Rozšíření služby Active Directory Domain Services (AD DS) do AzureExtend Active Directory Domain Services (AD DS) to Azure

Tato referenční architektura ukazuje postup rozšíření prostředí služby Active Directory do Azure za účelem zajištění distribuované ověřovací služby pomocí služby Active Directory Domain Services (AD DS).This reference architecture shows how to extend your Active Directory environment to Azure to provide distributed authentication services using Active Directory Domain Services (AD DS). Nasaďte toto řešení.Deploy this solution.

00

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

Služba AD DS se používá k ověření uživatele, počítače, aplikace nebo jiných identit, které jsou součástí domény zabezpečení.AD DS is used to authenticate user, computer, application, or other identities that are included in a security domain. Může být hostovaná místně, pokud je ale vaše aplikace hostovaná částečně místně a částečně v Azure, může být efektivnější tuto funkci replikovat v Azure.It can be hosted on-premises, but if your application is hosted partly on-premises and partly in Azure, it may be more efficient to replicate this functionality in Azure. Můžete tak snížit latenci způsobenou odesíláním žádostí o ověření a místní autorizaci z cloudu zpět do místně provozované služby AD DS.This can reduce the latency caused by sending authentication and local authorization requests from the cloud back to AD DS running on-premises.

Tato architektura se obvykle používá, když jsou místní síť a služba Azure Virtual Network propojené pomocí připojení VPN nebo ExpressRoute.This architecture is commonly used when the on-premises network and the Azure virtual network are connected by a VPN or ExpressRoute connection. Tato architektura dále podporuje obousměrnou replikaci, což znamená, že změny mohou být prováděny buď místně nebo v cloudu a oba zdroje zůstanou konzistentní.This architecture also supports bidirectional replication, meaning changes can be made either on-premises or in the cloud, and both sources will be kept consistent. Mezi typická použití této architektury patří hybridní aplikace, ve kterých se funkce distribuují místně i ve službě Azure, a aplikace a služby, které provádějí ověřování pomocí služby Active Directory.Typical uses for this architecture include hybrid applications in which functionality is distributed between on-premises and Azure, and applications and services that perform authentication using Active Directory.

Další informace najdete v článku Volba řešení pro integraci místní služby Active Directory s Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitekturaArchitecture

Tato architektura rozšiřuje architekturu popsanou v tématu DMZ mezi Azure a internetem.This architecture extends the architecture shown in DMZ between Azure and the Internet. Má následující komponenty.It has the following components.

  • Místní síť:On-premises network. Místní síť obsahuje místní servery služby Active Directory, které mohou provádět ověřování a autorizaci místních komponent.The on-premises network includes local Active Directory servers that can perform authentication and authorization for components located on-premises.
  • Servery služby Active Directory.Active Directory servers. Jedná se o řadiče domény implementující adresářové služby (AD DS) spuštěné jako virtuální počítače v cloudu.These are domain controllers implementing directory services (AD DS) running as VMs in the cloud. Tyto servery mohou poskytovat ověřování komponent spuštěných ve službě Azure Virtual Network.These servers can provide authentication of components running in your Azure virtual network.
  • Podsíť služby Active Directory.Active Directory subnet. Servery služby AD DS jsou hostované v samostatné podsíti.The AD DS servers are hosted in a separate subnet. Pravidla skupiny zabezpečení sítě chrání servery AD DS a poskytují bránu firewall proti provozu z neočekávaných zdrojů.Network security group (NSG) rules protect the AD DS servers and provide a firewall against traffic from unexpected sources.
  • Azure Gateway a synchronizace služby Active Directory.Azure Gateway and Active Directory synchronization. Brána Azure Gateway zajišťuje spojení mezi vaší místní sítí a virtuální sítí Azure.The Azure gateway provides a connection between the on-premises network and the Azure VNet. Může se jednat o připojení VPN nebo Azure ExpressRoute.This can be a VPN connection or Azure ExpressRoute. Veškeré žádosti o synchronizaci mezi servery služby Active Directory v cloudu a místními servery prochází skrze bránu.All synchronization requests between the Active Directory servers in the cloud and on-premises pass through the gateway. Uživatelem definované trasy zpracovávají směrování místního provozu, který se předává do Azure.User-defined routes (UDRs) handle routing for on-premises traffic that passes to Azure. Provoz do a ze serverů služby Active Directory se nepředává prostřednictvím síťových virtuálních zařízení použitých v tomto scénáři.Traffic to and from the Active Directory servers does not pass through the network virtual appliances (NVAs) used in this scenario.

