В этой эталонной архитектуре показано, как создать отдельный домен Active Directory в Azure, доверенный доменами в локальном лесу AD.
Скачайте файл Visio для архитектуры AD DS Forest.
Доменные службы Active Directory (AD DS) хранят сведения об удостоверениях в иерархической структуре. Верхний узел в иерархической структуре называется лесом. Лес содержит домены и домены содержат другие типы объектов. Эта эталонная архитектура создает лес AD DS в Azure с односторонним отношением исходящего доверия с локальным доменом. Лес в Azure содержит домен, который не существует локально. Из-за отношения доверия входы в локальные домены могут быть доверенными для доступа к ресурсам в отдельном домене Azure.
Типичные способы использования этой архитектуры включают сохранение разделения безопасности для объектов и удостоверений, содержащихся в облаке, и перенос отдельных доменов из локальной среды в облако.
Дополнительные рекомендации см. в статье Выбор решения для интеграции локальной службы Active Directory с Azure.
Архитектура
Архитектура содержит следующие компоненты.
- локальной сети. Локальная сеть содержит собственный лес и домены Active Directory.
- серверах Active Directory. Это контроллеры домена, реализующие доменные службы, работающие в качестве виртуальных машин в облаке. Эти серверы размещают лес, содержащий один или несколько доменов, отдельно от локальных.
- односторонняя связь доверия. В примере на схеме показан односторонняя доверия из домена в Azure в локальный домен. Эта связь позволяет локальным пользователям получать доступ к ресурсам в домене в Azure, но не наоборот.
- подсети Active Directory. Серверы AD DS размещаются в отдельной подсети. Правила группы безопасности сети (NSG) защищают серверы AD DS и предоставляют брандмауэр от трафика из непредвиденных источников.
- шлюза Azure. Шлюз Azure обеспечивает подключение между локальной сетью и виртуальной сетью Azure. Это может быть VPN-подключение или Azure ExpressRoute. Дополнительные сведения см. в статье Подключение локальной сети к Azure с помощью VPN-шлюза.
Рекомендации
Конкретные рекомендации по реализации Active Directory в Azure см. в расширении доменных служб Active Directory (AD DS) в Azure.
Доверие
Локальные домены содержатся в другом лесу, отличном от доменов в облаке. Чтобы включить проверку подлинности локальных пользователей в облаке, домены в Azure должны доверять домену входа в локальном лесу. Аналогичным образом, если облако предоставляет домен входа для внешних пользователей, это может потребоваться для локального леса для доверия к облачному домену.
Вы можете установить доверие на уровне леса, создания доверия лесаили на уровне домена, создания внешних доверий. Доверие на уровне леса создает связь между всеми доменами в двух лесах. Доверие на уровне внешнего домена создает связь только между двумя указанными доменами. Необходимо создать только отношения доверия внешнего уровня домена между доменами в разных лесах.
Отношения доверия с локальной службой Active Directory являются однонаправленными (однонаправленными). Односторонняя доверие позволяет пользователям в одном домене или лесу (известном как входящего домене или лесу) получить доступ к ресурсам, удерживаемых в другом (исходящем домене или лесу).
В следующей таблице перечислены конфигурации доверия для некоторых простых сценариев:
| Сценарий | Локальное доверие | Доверие к облаку |
|---|---|---|
| Локальные пользователи требуют доступа к ресурсам в облаке, но не наоборот. | Односторонняя, входящая | Односторонняя, исходящая |
| Пользователям в облаке требуется доступ к ресурсам, расположенным локально, но не наоборот. | Односторонняя, исходящая | Односторонняя, входящая |
Соображения
Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для повышения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.
Надёжность
Надежность гарантирует, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Дополнительные сведения см. в контрольном списке проверки конструктора длянадежности.
Подготовка по крайней мере двух контроллеров домена для каждого домена. Это обеспечивает автоматическую репликацию между серверами. Создайте группу доступности для виртуальных машин, действующих как серверы Active Directory, обрабатывающие каждый домен. Поместите по крайней мере два сервера в этот набор доступности.
Кроме того, рекомендуется назначить один или несколько серверов в каждом домене как мастера резервных операций в случае сбоя подключения к серверу, выступающего в качестве гибкой роли единой главной операции (FSMO).
Безопасность
Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в контрольном списке конструктора длябезопасности.
Отношения доверия на уровне леса являются транзитивными. Если вы устанавливаете доверие на уровне леса между локальным лесом и лесом в облаке, это доверие распространяется на другие новые домены, созданные в любом лесу. Если вы используете домены для разделения для целей безопасности, рассмотрите возможность создания доверия только на уровне домена. Отношения доверия уровня домена являются не транзитивными.
Рекомендации по безопасности, относящиеся к Active Directory, см. в разделе о безопасности расширении Active Directory в Azure.
Оптимизация затрат
Оптимизация затрат заключается в том, чтобы подумать о способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке конструктора дляоптимизации затрат.
Используйте калькулятор цен Azure для оценки затрат. Другие рекомендации описаны в разделе "Затраты" в Microsoft Azure Well-Architected Framework.
Ниже приведены рекомендации по затратам для служб, используемых в этой архитектуре.
Доменные службы AD
Рекомендуется использовать доменные службы Active Directory как общую службу, которая используется несколькими рабочими нагрузками для снижения затрат. Дополнительные сведения см. в ценах на доменные службы Active Directory.
VPN-шлюз Azure
Основным компонентом этой архитектуры является служба VPN-шлюза. Плата взимается в зависимости от времени подготовки и доступности шлюза.
Весь входящий трафик является бесплатным, взимается весь исходящий трафик. Затраты на пропускную способность Интернета применяются к исходящему трафику VPN.
Дополнительные сведения см. в разделе цен на VPN-шлюз.
Операционное превосходство
Операционное превосходство охватывает процессы, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в контрольном списке проверки конструктора дляоперационного превосходства.
DevOps
Рекомендации по DevOps см. в статье "Эффективность работы" в расширении доменных служб Active Directory (AD DS) в Azure.
Управляемость
Сведения об управлении и мониторинге см. в статье Расширение Active Directory в Azure.
Следуйте указаниям мониторинга Active Directory. Вы можете установить такие средства, как Microsoft Systems Center на сервере мониторинга в подсети управления, чтобы помочь выполнить эти задачи.
Эффективность производительности
Эффективность производительности — это возможность вашей рабочей нагрузки отвечать требованиям, заданным пользователями. Дополнительные сведения см. в контрольном списке проверки конструктора дляпроизводительности.
Active Directory автоматически масштабируется для контроллеров домена, входящих в один домен. Запросы распределяются по всем контроллерам в домене. Вы можете добавить другой контроллер домена и автоматически синхронизировать его с доменом. Не настраивайте отдельную подсистему балансировки нагрузки для перенаправления трафика к контроллерам в домене. Убедитесь, что все контроллеры домена имеют достаточный объем памяти и ресурсов хранилища для обработки базы данных домена. Сделайте все виртуальные машины контроллера домена одинаковым размером.
Дальнейшие действия
- Ознакомьтесь с рекомендациями по расширению локального домена AD DS в Azure
- Ознакомьтесь с рекомендациями по созданию инфраструктуры AD FS в Azure.