Virtuális hálózatok kialakításával kapcsolatos szempontok és konfigurációs beállítások Azure Active Directory tartományi szolgáltatásokhoz

Azure Active Directory Tartományi szolgáltatások (Azure AD DS) hitelesítési és felügyeleti szolgáltatásokat biztosít más alkalmazások és számítási feladatok számára. A hálózati kapcsolat kulcsfontosságú összetevő. Megfelelően konfigurált virtuális hálózati erőforrások nélkül az alkalmazások és a számítási feladatok nem tudnak kommunikálni a virtuális gépek által biztosított Azure AD DS. Tervezze meg a virtuális hálózat követelményeit, és győződjön meg arról, Azure AD DS az alkalmazásokat és a számítási feladatokat szükség szerint tudja kiszolgálni.

Ez a cikk az Azure-beli virtuális hálózatok tervezésével kapcsolatos szempontokat és követelményeket ismerteti a Azure AD DS.

Azure-beli virtuális hálózatok tervezése

A hálózati kapcsolat, valamint az alkalmazások és szolgáltatások hitelesítésének engedélyezése Azure AD DS felügyelt tartományon, Azure-beli virtuális hálózatot és alhálózatot kell használnia. Ideális esetben a felügyelt tartományt a saját virtuális hálózatában kell üzembe helyezni.

Egy külön alkalmazás-alhálózatot is tartalmazhat ugyanabban a virtuális hálózatban a felügyeleti virtuális gép vagy a világos alkalmazás számítási feladatainak futtatásához. Általában a nagyobb vagy összetettebb alkalmazások számítási feladatainak külön virtuális hálózata a legmegfelelőbb, Azure AD DS virtuális hálózattal társviszonyban.

Más kialakítási lehetőségek akkor érvényesek, ha megfelel a következő szakaszokban ismertetett, a virtuális hálózatra és az alhálózatra vonatkozó követelményeknek.

A virtuális hálózat tervezésekor a Azure AD DS figyelembe kell venni:

  • Azure AD DS virtuális hálózattal azonos Azure-régióban kell üzembe helyezni.
    • Jelenleg Azure AD-bérlőnként csak egy felügyelt tartományt helyezhet üzembe. A felügyelt tartomány egyetlen régióban van telepítve. Győződjön meg arról, hogy olyan régióban hoz létre vagy választ ki virtuális hálózatot, amely támogatja a Azure AD DS.
  • Vegye figyelembe a többi Azure-régió és az alkalmazás számítási feladatait szolgáltató virtuális hálózatok közelségét.
    • A késés minimalizálása érdekében tartsa az alapvető alkalmazásokat a felügyelt tartomány virtuális hálózati alhálózatához közel vagy ugyanabban a régióban. Használhat virtuális hálózatok közötti társviszonyt vagy virtuális magánhálózati (VPN)-kapcsolatokat az Azure-beli virtuális hálózatok között. Ezeket a kapcsolódási lehetőségeket a következő szakasz tárgyalja.
  • A virtuális hálózat nem támaszkodhat a felügyelt tartomány által nyújtott szolgáltatásokon kívül más DNS-szolgáltatásokra.
    • Azure AD DS saját DNS-szolgáltatást biztosít. A virtuális hálózatot úgy kell konfigurálni, hogy ezeket a DNS-szolgáltatáscímeket használja. A további névterek névfeloldása feltételes továbbítók használatával valósítható meg.
    • Nem használhat egyéni DNS-kiszolgálóbeállításokat más DNS-kiszolgálókról, például virtuális gépekről származó lekérdezések közvetlen lekérdezéséhez. A virtuális hálózat erőforrásainak a felügyelt tartomány által biztosított DNS-szolgáltatást kell használniuk.

Fontos

A szolgáltatás engedélyezése Azure AD DS után nem lehet másik virtuális hálózatra áthelyezni a virtuális gépeket.