Další informace ohledně konfigurace uživatelem definovaných tras a síťových virtuálních zařízení najdete v tématu Implementace zabezpečené hybridní síťové architektury v Azure.For more information about configuring UDRs and the NVAs, see Implementing a secure hybrid network architecture in Azure.

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Doporučení pro virtuální počítačeVM recommendations

Určete požadavky na velikost virtuálního počítače na základě očekávaného objemu žádostí o ověření.Determine your VM size requirements based on the expected volume of authentication requests. Jako výchozí bod použijte specifikace počítačů hostujících místně službu AD DS a porovnejte je s velikostmi virtuálních počítačů služby Azure.Use the specifications of the machines hosting AD DS on premises as a starting point, and match them with the Azure VM sizes. Po nasazení monitorujte využití a na základě skutečného zatížení virtuálních počítačů vertikálně zvyšte nebo snižte kapacitu.Once deployed, monitor utilization and scale up or down based on the actual load on the VMs. Další informace o určení velikosti řadičů domény služby AD DS najdete v tématu Plánování kapacity pro službu Active Directory Domain Services.For more information about sizing AD DS domain controllers, see Capacity Planning for Active Directory Domain Services.

Vytvořte samostatný virtuální datový disk k uložení databáze, protokolů a adresáře SYSVOL pro službu Active Directory.Create a separate virtual data disk for storing the database, logs, and SYSVOL for Active Directory. Tyto položky neukládejte na stejný disk s operačním systémem.Do not store these items on the same disk as the operating system. Mějte na paměti, že datové disky připojené k virtuálnímu počítači používají ve výchozím nastavení mezipaměť s přímým zápisem.Note that by default, data disks that are attached to a VM use write-through caching. Tento druh mezipaměti však může být v konfliktu s požadavky služby AD DS.However, this form of caching can conflict with the requirements of AD DS. Z tohoto důvodu nastavte nastavení preference mezipaměti hostitele datového disku na Žádná.For this reason, set the Host Cache Preference setting on the data disk to None. Další informace najdete v tématu pokyny pro nasazení systému Windows Server Active Directory na Azure Virtual Machines.For more information, see Guidelines for Deploying Windows Server Active Directory on Azure Virtual Machines.

Nasaďte alespoň dva virtuální počítače se spuštěnou službou AD DS jako řadiče domény a přidejte je do skupiny dostupnosti.Deploy at least two VMs running AD DS as domain controllers and add them to an availability set.

Doporučení pro sítěNetworking recommendations

Nakonfigurujte síťové rozhraní virtuálního počítače pro každý server služby AD DS se statickou privátní IP adresou, abyste zajistili plnou podporu DNS.Configure the VM network interface (NIC) for each AD DS server with a static private IP address for full domain name service (DNS) support. Další informace najdete v článku Postup nastavení statické privátní IP adresy na portálu Azure Portal.For more information, see How to set a static private IP address in the Azure portal.

Poznámka

Neprovádějte konfiguraci síťového rozhraní virtuálních počítačů pro službu AD DS s veřejnou IP adresou.Do not configure the VM NIC for any AD DS with a public IP address. Další podrobnosti najdete v tématu Aspekty zabezpečení.See Security considerations for more details.

