Erweitern der lokalen Active Directory-Domäne auf AzureExtend your on-premises Active Directory domain to Azure

Diese Architektur zeigt das Erweitern einer lokalen Active Directory-Domäne auf Azure, um verteilte Authentifizierungsdienste bereitzustellen.This architecture shows how to extend an on-premises Active Directory domain to Azure to provide distributed authentication services. Stellen Sie diese Lösung bereit.Deploy this solution.

Schützen einer Hybrid-Netzwerkarchitektur mit Active Directory

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

Wenn Ihre Anwendung teilweise lokal und teilweise in Azure gehostet ist, ist es möglicherweise effizienter, Active Directory Domain Services (AD DS) in Azure zu replizieren.If your application is hosted partly on-premises and partly in Azure, it may be more efficient to replicate Active Directory Domain Services (AD DS) in Azure. Dies kann Verzögerungen verringern, die durch das Senden von Autorisierungsanforderungen aus der Cloud zurück in die lokale AD DS-Instanz auftreten.This can reduce the latency caused by sending authentication requests from the cloud back to AD DS running on-premises.

Diese Architektur wird häufig verwendet, wenn das lokale Netzwerk und das virtuelle Azure-Netzwerk über eine VPN- oder ExpressRoute-Verbindung miteinander verbunden sind.This architecture is commonly used when the on-premises network and the Azure virtual network are connected by a VPN or ExpressRoute connection. Diese Architektur unterstützt auch die bidirektionale Replikation, sodass Änderungen sowohl lokal als auch in der Cloud vorgenommen werden können und dabei beide Quellen konsistent bleiben.This architecture also supports bidirectional replication, meaning changes can be made either on-premises or in the cloud, and both sources will be kept consistent. Typische Einsatzfälle für diese Architektur sind Hybridanwendungen, bei denen die Funktionalität lokal und in Azure bereitgestellt wird und Anwendungen und Dienste die Authentifizierung mit Active Directory durchführen.Typical uses for this architecture include hybrid applications in which functionality is distributed between on-premises and Azure, and applications and services that perform authentication using Active Directory.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitectureArchitecture

Diese Architektur erweitert die in Verbinden eines lokalen Netzwerks mit Azure über ein VPN-Gateway dargestellte Hybridnetzwerkarchitektur.This architecture extends the hybrid network architecture shown in Connect an on-premises network to Azure using a VPN gateway. Sie enthält die folgenden Komponenten.It has the following components.

  • Lokales Netzwerk.On-premises network. Das lokale Netzwerk enthält lokale Active Directory-Server, die Authentifizierung und Autorisierung für lokale Komponenten ausführen können.The on-premises network includes local Active Directory servers that can perform authentication and authorization for components located on-premises.
  • Active Directory-Server.Active Directory servers. Hierbei handelt es sich um Domänencontroller, die Verzeichnisdienste (AD DS) implementieren und als virtuelle Computer in der Cloud ausgeführt werden.These are domain controllers implementing directory services (AD DS) running as VMs in the cloud. Diese Server führen die Authentifizierung von Komponenten durch, die in Ihrem virtuellen Azure-Netzwerk ausgeführt werden.These servers can provide authentication of components running in your Azure virtual network.
  • Active Directory-Subnetz.Active Directory subnet. Die AD DS-Server werden in einem separaten Subnetz gehostet.The AD DS servers are hosted in a separate subnet. NSG-Regeln (Netzwerksicherheitsgruppe) schützen die AD DS-Server und stellen eine Firewall für Datenverkehr von unerwarteten Quellen dar.Network security group (NSG) rules protect the AD DS servers and provide a firewall against traffic from unexpected sources.
  • Azure-Gateway und Active Directory-Synchronisierung.Azure Gateway and Active Directory synchronization. Das Azure-Gateway stellt eine Verbindung zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk her.The Azure gateway provides a connection between the on-premises network and the Azure VNet. Dabei kann es sich um eine VPN-Verbindung oder um Azure ExpressRoute handeln.This can be a VPN connection or Azure ExpressRoute. Alle Synchronisierungsanforderungen zwischen den Active Directory-Servern in der Cloud und den lokalen Servern werden über das Gateway weitergeleitet.All synchronization requests between the Active Directory servers in the cloud and on-premises pass through the gateway. Benutzerdefinierte Routen (UDRs) verarbeiten das Routing für den lokalen Datenverkehr, der zu Azure übertragen wird.User-defined routes (UDRs) handle routing for on-premises traffic that passes to Azure.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

