Linee guida per la distribuzione di Active Directory di Windows Server nelle macchine virtuali di AzureGuidelines for deploying Windows Server Active Directory on Azure virtual machines

Questo articolo descrive le differenze più importanti tra la distribuzione di Servizi di dominio Active Directory di Windows Server e Active Directory Federation Services (AD FS) in locale rispetto alla distribuzione nelle macchine virtuali di Microsoft Azure.This article explains the important differences between deploying Windows Server Active Directory Domain Services (AD DS) and Active Directory Federation Services (AD FS) on-premises versus deploying them on Microsoft Azure virtual machines.

Ambito e destinatariScope and audience

L'articolo è destinato a utenti già esperti nella distribuzione di Active Directory in locale.The article is intended for those already experienced with deploying Active Directory on-premises. Illustra le differenze tra la distribuzione di Active Directory nelle macchine virtuali di Microsoft Azure o nelle reti virtuali di Azure e le tradizionali distribuzioni di Active Directory in locale.It covers the differences between deploying Active Directory on Microsoft Azure virtual machines/Azure virtual networks and traditional on-premises Active Directory deployments. Le macchine virtuali e le reti virtuali di Azure fanno parte di un'offerta di infrastruttura distribuita come servizio (IaaS) destinata alle organizzazioni perché possano sfruttare le risorse di elaborazione nel cloud.Azure virtual machines and Azure virtual networks are part of an Infrastructure-as-a-Service (IaaS) offering for organizations to leverage computing resources in the cloud.

Per coloro che non hanno familiarità con la distribuzione di Active Directory, vedere Guida alla distribuzione di Servizi di dominio Active Directory o Pianificazione della distribuzione di AD FS, a seconda del caso.For those that are not familiar with AD deployment, see the AD DS Deployment Guide or Plan your AD FS deployment as appropriate.

Nell'articolo si presuppone che il lettore abbia familiarità con i concetti seguenti:This article assumes that the reader is familiar with the following concepts:

  • Distribuzione e gestione di Servizi di dominio Active Directory di Windows ServerWindows Server AD DS deployment and management
  • Distribuzione e configurazione di DNS per supportare un'infrastruttura di Servizi di dominio Active Directory di Windows ServerDeployment and configuration of DNS to support a Windows Server AD DS infrastructure
  • Distribuzione e gestione di AD FS di Windows ServerWindows Server AD FS deployment and management
  • Distribuzione, configurazione e gestione di applicazioni relying party, ovvero siti e servizi Web, che possono utilizzare token di AD FS di Windows ServerDeploying, configuring, and managing relying party applications (websites and web services) that can consume Windows Server AD FS tokens
  • Concetti generali sulle macchine virtuale, ad esempio come configurare una macchina virtuale, i dischi virtuali e le reti virtualiGeneral virtual machine concepts, such as how to configure a virtual machine, virtual disks, and virtual networks

Questo articolo illustra i requisiti per uno scenario di distribuzione ibrida in cui Servizi di dominio Active Directory di Windows Server o AD FS di Windows Server viene distribuito parte in locale e parte in macchine virtuali di Azure.This article highlights the requirements for a hybrid deployment scenario in which Windows Server AD DS or AD FS are partly deployed on-premises and partly deployed on Azure virtual machines. La prima parte del documento illustra le differenze critiche tra l'esecuzione di Active Directory Domain Services e AD FS di Windows Server in macchine virtuali di Azure e in locale. Descrive anche le decisioni importanti che interessano la progettazione e la distribuzione.The document first covers the critical differences between running Windows Server AD DS and AD FS on Azure virtual machines versus on-premises, and important decision points that affect design and deployment. La parte restante del documento illustra più in dettaglio le linee guida per ogni decisione e la modalità di applicazione di queste linee guida ai diversi scenari di distribuzione.The rest of the paper explains guidelines for each of the decision points in more detail, and how to apply the guidelines to various deployment scenarios.

Questo articolo non descrive la configurazione di Azure Active Directory, un servizio basato su REST che fornisce funzionalità di gestione delle identità e di controllo di accesso per le applicazioni cloud.This article does not discuss the configuration of Azure Active Directory, which is a REST-based service that provides identity management and access control capabilities for cloud applications. Azure Active Directory (Azure AD) e Servizi di dominio Active Directory di Windows Server sono tuttavia progettati per interagire in modo da garantire una soluzione di gestione delle identità e dell'accesso per le applicazioni moderne e gli ambienti IT ibridi attuali.Azure Active Directory (Azure AD) and Windows Server AD DS are, however, designed to work together to provide an identity and access management solution for today’s hybrid IT environments and modern applications. Per comprendere le differenze e le relazioni tra Servizi di dominio Active Directory di Windows Server e Azure AD, si tenga presente quanto riportato di seguito:To help understand the differences and relationships between Windows Server AD DS and Azure AD, consider the following:

  1. È possibile eseguire Servizi di dominio Active Directory di Windows Server nel cloud in macchine virtuali di Azure quando si usa Azure per estendere il data center locale nel cloud.You might run Windows Server AD DS in the cloud on Azure virtual machines when you are using Azure to extend your on-premises datacenter into the cloud.
  2. È possibile usare Azure AD per fornire agli utenti l'accesso Single Sign-On alle applicazioni software come un servizio (SaaS).You might use Azure AD to give your users single sign-on to Software-as-a-Service (SaaS) applications. Questa tecnologia viene usata ad esempio in Microsoft Office 365, nonché in applicazioni eseguite in Azure o in altre piattaforme cloud.Microsoft Office 365 uses this technology, for example, and applications running on Azure or other cloud platforms can also use it.
  3. È possibile usare il Servizio di controllo di accesso di Azure AD per consentire agli utenti di accedere con le identità di Facebook, Google, Microsoft e di altri provider di identità alle applicazioni ospitate nel cloud o in locale.You might use Azure AD (its Access Control Service) to let users sign in using identities from Facebook, Google, Microsoft, and other identity providers to applications that are hosted in the cloud or on-premises.

Per altre informazioni su queste differenze, vedere Nozioni fondamentali sulla gestione delle identità di Azure.For more information about these differences, see Azure Identity.

È possibile scaricare ed eseguire lo strumento Azure Virtual Machine Readiness Assessment.You may download and run the Azure Virtual Machine Readiness Assessment. Lo strumento di valutazione esamina automaticamente l'ambiente locale e genera un report personalizzato in base alle informazioni aggiuntive fornite in questo argomento per supportare la migrazione dell'ambiente ad Azure.The assessment will automatically inspect your on-premises environment and generate a customized report based on the guidance found in this topic to help you migrate the environment to Azure.

È consigliabile esaminare prima di tutto le esercitazioni, le guide e i video relativi agli argomenti seguenti:We recommend that you also first review the tutorials, guides, and videos that cover the following topics:

IntroduzioneIntroduction

Esistono differenze minime tra i requisiti essenziali per la distribuzione di Active Directory di Windows Server in macchine virtuali di Azure e quelli per la distribuzione in macchine virtuali locali e, in una certa misura, in computer fisici.The fundamental requirements for deploying Windows Server Active Directory on Azure virtual machines differ very little from deploying it in on-premises virtual machines (and, to some extent, physical machines). Ad esempio, nel caso di Servizi di dominio Active Directory di Windows Server, se i controller di dominio distribuiti in macchine virtuali di Azure sono repliche in un dominio o una foresta aziendale locale esistente, la distribuzione di Azure può essere gestita sostanzialmente nello stesso modo in cui si gestisce qualsiasi altro sito Active Directory di Windows Server aggiuntivo.For example, in the case of Windows Server AD DS, if the domain controllers (DCs) that you deploy on Azure virtual machines are replicas in an existing on-premises corporate domain/forest, then the Azure deployment can largely be treated in the same way as you might treat any other additional Windows Server Active Directory site. In altre parole, le subnet devono essere definite in Servizi di dominio Active Directory di Windows Server, deve essere creato un sito, le subnet devono essere collegate a questo sito e connesse ad altri siti usando collegamenti di sito appropriati.That is, subnets must be defined in Windows Server AD DS, a site created, the subnets linked to that site, and connected to other sites using appropriate site-links. Esistono tuttavia alcune differenze comuni a tutte le distribuzioni di Azure, mentre altre variano in base allo scenario di distribuzione specifico.There are, however, some differences that are common to all Azure deployments and some that vary according to the specific deployment scenario. Di seguito sono descritte due differenze fondamentali:Two fundamental differences are outlined below:

Per le macchine virtuali di Azure potrebbe essere necessaria la connettività alla rete aziendale locale.Azure virtual machines may need connectivity to the on-premises corporate network.

Per la riconnessione di macchine virtuali di Azure a una rete aziendale locale è necessario Rete virtuale di Azure, che include un componente di rete privata virtuale (VPN) da sito a sito o da sito a punto per connettersi direttamente alle macchine virtuali di Azure e ai computer locali.Connecting Azure virtual machines back to an on-premises corporate network requires Azure virtual network, which includes a site-to-site or site-to-point virtual private network (VPN) component able to seamlessly connect Azure virtual machines and on-premises machines. Questo componente VPN può anche consentire ai computer membri del dominio locale di accedere a un dominio Active Directory di Windows Server i cui controller di dominio sono ospitati esclusivamente in macchine virtuali di Azure.This VPN component could also enable on-premises domain member computers to access a Windows Server Active Directory domain whose domain controllers are hosted exclusively on Azure virtual machines. È tuttavia importante notare che se la connessione VPN non riesce, anche l'autenticazione e le altre operazioni che dipendono da Active Directory di Windows Server non riusciranno.It is important to note, though, that if the VPN fails, authentication and other operations that depend on Windows Server Active Directory will also fail. Anche se gli utenti possono accedere usando le credenziali esistenti memorizzate nella cache, ogni tentativo di autenticazione peer-to-peer o da client a server, per cui i ticket devono ancora essere emessi o risultano obsoleti, avrà esito negativo.While users may be able to sign in using existing cached credentials, all peer-to-peer or client-to-server authentication attempts for which tickets have yet to be issued or have become stale will fail.

Per un video dimostrativo e un elenco di esercitazioni dettagliate, vedere la documentazione relativa alla rete virtuale, ad esempio Creare una rete virtuale con una connessione VPN da sito a sito con il portale di Azure classico.See Virtual Network for a demonstration video and a list of step-by-step tutorials, including Configure a Site-to-Site VPN in the Azure portal.

Nota

È anche possibile distribuire Active Directory di Windows Server in una rete virtuale di Azure senza connettività a una rete locale.You can also deploy Windows Server Active Directory on an Azure virtual network that does not have connectivity with an on-premises network. Le linee guida in questo argomento presuppongono tuttavia l'uso di una rete virtuale di Azure, perché offre funzionalità di indirizzamento IP essenziali per Windows Server.The guidelines in this topic, however, assume that an Azure virtual network is used because it provides IP addressing capabilities that are essential to Windows Server.

Gli indirizzi IP statici devono essere configurati con Azure PowerShell.Static IP addresses must be configured with Azure PowerShell.

Gli indirizzi dinamici vengono allocati per impostazione predefinita, ma per assegnare un indirizzo IP statico si usa invece il cmdlet Set-AzureStaticVNetIP.Dynamic addresses are allocated by default, but use the Set-AzureStaticVNetIP cmdlet to assign a static IP address instead. L'indirizzo IP statico impostato sarà mantenuto durante la correzione del servizio e l'arresto o il riavvio della macchina virtuale.That sets a static IP address that will persist through service healing and VM shutdown/restart. Per altre informazioni, vedere il blog relativo all' indirizzo IP interno statico per le macchine virtuali.For more information, see Static internal IP address for virtual machines.

Termini e definizioniTerms and definitions

Di seguito è riportato un elenco non esaustivo dei termini relativi alle diverse tecnologie di Azure a cui viene fatto riferimento in questo articolo.The following is a non-exhaustive list of terms for various Azure technologies which will be referenced in this article.

