement AD DS en local existant avec connectivité entre sites à un réseau virtuel Azure hébergeant un contrôleur de domaine supplémentaire sur des machines virtuelles Azure. L’objectif principal de ce scénario est d’optimiser les performances des charges de travail en localisant le trafic d’authentification.

En planifiant le déploiement de contrôleurs de domaine AD DS sur des machines virtuelles Azure, vous devez tenir compte des éléments suivants :

  • Connectivité entre locaux. Si vous envisagez d’étendre votre environnement AD DS existant à Azure, la connectivité entre locaux entre votre environnement local et le réseau virtuel Azure est un élément de conception clé. Vous devez configurer un réseau privé virtuel (VPN) de site à site ou Microsoft Azure ExpressRoute.
  • Topologie Active Directory. Dans les scénarios intersites, vous devez configurer des sites AD DS pour refléter votre infrastructure réseau entre locaux. Ce déploiement vous permet de localiser le trafic d’authentification et de contrôler le trafic de réplication entre des contrôleurs de domaine hébergés localement et ceux basés sur des machines virtuelles Azure. La réplication intrasite suppose une bande passante élevée et des connexions disponibles en permanence. En revanche, la réplication intersite permet la planification et la limitation du trafic de réplication. De plus, une conception de site appropriée garantit que les contrôleurs de domaine d’un site donné gèrent les demandes d’authentification provenant de ce site.
  • Contrôleurs de domaine en lecture seule. Certains clients font preuve de prudence concernant le déploiement de contrôleurs de domaine accessibles en écriture sur des machines virtuelles Azure en raison de problèmes de sécurité. L’un des moyens permettant de limiter ce problème consiste à déployer des contrôleurs de domaine en lecture seule à la place. Les contrôleurs de domaine en lecture seule et les contrôleurs de domaine accessible en écriture fournissent des expériences utilisateur similaires. Toutefois, les contrôleurs de domaine en lecture seule réduisent le volume de trafic de sortie et les frais associés. C’est une bonne option si une charge de travail résidant dans Azure ne nécessite pas un accès en écriture fréquent à AD DS.
  • Placement du catalogue global. Quelle que soit la topologie de votre domaine, vous devez configurer tous vos contrôleurs de domaine basés sur des machines virtuelles Azure comme des serveurs de catalogue global. Cette organisation empêche les recherches dans le catalogue global de parcourir les liens réseau entre locaux, ce qui aurait un impact négatif sur les performances.