Erstellen einer AD DS-Ressourcengesamtstruktur in Azure

Azure Active Directory
Active Directory Domain Services
ExpressRoute
Virtual Network
VPN Gateway

Diese Referenzarchitektur zeigt, wie eine separate Active Directory-Domäne in Azure erstellt wird, der Domänen in der lokalen Active Directory-Gesamtstruktur vertrauen.

Schützen einer Hybrid-Netzwerkarchitektur mit separaten Active Directory-Domänen

Laden Sie eine Visio-Datei dieser Architektur herunter.

In Active Directory Domain Services (AD DS) werden Identitätsinformationen in einer hierarchischen Struktur gespeichert. Der oberste Knoten in der hierarchischen Struktur wird als Gesamtstruktur bezeichnet. Eine Gesamtstruktur enthält Domänen, und Domänen enthalten andere Objekttypen. In dieser Referenzarchitektur wird eine AD DS-Gesamtstruktur in Azure mit einer unidirektionalen ausgehenden Vertrauensstellung mit einer lokalen Domäne erstellt. Die Gesamtstruktur in Azure enthält eine Domäne, die lokal nicht vorhanden ist. Aufgrund der Vertrauensstellung werden Anmeldungen bei lokalen Domänen als vertrauenswürdig für den Zugriff auf Ressourcen in der separaten Azure-Domäne angesehen.

Zu den typischen Einsatzmöglichkeiten dieser Architektur zählen die Verwaltung einer Sicherheitstrennung für Objekte und Identitäten, die in der Cloud gespeichert werden, sowie die Migration einzelner Domänen aus einem lokalen System in die Cloud.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.

Aufbau

Diese Architektur besteht aus den folgenden Komponenten.

  • Lokales Netzwerk. Das lokale Netzwerk enthält eine eigene Active Directory-Gesamtstruktur und eigene Domänen.
  • Active Directory-Server. Hierbei handelt es sich um Domänencontroller, die Domänendienste implementieren und als virtuelle Computer in der Cloud ausgeführt werden. Diese Server hosten eine Gesamtstruktur mit einer oder mehrere Domänen, die von den lokal gehosteten getrennt sind.
  • Unidirektionale Vertrauensstellung. Das Beispiel im Diagramm zeigt eine unidirektionale Vertrauensstellung von der Domäne in Azure zur lokalen Domäne. Diese Beziehung ermöglicht lokalen Benutzern den Zugriff auf Ressourcen in der Domäne in Azure, jedoch nicht umgekehrt.
  • Active Directory-Subnetz. Die AD DS-Server werden in einem separaten Subnetz gehostet. NSG-Regeln (Netzwerksicherheitsgruppe) schützen die AD DS-Server und stellen eine Firewall für Datenverkehr von unerwarteten Quellen dar.
  • Azure-Gateway. Das Azure-Gateway stellt eine Verbindung zwischen Ihrem lokalen Netzwerk und dem virtuellen Azure-Netzwerk her. Dabei kann es sich um eine VPN-Verbindung oder um Azure ExpressRoute handeln. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure über ein VPN-Gateway.

Empfehlungen

Spezifische Empfehlungen zur Implementierung von Active Directory in Azure finden unter Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Vertrauen

Die lokalen Domänen sind in einer anderen Gesamtstruktur als die Domänen in der Cloud enthalten. Um die Authentifizierung von lokalen Benutzern in der Cloud zu ermöglichen, müssen die Domänen in Azure der Anmeldedomäne in der lokalen Gesamtstruktur vertrauen. Ebenso kann es bei Bereitstellung einer Anmeldedomäne für externe Benutzer in der Cloud erforderlich sein, dass die lokale Gesamtstruktur der Clouddomäne vertraut.

Sie können Vertrauensstellungen auf Gesamtstrukturebene durch Erstellen von Gesamtstrukturvertrauensstellungen oder auf Domänenebene durch Erstellen externer Vertrauensstellungen einrichten. Eine Vertrauensstellung auf Gesamtstrukturebene erstellt eine Beziehung zwischen allen Domänen in zwei Gesamtstrukturen. Eine Vertrauensstellung auf Ebene externer Domänen erstellt nur eine Beziehung zwischen zwei angegebenen Domänen. Sie sollten Vertrauensstellungen auf Ebene externer Domänen nur zwischen Domänen in verschiedenen Gesamtstrukturen erstellen.

Vertrauensstellungen mit lokalem Active Directory sind nur unidirektional (also ausschließlich in eine Richtung). Eine unidirektionale Vertrauensstellung ermöglicht Benutzern in einer Domäne oder Gesamtstruktur (als eingehende Domäne oder Gesamtstruktur bezeichnet) Zugriff auf die Ressourcen in einer anderen Domäne oder Gesamtstruktur (als ausgehende Domäne oder Gesamtstruktur bezeichnet).