  • Macchine virtuali di Azure: offerta IaaS di Azure che consente ai clienti di distribuire VM che eseguono quasi tutti i carichi di lavoro server tradizionalmente locali.Azure virtual machines: The IaaS offering in Azure that allows customers to deploy VMs running nearly any traditionally on-premises server workload.
  • Rete virtuale di Azure: servizio di rete in Azure che consente ai clienti di creare e gestire reti virtuali in Azure e collegarle in modo sicuro alla propria infrastruttura di rete locale tramite una rete privata virtuale (VPN).Azure virtual network: The networking service in Azure that lets customers create and manage virtual networks in Azure and securely link them to their own on-premises networking infrastructure by using a virtual private network (VPN).
  • Indirizzo IP virtuale: indirizzo IP con connessione Internet non è associato a un computer o una scheda di interfaccia di rete specifica.Virtual IP address: An internet-facing IP address that is not bound to a specific computer or network interface card. Ai servizi cloud viene assegnato un indirizzo IP virtuale per ricevere il traffico di rete che viene reindirizzato a una VM di Azure.Cloud services are assigned a virtual IP address for receiving network traffic which is redirected to an Azure VM. Un indirizzo IP virtuale è una proprietà di un servizio cloud che può contenere una o più macchine virtuali.A virtual IP address is a property of a cloud-service which can contain one or more Azure virtual machines. Una rete virtuale di Azure può anche contenere uno o più servizi cloud.Also note that an Azure virtual network can contain one or more cloud-services. Gli indirizzi IP virtuali forniscono funzionalità native di bilanciamento del carico.Virtual IP addresses provide native load-balancing capabilities.
  • Indirizzo IP dinamico: è l'indirizzo IP solo interno.Dynamic IP address: This is the IP address that is internal only. Deve essere configurato come un indirizzo IP statico, tramite il cmdlet Set-AzureStaticVNetIP, per le VM che ospitano i ruoli del server controller di dominio/DNS.It should be configured as a static IP address (by using the Set-AzureStaticVNetIP cmdlet) for VMs that host the DC/DNS server roles.
  • Correzione del servizio: processo durante il quale Azure ripristina automaticamente lo stato di esecuzione di un servizio dopo averne rilevata una condizione di errore.Service healing: The process in which Azure automatically returns a service to a running state again after it detects that the service has failed. La correzione del servizio è uno degli aspetti di Azure che supportano disponibilità e resilienza.Service healing is one of the aspects of Azure that supports availability and resiliency. Anche se poco probabile, la conseguenza di un evento imprevisto di correzione del servizio per un controller di dominio in esecuzione in una VM è simile a un riavvio non pianificato, ma presenta alcuni effetti collaterali:While unlikely, the result following a service healing incident for a DC running on a VM is similar to an unplanned reboot, but has a few side-effects:

    • La scheda di rete virtuale nella VM viene modificataThe virtual network adapter in the VM will change
    • L'indirizzo MAC della scheda di rete virtuale viene modificatoThe MAC address of the virtual network adapter will change
    • L'ID della CPU/del processore della VM viene modificatoThe Processor/CPU ID of the VM will change
    • La configurazione IP della scheda di rete virtuale non cambia, a condizione che la VM sia collegata a una rete virtuale e l'indirizzo IP della VM sia statico.The IP configuration of the virtual network adapter will not change as long as the VM is attached to a virtual network and the VM’s IP address is static.

    Nessuno di questi comportamenti influisce su Active Directory di Windows Server perché non dipende dall'indirizzo MAC o dall'ID della CPU/del processore. È anche consigliabile eseguire tutte le distribuzioni di Active Directory di Windows Server in una rete virtuale di Azure, come indicato sopra.None of these behaviors affect Windows Server Active Directory because it has no dependency on the MAC address or Processor/CPU ID, and all Windows Server Active Directory deployments on Azure are recommended to be run on an Azure virtual network as outlined above.

Sicurezza della virtualizzazione dei controller di dominio Active directory di Windows ServerIs it safe to virtualize Windows Server Active Directory domain controllers?

La distribuzione di controller di dominio Active Directory di Windows Server in macchine virtuali di Azure è soggetta alle stesse linee guida per l'esecuzione di controller di dominio locali in una macchina virtuale.Deploying Windows Server Active Directory DCs on Azure virtual machines is subject to the same guidelines as running DCs on-premises in a virtual machine. L'esecuzione di controller di dominio virtualizzati è una procedura sicura, a condizione di seguire le linee guida per il backup e il ripristino dei controller di dominio.Running virtualized DCs is a safe practice as long as guidelines for backing up and restoring DCs are followed. Per altre informazioni su vincoli e linee guida per l'esecuzione di controller di dominio virtualizzati, vedere Esecuzione di controller di dominio in Hyper-V.For more information about constraints and guidelines for running virtualized DCs, see Running Domain Controllers in Hyper-V.

Gli hypervisor forniscono o considerano insignificanti tecnologie che possono causare problemi a molti sistemi distribuiti, tra cui Active Directory di Windows Server.Hypervisors provide or trivialize technologies that can cause problems for many distributed systems, including Windows Server Active Directory. Ad esempio, in un server fisico è possibile clonare un disco o usare metodi non supportati per ripristinare lo stato di un server, incluso l'uso di reti SAN e così via, tuttavia questa operazione in un server fisico è molto più difficile del ripristino di uno snapshot macchina virtuale in un hypervisor.For example, on a physical server, you can clone a disk or use unsupported methods to roll back the state of a server, including using SANs and so on, but doing that on a physical server is much harder than restoring a virtual machine snapshot in a hypervisor. In Azure sono disponibili funzionalità che possono generare la stessa condizione indesiderata.Azure offers functionality that can result in the same undesirable condition. Non è ad esempio consigliabile copiare file VHD di controller di dominio invece di eseguire backup regolari, perché il ripristino di questi file può generare una situazione analoga all'uso delle funzionalità di ripristino di snapshot.For example, you should not copy VHD files of DCs instead of performing regular backups because restoring them can result in a similar situation to using snapshot restore features.

Questi rollback introducono gap USN che possono provocare stati permanentemente divergenti tra i controller di dominio.Such rollbacks introduce USN bubbles that can lead to permanently divergent states between DCs. Questa condizione può comportare problemi come i seguenti:That can cause issues such as:

  • Oggetti residuiLingering objects
  • Password incoerentiInconsistent passwords
  • Valori di attributi incoerentiInconsistent attribute values
  • Mancata corrispondenza dello schema in caso di rollback del master schemaSchema mismatches if the schema master is rolled back

Per altre informazioni sull'impatto sui controller di dominio, vedere la sezione relativa a USN e rollback di USN.For more information about how DCs are impacted, see USN and USN Rollback.

A partire da Windows Server 2012 sono state introdotte misure di sicurezza aggiuntive in Servizi di dominio Active Directory.Beginning with Windows Server 2012, additional safeguards are built in to AD DS. Queste misure di sicurezza consentono di proteggere i controller di dominio virtualizzati dai problemi precedenti, purché la piattaforma hypervisor sottostante supporti VM-GenerationID.These safeguards help protect virtualized domain controllers against the aforementioned problems, as long as the underlying hypervisor platform supports VM-GenerationID. Azure supporta VM-GenerationID e ciò significa che nei controller di dominio che eseguono Windows Server 2012 o versione successiva in macchine virtuali di Azure sono disponibili misure di sicurezza aggiuntive.Azure supports VM-GenerationID, which means that domain controllers that run Windows Server 2012 or later on Azure virtual machines have the additional safeguards.

Nota

È consigliabile arrestare e riavviare una VM che esegue il ruolo controller di dominio in Azure nel sistema operativo guest, invece di usare l'opzione Arresta nel portale di Azure.You should shut down and restart a VM that runs the domain controller role in Azure within the guest operating system instead of using the Shut Down option in the Azure porta. Attualmente l'uso del portale per arrestare una macchina virtuale ne comporta la deallocazione.Today, using the portal to shut down a VM causes the VM to be deallocated. Una VM deallocata ha il vantaggio di non essere soggetta ad addebiti, ma reimposta anche l'attributo VM-GenerationID, un approccio sconsigliato per un controller di dominio.A deallocated VM has the advantage of not incurring charges, but it also resets the VM-GenerationID, which is undesirable for a DC. Quando VM-GenerationID viene reimpostato, anche l'attributo invocationID del database di Servizi di dominio Active Directory viene reimpostato, il pool di RID viene eliminato e SYSVOL è contrassegnato come non autorevole.When the VM-GenerationID is reset, the invocationID of the AD DS database is also reset, the RID pool is discarded, and SYSVOL is marked as non-authoritative. Per altre informazioni, vedere Introduzione alla virtualizzazione di Servizi di dominio Active Directory e il blog relativo alla virtualizzazione di DFSR in modo sicuro.For more information, see Introduction to Active Directory Domain Services (AD DS) Virtualization and Safely Virtualizing DFSR.

Perché distribuire Servizi di dominio Active Directory di Windows Server in macchine virtuali di AzureWhy deploy Windows Server AD DS on Azure Virtual Machines?

Molti scenari di distribuzione di Servizi di dominio Active Directory di Windows Server sono particolarmente adatti per la distribuzione come VM in Azure.Many Windows Server AD DS deployment scenarios are well-suited for deployment as VMs on Azure. Si supponga ad esempio di avere una società in Europa che deve autenticare gli utenti in una sede remota in Asia.For example, suppose you have a company in Europe that needs to authenticate users in a remote location in Asia. La società non ha ancora distribuito i controller di dominio Active Directory di Windows Server in Asia a causa del costo di distribuzione e delle scarse competenze per la gestione dei server post-distribuzione.The company has not previously deployed Windows Server Active Directory DCs in Asia due to the cost to deploy them and limited expertise to manage the servers post-deployment. Di conseguenza, le richieste di autenticazione dall'Asia vengono gestite da controller di dominio in Europa con risultati non ottimali.As a result, authentication requests from Asia are serviced by DCs in Europe with suboptimal results. In questo caso, è possibile distribuire un controller di dominio in una VM specificata che deve trovarsi nel data center di Azure in Asia.In this case, you can deploy a DC on a VM that you have specified must be run within the Azure datacenter in Asia. Il collegamento di questo controller di dominio a una rete virtuale di Azure connessa direttamente alla sede remota determinerà un miglioramento delle prestazioni di autenticazione.Attaching that DC to an Azure virtual network that is connected directly to the remote location will improve authentication performance.

Azure è ideale anche come soluzione alternativa a siti di ripristino di emergenza che sarebbero altrimenti costosi.Azure is also well-suited as a substitute to otherwise costly disaster recovery (DR) sites. Il costo relativamente basso dell'hosting di un numero limitato di controller di dominio e una singola rete virtuale in Azure rappresenta un'alternativa interessante.The relatively low-cost of hosting a small number of domain controllers and a single virtual network on Azure represents an attractive alternative.

Infine è possibile distribuire un'applicazione di rete in Azure, ad esempio SharePoint, che richiede Active Directory di Windows Server, ma non ha dipendenze dalla rete locale o dall'istanza di Active Directory di Windows Server aziendale.Finally, you may want to deploy a network application on Azure, such as SharePoint, that requires Windows Server Active Directory but has no dependency on the on-premises network or the corporate Windows Server Active Directory. In questo caso, la distribuzione di una foresta isolata in Azure per soddisfare requisiti del server SharePoint è la soluzione ottimale.In this case, deploying an isolated forest on Azure to meet the SharePoint server’s requirements is optimal. La distribuzione di applicazioni di rete che richiedono la connettività alla rete locale e all'istanza di Active Directory aziendale è supportata anche in questo caso.Again, deploying network applications that do require connectivity to the on-premises network and the corporate Active Directory is also supported.

Nota

Poiché offre una connessione di livello 3, il componente VPN che fornisce la connettività tra una rete virtuale di Azure e una rete locale può anche consentire a server membri eseguiti in locale di sfruttare i controller di dominio eseguiti come VM nella rete virtuale di Azure.Since it provides a layer-3 connection, the VPN component that provides connectivity between an Azure virtual network and an on-premises network can also enable member servers that run on-premises to leverage DCs that run as Azure virtual machines on Azure virtual network. Se però la VPN non è disponibile, la comunicazione tra i computer locali e i controller di dominio basati su Azure non funzionerà, generando errori di autenticazione e di altra natura.But if the VPN is unavailable, communication between on-premises computers and Azure-based domain controllers will not function, resulting in authentication and various other errors.

