Amplíe el dominio de Active Directory local a AzureExtend your on-premises Active Directory domain to Azure

Esta arquitectura muestra cómo extender un dominio de Active Directory local a Azure para proporcionar servicios de autenticación distribuida.This architecture shows how to extend an on-premises Active Directory domain to Azure to provide distributed authentication services. Implemente esta solución.Deploy this solution.

Arquitectura de red híbrida segura con Active Directory

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

Si la aplicación se hospeda en parte de forma local y en parte en Azure, puede ser más eficaz replicar Active Directory Domain Services (AD DS) en Azure.If your application is hosted partly on-premises and partly in Azure, it may be more efficient to replicate Active Directory Domain Services (AD DS) in Azure. Esto puede reducir la latencia causada por el envío de solicitudes de autenticación desde la nube a AD DS que se ejecutan de forma local.This can reduce the latency caused by sending authentication requests from the cloud back to AD DS running on-premises.

Esta arquitectura suele usarse cuando la red local y la red virtual de Azure están conectadas mediante una conexión VPN o ExpressRoute.This architecture is commonly used when the on-premises network and the Azure virtual network are connected by a VPN or ExpressRoute connection. Esta arquitectura también admite la replicación bidireccional, lo que significa que los cambios se pueden realizar en el entorno local o en la nube, de tal forma que se mantiene la coherencia de ambos orígenes.This architecture also supports bidirectional replication, meaning changes can be made either on-premises or in the cloud, and both sources will be kept consistent. Los usos típicos de esta arquitectura incluyen aplicaciones híbridas en las que la funcionalidad se distribuye entre el entorno local y Azure, y las aplicaciones y los servicios que realizan la autenticación con Active Directory.Typical uses for this architecture include hybrid applications in which functionality is distributed between on-premises and Azure, and applications and services that perform authentication using Active Directory.

Para obtener consideraciones adicionales, consulte elección de una solución para la integración de Active Directory local con Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArquitecturaArchitecture

Esta arquitectura amplía la arquitectura que se muestra en la red perimetral entre Azure e Internet.This architecture extends the architecture shown in DMZ between Azure and the Internet. Tiene los siguientes componentes.It has the following components.

  • Red local.On-premises network. La red local incluye servidores locales de Active Directory que pueden realizar la autenticación y autorización de componentes que se encuentran en entornos locales.The on-premises network includes local Active Directory servers that can perform authentication and authorization for components located on-premises.
  • Servidores de Active Directory.Active Directory servers. Se trata de controladores de dominio que implementan servicios de directorio (AD DS) que se ejecutan como máquinas virtuales en la nube.These are domain controllers implementing directory services (AD DS) running as VMs in the cloud. Estos servidores pueden proporcionar la autenticación de componentes que se ejecutan en la red virtual de Azure.These servers can provide authentication of components running in your Azure virtual network.
  • Subred de Active Directory.Active Directory subnet. Los servidores de AD DS se hospedan en una subred independiente.The AD DS servers are hosted in a separate subnet. Las reglas de los grupos de seguridad de red (NSG) protegen los servidores de AD DS y proporcionan un firewall contra el tráfico procedente de orígenes inesperados.Network security group (NSG) rules protect the AD DS servers and provide a firewall against traffic from unexpected sources.
  • Azure Gateway y sincronización de Active Directory.Azure Gateway and Active Directory synchronization. La puerta de enlace de Azure proporciona una conexión entre la red local y la red virtual de Azure.The Azure gateway provides a connection between the on-premises network and the Azure VNet. Puede ser una conexión VPN o Azure ExpressRoute.This can be a VPN connection or Azure ExpressRoute. Todas las solicitudes de sincronización entre los servidores de Active Directory en la nube y locales pasan a través de la puerta de enlace.All synchronization requests between the Active Directory servers in the cloud and on-premises pass through the gateway. Las rutas definidas por el usuario (UDR) controlan el enrutamiento del tráfico local que pasa a Azure.User-defined routes (UDRs) handle routing for on-premises traffic that passes to Azure. El tráfico hacia y desde los servidores de Active Directory no pasa a través de las aplicaciones virtuales de red (NVA) utilizadas en este escenario.Traffic to and from the Active Directory servers does not pass through the network virtual appliances (NVAs) used in this scenario.

