Zugriff auf lokales und durch AD DS geschütztes Azure Files

Diese Architektur veranschaulicht eine Möglichkeit zum Bereitstellen von Dateifreigaben in der Cloud für lokale Benutzer und Anwendungen, die auch auf Dateien unter Windows Server zugreifen.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

1. Diese Lösung synchronisiert den lokalen AD DS und die cloudbasierte Microsoft Entra ID-Instanz. Die Integration steigert auch die Produktivität Ihrer Benutzer, da für den Zugriff auf die Cloud und lokale Ressourcen nur eine Identität benötigt wird.

   Microsoft Entra Connect ist die lokale Microsoft-Anwendung, die die Synchronisierung übernimmt. Weitere Informationen zu Microsoft Entra Connect finden Sie unter Was ist Microsoft Entra Connect? und Microsoft Entra Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung.

2. Azure Virtual Network stellt ein sicheres privates Netzwerk in der Cloud bereit. Für diese Lösung verfügt es über mindestens zwei Subnetze, eines für Azure DNS und eines für einen privaten Endpunkt zum Zugriff auf die Dateifreigabe.

3. Entweder das VPN oder Azure ExpressRoute stellt sichere Verbindungen zwischen dem lokalen Netzwerk und dem virtuellen Netzwerk in der Cloud her. Wenn Sie ein VPN verwenden, erstellen Sie ein Gateway mithilfe von Azure VPN Gateway. Wenn Sie ExpressRoute verwenden, erstellen Sie ein virtuelles ExpressRoute-Netzwerkgateway. Weitere Informationen finden Sie unter Was ist VPN Gateway? und Informationen zu ExpressRoute-Gateways für virtuelle Netzwerke.

4. Azure Files stellt eine Dateifreigabe in der Cloud bereit. Dafür ist ein Azure-Speicherkonto erforderlich. Weitere Informationen zu Dateifreigaben finden Sie unter Was ist Azure Files?.

5. Ein privater Endpunkt ermöglicht den Zugriff auf die Dateifreigabe. Ein privater Endpunkt ist wie eine Netzwerkkarte (NIC) in einem Subnetz, die an einen Azure-Dienst angeschlossen ist. In diesem Fall ist der Dienst die Dateifreigabe. Weitere Informationen zu privaten Endpunkten finden Sie unter Verwenden privater Endpunkte für Azure Storage.

6. Der lokale DNS-Server löst IP-Adressen auf. Allerdings löst Azure DNS den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der Azure-Dateifreigabe auf. Alle DNS-Abfragen an Azure DNS stammen aus dem virtuellen Netzwerk. Im virtuellen Netzwerk ist ein DNS-Proxy, um diese Abfragen an Azure DNS weiterzuleiten. Weitere Informationen finden Sie unter Lokale Workloads mit DNS-Weiterleitung.

   Sie können den DNS-Proxy auf einem Windows- oder Linux-Server bereitstellen, oder Sie können Azure Firewall verwenden. Azure Firewall hat den Vorteil, dass Sie keine VM verwalten müssen. Informationen dazu finden Sie unter DNS-Einstellungen für Azure Firewall.

7. Der lokale kundenspezifische DNS ist so konfiguriert, dass der DNS-Datenverkehr über eine bedingte Weiterleitung an Azure DNS geleitet wird. Informationen zur bedingten Weiterleitung finden Sie auch in Lokale Workloads mit DNS-Weiterleitung.

8. Die lokale AD DS authentifiziert den Zugriff auf die Dateifreigabe. Dies ist ein vierstufiger Prozess, wie in Teil 1: Aktivieren der AD DS-Authentifizierung für Ihre Dateifreigaben in Azure beschrieben wird.