Differenze tra la distribuzione di controller di dominio Active Directory di Windows Server in macchine virtuali di Azure e in localeContrasts between deploying Windows Server Active Directory domain controllers on Azure Virtual Machines versus on-premises

  • Per qualsiasi scenario di distribuzione di Active Directory di Windows Server che include più di una singola VM, è necessario usare una rete virtuale di Azure per la coerenza degli indirizzi IP.For any Windows Server Active Directory deployment scenario that includes more than a single VM, it is necessary to use an Azure virtual network for IP address consistency. Questa guida presuppone che i controller di dominio siano eseguiti in una rete virtuale di Azure.Note that this guide assumes that DCs are running on an Azure virtual network.
  • Come per i controller di dominio locali, è consigliabile usare indirizzi IP statici.As with on-premises DCs, static IP addresses are recommended. Un indirizzo IP statico può essere configurato solo tramite Azure PowerShell.A static IP address can only be configured by using Azure PowerShell. Per altre informazioni, vedere il blog relativo all' indirizzo IP interno statico per le macchine virtuali .See Static internal IP address for VMs for more details. Se si usano sistemi di monitoraggio o altre soluzioni che controllano la configurazione dell'indirizzo IP statico all'interno del sistema operativo guest, è possibile assegnare lo stesso indirizzo IP statico alle proprietà della scheda di rete della VM.If you have monitoring systems or other solutions that check for static IP address configuration within the guest operating system, you can assign the same static IP address to the network adapter properties of the VM. Tenere però presente che la scheda di rete verrà ignorata se la VM viene sottoposta a correzione del servizio o se viene arrestata nel portale e il relativo indirizzo viene deallocato.But be aware that the network adapter will be discarded if the VM undergoes service healing or is shut down in the portal and has its address deallocated. In questo caso, l'indirizzo IP statico nel sistema operativo guest dovrà essere reimpostato.In that case, the static IP address within the guest will need to be reset.
  • La distribuzione di VM in una rete virtuale non implica né richiede che venga ristabilita la connettività a una rete locale. Questa possibilità è semplicemente abilitata dalla rete virtuale.Deploying VMs on a virtual network does not imply (or require) connectivity back to an on-premises network; the virtual network merely enables that possibility. È necessario creare una rete virtuale per le comunicazioni private tra Azure e la rete locale.You must create a virtual network for private communication between Azure and your on-premises network. È necessario distribuire un endpoint VPN nella rete locale.You need to deploy a VPN endpoint on the on-premises network. La VPN viene aperta da Azure alla rete locale.The VPN is opened from Azure to the on-premises network. Per altre informazioni, vedere Panoramica di Rete virtuale e Creare una rete virtuale con una connessione VPN da sito a sito con il portale di Azure classico.For more information, see Virtual Network Overview and Configure a Site-to-Site VPN in the Azure Portal.

Nota

È disponibile un'opzione per creare una VPN da punto a sito per connettere singoli computer basati su Windows direttamente a una rete virtuale di Azure.An option to create a point-to-site VPN is available to connect individual Windows-based computers directly to an Azure virtual network.

  • Indipendentemente dal fatto che venga creata o meno una rete virtuale, Azure addebita il costo del traffico in uscita ma non di quello in entrata.Regardless of whether you create a virtual network or not, Azure charges for egress traffic but not ingress. Le diverse opzioni di progettazione di Active Directory di Windows Server possono influire sulla quantità di traffico in uscita generato da una distribuzione.Various Windows Server Active Directory design choices can affect how much egress traffic is generated by a deployment. Ad esempio, la distribuzione di un controller di dominio di sola lettura limita il traffico in uscita perché non viene replicato.For example, deploying a read-only domain controller (RODC) limits egress traffic because it does not replicate outbound. La decisione di distribuire un controller di dominio di sola lettura tuttavia deve essere soppesata, valutando anche la necessità di eseguire operazioni di scrittura nel controller di dominio e la compatibilità delle applicazioni e dei servizi del sito con i controller di dominio di sola lettura.But the decision to deploy an RODC needs to be weighed against the need to perform write operations against the DC and the compatibility that applications and services in the site have with RODCs. Per altre informazioni sugli addebiti per il traffico, vedere Prezzi di Azure.For more information about traffic charges, see Azure pricing at-a-glance.
  • Anche se si ha il controllo completo sulle risorse del server da usare per le VM locali, ad esempio la quantità di RAM, le dimensioni del disco e così via, in Azure è necessario scegliere da un elenco di dimensioni del server preconfigurate.While you have complete control over what server resources to use for VMs on-premises, such as RAM, disk size, and so on, on Azure you must select from a list of preconfigured server sizes. Per un controller di dominio è necessario un disco dati, oltre al disco del sistema operativo, per poter archiviare il database di Active Directory di Windows Server.For a DC, a data disk is needed in addition to the operating system disk in order to store the Windows Server Active Directory database.

Possibilità di distribuire AD FS di Windows Server in macchine virtuali di AzureCan you deploy Windows Server AD FS on Azure virtual machines?

È possibile distribuire AD FS di Windows Server in macchine virtuali di Azure e le procedure consigliate per la distribuzione di AD FS in locale si applicano anche alla distribuzione di AD FS in Azure.Yes, you can deploy Windows Server AD FS on Azure virtual machines, and the best practices for AD FS deployment on-premises apply equally to AD FS deployment on Azure. Alcune di queste procedure consigliate, come il bilanciamento del carico e la disponibilità elevata, richiedono però tecnologie più avanzate di quelle offerte da AD FS,But some of the best practices such as load balancing and high availability require technologies beyond what AD FS offers itself. che devono quindi essere fornite dall'infrastruttura sottostante.They must be provided by the underlying infrastructure. Si esamineranno alcune di queste procedure consigliate e si vedrà come attuarle usando VM di Azure e una rete virtuale di Azure.Let’s review some of those best practices and see how they can be achieved by using Azure VMs and an Azure virtual network.

  1. Non esporre mai i server del servizio token di sicurezza direttamente a Internet.Never expose security token service (STS) servers directly to the Internet.

    Ciò è importante perché questo servizio rilascia i token di sicurezza.This is important because the STS issues security tokens. Di conseguenza, i server del servizio token di sicurezza come i server AD FS devono essere gestiti con lo stesso livello di protezione di un controller di dominio.As a result, STS servers such as AD FS servers should be treated with the same level of protection as a domain controller. Se un servizio token di sicurezza viene compromesso, gli utenti malintenzionati hanno la possibilità di rilasciare token di accesso contenenti attestazioni potenzialmente dannose per applicazioni relying party e altri server del servizio token di sicurezza in organizzazioni attendibili.If an STS is compromised, malicious users have the ability to issue access tokens potentially containing claims of their choosing to relying party applications and other STS servers in trusting organizations.

  2. Distribuire controller di dominio Active Directory per tutti i domini utente nella stessa rete dei server AD FS.Deploy Active Directory domain controllers for all user domains in the same network as the AD FS servers.

    I server AD FS usano Servizi di dominio Active Directory per autenticare gli utenti.AD FS servers use Active Directory Domain Services to authenticate users. È consigliabile distribuire i controller di dominio nella stessa rete dei server AD FS.It is recommended to deploy domain controllers on the same network as the AD FS servers. In questo modo si garantiscono la continuità aziendale in caso di interruzione del collegamento tra la rete di Azure e la rete locale, una latenza più bassa e prestazioni migliori per gli accessi.This provides business continuity in case the link between the Azure network and your on-premises network is broken, and enables lower latency and increased performance for logins.

  3. Distribuire più nodi AD FS per la disponibilità elevata e il bilanciamento del carico.Deploy multiple AD FS nodes for high availability and balancing the load.

    Nella maggior parte dei casi, l'errore di un'applicazione abilitata da AD FS non è accettabile, perché le applicazioni che richiedono token di sicurezza sono spesso cruciali.In most cases, the failure of an application that AD FS enables is unacceptable because the applications that require security tokens are often mission critical. Di conseguenza e poiché AD FS svolge un ruolo fondamentale per l'accesso alle applicazioni cruciali, il servizio AD FS deve garantire la disponibilità elevata in più proxy e server AD FS.As a result, and because AD FS now resides in the critical path to accessing mission critical applications, the AD FS service must be highly available through multiple AD FS proxies and AD FS servers. Per la corretta distribuzione delle richieste, i servizi di bilanciamento del carico vengono in genere distribuiti a monte di proxy e server AD FS.To achieve distribution of requests, load balancers are typically deployed in front of both the AD FS Proxies and the AD FS servers.

  4. Distribuire uno o più nodi Proxy applicazione Web per l'accesso a Internet.Deploy one or more Web Application Proxy nodes for internet access.

    Quando gli utenti devono accedere alle applicazioni protette dal servizio AD FS, è necessario che questo deve sia disponibile da Internet.When users need to access applications protected by the AD FS service, the AD FS service needs to be available from the internet. A questo scopo viene distribuito il servizio Proxy applicazione Web.This is achieved by deploying the Web Application Proxy service. È consigliabile distribuire più di un nodo, ai fini della disponibilità elevata e del bilanciamento del carico.It is strongly recommended to deploy more than one node for the purposes of high availability and load balancing.

  5. Limitare l'accesso alle risorse di rete interne dai nodi Proxy applicazione Web.Restrict access from the Web Application Proxy nodes to internal network resources.

    Per consentire agli utenti esterni di accedere ad AD FS da internet, è necessario distribuire nodi Proxy applicazione Web, detti nodi Proxy AD FS nelle versioni precedenti di Windows Server.To allow external users to access AD FS from the internet, you need to deploy Web Application Proxy nodes (or AD FS Proxy in earlier versions of Windows Server). I nodi Proxy applicazione Web sono esposti direttamente a Internet.The Web Application proxy nodes are directly exposed to the Internet. Non devono essere necessariamente aggiunti a un dominio e devono accedere solo ai server AD FS sulle porte TCP 443 e 80.They are not required to be domain-joined and they only need access to the AD FS servers over TCP ports 443 and 80. È consigliabile bloccare la comunicazione con tutti gli altri computer, in particolare i controller di dominio.It is strongly recommended that communication to all other computers (especially domain controllers) is blocked.

    Questa configurazione si ottiene in genere in locale per mezzo di una rete perimetrale.This is typically achieved on-premises by means of a DMZ. I firewall usano una modalità operativa di tipo elenco elementi consentiti per limitare il traffico dalla rete perimetrale alla rete locale, ovvero è consentito solo il traffico dagli indirizzi IP specificati e su porte specificate, mentre il resto del traffico viene bloccato.Firewalls use a whitelist mode of operation to restrict traffic from the DMZ to the on-premises network (that is, only traffic from the specified IP addresses and over specified ports is allowed, and all other traffic is blocked).

Il diagramma seguente mostra una tradizionale distribuzione di AD FS in locale.The following diagram shows a traditional on-premises AD FS deployment.

Diagramma di una distribuzione tradizionale di Active Directory Federation Services locale

Poiché tuttavia Azure non fornisce funzionalità firewall native complete, è necessario usare altre opzioni per limitare il traffico.However, because Azure does not provide native, full-featured firewall capability, other options need to be used to restrict traffic. La tabella seguente illustra ogni opzione e i relativi vantaggi e svantaggi.The following table shows each option and its advantages and disadvantages.