Para obtener más información sobre la configuración de UDR y NVA, vea implementación de una arquitectura de red híbrida segura en Azure.For more information about configuring UDRs and the NVAs, see Implementing a secure hybrid network architecture in Azure.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Recomendaciones de VMVM recommendations

Determine los requisitos de tamaño de la máquina virtual en función del volumen esperado de solicitudes de autenticación.Determine your VM size requirements based on the expected volume of authentication requests. Use las especificaciones de los equipos que hospedan AD DS de forma local como punto de partida y hágalas coincidir con los tamaños de máquina virtual de Azure.Use the specifications of the machines hosting AD DS on premises as a starting point, and match them with the Azure VM sizes. Una vez realizada la implementación, supervise la utilización y escale o reduzca verticalmente en función de la carga real de las máquinas virtuales.Once deployed, monitor utilization and scale up or down based on the actual load on the VMs. Para obtener más información sobre el ajuste de tamaño AD DS controladores de dominio, consulte Capacity Planning for Active Directory Domain Services.For more information about sizing AD DS domain controllers, see Capacity Planning for Active Directory Domain Services.

Crear un disco de datos virtual independiente para almacenar la base de datos, los registros y SYSVOL de Active Directory.Create a separate virtual data disk for storing the database, logs, and SYSVOL for Active Directory. No almacene estos elementos en el mismo disco que el sistema operativo.Do not store these items on the same disk as the operating system. Tenga en cuenta que, de forma predeterminada, los disco de datos que están conectados a una máquina virtual usan una caché de escritura simultánea.Note that by default, data disks that are attached to a VM use write-through caching. Sin embargo, esta forma de almacenamiento en caché puede entrar en conflicto con los requisitos de AD DS.However, this form of caching can conflict with the requirements of AD DS. Por ello, establezca la preferencia de caché de host en el disco de datos en Ninguna.For this reason, set the Host Cache Preference setting on the data disk to None.

Implemente al menos dos máquinas virtuales que ejecuten AD DS como controladores de dominio y agréguelas a un conjunto de disponibilidad.Deploy at least two VMs running AD DS as domain controllers and add them to an availability set.

Recomendaciones de redesNetworking recommendations

Configure la interfaz de red (NIC) de VM para cada servidor de AD DS con una dirección IP privada estática para la compatibilidad total del Servicio de nombres de dominio (DNS).Configure the VM network interface (NIC) for each AD DS server with a static private IP address for full domain name service (DNS) support. Para obtener más información, consulte establecimiento de una dirección IP privada estática en el Azure portal.For more information, see How to set a static private IP address in the Azure portal.

Nota

No configure la NIC de VM para cualquier AD DS con una dirección IP pública.Do not configure the VM NIC for any AD DS with a public IP address. Vea consideraciones de seguridad para obtener más detalles.See Security considerations for more details.

El NSG de la subred Active Directory requiere reglas para permitir el tráfico entrante desde el tráfico local y el saliente hacia el entorno local.The Active Directory subnet NSG requires rules to permit incoming traffic from on-premises and outgoing traffic to on-premises. Para obtener información detallada acerca de los puertos utilizados por AD DS, consulte requisitos del puerto Active Directory y Active Directory Domain Services.For detailed information on the ports used by AD DS, see Active Directory and Active Directory Domain Services Port Requirements. Asegúrese también de que las tablas UDR no enruten el tráfico de AD DS a través de las NVA utilizadas en esta arquitectura.Also, ensure the UDR tables do not route AD DS traffic through the NVAs used in this architecture.

