Utforska primära scenarier med hjälp av Active Directory-domän Services och Azure Virtual Machines

  • 7 minuter

Det finns tre huvudscenarier som omfattar AD DS och Azure Virtual Machines:

  • AD DS distribueras till virtuella Azure-datorer utan anslutning mellan platser. Den här distributionen resulterar i att en ny skog skapas, där alla domänkontrollanter finns i Azure. Använd den här metoden om du planerar att implementera Azure-bosatta arbetsbelastningar som finns på virtuella Azure-datorer som är beroende av Kerberos-autentisering eller grupprincip men inte har några lokala beroenden.
  • Befintlig lokal AD DS-distribution med anslutning mellan platser till ett virtuellt Azure-nätverk där Azure Virtual Machines finns. I det här scenariot används en befintlig lokal Active Directory miljö för att tillhandahålla autentisering för Azure Virtual Machine-bosatta arbetsbelastningar. När du överväger den här designen bör du överväga svarstiden som är associerad med trafik mellan lokala nätverk.
  • Befintlig lokal AD DS-distribution med anslutning mellan platser till ett virtuellt Azure-nätverk som är värd för extra domänkontrollant på Azure Virtual Machines. Det primära målet med det här scenariot är att optimera arbetsbelastningsprestanda genom att lokalisera autentiseringstrafik.

När du planerar distributionen av AD DS-domänkontrollanter till virtuella Azure-datorer bör du överväga följande:

  • Anslutning mellan platser. Om du tänker utöka din befintliga AD DS-miljö till Azure är ett viktigt designelement en anslutning mellan olika platser mellan din lokala miljö och det virtuella Azure-nätverket. Du måste antingen konfigurera ett virtuellt privat nätverk för plats-till-plats (VPN) eller Microsoft Azure ExpressRoute.
  • Active Directory-topologi. I scenarier mellan platser bör du konfigurera AD DS-platser så att de återspeglar din infrastruktur för flera lokala nätverk. På så sätt kan du lokalisera autentiseringstrafiken och styra replikeringstrafiken mellan lokala domänkontrollanter och Azure Virtual Machine-baserade domänkontrollanter. Replikering mellan platser förutsätter hög bandbredd och permanent tillgängliga anslutningar. Replikering mellan platser möjliggör däremot schemaläggning och begränsning av replikeringstrafik. Dessutom säkerställer en korrekt webbplatsdesign att domänkontrollanter på en viss plats hanterar autentiseringsbegäranden som kommer från den platsen.
  • Skrivskyddade domänkontrollanter (RODC). Vissa kunder känner sig försiktiga med att distribuera skrivbara domänkontrollanter till Azure Virtual Machines på grund av säkerhetsproblem. Ett sätt att minimera problemet är att distribuera RODC i stället. RODC:er och skrivbara domänkontrollanter ger liknande användarupplevelser. Rodc sänker dock mängden utgående trafik och motsvarande avgifter. Det här är ett bra alternativ om en Azure-baserad arbetsbelastning inte kräver frekvent skrivåtkomst till AD DS.
  • Global katalogplacering. Oavsett domäntopologi bör du konfigurera alla dina Azure Virtual Machine-baserade domänkontrollanter som globala katalogservrar. Det här arrangemanget förhindrar att globala katalogsökningar passerar mellan lokala nätverkslänkar, vilket skulle påverka prestanda negativt.