A felügyelt tartomány egy Azure-beli virtuális hálózat alhálózatához csatlakozik. Az alhálózatot a következő Azure AD DS meg:

  • A felügyelt tartományt a saját alhálózatán kell üzembe helyezni. Ne használjon meglévő vagy átjáró-alhálózatot.
  • A hálózati biztonsági csoport egy felügyelt tartomány üzembe helyezése során jön létre. Ez a hálózati biztonsági csoport tartalmazza a megfelelő szolgáltatáskommunikációhoz szükséges szabályokat.
    • Ne hozzon létre vagy használjon meglévő hálózati biztonsági csoportot saját egyéni szabályokkal.
  • A felügyelt tartományokhoz 3–5 IP-cím szükséges. Győződjön meg arról, hogy az alhálózat IP-címtartománya képes ennyi címet biztosítani.
    • A rendelkezésre álló IP-címek korlátozása megakadályozhatja, hogy a felügyelt tartomány két tartományvezérlőt tarts fenn.

Az alábbi példadiagram egy olyan érvényes kialakítást mutat be, amelyben a felügyelt tartomány saját alhálózattal rendelkezik, egy átjáró-alhálózattal a külső kapcsolatokhoz, az alkalmazás számítási feladatai pedig egy csatlakoztatott alhálózatban vannak a virtuális hálózaton belül:

Recommended subnet design

Kapcsolatok az Azure AD DS virtuális hálózathoz

Ahogy az előző szakaszban említettük, csak egyetlen virtuális hálózatban hozhat létre felügyelt tartományt az Azure-ban, és Azure AD-bérlőnként csak egy felügyelt tartomány hozható létre. Ezen architektúra alapján előfordulhat, hogy egy vagy több olyan virtuális hálózatot kell csatlakoztatnia a felügyelt tartomány virtuális hálózatához, amelyek az alkalmazás számítási feladatait futtatják.

A más Azure-beli virtuális hálózatokon üzemeltetett alkalmazás-számítási feladatokat az alábbi módszerek egyikével csatlakoztathatja:

  • Társviszony létesítése virtuális hálózatok között
  • Virtuális magánhálózatok (VPN)

Társviszony létesítése virtuális hálózatok között

A virtuális hálózatok közötti társviszony-létesítés egy olyan mechanizmus, amely összeköt két virtuális hálózatot ugyanabban a régióban az Azure gerinchálózatán keresztül. A virtuális hálózatok globális társviszony-létesítésével összekapcsolhatja a virtuális hálózatokat az Azure-régiók között. A társviszony kialakítása után a két virtuális hálózat lehetővéte, hogy az erőforrások, például a virtuális gépek közvetlenül kommunikáljanak egymással magánhálózati IP-címek használatával. A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi egy felügyelt tartomány üzembe helyezését más virtuális hálózatokon üzembe helyezett alkalmazás-számítási feladatokkal.

Virtual network connectivity using peering

További információ: Az Azure-beli virtuális hálózatok közötti társviszony-létesítés áttekintése.

Virtuális magánhálózat (VPN)

A virtuális hálózatokat ugyanúgy csatlakoztathatja egy másik virtuális hálózathoz (virtuális hálózatok között), mint egy helyszíni helyhez. Mindkét kapcsolat VPN-átjáróval hoz létre biztonságos alagutat IPsec/IKE használatával. Ezzel a kapcsolati modellel üzembe helyezheti a felügyelt tartományt egy Azure-beli virtuális hálózatban, majd helyszíni helyeket vagy más felhőket csatlakoztathat.

Virtual network connectivity using a VPN Gateway

A virtuális magánhálózatok használatával kapcsolatos további információkért olvassa el A virtuális hálózatok között VPN Gateway-kapcsolatkonfigurálása az Azure Portal.

Névfeloldás virtuális hálózatok csatlakoztatásakor

A felügyelt tartomány virtuális hálózatához csatlakoztatott virtuális hálózatok általában saját DNS-beállításokkal vannak. A virtuális hálózatok csatlakoztatásakor az nem konfigurálja automatikusan a csatlakozó virtuális hálózat névfeloldási szolgáltatását a felügyelt tartomány által biztosított szolgáltatások feloldásához. A csatlakozó virtuális hálózatokon konfigurálni kell a névfeloldási beállításokat, hogy az alkalmazás számítási feladatai megtalálják a felügyelt tartományt.