Empfehlungen für virtuelle ComputerVM recommendations

Sie bestimmen die Anforderungen an die VM-Größe anhand der erwarteten Menge von Authentifizierungsanforderungen.Determine your VM size requirements based on the expected volume of authentication requests. Nutzen Sie die Spezifikationen des Computers, auf dem AD DS lokal ausgeführt wird, als Ausgangspunkt, und passen Sie die Azure-VM-Größen entsprechend an.Use the specifications of the machines hosting AD DS on premises as a starting point, and match them with the Azure VM sizes. Nach der Bereitstellung überwachen Sie die Auslastung und führen anhand der tatsächlichen Last auf den virtuellen Computern eine zentrale Hoch- oder Herunterskalierung durch.Once deployed, monitor utilization and scale up or down based on the actual load on the VMs. Weitere Informationen zum Ändern der Größe von AD DS-Domänencontrollern finden Sie unter Kapazitätsplanung für Active Directory Domain Services.For more information about sizing AD DS domain controllers, see Capacity Planning for Active Directory Domain Services.

Erstellen Sie einen separaten virtuellen Datenträger zum Speichern der Datenbank, der Protokolle und des SYSVOL-Ordners für Active Directory.Create a separate virtual data disk for storing the database, logs, and sysvol folder for Active Directory. Speichern Sie diese Elemente nicht auf demselben Datenträger wie das Betriebssystem.Do not store these items on the same disk as the operating system. Standardmäßig verwenden die Datenträger, die an eine VM angefügt sind, einen Durchschreibcache (Write-Through Caching).By default, data disks that are attached to a VM use write-through caching. Allerdings kann diese Form des Cachings zu Konflikten mit den Anforderungen von AD DS führen.However, this form of caching can conflict with the requirements of AD DS. Legen Sie daher unter Hostcacheeinstellungen für den Datenträger Keine fest.For this reason, set the Host Cache Preference setting on the data disk to None.

Stellen Sie mindestens zwei virtuelle Computer mit AD DS als Domänencontroller bereit, und fügen Sie sie einer Verfügbarkeitsgruppe hinzu.Deploy at least two VMs running AD DS as domain controllers and add them to an availability set.

NetzwerkempfehlungenNetworking recommendations

Konfigurieren Sie die Netzwerkschnittstelle (NIC) der VM für jeden AD DS-Server für vollständige DNS-Unterstützung (Domain Name Service) mit einer statischen privaten IP-Adresse.Configure the VM network interface (NIC) for each AD DS server with a static private IP address for full domain name service (DNS) support. Weitere Informationen finden Sie unter Einrichten einer statischen privaten IP-Adresse im Azure-Portal.For more information, see How to set a static private IP address in the Azure portal.

Hinweis

Konfigurieren Sie nicht die VM-NIC für AD DS-Instanzen mit einer öffentlichen IP-Adresse.Do not configure the VM NIC for any AD DS with a public IP address. Weitere Informationen finden Sie unter Überlegungen zur Sicherheit.See Security considerations for more details.

Die NSG für das Active Directory-Subnetz erfordert Regeln zum Zulassen von eingehendem Datenverkehr aus und dem ausgehenden Datenverkehr zu lokalen Quellen.The Active Directory subnet NSG requires rules to permit incoming traffic from on-premises and outgoing traffic to on-premises. Ausführliche Informationen zu den Ports, die AD DS verwendet, finden Sie unter Portanforderungen für Active Directory und Active Directory Domain Services.For detailed information on the ports used by AD DS, see Active Directory and Active Directory Domain Services Port Requirements.

