Conceitos e recursos de conjunto de réplicas para Microsoft Entra Domain Services

Ao criar um domínio gerenciado do Microsoft Entra Domain Services, você define um namespace exclusivo. Esse namespace é o nome de domínio, como contosocloud.com, e dois controladores de domínio (DCs) são implantados na região do Azure selecionada. Essa implantação de DCs é conhecida como conjunto de réplicas.

Você pode expandir um domínio gerenciado para ter mais de um conjunto de réplicas por locatário do Microsoft Entra ID. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure com suporte ao Domain Services. Conjuntos de réplicas adicionais em diferentes regiões do Azure fornecem recuperação de desastre geográfica para aplicativos herdados se uma região do Azure fica offline.

Observação

Os conjuntos de réplicas não permitem que você implante vários domínios gerenciados exclusivos em um único locatário do Azure. Cada conjunto de réplicas contém os mesmos dados.

Como funcionam os conjuntos de réplicas

Quando você cria um domínio gerenciado, como contosocloud.com, um conjunto de réplicas inicial é criado. Os conjuntos de réplicas adicionais compartilham os mesmos namespace e configuração. As alterações no Domain Services, incluindo configuração, identidade do usuário e credenciais, grupos, objetos de política de grupo, objetos de computador e outras alterações, são aplicadas a todos os conjuntos de réplicas no domínio gerenciado por meio da replicação do AD DS.

Você cria cada conjunto de réplicas em uma rede virtual. Cada rede virtual deve ser emparelhada a todas as outras redes virtuais que hospedam um conjunto de réplicas de um domínio gerenciado. Essa configuração cria uma topologia de rede de malha que permite a replicação de diretório. Uma rede virtual pode permitir vários conjuntos de réplicas, desde que cada conjunto de réplicas esteja em uma sub-rede virtual diferente.

Todos os conjuntos de réplicas são colocados no mesmo site do Active Directory. Como resultado, todas as alterações são propagadas usando a replicação intrassite para convergência rápida.

Observação

Não é possível definir sites separados e definir configurações de replicação entre conjuntos de réplicas.

O diagrama a seguir mostra um domínio gerenciado com dois conjuntos de réplicas. O primeiro conjunto de réplicas é criado com o namespace de domínio. Um segundo conjunto de réplicas é criado depois disso:

Diagrama de exemplo de domínio gerenciado com dois conjuntos de réplicas

Observação

Os conjuntos de réplicas garantem a disponibilidade dos serviços de autenticação em regiões em que um conjunto de réplicas está configurado. Para que um aplicativo tenha redundância geográfica se houver uma interrupção regional, a plataforma de aplicativo que se baseia no domínio gerenciado também deve residir na outra região.

Resiliência de outros serviços necessários para que o aplicativo funcione, como VMs do Azure ou Serviços de Aplicativos do Azure, não é fornecida por conjuntos de réplicas. O design de disponibilidade de outros componentes de aplicativos precisa considerar os recursos de resiliência para os serviços que compõem o aplicativo.

O exemplo a seguir mostra um domínio gerenciado com três conjuntos de réplicas para oferecer mais resiliência e garantir a disponibilidade dos serviços de autenticação. Em ambos os exemplos, as cargas de trabalho do aplicativo existem na mesma região que o conjunto de réplicas de domínio gerenciado:

Diagrama de exemplo de domínio gerenciado com três conjuntos de réplicas

Considerações de implantação

O SKU padrão para um domínio gerenciado é o SKU Enterprise, que permite vários conjuntos de réplicas. Para criar conjuntos de réplicas adicionais, se você tiver alterado para o SKU Standard, atualize o domínio gerenciado para Enterprise ou Premium.

O número máximo de conjuntos de réplicas compatíveis é de cinco, incluindo a primeira réplica criada quando você criou o domínio gerenciado.

A cobrança para cada conjunto de réplicas é baseada no SKU de configuração de domínio. Por exemplo, se você tiver um domínio gerenciado que usa o SKU Enterprise e tiver três conjuntos de réplicas, sua assinatura será cobrada por hora para cada um dos três conjuntos de réplicas.

Perguntas frequentes

Posso criar um conjunto de réplicas na assinatura diferente do meu domínio gerenciado?

Não. Os conjuntos de réplicas devem estar na mesma assinatura que o domínio gerenciado.

Quantos conjuntos de réplica posso criar?

Você pode criar um máximo de cinco conjuntos de réplicas: o conjunto de réplica inicial para o domínio gerenciado, além de quatro conjuntos de réplicas adicionais.

Como as informações de usuário e grupo são sincronizadas com meus conjuntos de réplicas?

Todos os conjuntos de réplicas são conectados uns aos outros usando um emparelhamento de rede virtual de malha. Um conjunto de réplicas recebe atualizações de usuário e grupo do Microsoft Entra ID. Em seguida, essas alterações são replicadas para os outros conjuntos de réplicas usando replicação do Active Directory Domain Services na rede emparelhada.

Assim como ocorre com o Active Directory Domain Services local, um estado desconectado estendido pode causar interrupção na replicação. Como as redes virtuais ponto a ponto não são transitivas, os requisitos de design para conjuntos de réplicas exigem uma topologia de rede totalmente em malha.

Como fazer alterações em meu domínio gerenciado depois que eu tiver conjuntos de réplicas?

As alterações no domínio gerenciado funcionam exatamente como antes. Você cria e usa uma VM de gerenciamento com as ferramentas RSAT que ingressaram no domínio gerenciado. Você pode unir tantas VMs de gerenciamento ao domínio gerenciado quantas desejar.

Próximas etapas

Para começar a usar os conjuntos de réplicas, crie e configure um domínio gerenciado do Domain Services. Quando implantado, crie e use conjuntos de réplicas adicionais.