Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk

Active Directory Domain Services
Virtual Network

Diese Architektur zeigt das Erweitern einer lokalen Active Directory-Domäne auf Azure, um verteilte Authentifizierungsdienste bereitzustellen.

Schützen einer Hybrid-Netzwerkarchitektur mit Active Directory

Laden Sie eine Visio-Datei dieser Architektur herunter.

Wenn Ihre Anwendung teilweise lokal und teilweise in Azure gehostet ist, ist es möglicherweise effizienter, Active Directory Domain Services (AD DS) in Azure zu replizieren. Dies kann Verzögerungen verringern, die durch das Senden von Autorisierungsanforderungen aus der Cloud zurück in die lokale AD DS-Instanz auftreten.

Diese Architektur wird häufig verwendet, wenn das lokale Netzwerk und das virtuelle Azure-Netzwerk über eine VPN- oder ExpressRoute-Verbindung miteinander verbunden sind. Diese Architektur unterstützt auch die bidirektionale Replikation, sodass Änderungen sowohl lokal als auch in der Cloud vorgenommen werden können und dabei beide Quellen konsistent bleiben. Typische Einsatzfälle für diese Architektur sind Hybridanwendungen, bei denen die Funktionalität lokal und in Azure bereitgestellt wird und Anwendungen und Dienste die Authentifizierung mit Active Directory durchführen.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.

Aufbau

Diese Architektur erweitert die in Verbinden eines lokalen Netzwerks mit Azure über ein VPN-Gateway dargestellte Hybridnetzwerkarchitektur. Sie enthält die folgenden Komponenten.

  • Lokales Netzwerk. Das lokale Netzwerk enthält lokale Active Directory-Server, die Authentifizierung und Autorisierung für lokale Komponenten ausführen können.
  • Active Directory-Server. Hierbei handelt es sich um Domänencontroller, die Verzeichnisdienste (AD DS) implementieren und als virtuelle Computer in der Cloud ausgeführt werden. Diese Server führen die Authentifizierung von Komponenten durch, die in Ihrem virtuellen Azure-Netzwerk ausgeführt werden.
  • Active Directory-Subnetz. Die AD DS-Server werden in einem separaten Subnetz gehostet. NSG-Regeln (Netzwerksicherheitsgruppe) schützen die AD DS-Server und stellen eine Firewall für Datenverkehr von unerwarteten Quellen dar.
  • Azure-Gateway und Active Directory-Synchronisierung. Das Azure-Gateway stellt eine Verbindung zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk her. Dabei kann es sich um eine VPN-Verbindung oder um Azure ExpressRoute handeln. Alle Synchronisierungsanforderungen zwischen den Active Directory-Servern in der Cloud und den lokalen Servern werden über das Gateway weitergeleitet. Benutzerdefinierte Routen (UDRs) verarbeiten das Routing für den lokalen Datenverkehr, der zu Azure übertragen wird.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Empfehlungen für virtuelle Computer

Sie bestimmen die Anforderungen an die VM-Größe anhand der erwarteten Menge von Authentifizierungsanforderungen. Nutzen Sie die Spezifikationen des Computers, auf dem AD DS lokal ausgeführt wird, als Ausgangspunkt, und passen Sie die Azure-VM-Größen entsprechend an. Nach der Bereitstellung überwachen Sie die Auslastung und führen anhand der tatsächlichen Last auf den virtuellen Computern eine Hoch- oder Herunterskalierung durch. Weitere Informationen zum Ändern der Größe von AD DS-Domänencontrollern finden Sie unter Kapazitätsplanung für Active Directory Domain Services.

Erstellen Sie einen separaten virtuellen Datenträger zum Speichern der Datenbank, der Protokolle und des SYSVOL-Ordners für Active Directory. Speichern Sie diese Elemente nicht auf demselben Datenträger wie das Betriebssystem. Standardmäßig verwenden die Datenträger, die an eine VM angefügt sind, einen Durchschreibcache (Write-Through Caching). Allerdings kann diese Form des Cachings zu Konflikten mit den Anforderungen von AD DS führen. Legen Sie daher unter Hostcacheeinstellungen für den Datenträger Keine fest.

