Arsitektur referensi ini menunjukkan cara membuat domain Active Directory terpisah di Azure yang dipercaya oleh domain di AD forest lokal Anda.
Unduh file Visio untuk arsitektur "AD DS Forest".
Active Directory Domain Services (AD DS) menyimpan informasi identitas dalam struktur hierarkis. Simpul atas di dalam struktur hierarki dikenal sebagai forest. Forest berisi domain, dan domain berisi tipe objek lainnya. Arsitektur referensi ini menciptakan AD DS forest di Azure dengan hubungan kepercayaan keluar satu arah dengan domain lokal. Forest di Azure berisi domain yang tidak ada secara lokal. Karena hubungan kepercayaan, logon yang dibuat terhadap domain lokal dapat dipercaya untuk akses ke sumber daya di domain Azure yang terpisah.
Penggunaan khas untuk arsitektur ini termasuk mempertahankan pemisahan keamanan untuk objek dan identitas yang disimpan di cloud, dan memigrasikan domain individual dari lokal ke cloud.
Untuk pertimbangan tambahan, lihat Memilih solusi untuk mengintegrasikan Active Directory lokal dengan Azure.
Arsitektur
Arsitektur memiliki komponen berikut.
- Jaringan lokal. Jaringan lokal berisi forest dan domain Active Directory sendiri.
- Server Active Directory. Ini adalah pengendali domain yang menerapkan layanan direktori (AD DS) yang berjalan sebagai VM di cloud. Server ini menghosting forest yang berisi satu atau beberapa domain, terpisah dari yang diletakkan secara lokal.
- Hubungan kepercayaan satu arah. Contoh dalam diagram menunjukkan kepercayaan satu arah dari domain di Azure ke domain lokal. Hubungan ini memungkinkan pengguna lokal untuk mengakses sumber daya di domain di Azure, tetapi tidak sebaliknya.
- Subnet Active Directory. Server DS AD dihosting di subnet terpisah. Aturan kelompok keamanan jaringan (NSG) melindungi server AD DS dan menyediakan firewall terhadap lalu lintas dari sumber yang tidak terduga.
- Gateway Azure. Gateway Azure menyediakan koneksi antara jaringan lokal dan Azure VNet. Ini bisa berupa koneksi VPN atau Azure ExpressRoute. Untuk informasi selengkapnya, lihat Menyambungkan jaringan lokal ke Azure menggunakan gateway VPN.
Rekomendasi
Untuk rekomendasi khusus tentang penerapan Active Directory di Azure, lihat Memperluas Active Directory Domain Services (AD DS) ke Azure.
Kepercayaan
Domain lokal terdapat dalam forest yang berbeda dari domain di cloud. Untuk mengaktifkan autentikasi pengguna lokal di cloud, domain di Azure harus mempercayai domain masuk di forest lokal. Demikian pula, jika cloud menyediakan domain masuk untuk pengguna eksternal, mungkin forest lokal perlu mempercayai domain cloud.
Anda dapat membangun kepercayaan di tingkat forest dengan membuat kepercayaan forest, atau di tingkat domain dengan membuat kepercayaan eksternal. Kepercayaan tingkat forest menciptakan hubungan antara semua domain di dua forest. Kepercayaan tingkat domain eksternal hanya menciptakan hubungan antara dua domain tertentu. Anda hanya harus membuat kepercayaan tingkat domain eksternal antar domain di forest yang berbeda.
Kepercayaan dengan Active Directory lokal hanya searah (satu arah). Kepercayaan satu arah memungkinkan pengguna dalam satu domain atau forest (dikenal sebagai domain atau forest masuk) untuk mengakses sumber daya yang disimpan di domain atau forest lain (domain atau forest keluar).