Sitio de Active DirectoryActive Directory site

En AD DS, un sitio representa una ubicación física, una red o un conjunto de dispositivos.In AD DS, a site represents a physical location, network, or collection of devices. Los sitios de AD DS se utilizan para administrar la replicación de base de datos de AD DS mediante la agrupación de objetos de AD DS que se encuentran cerca unos de otros y que están conectados mediante una red de alta velocidad.AD DS sites are used to manage AD DS database replication by grouping together AD DS objects that are located close to one another and are connected by a high speed network. AD DS incluye la lógica para seleccionar la mejor estrategia para replicar la base de datos AD DS entre sitios.AD DS includes logic to select the best strategy for replicating the AD DS database between sites.

Se recomienda crear un sitio de AD DS, incluidas las subredes definidas para la aplicación en Azure.We recommend that you create an AD DS site including the subnets defined for your application in Azure. Después, configure un vínculo de sitio entre los sitios de AD DS locales, y AD DS realizará automáticamente la replicación de base de datos más eficaz posible.Then, configure a site link between your on-premises AD DS sites, and AD DS will automatically perform the most efficient database replication possible. Tenga en cuenta que esta replicación de base de datos requiere poco más aparte de la configuración inicial.Note that this database replication requires little beyond the initial configuration.

Maestros de operaciones de Active DirectoryActive Directory operations masters

El rol de maestro de operaciones se puede asignar a los controladores de dominio de AD DS para admitir la comprobación de coherencia entre instancias de bases de datos de AD DS replicadas.The operations masters role can be assigned to AD DS domain controllers to support consistency checking between instances of replicated AD DS databases. Hay cinco roles de maestro de operaciones: maestro de esquema, maestro de nomenclatura de dominios, maestro de identificadores relativos, maestro emulador del controlador de dominio principal y maestro de infraestructuras.There are five operations master roles: schema master, domain naming master, relative identifier master, primary domain controller master emulator, and infrastructure master. Para obtener más información acerca de estos roles, consulte ¿Qué son los maestros de operaciones?.For more information about these roles, see What are Operations Masters?.

Se recomienda no asignar roles de maestros de operaciones a los controladores de dominio implementados en Azure.We recommend you do not assign operations masters roles to the domain controllers deployed in Azure.

SupervisiónMonitoring

Supervise los recursos de las máquinas virtuales del controlador de dominio y los servicios de AD DS y cree un plan para corregir rápidamente los problemas.Monitor the resources of the domain controller VMs as well as the AD DS Services and create a plan to quickly correct any problems. Para obtener más información, vea supervisión Active Directory.For more information, see Monitoring Active Directory. También puede instalar herramientas como Microsoft Systems Center en el servidor de supervisión (consulte el diagrama de arquitectura) para ayudar a realizar estas tareas.You can also install tools such as Microsoft Systems Center on the monitoring server (see the architecture diagram) to help perform these tasks.

Consideraciones sobre escalabilidadScalability considerations

AD DS está diseñado para ofrecer escalabilidad.AD DS is designed for scalability. No es necesario configurar un equilibrador de carga o un controlador de tráfico para dirigir las solicitudes a controladores de dominio de AD DS.You don't need to configure a load balancer or traffic controller to direct requests to AD DS domain controllers. La única consideración de escalabilidad consiste en configurar las máquinas virtuales que ejecutan AD DS con el tamaño correcto para los requisitos de la carga de red, supervisar la carga en las máquinas virtuales y escalar y reducir verticalmente, según sea necesario.The only scalability consideration is to configure the VMs running AD DS with the correct size for your network load requirements, monitor the load on the VMs, and scale up or down as necessary.

