此参考体系结构演示如何在 Azure 中创建一个单独的 Active Directory 域,该域由本地 AD 林中的域信任。
下载适用于“AD DS 林”体系结构的 Visio 文件。
Active Directory 域服务(AD DS)将标识信息存储在分层结构中。 分层结构中的顶部节点称为林。 林包含域,域包含其他类型的对象。 此参考体系结构在 Azure 中创建 AD DS 林,并具有与本地域的单向传出信任关系。 Azure 中的林包含本地不存在的域。 由于信任关系,可以信任针对本地域进行的登录,以便访问单独的 Azure 域中的资源。
此体系结构的典型用途包括维护云中保存的对象和标识的安全分离,以及将单个域从本地迁移到云。
有关其他注意事项,请参阅 选择将本地 Active Directory 与 Azure集成的解决方案。
建筑
该体系结构具有以下组件。
- 本地网络。 本地网络包含自己的 Active Directory 林和域。
- Active Directory 服务器。 这些域控制器实现作为云中的 VM 运行的域服务的域控制器。 这些服务器托管包含一个或多个域的林,与本地域分开。
- 单向信任关系。 该图中的示例显示了从 Azure 中的域到本地域的单向信任。 这种关系使本地用户能够访问 Azure 中域中的资源,但不能访问其他方式。
- Active Directory 子网。 AD DS 服务器托管在单独的子网中。 网络安全组 (NSG) 规则保护 AD DS 服务器,并针对来自意外源的流量提供防火墙。
- Azure 网关。 Azure 网关提供本地网络与 Azure VNet 之间的连接。 可以是 VPN 连接,也可以 Azure ExpressRoute。 有关详细信息,请参阅 使用 VPN 网关将本地网络连接到 Azure。
建议
有关在 Azure 中实现 Active Directory 的具体建议,请参阅 将 Active Directory 域服务(AD DS)扩展到 Azure。
信任
本地域包含在与云中的域不同的林中。 若要在云中启用本地用户的身份验证,Azure 中的域必须信任本地林中的登录域。 同样,如果云为外部用户提供登录域,则可能需要本地林信任云域。
可以通过创建林信任 在林级别建立信任,也可以通过 创建外部信任在域级别建立信任。 林级别信任在两个林中的所有域之间创建关系。 外部域级别信任仅创建两个指定域之间的关系。 只应在不同林中的域之间创建外部域级别信任。
与本地 Active Directory 的信任仅单向(单向)。 单向信任使一个域或林(称为 传入 域或林)中的用户能够访问另一个域或林中保存的资源(传出 域或林)。
下表汇总了某些简单方案的信任配置:
| 场景 | 本地信任 | 云信任 |
|---|---|---|
| 本地用户需要访问云中的资源,但反之亦然 | 单向传入 | 单向、传出 |
| 云中的用户需要访问本地资源,但反之亦然 | 单向、传出 | 单向传入 |
考虑
这些注意事项实现 Azure Well-Architected 框架的支柱,这是一组指导原则,可用于提高工作负荷的质量。 有关详细信息,请参阅 azure Well-Architected Framework Microsoft。
可靠性
可靠性可确保应用程序能够履行对客户的承诺。 有关详细信息,请参阅 可靠性的设计评审清单。
为每个域至少预配两个域控制器。 这样就可以在服务器之间自动复制。 为充当处理每个域的 Active Directory 服务器的 VM 创建可用性集。 将此可用性集中至少放置两台服务器。
此外,请考虑将每个域中的一个或多个服务器指定为 备用作主机 以防连接到充当灵活单一主作(FSMO)角色的服务器失败。
安全
安全性提供针对故意攻击和滥用宝贵数据和系统的保证。 有关详细信息,请参阅 安全的设计评审清单。
林级信任是可传递的。 如果在本地林与云中的林之间建立林级别信任,此信任将扩展到在任一林中创建的其他新域。 如果使用域为安全目的提供隔离,请考虑仅在域级别创建信任。 域级别信任是不可传递的。
有关特定于 Active Directory 的安全注意事项,请参阅 将 Active Directory 扩展到 Azure中的安全注意事项部分。
成本优化
成本优化是研究减少不必要的开支和提高运营效率的方法。 有关详细信息,请参阅 成本优化的设计评审清单。
使用 azure 定价计算器 来估算成本。 Microsoft Azure Well-Architected Framework的“成本”部分介绍了其他注意事项。
下面是此体系结构中使用的服务的成本注意事项。
AD 域服务
请考虑将 Active Directory 域服务作为多个工作负荷使用的共享服务来降低成本。 有关详细信息,请参阅 Active Directory 域服务定价。
Azure VPN 网关
此体系结构的主要组件是 VPN 网关服务。 系统会根据预配和可用网关的时间量向你收费。
所有入站流量是免费的,所有出站流量都收费。 Internet 带宽成本适用于 VPN 出站流量。
有关详细信息,请参阅 VPN 网关定价。
卓越运营
卓越运营涵盖部署应用程序并使其在生产环境中运行的运营流程。 有关详细信息,请参阅 卓越运营的设计评审清单。
DevOps
有关 DevOps 注意事项,请参阅将 Active Directory 域服务(AD DS)扩展到 Azure 卓越运营。
可管理性
有关管理和监视注意事项的信息,请参阅 将 Active Directory 扩展到 Azure。
按照 监视 Active Directory中的指南进行作。 可以在管理子网中的监视服务器上安装 Microsoft Systems Center 等工具,以帮助执行这些任务。
性能效率
性能效率是工作负荷以高效方式满足用户对它的需求的能力。 有关详细信息,请参阅 性能效率的设计评审清单。
对于属于同一域的域控制器,Active Directory 会自动缩放。 请求分布在域中的所有控制器中。 可以添加另一个域控制器,并自动与域同步。 不要将单独的负载均衡器配置为将流量定向到域中的控制器。 确保所有域控制器都具有足够的内存和存储资源来处理域数据库。 使所有域控制器 VM 的大小都相同。
后续步骤
- 了解 将本地 AD DS 域扩展到 Azure 的最佳做法
- 了解在 Azure 中创建 AD FS 基础结构 最佳做法。