OpzioneOption VantaggioAdvantage SvantaggioDisadvantage
ACL di rete di AzureAzure network ACLs Configurazione iniziale meno costosa e più semplice.Less costly and simpler initial configuration È necessaria la configurazione di altri ACL di rete se vengono aggiunte nuove VM alla distribuzione.Additional network ACL configuration required if any new VMs are added to the deployment
Barracuda NG firewallBarracuda NG firewall Modalità operativa di tipo elenco elementi consentiti, non richiede alcuna configurazione di ACL di rete.Whitelist mode of operation and it requires no network ACL configuration Costi e complessità maggiori per la configurazione iniziale.Increased cost and complexity for initial setup

In questo caso, ecco i passaggi generali per distribuire AD FS:The high-level steps to deploy AD FS in this case are as follows:

  1. Creare una rete virtuale con connettività cross-premise usando una VPN o ExpressRoute.Create a virtual network with cross-premises connectivity, using either a VPN or ExpressRoute.
  2. Distribuire i controller di dominio nella rete virtuale.Deploy domain controllers on the virtual network. Questo passaggio è facoltativo ma consigliato.This step is optional but recommended.
  3. Distribuire server AD FS aggiunti a un dominio nella rete virtuale.Deploy domain-joined AD FS servers on the virtual network.
  4. Creare un set con carico bilanciato interno che include i server AD FS e usa un nuovo indirizzo IP privato all'interno della rete virtuale, ovvero un indirizzo IP dinamico.Create an internal load balanced set that includes the AD FS servers and uses a new private IP address within the virtual network (a dynamic IP address).

    1. Aggiornare il DNS per creare l'FQDN che punterà all'indirizzo IP privato (dinamico) del set con carico bilanciato interno.Update DNS to create the FQDN to point to the private (dynamic) IP address of the internal load balanced set.
  5. Creare un servizio cloud o una rete virtuale separata per i nodi Proxy applicazione Web.Create a cloud service (or a separate virtual network) for the Web Application Proxy nodes.
  6. Distribuire i nodi Proxy applicazione Web nel servizio cloud o nella rete virtuale.Deploy the Web Application Proxy nodes in the cloud service or virtual network

    1. Creare un set con carico bilanciato esterno che include i nodi Proxy applicazione Web.Create an external load balanced set that includes the Web Application Proxy nodes.
    2. Aggiornare il nome DNS esterno (FQDN) che punterà all'indirizzo IP pubblico del servizio cloud, ovvero l'indirizzo IP virtuale.Update the external DNS name (FQDN) to point to the cloud service public IP address (the virtual IP address).
    3. Configurare i proxy AD FS per l'uso dell'FQDN che corrisponde al set con carico bilanciato interno per i server AD FS.Configure AD FS proxies to use the FQDN that corresponds to the internal load balanced set for the AD FS servers.
    4. Aggiornare i siti Web basati su attestazioni per l'uso dell'FQDN esterno per i relativi provider di attestazioni.Update claims-based web sites to use the external FQDN for their claims provider.
  7. Limitare l'accesso tra il Proxy applicazione Web e qualsiasi computer nella rete virtuale di AD FS.Restrict access between Web Application Proxy to any machine in the AD FS virtual network.

Per limitare il traffico, il set con carico bilanciato per il servizio di bilanciamento del carico interno di Azure deve essere configurato solo per il traffico verso le porte TCP 80 e 443, mentre tutto il resto del traffico verso l'indirizzo IP dinamico interno del set con carico bilanciato viene eliminato.To restrict traffic, the load-balanced set for the Azure internal load balancer needs to be configured for only traffic to TCP ports 80 and 443, and all other traffic to the internal dynamic IP address of the load balanced set is dropped.

Diagramma di ACL di rete AD FS con porte TCP 443 e 80 consentite.

Il traffico verso i server AD FS sarà consentito solo da queste origini:Traffic to the AD FS servers would be permitted only by the following sources:

  • Servizio di bilanciamento del carico interno di Azure.The Azure internal load balancer.
  • Indirizzo IP di un amministratore della rete locale.The IP address of an administrator on the on-premises network.

Avviso

La progettazione deve impedire ai nodi Proxy applicazione Web di accedere ad altre VM nella rete virtuale di Azure o a qualsiasi percorso nella rete locale.The design must prevent Web Application Proxy nodes from reaching any other VMs in the Azure virtual network or any locations on the on-premises network. A questo scopo, è possibile configurare regole firewall nell'appliance locale per le connessioni ExpressRoute o nel dispositivo VPN per le connessioni VPN da sito a sito.That can be done by configuring firewall rules in the on-premises appliance for Express Route connections or the VPN device for site-to-site VPN connections.

Uno svantaggio di questa opzione è la necessità di configurare gli ACL di rete per più dispositivi, tra cui il servizio di bilanciamento del carico interno, i server AD FS e gli eventuali altri server aggiunti alla rete virtuale.A disadvantage to this option is the need to configure the network ACLs for multiple devices, including internal load balancer, the AD FS servers, and any other servers that get added to the virtual network. Se un dispositivo viene aggiunto alla distribuzione senza configurare gli ACL di rete per limitare il traffico destinato al dispositivo stesso, l'intera distribuzione può essere a rischio.If any device is added to the deployment without configuring network ACLs to restrict traffic to it, the entire deployment can be at risk. Se gli indirizzi IP dei nodi Proxy applicazione Web cambiano, è necessario reimpostare gli ACL di rete, ovvero i proxy devono essere configurati per l'uso di indirizzi IP interni statici.If the IP addresses of the Web Application Proxy nodes ever change, the network ACLs must be reset (which means the proxies should be configured to use static dynamic IP addresses).

AD FS in Azure con ACL di rete.

Un'altra opzione consiste nell'usare il dispositivo Barracuda NG Firewall per controllare il traffico tra i server proxy AD FS e i server AD FS.Another option is to use the Barracuda NG Firewall appliance to control traffic between AD FS proxy servers and the AD FS servers. Questa opzione è conforme alle procedure consigliate per la sicurezza e la disponibilità elevata e richiede meno attività di amministrazione dopo l'installazione iniziale, perché il dispositivo Barracuda NG Firewall offre una modalità di tipo elenco elementi consentiti per l'amministrazione del firewall e può essere installato direttamente in una rete virtuale di Azure.This option complies with best practices for security and high availability, and requires less administration after the initial setup because the Barracuda NG Firewall appliance provides a whitelist mode of firewall administration and it can be installed directly on an Azure virtual network. Questo approccio elimina la necessità di configurare gli ACL di rete ogni volta che si aggiunge un nuovo server alla distribuzione.That eliminates the need to configure network ACLs any time a new server is added to the deployment. Questa opzione comporta tuttavia maggiori costi e complessità per la distribuzione iniziale.But this option adds initial deployment complexity and cost.

In questo caso, vengono distribuite due reti virtuali invece di una,In this case, two virtual networks are deployed instead of one. ad esempio rete virtuale 1 e rete virtuale 2.We'll call them VNet1 and VNet2. La rete virtuale 1 contiene i proxy, mentre la rete virtuale 2 contiene i servizi token di sicurezza e la connessione di rete alla rete aziendale.VNet1 contains the proxies and VNet2 contains the STSs and the network connection back to the corporate network. La rete virtuale 1 è quindi fisicamente, anche se virtualmente, isolata dalla rete virtuale 2 e di conseguenza anche dalla rete aziendale.VNet1 is therefore physically (albeit virtually) isolated from VNet2 and, in turn, from the corporate network. La rete virtuale 1 è quindi connessa alla rete virtuale 2 con una speciale tecnologia di tunneling chiamata Transport Independent Network Architecture (TINA).VNet1 is then connected to VNet2 using a special tunneling technology known as Transport Independent Network Architecture (TINA). Il tunnel TINA è collegato a ognuna delle reti virtuali tramite un dispositivo Barracuda NG Firewall, uno in ogni rete virtuale.The TINA tunnel is attached to each of the virtual networks using a Barracuda NG firewall—one Barracuda on each of the virtual networks. Per garantire la disponibilità elevata, è consigliabile distribuire due dispositivi Barracuda in ogni rete virtuale, uno attivo e l'altro passivo.For high-availability, it is recommended that you deploy two Barracudas on each virtual network; one active, the other passive. Questi dispositivi offrono funzionalità firewall complesse che consentono di simulare il funzionamento di una tradizionale rete perimetrale locale in Azure.They offer extremely rich firewalling capabilities which allow us to mimic the operation of a traditional on-premises DMZ in Azure.

AD FS in Azure con firewall.

Per altre informazioni, vedere AD FS: estendere a Internet un'applicazione front-end locale in grado di riconoscere attestazioni.For more information, see AD FS: Extend a claims-aware on-premises front-end application to the Internet.

Alternativa alla distribuzione di AD FS se l'obiettivo è solo SSO di Office 365An alternative to AD FS deployment if the goal is Office 365 SSO alone

Esiste un'altra alternativa alla distribuzione completa di AD FS se l'obiettivo è solo l'abilitazione dell'accesso per Office 365.There is another alternative to deploying AD FS altogether if your goal is only to enable sign-in for Office 365. In questo caso, è possibile distribuire semplicemente DirSync con la sincronizzazione delle password in locale e ottenere lo stesso risultato finale con una complessità di distribuzione minima, perché questo approccio non richiede AD FS o Azure.In that case, you can simply deploy DirSync with password sync on-premises and achieve the same end-result with minimal deployment complexity because this approach does not require AD FS or Azure.

La tabella seguente confronta il funzionamento dei processi di accesso con e senza distribuzione di AD FS.The following table compares how the sign-in processes work with and without deploying AD FS.

Single Sign-On in Office 365 con AD FS e DirSyncOffice 365 single sign-on using AD FS and DirSync Lo stesso Single Sign-On in Office 365 con DirSync e sincronizzazione passwordOffice 365 same sign-on using DirSync + Password Sync
1. L'utente accede a una rete aziendale e viene autenticato in Active Directory di Windows Server.1. The user logs on to a corporate network, and is authenticated to Windows Server Active Directory. 1. L'utente accede a una rete aziendale e viene autenticato in Active Directory di Windows Server.1. The user logs on to a corporate network, and is authenticated to Windows Server Active Directory.
2. L'utente prova ad accedere a Office 365 (nome utente @contoso.com).2. The user tries to access Office 365 (I am @contoso.com). 2. L'utente prova ad accedere a Office 365 (nome utente @contoso.com).2. The user tries to access Office 365 (I am @contoso.com).
3. Office 365 reindirizza l'utente ad Azure AD.3. Office 365 redirects the user to Azure AD. 3. Office 365 reindirizza l'utente ad Azure AD.3. Office 365 redirects the user to Azure AD.
4. Azure AD non può autenticare l'utente e rileva l'esistenza di una relazione di trust con AD FS in locale, quindi reindirizza l'utente ad AD FS.4. Since Azure AD can’t authenticate the user and understands there is a trust with AD FS on-premises, it redirects the user to AD FS. 4. Azure AD non può accettare direttamente i ticket Kerberos e non esiste alcuna relazione di trust, quindi richiede all'utente di immettere le credenziali.4. Azure AD can’t accept Kerberos tickets directly and no trust relationship exists so it requests that the user enter credentials.
5. L'utente invia un ticket Kerberos al servizio token di sicurezza di AD FS.5. The user sends a Kerberos ticket to the AD FS STS. 5. L'utente immette la stessa password locale e Azure AD la convalida rispetto al nome utente e alla password sincronizzati da DirSync.5. The user enters the same on-premises password, and Azure AD validates them against the user name and password that was synchronized by DirSync.
6. AD FS trasforma il ticket Kerberos nelle attestazioni o nel formato dei token richiesto e reindirizza l'utente ad Azure AD.6. AD FS transforms the Kerberos ticket to the required token format/claims and redirects the user to Azure AD. 6. Azure AD reindirizza l'utente a Office 365.6. Azure AD redirects the user to Office 365.
7. L'utente esegue l'autenticazione ad Azure AD, ovvero si verifica un'altra trasformazione.7. The user authenticates to Azure AD (another transformation occurs). 7. L'utente può accedere a Office 365 e OWA con lo stesso token di Azure AD.7. The user can sign in to Office 365 and OWA using the Azure AD token.
8. Azure AD reindirizza l'utente a Office 365.8. Azure AD redirects the user to Office 365.
9. L'utente viene connesso automaticamente a Office 365.9. The user is silently signed on to Office 365.

In Office 365 con uno scenario DirSync con sincronizzazione delle password (non AD FS), Single Sign-On è sostituito da "Same Sign-On", dove "same" indica semplicemente che gli utenti devono immettere di nuovo le stesse credenziali locali per accedere a Office 365.In the Office 365 with DirSync with password sync scenario (no AD FS), single sign-on is replaced by “same sign-on” where “same” simply means that users must re-enter their same on-premises credentials when accessing Office 365. Questi dati possono essere memorizzati dal browser dell'utente per ridurre le richieste successive.Note that this data can be remembered by the user’s browser to help reduce subsequent prompts.

