Deze referentiearchitectuur laat zien hoe u een afzonderlijk Active Directory-domein maakt in Azure dat wordt vertrouwd door domeinen in uw on-premises AD-forest.
Download een Visio-bestand voor de ad DS-forestarchitectuur.
Active Directory Domain Services (AD DS) slaat identiteitsgegevens op in een hiërarchische structuur. Het bovenste knooppunt in de hiërarchische structuur wordt een forest genoemd. Een forest bevat domeinen en domeinen bevatten andere typen objecten. Met deze referentiearchitectuur maakt u een AD DS-forest in Azure met een uitgaande vertrouwensrelatie in één richting met een on-premises domein. Het forest in Azure bevat een domein dat niet on-premises bestaat. Vanwege de vertrouwensrelatie kunnen aanmeldingen op basis van on-premises domeinen worden vertrouwd voor toegang tot resources in het afzonderlijke Azure-domein.
Typische toepassingen voor deze architectuur zijn het onderhouden van beveiligingsscheiding voor objecten en identiteiten in de cloud en het migreren van afzonderlijke domeinen van on-premises naar de cloud.
Zie Een oplossing kiezen voor het integreren van on-premises Active Directory met Azurevoor aanvullende overwegingen.
Architectuur
De architectuur heeft de volgende onderdelen.
- on-premises netwerk. Het on-premises netwerk bevat een eigen Active Directory-forest en -domeinen.
- Active Directory-servers. Dit zijn domeincontrollers die domeinservices implementeren die als VM's in de cloud worden uitgevoerd. Deze servers hosten een forest met een of meer domeinen, gescheiden van de servers die zich on-premises bevinden.
- eenrichtingsvertrouwensrelatie. In het voorbeeld in het diagram ziet u een eenrichtingsvertrouwensrelatie van het domein in Azure naar het on-premises domein. Met deze relatie kunnen on-premises gebruikers toegang krijgen tot resources in het domein in Azure, maar niet andersom.
- Active Directory-subnet. De AD DS-servers worden gehost in een afzonderlijk subnet. NSG-regels (Netwerkbeveiligingsgroep) beveiligen de AD DS-servers en bieden een firewall tegen verkeer van onverwachte bronnen.
- Azure-gateway. De Azure-gateway biedt een verbinding tussen het on-premises netwerk en het Azure-VNet. Dit kan een VPN-verbinding zijn of Azure ExpressRoute-. Zie Een on-premises netwerk verbinden met Azure met behulp van een VPN-gatewayvoor meer informatie.
Aanbevelingen
Zie Active Directory Domain Services (AD DS) uitbreiden naar Azurevoor specifieke aanbevelingen voor het implementeren van Active Directory in Azure.
Vertrouwen
De on-premises domeinen bevinden zich in een ander forest dan de domeinen in de cloud. Als u verificatie van on-premises gebruikers in de cloud wilt inschakelen, moeten de domeinen in Azure het aanmeldingsdomein in het on-premises forest vertrouwen. Als de cloud een aanmeldingsdomein biedt voor externe gebruikers, kan het nodig zijn dat het on-premises forest het clouddomein vertrouwt.
U kunt vertrouwensrelaties op forestniveau instellen door forestvertrouwensrelatieste maken of op domeinniveau door externe vertrouwensrelaties te maken. Een vertrouwensrelatie op forestniveau maakt een relatie tussen alle domeinen in twee forests. Een vertrouwensrelatie op extern domeinniveau maakt alleen een relatie tussen twee opgegeven domeinen. U moet alleen vertrouwensrelaties op extern domeinniveau maken tussen domeinen in verschillende forests.
Vertrouwensrelaties met een on-premises Active Directory zijn slechts één richting (in één richting). Met een eenrichtingsvertrouwensrelatie kunnen gebruikers in één domein of forest (ook wel het binnenkomende domein of forest genoemd) toegang krijgen tot de resources in een ander domein of forest (het uitgaande domein of forest).
De volgende tabel bevat een overzicht van vertrouwensconfiguraties voor enkele eenvoudige scenario's:
| Scenario | On-premises vertrouwensrelatie | Cloudvertrouwen |
|---|---|---|
| On-premises gebruikers hebben toegang nodig tot resources in de cloud, maar niet andersom | Eén richting, binnenkomend | Eenrichtings-, uitgaande |
| Gebruikers in de cloud hebben toegang nodig tot resources die zich on-premises bevinden, maar niet andersom | Eenrichtings-, uitgaande | Eén richting, binnenkomend |
Overwegingen
Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Frameworkvoor meer informatie.
