Dela via

Distribuera AD DS i ett virtuellt Azure-nätverk

Microsoft Entra
Azure Virtual Network

Den här arkitekturen visar hur du utökar en lokal Active Directory domän till Azure för att tillhandahålla distribuerade autentiseringstjänster.

Arkitektur

Diagram som visar en säker hybridnätverksarkitektur som använder Active Directory.

Ladda ned en Visio-fil med den här arkitekturen.

Den här arkitekturen utökar hybridnätverksarkitekturen som visas i Ansluta ett lokalt nätverk till Azure med hjälp av en VPN-gateway.

Arbetsflöde

Följande arbetsflöde motsvarar föregående diagram:

  • Lokalt nätverk: Det lokala nätverket innehåller lokala Active Directory-servrar som kan utföra autentisering och auktorisering för komponenter som finns lokalt.

  • Active Directory-servrar: Dessa servrar är domänkontrollanter som implementerar katalogtjänster som körs som virtuella datorer i molnet. De kan tillhandahålla autentisering av komponenter som körs i ditt virtuella Azure-nätverk.

  • Active Directory-undernät: Active Directory Domain Services-servrarna (AD DS) finns i ett separat undernät. NSG-regler (Network Security Group) hjälper till att skydda AD DS-servrarna och tillhandahålla en brandvägg mot trafik från oväntade källor.

  • Azure VPN Gateway och Active Directory-synkronisering: VPN Gateway tillhandahåller en anslutning mellan det lokala nätverket och Azure Virtual Network. Den här anslutningen kan vara en VPN-anslutning eller via Azure ExpressRoute. Alla synkroniseringsbegäranden mellan Active Directory-servrarna i molnet och lokalt passerar genom gatewayen. Användardefinierade vägar hanterar routning för lokal trafik som skickas till Azure.

Komponenter

  • Microsoft Entra ID är en företagsidentitetstjänst som tillhandahåller enkel inloggning, multifaktorautentisering och villkorsstyrd åtkomst i Microsoft Entra. I den här arkitekturen ger Microsoft Entra ID säkrare åtkomst till molnprogram och tjänster.

  • VPN Gateway är en tjänst som använder virtuella nätverksgatewayer för att skicka krypterad trafik mellan ett virtuellt Azure-nätverk och lokala platser via det offentliga Internet. I den här arkitekturen tillåter VPN Gateway att Active Directory-synkroniseringstrafik flödar säkrare mellan miljöer.

  • ExpressRoute är en tjänst som du kan använda för att utöka dina lokala nätverk till Microsoft-molnet via en privat anslutning med hjälp av en anslutningsleverantör. I den här arkitekturen är ExpressRoute ett alternativ till VPN-anslutningar för scenarier som kräver högre bandbredd och kortare svarstid.

  • Virtuellt nätverk är den grundläggande byggstenen för privata nätverk i Azure. Du kan använda den för att göra det möjligt för Azure-resurser, till exempel virtuella datorer, att kommunicera med varandra, Internet och lokala nätverk. I den här arkitekturen stöder virtuellt nätverk domänreplikering och autentisering.

Information om scenario

Om ditt program delvis finns lokalt och delvis i Azure kan det vara mer effektivt att replikera AD DS i Azure. Den här replikeringen kan minska svarstiden som orsakas av att skicka autentiseringsbegäranden från molnet tillbaka till AD DS-instanser som körs lokalt.

Potentiella användningsfall

Den här arkitekturen används ofta när en VPN- eller ExpressRoute-anslutning ansluter de lokala och virtuella Azure-nätverken. Den här arkitekturen stöder också dubbelriktad replikering, vilket innebär att ändringar kan göras antingen lokalt eller i molnet, och båda källorna hålls konsekventa. Vanliga användningsområden för den här arkitekturen är hybridprogram där funktioner distribueras mellan lokalt och Azure samt program och tjänster som utför autentisering med hjälp av Active Directory.