Altri elementi di riflessioneAdditional food for thought

  • Se si distribuisce un proxy AD FS in una macchina virtuale di Azure, è necessaria la connettività ai server AD FS.If you deploy an AD FS proxy on an Azure virtual machine, connectivity to the AD FS servers is needed. Se i server sono locali, è consigliabile sfruttare la connettività VPN da sito a sito fornita dalla rete virtuale per consentire ai nodi Proxy applicazione Web di comunicare con i server AD FS.If they are on-premises, it is recommended that you leverage the site-to-site VPN connectivity provided by the virtual network to allow the Web Application Proxy nodes to communicate with their AD FS servers.
  • Se si distribuisce un server AD FS in una macchina virtuale di Azure, è necessaria la connettività ai controller di dominio Active Directory di Windows Server, agli archivi attributi e ai database di configurazione e può anche essere necessaria una connessione ExpressRoute o VPN da sito a sito tra la rete virtuale di Azure e la rete locale.If you deploy an AD FS server on an Azure virtual machine, connectivity to Windows Server Active Directory domain controllers, Attribute Stores, and Configuration databases is necessary and may also require an ExpressRoute or a site-to-site VPN connection between the Azure virtual network and the on-premises network.
  • Gli addebiti vengono applicati a tutto il traffico in uscita dalle macchine virtuali di Azure.Charges are applied to all traffic from Azure virtual machines (egress traffic). Se il costo è un fattore determinante, è consigliabile distribuire i nodi Proxy applicazione Web in Azure, lasciando i server AD FS in locale.If cost is the driving factor, it is advisable to deploy the Web Application Proxy nodes on Azure, leaving the AD FS servers on-premises. Se i server AD FS vengono distribuiti anche in macchine virtuali di Azure, si dovranno sostenere costi aggiuntivi per autenticare gli utenti locali.If the AD FS servers are deployed on Azure virtual machines as well, additional costs will be incurred to authenticate on-premises users. Il traffico in uscita comporta un costo indipendentemente dal fatto che avvenga tramite una connessione ExpressRoute o VPN da sito a sito.Egress traffic incurs a cost regardless of whether or not it is traversing the ExpressRoute or the VPN site-to-site connection.
  • Se si sceglie di usare le funzionalità native di bilanciamento del carico dei server di Azure per la disponibilità elevata dei server AD FS, il bilanciamento del carico offre probe che consentono di determinare l'integrità delle macchine virtuali nel servizio cloud.If you decide to use Azure’s native server load balancing capabilities for high availability of AD FS servers, note that load balancing provides probes that are used to determine the health of the virtual machines within the cloud service. Nel caso di macchine virtuali di Azure, invece di ruoli Web o di lavoro, è necessario usare un probe personalizzato perché l'agente che risponde ai probe predefiniti non è presente nelle macchine virtuali di Azure.In the case of Azure virtual machines (as opposed to web or worker roles), a custom probe must be used since the agent that responds to the default probes is not present on Azure virtual machines. Per semplicità, è possibile usare un probe TCP personalizzato. A questo scopo, è solo necessario stabilire correttamente una connessione TCP, ovvero un segmento TCP SYN inviato e una risposta con un segmento TCP SYN ACK, per determinare l'integrità della macchina virtuale.For simplicity, you might use a custom TCP probe — this requires only that a TCP connection (a TCP SYN segment sent and responded to with a TCP SYN ACK segment) be successfully established to determine virtual machine health. È possibile configurare il probe personalizzato per l'uso di qualsiasi porta TCP su cui le macchine virtuali sono attivamente in ascolto.You can configure the custom probe to use any TCP port to which your virtual machines are actively listening.

Nota

Le macchine che devono esporre lo stesso set di porte direttamente in Internet, ad esempio le porte 80 e 443, non possono condividere lo stesso servizio cloud.Machines that need to expose the same set of ports directly to the Internet (such as port 80 and 443) cannot share the same cloud service. È quindi consigliabile creare un servizio cloud dedicato per i server AD FS di Windows Server in uso, per evitare possibili sovrapposizioni tra i requisiti della porta per un'applicazione e AD FS di Windows Server.It is, therefore, recommended that you create a dedicated cloud service for your Windows Server AD FS servers in order to avoid potential overlaps between port requirements for an application and Windows Server AD FS.

Scenari di distribuzioneDeployment scenarios

La sezione seguente descrive scenari di distribuzione comuni per mettere in evidenza alcune considerazioni importanti a cui prestare attenzione.The following section outlines commonplace deployment scenarios to draw attention to important considerations that must be taken into account. In ogni scenario sono disponibili collegamenti ad altri dettagli sulle decisioni e sui fattori da considerare.Each scenario has links to more details about the decisions and factors to consider.

  1. Servizi di dominio Active Directory: distribuire un'applicazione compatibile con Servizi di dominio Active Directory senza requisiti per la connettività di rete aziendaleAD DS: Deploy an AD DS-aware application with no requirement for corporate network connectivity

    Ad esempio, un servizio SharePoint con connessione Internet viene distribuito in una macchina virtuale di Azure.For example, an Internet-facing SharePoint service is deployed on an Azure virtual machine. L'applicazione non ha dipendenze delle risorse di rete aziendale.The application has no dependencies on corporate-network resources. L'applicazione richiede Servizi di dominio Active Directory di Windows Server, ma NON Servizi di dominio Active Directory di Windows Server aziendale.The application does require Windows Server AD DS but does NOT require the corporate Windows Server AD DS.

  2. AD FS: estendere a Internet un'applicazione front-end locale in grado di riconoscere attestazioni.AD FS: Extend a claims-aware on-premises front-end application to the Internet

    Ad esempio, un'applicazione in grado di riconoscere attestazioni distribuita correttamente in locale e usata dagli utenti aziendali deve essere accessibile da Internet.For example, a claims-aware application that has been successfully deployed on-premises and used by corporate users needs to become accessible from the Internet. L'accesso all'applicazione direttamente tramite Internet deve essere garantito sia ai partner commerciali con le relative identità aziendali sia agli utenti esistenti.The application needs to be accessed directly over the Internet both by business partners using their own corporate identities and by existing corporate users.

  3. Servizi di dominio Active Directory: distribuire un'applicazione compatibile con Servizi di dominio Active Directory di Windows Server che richiede la connettività di rete aziendaleAD DS: Deploy a Windows Server AD DS-aware application that requires connectivity to the corporate network

    Ad esempio, un'applicazione compatibile con LDAP, che supporta l'autenticazione integrata di Windows e usa Servizi di dominio Active Directory di Windows Server come archivio per i dati di configurazione e del profilo utente, viene distribuita in una macchina virtuale di Azure.For example, an LDAP-aware application that supports Windows-integrated authentication and uses Windows Server AD DS as a repository for configuration and user-profile data is deployed on an Azure virtual machine. È consigliabile che l'applicazione sfrutti Servizi di dominio Active Directory di Windows Server aziendale esistente e fornisca l'accesso Single Sign-On.It is desirable for the application to leverage the existing corporate Windows Server AD DS and provide single sign-on. L'applicazione non è in grado di riconoscere attestazioni.The application is not claims-aware.

1. Servizi di dominio Active Directory: distribuire un'applicazione compatibile con Servizi di dominio Active Directory senza requisiti per la connettività di rete aziendale1. AD DS: Deploy an AD DS-aware application with no requirement for corporate network connectivity

Distribuzione di Servizi di dominio Active Directory solo cloud Figura 1Cloud-only AD DS deployment Figure 1

DescriptionDescription

SharePoint viene distribuito in una macchina virtuale di Azure e l'applicazione non ha dipendenze dalle risorse di rete aziendale.SharePoint is deployed on an Azure virtual machine and the application has no dependencies on corporate-network resources. L'applicazione richiede Servizi di dominio Active Directory di Windows Server, ma non Servizi di dominio Active Directory di Windows Server aziendale.The application does require Windows Server AD DS but does not require the corporate Windows Server AD DS. Non sono richiesti trust Kerberos né trust federativi perché il provisioning degli utenti viene effettuato automaticamente tramite l'applicazione nel dominio di Servizi di dominio Active Directory di Windows Server, ospitato anche nelle macchine virtuali di Azure nel cloud.No Kerberos or federated trusts are required because users are self-provisioned through the application into the Windows Server AD DS domain that is also hosted in the cloud on Azure virtual machines.

Considerazioni sullo scenario e modalità di applicazione di aree tecnologiche allo scenarioScenario considerations and how technology areas apply to the scenario

  • Topologia di rete: creare una rete virtuale di Azure senza connettività cross-premise, nota anche come connettività da sito a sito.Network topology: Create an Azure virtual network without cross-premises connectivity (also known as site-to-site connectivity).
  • Configurazione della distribuzione di un controller di dominio: distribuire un nuovo controller di dominio in una nuova foresta Active Directory di Windows Server a dominio singolo.DC deployment configuration: Deploy a new domain controller into a new, single-domain, Windows Server Active Directory forest. La distribuzione dovrà avvenire insieme al server DNS di Windows.This should be deployed along with the Windows DNS server.
  • Topologia del sito Active Directory di Windows Server: usare il sito Active Directory di Windows Server predefinito (tutti i computer faranno parte di Nome-predefinito-primo-sito).Windows Server Active Directory site topology: Use the default Windows Server Active Directory site (all computers will be in Default-First-Site-Name).
  • Indirizzamento IP e DNS:IP addressing and DNS:

    • Impostare un indirizzo IP statico per il controller di dominio tramite il cmdlet di Azure PowerShell Set-AzureStaticVNetIP.Set a static IP address for the DC by using the Set-AzureStaticVNetIP Azure PowerShell cmdlet.
    • Installare e configurare il DNS di Windows Server nei controller di dominio in Azure.Install and configure Windows Server DNS on the domain controller(s) on Azure.
    • Configurare le proprietà della rete virtuale con il nome e l'indirizzo IP della VM che ospita i ruoli del server DNS e controller di dominio.Configure the virtual network properties with the name and IP address of the VM that hosts the DC and DNS server roles.
  • Catalogo globale: il primo controller di dominio nella foresta deve essere un server di catalogo globale.Global Catalog: The first DC in the forest must be a global catalog server. È necessario configurare come cataloghi globali anche controller di dominio aggiuntivi, perché in una foresta a dominio singolo il catalogo globale non richiede attività aggiuntive da parte del controller di dominio.Additional DCs should also be configured as GCs because in a single domain forest, the global catalog does not require any additional work from the DC.
  • Posizione del database di Servizi di dominio Active Directory di Windows Server e di SYSVOL: aggiungere un disco dati ai controller di dominio eseguiti come VM di Azure per archiviare il database di Active Directory di Windows Server, i log e SYSVOL.Placement of the Windows Server AD DS database and SYSVOL: Add a data disk to DCs running as Azure VMs in order to store the Windows Server Active Directory database, logs, and SYSVOL.
  • Backup e ripristino: determinare la posizione in cui archiviare i backup dello stato del sistema.Backup and Restore: Determine where you want to store system state backups. Se necessario, aggiungere un altro disco dati alla VM del controller di dominio per archiviare i backup.If necessary, add another data disk to the DC VM to store backups.

