Předchozí

Další

Hybridní identita

Dokončeno

Společnost Tailwind Traders používala služby Active Directory Domain Services (AD DS) jako místního zprostředkovatele identit ve svém místním síťovém prostředí od doby, kdy po roce 2000 migrovala z Windows NT 4.0. Mnoho stávajících aplikací společnosti Tailwind Traders má závislost na službě Active Directory. Některé z těchto aplikací mají jednoduchou závislost na službě Active Directory coby zprostředkovateli identit. Ostatní mají hlubší závislosti, jako jsou například komplexní požadavky Zásad skupiny, vlastní doménové oddíly a vlastní rozšíření schémat.

Společnost Tailwind Traders začíná přesunovat některé prostředky do Azure a vyvíjí zde nové aplikace, ale nechce vytvářet paralelní řešení pro identity, které by vyžadovalo oddělené přihlašovací údaje pro místní a cloudové prostředky.

V této lekci se dozvíte o různých způsobech implementace hybridní identity.

Nasazení řadičů domény do Azure

Tady je nejjednodušší způsob, jak v Azure zajistit stejné prostředí AD DS, jaké má organizace místně:

1. Nasadíte dvojici řadičů domény služby AD DS do podsítě ve virtuální síti Azure.

2. Připojíte virtuální síť k místní síti.

3. Nakonfigurujete podsíť jako novou lokalitu služby AD DS. Je to vidět na následujícím obrázku.

   

Jinou možností je nakonfigurovat doménu AD DS hostovanou v cloudu jako podřízenou doménu místní doménové struktury. Další možností je nakonfigurovat řadiče domény AD DS běžící v cloudu jako samostatnou doménovou strukturu, která má vztah důvěryhodnosti s místní doménovou strukturou. Na následujícím obrázku je topologie tohoto lesa prostředků.

Když organizace nasadí na virtuální počítače v Azure řadiče domény, můžou nasazovat úlohy, které vyžadují přímé připojení k řadiči domény do stejné podsítě virtuální sítě Azure, kam organizace nasadily virtuální počítače řadičů domén. Toto je koncepčně jednoduchý model hybridního cloudu pro mnoho organizací, protože datacentra Azure se v něm považují za vzdálenou lokalitu služby Active Directory.

Rozšíření místní domény nebo doménové struktury Active Directory do Azure může být pro společnost Tailwind Traders dostačující, ale záleží na požadavcích aplikací. Nevýhodou této nasazené možnosti je, že nepřetržitě spuštěné virtuální počítače, což je očekáváný způsob spuštění řadičů domény, znamenají také nepřetržité náklady.

Co je Microsoft Entra Připojení?

Microsoft Entra Připojení (dříve Azure AD Připojení) umožňuje organizacím synchronizovat identity, které jsou přítomné ve své instanci místní Active Directory, do Microsoft Entra ID (dříve Azure AD). To vám umožní používat stejnou identitu pro cloudové prostředky a místní prostředky. Microsoft Entra Připojení se nejčastěji používá, když organizace přijmou Microsoft 365, aby bylo možné přistupovat k aplikacím, jako je Microsoft SharePoint a Exchange spuštěný v cloudu přes místní aplikace.

Pokud společnost Tailwind Traders plánuje přijmout technologie Microsoftu 365, jako je Exchange Online nebo Microsoft Teams, bude muset nakonfigurovat Microsoft Entra Připojení pro replikaci identit z místního prostředí AD DS do Azure. Pokud chce společnost také používat místní identity s aplikacemi v Azure, ale nechce nasazovat řadiče domény AD DS na virtuální počítače, bude také muset nasadit Microsoft Entra Připojení.

Co je Microsoft Entra Domain Services?

Službu Microsoft Entra Domain Services můžete použít k promítání domény Microsoft Entra do virtuální podsítě Azure. Když to uděláte, budu služby, jako je připojení k doméně, Zásady skupiny, protokol LDAP (Lightweight Access Protocol) a ověřování protokoly Kerberos a NTLM, dostupné pro všechny virtuální počítače, které jsou v podsíti nasazené.