Active Directory-StandortActive Directory site

In AD DS stellt ein Standort einen physischen Standort, ein Netzwerk oder eine Sammlung von Geräten dar.In AD DS, a site represents a physical location, network, or collection of devices. AD DS-Standorte dienen zum Verwalten der AD DS-Datenbankreplikation durch Gruppieren von AD DS-Objekten, die sich nah beieinander befinden und über ein Hochgeschwindigkeitsnetzwerk verbunden sind.AD DS sites are used to manage AD DS database replication by grouping together AD DS objects that are located close to one another and are connected by a high-speed network. AD DS enthält Logik zum Auswählen der besten Strategie für das Replizieren der AD DS-Datenbank zwischen Standorten.AD DS includes logic to select the best strategy for replicating the AD DS database between sites.

Es wird empfohlen, dass Sie einen AD DS-Standort einschließlich der Subnetze, die für Ihre Anwendung in Azure definiert wurden, erstellen.We recommend that you create an AD DS site including the subnets defined for your application in Azure. Konfigurieren Sie dann eine Standortverknüpfung zwischen Ihren lokalen AD DS-Standorten. AD DS führt daraufhin automatisch die effizienteste Datenbankreplikation durch.Then, configure a site link between your on-premises AD DS sites, and AD DS will automatically perform the most efficient database replication possible. Für diese Datenbankreplikation sind über die Erstkonfiguration hinaus nur wenige Einrichtungsschritte erforderlich.This database replication requires little beyond the initial configuration.

Active Directory-BetriebsmasterActive Directory operations masters

Zur Unterstützung der Konsistenzüberprüfung zwischen Instanzen replizierter AD DS-Datenbanken kann die Betriebsmasterrolle auch AD DS-Domänencontrollern zugewiesen werden.The operations masters role can be assigned to AD DS domain controllers to support consistency checking between instances of replicated AD DS databases. Es gibt fünf Betriebsmasterrollen: Schemamaster, Domänennamenmaster RID-Master, Masteremulator für den primären Domänencontroller und Infrastrukturmaster.There are five operations master roles: schema master, domain naming master, relative identifier master, primary domain controller master emulator, and infrastructure master. Weitere Informationen zu diesen Rollen finden Sie unter Was sind Betriebsmaster?.For more information about these roles, see What are Operations Masters?.

Es wird empfohlen, den in Azure bereitgestellten Domänencontrollern keine Betriebsmasterrollen zuzuweisen.We recommend you do not assign operations masters roles to the domain controllers deployed in Azure.

ÜberwachungMonitoring

Überwachen Sie die Ressourcen der Domänencontroller-VMs sowie die AD DS-Dienste, und erstellen Sie einen Plan zum schnellen Beheben eventuell auftretender Probleme.Monitor the resources of the domain controller VMs as well as the AD DS Services and create a plan to quickly correct any problems. Weitere Informationen finden Sie unter Überwachen von Active Directory.For more information, see Monitoring Active Directory. Sie können auch Tools wie Microsoft Systems Center auf dem Überwachungsserver installieren (siehe Architekturdiagramm), um diese Aufgaben auszuführen.You can also install tools such as Microsoft Systems Center on the monitoring server (see the architecture diagram) to help perform these tasks.

Überlegungen zur SkalierbarkeitScalability considerations

AD DS ist auf Skalierbarkeit ausgelegt.AD DS is designed for scalability. Sie müssen keinen Lastenausgleich und keine Datenverkehrssteuerung konfigurieren, um Anforderungen an AD DS-Domänencontroller umzuleiten.You don't need to configure a load balancer or traffic controller to direct requests to AD DS domain controllers. Den einzigen Skalierungsaspekt stellt die Konfiguration der virtuellen Computer, auf denen AD DS ausgeführt wird, mit der richtigen Größe für die Lastanforderungen Ihres Netzwerks dar. Dazu überwachen Sie die Last auf den virtuellen Computern und skalieren nach Bedarf zentral hoch oder herunter.The only scalability consideration is to configure the VMs running AD DS with the correct size for your network load requirements, monitor the load on the VMs, and scale up or down as necessary.

Überlegungen zur VerfügbarkeitAvailability considerations

Stellen Sie die virtuellen Computer mit AD DS in einer Verfügbarkeitsgruppe bereit.Deploy the VMs running AD DS into an availability set. Erwägen Sie dabei auch, die Rolle des Standby-Betriebsmasters mindestens einem Server (je nach Ihren Anforderungen auch mehr) zuzuweisen.Also, consider assigning the role of standby operations master to at least one server, and possibly more depending on your requirements. Ein Standby-Betriebsmaster ist eine aktive Kopie des Betriebsmasters, die während des Failovers anstelle des primären Betriebsmasterservers verwendet werden kann.A standby operations master is an active copy of the operations master that can be used in place of the primary operations masters server during failover.