2. AD FS: estendere a Internet un'applicazione front-end locale in grado di riconoscere attestazioni2 AD FS: Extend a claims-aware on-premises front-end application to the Internet

Federazione con connettività cross-premise Figura 2Federation with cross-premises connectivity Figure 2

DescrizioneDescription

Un'applicazione in grado di riconoscere attestazioni distribuita correttamente in locale e usata dagli utenti aziendali deve essere accessibile direttamente da Internet.A claims-aware application that has been successfully deployed on-premises and used by corporate users needs to become accessible directly from the Internet. L'applicazione viene usata come front-end Web in un database SQL in cui vengono archiviati i dati.The application serves as a web frontend to a SQL database in which it stores data. I server SQL usati dall'applicazione sono presenti anche nella rete aziendale.The SQL servers used by the application are also located on the corporate network. Per fornire l'accesso agli utenti aziendali, sono stati distribuiti in locale due servizi token di sicurezza di AD FS di Windows Server e un servizio di bilanciamento del carico.Two Windows Server AD FS STSs and a load-balancer have been deployed on-premises to provide access to the corporate users. A questo punto, l'accesso all'applicazione direttamente tramite Internet deve essere garantito sia ai partner commerciali con le relative identità aziendali sia agli utenti aziendali esistenti.The application now needs to be additionally accessed directly over the Internet both by business partners using their own corporate identities and by existing corporate users.

Per semplificare il processo e soddisfare le esigenze di configurazione e distribuzione di questo nuovo requisito, si è deciso di installare due front-end Web aggiuntivi e due server proxy AD FS di Windows Server nelle macchine virtuali di Azure.In an effort to simplify and meet the deployment and configuration needs of this new requirement, it is decided that two additional web frontends and two Windows Server AD FS proxy servers be installed on Azure virtual machines. Queste quattro VM saranno tutte esposte direttamente a Internet e riceveranno la connettività alla rete locale tramite la funzionalità VPN da sito a sito della rete virtuale di Azure.All four VMs will be exposed directly to the Internet and will be provided connectivity to the on-premises network using Azure Virtual Network’s site-to-site VPN capability.

Considerazioni sullo scenario e modalità di applicazione di aree tecnologiche allo scenarioScenario considerations and how technology areas apply to the scenario

  • Topologia di rete: creare una rete virtuale di Azure e configurare la connettività cross-premise.Network topology: Create an Azure virtual network and configure cross-premises connectivity.

    Nota

    Per ognuno dei certificati di AD FS di Windows Server verificare che l'URL definito nel modello di certificato e nei certificati risultanti sia raggiungibile dalle istanze di AD FS di Windows Server eseguite in Azure.For each of the Windows Server AD FS certificates, ensure that the URL defined within the certificate template and the resulting certificates can be reached by the Windows Server AD FS instances running on Azure. Questa condizione potrebbe richiedere la connettività cross-premise a parti dell'infrastruttura a chiave pubblica (PKI).This may require cross-premises connectivity to parts of your PKI infrastructure. Ad esempio, se l'endpoint di CRL è basato su LDAP e ospitato esclusivamente in locale, sarà necessaria la connettività cross-premise.For example if the CRL's endpoint is LDAP-based and hosted exclusively on-premises, then cross-premises connectivity will be required. Se ciò non è auspicabile, può essere necessario usare i certificati emessi da un'autorità di certificazione i cui CRL sono accessibili tramite Internet.If this is not desirable, it may be necessary to use certificates issued by a CA whose CRL is accessible over the Internet.

  • Configurazione di servizi cloud: assicurarsi di avere due servizi cloud per fornire due indirizzi IP virtuali con carico bilanciato.Cloud services configuration: Ensure you have two cloud services in order provide two load-balanced virtual IP addresses. L'indirizzo IP virtuale del primo servizio cloud verrà indirizzato alle due VM del proxy AD FS di Windows Server sulle porte 80 e 443.The first cloud service’s virtual IP address will be directed to the two Windows Server AD FS proxy VMs on ports 80 and 443. Le VM del proxy AD FS di Windows Server verranno configurate in modo che puntino all'indirizzo IP del servizio di bilanciamento del carico locale usato dai servizi token di sicurezza di AD FS di Windows Server.The Windows Server AD FS proxy VMs will be configured to point to the IP address of the on-premises load-balancer that fronts the Windows Server AD FS STSs. L'indirizzo IP virtuale del secondo servizio cloud verrà indirizzato alle due VM che eseguono il front-end Web sempre sulle porte 80 e 443.The second cloud service’s virtual IP address will be directed to the two VMs running the web frontend again on ports 80 and 443. Configurare un probe personalizzato per assicurarsi che il servizio di bilanciamento del carico indirizzi il traffico solo al proxy AD FS di Windows Server e alle VM front-end Web funzionanti.Configure a custom probe to ensure the load-balancer only directs traffic to functioning Windows Server AD FS proxy and web frontend VMs.
  • Configurazione del server federativo: configurare AD FS di Windows Server come server federativo (servizio token di sicurezza) per generare i token di sicurezza per la foresta Active Directory di Windows Server creata nel cloud.Federation server configuration: Configure Windows Server AD FS as a federation server (STS) to generate security tokens for the Windows Server Active Directory forest created in the cloud. Impostare le relazioni di trust del provider di attestazioni federativo con i diversi partner da cui si accetteranno le identità e configurare le relazioni di trust della relying party con le diverse applicazioni in cui si vogliono generare i token.Set federation claims provider trust relationships with the different partners you wish to accept identities from, and configure relying party trust relationships with the different applications you want to generate tokens to.

    In quasi tutti gli scenari i server proxy AD FS di Windows Server vengono distribuiti in una soluzione con connessione Internet per motivi di sicurezza, mentre le relative controparti federative di AD FS di Windows Server rimangono isolate dalla connettività Internet diretta.In most scenarios, Windows Server AD FS proxy servers are deployed in an Internet-facing capacity for security purposes while their Windows Server AD FS federation counterparts remain isolated from direct Internet connectivity. Indipendentemente dallo scenario di distribuzione, è necessario configurare il servizio cloud in uso con un indirizzo IP virtuale che fornirà un indirizzo IP esposto pubblicamente, nonché una porta in grado di bilanciare il carico tra le due istanze del servizio token di sicurezza di AD FS di Windows Server o tra le istanze proxy.Regardless of your deployment scenario, you must configure your cloud service with a virtual IP address that will provide a publicly exposed IP address and port that is able to load-balance across either your two Windows Server AD FS STS instances or proxy instances.

  • Configurazione con disponibilità elevata di AD FS di Windows Server: è consigliabile distribuire una farm AD FS di Windows Server con almeno due server per il failover e il bilanciamento del carico.Windows Server AD FS high availability configuration: It is advisable to deploy a Windows Server AD FS farm with at least two servers for failover and load balancing. Valutare la possibilità di usare Database interno di Windows per i dati di configurazione di AD FS di Windows Server e usare la funzionalità di bilanciamento del carico interno di Azure per distribuire le richieste in ingresso tra i server della farm.You might want to consider using the Windows Internal Database (WID) for Windows Server AD FS configuration data, and use the internal load balancing capability of Azure to distribute incoming requests across the servers in the farm.

Per altre informazioni, vedere la Guida alla distribuzione di Servizi di dominio Active Directory.For more information, see the AD DS Deployment Guide.

3. Servizi di dominio Active Directory: distribuire un'applicazione compatibile con Servizi di dominio Active Directory di Windows Server che richiede la connettività di rete aziendale3. AD DS: Deploy a Windows Server AD DS-aware application that requires connectivity to the corporate network

Distribuzione di Servizi di dominio Active Directory cross-premise Figura 3Cross-premises AD DS deployment Figure 3

DescrizioneDescription

Un'applicazione compatibile con LDAP viene distribuita in una macchina virtuale di Azure.An LDAP-aware application is deployed on an Azure virtual machine. Supporta l'autenticazione integrata di Windows e usa Servizi di dominio Active Directory di Windows Server come archivio per i dati di configurazione e del profilo utente.It supports Windows-integrated authentication and uses Windows Server AD DS as a repository for configuration and user profile data. L'obiettivo dell'applicazione consiste nello sfruttare Servizi di dominio Active Directory di Windows Server aziendale esistente e fornire l'accesso Single Sign-On.The goal is for the application to leverage the existing corporate Windows Server AD DS and provide single sign-on. L'applicazione non è in grado di riconoscere attestazioni.The application is not claims-aware. Gli utenti devono anche accedere all'applicazione direttamente da Internet.Users also need to access the application directly from the Internet. Per ottimizzare le prestazioni e i costi, si è deciso di distribuire due controller di dominio aggiuntivi, che fanno parte del dominio aziendale, insieme all'applicazione in Azure.To optimize for performance and cost, it is decided that two additional domain controllers that are part of the corporate domain be deployed alongside the application on Azure.

Considerazioni sullo scenario e modalità di applicazione di aree tecnologiche allo scenarioScenario considerations and how technology areas apply to the scenario

  • Topologia di rete: creare una rete virtuale di Azure con la connettività cross-premise.Network topology: Create an Azure virtual network with cross-premises connectivity.
  • Metodo di installazione: distribuire controller di dominio di replica dal dominio Active Directory di Windows Server aziendale.Installation method: Deploy replica DCs from the corporate Windows Server Active Directory domain. Per un controller di dominio di replica è possibile installare Servizi di dominio Active Directory di Windows Server nella VM e, facoltativamente, usare la funzionalità Installazione da supporto per ridurre la quantità di dati che devono essere replicati nel nuovo controller di dominio durante l'installazione.For a replica DC, you can install Windows Server AD DS on the VM, and optionally use the Install From Media (IFM) feature to reduce the amount of data that needs to be replicated to the new DC during installation. Per un'esercitazione, vedere Installazione di un controller di dominio Active Directory di replica in una rete virtuale di Azure.For a tutorial, see Install a replica Active Directory domain controller on Azure. Anche se si usa Installazione da supporto, potrebbe risultare più pratico compilare il controller di dominio virtuale in locale e spostare l'intero disco rigido virtuale (VHD) nel cloud, invece di replicare Servizi di dominio Active Directory di Windows Server durante l'installazione.Even if you use IFM, it may be more efficient to build the virtual DC on-premises and move the entire Virtual Hard Disk (VHD) to the cloud instead of replicating Windows Server AD DS during installation. Per motivi di sicurezza, è consigliabile eliminare il disco rigido virtuale dalla rete locale dopo che è stato copiato in Azure.For safety, it is recommended that you delete the VHD from the on-premises network once it has been copied to Azure.
  • Topologia del sito Active Directory di Windows Server: creare un nuovo sito di Azure in Siti e servizi di Active Directory.Windows Server Active Directory site topology: Create a new Azure site in Active Directory Sites and Services. Creare un oggetto subnet di Active Directory di Windows Server per rappresentare la rete virtuale di Azure e aggiungere la subnet al sito.Create a Windows Server Active Directory subnet object to represent the Azure virtual network and add the subnet to the site. Creare un nuovo collegamento di sito che include il nuovo sito di Azure e il sito in cui si trova l'endpoint VPN della rete virtuale di Azure per controllare e ottimizzare il traffico di Active Directory di Windows Server da e verso Azure.Create a new site link that includes the new Azure site and the site in which the Azure virtual network VPN endpoint is located in order to control and optimize Windows Server Active Directory traffic to and from Azure.
  • Indirizzamento IP e DNS:IP addressing and DNS:

    • Impostare un indirizzo IP statico per il controller di dominio tramite il cmdlet di Azure PowerShell Set-AzureStaticVNetIP.Set a static IP address for the DC by using the Set-AzureStaticVNetIP Azure PowerShell cmdlet.
    • Installare e configurare il DNS di Windows Server nei controller di dominio in Azure.Install and configure Windows Server DNS on the domain controller(s) on Azure.
    • Configurare le proprietà della rete virtuale con il nome e l'indirizzo IP della VM che ospita i ruoli del server DNS e controller di dominio.Configure the virtual network properties with the name and IP address of the VM that hosts the DC and DNS server roles.
  • Controller di dominio con distribuzione geografica: configurare reti virtuali aggiuntive in base alle esigenze.Geo-distributed DCs: Configure additional virtual networks as needed. Se la topologia del sito Active Directory richiede la presenza di controller di dominio in aree geografiche che corrispondono ad aree di Azure diverse, è possibile creare siti Active Directory corrispondenti.If your Active Directory site topology requires DCs in geographies that correspond to different Azure regions, than you want to create Active Directory sites accordingly.
  • Controller di dominio di sola lettura: è possibile distribuire un controller di dominio di sola lettura nel sito di Azure, a seconda dei requisiti per l'esecuzione di operazioni di scrittura nel controller di dominio e della compatibilità di applicazioni e servizi nel sito con controller di dominio di sola lettura.Read-only DCs: You might deploy an RODC in the Azure site, depending on your requirements for performing write operations against the DC and the compatibility of applications and services in the site with RODCs. Per altre informazioni sulla compatibilità delle applicazioni, vedere la guida alla Compatibilità delle applicazioni con i controller di dominio di sola lettura.For more information about application compatibility, see the Read-Only domain controllers application compatibility guide.
  • Catalogo globale: i cataloghi globali sono necessari per soddisfare le richieste di accesso in foreste con più domini.Global Catalog: GCs are needed to service logon requests in multidomain forests. Se non si distribuisce un catalogo globale nel sito di Azure, verranno applicati addebiti per il traffico in uscita, perché le richieste di autenticazione generano query sui cataloghi globali in altri siti.If you do not deploy a GC in the Azure site, you will incur egress traffic costs as authentication requests cause queries GCs in other sites. Per ridurre il traffico, è possibile abilitare la memorizzazione nella cache dell'appartenenza al gruppo universale per il sito di Azure in Siti e servizi di Active Directory.To minimize that traffic, you can enable universal group membership caching for the Azure site in Active Directory Sites and Services.

