Den här referensarkitekturen visar hur du skapar en separat Active Directory-domän i Azure som är betrodd av domäner i din lokala AD-skog.
Ladda ned en Visio-fil för arkitekturen "AD DS Forest".
Active Directory Domain Services (AD DS) lagrar identitetsinformation i en hierarkisk struktur. Den översta noden i den hierarkiska strukturen kallas för en skog. En skog innehåller domäner och domäner innehåller andra typer av objekt. Den här referensarkitekturen skapar en AD DS-skog i Azure med en enkelriktad utgående förtroenderelation med en lokal domän. Skogen i Azure innehåller en domän som inte finns lokalt. På grund av förtroenderelationen kan inloggningar som görs mot lokala domäner vara betrodda för åtkomst till resurser i den separata Azure-domänen.
Typiska användningsområden för den här arkitekturen är att upprätthålla säkerhetsavgränsning för objekt och identiteter som finns i molnet och migrera enskilda domäner från en lokal plats till molnet.
Ytterligare överväganden finns i Välj en lösning för att integrera lokala Active Directory med Azure.
Arkitektur
Arkitekturen har följande komponenter.
- lokalt nätverk. Det lokala nätverket innehåller en egen Active Directory-skog och domäner.
- Active Directory-servrar. Det här är domänkontrollanter som implementerar domäntjänster som körs som virtuella datorer i molnet. Dessa servrar är värdar för en skog som innehåller en eller flera domäner, åtskilda från dem som finns lokalt.
- enkelriktad förtroenderelation. Exemplet i diagrammet visar ett enkelriktad förtroende från domänen i Azure till den lokala domänen. Den här relationen gör det möjligt för lokala användare att komma åt resurser i domänen i Azure, men inte tvärtom.
- Active Directory-undernät. AD DS-servrarna finns i ett separat undernät. NSG-regler (Network Security Group) skyddar AD DS-servrarna och tillhandahåller en brandvägg mot trafik från oväntade källor.
- Azure Gateway. Azure-gatewayen tillhandahåller en anslutning mellan det lokala nätverket och det virtuella Azure-nätverket. Det kan vara en VPN-anslutning eller Azure ExpressRoute. Mer information finns i Ansluta ett lokalt nätverk till Azure med hjälp av en VPN-gateway.
Rekommendationer
Specifika rekommendationer om hur du implementerar Active Directory i Azure finns i Utöka Active Directory Domain Services (AD DS) till Azure.
Förtroende
De lokala domänerna finns i en annan skog än domänerna i molnet. För att aktivera autentisering av lokala användare i molnet måste domänerna i Azure lita på inloggningsdomänen i den lokala skogen. På samma sätt kan det vara nödvändigt för den lokala skogen att lita på molndomänen om molnet tillhandahåller en inloggningsdomän för externa användare.
Du kan upprätta förtroenden på skogsnivå genom att skapa skogsförtroendeneller på domännivå genom att skapa externa förtroenden. Ett förtroende på skogsnivå skapar en relation mellan alla domäner i två skogar. Ett förtroende på extern domännivå skapar bara en relation mellan två angivna domäner. Du bör bara skapa förtroenden på extern domännivå mellan domäner i olika skogar.
Förtroenden med en lokal Active Directory är bara enkelriktade (enkelriktade). Med ett enkelriktad förtroende kan användare i en domän eller skog (kallas inkommande domän eller skog) komma åt de resurser som finns i en annan (utgående domän eller skog).
I följande tabell sammanfattas förtroendekonfigurationer för några enkla scenarier:
| Scenario | Lokalt förtroende | Molnförtroende |
|---|---|---|
| Lokala användare kräver åtkomst till resurser i molnet, men inte tvärtom | Enkelriktad, inkommande | Enkelriktad, utgående |
| Användare i molnet kräver åtkomst till resurser som finns lokalt, men inte tvärtom | Enkelriktad, utgående | Enkelriktad, inkommande |
Överväganden
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
Tillförlitlighet
Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i checklistan för Designgranskning för tillförlitlighet.
Etablera minst två domänkontrollanter för varje domän. Detta möjliggör automatisk replikering mellan servrar. Skapa en tillgänglighetsuppsättning för de virtuella datorer som fungerar som Active Directory-servrar som hanterar varje domän. Placera minst två servrar i den här tillgänglighetsuppsättningen.
Överväg också att utse en eller flera servrar i varje domän som standby-åtgärdshanterare om anslutningen till en server som fungerar som en flexibel FSMO-roll (single master operation) misslyckas.
Säkerhet
Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i checklistan för Designgranskning för Security.
Förtroenden på skogsnivå är transitiva. Om du upprättar ett förtroende på skogsnivå mellan en lokal skog och en skog i molnet utökas det här förtroendet till andra nya domäner som skapats i någon av skogarna. Om du använder domäner för att tillhandahålla separation i säkerhetssyfte bör du överväga att endast skapa förtroenden på domännivå. Förtroenden på domännivå är inte transitiva.
För Active Directory-specifika säkerhetsöverväganden, se avsnittet säkerhetsöverväganden i Utöka Active Directory till Azure.
Kostnadsoptimering
Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i checklistan Designgranskning för kostnadsoptimering.
Använd priskalkylatorn för Azure för att beräkna kostnaderna. Andra överväganden beskrivs i avsnittet Kostnad i Microsoft Azure Well-Architected Framework.
Här följer kostnadsöverväganden för de tjänster som används i den här arkitekturen.
AD Domain Services
Överväg att ha Active Directory Domain Services som en delad tjänst som används av flera arbetsbelastningar för att sänka kostnaderna. Mer information finns i Prissättning för Active Directory Domain Services.
Azure VPN Gateway
Huvudkomponenten i den här arkitekturen är VPN-gatewaytjänsten. Du debiteras baserat på hur lång tid gatewayen etableras och är tillgänglig.
All inkommande trafik är kostnadsfri, all utgående trafik debiteras. Internetbandbreddskostnader tillämpas på VPN-utgående trafik.
Mer information finns i PRISSÄTTNING för VPN Gateway.
Operational Excellence
Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i checklistan för Designgranskning för Operational Excellence.
DevOps
Mer information om DevOps finns i Operational Excellence in Extending Active Directory Domain Services (AD DS) to Azure( Operational Excellence in Extending Active Directory Domain Services (AD DS) to Azure.
Hanterbarhet
Information om hanterings- och övervakningsöverväganden finns i Utöka Active Directory till Azure.
Följ riktlinjerna i Monitoring Active Directory. Du kan installera verktyg som Microsoft Systems Center på en övervakningsserver i hanteringsundernätet för att utföra dessa uppgifter.
Prestandaeffektivitet
Prestandaeffektivitet är arbetsbelastningens förmåga att uppfylla användarnas krav på det på ett effektivt sätt. Mer information finns i checklistan för Designgranskning för prestandaeffektivitet.
Active Directory är automatiskt skalbart för domänkontrollanter som ingår i samma domän. Begäranden distribueras över alla kontrollanter inom en domän. Du kan lägga till en annan domänkontrollant och den synkroniseras automatiskt med domänen. Konfigurera inte en separat lastbalanserare för att dirigera trafik till kontrollanter inom domänen. Kontrollera att alla domänkontrollanter har tillräckligt med minne och lagringsresurser för att hantera domändatabasen. Gör alla virtuella domänkontrollantdatorer till samma storlek.
Nästa steg
- Lär dig metodtipsen för utöka din lokala AD DS-domän till Azure
- Lär dig metodtipsen för att skapa en AD FS-infrastruktur i Azure.