Stellen Sie mindestens zwei virtuelle Computer mit AD DS als Domänencontroller bereit, und fügen Sie sie einer Verfügbarkeitsgruppe hinzu.

Netzwerkempfehlungen

Konfigurieren Sie die Netzwerkschnittstelle (NIC) der VM für jeden AD DS-Server für vollständige DNS-Unterstützung (Domain Name Service) mit einer statischen privaten IP-Adresse. Weitere Informationen finden Sie unter Einrichten einer statischen privaten IP-Adresse im Azure-Portal.

Hinweis

Konfigurieren Sie nicht die VM-NIC für AD DS-Instanzen mit einer öffentlichen IP-Adresse. Weitere Informationen finden Sie unter Überlegungen zur Sicherheit.

Die NSG für das Active Directory-Subnetz erfordert Regeln zum Zulassen von eingehendem Datenverkehr aus und dem ausgehenden Datenverkehr zu lokalen Quellen. Ausführliche Informationen zu den Ports, die AD DS verwendet, finden Sie unter Portanforderungen für Active Directory und Active Directory Domain Services.

Active Directory-Standort

In AD DS stellt ein Standort einen physischen Standort, ein Netzwerk oder eine Sammlung von Geräten dar. AD DS-Standorte dienen zum Verwalten der AD DS-Datenbankreplikation durch Gruppieren von AD DS-Objekten, die sich nah beieinander befinden und über ein Hochgeschwindigkeitsnetzwerk verbunden sind. AD DS enthält Logik zum Auswählen der besten Strategie für das Replizieren der AD DS-Datenbank zwischen Standorten.

Es wird empfohlen, dass Sie einen AD DS-Standort einschließlich der Subnetze, die für Ihre Anwendung in Azure definiert wurden, erstellen. Konfigurieren Sie dann eine Standortverknüpfung zwischen Ihren lokalen AD DS-Standorten. AD DS führt daraufhin automatisch die effizienteste Datenbankreplikation durch. Für diese Datenbankreplikation sind über die Erstkonfiguration hinaus nur wenige Einrichtungsschritte erforderlich.

Active Directory-Betriebsmaster

Zur Unterstützung der Konsistenzüberprüfung zwischen Instanzen replizierter AD DS-Datenbanken kann die Betriebsmasterrolle auch AD DS-Domänencontrollern zugewiesen werden. Es gibt fünf Betriebsmasterrollen: Schemamaster, Domänennamenmaster RID-Master, Masteremulator für den primären Domänencontroller und Infrastrukturmaster. Weitere Informationen zu diesen Rollen finden Sie unter Planen der Platzierung von Betriebsmasterrollen.

Es wird empfohlen, den in Azure bereitgestellten Domänencontrollern keine Betriebsmasterrollen zuzuweisen.

Überwachung

Überwachen Sie die Ressourcen der Domänencontroller-VMs sowie die AD DS-Dienste, und erstellen Sie einen Plan zum schnellen Beheben eventuell auftretender Probleme. Weitere Informationen finden Sie unter Überwachen von Active Directory. Sie können auch Tools wie Microsoft Systems Center auf dem Überwachungsserver installieren (siehe Architekturdiagramm), um diese Aufgaben auszuführen.

Überlegungen zur Skalierbarkeit

AD DS ist auf Skalierbarkeit ausgelegt. Sie müssen keinen Lastenausgleich und keine Datenverkehrssteuerung konfigurieren, um Anforderungen an AD DS-Domänencontroller umzuleiten. Den einzigen Skalierungsaspekt stellt die Konfiguration der virtuellen Computer, auf denen AD DS ausgeführt wird, mit der richtigen Größe für die Lastanforderungen Ihres Netzwerks dar. Dazu überwachen Sie die Last auf den virtuellen Computern und skalieren nach Bedarf hoch oder herunter.

