探索 Active Directory Domain Services 和 Azure 虛擬機器主要使用案例
有三個需要 AD DS 和 Azure 虛擬機器的主要案例:
- AD DS 未經跨單位連線部署至 Azure 虛擬機器。 此部署會導致建立新的樹系,而所有網域控制站都位於在 Azure 中。 如果您打算實作 Azure 駐留的工作負載,而這些工作負載裝載於雖依賴 Kerberos 驗證或群組原則,卻沒有內部部署相依性的 Azure 虛擬機器上,則請使用此方法。
- 現有的內部部署 AD DS 部署,其具有 Azure 虛擬機器所在 Azure 虛擬網路的跨單位連線能力。 此案例會使用現有的內部部署 Active Directory 環境,以針對 Azure 虛擬機器駐留工作負載提供驗證。 考慮這種設計時,您應該考慮與跨單位網路流量相關聯的延遲。
- 現有的內部部署 AD DS 部署,其具有 Azure 虛擬網路的跨單位連線能力,並在 Azure 虛擬機器上裝載其他網域控制站。 此案例的主要目標是將驗證流量當地語系化,進而將工作負載效能最佳化。
規劃將 AD DS 網域控制站部署至 Azure 虛擬機器時,您應考量下列事項:
- 跨單位連線。 如果您想要將現有的 AD DS 環境擴充至 Azure,則重要的設計元素是內部部署環境與 Azure 虛擬網路之間的跨單位連線。 您必須設定站對站虛擬私人網路 (VPN) 或 Microsoft Azure ExpressRoute。
- Active Directory 拓撲。 在跨單位案例中,您應該設定 AD DS 網站,以反映跨單位網路基礎結構。 這讓您將驗證流量當地語系化,以及控制內部部署與 Azure 虛擬機器型網域控制站之間的複寫流量。 網站內複寫會採用高頻寬和永久可用的連線。 相比之下,網站間複寫允許排程和節流複寫流量。 此外,適當的網站設計可確保指定網站中的網域控制站處理來自該網站的驗證要求。
- 唯讀網域控制站 (RODC)。 基於安全性考量,有些客戶會謹慎地將可寫入的網域控制站部署至 Azure 虛擬機器。 降低此疑慮的其中一種方法是改為部署 RODC。 RODC 和可寫入的網域控制站可提供類似的使用者體驗。 不過,RODC 會降低輸出流量的數量和對應的費用。 如果 Azure 常駐工作負載不需要頻繁寫入 AD DS 的存取權,這是不錯的選擇。
- 通用類別目錄放置。 無論您的網域拓撲為何,都應該將所有 Azure 虛擬機器型網域控制站設定為通用類別目錄伺服器。 這種安排可防止通用類別目錄查閱周遊跨單位網路連結,而這會對效能造成負面影響。