Skupina zabezpečení podsítě Active Directory vyžaduje k povolení příchozího místního provozu pravidla.The Active Directory subnet NSG requires rules to permit incoming traffic from on-premises. Podrobné informace o portech používaných službou AD DS najdete v tématu Požadavky portů služeb Active Directory a Active Directory Domain Services.For detailed information on the ports used by AD DS, see Active Directory and Active Directory Domain Services Port Requirements. Ujistěte se také, že tabulky uživatelem definovaných tras nesměrují provoz služby AD DS přes síťová virtuální zařízení používaná v této architektuře.Also, ensure the UDR tables do not route AD DS traffic through the NVAs used in this architecture.

Lokalita Active DirectoryActive Directory site

Lokalita ve službě AD DS představuje fyzické umístění, síť nebo kolekci zařízení.In AD DS, a site represents a physical location, network, or collection of devices. Lokality AD DS se používají ke správě replikací databáze služby AD DS prostřednictvím seskupování objektů služby AD DS umístěných blízko sebe a připojených vysokorychlostní sítí.AD DS sites are used to manage AD DS database replication by grouping together AD DS objects that are located close to one another and are connected by a high speed network. AD DS obsahuje logiku pro výběr nejlepší strategie replikace databáze AD DS mezi lokalitami.AD DS includes logic to select the best strategy for replacating the AD DS database between sites.

Doporučujeme vytvořit lokalitu služby AD DS, včetně podsítí definovaných pro vaši aplikaci v Azure.We recommend that you create an AD DS site including the subnets defined for your application in Azure. Potom nakonfigurujte propojení lokalit mezi místními lokalitami služby AD DS. AD DS pak automaticky provede nejúčinnější možnou replikaci databáze.Then, configure a site link between your on-premises AD DS sites, and AD DS will automatically perform the most efficient database replication possible. Tato replikace databáze vyžaduje trochu více než jen původní konfiguraci.Note that this database replication requires little beyond the initial configuration.

Hlavní operační servery služby Active DirectoryActive Directory operations masters

Roli hlavních operačních serverů můžete přiřadit řadičům domény služby AD DS, abyste podpořili kontrolu konzistence mezi instancemi replikovaných databází služby AD DS.The operations masters role can be assigned to AD DS domain controllers to support consistency checking between instances of replicated AD DS databases. Existuje pět rolí hlavního operačního serveru: hlavní server schémat, hlavní názvový server domény, hlavní server RID, emulátor hlavního serveru primárního řadiče domény a hlavní server infrastruktury.There are five operations master roles: schema master, domain naming master, relative identifier master, primary domain controller master emulator, and infrastructure master. Další informace o těchto rolích najdete v článku Co jsou hlavní operační servery.For more information about these roles, see What are Operations Masters?.

Doporučujeme, abyste role hlavních operačních serverů nepřiřazovali řadičům domény nasazeným v Azure.We recommend you do not assign operations masters roles to the domain controllers deployed in Azure.

MonitorováníMonitoring

Monitorujte prostředky virtuálních počítačů řadičů domény i službu AD DS a vytvořte plán pro rychlou opravu jakýchkoli problémů.Monitor the resources of the domain controller VMs as well as the AD DS Services and create a plan to quickly correct any problems. Další informace najdete v článku Monitorování služby Active Directory.For more information, see Monitoring Active Directory. Na monitorovací server (viz diagram architektury) můžete také nainstalovat nástroje, jako je například Microsoft Systems Center, které vám s prováděním těchto úkolů pomohou.You can also install tools such as Microsoft Systems Center on the monitoring server (see the architecture diagram) to help perform these tasks.

Aspekty zabezpečeníScalability considerations

Služba AD DS je určená pro škálovatelnost.AD DS is designed for scalability. Nemusíte konfigurovat nástroj pro vyrovnávání zatížení ani řadič provozu, abyste mohli směrovat žádosti na řadiče domény služby AD DS.You don't need to configure a load balancer or traffic controller to direct requests to AD DS domain controllers. Jediné, co je kvůli škálovatelnosti potřeba provést, je nakonfigurovat správnou velikost virtuálních počítačů, na kterých běží služba AD DS, tak aby odpovídala požadavkům zatížení sítě, monitorovat zatížení virtuálních počítačů a v případě potřeby vertikálně navýšit nebo snížit kapacitu.The only scalability consideration is to configure the VMs running AD DS with the correct size for your network load requirements, monitor the load on the VMs, and scale up or down as necessary.

