Udostępnij za pośrednictwem

Pojęcia i funkcje zestawów replik dla usług Microsoft Entra Domain Services

  • Artykuł

Podczas tworzenia domeny zarządzanej usług Microsoft Entra Domain Services należy zdefiniować unikatową przestrzeń nazw. Ta przestrzeń nazw to nazwa domeny, taka jak contosocloud.com, a dwa kontrolery domeny są następnie wdrażane w wybranym regionie świadczenia usługi Azure. Wdrożenie kontrolerów domeny (DCs) jest nazywane zestawem replik.

Można rozszerzyć zarządzaną domenę, aby mieć więcej niż jeden zestaw replikacyjny na dzierżawie Microsoft Entra. Zestawy replik można dodać do dowolnej równorzędnej sieci wirtualnej w dowolnym regionie Azure obsługującym Domain Services. Dodatkowe zestawy replik w różnych regionach świadczenia usługi Azure zapewniają geograficzne odzyskiwanie po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline.

Uwaga

Zestawy replik nie umożliwiają wdrażania wielu różnych domen zarządzanych w jednej dzierżawie w Azure. Każdy zestaw replik zawiera te same dane.

Jak działają zestawy replik

Podczas tworzenia domeny zarządzanej, takiej jak contosocloud.com, tworzony jest początkowy zestaw replik. Dodatkowe zestawy replik współdzielą tę samą przestrzeń nazw i konfigurację. Zmiany w usługach domen, w tym konfiguracja, tożsamość użytkownika i poświadczenia, grupy, obiekty zasad grupy, obiekty komputera i inne zmiany, są wprowadzane do wszystkich zestawów replik w domenie zarządzanej przy użyciu replikacji AD DS.

Każdy zestaw replik należy utworzyć w sieci wirtualnej. Każda sieć wirtualna musi być połączona równorzędnie z każdą inną siecią wirtualną, która hostuje zestaw replik domeny zarządzanej. Ta konfiguracja tworzy topologię sieci siatki, która obsługuje replikację katalogów. Sieć wirtualna może obsługiwać wiele zestawów replik, pod warunkiem, że każdy zestaw replik znajduje się w innej podsieci wirtualnej.

Wszystkie zestawy replik są umieszczane w tej samej lokacji usługi Active Directory. W związku z tym wszystkie zmiany są propagowane przy użyciu replikacji wewnątrzwitrynowej w celu szybkiej zbieżności.

Uwaga

Nie można zdefiniować oddzielnych lokacji i zdefiniować ustawień replikacji między zestawami replik.

Na poniższym diagramie przedstawiono domenę zarządzaną z dwoma zestawami replik. Pierwszy zestaw replik jest tworzony przy użyciu przestrzeni nazw domeny. Drugi zestaw replik jest tworzony po tym:

Diagram przykładowej domeny zarządzanej z dwoma zestawami replik

Uwaga

Zestawy replik zapewniają dostępność usług uwierzytelniania w regionach, w których skonfigurowano zestaw replik. Aby aplikacja miała nadmiarowość geograficzną, jeśli wystąpi awaria regionalna, platforma aplikacji, która opiera się na domenie zarządzanej, musi również znajdować się w innym regionie.

Odporność innych usług wymaganych do działania aplikacji, takich jak maszyny wirtualne Azure czy usługi aplikacyjne Azure, nie jest zapewniana przez zestawy replik. Projekt dostępności innych składników aplikacji musi uwzględniać funkcje odporności dla usług tworzących aplikację.

W poniższym przykładzie przedstawiono domenę zarządzaną z trzema zestawami replik, aby zapewnić odporność i zapewnić dostępność usług uwierzytelniania. W obu przykładach obciążenia aplikacji istnieją w tym samym regionie co zarządzany zestaw replik domeny:

Diagram przykładowej domeny zarządzanej z trzema zestawami replik

Uwagi dotyczące wdrażania

Domyślnym SKU dla domeny zarządzanej jest SKU typu Enterprise, które obsługuje wiele zestawów replik. Aby utworzyć dodatkowe zestawy replik, jeśli zmieniłeś na SKU Standard, uaktualnij zarządzaną domenę do Enterprise lub Premium.

Obsługiwana maksymalna liczba zestawów replik to pięć, w tym pierwsza replika utworzona podczas tworzenia domeny zarządzanej.

Rozliczenia dla każdego zestawu replik są oparte na SKU konfiguracji domeny. Jeśli na przykład masz domenę zarządzaną, która używa SKU klasy Enterprise i masz trzy zestawy replik, twoja subskrypcja jest rozliczana godzinowo za każdą z trzech replik.

Często zadawane pytania

Czy mogę utworzyć zestaw replik w subskrypcji innej niż moja domena zarządzana?

Nr. Zestawy replik muszą znajdować się w tej samej subskrypcji co domena zarządzana.

Ile zestawów replik można utworzyć?

Można utworzyć maksymalnie pięć zestawów replik — początkowy zestaw replik dla domeny zarządzanej oraz cztery dodatkowe zestawy replik.

Jak informacje o użytkownikach i grupach są synchronizowane z zestawami replik?

Wszystkie zestawy replik są ze sobą połączone za pomocą komunikacji równorzędnej w wirtualnej sieci typu mesh. Jeden z zestawów replik odbiera aktualizacje użytkowników i grup z Microsoft Entra ID. Te zmiany są następnie replikowane do innych grup replikacji przy użyciu replikacji AD DS wewnątrzsieciowej za pośrednictwem sieci współdziałającej.

Podobnie jak w przypadku lokalnych usług AD DS, dłuższe rozłączenie może spowodować zakłócenia replikacji. Ponieważ równorzędne sieci wirtualne nie są przechodnie, projekt zestawów replikacji wymaga w pełni połączonej topologii sieci.

Jak mogę wprowadzić zmiany w zarządzanej domenie po skonfigurowaniu zestawów replik?

Zmiany w domenie zarządzanej działają tak samo jak wcześniej. Tworzysz maszynę wirtualną zarządzania i używasz jej z narzędziami RSAT dołączonymi do domeny zarządzanej. Możesz dołączyć dowolną liczbę maszyn wirtualnych zarządzania do domeny zarządzanej.

Następne kroki

Aby rozpocząć pracę z zestawami replik, utwórz i skonfiguruj domenę zarządzaną usług Domain Services. Podczas wdrażania utwórz i użyj dodatkowych zestawów replik.