Rekommendationer

Du kan tillämpa följande rekommendationer på de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Rekommendationer för virtuella datorer

Fastställ kraven på VM-storlek utifrån förväntad volym för autentiseringsbegäranden. Använd specifikationerna för de datorer som är värdar för AD DS lokalt som utgångspunkt och matcha dem med vm-storlekarna i Azure. När du har distribuerat programmet övervakar du användningen och skalar upp eller ned baserat på den faktiska belastningen på de virtuella datorerna. Mer information finns i Kapacitetsplanering för AD DS.

Skapa en separat virtuell datadisk för att lagra mappen databas, loggar och systemvolym (sysvol) för Active Directory. Lagra inte dessa objekt på samma disk som operativsystemet. Som standard är datadiskar anslutna till en virtuell dator med hjälp av skriv-genom-cachelagring. Den här typen av cachelagring kan dock stå i konflikt med kraven för AD DS. Ställ därför in värdcacheinställningen på datadisken på Ingen.

Distribuera minst två virtuella datorer som kör AD DS som domänkontrollanter och lägg till dem i olika tillgänglighetszoner. Om tillgänglighetszoner inte är tillgängliga i regionen distribuerar du de virtuella datorerna i en tillgänglighetsuppsättning.

Nätverksrekommendationer

Konfigurera vm-nätverksgränssnittet (NIC) för varje domänkontrollant med en statisk privat IP-adress i stället för att använda DHCP (Dynamic Host Configuration Protocol). Genom att tilldela en statisk IP-adress direkt till den virtuella datorn kan klienterna fortsätta att kontakta domänkontrollanten även om DHCP-tjänsten inte är tillgänglig. Mer information finns i Skapa en virtuell dator som använder en statisk privat IP-adress.

Kommentar

Konfigurera inte nätverkskortet för virtuella datorer för ad ds med hjälp av en offentlig IP-adress. Mer information finns i Säkerhetsöverväganden.

Active Directory-undernätets NSG kräver regler för att tillåta inkommande trafik från lokal och utgående trafik till lokalt. Mer information finns i Konfigurera en brandvägg för Active Directory-domäner och förtroenden.

Om de nya virtuella domänkontrollantdatorerna också har rollen som DNS-servrar (Domain Name System) rekommenderar vi att du konfigurerar dem som anpassade DNS-servrar på den virtuella nätverksnivån, enligt beskrivningen i Ändra DNS-servrar. Du bör använda den här konfigurationen för det virtuella nätverk som är värd för de nya domänkontrollanterna och peer-kopplade nätverk där andra virtuella datorer måste matcha Active Directory-domännamn. Mer information finns i Namnmatchning för resurser i virtuella Azure-nätverk.

För den inledande konfigurationen kan du behöva justera nätverkskortet för en av dina domänkontrollanter i Azure för att peka på en domänkontrollant lokalt som den primära DNS-källan.

Införandet av ip-adressen i listan över DNS-servrar förbättrar prestanda och ökar tillgängligheten för DNS-servrar. En startfördröjning kan dock inträffa om DNS-servern också är en domänkontrollant och endast pekar på sig själv eller pekar på sig själv först för namnmatchning.

Därför bör du vara försiktig när du konfigurerar loopback-adressen på ett kort om servern också är en domänkontrollant. Du kan behöva skriva över NIC DNS-inställningarna i Azure för att peka mot en annan domänkontrollant som finns i Azure eller lokalt för den primära DNS-servern. Loopback-adressen ska endast konfigureras som en sekundär eller tertiär DNS-server på en domänkontrollant.

Active Directory-plats

I AD DS representerar en plats en fysisk plats, ett nätverk eller en samling enheter. Använd AD DS-platser för att hantera AD DS-databasreplikering genom att gruppera AD DS-objekt som finns nära varandra och som är anslutna via ett höghastighetsnätverk. AD DS innehåller logik för att välja den bästa strategin för att replikera AD DS-databasen mellan platser.

Vi rekommenderar att du skapar en AD DS-webbplats, inklusive de undernät som definierats för ditt program i Azure. Sedan kan du konfigurera en platslänk mellan dina lokala AD DS-platser. AD DS utför automatiskt den mest effektiva databasreplikeringen som möjligt. Den här databasreplikeringen kräver inte mycket arbete utöver den inledande konfigurationen.