Aspekty dostupnostiAvailability considerations

Nasaďte virtuální počítače se službou AD DS do skupiny dostupnosti.Deploy the VMs running AD DS into an availability set. Zvažte také přiřazení role pohotovostního hlavního operačního serveru alespoň jednomu nebo více serverům dle vašich požadavků.Also, consider assigning the role of standby operations master to at least one server, and possibly more depending on your requirements. Pohotovostní hlavní operační server je aktivní kopií hlavního operačního serveru, který je možné při převzetí služeb při selhání použít místo primárního hlavního operačního serveru.A standby operations master is an active copy of the operations master that can be used in place of the primary operations masters server during fail over.

Aspekty správyManageability considerations

Provádějte pravidelné zálohování služby AD DS.Perform regular AD DS backups. Provádění pravidelného zálohování nelze nahradit prostým kopírováním souborů VHD řadičů domény, protože soubor databáze AD DS na disku VHD nemusí být při kopírování v konzistentním stavu a může znemožnit restartování databáze.Don't simply copy the VHD files of domain controllers instead of performing regular backups, because the AD DS database file on the VHD may not be in a consistent state when it's copied, making it impossible to restart the database.

Virtuální počítač řadiče domény nevypínejte pomocí portálu Azure Portal.Do not shut down a domain controller VM using Azure portal. Radši ho vypněte a restartujte v hostovaném operačním systému.Instead, shut down and restart from the guest operating system. Vypnutí prostřednictvím portálu způsobí uvolnění virtuálního počítače a resetování VM-GenerationID a invocationID úložiště služby Active Directory.Shutting down through the portal causes the VM to be deallocated, which resets both the VM-GenerationID and the invocationID of the Active Directory repository. Fond identifikátorů RID služby AD DS se zahodí a adresář SYSVOL se označí jako neautoritativní. Může se také vyžadovat rekonfigurace řadiče domény.This discards the AD DS relative identifier (RID) pool and marks SYSVOL as nonauthoritative, and may require reconfiguration of the domain controller.

Aspekty zabezpečeníSecurity considerations

Servery služby AD DS poskytují služby ověřování a jsou atraktivním cílem útoků.AD DS servers provide authentication services and are an attractive target for attacks. Pokud je chcete zabezpečit, zabraňte přímému připojení k internetu tím, že servery AD DS umístíte do samostatné podsítě se skupinou zabezpečení sítě, která se chová jako brána firewall.To secure them, prevent direct Internet connectivity by placing the AD DS servers in a separate subnet with an NSG acting as a firewall. Na serverech AD DS zavřete všechny porty, kromě portů nezbytných pro ověřování, autorizaci a synchronizaci serverů.Close all ports on the AD DS servers except those necessary for authentication, authorization, and server synchronization. Další informace najdete v tématu Požadavky portů služeb Active Directory a Active Directory Domain Services.For more information, see Active Directory and Active Directory Domain Services Port Requirements.

Zvažte implementaci další bezpečnostní hraniční sítě kolem serverů s párem podsítí a síťových virtuálních zařízení, jak je popsáno v tématu Implementace zabezpečené hybridní síťové architektury s přístupem k internetu v Azure.Consider implementing an additional security perimeter around servers with a pair of subnets and NVAs, as described in Implementing a secure hybrid network architecture with Internet access in Azure.

K šifrování disku hostujícího databázi služby AD DS použijte nástroj BitLocker nebo službu Azure Disk Encryption.Use either BitLocker or Azure disk encryption to encrypt the disk hosting the AD DS database.

Nasazení řešeníDeploy the solution

Nasazení pro tuto architekturu je dostupné na GitHubu.A deployment for this architecture is available on GitHub. Všimněte si, že celé nasazení může trvat až dvě hodiny, což zahrnuje vytváření brány VPN a spouštění skriptů, které slouží ke konfiguraci služby AD DS.Note that the entire deployment can take up to two hours, which includes creating the VPN gateway and running the scripts that configure AD DS.