Die folgende Tabelle enthält eine Übersicht über Vertrauensstellungskonfigurationen für einige einfache Szenarien:

Szenario Lokale Vertrauensstellung Cloudvertrauensstellung
Lokale Benutzer benötigen Zugriff auf Ressourcen in der Cloud, aber nicht umgekehrt Unidirektional, eingehend Unidirektional, ausgehend
Benutzer in der Cloud benötigen Zugriff auf lokale Ressourcen, aber nicht umgekehrt Unidirektional, ausgehend Unidirektional, eingehend

Überlegungen zur Skalierbarkeit

Active Directory ist für Domänencontroller, die Teil derselben Domäne sind, automatisch skalierbar. Anforderungen werden auf alle Controller innerhalb einer Domäne verteilt. Sie können einen weiteren Domänencontroller hinzufügen, und er wird automatisch mit der Domäne synchronisiert. Konfigurieren Sie keinen separaten Lastenausgleich, um Datenverkehr an Controller innerhalb der Domäne weiterzuleiten. Stellen Sie sicher, dass alle Domänencontroller über genügend Arbeitsspeicher und Speicherressourcen für den Umgang mit der Domänendatenbank verfügen. Erstellen Sie alle Domänencontroller als virtuelle Computer derselben Größe.

Überlegungen zur Verfügbarkeit

Stellen Sie mindestens zwei Domänencontroller für jede Domäne bereit. Dies ermöglicht eine automatische Replikation zwischen Servern. Erstellen Sie eine Verfügbarkeitsgruppe für die virtuellen Computer, die als Active Directory-Server für die Handhabung der einzelnen Domänen dienen. Es müssen mindestens zwei Server in dieser Verfügbarkeitsgruppe enthalten sein.

Überlegen Sie auch, ob Sie einen oder mehrere Server in jeder Domäne als Standby-Betriebsmaster für den Fall festlegen, dass die Verbindung mit einem Server mit FSMO-Rolle (Flexible Single Master Operation) fehlschlägt.

Überlegungen zur Verwaltbarkeit

Informationen zu Überlegungen in Bezug auf Verwaltung und Überwachung finden Sie unter Erweitern von Active Directory auf Azure.

Weitere Informationen finden Sie unter Überwachen von Active Directory. Sie können Tools wie z. B. Microsoft Systems Center auf einem Überwachungsserver im Verwaltungssubnetz installieren, um diese Aufgaben auszuführen.

Sicherheitshinweise

Vertrauensstellungen auf Gesamtstrukturebene sind transitiv. Wenn Sie eine Vertrauensstellung auf Gesamtstrukturebene zwischen einer lokalen Gesamtstruktur und einer Gesamtstruktur in der Cloud erstellen, wird diese Vertrauensstellung auf weitere neue Domänen ausgeweitet, die in beiden Gesamtstrukturen erstellt werden. Wenn Sie Domänen verwenden, um eine Trennung aus Sicherheitsgründen bereitzustellen, sollten Sie Vertrauensstellungen nur auf Domänenebene erstellen. Vertrauensstellungen auf Domäneneben sind nicht transitiv.

Spezifische Überlegungen zur Sicherheit für Active Directory finden Sie im Abschnitt „Sicherheitshinweise“ unter Erweitern von Active Directory auf Azure.

Überlegungen zu DevOps

Überlegungen zu DevOps finden Sie unter DevOps: Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Kostenbetrachtung

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Überlegungen finden Sie im Microsoft Azure Well-Architected Framework unter Grundsätze der Kostenoptimierung.

Hier sind die Überlegungen zu den Kosten für die Dienste angegeben, die in dieser Architektur verwendet werden.

AD Domain Services

Ziehen Sie in Betracht, Active Directory Domain Services als gemeinsam genutzten Dienst zu verwenden, der von mehreren Workloads genutzt wird, um die Kosten zu senken. Weitere Informationen finden Sie unter Active Directory Domain Services – Preise.

Azure VPN Gateway

Die Hauptkomponente dieser Architektur ist der VPN Gateway-Dienst. Gebühren fallen basierend auf der Bereitstellungs- und Verfügbarkeitsdauer des Gateways an.

Der gesamte eingehende Datenverkehr ist kostenlos, und für den gesamten ausgehenden Datenverkehr fallen Gebühren an. Für ausgehenden VPN-Datenverkehr gelten Internetbandbreitenkosten.

Weitere Informationen finden Sie unter VPN-Gateway: Preise.

Nächste Schritte