Überlegungen zur VerwaltbarkeitManageability considerations

Führen Sie regelmäßige Sicherungen von AD DS durch.Perform regular AD DS backups. Kopieren Sie nicht nur die VHD-Dateien der Domänencontroller, anstatt regelmäßige Sicherungen auszuführen, da die AD DS-Datenbankdatei auf der VHD möglicherweise beim Kopieren nicht konsistent ist. Dies könnte dazu führen, dass die Datenbank nicht mehr neu gestartet werden kann.Don't copy the VHD files of domain controllers instead of performing regular backups, because the AD DS database file on the VHD may not be in a consistent state when it's copied, making it impossible to restart the database.

Fahren Sie Domänencontroller-VMs nicht über das Azure-Portal herunter.Do not shut down a domain controller VM using Azure portal. Führen Sie die Vorgänge zum Herunterfahren und Neustarten stattdessen im Gastbetriebssystem durch.Instead, shut down and restart from the guest operating system. Beim Herunterfahren über das Portal wird die Zuordnung des virtuellen Computers aufgehoben und dadurch sowohl die VM-GenerationID als auch die invocationID des Active Directory-Repositorys zurückgesetzt.Shutting down through the portal causes the VM to be deallocated, which resets both the VM-GenerationID and the invocationID of the Active Directory repository. Dieser Vorgang verwirft den RID-Pool (relative ID) von AD DS und markiert den SYSVOL-Ordner als nicht autorisierend. Als Folge muss ggf. der Domänencontroller neu konfiguriert werden.This discards the AD DS relative identifier (RID) pool and marks the sysvol folder as nonauthoritative, and may require reconfiguration of the domain controller.

SicherheitshinweiseSecurity considerations

AD DS-Server stellen Authentifizierungsdienste bereit und sind damit ein attraktives Ziel für Angriffe.AD DS servers provide authentication services and are an attractive target for attacks. Wenn Sie sie schützen möchten, müssen Sie direkte Internetverbindungen verhindern, indem Sie die AD DS-Server in einem separaten Subnetz mit einer NSG, die als Firewall fungiert, platzieren.To secure them, prevent direct Internet connectivity by placing the AD DS servers in a separate subnet with an NSG acting as a firewall. Schließen Sie alle Ports auf den AD DS-Servern mit Ausnahme derjenigen, die für die Authentifizierung, Autorisierung und Serversynchronisierung erforderlich sind.Close all ports on the AD DS servers except those necessary for authentication, authorization, and server synchronization. Weitere Informationen finden Sie unter Portanforderungen für Active Directory und Active Directory Domain Services.For more information, see Active Directory and Active Directory Domain Services Port Requirements.

Verwenden Sie BitLocker oder Azure Disk Encryption, um den Datenträger, auf dem die AD DS-Datenbank gehostet wird, zu verschlüsseln.Use either BitLocker or Azure disk encryption to encrypt the disk hosting the AD DS database.

Bereitstellen der LösungDeploy the solution

Eine Bereitstellung für diese Architektur ist auf GitHub verfügbar.A deployment for this architecture is available on GitHub. Die gesamte Bereitstellung – einschließlich Erstellen des VPN-Gateways und Ausführung der Skripts, die AD DS konfigurieren – kann bis zu zwei Stunden dauern.The entire deployment can take up to two hours, which includes creating the VPN gateway and running the scripts that configure AD DS.

VoraussetzungenPrerequisites

  1. Führen Sie das Klonen, Forken oder Herunterladen der ZIP-Datei für das GitHub-Repository durch.Clone, fork, or download the zip file for the GitHub repository.

