此參考架構示範如何在 Azure 中建立個別的 Active Directory 網域,該網域是由內部部署 AD 樹系中的網域所信任。
下載適用於「AD DS 樹系」架構 Visio 檔案。
Active Directory Domain Services (AD DS) 會將身分識別資訊儲存在階層式結構中。 階層式結構中的頂端節點稱為樹系。 樹系包含網域,而網域包含其他類型的物件。 此參考架構會在 Azure 中建立 AD DS 樹系,且具有與內部部署網域的單向連出信任關係。 Azure 中的樹系包含不存在於內部部署的網域。 由於信任關係,對內部部署網域進行的登入可以受到信任,以存取個別 Azure 網域中的資源。
此架構的典型用法包括維護雲端中保留的物件和身分識別的安全性區隔,以及將個別網域從內部部署移轉至雲端。
如需其他考慮,請參閱 選擇整合內部部署 Active Directory 與 Azure的解決方案。
建築
架構具有下列元件。
- 內部部署網路。 內部部署網路包含自己的 Active Directory 樹系和網域。
- Active Directory 伺服器。 這些是實作在雲端中以 VM 身分執行的網域服務的域控制器。 這些伺服器裝載包含一或多個網域的樹系,與位於內部部署的網域分開。
- 單向信任關係。 圖表中的範例顯示從 Azure 中的網域到內部部署網域的單向信任。 此關聯性可讓內部部署使用者存取 Azure 網域中的資源,但不會以另一種方式存取。
- Active Directory 子網。 AD DS 伺服器裝載於不同的子網中。 網路安全組 (NSG) 規則會保護 AD DS 伺服器,並提供防火牆以防止來自非預期來源的流量。
- Azure 閘道。 Azure 閘道提供內部部署網路與 Azure VNet 之間的連線。 這可以是 VPN 連線,或 Azure ExpressRoute。 如需詳細資訊,請參閱 使用 VPN 閘道將內部部署網路連線至 Azure。
建議
如需在 Azure 中實作 Active Directory 的特定建議,請參閱 將 Active Directory Domain Services (AD DS) 擴充至 Azure。
信任
內部部署網域包含在雲端中網域的不同樹系內。 若要啟用雲端內部部署用戶的驗證,Azure 中的網域必須信任內部部署樹系中的登入網域。 同樣地,如果雲端為外部使用者提供登入網域,內部部署樹系可能需要信任雲端網域。
您可以建立樹系層級的信任,方法是 建立樹系信任,或在網域層級建立外部信任 。 樹系層級信任會在兩個樹系中的所有網域之間建立關聯性。 外部網域層級信任只會在兩個指定的網域之間建立關聯性。 您應該只在不同樹系中的網域之間建立外部網域層級信任。
對內部部署 Active Directory 的信任只是單向式(單向)。 單向信任可讓某個網域或樹系中的使用者(稱為 傳入 網域或樹系)存取另一個網域或樹系中保留的資源(傳出 網域或樹系)。
下表摘要說明某些簡單案例的信任設定:
| 場景 | 內部部署信任 | 雲端信任 |
|---|---|---|
| 內部部署使用者需要存取雲端中的資源,但反之亦然 | 單向、傳入 | 單向、傳出 |
| 雲端中的使用者需要存取位於內部部署的資源,但反之亦然 | 單向、傳出 | 單向、傳入 |
考慮
這些考慮會實作 Azure Well-Architected Framework 的要素,這是一組可用來改善工作負載質量的指導原則。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework。
可靠性
可靠性可確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱 可靠性的設計檢閱檢查清單。
為每個網域布建至少兩個域控制器。 這可啟用伺服器之間的自動復寫。 為作為處理每個網域的 Active Directory 伺服器之 VM 建立可用性設定組。 將此可用性設定組中至少放置兩部伺服器。
此外,請考慮將每個網域中的一或多部伺服器指定為 待命作業主機, 萬一伺服器作為彈性單一主機作業 (FSMO) 角色的連線失敗。
安全
安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱 安全性的設計檢閱檢查清單。
樹系層級信任是可轉移的。 如果您在內部部署樹系與雲端中的樹系之間建立樹系層級信任,此信任會延伸至在任一樹系中建立的其他新網域。 如果您使用網域來基於安全性目的提供區隔,請考慮只在網域層級建立信任。 網域層級信任是無法轉移的。
如需 Active Directory 特定的安全性考慮,請參閱 將 Active Directory 擴充至 Azure中的安全性考慮一節。
成本優化
成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化的設計檢閱檢查清單。
使用 Azure 定價計算機 來預估成本。 Microsoft Azure Well-Architected Framework中的成本一節會說明其他考慮。
以下是此架構中使用的服務成本考慮。
AD 網域服務
請考慮將 Active Directory Domain Services 作為多個工作負載所取用的共用服務,以降低成本。 如需詳細資訊,請參閱 Active Directory 網域服務定價。
Azure VPN 閘道
此架構的主要元件是 VPN 閘道服務。 系統會根據布建和可用的閘道時間量向您收費。
所有輸入流量都是免費的,所有輸出流量都會收費。 因特網頻寬成本會套用至 VPN 輸出流量。
如需詳細資訊,請參閱 VPN 閘道定價。
卓越營運
卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 Operational Excellence的設計檢閱檢查清單。
DevOps
如需DevOps考慮,請參閱 將Active Directory Domain Services (AD DS) 擴充至 Azure中的卓越營運。
管理性
如需管理和監視考慮的相關信息,請參閱 將 Active Directory 擴充至 Azure。
請遵循 監視 Active Directory中的指引。 您可以在管理子網的監視伺服器上安裝 Microsoft Systems Center 之類的工具,以協助執行這些工作。
效能效率
效能效率是工作負載以有效率的方式符合其需求的能力。 如需詳細資訊,請參閱 效能效率的設計檢閱檢查清單。
Active Directory 會自動調整屬於相同網域的域控制器。 要求會分散到網域內的所有控制器。 您可以新增另一個域控制器,並自動與網域同步處理。 請勿設定個別的負載平衡器,將流量導向網域內的控制器。 請確定所有域控制器有足夠的記憶體和記憶體資源來處理網域資料庫。 讓所有域控制器 VM 的大小都相同。
後續步驟
- 瞭解 將內部部署 AD DS 網域擴充至 Azure 的最佳做法
- 瞭解在 Azure 中建立 AD FS 基礎結構 最佳做法。