Überlegungen zur Verfügbarkeit

Stellen Sie die virtuellen Computer mit AD DS in einer Verfügbarkeitsgruppe bereit. Erwägen Sie dabei auch, die Rolle des Standby-Betriebsmasters mindestens einem Server (je nach Ihren Anforderungen auch mehr) zuzuweisen. Ein Standby-Betriebsmaster ist eine aktive Kopie des Betriebsmasters, die während des Failovers anstelle des primären Betriebsmasterservers verwendet werden kann.

Überlegungen zur Verwaltbarkeit

Führen Sie regelmäßige Sicherungen von AD DS durch. Kopieren Sie nicht nur die VHD-Dateien der Domänencontroller, anstatt regelmäßige Sicherungen auszuführen, da die AD DS-Datenbankdatei auf der VHD möglicherweise beim Kopieren nicht konsistent ist. Dies könnte dazu führen, dass die Datenbank nicht mehr neu gestartet werden kann.

Es wird nicht empfohlen, eine Domänencontroller-VM mithilfe des Azure-Portals herunterzufahren. Führen Sie die Vorgänge zum Herunterfahren und Neustarten stattdessen im Gastbetriebssystem durch. Das Herunterfahren über das Azure-Portal bewirkt, dass die Zuordnung des virtuellen Computers aufgehoben wird, was folgende Auswirkungen hat, wenn die Domänencontroller-VM neu gestartet wird:

  1. Setzt die VM-GenerationID und die invocationID des Active Directory-Repositorys zurück.
  2. Verwirft den aktuellen RID-Pool (Relative Identifier) von Active Directory.
  3. Markiert den Ordner „sysvol“ als nicht autoritativ.

Das erste Problem ist relativ harmlos. Das wiederholte Zurücksetzen der invocationID führt während der Replikation zu einer geringfügigen zusätzlichen Bandbreitenauslastung, was jedoch in der Regel nicht von Bedeutung ist.

Das zweite Problem kann zur RID-Poolauslastung in der Domäne beitragen, insbesondere, wenn die Größe des RID-Pools größer als die Standardeinstellung konfiguriert wurde. Beachten Sie Folgendes: Wenn die Domäne schon sehr lange vorhanden ist oder für Workflows verwendet wird, die das wiederholte Erstellen und Löschen von Konten erfordern, steht die Domäne möglicherweise bereits kurz vor der RID-Poolauslastung. Es ist eine bewährte Methode, die Domäne auf Warnungsereignisse der RID-Poolauslastung zu überwachen. Weitere Informationen finden Sie im Artikel Verwalten der RID-Ausstellung.

Das dritte Problem ist relativ harmlos, solange ein autoritativer Domänencontroller verfügbar ist, wenn eine Domänencontroller-VM in Azure neu gestartet wird. Wenn alle Domänencontroller in einer Domäne in Azure ausgeführt werden und alle gleichzeitig heruntergefahren werden und ihre Zuordnung aufgehoben wird, findet keiner der Domänencontroller beim Neustart ein autoritatives Replikat. Zum Beheben dieses Zustands ist manuelles Eingreifen erforderlich. Weitere Informationen finden Sie im Artikel Erzwingen der autoritativen und nicht autoritativen Synchronisierung für die DFSR-replizierte sysvol-Replikation.

Sicherheitshinweise

AD DS-Server stellen Authentifizierungsdienste bereit und sind damit ein attraktives Ziel für Angriffe. Wenn Sie sie schützen möchten, müssen Sie direkte Internetverbindungen verhindern, indem Sie die AD DS-Server in einem separaten Subnetz mit einer NSG, die als Firewall fungiert, platzieren. Schließen Sie alle Ports auf den AD DS-Servern mit Ausnahme derjenigen, die für die Authentifizierung, Autorisierung und Serversynchronisierung erforderlich sind. Weitere Informationen finden Sie unter Portanforderungen für Active Directory und Active Directory Domain Services.

