Tato referenční architektura ukazuje postup vytvoření samostatné domény Active Directory v Azure, které důvěřují domény ve vaší místní doménové struktuře AD.
Stáhněte si soubor Visia pro architekturu doménové struktury AD DS.
Active Directory Domain Services (AD DS) ukládá informace o identitě v hierarchické struktuře. Hlavní uzel v hierarchické struktuře se označuje jako doménová struktura. Doménová struktura obsahuje domény a domény obsahují další typy objektů. Tato referenční architektura vytvoří v Azure doménovou strukturu AD DS s jednosměrným odchozím vztahem důvěryhodnosti s místní doménou. Doménová struktura v Azure obsahuje doménu, která místně neexistuje. Vzhledem k vztahu důvěryhodnosti mohou být přihlášení k místním doménám považována za důvěryhodná pro přístup k prostředkům v samostatné doméně Azure.
Mezi obvyklá použití této architektury patří údržba bezpečnostního oddělení objektů a identit uložených v cloudu a migrace jednotlivých domén z místního umístění do cloudu.
Další informace najdete v článku Volba řešení pro integraci místní služby Active Directory s Azure.
Architektura
Tato architektura se skládá z následujících součástí.
- Místní síť. Místní síť obsahuje svou vlastní doménovou strukturu a domény služby Active Directory.
- Servery služby Active Directory. Jedná se o řadiče domény implementující doménové služby spuštěné jako virtuální počítače v cloudu. Tyto servery hostí doménovou strukturu obsahující jednu nebo více domén, oddělených od místních domén.
- Jednosměrný vztah důvěryhodnosti. Příklad v diagramu znázorňuje jednosměrný vztah důvěryhodnosti z domény v Azure k místní doméně. Tento vztah umožňuje místním uživatelům přistupovat k prostředkům v doméně v Azure. Opačným směrem to nejde.
- Podsíť služby Active Directory. Servery služby AD DS jsou hostované v samostatné podsíti. Pravidla skupiny zabezpečení sítě chrání servery AD DS a poskytují bránu firewall proti provozu z neočekávaných zdrojů.
- Azure Gateway. Brána Azure Gateway zajišťuje spojení mezi vaší místní sítí a virtuální sítí Azure. Může se jednat o připojení VPN nebo Azure ExpressRoute. Další informace najdete v článku věnovaném připojení místní sítě k Azure pomocí VPN.
Doporučení
Konkrétní doporučení k implementaci služby Active Directory v Azure najdete v tématu Rozšíření Active Directory Domain Services (AD DS) do Azure.
Důvěryhodnost
Místní domény jsou součástí jiné doménové struktury než domény v cloudu. Pokud chcete povolit ověřování místních uživatelů v cloudu, musí domény v Azure důvěřovat přihlašovací doméně v místní doménové struktuře. Podobně pokud cloud poskytuje přihlašovací doménu pro externí uživatele, bude pravděpodobně nezbytné, aby místní doménová struktura důvěřovala cloudové doméně.
Vztahy důvěryhodnosti na úrovni doménové struktury můžete vytvořit vytvořením vztahů důvěryhodnosti doménové struktury nebo na úrovni domény vytvořením externích vztahů důvěryhodnosti. Vztah důvěryhodnosti na úrovni doménové struktury vytvoří vztah mezi všemi doménami ve dvou doménových strukturách. Externí vztah důvěryhodnosti na úrovni domény vytvoří vztah pouze mezi dvěma zadanými doménami. Externí vztahy důvěryhodnosti na úrovni domény byste měli vytvářet pouze mezi doménami v různých doménových strukturách.
Vztahy důvěryhodnosti s místní Active Directory jsou pouze jednosměrné (jednosměrné). Jednosměrný vztah důvěryhodnosti umožňuje uživatelům v jedné doméně nebo doménové struktuře (označované jako příchozí doména nebo doménová struktura) přistupovat k prostředkům uchovávaným v jiné (odchozí doména nebo doménová struktura).
