Erstellen einer Active Directory Domain Services (AD DS)-Ressourcengesamtstruktur in AzureCreate an Active Directory Domain Services (AD DS) resource forest in Azure

Diese Referenzarchitektur zeigt, wie eine separate Active Directory-Domäne in Azure erstellt wird, der Domänen in der lokalen Active Directory-Gesamtstruktur vertrauen.This reference architecture shows how to create a separate Active Directory domain in Azure that is trusted by domains in your on-premises AD forest. Stellen Sie diese Lösung bereit.Deploy this solution.

Schützen einer Hybrid-Netzwerkarchitektur mit separaten Active Directory-Domänen

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

In Active Directory Domain Services (AD DS) werden Identitätsinformationen in einer hierarchischen Struktur gespeichert.Active Directory Domain Services (AD DS) stores identity information in a hierarchical structure. Der oberste Knoten in der hierarchischen Struktur wird als Gesamtstruktur bezeichnet.The top node in the hierarchical structure is known as a forest. Eine Gesamtstruktur enthält Domänen, und Domänen enthalten andere Objekttypen.A forest contains domains, and domains contain other types of objects. In dieser Referenzarchitektur wird eine AD DS-Gesamtstruktur in Azure mit einer unidirektionalen ausgehenden Vertrauensstellung mit einer lokalen Domäne erstellt.This reference architecture creates an AD DS forest in Azure with a one-way outgoing trust relationship with an on-premises domain. Die Gesamtstruktur in Azure enthält eine Domäne, die lokal nicht vorhanden ist.The forest in Azure contains a domain that does not exist on-premises. Aufgrund der Vertrauensstellung werden Anmeldungen bei lokalen Domänen als vertrauenswürdig für den Zugriff auf Ressourcen in der separaten Azure-Domäne angesehen.Because of the trust relationship, logons made against on-premises domains can be trusted for access to resources in the separate Azure domain.

Zu den typischen Einsatzmöglichkeiten dieser Architektur zählen die Verwaltung einer Sicherheitstrennung für Objekte und Identitäten, die in der Cloud gespeichert werden, sowie die Migration einzelner Domänen aus einem lokalen System in die Cloud.Typical uses for this architecture include maintaining security separation for objects and identities held in the cloud, and migrating individual domains from on-premises to the cloud.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitectureArchitecture

Diese Architektur besteht aus den folgenden Komponenten.The architecture has the following components.

  • Lokales Netzwerk.On-premises network. Das lokale Netzwerk enthält eine eigene Active Directory-Gesamtstruktur und eigene Domänen.The on-premises network contains its own Active Directory forest and domains.
  • Active Directory-Server.Active Directory servers. Hierbei handelt es sich um Domänencontroller, die Domänendienste implementieren und als virtuelle Computer in der Cloud ausgeführt werden.These are domain controllers implementing domain services running as VMs in the cloud. Diese Server hosten eine Gesamtstruktur mit einer oder mehrere Domänen, die von den lokal gehosteten getrennt sind.These servers host a forest containing one or more domains, separate from those located on-premises.
  • Unidirektionale Vertrauensstellung.One-way trust relationship. Das Beispiel im Diagramm zeigt eine unidirektionale Vertrauensstellung von der Domäne in Azure zur lokalen Domäne.The example in the diagram shows a one-way trust from the domain in Azure to the on-premises domain. Diese Beziehung ermöglicht lokalen Benutzern den Zugriff auf Ressourcen in der Domäne in Azure, jedoch nicht umgekehrt.This relationship enables on-premises users to access resources in the domain in Azure, but not the other way around. Es kann eine bidirektionale Vertrauensstellung erstellt werden, wenn Cloudbenutzer auch Zugriff auf lokale Ressourcen benötigen.It is possible to create a two-way trust if cloud users also require access to on-premises resources.
  • Active Directory-Subnetz.Active Directory subnet. Die AD DS-Server werden in einem separaten Subnetz gehostet.The AD DS servers are hosted in a separate subnet. NSG-Regeln (Netzwerksicherheitsgruppe) schützen die AD DS-Server und stellen eine Firewall für Datenverkehr von unerwarteten Quellen dar.Network security group (NSG) rules protect the AD DS servers and provide a firewall against traffic from unexpected sources.
  • Azure-Gateway.Azure gateway. Das Azure-Gateway stellt eine Verbindung zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk her.The Azure gateway provides a connection between the on-premises network and the Azure VNet. Dabei kann es sich um eine VPN-Verbindung oder um Azure ExpressRoute handeln.This can be a VPN connection or Azure ExpressRoute. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure über ein VPN-Gateway.For more information, see Connect an on-premises network to Azure using a VPN gateway.