Komponenten

• Bei Azure Storage handelt es sich um eine Reihe hochgradig skalierbarer und sicherer Clouddienste für Daten, Apps und Workloads. Dazu gehören Azure Files, Azure Table Storage und Azure Queue Storage.
• Azure Files bietet vollständig verwaltete Dateifreigaben in einem Azure Storage-Konto. Auf die Dateien kann von der Cloud oder der lokalen Umgebung aus zugegriffen werden. Windows-, Linux- und macOS-Bereitstellungen können Azure-Dateifreigaben gleichzeitig einbinden. Für den Dateizugriff wird das Standardprotokoll Server Message Block (SMB) verwendet.
• Azure Virtual Network ist der grundlegende Baustein für private Netzwerke in Azure. Sie bietet die Umgebung für Azure-Ressourcen wie VMs, um sicher miteinander, mit dem Internet und mit lokalen Netzwerken zu kommunizieren.
• Azure ExpressRoute erweitert lokale Netzwerke über eine private Verbindung in die Microsoft-Cloud.
• Azure VPN Gateway verbindet lokale Netzwerke über Site-to-Site-VPNs mit Azure in etwa so, wie wenn Sie eine Verbindung mit einer Remote-Geschäftsstelle herstellen. Die Konnektivität ist sicher und verwendet die Standardprotokolle Internet Protocol Security (IPsec) und Internet Key Exchange (IKE).
• Azure Private Link stellt private Konnektivität zwischen einem virtuellen Netzwerk und Platform-as-a-Service(PaaS)-Diensten in Azure, kundeneigenen Diensten oder Diensten von Microsoft-Partnern her. Dadurch wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure wird geschützt, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird.
• Ein privater Endpunkt ist eine Netzwerkschnittstelle, die eine private IP-Adresse aus Ihrem virtuellen Netzwerk verwendet. Sie können private Endpunkte für Ihre Azure Storage-Konten verwenden, um Clients in einem virtuellen Netzwerk den Zugriff auf Daten über eine private Verbindung zu ermöglichen.
• Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer Azure Virtual Network-Ressourcen. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie haben auch die Möglichkeit, Azure Firewall als DNS-Proxy zu konfigurieren. Ein DNS-Proxy ist ein Vermittler für DNS-Anforderungen von virtuellen Clientcomputern an einen DNS-Server.

Szenariodetails

Denken Sie an das folgende, häufig auftretende Szenario: Ein lokaler Windows-Server stellt Dateien für Benutzer und Anwendungen zur Verfügung. Windows Server Active Directory Domain Services (AD DS) sichert die Dateien, und es gibt einen lokalen DNS-Server. Alles befindet sich im selben privaten Netzwerk.

Nehmen wir nun an, dass eines Tages Dateifreigaben in der Cloud benötigt werden.

Anhand der hier beschriebenen Architektur kann diese Anforderung mit Azure erfüllen können, die Kosten dafür minimieren und dabei weiterhin das lokale Netzwerk, AD DS und DNS zu verwenden.

In dieser Architektur stellt Azure Files die Dateifreigabe bereit. Ein Site-to-Site-VPN oder Azure ExpressRoute stellt sichere Verbindungen zwischen dem lokalen Netzwerk und dem virtuellen Azure-Netzwerk her. Benutzer und Anwendungen greifen über diese Verbindungen auf Dateien zu. Microsoft Entra ID und Azure DNS arbeiten mit dem lokalen AD DS und DNS zusammen, um den Zugriff zu schützen.

Kurz gesagt: Wenn Sie sich in der beschriebenen Situation befinden, können Sie Ihren lokalen Benutzern Clouddateien zu geringen Kosten bereitstellen und weiterhin sicheren Dateizugriff mit Ihren lokalen AD DS UND DNS bereitstellen.