Následující tabulka obsahuje souhrn konfigurací vztahů důvěryhodnosti pro některé jednoduché scénáře:
| Scenario | Místní vztah důvěryhodnosti | Vztah důvěryhodnosti v cloudu |
|---|---|---|
| Místní uživatelé vyžadují přístup k prostředkům v cloudu, ale ne naopak | Jednosměrný, příchozí | Jednosměrný, odchozí |
| Uživatelé v cloudu vyžadují přístup k místním prostředkům, ale ne naopak | Jednosměrný, odchozí | Jednosměrný, příchozí |
Aspekty zabezpečení
Službu Active Directory je možné automaticky škálovat pro řadiče domény, které jsou součástí stejné domény. Požadavky se distribuují napříč všemi řadiči v doméně. Můžete přidat jiný řadič domény a tento řadič se automaticky synchronizuje s doménou. Nekonfigurujte samostatný nástroj pro vyrovnávání zatížení pro směrování provozu do řadičů v doméně. Zajistěte, aby všechny řadiče domény měly dostatečné prostředky paměti a úložiště, aby zvládly databázi domény. Vytvořte všechny virtuální počítače řadiče domény tak, aby měly stejnou velikost.
Aspekty dostupnosti
Pro každou doménu zřiďte alespoň dva řadiče domény. Umožníte tak automatickou replikaci mezi servery. Vytvořte sadu dostupnosti pro virtuální počítače fungující jako servery služby Active Directory zpracovávající jednotlivé domény. Do této sady dostupnosti umístěte alespoň dva servery.
Zvažte také vyhrazení jednoho nebo více serverů v každé doméně jako pohotovostních hlavních operačních serverů pro případ selhání připojení k serveru s rolí FSMO (flexible single master operation).
Aspekty správy
Informace o aspektech správy a monitorování najdete v článku Rozšíření služby Active Directory do Azure.
Další informace najdete v článku Monitorování služby Active Directory. Na monitorovací server v podsíti pro správu můžete nainstalovat nástroje, jako je například Microsoft Systems Center, které vám s prováděním těchto úkolů pomohou.
Důležité informace o zabezpečení
Vztahy důvěryhodnosti na úrovni doménové struktury jsou tranzitivní. Pokud vytvoříte vztah důvěryhodnosti na úrovni doménové struktury mezi místní doménovou strukturu a doménovou strukturou v cloudu, rozšíří se tento vztah důvěryhodnosti na další nové domény vytvořené v některé z doménových struktur. Pokud domény používáte, abyste zajistili oddělení z bezpečnostních důvodů, zvažte vytvoření vztahů důvěryhodnosti pouze na úrovni domény. Vztahy důvěryhodnosti na úrovni domény nejsou tranzitivní.
Aspekty zabezpečení specifické pro službu Active Directory najdete v části týkající se aspektů zabezpečení v článku Rozšíření služby Active Directory do Azure.
Důležité informace o DevOps
Důležité informace o DevOps najdete v tématu Efektivita provozu při rozšíření Active Directory Domain Services (AD DS) do Azure.
Důležité informace o nákladech
K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsané v části Náklady v tématu Microsoft Azure Well-Architected Framework.
Tady jsou důležité informace o nákladech na služby používané v této architektuře.
AD Domain Services
Pro snížení nákladů zvažte použití Active Directory Domain Services jako sdílené služby, kterou spotřebovává více úloh. Další informace najdete v tématu ceny Active Directory Domain Services.
Službu Azure VPN Gateway
Hlavní komponentou této architektury je služba brány VPN. Poplatky se účtují podle doby, po kterou je brána zajištěná a dostupná.
Veškerý příchozí provoz je zdarma, veškerý odchozí provoz se účtuje. Pro odchozí provoz VPN se účtují náklady na šířku internetového pásma.
Další informace najdete v tématu VPN Gateway – ceny.
Další kroky
- Podívejte se na osvědčené postupy pro rozšíření místní domény služby AD DS do Azure.
- Podívejte se na osvědčené postupy pro vytvoření infrastruktury služby AD FS v Azure.