Active Directory-driftshanterare

Du kan tilldela rollen som drifthanterare till AD DS-domänkontrollanter för att stödja konsekvens när de kontrollerar mellan instanser av replikerade AD DS-databaser. De fem huvudrollerna för åtgärder är schemahanterare, huvudnamn för domännamngivning, relativ identifierare, primär domänkontrollanthuvudemulator och infrastrukturhanterare. Mer information finns i Planera åtgärder master rollplacering.

Vi rekommenderar också att du ger minst två av de nya Azure-domänkontrollanterna rollen global katalog (GC). Mer information finns i Planera GC-serverplacering.

Övervakning

Övervaka resurserna för de virtuella domänkontrollanterna och AD DS och skapa en plan för att åtgärda eventuella problem snabbt. Mer information finns i Övervaka Active Directory. Du kan också installera verktyg som Microsoft Systems Center på övervakningsservern för att utföra dessa uppgifter.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns iWell-Architected Framework.

Tillförlitlighet

Tillförlitlighet hjälper till att säkerställa att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i Checklista för designgranskning för tillförlitlighet.

Distribuera de virtuella datorer som kör AD DS till minst två tillgänglighetszoner. Om tillgänglighetszoner inte är tillgängliga i regionen använder du tillgänglighetsuppsättningar. Överväg också att tilldela rollen som reservåtgärdshanterare till minst en server eller mer, beroende på dina krav. En reservåtgärdshanterare är en aktiv kopia av operationshanteraren som kan ersätta den primära operationshanterarens server under redundansväxlingen.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Checklista för designgranskning för säkerhet.

AD DS-servrar tillhandahåller autentiseringstjänster och är ett tilltalande mål för attacker. För att skydda dem förhindrar du direkt internetanslutning genom att placera AD DS-servrarna i ett separat undernät med en NSG som brandvägg. Stäng alla portar på AD DS-servrarna förutom de portar som krävs för autentisering, auktorisering och serversynkronisering. Mer information finns i Konfigurera en brandvägg för Active Directory-domäner och förtroenden.

Använd antingen BitLocker- eller Azure-diskkryptering för att kryptera disken som är värd för AD DS-databasen.

Azure DDoS Protection, kombinerat med metodtips för programdesign, ger förbättrade DDoS-åtgärdsfunktioner för att skydda mot DDoS-attacker. Du bör aktivera DDoS Protection i alla virtuella perimeternätverk.

Kostnadsoptimering

Kostnadsoptimering fokuserar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Checklista för designgranskning för kostnadsoptimering.

Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure. Andra överväganden beskrivs i avsnittet Kostnadsoptimering i Well-Architected Framework.

I följande avsnitt beskrivs kostnadsöverväganden för de tjänster som används i den här arkitekturen.

Microsoft Entra domäntjänster

Överväg att använda Microsoft Entra Domain Services som en delad tjänst som används av flera arbetsbelastningar för att sänka kostnaderna. Mer information finns i Priser för Domain Services.

VPN-gateway

VPN Gateway är huvudkomponenten i den här arkitekturen. Du debiteras baserat på den tid då gatewayen etableras och är tillgänglig.

All inkommande trafik är kostnadsfri och all utgående trafik debiteras. Kostnader för bandbredd tillämpas på utgående VPN-trafik.

Mer information finns i priser för VPN Gateway.

Virtuellt nätverk

Virtuellt nätverk är kostnadsfritt. Varje prenumeration kan skapa upp till 1 000 virtuella nätverk i alla regioner. All trafik inom ett virtuellt nätverks gränser är kostnadsfri, så kommunikationen mellan två virtuella datorer i samma virtuella nätverk är kostnadsfri.

Operativ skicklighet

Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Checklista för designgranskning för Operational Excellence.

  • Använd infrastruktur som kodmetoder för att etablera och konfigurera nätverks- och säkerhetsinfrastrukturen. Ett alternativ är Azure Resource Manager-mallar.