A névfeloldás feltételes DNS-továbbítók használatával engedélyezhető a csatlakozó virtuális hálózatokat támogató DNS-kiszolgálón, vagy a felügyelt tartomány virtuális hálózatának azonos DNS IP-címeit használva.

A Azure AD DS

A felügyelt tartomány néhány hálózati erőforrást hoz létre az üzembe helyezés során. Ezek az erőforrások szükségesek a felügyelt tartomány sikeres működéséhez és kezeléséhez, és nem konfigurálhatóak manuálisan.

Ne zárolja a hálózati erőforrásokat, amelyek a Azure AD DS. Ha a hálózati erőforrások zárolva vannak, nem törölhetők. Ha ebben az esetben újra kell építeni a tartományvezérlőket, új hálózati erőforrásokat kell létrehozni különböző IP-címekkel.

Azure-erőforrás Description
Hálózati kártya Azure AD DS felügyelt tartományt két tartományvezérlőn (tartományvezérlőn) futtatja, amelyek Azure-beli virtuális Windows futnak a Windows-kiszolgálón. Minden virtuális gép rendelkezik egy virtuális hálózati illesztővel, amely a virtuális hálózat alhálózatához csatlakozik.
Dinamikus standard nyilvános IP-cím Azure AD DS standard termékváltozatú nyilvános IP-cím használatával kommunikál a szinkronizálási és felügyeleti szolgáltatással. További információ a nyilvános IP-címekről: IP-címtípusok és lefoglalási módszerek az Azure-ban.
Azure Standard Load Balancer Azure AD DS standard termékváltozatú terheléselosztást használ a hálózati címfordításhoz (NAT) és a terheléselosztáshoz (biztonságos LDAP esetén). További információ az Azure-terheléselosztásról: Mi a Azure Load Balancer?
Hálózati címfordítási (NAT-) szabályok Azure AD DS létrehoz és használ két bejövő NAT-szabályt a terheléselosztáson a PowerShell biztonságos elotolása érdekében. Standard termékváltozatú terheléselosztás használata esetén az is kimenő NAT-s szabályt fog használni. Az alapszintű termékváltozat terheléselosztásához nincs szükség kimenő NAT-szabályra.
Terheléselosztói szabályok Ha egy felügyelt tartomány biztonságos LDAP-hoz van konfigurálva a 636-os TCP-porton, a rendszer három szabályt hoz létre és használ a terheléselosztáshoz a forgalom elosztásához.

Figyelmeztetés

Ne törölje és ne módosítsa a hálózati erőforrásokat, Azure AD DS, például a terheléselosztás vagy a szabályok manuális konfigurálását. Ha törli vagy módosítja valamelyik hálózati erőforrást, előfordulhat, hogy Azure AD DS szolgáltatáskimaradás lép fel.

Hálózati biztonsági csoportok és szükséges portok

A hálózati biztonsági csoport (NSG) olyan szabályok listáját tartalmazza, amelyek engedélyezik vagy megtagadják a hálózati forgalmat egy Azure-beli virtuális hálózatban. Felügyelt tartomány üzembe helyezésekor egy hálózati biztonsági csoport jön létre olyan szabályokkal, amelyek segítségével a szolgáltatás hitelesítési és felügyeleti funkciókat biztosít. Ez az alapértelmezett hálózati biztonsági csoport azzal a virtuális hálózat alhálózatával van társítva, amelybe a felügyelt tartomány telepítve van.

A következő szakaszok a hálózati biztonsági csoportokra és a bejövő és kimenő portra vonatkozó követelményeket ismertetik.

Bejövő kapcsolatok

A következő hálózati biztonsági csoport bejövő szabályai szükségesek ahhoz, hogy a felügyelt tartomány hitelesítési és felügyeleti szolgáltatásokat nyújtson. Ne szerkessze vagy törölje a hálózati biztonsági csoportra vonatkozó szabályokat arra a virtuális hálózat alhálózatra, amelybe a felügyelt tartomány telepítve van.

