Eksplorowanie podstawowych scenariuszy przy użyciu usług domena usługi Active Directory i usługi Azure Virtual Machines

  • 7 min

Istnieją trzy główne scenariusze obejmujące usługi AD DS i maszyny wirtualne platformy Azure:

  • Usługi AD DS wdrożone w usłudze Azure Virtual Machines bez łączności między lokalizacjami. To wdrożenie powoduje utworzenie nowego lasu ze wszystkimi kontrolerami domeny znajdującymi się na platformie Azure. Użyj tego podejścia, jeśli planujesz zaimplementować obciążenia rezydentne platformy Azure hostowane na maszynach wirtualnych platformy Azure, które korzystają z uwierzytelniania Kerberos lub zasad grupy, ale nie mają zależności lokalnych.
  • Istniejące lokalne wdrożenie usług AD DS z łącznością między lokalizacjami z siecią wirtualną platformy Azure, w której znajdują się maszyny wirtualne platformy Azure. W tym scenariuszu używane jest istniejące środowisko lokalna usługa Active Directory w celu zapewnienia uwierzytelniania dla obciążeń rezydentnych maszyn wirtualnych platformy Azure. Biorąc pod uwagę ten projekt, należy wziąć pod uwagę opóźnienie związane z ruchem sieciowym obejmujących wiele lokalizacji.
  • Istniejące lokalne wdrożenie usług AD DS z łącznością między lokalizacjami z siecią wirtualną platformy Azure hostująca dodatkowy kontroler domeny na maszynach wirtualnych platformy Azure. Głównym celem tego scenariusza jest zoptymalizowanie wydajności obciążenia przez zlokalizowanie ruchu uwierzytelniania.

Podczas planowania wdrożenia kontrolerów domeny usług AD DS w usłudze Azure Virtual Machines należy wziąć pod uwagę następujące kwestie:

  • Łączność między lokalizacjami. Jeśli zamierzasz rozszerzyć istniejące środowisko usług AD DS na platformę Azure, kluczowym elementem projektu jest łączność między środowiskiem lokalnym a siecią wirtualną platformy Azure. Musisz skonfigurować wirtualną sieć prywatną typu lokacja-lokacja (VPN) lub usługę Microsoft Azure ExpressRoute.
  • Topologia usługi Active Directory. W scenariuszach obejmujących wiele lokalizacji należy skonfigurować lokacje usług AD DS w celu odzwierciedlenia infrastruktury sieciowej obejmującej wiele lokalizacji. Dzięki temu można lokalizować ruch uwierzytelniania i kontrolować ruch replikacji między lokalnymi i kontrolerami domeny opartymi na maszynie wirtualnej platformy Azure. Replikacja wewnątrzlokacyjna zakłada wysoką przepustowość i stałe dostępne połączenia. Natomiast replikacja między lokacjami umożliwia planowanie i ograniczanie ruchu replikacji. Ponadto odpowiedni projekt lokacji gwarantuje, że kontrolery domeny w danej lokacji obsługują żądania uwierzytelniania pochodzące z tej lokacji.
  • Kontrolery domeny tylko do odczytu (RODC). Niektórzy klienci czują się ostrożni w przypadku wdrażania zapisywalnych kontrolerów domeny w usłudze Azure Virtual Machines ze względu na obawy dotyczące zabezpieczeń. Jednym ze sposobów rozwiązania tego problemu jest wdrożenie kontrolerów RODC. Kontrolery RODC i kontrolery domeny z możliwością zapisu zapewniają podobne środowiska użytkownika. Kontrolery RODC obniżają jednak ilość ruchu wychodzącego i odpowiadające im opłaty. Jest to dobra opcja, jeśli obciążenie rezydentne platformy Azure nie wymaga częstego dostępu do zapisu w usługach AD DS.
  • Umieszczanie wykazu globalnego. Niezależnie od topologii domeny należy skonfigurować wszystkie kontrolery domeny oparte na maszynie wirtualnej platformy Azure jako serwery wykazu globalnego. To rozwiązanie uniemożliwia przechodzenie linków sieciowych między lokalnymi odnośnikami wykazu globalnego, co negatywnie wpłynie na wydajność.