  2. Installieren Sie Azure CLI 2.0.Install Azure CLI 2.0.

  3. Installieren Sie das npm-Paket mit den Azure Bausteinen.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Melden Sie sich über eine Eingabeaufforderung, eine Bash-Eingabeaufforderung oder die PowerShell-Eingabeaufforderung folgendermaßen bei Ihrem Azure-Konto an:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Bereitstellen des simulierten lokalen RechenzentrumsDeploy the simulated on-premises datacenter

  1. Navigieren Sie zum Ordner identity/adds-extend-domain des GitHub-Repositorys.Navigate to the identity/adds-extend-domain folder of the GitHub repository.

  2. Öffnen Sie die Datei onprem.json .Open the onprem.json file. Suchen Sie nach Instanzen von adminPassword und Password, und fügen Sie Werte für die Kennwörter hinzu.Search for instances of adminPassword and Password and add values for the passwords.

  3. Führen Sie den folgenden Befehl aus, und warten Sie, bis die Bereitstellung abgeschlossen ist:Run the following command and wait for the deployment to finish:

    azbb -s <subscription_id> -g <resource group> -l <location> -p onprem.json --deploy
    

Bereitstellen von Azure VNetDeploy the Azure VNet

  1. Öffnen Sie die Datei azure.json .Open the azure.json file. Suchen Sie nach Instanzen von adminPassword und Password, und fügen Sie Werte für die Kennwörter hinzu.Search for instances of adminPassword and Password and add values for the passwords.

  2. Suchen Sie in der gleichen Datei nach Instanzen von sharedKey, und geben Sie gemeinsam verwendete Schlüssel für die VPN-Verbindung ein.In the same file, search for instances of sharedKey and enter shared keys for the VPN connection.

    "sharedKey": "",
    
  3. Führen Sie den folgenden Befehl aus, und warten Sie, bis die Bereitstellung abgeschlossen ist.Run the following command and wait for the deployment to finish.

    azbb -s <subscription_id> -g <resource group> -l <location> -p azure.json --deploy
    

    Führen Sie die Bereitstellung in der gleichen Ressourcengruppe durch, in der das lokale VNet bereitgestellt ist.Deploy to the same resource group as the on-premises VNet.

Testen der Konnektivität mit Azure VNetTest connectivity with the Azure VNet

Nach Abschluss der Bereitstellung können Sie die Konnektivität zwischen der simulierten lokalen Umgebung und dem virtuellen Azure-Netzwerk testen.After deployment completes, you can test connectivity from the simulated on-premises environment to the Azure VNet.

  1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe, die Sie erstellt haben.Use the Azure portal, navigate to the resource group that you created.

  2. Suchen Sie den virtuellen Computer mit dem Namen ra-onpremise-mgmt-vm1.Find the VM named ra-onpremise-mgmt-vm1.

  3. Klicke Sie auf Connect, um eine Remotedesktopsitzung mit der VM zu öffnen.Click Connect to open a remote desktop session to the VM. Der Benutzername ist contoso\testuser, und das Kennwort entspricht dem, das Sie in der onprem.json-Parameterdatei angegeben haben.The username is contoso\testuser, and the password is the one that you specified in the onprem.json parameter file.

  4. Öffnen Sie von der Remotedesktopsitzung aus eine andere Remotedesktopsitzung mit 10.0.4.4, der IP-Adresse des virtuellen Computers mit dem Namen adds-vm1.From inside your remote desktop session, open another remote desktop session to 10.0.4.4, which is the IP address of the VM named adds-vm1. Der Benutzername ist contoso\testuser, und das Kennwort entspricht dem, das Sie in der azure.json-Parameterdatei angegeben haben.The username is contoso\testuser, and the password is the one that you specified in the azure.json parameter file.

  5. Wechseln Sie innerhalb der Remotedesktopsitzung für adds-vm1 zum Server-Manager, und klicken Sie auf Weitere zu verwaltende Server hinzufügen.From inside the remote desktop session for adds-vm1, go to Server Manager and click Add other servers to manage.

  6. Klicken Sie auf der Registerkarte Active Directory auf Jetzt suchen.In the Active Directory tab, click Find now. Daraufhin sollte eine Liste der AD-, AD DS- und Web-VMs angezeigt werden.You should see a list of the AD, AD DS, and Web VMs.

    Screenshot des Dialogfelds zum Hinzufügen von Servern

Nächste SchritteNext steps