Tabel berikut ini meringkas konfigurasi kepercayaan untuk beberapa skenario sederhana:
| Skenario | Kepercayaan lokal | Kepercayaan cloud |
|---|---|---|
| Pengguna lokal memerlukan akses ke sumber daya di cloud, tetapi tidak sebaliknya | Satu arah, masuk | Satu arah, keluar |
| Pengguna di cloud memerlukan akses ke sumber daya yang terletak secara lokal, tetapi tidak sebaliknya | Satu arah, keluar | Satu arah, masuk |
Pertimbangan skalabilitas
Active Directory secara otomatis dapat diskalakan untuk pengendali domain yang merupakan bagian dari domain yang sama. Permintaan didistribusikan di semua pengendali dalam domain. Anda dapat menambahkan pengendali domain lain, dan ini disinkronkan secara otomatis dengan domain. Jangan mengonfigurasi load balancer terpisah untuk mengarahkan lalu lintas ke pengendali di dalam domain. Pastikan semua pengendali domain memiliki memori dan sumber daya penyimpanan yang cukup untuk menangani database domain. Buat semua VM pengendali domain memiliki ukuran yang sama.
Pertimbangan ketersediaan
Sediakan minimal dua pengendali domain untuk setiap domain. Tindakan ini memungkinkan replikasi otomatis antar server. Buat kumpulan ketersediaan untuk VM yang bertindak sebagai server Active Directory yang menangani setiap domain. Tempatkan setidaknya dua server dalam kumpulan ketersediaan ini.
Juga, pertimbangkan untuk menunjuk satu atau beberapa server di setiap domain sebagai master operasi siaga jika konektivitas ke server yang bertindak sebagai peran flexible single master operation (FSMO) gagal.
Pertimbangan pengelolaan
Untuk informasi tentang pertimbangan manajemen dan pemantauan, lihat Memperluas Active Directory ke Azure.
Untuk informasi selengkapnya, lihat Memantau Active Directory. Anda dapat menginstal alat seperti Microsoft Systems Center pada server pemantauan di subnet manajemen untuk membantu melakukan tugas ini.
Pertimbangan keamanan
Kepercayaan tingkat forest bersifat transitif. Jika Anda membangun kepercayaan tingkat forest antara forest lokal dan forest cloud, kepercayaan ini diperluas ke domain baru lainnya yang dibuat di salah satu forest. Jika Anda menggunakan domain untuk menyediakan pemisahan demi tujuan keamanan, pertimbangkan membuat kepercayaan hanya di tingkat domain. Kepercayaan tingkat domain bersifat non-transitif.
Untuk pertimbangan keamanan khusus Active Directory, lihat bagian pertimbangan keamanan di Memperluas Active Directory ke Azure.
Pertimbangan DevOps
Untuk pertimbangan DevOps, lihat Keunggulan operasional dalam Memperluas Active Directory Domain Services (AD DS) ke Azure.
Pertimbangan biaya
Gunakan kalkulator harga Azure untuk memperkirakan biaya. Pertimbangan lainnya dijelaskan di bagian Biaya di Microsoft Azure Well-Architected Framework.
Berikut adalah pertimbangan biaya untuk layanan yang digunakan dalam arsitektur ini.
AD Domain Services
Pertimbangkan untuk memiliki Active Directory Domain Services sebagai layanan bersama yang digunakan oleh beberapa beban kerja untuk menurunkan biaya. Untuk informasi selengkapnya, lihat Harga Active Directory Domain Services.
VPN Gateway Azure
Komponen utama dari arsitektur ini adalah layanan VPN Gateway. Anda dikenakan biaya berdasarkan jumlah waktu gateway tertentu dan tersedia.
Semua lalu lintas masuk gratis, semua lalu lintas keluar dikenakan biaya. Biaya bandwidth internet diterapkan ke lalu lintas keluar VPN.
Untuk mengetahui informasi selengkapnya, lihat Harga VPN Gateway.
Langkah berikutnya
- Pelajari praktik terbaik untuk memperluas domain AD DS lokal Anda ke Azure
- Pelajari praktik terbaik untuk membuat infrastruktur AD FS di Azure.