Consideraciones sobre disponibilidadAvailability considerations

Implemente las máquinas virtuales que ejecutan AD DS en un conjunto de disponibilidad.Deploy the VMs running AD DS into an availability set. Además, considere la posibilidad de asignar el rol de maestro de operaciones en espera al menos a un servidor y, posiblemente, más en función de sus requisitos.Also, consider assigning the role of standby operations master to at least one server, and possibly more depending on your requirements. Un maestro de operaciones en modo de espera es una copia activa del maestro de operaciones que puede usarse en lugar del servidor maestro de operaciones principal durante una conmutación por error.A standby operations master is an active copy of the operations master that can be used in place of the primary operations masters server during fail over.

Consideraciones sobre la manejabilidadManageability considerations

Realice copias de seguridad periódicas de AD DS.Perform regular AD DS backups. No basta con copiar los archivos VHD de los controladores de dominio en lugar de realizar copias de seguridad periódicas, dado que el archivo de base de datos de AD DS del disco duro virtual puede no tener un estado coherente cuando se copia, lo que puede hacer que sea imposible reiniciar la base de datos.Don't simply copy the VHD files of domain controllers instead of performing regular backups, because the AD DS database file on the VHD may not be in a consistent state when it's copied, making it impossible to restart the database.

No apague una máquina virtual del controlador de dominio mediante Azure Portal.Do not shut down a domain controller VM using Azure portal. En su lugar, apague y reinicie desde el sistema operativo invitado.Instead, shut down and restart from the guest operating system. Si la operación de apagado se realiza desde el portal, la máquina virtual se desasigna, lo que hace que VM-GenerationID y invocationID se restablezcan en el repositorio de Active Directory.Shutting down through the portal causes the VM to be deallocated, which resets both the VM-GenerationID and the invocationID of the Active Directory repository. Esto descarta el grupo de identificadores relativos (RID) de AD DS y marca SYSVOL como no autoritativo; además, puede requerir la reconfiguración del controlador de dominio.This discards the AD DS relative identifier (RID) pool and marks SYSVOL as nonauthoritative, and may require reconfiguration of the domain controller.

Consideraciones sobre la seguridadSecurity considerations

Los servidores de AD DS proporcionan servicios de autenticación y son un objetivo muy atractivo para los ataques.AD DS servers provide authentication services and are an attractive target for attacks. Para protegerlos, evite la conexión directa a Internet mediante la colocación de los servidores de AD DS en una subred independiente con un NSG que actúe como un firewall.To secure them, prevent direct Internet connectivity by placing the AD DS servers in a separate subnet with an NSG acting as a firewall. Cierre todos los puertos en los servidores de AD DS, excepto los necesarios para la autenticación, autorización y sincronización del servidor.Close all ports on the AD DS servers except those necessary for authentication, authorization, and server synchronization. Para obtener más información, consulte requisitos de puertos Active Directory y Active Directory Domain Services.For more information, see Active Directory and Active Directory Domain Services Port Requirements.

Considere la posibilidad de implementar un perímetro de seguridad adicional alrededor de los servidores con un par de subredes y NVA, como se describe en implementación de una arquitectura de red híbrida segura con acceso a Internet en Azure.Consider implementing an additional security perimeter around servers with a pair of subnets and NVAs, as described in Implementing a secure hybrid network architecture with Internet access in Azure.

Utilice BitLocker o Azure Disk Encryption para cifrar el disco que hospeda la base de datos de AD DS.Use either BitLocker or Azure disk encryption to encrypt the disk hosting the AD DS database.

Implementación de la soluciónDeploy the solution

Hay disponible una implementación de esta arquitectura en GitHub.A deployment for this architecture is available on GitHub. Tenga en cuenta que la implementación completa puede tardar hasta dos horas, lo que incluye la creación de una instancia de VPN Gateway y ejecutar los scripts que configuran AD DS.Note that the entire deployment can take up to two hours, which includes creating the VPN gateway and running the scripts that configure AD DS.

