Tożsamość hybrydowa

Ukończone

Od momentu, gdy na początku XXI w. firma Tailwind Traders przeprowadziła migrację z systemu Windows NT 4.0, korzystała z usług Active Directory Domain Services (AD DS) jako lokalnego dostawcy tożsamości w środowisku sieci lokalnej. W wielu istniejących aplikacjach firmy Tailwind Traders występuje zależność od usługi Active Directory. W niektórych z tych aplikacji występuje prosta zależność od usługi Active Directory jako dostawcy tożsamości. W innych z kolei występują głębsze zależności, takie jak złożone wymagania zasad grupy, niestandardowe partycje domeny i niestandardowe rozszerzenia schematu.

Ponieważ firma Tailwind Traders rozpoczęła przenoszenie niektórych zasobów i opracowywanie nowych aplikacji na platformie Azure, chce uniknąć konieczności tworzenia równoległego rozwiązania tożsamości, które wymagałoby oddzielnych informacji logowania dla zasobów lokalnych i działających w chmurze.

Podczas tej lekcji uzyskasz informacje na temat różnych sposobów wdrażania tożsamości hybrydowej.

Wdrażanie kontrolerów domeny na platformie Azure

Najprostszy sposób zapewnienia na platformie Azure tego samego środowiska usług AD DS, które organizacja ma lokalnie, to:

1. Wdrożenie pary kontrolerów domeny usług AD DS w podsieci w usłudze Azure Virtual Network.

2. Połączenie tej sieci wirtualnej z siecią lokalną.

3. Skonfigurowanie tej podsieci jako nowej lokacji usług AD DS, jak pokazano na poniższej ilustracji.

   

Kolejną opcją jest skonfigurowanie domeny usług AD DS hostowanej w chmurze jako domeny podrzędnej lasu domeny lokalnej. Dodatkową opcją jest skonfigurowanie kontrolerów domeny usług AD DS uruchomionych w chmurze jako oddzielnego lasu, w którym występuje relacja zaufania z lasem lokalnym. Poniższa ilustracja przedstawia topologię tego lasu zasobów.

Po wdrożeniu kontrolerów domeny na maszynach wirtualnych na platformie Azure organizacje mogą wdrażać obciążenia wymagające bezpośredniego połączenia z kontrolerem domeny w tej samej podsieci usługi Azure Virtual Network, w której wdrożone są maszyny wirtualne kontrolerów domeny. Jest to koncepcyjnie prosty model chmury hybrydowej dla wielu organizacji, ponieważ centra danych platformy Azure są traktowane jako zdalne lokacje usługi Active Directory.

Dla firmy Tailwind Traders rozszerzenie lokalnej domeny usługi Active Directory lub lasu na platformę Azure może być rozwiązaniem wystarczającym, w zależności od wymagań aplikacji. Wadą wdrożenia tej opcji jest fakt, że maszyny wirtualne działają cały czas, ponieważ tak muszą działać kontrolery domeny, co wiąże się ze stałymi kosztami.

Co to jest microsoft Entra Connect?

Program Microsoft Entra Connect (dawniej Azure AD Connect) umożliwia organizacjom synchronizowanie tożsamości znajdujących się w ich wystąpieniu lokalna usługa Active Directory z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). Pozwala to na użycie tej samej tożsamości w przypadku zasobów w chmurze i zasobów lokalnych. Program Microsoft Entra Connect jest najczęściej używany, gdy organizacje przyjmują platformę Microsoft 365 w celu zezwolenia na dostęp do aplikacji, takich jak Microsoft SharePoint i Exchange działających w chmurze za pośrednictwem aplikacji lokalnych.

Jeśli firma Tailwind Traders planuje wdrożenie technologii platformy Microsoft 365, takich jak Exchange Online lub Microsoft Teams, konieczne będzie skonfigurowanie programu Microsoft Entra Connect w celu replikowania tożsamości z lokalnego środowiska usług AD DS na platformę Azure. Jeśli firma chce również używać tożsamości lokalnych z aplikacjami na platformie Azure, ale nie chce wdrażać kontrolerów domeny usług AD DS na maszynach wirtualnych, konieczne będzie również wdrożenie programu Microsoft Entra Connect.

Co to jest usługa Microsoft Entra Domain Services?

Usługi Microsoft Entra Domain Services umożliwiają projekcję domeny Firmy Microsoft Entra w podsieci wirtualnej platformy Azure. Następnie usługi wymagające dołączenia do domeny, zasad grupy, protokołu LDAP oraz uwierzytelniania Kerberos i NTLM będą dostępne dla dowolnej maszyny wirtualnej wdrożonej w tej podsieci.