Verwenden Sie BitLocker oder Azure Disk Encryption, um den Datenträger, auf dem die AD DS-Datenbank gehostet wird, zu verschlüsseln.

Überlegungen zu DevOps

  • Nutzen Sie IaC-Praktiken (Infrastructure-as-Code) um die Netzwerk- und Sicherheitsinfrastruktur bereitzustellen und zu konfigurieren. Eine Option hierfür sind Azure Resource Manager-Vorlagen.

  • Isolieren Sie Workloads, um DevOps die Ausführung von CI/CD (Continuous Integration/Continuous Delivery) zu ermöglichen, da jede Workload von ihrem zuständigen DevOps-Team zugewiesen und verwaltet wird.

In dieser Architektur wird das gesamte virtuelle Netzwerk, das die verschiedenen Logikschichten, die Verwaltungs-Jumpbox und Azure AD Domain Services umfasst, als eine einzige isolierte Workload identifiziert.

Virtuelle Computer werden mit VM-Erweiterungen und anderen Tools wie Desired State Configuration (DSC) konfiguriert, mit denen ADDS auf virtuellen Computern konfiguriert werden können.

  • Erwägen Sie die Verwendung von Azure DevOps oder anderen CI/CD-Lösungen, um Ihre Bereitstellungen zu automatisieren. Azure Pipelines ist eng in das Azure-Ökosystem integriert und die empfohlene Komponente von Azure DevOps Services, mit der Builds und Bereitstellungen von Lösungen automatisiert werden.

  • Analysieren Sie die Leistung Ihrer Infrastruktur mit Azure Monitor. Darüber hinaus können Sie damit Netzwerkprobleme überwachen und diagnostizieren, ohne dass Sie sich bei Ihren virtuellen Computern anmelden müssen. Application Insights stellt vielfältige Metriken und Protokolle bereit, anhand derer Sie den Zustand Ihrer Infrastruktur überprüfen können.

Weitere Informationen finden Sie im Microsoft Azure Well-Architected Framework unter Übersicht über die DevOps-Säule.

Kostenbetrachtung

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Überlegungen finden Sie im Microsoft Azure Well-Architected Framework unter Grundsätze der Kostenoptimierung.

Hier sind die Überlegungen zu den Kosten für die Dienste angegeben, die in dieser Architektur verwendet werden.

AD Domain Services

Ziehen Sie in Betracht, Active Directory Domain Services als gemeinsam genutzten Dienst zu verwenden, der von mehreren Workloads genutzt wird, um die Kosten zu senken. Weitere Informationen finden Sie unter Active Directory Domain Services – Preise.

Azure VPN Gateway

Die Hauptkomponente dieser Architektur ist der VPN Gateway-Dienst. Gebühren fallen basierend auf der Bereitstellungs- und Verfügbarkeitsdauer des Gateways an.

Der gesamte eingehende Datenverkehr ist kostenlos, und für den gesamten ausgehenden Datenverkehr fallen Gebühren an. Für ausgehenden VPN-Datenverkehr gelten Internetbandbreitenkosten.

Weitere Informationen finden Sie unter VPN-Gateway: Preise.

Virtuelles Azure-Netzwerk

Azure Virtual Network ist kostenlos. Mit jedem Abonnement können bis zu 50 virtuelle Netzwerke in allen Regionen erstellt werden. Der gesamte Datenverkehr, der innerhalb der Grenzen einer Virtual Network-Instanz entsteht, ist kostenlos. Die Kommunikation zwischen zwei virtuellen Computern im selben virtuellen Netzwerk ist also kostenlos.

Nächste Schritte