    Se si distribuisce un catalogo globale, configurare i collegamenti di sito e i relativi costi in modo che il catalogo globale nel sito di Azure non sia scelto come controller di dominio di origine preferito da altri cataloghi globali che devono replicare le stesse partizioni di dominio parziali.If you deploy a GC, configure site links and site links costs so that the GC in the Azure site is not preferred as a source DC by other GCs that need to replicate the same partial domain partitions.

  • Posizione del database di Servizi di dominio Active Directory di Windows Server e di SYSVOL: aggiungere un disco dati ai controller di dominio eseguiti in VM di Azure per archiviare il database di Active Directory di Windows Server, i log e SYSVOL.Placement of the Windows Server AD DS database and SYSVOL: Add a data disk to DCs running on Azure VMs in order to store the Windows Server Active Directory database, logs, and SYSVOL.
  • Backup e ripristino: determinare la posizione in cui archiviare i backup dello stato del sistema.Backup and Restore: Determine where you want to store system state backups. Se necessario, aggiungere un altro disco dati alla VM del controller di dominio per archiviare i backup.If necessary, add another data disk to the DC VM to store backups.

Decisioni e fattori relativi alla distribuzioneDeployment decisions and factors

Nella tabella seguente sono riepilogate le aree tecnologiche di Active Directory di Windows Server prese in considerazione negli scenari precedenti, con le relative decisioni di cui tener conto e i collegamenti a informazioni più dettagliate.This table summarizes the Windows Server Active Directory technology areas that are impacted in the preceding scenarios and the corresponding decisions to consider, with links to more detail below. Alcune aree tecnologiche potrebbero non essere applicabili a tutti gli scenari di distribuzione e alcune di esse potrebbero essere più critiche in uno scenario di distribuzione rispetto ad altre.Some technology areas might not be applicable to every deployment scenario, and some technology areas might be more critical to a deployment scenario than other technology areas.

Ad esempio, se si distribuisce un controller di dominio di replica in una rete virtuale e la foresta ha un solo dominio, la scelta di distribuire un server di catalogo globale in questo caso non sarà critica per lo scenario di distribuzione, perché non creerà requisiti di replica aggiuntivi.For example, if you deploy a replica DC on a virtual network and your forest has only a single domain, then choosing to deploy a global catalog server in that case will not be critical to the deployment scenario because it will not create any additional replication requirements. D'altra parte, se la foresta ha diversi domini, la decisione di distribuire un catalogo globale in una rete virtuale potrebbe influire sulla larghezza di banda disponibile, sulle prestazioni, sull'autenticazione, sulle ricerche nella directory e così via.On the other hand, if the forest has several domains, then the decision to deploy a global catalog on a virtual network could affect available bandwidth, performance, authentication, directory lookups, and so on.

Active Directory di Windows Server in macchine virtuali di AzureWindows Server Active Directory technology area DecisioniDecisions FattoriFactors
Topologia di reteNetwork topology Si crea una rete virtuale?Do you create a virtual network?
  • Requisiti per l'accesso alle risorse aziendaliRequirements to access Corp resources
  • AutenticazioneAuthentication
  • Account ManagementAccount management
  • Configurazione della distribuzione di un controller di dominioDC deployment configuration
  • Distribuire una foresta separata senza trust?Deploy a separate forest without any trusts?
  • Distribuire una nuova foresta con federazione?Deploy a new forest with federation?
  • Distribuire una nuova foresta con trust tra foreste di Active Directory di Windows Server o Kerberos?Deploy a new forest with Windows Server Active Directory forest trust or Kerberos?
  • Estendere la foresta aziendale distribuendo una controller di dominio di replica?Extend Corp forest by deploying a replica DC?
  • Estendere la foresta aziendale distribuendo un nuovo dominio figlio o albero di dominio?Extend Corp forest by deploying a new child domain or domain tree?
  • SicurezzaSecurity
  • ConformitàCompliance
  • CostiCost
  • Resilienza e tolleranza di erroreResiliency and fault-tolerance
  • Compatibilità tra le versioniApplication compatibility
  • Topologia del sito Active Directory di Windows ServerWindows Server Active Directory site topology Come si configurano subnet, siti e collegamenti di sito con Rete virtuale di Microsoft Azure per ottimizzare il traffico e ridurre i costi?How do you configure subnets, sites, and site links with Azure Virtual Network to optimize traffic and minimize cost?
  • Definizioni di sito e subnetSubnet and site definitions
  • Proprietà dei collegamenti di sito e notifica delle modificheSite link properties and change notification
  • Compressione della replicaReplication compression
  • Indirizzamento IP e DNSIP addressing and DNS Come configurare gli indirizzi IP e risoluzione dei nomi?How to configure IP addresses and name resolution?
  • Usare il cmdlet Set-AzureStaticVNetIP per assegnare un indirizzo IP staticoUse the Use the Set-AzureStaticVNetIP cmdlet to assign a static IP address
  • Installare un server DNS di Windows Server e configurare le proprietà della rete virtuale con il nome e l'indirizzo IP della VM che ospita i ruoli del server DNS e controller di dominioInstall Windows Server DNS server and configure the virtual network properties with the name and IP address of the VM that hosts the DC and DNS server roles
  • Controller di dominio con distribuzione geograficaGeo-distributed DCs Come eseguire la replica in controller di dominio in reti virtuali separate?How to replicate to DCs on separate virtual networks? Se la topologia del sito Active Directory richiede la presenza di controller di dominio in aree geografiche che corrispondono ad aree di Azure diverse, è possibile creare siti Active Directory corrispondenti.If your Active Directory site topology requires DCs in geographies that corresponds to different Azure regions, than you want to create Active Directory sites accordingly. Configurare la rete virtuale per la connettività di rete virtuale per la replica tra controller di dominio in reti virtuali separate.Configure virtual network to virtual network Connectivity to replicate between domain controllers on separate virtual networks.
    Controller di dominio di sola letturaRead-only DCs Usare controller di dominio di sola lettura o scrivibili?Use read-only or writeable DCs?
  • Filtrare gli attributi HBI/PIIFilter HBI/PII attributes
  • Filtrare le chiavi privateFilter secrets
  • Limitare il traffico in uscitaLimit outbound traffic
  • Catalogo globaleGlobal catalog Installare il catalogo globale?Install global catalog?
  • Per una foresta con dominio singolo, convertire tutti i controller di dominio in cataloghi globaliFor single-domain forest, make all DCs GCs
  • Per una foresta a più domini, i cataloghi globali sono necessari per l'autenticazioneFor multidomain forest, GCs are required for authentication
  • Metodo di installazioneInstallation method Come installare un controller di dominio in Azure?How to install DC in Azure? È possibile: Either:
  • Installare Servizi di dominio Active Directory usando Windows PowerShell o DcpromoInstall AD DS using Windows PowerShell or Dcpromo
  • Spostare il disco rigido virtuale di un controller di dominio virtuale localeMove VHD of an on-premises virtual DC
  • Posizione del database di Servizi di dominio Active Directory di Windows Server e di SYSVOLPlacement of the Windows Server AD DS database and SYSVOL Dove archiviare il database di Active Directory di Windows Server, i log e SYSVOL?Where to store Windows Server AD DS database, logs, and SYSVOL? Modificare i valori predefiniti di Dcpromo.exe.Change Dcpromo.exe default values. Questi file critici di Active Directory devono trovarsi su dischi dati di Azure invece che su dischi del sistema operativo che implementano la memorizzazione nella cache in scrittura.These critical Active Directory files must be placed on Azure Data Disks instead of Operating System disks that implement write caching.
    Backup e ripristinoBackup and Restore Come proteggere e ripristinare i dati?How to safeguard and recover data? Creare backup dello stato del sistema.Create system state backups
    Configurazione del server federativoFederation server configuration
  • Distribuire una nuova foresta con federazione nel cloud?Deploy a new forest with federation in the cloud?
  • Distribuire AD FS in locale ed esporre un proxy nel cloud?Deploy AD FS on-premises and expose a proxy in the cloud?
  • SicurezzaSecurity
  • ConformitàCompliance
  • CostiCost
  • Accesso alle applicazioni da parte di partner commercialiAccess to applications by business partners
  • Configurazione di servizi cloudCloud services configuration Un servizio cloud viene distribuito in modo implicito la prima volta che si crea una macchina virtuale.A cloud service is implicitly deployed the first time you create a virtual machine. È necessario distribuire servizi cloud aggiuntivi?Do you need to deploy additional cloud services?
  • Una o più VM richiedono l'esposizione diretta a Internet?Does a VM or VMs require direct exposure to the Internet?
  • Il servizio richiede il bilanciamento del carico?Does the service require load-balancing?
  • Requisiti del server federativo per l'indirizzamento IP pubblico e privato (confronto tra indirizzo IP dinamico e indirizzo IP virtuale)Federation server requirements for public and private IP addressing (dynamic IP vs. virtual IP)
  • L'istanza di AD FS di Windows Server deve essere raggiunta direttamente da Internet?Does the Windows Server AD FS instance need to be reached directly from the Internet?
  • L'applicazione distribuita nel cloud richiede una porta e un indirizzo IP con connessione Internet specifici?Does the application being deployed in the cloud require its own Internet-facing IP address and port?
  • Creare un servizio cloud per ogni indirizzo IP virtuale necessario per la distribuzioneCreate one cloud-service for each virtual IP address that is required by your deployment
    Configurazione con disponibilità elevata di AD FS di Windows ServerWindows Server AD FS high availability configuration
  • Quanti nodi sono necessari nella server farm AD FS di Windows Server?How many nodes in my Windows Server AD FS server farm?
  • Quanti nodi occorre distribuire nella farm del proxy AD FS di Windows Server?How many nodes to deploy in my Windows Server AD FS proxy farm?
  • Resilienza e tolleranza di erroreResiliency and fault tolerance

    Topologia di reteNetwork topology

    Per soddisfare i requisiti di DNS e di coerenza degli indirizzi IP di Servizi di dominio Active Directory di Windows Server, è necessario creare prima di tutto la rete virtuale di Azure a cui connettere le macchine virtuali.In order to meet the IP address consistency and DNS requirements of Windows Server AD DS, it is necessary to first create an Azure virtual network and attach your virtual machines to it. Durante la creazione è necessario stabilire se estendere facoltativamente la connettività alla rete aziendale locale, che connette in modo trasparente le macchine virtuali di Azure ai computer locali. A questo scopo si usano le tecnologie VPN tradizionali ed è richiesta l'esposizione di un endpoint VPN sul perimetro della rete aziendale.During its creation, you must decide whether to optionally extend connectivity to your on-premises corporate network, which transparently connects Azure virtual machines to on-premises machines — this is achieved using traditional VPN technologies and requires that a VPN endpoint be exposed on the edge of the corporate network. In altre parole, la rete VPN viene avviata da Azure alla rete aziendale, non viceversa.That is, the VPN is initiated from Azure to the corporate network, not vice-versa.