EmpfehlungenRecommendations

Spezifische Empfehlungen zur Implementierung von Active Directory in Azure finden unter Erweitern von Active Directory Domain Services (AD DS) auf Azure.For specific recommendations on implementing Active Directory in Azure, see Extending Active Directory Domain Services (AD DS) to Azure.

VertrauenTrust

Die lokalen Domänen sind in einer anderen Gesamtstruktur als die Domänen in der Cloud enthalten.The on-premises domains are contained within a different forest from the domains in the cloud. Um die Authentifizierung von lokalen Benutzern in der Cloud zu ermöglichen, müssen die Domänen in Azure der Anmeldedomäne in der lokalen Gesamtstruktur vertrauen.To enable authentication of on-premises users in the cloud, the domains in Azure must trust the logon domain in the on-premises forest. Ebenso kann es bei Bereitstellung einer Anmeldedomäne für externe Benutzer in der Cloud erforderlich sein, dass die lokale Gesamtstruktur der Clouddomäne vertraut.Similarly, if the cloud provides a logon domain for external users, it may be necessary for the on-premises forest to trust the cloud domain.

Sie können Vertrauensstellungen auf Gesamtstrukturebene durch Erstellen von Gesamtstrukturvertrauensstellungen oder auf Domänenebene durch Erstellen externer Vertrauensstellungen einrichten.You can establish trusts at the forest level by creating forest trusts, or at the domain level by creating external trusts. Eine Vertrauensstellung auf Gesamtstrukturebene erstellt eine Beziehung zwischen allen Domänen in zwei Gesamtstrukturen.A forest level trust creates a relationship between all domains in two forests. Eine Vertrauensstellung auf Ebene externer Domänen erstellt nur eine Beziehung zwischen zwei angegebenen Domänen.An external domain level trust only creates a relationship between two specified domains. Sie sollten Vertrauensstellungen auf Ebene externer Domänen nur zwischen Domänen in verschiedenen Gesamtstrukturen erstellen.You should only create external domain level trusts between domains in different forests.

Vertrauensstellungen können unidirektional oder bidirektional sein:Trusts can be unidirectional (one-way) or bidirectional (two-way):

  • Eine unidirektionale Vertrauensstellung ermöglicht Benutzern in einer Domäne oder Gesamtstruktur (als eingehende Domäne oder Gesamtstruktur bezeichnet) Zugriff auf die Ressourcen in einer anderen Domäne oder Gesamtstruktur (als ausgehende Domäne oder Gesamtstruktur bezeichnet).A one-way trust enables users in one domain or forest (known as the incoming domain or forest) to access the resources held in another (the outgoing domain or forest).
  • Eine bidirektionale Vertrauensstellung ermöglicht Benutzern in beiden Domänen oder Gesamtstrukturen den Zugriff auf Ressourcen in der jeweils anderen Domäne oder Gesamtstruktur.A two-way trust enables users in either domain or forest to access resources held in the other.

Die folgende Tabelle enthält eine Übersicht über Vertrauensstellungskonfigurationen für einige einfache Szenarien:The following table summarizes trust configurations for some simple scenarios:

SzenarioScenario Lokale VertrauensstellungOn-premises trust CloudvertrauensstellungCloud trust
Lokale Benutzer benötigen Zugriff auf Ressourcen in der Cloud, aber nicht umgekehrtOn-premises users require access to resources in the cloud, but not vice versa Unidirektional, eingehendOne-way, incoming Unidirektional, ausgehendOne-way, outgoing
Benutzer in der Cloud benötigen Zugriff auf lokale Ressourcen, aber nicht umgekehrtUsers in the cloud require access to resources located on-premises, but not vice versa Unidirektional, ausgehendOne-way, outgoing Unidirektional, eingehendOne-way, incoming
Sowohl Benutzer in der Cloud als auch lokale Benutzer benötigen Zugriff auf Ressourcen in der Cloud und auf lokale RessourcenUsers in the cloud and on-premises both requires access to resources held in the cloud and on-premises Bidirektional, eingehend und ausgehendTwo-way, incoming and outgoing Bidirektional, eingehend und ausgehendTwo-way, incoming and outgoing

