Изучение основных сценариев с помощью служб домен Active Directory и Azure Виртуальные машины

  • 7 мин

Существует три основных сценария, которые включают AD DS и Azure Виртуальные машины:

  • AD DS, развернутые в Azure Виртуальные машины без подключения к локальной среде. Такое развертывание позволяет создать новую совокупность деревьев со всеми контроллерами домена, размещенными в Azure. Используйте этот подход, если планируется реализовать локальные рабочие нагрузки Azure, размещенные в Azure Виртуальные машины, которые используют проверку подлинности Kerberos или групповую политику, но не имеют локальных зависимостей.
  • Существующее локальное развертывание AD DS с кросс-локальным подключением к виртуальной сети Azure, в которой находится Виртуальные машины Azure. В этом сценарии используется существующая среда локальная служба Active Directory для проверки подлинности для рабочих нагрузок виртуальной машины Azure. Рассматривая такой вариант, следует учитывать задержку, связанную с распределенным сетевым трафиком.
  • Существующее локальное развертывание AD DS с кросс-локальным подключением к виртуальной сети Azure, где размещен дополнительный контроллер домена в Azure Виртуальные машины. Основная цель этого сценария — оптимизация производительности рабочей нагрузки за счет локализации трафика проверки подлинности.

При планировании развертывания контроллеров домена AD DS в Azure Виртуальные машины следует учитывать следующее:

  • Перекрестное подключение. Если вы планируете расширить существующую среду AD DS в Azure, то ключевой элемент — это перекрестное подключение между локальной средой и виртуальной сетью Azure. Вы должны настроить виртуальную частную сеть (VPN) типа "сеть — сеть" или Microsoft Azure ExpressRoute.
  • Топология Active Directory. В сценариях перекрестного развертывания нужно настроить AD DS таким образом, чтобы они отражали вашу перекрестную сетевую инфраструктуру. Это позволяет локализовать трафик проверки подлинности и управлять трафиком репликации между локальными и контроллерами домена на основе виртуальных машин Azure. При локальной репликации требуется высокая пропускная способность и постоянное подключение. Напротив, перекрестная репликация позволяет планировать и регулировать трафик репликации. Кроме того, правильная структура сайта гарантирует, что контроллеры домена обработают запросы проверки подлинности, исходящие от него.
  • Контроллеры домена только для чтения (RODC). Некоторые клиенты чувствуют осторожность в развертывании контроллеров домена, доступных для записи, в Azure Виртуальные машины из-за проблем безопасности. Одним из способов решения этой проблемы является развертывание RODC. RODC и контроллеры домена с возможностью записи имеют аналогичные пользовательские интерфейсы. Однако RODC уменьшает объем исходящего трафика и соответствующие затраты. Это хороший вариант, если для рабочей нагрузки azure-резидента не требуется частый доступ на запись в AD DS.
  • Размещение глобального каталога. Независимо от топологии домена необходимо настроить все контроллеры домена на основе виртуальных машин Azure в качестве глобальных серверов каталога. Это не позволит поисковым запросам глобального каталога использовать локальные сетевые связи, что могло бы отрицательно сказаться на производительности.