Explorar cenários primários usando o Active Directory Domain Services e Máquinas Virtuais do Microsoft Azure
Há três cenários principais que envolvem o AD DS e Máquinas Virtuais do Azure:
- O AD DS foi implantado em Máquinas Virtuais do Azure sem conectividade entre locais. Essa implantação resulta na criação de uma floresta com todos os controladores de domínio que residem no Azure. Use essa abordagem se você planeja implementar cargas de trabalho residentes no Azure hospedadas em Máquinas Virtuais do Azure que dependem de Política de Grupo ou autenticação Kerberos, mas não têm dependências locais.
- Implantação existente do AD DS local com a conectividade entre locais com uma rede virtual do Azure em que as Máquinas Virtuais do Azure residem. Esse cenário usa um ambiente do Active Directory local para fornecer autenticação para cargas de trabalho residentes na Máquina Virtual do Azure. Ao considerar esse design, você deve levar em conta a latência associada ao tráfego de rede entre locais.
- A implantação do AD DS local existente com conectividade entre locais com uma rede virtual do Azure que hospeda um controlador de domínio adicional em Máquinas Virtuais do Azure. O objetivo principal desse cenário é otimizar o desempenho da carga de trabalho localizando o tráfego de autenticação.
Ao planejar a implantação de controladores de domínio do AD DS para Máquinas Virtuais do Azure, você deve considerar o seguinte:
- Conectividade entre locais. Se você pretende estender seu ambiente do AD DS para o Azure, um elemento essencial de design é a conectividade entre locais entre o seu ambiente local e a rede virtual do Azure. É necessário configurar uma VPN (rede virtual privada) site a site ou um Microsoft Azure ExpressRoute.
- Topologia do Active Directory. Em cenários entre instalações, você deve configurar sites do AD DS para refletir sua infraestrutura de rede entre locais. Isso permite localizar o tráfego de autenticação e controlar o tráfego de replicação entre controladores de domínio locais e baseados em Máquina Virtual do Azure. A replicação dentro do site pressupõe alta largura de banda e conexões permanentemente disponíveis. Por outro lado, a replicação entre sites permite o agendamento e a limitação do tráfego de replicação. Além disso, um design de site adequado garante que os controladores de domínio em um determinado site manipulem solicitações de autenticação provenientes desse site.
- RODCs (Controladores de Domínio Somente Leitura). Alguns clientes estão atentos à implantação de controladores de domínio graváveis em Máquinas Virtuais do Azure por questões de segurança. Uma forma de mitigar essa preocupação é implantar os RODCs. Os RODCs e os controladores de domínio graváveis proporcionam experiências de usuário semelhantes. No entanto, os RODCs reduzem o volume do tráfego de saída e os encargos correspondentes. Essa é uma boa opção se uma carga de trabalho residente no Azure não exigir acesso de gravação frequente ao AD DS.
- Posicionamento de catálogo global. Independentemente da topologia do domínio, você deve configurar todos os controladores de domínio baseados em Máquina Virtual do Azure como servidores de catálogo global. Essa organização impede que as pesquisas de catálogo global percorram links de rede entre locais, o que afetaria negativamente o desempenho.