Überlegungen zur SkalierbarkeitScalability considerations

Active Directory ist für Domänencontroller, die Teil derselben Domäne sind, automatisch skalierbar.Active Directory is automatically scalable for domain controllers that are part of the same domain. Anforderungen werden auf alle Controller innerhalb einer Domäne verteilt.Requests are distributed across all controllers within a domain. Sie können einen weiteren Domänencontroller hinzufügen, und er wird automatisch mit der Domäne synchronisiert.You can add another domain controller, and it synchronizes automatically with the domain. Konfigurieren Sie keinen separaten Lastenausgleich, um Datenverkehr an Controller innerhalb der Domäne weiterzuleiten.Do not configure a separate load balancer to direct traffic to controllers within the domain. Stellen Sie sicher, dass alle Domänencontroller über genügend Arbeitsspeicher und Speicherressourcen für den Umgang mit der Domänendatenbank verfügen.Ensure that all domain controllers have sufficient memory and storage resources to handle the domain database. Erstellen Sie alle Domänencontroller als virtuelle Computer derselben Größe.Make all domain controller VMs the same size.

Überlegungen zur VerfügbarkeitAvailability considerations

Stellen Sie mindestens zwei Domänencontroller für jede Domäne bereit.Provision at least two domain controllers for each domain. Dies ermöglicht eine automatische Replikation zwischen Servern.This enables automatic replication between servers. Erstellen Sie eine Verfügbarkeitsgruppe für die virtuellen Computer, die als Active Directory-Server für die Handhabung der einzelnen Domänen dienen.Create an availability set for the VMs acting as Active Directory servers handling each domain. Es müssen mindestens zwei Server in dieser Verfügbarkeitsgruppe enthalten sein.Put at least two servers in this availability set.

Überlegen Sie auch, ob Sie einen oder mehrere Server in jeder Domäne als Standby-Betriebsmaster für den Fall festlegen, dass die Verbindung mit einem Server mit FSMO-Rolle (Flexible Single Master Operation) fehlschlägt.Also, consider designating one or more servers in each domain as standby operations masters in case connectivity to a server acting as a flexible single master operation (FSMO) role fails.

Überlegungen zur VerwaltbarkeitManageability considerations

Informationen zu Überlegungen in Bezug auf Verwaltung und Überwachung finden Sie unter Erweitern von Active Directory auf Azure.For information about management and monitoring considerations, see Extending Active Directory to Azure.

Weitere Informationen finden Sie unter Überwachen von Active Directory.For additional information, see Monitoring Active Directory. Sie können Tools wie z. B. Microsoft Systems Center auf einem Überwachungsserver im Verwaltungssubnetz installieren, um diese Aufgaben auszuführen.You can install tools such as Microsoft Systems Center on a monitoring server in the management subnet to help perform these tasks.

SicherheitshinweiseSecurity considerations

Vertrauensstellungen auf Gesamtstrukturebene sind transitiv.Forest level trusts are transitive. Wenn Sie eine Vertrauensstellung auf Gesamtstrukturebene zwischen einer lokalen Gesamtstruktur und einer Gesamtstruktur in der Cloud erstellen, wird diese Vertrauensstellung auf weitere neue Domänen ausgeweitet, die in beiden Gesamtstrukturen erstellt werden.If you establish a forest level trust between an on-premises forest and a forest in the cloud, this trust is extended to other new domains created in either forest. Wenn Sie Domänen verwenden, um eine Trennung aus Sicherheitsgründen bereitzustellen, sollten Sie Vertrauensstellungen nur auf Domänenebene erstellen.If you use domains to provide separation for security purposes, consider creating trusts at the domain level only. Vertrauensstellungen auf Domäneneben sind nicht transitiv.Domain level trusts are non-transitive.

Spezifische Überlegungen zur Sicherheit für Active Directory finden Sie im Abschnitt „Sicherheitshinweise“ unter Erweitern von Active Directory auf Azure.For Active Directory-specific security considerations, see the security considerations section in Extending Active Directory to Azure.

Bereitstellen der LösungDeploy the solution

Eine Bereitstellung für diese Architektur ist auf GitHub verfügbar.A deployment for this architecture is available on GitHub. Beachten Sie, dass die gesamte Bereitstellung bis zu zwei Stunden dauern kann, was das Erstellen des VPN-Gateways und die Ausführung der Skripts beinhaltet, die AD DS konfigurieren.Note that the entire deployment can take up to two hours, which includes creating the VPN gateway and running the scripts that configure AD DS.

VoraussetzungenPrerequisites

  1. Führen Sie das Klonen, Forken oder Herunterladen der ZIP-Datei für das GitHub-Repository durch.Clone, fork, or download the zip file for the GitHub repository.

