了解使用 Active Directory 域服务和 Azure 虚拟机的主要方案
涉及 AD DS 和 Azure 虚拟机的主要方案有以下三种:
- 在不使用跨界连接的情况下将 AD DS 部署到 Azure 虚拟机。 此部署将会创建新林,其中所有域控制器都驻留在 Azure 中。 如果你打算实现在 Azure 虚拟机上托管的 Azure 驻留的工作负载,且该 Azure 虚拟机依赖 Kerberos 身份验证或组策略但不具有本地依赖项,请使用此方法。
- 使用跨界连接将现有本地 AD DS 部署到 Azure 虚拟机所在的 Azure 虚拟网络。 此方案使用现有本地 Active Directory 环境为 Azure 虚拟机驻留的工作负载提供身份验证。 在考虑此设计时,应考虑与跨界网络流量相关的延迟。
- 使用跨界连接将现有本地 AD DS 部署到 Azure 虚拟机中托管额外域控制器的 Azure 虚拟网络。 此方案的主要目标是通过本地化身份验证流量来优化工作负载性能。
在计划将 AD DS 域控制器部署到 Azure 虚拟机时,应考虑以下事项:
- 跨界连接性。 如果打算将现有 AD DS 环境扩展到 Azure,则关键设计要素是本地环境与 Azure 虚拟网络之间的跨界连接性。 必须设置站点到站点的虚拟专用网 (VPN) 或 Microsoft Azure ExpressRoute。
- Active Directory 拓扑。 在跨界方案中,应配置 AD DS 站点以反映跨界网络基础结构。 这样就可以本地化身份验证流量并控制本地和基于 Azure 虚拟机的域控制器之间的复制流量。 站点内复制假定具有高带宽和永久可用的连接。 相比之下,站点间复制允许计划和限制复制流量。 此外,适当的站点设计可确保给定站点中的域控制器能够处理来自该站点的身份验证请求。
- 只读域控制器 (RODC)。 由于安全方面的考虑,一些客户对将可写域控制器部署到 Azure 虚拟机持谨慎态度。 减轻这种担忧的一种方法是改为部署 RODC。 RODC 和可写域控制器提供类似的用户体验。 但是,RODC 会减少出口流量的量和相应的费用。 如果驻留在 Azure 上的工作负载不需要对 AD DS 进行频繁的写入访问,则这是一个不错的方案。
- 全局目录放置。 无论使用哪种域拓扑,都应将所有基于 Azure 虚拟机的域控制器配置为全局目录服务器。 这样的安排可防止全局目录查找遍历跨界网络链接,因为这会对性能产生负面影响。