Explore cenários principais usando os Serviços de Domínio Ative Directory e as Máquinas Virtuais do Azure

  • 7 minutos

Há três cenários principais que envolvem o AD DS e as Máquinas Virtuais do Azure:

  • O AD DS implantado nas Máquinas Virtuais do Azure sem conectividade entre locais. Essa implantação resulta na criação de uma nova floresta, com todos os controladores de domínio residindo no Azure. Use essa abordagem se você planeja implementar cargas de trabalho residentes no Azure hospedadas em Máquinas Virtuais do Azure que dependem da autenticação Kerberos ou da Política de Grupo, mas não têm dependências locais.
  • Implantação do AD DS local existente com conectividade entre locais para uma rede virtual do Azure onde residem as Máquinas Virtuais do Azure. Este cenário usa um ambiente do Ative Directory local existente para fornecer autenticação para cargas de trabalho residentes na Máquina Virtual do Azure. Ao considerar esse design, você deve considerar a latência associada ao tráfego de rede entre locais.
  • Implantação do AD DS local existente com conectividade entre locais para uma rede virtual do Azure que hospeda controlador de domínio extra em Máquinas Virtuais do Azure. O objetivo principal desse cenário é otimizar o desempenho da carga de trabalho localizando o tráfego de autenticação.

Ao planejar a implantação de controladores de domínio do AD DS em Máquinas Virtuais do Azure, você deve considerar o seguinte:

  • Conectividade entre locais. Se você pretende estender seu ambiente AD DS existente para o Azure, um elemento de design chave é a conectividade entre locais entre seu ambiente local e a rede virtual do Azure. Você deve configurar uma VPN (rede virtual privada) site a site ou a Rota Expressa do Microsoft Azure.
  • Topologia do Ative Directory. Em cenários entre locais, você deve configurar sites do AD DS para refletir sua infraestrutura de rede entre locais. Isso permite localizar o tráfego de autenticação e controlar o tráfego de replicação entre controladores de domínio locais e baseados em Máquina Virtual do Azure. A replicação intra-site pressupõe alta largura de banda e conexões permanentemente disponíveis. Por outro lado, a replicação entre locais permite agendar e limitar o tráfego de replicação. Além disso, um design de site adequado garante que os controladores de domínio em um determinado site manipulem solicitações de autenticação originadas desse site.
  • Controladores de domínio somente leitura (RODCs). Alguns clientes estão se sentindo cautelosos sobre a implantação de controladores de domínio graváveis nas Máquinas Virtuais do Azure devido a preocupações de segurança. Uma maneira de mitigar essa preocupação é implantar RODCs. RODCs e controladores de domínio graváveis fornecem experiências de usuário semelhantes. No entanto, os RODCs diminuem o volume de tráfego de saída e as taxas correspondentes. Essa é uma boa opção se uma carga de trabalho residente no Azure não exigir acesso de gravação frequente ao AD DS.
  • Posicionamento do catálogo global. Independentemente da topologia de domínio, você deve configurar todos os controladores de domínio baseados em Máquina Virtual do Azure como servidores de catálogo global. Essa disposição impede que pesquisas de catálogo global atravessem links de rede entre locais, o que afetaria negativamente o desempenho.