Mögliche Anwendungsfälle

• Der Dateiserver wird in die Cloud verlagert, aber die Benutzer müssen lokal bleiben.
• Anwendungen, die in die Cloud migriert werden, müssen auf lokale Dateien sowie auf Dateien zugreifen, die in die Cloud migriert werden.
• Sie müssen die Kosten senken, indem Sie Dateien in der Cloud speichern.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

• Azure Storage speichert immer mehrere Kopien Ihrer Daten in derselben Zone, sodass sie vor geplanten und ungeplanten Ausfällen geschützt sind. Es gibt Optionen zum Erstellen zusätzlicher Kopien in anderen Zonen oder Regionen. Weitere Informationen finden Sie unter Azure Storage-Redundanz.
• Azure Firewall bietet integrierte Hochverfügbarkeit. Weitere Informationen finden Sie unter Azure Firewall Standard-Features.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Diese Artikel enthalten Informationen zur Sicherheit für Azure-Komponenten:

• Azure-Sicherheitsbaseline für Azure Storage
• Azure-Sicherheitsbaseline für Azure Private Link
• Azure-Sicherheitsbaseline für Virtual Network
• Azure-Sicherheitsbaseline für Azure Firewall

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Nutzen Sie den Azure-Preisrechner, falls Sie eine Kostenschätzung für Azure-Produkte und -Konfigurationen benötigen.

Diese Artikel enthalten Informationen zu den Kosten von Azure-Komponenten:

• Azure Files – Preise
• Azure Private Link: Preise
• Azure Virtual Network – Preise
• Azure Firewall – Preise

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

• Ihre Azure Storage-Konten enthalten alle Ihre Azure Storage-Datenobjekte, einschließlich Dateifreigaben. Ein Speicherkonto stellt einen eindeutigen Namespace für seine Daten bereit, auf den von jedem Ort der Welt aus über HTTP oder HTTPS zugegriffen werden kann. Für diese Architektur enthält Ihr Speicherkonto Dateifreigaben, die von Azure Files bereitgestellt werden. Für eine optimale Leistung wird Folgendes empfohlen:
  • Speichern Sie Datenbanken, Blobs und so weiter nicht in Speicherkonten, die Dateifreigaben enthalten.
  • Verwenden Sie nicht mehr als eine hochaktive Dateifreigabe pro Speicherkonto. Sie können Dateifreigaben, die weniger aktiv sind, in demselben Speicherkonto gruppieren.
  • Verwenden Sie SSD-basierten Speicher anstelle von HDD. Informationen zu Skalierbarkeits- und Leistungsvon Dateifreigaben finden Sie unter Skalierbarkeits- und Leistungsziele für Azure Files.
  • Wählen Sie kein Speicherkonto vom Typ „Universell V1“ aus, da diesem wichtige Features fehlen. Die Speicherkontotypen werden in der Speicherkontoübersicht beschrieben.
  • Achten Sie auf Größe, Geschwindigkeit und andere Einschränkungen. Weitere Informationen finden Sie unter Limits, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.
• Sie können nur wenig tun, um die Leistung von Nicht-Speicherkomponenten zu verbessern, außer sicherzustellen, dass Ihre Bereitstellung die Grenzwerte, Kontingente und Einschränkungen einhält, die unter Limits, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste beschrieben sind.
• Informationen zur Skalierbarkeit für Azure-Komponenten finden Sie unter Limits, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Rudnei Oliveira | Senior Customer Engineer

Nächste Schritte

• Schnellstart: Erstellen eines virtuellen Netzwerks im Azure-Portal
• Was ist VPN Gateway?
• Tutorial: Erstellen und Verwalten eines VPN-Gateways über das Azure-Portal
• Azure Enterprise Cloud-Dateifreigabe
• Azure Virtual Network – Konzepte und bewährte Methoden
• Planung für eine Azure Files-Bereitstellung
• Verwenden privater Endpunkte für Azure Storage
• DNS-Konfiguration für private Azure-Endpunkte
• DNS-Einstellungen für Azure Firewall
• Vergleichen von selbstverwalteten Active Directory Domain Services, Microsoft Entra ID und verwalteten Microsoft Entra Domain Services

Zugehörige Ressourcen

• Hybride Dateifreigabe mit Notfallwiederherstellung für Mitarbeiter an Remote- und lokalen Standorten
• Azure Enterprise Cloud-Dateifreigabe
• Verwenden von Azure-Dateifreigaben in einer Hybridumgebung
• Hybride Dateidienste