Služba Microsoft Entra Domain Services umožňuje mít k dispozici základní spravované prostředí Active Directory pro virtuální počítače, aniž byste se museli starat o správu, údržbu a placení virtuálních počítačů, které běží jako řadiče domény. Služba Microsoft Entra Domain Services také umožňuje používat místní identity prostřednictvím služby Microsoft Entra Připojení pro interakci s virtuálními počítači spuštěnými v speciálně nakonfigurované podsíti virtuální sítě Azure.

Jednou z nevýhod služby Microsoft Entra Domain Services je, že implementace zásad skupiny je základní. Zahrnuje pevnou sadu zásad, ale nenabízí možnost vytvářet objekty Zásad skupiny (GPO). I když budou identity používané místně k dispozici v Azure, nebudou k dispozici žádné místně nakonfigurované zásady.

Pro společnost Tailwind Traders poskytuje služba Microsoft Entra Domain Services dobrou střední úroveň pro hybridní úlohy. Umožňuje používat identity připojené k doméně a nabízí podstatnou část konfigurace Zásad skupiny. Ale nepodporuje aplikace, které vyžadují složitější funkce Active Directory, jako jsou vlastní oddíly domény nebo rozšíření schémat.

Prověřte si své znalosti

1.

Mezi virtuálními počítači, které společnost Tailwind Traders plánuje migrovat z aucklandského datacentra, je několik hostovaných aplikací, které závisí na službě AD DS, mají vlastní rozšíření schématu a vlastní oddíly AD DS. Jaká z následujících řešení hybridní identity může společnost použít k podpoře těchto aplikací v případě, že by virtuální počítače, které tyto aplikace hostují, byly migrovány na virtuální počítače spuštěné v Azure jako IaaS?

Nakonfigurujte Microsoft Entra Připojení pro replikaci místních identit AD DS do Azure. Vytvoříte podsíť ve virtuální síti Azure. Provedete migraci virtuálních počítačů z datacentra v Aucklandu do této podsítě. Připojte migrované virtuální počítače k doméně Služby Microsoft Entra Domain Services.

Vytvoříte podsíť ve virtuální síti Azure. Nakonfigurujete připojení VPN mezi touto virtuální sítí a místní sítí. Nasaďte na virtuální počítače se systémem Windows Server 2022 v této podsíti dva řadiče domény služby AD DS. Nakonfigurujete samostatnou lokalitu služby AD DS pro tuto podsíť Azure. Provedete migraci virtuálních počítačů z datacentra v Aucklandu do této podsítě.

Nakonfigurujte Microsoft Entra Připojení pro replikaci místních identit AD DS do Azure. Vytvoříte podsíť ve virtuální síti Azure. Nakonfigurujte službu Microsoft Entra Domain Services a nakonfigurujte ji tak, aby byla k dispozici pro tuto nově vytvořenou podsíť. Provedete migraci virtuálních počítačů z datacentra v Aucklandu do této podsítě. Připojte migrované virtuální počítače k doméně Služby Microsoft Entra Domain Services.

2.

Dceřiná společnost Tailwind Traders nasazuje virtuální počítače IaaS s Windows Serverem 2022 do podsítě ve virtuální síti Azure. Tato virtuální síť je připojená k samostatnému předplatnému a tenantům Microsoft Entra. Tyto počítače musí být kvůli zabezpečení a identitám zařazeny do domény, ale nevyžadují složitou konfiguraci zásad skupiny. Tyto virtuální počítače nevyžadují synchronizaci identit z místní instance služby AD DS společnosti Tailwind Traders. Abyste dosáhli tohoto cíle, chcete minimalizovat počet nasazovaných virtuálních počítačů. Které z následujících řešení je vhodné?

Nasaďte na každý virtuální počítač Připojení Microsoft Entra a synchronizujte s tenanty Microsoft Entra.

Nasaďte službu Microsoft Entra Domain Services a nakonfigurujte ji pro podsíť, která hostuje virtuální počítače. Připojte virtuální počítače k doméně služby Microsoft Entra Domain Services.

Nasadíte službu AD DS do nového virtuálního počítače v podsíti. Připojíte tyto virtuální počítače k doméně služby AD DS.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.

Pokračovat