Usługi Microsoft Entra Domain Services umożliwiają korzystanie z podstawowego zarządzanego środowiska usługi Active Directory dla maszyn wirtualnych bez obaw o zarządzanie, konserwowanie i płacenie za maszyny wirtualne uruchamiane jako kontrolery domeny. Usługi Microsoft Entra Domain Services umożliwiają również korzystanie z tożsamości lokalnych za pośrednictwem programu Microsoft Entra Connect w celu interakcji z maszynami wirtualnymi uruchomionymi w specjalnie skonfigurowanej podsieci usługi Azure Virtual Network.

Jedną z wad usług Microsoft Entra Domain Services jest to, że implementacja zasad grupy jest podstawowa. Obejmuje ono stały zestaw zasad grupy i nie umożliwia tworzenia obiektów zasad grupy. Mimo że tożsamości używane lokalnie będą dostępne na platformie Azure, skonfigurowane lokalnie zasady będą niedostępne.

W przypadku firmy Tailwind Traders usługi Microsoft Entra Domain Services zapewniają dobry środek dla obciążeń hybrydowych. Umożliwiają używanie tożsamości dołączonych do domeny i pozwalają w znacznym stopniu skonfigurować zasady grupy. Nie obsługują jednak aplikacji wymagających złożonych funkcji usługi Active Directory, takich jak niestandardowe partycje domeny i rozszerzenia schematu.

Sprawdź swoją wiedzę

1.

Wśród maszyn wirtualnych, które firma Tailwind Traders planuje zmigrować z centrum danych w Auckland, w kilku aplikacjach hostów istnieją zależności od usług AD DS, które obejmują niestandardowe rozszerzenia schematu i niestandardowe partycje usług AD DS. Które z następujących rozwiązań tożsamości hybrydowej może zastosować firma, aby umożliwić obsługę tych aplikacji, jeśli maszyny wirtualne, które hostują te aplikacje, są zmigrowane i uruchomione jako maszyny wirtualne IaaS na platformie Azure?

Skonfiguruj program Microsoft Entra Connect, aby replikować lokalne tożsamości usług AD DS na platformę Azure. Utworzenie podsieci w usłudze Azure Virtual Network. Zmigrowanie maszyn wirtualnych z centrum danych w Auckland do tej podsieci. Dołącz zmigrowane maszyny wirtualne do domeny usług Microsoft Entra Domain Services.

Utworzenie podsieci w usłudze Azure Virtual Network. Skonfigurowanie połączenia sieci VPN pomiędzy tą siecią wirtualną a siecią lokalną. Wdróż dwa kontrolery domeny usług AD DS na maszynach wirtualnych z systemem Windows Server 2022 w tej podsieci. Skonfigurowanie oddzielnej lokacji usług AD DS dla tej podsieci platformy Azure. Zmigrowanie maszyn wirtualnych z centrum danych w Auckland do tej podsieci.

Skonfiguruj program Microsoft Entra Connect, aby replikować lokalne tożsamości usług AD DS na platformę Azure. Utworzenie podsieci w usłudze Azure Virtual Network. Skonfiguruj usługi Microsoft Entra Domain Services i skonfiguruj ją tak, aby była dostępna dla tej nowo utworzonej podsieci. Zmigrowanie maszyn wirtualnych z centrum danych w Auckland do tej podsieci. Dołącz zmigrowane maszyny wirtualne do domeny usług Microsoft Entra Domain Services.

2.

Przedstawiciel firmy Tailwind Traders wdraża maszyny wirtualne IaaS systemu Windows Server 2022 w podsieci w sieci wirtualnej platformy Azure. Ta sieć wirtualna jest połączona z oddzielną subskrypcją i dzierżawą firmy Microsoft Entra. Te komputery muszą zostać dołączone do domeny z uwagi na wymagania dotyczące zabezpieczeń i tożsamości, ale nie wymagają złożonej konfiguracji zasad grupy. Te maszyny wirtualne nie wymagają tożsamości zsynchronizowanych z lokalnym wystąpieniem usług AD DS firmy Tailwind Traders. Aby osiągnąć swój cel, chcesz zminimalizować liczbę wdrożonych maszyn wirtualnych. Które z poniższych rozwiązań jest odpowiednie do tego celu?

Wdróż program Microsoft Entra Connect na każdej maszynie wirtualnej i zsynchronizuj je z dzierżawą firmy Microsoft Entra.

Wdróż usługi Microsoft Entra Domain Services i skonfiguruj ją dla podsieci hostujących maszyny wirtualne. Dołącz maszyny wirtualne do domeny usług Microsoft Entra Domain Services.

Wdrożenie usług AD DS na nowej maszynie wirtualnej w podsieci. Dołączenie maszyn wirtualnych do domeny usług AD DS.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.