Bejövő portszám Protokoll Forrás Cél Művelet Kötelező Cél
5986 TCP AzureActiveDirectoryDomainServices Bármelyik Engedélyezés Yes A tartomány kezelése.
3389 TCP CorpNetSaw Bármelyik Engedélyezés Választható Támogatás hibakeresése.

Létrejön egy standard Azure-terheléselosztási rendszer, amely megköveteli ezeknek a szabályoknak a helyét. Ez a hálózati biztonsági csoport biztonságossá Azure AD DS és szükséges a felügyelt tartomány megfelelő működjön. Ne törölje ezt a hálózati biztonsági csoportot. A terheléselosztás nem fog megfelelően működni e nélküle.

Szükség esetén létrehozhatja a szükséges hálózati biztonsági csoportot és szabályokat a Azure PowerShell.

Figyelmeztetés

Ha helytelenül konfigurált hálózati biztonsági csoportot vagy felhasználó által megadott útválasztási táblázatot társít ahhoz az alhálózathoz, amelyben a felügyelt tartomány telepítve van, az megzavarhatja a Microsoft azon képességét, hogy a tartományt ki tudja elégítani és felügyelje. Az Azure AD-bérlő és a felügyelt tartomány közötti szinkronizálás is megszakad. Kövesse az összes felsorolt követelményt, hogy elkerülje a nem támogatott konfigurációkat, amelyek megszakítanák a szinkronizálást, a javítást vagy a felügyeletet.

Ha biztonságos LDAP-t használ, hozzáadhatja a szükséges 636-os TCP-portszabályt, hogy szükség esetén engedélyezze a külső forgalmat. A szabály hozzáadásával a hálózati biztonsági csoport szabályai nem támogatott állapotba kerülnek. További információ: Biztonságos LDAP-hozzáférés zárolása az interneten keresztül.

Az Azure SLA nem vonatkozik azokra az üzemelő példányokra, amelyek frissítéseit vagy felügyeletét nem megfelelően konfigurált hálózati biztonsági csoport vagy felhasználó által megadott útvonaltábla blokkolja. A hibás hálózati konfiguráció a biztonsági javítások alkalmazását is megakadályozhatja.

Kimenő kapcsolat

Kimenő kapcsolat esetén megtarthatja az AllowVnetOutbound és az AllowInternetOutBound adatokat, vagy korlátozhatja a kimenő forgalmat az alábbi táblázatban felsorolt ServiceTagek használatával. Az AzureUpdateDelivery Szolgáltatáscímkét a PowerShellenkeresztül kell hozzáadni.

A szűrt kimenő forgalom klasszikus üzemelő példányokon nem támogatott.

Kimenő portszám Protokoll Forrás Cél Művelet Kötelező Cél
443 TCP Bármelyik AzureActiveDirectoryDomainServices Engedélyezés Yes Kommunikáció az Azure AD Domain Services felügyeleti szolgáltatással.
443 TCP Bármelyik AzureMonitor Engedélyezés Yes A virtuális gépek figyelése.
443 TCP Bármelyik Tárolás Engedélyezés Yes Kommunikáció az Azure Storage.
443 TCP Bármelyik AzureActiveDirectory Engedélyezés Yes Kommunikáció a Azure Active Directory.
443 TCP Bármelyik AzureUpdateDelivery Engedélyezés Yes Kommunikáció a Windows frissítéssel.
80 TCP Bármelyik AzureFrontDoor.FirstParty Engedélyezés Yes Javítások letöltése a Windows frissítésből.
443 TCP Bármelyik GuestAndHybridManagement Engedélyezés Yes A biztonsági javítások automatikus kezelése.

5986-os port – kezelés PowerShell-parancshéj használatával

  • Felügyeleti feladatok végrehajtásához használható PowerShell-feladatmentés használatával a felügyelt tartományban.

  • Ehhez a porthoz való hozzáférés nélkül a felügyelt tartomány nem frissíthető, konfigurálható, biztonságimenthető és nem figyelhető.

  • A Resource Manager virtuális hálózatot használó felügyelt tartományok esetén a port bejövő hozzáférését az AzureActiveDirectoryDomainServices szolgáltatáscímkére korlátozhatja.