PožadavkyPrerequisites

  1. Klonování, rozvětvit nebo stáhněte soubor zip pro referenční architektury úložiště GitHub.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Nainstalujte Azure CLI 2.0.Install Azure CLI 2.0.

  3. Nainstalujte stavební bloky Azure balíčku npm.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Z příkazového řádku bash řádku nebo řádku Powershellu se přihlaste ke svému účtu Azure následujícím způsobem:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Nasazení simulovaného místního datacentraDeploy the simulated on-premises datacenter

  1. Přejděte identity/adds-extend-domain složky úložiště GitHub.Navigate to the identity/adds-extend-domain folder of the GitHub repository.

  2. Otevřete soubor onprem.json.Open the onprem.json file. Hledat výskyty adminPassword a Password a přidejte hodnoty pro hesla.Search for instances of adminPassword and Password and add values for the passwords.

  3. Spusťte následující příkaz a počkejte na dokončení nasazení:Run the following command and wait for the deployment to finish:

    azbb -s <subscription_id> -g <resource group> -l <location> -p onprem.json --deploy
    

Nasadit virtuální síť AzureDeploy the Azure VNet

  1. Otevřete soubor azure.json.Open the azure.json file. Hledat výskyty adminPassword a Password a přidejte hodnoty pro hesla.Search for instances of adminPassword and Password and add values for the passwords.

  2. Ve stejném souboru vyhledejte instance sharedKey a zadejte sdílené klíče pro připojení k síti VPN.In the same file, search for instances of sharedKey and enter shared keys for the VPN connection.

    "sharedKey": "",
    
  3. Spusťte následující příkaz a počkejte na dokončení nasazení.Run the following command and wait for the deployment to finish.

    azbb -s <subscription_id> -g <resource group> -l <location> -p onoprem.json --deploy
    

    Nasazení do stejné skupiny prostředků jako místní virtuální sítě.Deploy to the same resource group as the on-premises VNet.

Test připojení k virtuální síti AzureTest connectivity with the Azure VNet

Po dokončení nasazení můžete otestovat conectivity ze simulovaného místního prostředí do virtuální sítě Azure.After deployment completes, you can test conectivity from the simulated on-premises environment to the Azure VNet.

  1. Pomocí webu Azure portal, přejděte do skupiny prostředků, kterou jste vytvořili.Use the Azure portal, navigate to the resource group that you created.

  2. Vyhledejte virtuální počítač s názvem ra-onpremise-mgmt-vm1.Find the VM named ra-onpremise-mgmt-vm1.

  3. Kliknutím na Connect otevřete vzdálenou uživatelskou relaci s virtuálním počítačem.Click Connect to open a remote desktop session to the VM. Uživatelské jméno je contoso\testuser, a heslo je ten, který jste zadali v onprem.json soubor s parametry.The username is contoso\testuser, and the password is the one that you specified in the onprem.json parameter file.

  4. Z uvnitř relace vzdálené plochy, otevřete další relaci vzdálené plochy k 10.0.4.4, který se shoduje s IP adresou virtuálního počítače s názvem adds-vm1.From inside your remote desktop session, open another remote desktop session to 10.0.4.4, which is the IP address of the VM named adds-vm1. Uživatelské jméno je contoso\testuser, a heslo je ten, který jste zadali v azure.json soubor s parametry.The username is contoso\testuser, and the password is the one that you specified in the azure.json parameter file.

  5. Z uvnitř relace vzdálené plochy pro adds-vm1, přejděte na stránku správce serveru a klikněte na tlačítko přidat další servery pro správu.From inside the remote desktop session for adds-vm1, go to Server Manager and click Add other servers to manage.

  6. V služby Active Directory klikněte na tlačítko najít.In the Active Directory tab, click Find now. Zobrazí se seznam AD, služba AD DS a virtuálních počítačů Web.You should see a list of the AD, AD DS, and Web VMs.

Další postupNext steps