Skapa en Active Directory Domain Service-resursskog i Azure

Den här referensarkitekturen visar hur du skapar en separat Active Directory-domän i Azure som är betrodd av domäner i din lokala Active Directory-skog.

Architecture

Ladda ned en Visio-fil med den här arkitekturen.

Components

• Det lokala nätverket innehåller en egen Active Directory-skog och domäner.

• Active Directory-servrar är domänkontrollanter som implementerar domäntjänster som körs som virtuella datorer i molnet. Dessa servrar är värdar för en skog med en eller flera domäner som skiljer sig från de som finns lokalt.

• En enkelriktad förtroenderelation gör det möjligt för lokala användare att komma åt resurser i domänen i Azure. Användare som tillhör Azure-domänen kan dock inte komma åt resurser i den lokala domänen. Exemplet i diagrammet visar ett enkelriktad förtroende från domänen i Azure till den lokala domänen.

• Active Directory-undernätet är ett separat nätverkssegment som är värd för AD DS-servrarna (Active Directory Domain Services). Regler för nätverkssäkerhetsgrupp skyddar dessa servrar och ger en brandvägg mot trafik från oväntade källor.

• Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. Mer information finns i Konfigurera ExpressRoute- och plats-till-plats-samexisterande anslutningar med hjälp av PowerShell.

Scenario details

AD DS lagrar identitetsinformation i en hierarkisk struktur. The top node in the hierarchical structure is known as a forest. En skog innehåller domäner och domäner innehåller andra typer av objekt. Den här referensarkitekturen skapar en AD DS-skog i Azure med en enkelriktad utgående förtroenderelation med en lokal domän. Skogen i Azure innehåller en domän som inte finns lokalt. På grund av förtroenderelationen kan inloggningar som görs mot lokala domäner vara betrodda för åtkomst till resurser i den separata Azure-domänen.

Potentiella användningsfall

Typiska användningsområden för den här arkitekturen är att upprätthålla säkerhetsavgränsning för objekt och identiteter som lagras i molnet. De omfattar även migrering av enskilda domäner från lokal plats till molnet.

Mer information finns i Integrera lokala Active Directory-domäner med Microsoft Entra-ID.

Recommendations

Du kan tillämpa följande rekommendationer på de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Specifika rekommendationer om hur du implementerar Active Directory i Azure finns i Distribuera AD DS i ett virtuellt Azure-nätverk.

Trust

De lokala domänerna finns i en annan skog än domänerna i molnet. För att aktivera autentisering av lokala användare i molnet måste domänerna i Azure lita på inloggningsdomänen i den lokala skogen. Om molnet på samma sätt tillhandahåller en inloggningsdomän för externa användare kan det vara nödvändigt för den lokala skogen att lita på molndomänen.

Du kan upprätta förtroenden på skogsnivå genom att skapa skogsförtroenden eller på domännivå genom att skapa externa förtroenden. Ett förtroende på skogsnivå skapar en relation mellan alla domäner i två skogar. Ett externt förtroende på domännivå skapar bara en relation mellan två angivna domäner. Du bör bara skapa externa förtroenden på domännivå mellan domäner i olika skogar.

Trusts with an on-premises Active Directory are only one way, or unidirectional. Med ett enkelriktad förtroende kan användare i en domän eller skog, som kallas inkommande domän eller skog, komma åt resurser i en annan domän eller skog, så kallad utgående domän eller skog. Användare i den utgående domänen kan inte komma åt resurser i den inkommande domänen.

I följande tabell sammanfattas förtroendekonfigurationer för enkla scenarier:

Considerations

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. For more information, see Well-Architected Framework.

Reliability

Tillförlitlighet hjälper till att säkerställa att ditt program kan uppfylla de åtaganden som du gör gentemot dina kunder. Mer information finns i checklistan för Designgranskning för tillförlitlighet.

Etablera minst två domänkontrollanter för varje domän. Den här metoden möjliggör automatisk replikering mellan servrar. Skapa en tillgänglighetsuppsättning för de virtuella datorer som fungerar som Active Directory-servrar som hanterar varje domän. Placera minst två servrar i den här tillgänglighetsuppsättningen.

Överväg att utse en eller flera servrar i varje domän som hanteringshanterare för väntelägesåtgärder om anslutningen till en server som fungerar som en flexibel enskild huvudåtgärdsroll misslyckas.

Security

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i checklistan för Designgranskning för Security.

Förtroenden på skogsnivå är transitiva. Om du upprättar ett förtroende på skogsnivå mellan en lokal skog och en skog i molnet utökas förtroendet till alla nya domäner som skapats i någon av skogarna. Om du använder domäner för att tillhandahålla separation i säkerhetssyfte bör du överväga att endast skapa förtroenden på domännivå. Förtroenden på domännivå är inte transitiva.

Mer information om Active Directory-specifika säkerhetsöverväganden finns i avsnittet säkerhetsöverväganden i Distribuera AD DS i ett virtuellt Azure-nätverk.

Cost Optimization

Kostnadsoptimering fokuserar på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i checklistan Designgranskning för kostnadsoptimering.

Använd Priskalkylatorn för Azure för att beräkna kostnaderna för de tjänster som används i den här arkitekturen.

Microsoft Entra domäntjänster

Överväg att distribuera Microsoft Entra Domain Services som en delad tjänst som flera arbetsbelastningar förbrukar för att sänka kostnaderna. Mer information finns i Jämför självhanterade Active Directory Domain Services, Microsoft Entra ID och hanterade Microsoft Entra Domain Services.

Azure VPN Gateway

Huvudkomponenten i den här arkitekturen är VPN-gatewaytjänsten. Du debiteras baserat på hur lång tid gatewayen etableras och är tillgänglig.

All inkommande trafik är kostnadsfri och all utgående trafik debiteras. Internetbandbreddskostnader tillämpas på VPN-utgående trafik.

Mer information finns i priser för VPN Gateway.

Operational Excellence

Operational Excellence omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i checklistan för Designgranskning för Operational Excellence.

DevOps

For DevOps considerations, see Operational Excellence.

Manageability

Mer information om hanterings- och övervakningsöverväganden finns i Distribuera AD DS i ett virtuellt Azure-nätverk.

Följ riktlinjerna i Övervaka Active Directory. Du kan installera verktyg som Microsoft System Center på en övervakningsserver i hanteringsundernätet för att utföra dessa uppgifter.

Performance Efficiency

Prestandaeffektivitet syftar på arbetsbelastningens förmåga att skala för att effektivt uppfylla användarnas krav. Mer information finns i checklistan för Designgranskning för prestandaeffektivitet.

Active Directory är automatiskt skalbart för domänkontrollanter som ingår i samma domän. Begäranden distribueras över alla kontrollanter inom en domän. Du kan lägga till en annan domänkontrollant och den synkroniseras automatiskt med domänen. Konfigurera inte en separat lastbalanserare för att dirigera trafik till kontrollanter inom domänen. Kontrollera att alla domänkontrollanter har tillräckligt med minne och lagringsresurser för att hantera domändatabasen. Gör alla virtuella domänkontrollantdatorer till samma storlek.

Related resources

• Lär dig metodtipsen för hur du utökar din lokala AD DS-domän till Azure.
• Lär dig metodtipsen för hur du skapar en AD FS-infrastruktur (Active Directory Federation Services) i Azure.