Requisitos previosPrerequisites

  1. Clone, bifurque o descargue el archivo zip del repositorio de GitHub.Clone, fork, or download the zip file for the GitHub repository.

  2. Instale la CLI de Azure 2.0.Install Azure CLI 2.0.

  3. Instale el paquete de npm de bloques de creación de Azure.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Desde un símbolo del sistema, un símbolo del sistema de Bash o un símbolo del sistema de PowerShell, inicie sesión en su cuenta de Azure como se indica a continuación:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Implementación del centro de datos local simuladoDeploy the simulated on-premises datacenter

  1. Vaya a la carpeta identity/adds-extend-domain del repositorio de GitHub.Navigate to the identity/adds-extend-domain folder of the GitHub repository.

  2. Abra el archivo onprem.json .Open the onprem.json file. Busque instancias de adminPassword y Password y agregue valores para las contraseñas.Search for instances of adminPassword and Password and add values for the passwords.

  3. Ejecute el siguiente comando y espere a que finalice la implementación:Run the following command and wait for the deployment to finish:

    azbb -s <subscription_id> -g <resource group> -l <location> -p onprem.json --deploy
    

Implementación de la red virtual de AzureDeploy the Azure VNet

  1. Abra el archivo azure.json .Open the azure.json file. Busque instancias de adminPassword y Password y agregue valores para las contraseñas.Search for instances of adminPassword and Password and add values for the passwords.

  2. En el mismo archivo, busque instancias de sharedKey y escriba las claves compartidas de la conexión VPN.In the same file, search for instances of sharedKey and enter shared keys for the VPN connection.

    "sharedKey": "",
    
  3. Ejecute el siguiente comando y espere a que finalice la implementación.Run the following command and wait for the deployment to finish.

    azbb -s <subscription_id> -g <resource group> -l <location> -p azure.json --deploy
    

    Realice la implementación en el mismo grupo de recursos que la red virtual local.Deploy to the same resource group as the on-premises VNet.

Prueba de conectividad con la red virtual de AzureTest connectivity with the Azure VNet

Una vez finalizada la implementación, puede probar la conectividad desde el entorno local simulado a la red virtual de Azure.After deployment completes, you can test connectivity from the simulated on-premises environment to the Azure VNet.

  1. Use Azure Portal y vaya al grupo de recursos que ha creado.Use the Azure portal, navigate to the resource group that you created.

  2. Busque la máquina virtual denominada ra-onpremise-mgmt-vm1.Find the VM named ra-onpremise-mgmt-vm1.

  3. Haga clic en Connect para abrir una sesión de escritorio remoto en la máquina virtual.Click Connect to open a remote desktop session to the VM. El nombre de usuario es contoso\testuser y la contraseña es la que especificó en el archivo de parámetros onprem.json.The username is contoso\testuser, and the password is the one that you specified in the onprem.json parameter file.

  4. Desde dentro de la sesión de escritorio remoto, abra otra sesión de escritorio remoto en 10.0.4.4, que es la dirección IP dirección de la máquina virtual denominada adds-vm1.From inside your remote desktop session, open another remote desktop session to 10.0.4.4, which is the IP address of the VM named adds-vm1. El nombre de usuario es contoso\testuser y la contraseña es la que especificó en el archivo de parámetros azure.json.The username is contoso\testuser, and the password is the one that you specified in the azure.json parameter file.

  5. Desde la sesión de escritorio remoto para adds-vm1, vaya al Administrador del servidor y haga clic en Agregar otros servidores para administrar.From inside the remote desktop session for adds-vm1, go to Server Manager and click Add other servers to manage.

  6. En la pestaña Active Directory haga clic en Find now (Buscar ahora).In the Active Directory tab, click Find now. Debería ver una lista de las máquinas virtuales de AD, AD DS y de Web.You should see a list of the AD, AD DS, and Web VMs.

    Captura de pantalla del cuadro de diálogo Agregar servidores

Pasos siguientesNext steps