  2. Installieren Sie Azure CLI 2.0.Install Azure CLI 2.0.

  3. Installieren Sie das npm-Paket mit den Azure Bausteinen.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Melden Sie sich über eine Eingabeaufforderung, eine Bash-Eingabeaufforderung oder die PowerShell-Eingabeaufforderung folgendermaßen bei Ihrem Azure-Konto an:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Bereitstellen des simulierten lokalen RechenzentrumsDeploy the simulated on-premises datacenter

  1. Navigieren Sie zum Ordner identity/adds-forest des GitHub-Repositorys.Navigate to the identity/adds-forest folder of the GitHub repository.

  2. Öffnen Sie die Datei onprem.json .Open the onprem.json file. Suchen Sie nach Instanzen von adminPassword und Password, und fügen Sie Werte für die Kennwörter hinzu.Search for instances of adminPassword and Password and add values for the passwords.

  3. Führen Sie den folgenden Befehl aus, und warten Sie, bis die Bereitstellung abgeschlossen ist:Run the following command and wait for the deployment to finish:

    azbb -s <subscription_id> -g <resource group> -l <location> -p onprem.json --deploy
    

Bereitstellen von Azure VNetDeploy the Azure VNet

  1. Öffnen Sie die Datei azure.json .Open the azure.json file. Suchen Sie nach Instanzen von adminPassword und Password, und fügen Sie Werte für die Kennwörter hinzu.Search for instances of adminPassword and Password and add values for the passwords.

  2. Suchen Sie in der gleichen Datei nach Instanzen von sharedKey, und geben Sie gemeinsam verwendete Schlüssel für die VPN-Verbindung ein.In the same file, search for instances of sharedKey and enter shared keys for the VPN connection.

    "sharedKey": "",
    
  3. Führen Sie den folgenden Befehl aus, und warten Sie, bis die Bereitstellung abgeschlossen ist.Run the following command and wait for the deployment to finish.

    azbb -s <subscription_id> -g <resource group> -l <location> -p azure.json --deploy
    

    Führen Sie die Bereitstellung in der gleichen Ressourcengruppe durch, in der das lokale VNet bereitgestellt ist.Deploy to the same resource group as the on-premises VNet.

Testen der AD-VertrauensbeziehungTest the AD trust relation

  1. Navigieren Sie im Azure-Portal zu der Ressourcengruppe, die Sie erstellt haben.Use the Azure portal, navigate to the resource group that you created.

  2. Suchen Sie im Azure-Portal die VM ra-adt-mgmt-vm1.Use the Azure portal to find the VM named ra-adt-mgmt-vm1.

  3. Klicke Sie auf Connect, um eine Remotedesktopsitzung mit der VM zu öffnen.Click Connect to open a remote desktop session to the VM. Der Benutzername ist contoso\testuser, und das Kennwort entspricht dem, das Sie in der onprem.json-Parameterdatei angegeben haben.The username is contoso\testuser, and the password is the one that you specified in the onprem.json parameter file.

  4. Öffnen Sie von der Remotedesktopsitzung aus eine andere Remotedesktopsitzung mit 192.168.0.4 (IP-Adresse des virtuellen Computers namens ra-adtrust-onpremise-ad-vm1).From inside your remote desktop session, open another remote desktop session to 192.168.0.4, which is the IP address of the VM named ra-adtrust-onpremise-ad-vm1. Der Benutzername ist contoso\testuser, und das Kennwort entspricht dem, das Sie in der azure.json-Parameterdatei angegeben haben.The username is contoso\testuser, and the password is the one that you specified in the azure.json parameter file.

  5. Wechseln Sie von der Remotedesktopsitzung für ra-adtrust-onpremise-ad-vm1 zum Server-Manager, und klicken Sie auf Extras > Active Directory-Domänen und -Vertrauensstellungen.From inside the remote desktop session for ra-adtrust-onpremise-ad-vm1, go to Server Manager and click Tools > Active Directory Domains and Trusts.

  6. Klicken Sie im linken Bereich mit der rechten Maustaste auf „contoso.com“, und klicken Sie auf Eigenschaften.In the left pane, right-click on the contoso.com and select Properties.

  7. Klicken Sie auf die Registerkarte Vertrauensstellungen. Als eingehende Vertrauensstellung sollte „treyresearch.net“ angezeigt werden.Click the Trusts tab. You should see treyresearch.net listed as an incoming trust.

Screenshot des Vertrauensstellungsdialogfelds für die Active Directory-Gesamtstruktur

Nächste SchritteNext steps