    • Klasszikus alapú virtuális hálózatot használó örökölt felügyelt tartományok esetén: A port bejövő hozzáférését a következő forrás IP-címekre korlátozhatja: 52.180.183.8,23.101.0.70, 52.225.184.198, 52.179.126.223, 1 3.74.249.156,52.187.117.83, 52.161.13.95,104.40.156.18, és 104.40.87.209.

    Megjegyzés

    2017-ben a Azure AD Domain Services elérhetővé vált egy hálózati Azure Resource Manager számára. Azóta biztonságosabb szolgáltatást tudunk kiépíteni a Azure Resource Manager modern képességeivel. Mivel Azure Resource Manager üzemelő példányok teljes mértékben felváltják a klasszikus üzemelő példányokat, Azure AD DS virtuális hálózatok klasszikus üzemelő példányai 2023. március 1-től ki lesznek vezetve.

    További információért tekintse meg a hivatalos elalasztó értesítést

3389-es port – kezelés távoli asztal használatával

  • A felügyelt tartomány tartományvezérlőihez való távoli asztali kapcsolatokhoz használatos.
  • Az alapértelmezett hálózati biztonságicsoport-szabály a CorpNetSaw szolgáltatáscímkét használja a forgalom további korlátozásához.
    • Ez a szolgáltatáscímke csak a Microsoft vállalati hálózaton található biztonságos hozzáférésű munkaállomások számára engedélyezi a távoli asztal használatát a felügyelt tartományhoz.
    • A hozzáférés csak üzleti indoklással engedélyezett, például felügyeleti vagy hibaelhárítási forgatókönyvek esetén.
  • Ez a szabály Beállítható Megtagadás,és csak akkor, ha szükséges, az Engedélyezése beállításra. A legtöbb felügyeleti és monitorozási feladat PowerShell-feladatkövetés használatával történik. Az RDP-t csak abban a ritka esetben használja, amikor a Microsoftnak távolról kell csatlakoznia a felügyelt tartományhoz a speciális hibaelhárításhoz.

Ha ezt a hálózati biztonságicsoport-szabályt próbálja szerkeszteni, nem választhatja ki manuálisan a CorpNetSaw szolgáltatáscímkét a portálon. A CorpNetSaw szolgáltatáscímkét használó Azure PowerShell vagy az Azure CLI használatával manuálisan kell konfigurálnia egy szabályt.

A következő szkript használatával például létrehozhat egy RDP-t engedélyező szabályt:

Get-AzNetworkSecurityGroup -Name "nsg-name" -ResourceGroupName "resource-group-name" | Add-AzNetworkSecurityRuleConfig -Name "new-rule-name" -Access "Allow" -Protocol "TCP" -Direction "Inbound" -Priority "priority-number" -SourceAddressPrefix "CorpNetSaw" -SourcePortRange "*" -DestinationPortRange "3389" -DestinationAddressPrefix "*" | Set-AzNetworkSecurityGroup

Felhasználó által megadott útvonalak

A felhasználó által megadott útvonalak alapértelmezés szerint nem jön létre, és nem szükségesek ahhoz, Azure AD DS megfelelően működjön. Ha útvonaltáblákat kell használnia, ne módosítsa a 0.0.0.0 útvonalat. Az útvonal módosításai megzavarják Azure AD DS, és nem támogatott állapotba helyezik a felügyelt tartományt.

Emellett a megfelelő Azure-szolgáltatáscímkékben szereplő IP-címekről bejövő forgalmat is a felügyelt tartomány alhálózatára kell irányítanunk. További információ a szolgáltatáscímkékről és a hozzájuk tartozó IP-címről: Azure IP-tartományokés szolgáltatáscímkék – nyilvános felhő.

Figyelemfelhívás

Ezek az Azure-adatközpont IP-tartományai értesítés nélkül változhatnak. Győződjön meg arról, hogy vannak olyan folyamatok, amelyek ellenőrzik, hogy a legújabb IP-címmel van-e meg.

Következő lépések

Az alábbi cikkekben további információt talál a hálózati erőforrásokról és a Azure AD DS beállításairól: