На схеме эталонной архитектуры представлены данные о создании отдельного домена Active Directory в Azure, который является доверенным для доменов в локальном лесу AD.
Скачайте файл Visio для архитектуры "Лес AD DS".
Доменные службы Active Directory (AD DS) хранят сведения об удостоверении в виде иерархической структуры. Верхний узел в иерархической структуре называется лесом. Лес содержит домены, которые, в свою очередь, содержат объекты других типов. Эталонная архитектура создает лес AD DS в Azure с односторонним исходящим отношением доверия с локальным доменом. Лес в Azure содержит домен, отсутствующий в локальной среде. Благодаря отношению доверия операции входа в локальные домены могут быть доверенными и получать доступ к ресурсам в отдельном домене Azure.
Типичные способы применения этой архитектуры включают поддержку разделения по безопасности для облачных объектов и удостоверений, а также перенос отдельных доменов из локальной среды в облако.
Дополнительные рекомендации см. в статье Выбор решения для интеграции локальная служба Active Directory с Azure.
Архитектура
Архитектура состоит из следующих компонентов.
- Локальная сеть. Локальная сеть содержит собственные лес и домены Active Directory.
- Серверы Active Directory. Они являются контроллерами домена, которые реализуют службы домена, работающие в облаке в качестве виртуальных машин. На этих серверах размещается лес с одним или несколькими доменами, отдельными от локальных.
- Одностороннее отношение доверия. В примере на этой диаграмме показано одностороннее отношение доверия между доменом в Azure и локальным доменом. Это отношение позволяет локальным пользователям получать доступ к ресурсам в домене в Azure, но не наоборот.
- Подсеть Active Directory. Серверы доменных служб Active Directory находятся в отдельной подсети. Правила группы безопасности сети (NSG) защищают серверы доменных служб Active Directory и предоставляют брандмауэр для трафика из неизвестных источников.
- Шлюз Azure. Шлюз Azure обеспечивает соединение между локальной и виртуальной сетями Azure. Это может быть VPN-подключение или Azure ExpressRoute. Дополнительные сведения см. в статье Connect an on-premises network to Azure using a VPN gateway (Подключение локальной сети к Azure с использованием VPN-шлюза).
Рекомендации
Конкретные рекомендации по реализации Active Directory в Azure см. в статье Расширение доменные службы Active Directory (AD DS) в Azure.
Доверие
Локальные домены находятся в другом лесу, отличном от леса с доменами в облаке. Чтобы включить аутентификацию локальных пользователей в облаке, домены в Azure должны доверять домену входа в систему в локальном лесу. Аналогично, если облако предоставляет домен входа в систему для внешних пользователей, возможно, понадобится настроить отношение доверия между локальным лесом и облачным доменом.
Вы можете установить отношения доверия на уровне леса путем создания доверия леса или на уровне домена путем создания внешних доверий. Уровень доверия леса создает связь между всеми доменами в двух лесах. Доверительные отношения на уровне внешнего домена создают связь только между двумя указанными доменами. Вам необходимо только создать доверительные отношения на уровне внешнего домена между доменами в разных лесах.
Отношения доверия с локальная служба Active Directory являются однонаправленными (однонаправленными). Одностороннее отношение доверия позволяет пользователям из одного домена или леса (известного как входящий домен или лес) получать доступ к ресурсам, которые содержатся в другом (исходящем домене или лесу).
В следующей таблице перечислены конфигурации доверия для некоторых простых сценариев:
Сценарий | Локальное отношение доверия | Отношение доверия облака |
---|---|---|
Локальным пользователям требуется доступ к ресурсам в облаке, но не наоборот | Односторонний, входящий трафик | Односторонний, исходящий трафик |
Пользователям в облаке требуется доступ к локальным ресурсам, но не наоборот | Односторонний, исходящий трафик | Односторонний, входящий трафик |
Вопросы масштабируемости
Active Directory автоматически масштабируется для контроллеров, которые являются частью одного домена. Запросы распространяются на все контроллеры в домене. Вы можете добавить еще один контроллер домена, и он автоматически синхронизируется с доменом. Не настраивайте отдельную подсистему балансировки нагрузки для направления трафика в контроллерах в домене. Убедитесь, что все контроллеры домена имеют достаточно ресурсов памяти и хранилища для обработки базы данных домена. Сделайте все виртуальные машины контроллера домена одного размера.
Вопросы доступности
Подготовьте по крайней мере два контроллера домена для каждого домена. Это позволяет выполнять репликацию между серверами автоматически. Создайте группу доступности для виртуальных машин, действующих в качестве серверов Active Directory, обрабатывающих каждый домен. Поместите по крайней мере два сервера в эту группу доступности.
Кроме того, рассмотрите вопрос о назначении одного или нескольких серверов в каждом домене в качестве владельцев резервных операций в случае сбоя подключения к серверу, который выступает в качестве владельца роли FSMO.
Вопросы управляемости
Дополнительные сведения и рекомендации по управлению и мониторингу см. в статье Расширение доменных служб Active Directory в Azure.
Дополнительные сведения см. в документе Monitoring Active Directory (Мониторинг Active Directory). Вы можете установить инструменты (например, Microsoft Systems Center) на сервере мониторинга в подсети управления для выполнения этих задач.
Вопросы безопасности
Отношения доверия на уровне леса являются транзитивными. Если установить отношение доверия на уровне леса между локальным и облачным лесами, оно распространяется на другие новые домены в любом лесу. Если вы используете домены для обеспечения разделения в целях безопасности, рекомендуется создать доверительные отношения только на уровне домена. Отношения доверия на уровне домена являются нетранзитивными.
Рекомендации по безопасности, связанные с Active Directory, см. в разделе "Вопросы безопасности" в статье Расширение доменных служб Active Directory в Azure.
Рекомендации для DevOps
Рекомендации по DevOps см. в статье Эффективность работы статьи Расширение доменные службы Active Directory (AD DS) в Azure.
Рекомендации по стоимости
Для оценки затрат используйте калькулятор цен Azure. Другие рекомендации описаны в разделе "Затраты" в Microsoft Azure Well-Architected Framework.
Ниже приведены рекомендации по затратам на службы, используемые в этой архитектуре.
доменные службы Active Directory;
Рассмотрите возможность использования доменных служб Active Directory в качестве общей службы, которая в свою очередь используется несколькими рабочими нагрузками для снижения затрат. Дополнительные сведения см. в разделе цены на доменные службы Active Directory.
VPN-шлюз Azure
Компонентом main этой архитектуры является служба VPN-шлюза. Плата взимается за каждый час использования предоставленного и доступного шлюза.
Весь входящий трафик бесплатный, весь исходящий трафик оплачивается. Затраты на пропускную способность Интернета связаны с исходящим трафиком VPN.
Дополнительные сведения см. на странице Шлюз VPN. Цены.
Дальнейшие действия
- Изучите рекомендации по расширению локальных доменов доменных служб Active Directory в Azure
- Изучите рекомендации по созданию инфраструктуры служб федерации Active Directory (AD FS) в Azure.