Betrouwbaarheid
Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Controlelijst ontwerpbeoordeling voor betrouwbaarheidvoor meer informatie.
Richt ten minste twee domeincontrollers in voor elk domein. Dit maakt automatische replicatie tussen servers mogelijk. Maak een beschikbaarheidsset voor de VM's die fungeren als Active Directory-servers die elk domein verwerken. Plaats ten minste twee servers in deze beschikbaarheidsset.
Overweeg ook een of meer servers in elk domein aan te wijzen als stand-by operations-masters voor het geval de verbinding met een server die fungeert als een flexibele FSMO-rol (Single Master Operation) mislukt.
Veiligheid
Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie voor meer informatie controlelijst ontwerpbeoordeling voor Security.
Vertrouwensrelaties op forestniveau zijn transitief. Als u een vertrouwensrelatie op forestniveau tot stand brengt tussen een on-premises forest en een forest in de cloud, wordt deze vertrouwensrelatie uitgebreid naar andere nieuwe domeinen die in beide forests zijn gemaakt. Als u domeinen gebruikt om scheiding te bieden voor beveiligingsdoeleinden, kunt u overwegen alleen vertrouwensrelaties op domeinniveau te maken. Vertrouwensrelaties op domeinniveau zijn niet transitief.
Zie de sectie beveiligingsoverwegingen in Active Directory uitbreiden naar Azurevoor specifieke beveiligingsoverwegingen voor Active Directory.
Kostenoptimalisatie
Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie controlelijst ontwerpbeoordeling voor kostenoptimalisatievoor meer informatie.
Gebruik de Azure-prijscalculator om de kosten te schatten. Andere overwegingen worden beschreven in de sectie Kosten in Microsoft Azure Well-Architected Framework.
Hier volgen kostenoverwegingen voor de services die in deze architectuur worden gebruikt.
AD Domain Services
Overweeg Active Directory Domain Services te gebruiken als een gedeelde service die door meerdere workloads wordt gebruikt om de kosten te verlagen. Zie Prijzen van Active Directory Domain Servicesvoor meer informatie.
Azure VPN Gateway
Het belangrijkste onderdeel van deze architectuur is de VPN-gatewayservice. Er worden kosten in rekening gebracht op basis van de hoeveelheid tijd die de gateway heeft ingericht en beschikbaar is.
Al het binnenkomende verkeer is gratis, al het uitgaande verkeer wordt in rekening gebracht. De kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.
Zie prijzen voor VPN Gatewayvoor meer informatie.
Operationele uitmuntendheid
Operational Excellence behandelt de operationele processen die een toepassing implementeren en deze in productie houden. Zie controlelijst ontwerpbeoordeling voor Operational Excellencevoor meer informatie.
DevOps
Zie Operational Excellence in Active Directory Domain Services (AD DS) uitbreiden naar Azurevoor overwegingen bij DevOps.
Meegaandheid
Zie Active Directory uitbreiden naar Azurevoor informatie over beheer- en bewakingsoverwegingen.
Volg de richtlijnen in Active Directory-bewaken. U kunt hulpprogramma's zoals Microsoft Systems Center installeren op een bewakingsserver in het beheersubnet om deze taken uit te voeren.
Prestatie-efficiëntie
Prestatie-efficiëntie is de mogelijkheid van uw workload om op een efficiënte manier te voldoen aan de eisen die gebruikers eraan stellen. Zie controlelijst ontwerpbeoordeling voor prestatie-efficiëntievoor meer informatie.
Active Directory is automatisch schaalbaar voor domeincontrollers die deel uitmaken van hetzelfde domein. Aanvragen worden verdeeld over alle controllers binnen een domein. U kunt een andere domeincontroller toevoegen en deze wordt automatisch gesynchroniseerd met het domein. Configureer geen afzonderlijke load balancer om verkeer naar controllers binnen het domein te leiden. Zorg ervoor dat alle domeincontrollers voldoende geheugen- en opslagbronnen hebben om de domeindatabase te verwerken. Maak van alle domeincontroller-VM's dezelfde grootte.
Volgende stappen
- Meer informatie over de aanbevolen procedures voor het uitbreiden van uw on-premises AD DS-domein naar Azure
- Meer informatie over de aanbevolen procedures voor het maken van een AD FS-infrastructuur in Azure.