  • Isolera arbetsbelastningar för att göra det möjligt för DevOps att utföra kontinuerlig integrering och kontinuerlig leverans (CI/CD) eftersom varje arbetsbelastning är associerad och hanterad av motsvarande DevOps-team.

I den här arkitekturen identifieras hela det virtuella nätverket som innehåller de olika programnivåerna, hopprutan för hantering och Domäntjänster som en enskild isolerad arbetsbelastning.

Du kan konfigurera AD DS på virtuella datorer med hjälp av VM-tillägg och andra verktyg, till exempel DSC (Desired State Configuration).

  • Överväg att automatisera dina distributioner med hjälp av Azure DevOps eller andra CI/CD-lösningar. Azure Pipelines är den rekommenderade komponenten i Azure DevOps Services. Det ger automatisering för lösningsbyggen och distributioner och är mycket integrerat i Azure-ekosystemet.

  • Använd Azure Monitor för att analysera infrastrukturens prestanda. Du kan också använda den för att övervaka och diagnostisera nätverksproblem utan att logga in på dina virtuella datorer. Application Insights innehåller omfattande mått och loggar för att verifiera tillståndet för din infrastruktur.

Mer information finns i avsnittet DevOps i Well-Architected Framework.

Hanterbarhet

Utför regelbundna säkerhetskopieringar av AD DS. Kopiera inte bara VHD-filerna (Virtual Hard Disk) för domänkontrollanter eftersom AD DS-databasfilen på den virtuella hårddisken kanske inte är konsekvent när den kopieras, vilket gör det omöjligt att starta om databasen.

Vi rekommenderar inte att du stänger av en virtuell domänkontrollantdator med hjälp av Azure-portalen. Stäng i stället av och starta om gästoperativsystemet. Om du stänger av en domänkontrollant med hjälp av Azure-portalen gör det att den virtuella datorn frigörs, vilket resulterar i följande effekter när du startar om den virtuella domänkontrollantens virtuella dator:

  • Den återställer VM-GenerationID och för invocationID Active Directory-lagringsplatsen.
  • Den tar bort den aktuella RID-poolen (Active Directory Relative Identifier).
  • Den markerar sysvol-mappen som nonauthoritative.

Det första problemet är relativt godartat. Upprepad återställning av invocationID orsakar mindre ytterligare bandbreddsanvändning under replikeringen, men den här användningen är inte betydande.

Det andra problemet kan bidra till RID-poolöverbelastning i domänen, särskilt om RID-poolstorleken är konfigurerad att vara större än standardvärdet. Om domänen finns under en längre tid eller används för arbetsflöden som kräver upprepad skapande och borttagning av konton kanske den redan närmar sig överbelastning av RID-poolen. Det är bra att övervaka domänen för varningshändelser för RID-poolöverbelastning. Mer information finns i Hantera RID-utfärdande.

Det tredje problemet är relativt ofarligt så länge en auktoritativ domänkontrollant är tillgänglig när en virtuell domänkontrollant i Azure startas om. Om alla domänkontrollanter i en domän körs i Azure och alla stängs av samtidigt och frigörs, kan varje domänkontrollant inte hitta en auktoritativ replik när du startar om dem. Att åtgärda det här villkoret kräver manuella åtgärder. Mer information finns i Tvinga auktoritativ och nonauthoritativ synkronisering för DFSR-replikerad sysvol-replikering.

Prestandaeffektivitet

Prestandaeffektivitet syftar på arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav. Mer information finns i Checklista för designgranskning för prestandaeffektivitet.

AD DS har utformats för skalbarhet. Du behöver inte konfigurera en lastbalanserare eller trafikkontrollant för att dirigera begäranden till AD DS-domänkontrollanter. Det enda skalbarhetsövervägandet är att konfigurera de virtuella datorer som kör AD DS med rätt storlek för nätverksbelastningskraven, övervaka belastningen på de virtuella datorerna och skala upp eller ned efter behov.

Nästa steg