    Si noti che, oltre agli addebiti standard per ogni VM, vengono applicate spese aggiuntive quando si estende una rete virtuale alla rete locale.Note that additional charges apply when extending a virtual network to your on-premises network beyond the standard charges that apply to each VM. In particolare, vengono addebitati per il tempo di CPU del gateway di rete virtuale di Azure e il traffico in uscita generato dalle comunicazioni di ogni VM con i computer locali nella VPN.Specifically, there are charges for CPU time of the Azure Virtual Network gateway and for the egress traffic generated by each VM that communicates with on-premises machines across the VPN. Per altre informazioni sugli addebiti per il traffico di rete, vedere Prezzi di Azure.For more information about network traffic charges, see Azure pricing at-a-glance.

    Configurazione della distribuzione di un controller di dominioDC deployment configuration

    La modalità di configurazione del controller di dominio dipende dai requisiti per il servizio che si vuole eseguire in Azure.The way you configure the DC depends on the requirements for the service you want to run on Azure. Ad esempio, è possibile distribuire una nuova foresta, isolata dalla propria foresta aziendale, per testare un modello di verifica, una nuova applicazione o altri progetti a breve termine che richiedono servizi directory, ma non l'accesso specifico a risorse aziendali interne.For example, you might deploy a new forest, isolated from your own corporate forest, for testing a proof-of-concept, a new application, or some other short term project that requires directory services but not specific access to internal corporate resources.

    Il vantaggio che deriva dalla mancata replica di un controller di dominio di una foresta isolata con i controller di dominio locali consente di ridurre il traffico di rete in uscita generato dal sistema stesso e di conseguenza i costi.As a benefit, an isolated forest DC does not replicate with on-premises DCs, resulting in less outbound network traffic generated by the system itself, directly reducing costs. Per altre informazioni sugli addebiti per il traffico di rete, vedere Prezzi di Azure.For more information about network traffic charges, see Azure pricing at-a-glance.

    Sempre a titolo di esempio, si supponga di avere requisiti di privacy per un servizio, ma che quest'ultimo dipenda dall'accesso ad Active Directory di Windows Server interno.As another example, suppose you have privacy requirements for a service, but the service depends on access to your internal Windows Server Active Directory. Se è consentito l'hosting dei dati per il servizio nel cloud, è possibile distribuire un nuovo dominio figlio per la foresta in Azure interna.If you are allowed to host data for the service in the cloud, you might deploy a new child domain for your internal forest on Azure. In questo caso, è possibile distribuire un controller di dominio per il nuovo dominio figlio, senza il catalogo globale per risolvere problemi relativi alla privacy.In this case, you can deploy a DC for the new child domain (without the global catalog in order to help address privacy concerns). Questo scenario richiede una rete virtuale per la connettività ai controller di dominio locali, insieme alla distribuzione di un controller di dominio di replica.This scenario, along with a replica DC deployment, requires a virtual network for connectivity with your on-premises DCs.

    Se si crea una nuova foresta, scegliere se usare trust di Active Directory o trust federativi.If you create a new forest, choose whether to use Active Directory trusts or Federation trusts. Bilanciare i requisiti determinati da compatibilità, sicurezza, conformità, costo e resilienza.Balance the requirements dictated by compatibility, security, compliance, cost, and resiliency. Ad esempio, per ottimizzare l' autenticazione selettiva , è possibile scegliere di distribuire una nuova foresta in Azure e creare trust di Active Directory di Windows Server tra la foresta locale e quella cloud.For example, to take advantage of selective authentication you might choose to deploy a new forest on Azure and create a Windows Server Active Directory trust between the on-premises forest and the cloud forest. Se l'applicazione è in grado di riconoscere attestazioni, è tuttavia possibile distribuire trust federativi invece di trust tra foreste Active Directory.If the application is claims-aware, however, you might deploy federation trusts instead of Active Directory forest trusts. Un altro fattore da considerare sarà il costo per replicare più dati estendendo Active Directory di Windows Server locale nel cloud o per generare più traffico in uscita come risultato dell'autenticazione e del carico delle query.Another factor will be the cost to either replicate more data by extending your on-premises Windows Server Active Directory to the cloud or generate more outbound traffic as a result of authentication and query load.

    Anche i requisiti di disponibilità e tolleranza di errore influiscono sulla scelta,Requirements for availability and fault tolerance also affect your choice. Ad esempio, se il collegamento viene interrotto, è possibile che lo siano anche le applicazioni che usano un trust Kerberos o un trust federativo, a meno che non sia stata distribuita un'infrastruttura sufficiente in Azure.For example, if the link is interrupted, applications leveraging either a Kerberos trust or a federation trust are all likely entirely broken unless you have deployed sufficient infrastructure on Azure. Le configurazioni di distribuzione alternative come i controller di dominio di replica (controller di dominio di sola lettura o scrivibili) aumentano la probabilità di tolleranza delle interruzioni del collegamento.Alternative deployment configurations such as replica DCs (writeable or RODCs) increase the likelihood of being able to tolerate link outages.

    Topologia del sito Active Directory di Windows ServerWindows Server Active Directory site topology

    È necessario definire correttamente i siti e i collegamenti di sito per ottimizzare il traffico e ridurre i costi.You need to correctly define sites and site links in order to optimize traffic and minimize cost. Siti, collegamenti di sito e subnet influiscono sulla topologia di replica tra i controller di dominio e il flusso del traffico di autenticazione.Sites, site-links, and subnets affect the replication topology between DCs and the flow of authentication traffic. Considerare gli addebiti per il traffico seguenti e quindi distribuire e configurare i controller di dominio in base ai requisiti del proprio scenario di distribuzione:Consider the following traffic charges and then deploy and configure DCs according to the requirements of your deployment scenario:

    • Esiste una tariffa nominale oraria per il gateway stesso:There is a nominal fee per hour for the gateway itself:

      • Può essere avviato e arrestato nel modo desideratoIt can be started and stopped as you see fit
      • Se arrestato, le VM di Azure vengono isolate dalla rete aziendaleIf stopped, Azure VMs are isolated from the corporate network
    • Il traffico in ingresso è gratuitoInbound traffic is free
    • Il traffico in uscita viene addebitato in base ai prezzi di Azure.Outbound traffic is charged, according to Azure pricing at-a-glance. È possibile ottimizzare le proprietà dei collegamenti di sito tra i siti locali e i siti cloud come indicato di seguito:You can optimize site link properties between on-premises sites and the cloud sites as follows:

      • Se si usano più reti virtuali, configurare i collegamenti di sito e i relativi costi in modo appropriato, per impedire che Servizi di dominio Active Directory di Windows Server assegni la priorità al sito di Azure rispetto a un sito in grado di fornire gli stessi livelli di servizio gratuitamente.If you are using multiple virtual networks, configure the site-links and their costs appropriately to prevent Windows Server AD DS from prioritizing the Azure site over one that can provide the same levels of service at no charge. È anche possibile prendere in considerazione la disabilitazione dell'opzione relativa al bridge dei collegamenti di sito, abilitata per impostazione predefinita.You might also consider disabling the Bridge all site link (BASL) option (which is enabled by default). Ciò garantisce che la replica venga eseguita solo tra i siti connessi direttamente.This ensures that only directly-connected sites replicate with one another. Nei controller di dominio di siti connessi in modo transitivo la replica non può più essere eseguita in reciprocamente e direttamente, bensì tramite uno o più siti comuni.DCs in transitively connected sites are no longer able to replicate directly with each other, but must replicate through a common site or sites. Se per qualche motivo i siti intermedi non sono disponibili, la replica tra controller di dominio nei siti connessi in modo transitivo non verrà eseguita, anche se la connettività tra i siti è presente.If the intermediary sites become unavailable for some reason, replication between DCs in transitively connected sites will not occur even if connectivity between the sites is available. Infine, dove sezioni di comportamento di replica transitiva possono essere utili, creare bridge di collegamenti di sito che contengono siti e collegamenti di sito appropriati, ad esempio siti di rete aziendale in locale.Finally, where sections of transitive replication behavior remain desirable, create site link bridges that contain the appropriate site-links and sites, such as on-premises, corporate network sites.
      • Configurare il costo del collegamento di sito in modo appropriato per evitare traffico imprevisto.Configure site link costs appropriately to avoid unintended traffic. Ad esempio, se è abilitata l'opzione Prova sito più vicino successivo , assicurarsi che i siti della rete virtuale non siano tra quelli più vicini successivi aumentando il costo associato dell'oggetto collegamento di sito che riconnette il sito di Azure alla rete aziendale.For example, if Try Next Closest Site setting is enabled, make sure the virtual network sites are not the next closest by increasing the cost associated of the site-link object that connects the Azure site back to the corporate network.
      • Configurare gli intervalli e le pianificazioni del collegamento di sito in base ai requisiti di coerenza e alla frequenza delle modifiche dell'oggetto.Configure site link intervals and schedules according to consistency requirements and rate of object changes. Allineare la pianificazione di replica alla tolleranza della latenza.Align replication schedule with latency tolerance. I controller di dominio replicano solo l'ultimo stato di un valore, quindi la riduzione dell'intervallo di replica può consentire una diminuzione dei costi se la frequenza delle modifiche dell'oggetto è sufficiente.DCs replicate only the last state of a value, so decreasing the replication interval can save costs if there is a sufficient object change rate.
    • Se la riduzione dei costi è una priorità, assicurarsi che la replica venga pianificata e che la notifica delle modifiche non sia abilitata.If minimizing costs is a priority, ensure replication is scheduled and change notification is not enabled. Questa è la configurazione predefinita per la replica tra siti.This is the default configuration when replicating between sites. Ciò non è importante se si distribuisce un controller di dominio di sola lettura in una rete virtuale, perché questo tipo di controller non replica le modifiche in uscita.This is not important if you are deploying an RODC on a virtual network because the RODC will not replicate any changes outbound. Se però si distribuisce un controller di dominio scrivibile, assicurarsi che il collegamento di sito non sia configurato per la replica degli aggiornamenti con una frequenza non necessaria.But if you deploy a writable DC, you should make sure the site link is not configured to replicate updates with unnecessary frequency. Se si distribuisce un server di catalogo globale, verificare che tutti gli altri siti che contengono un catalogo globale replichino le partizioni di dominio da un controller di dominio di origine in un sito connesso con collegamenti di sito che hanno un costo inferiore rispetto al catalogo globale nel sito di Azure.If you deploy a global catalog server (GC), make sure that every other site that contains a GC replicates domain partitions from a source DC in a site that is connected with a site-link or site-links that have a lower cost than the GC in the Azure site.
    • È possibile ridurre ancora di più il traffico di rete generato dalla replica tra siti modificando l'algoritmo di compressione della replica.It is possible to further still reduce network traffic generated by replication between sites by changing the replication compression algorithm. L'algoritmo di compressione è controllato dalla voce del Registro di sistema REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Replicator compression algorithm.The compression algorithm is controlled by the REG_DWORD registry entry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Replicator compression algorithm. Il valore predefinito è 3, che è correlato all'algoritmo di compressione Xpress.The default value is 3, which correlates to the Xpress Compress algorithm. È possibile impostare il valore su 2, che modifica l'algoritmo in MSZip.You can change the value to 2, which changes the algorithm to MSZip. Nella maggior parte dei casi ciò comporta un aumento della compressione, che però incide sull'utilizzo della CPU.In most cases, this will increase the compression, but it does so at the expense of CPU utilization. Per altre informazioni, vedere l'articolo relativo al funzionamento della topologia di replica di Active Directory.For more information, see How Active Directory replication topology works.

    Indirizzamento IP e DNSIP addressing and DNS

    Alle macchine virtuali di Azure vengono allocati "indirizzi con lease DHCP" per impostazione predefinita.Azure virtual machines are allocated “DHCP-leased addresses” by default. Poiché gli indirizzi dinamici della rete virtuale di Azure sono persistenti in una macchina virtuale per la durata della macchina virtuale stessa, i requisiti di Servizi di dominio Active Directory di Windows Server vengono soddisfatti.Because Azure virtual network dynamic addresses persist with a virtual machine for the lifetime of the virtual machine, the requirements of Windows Server AD DS are met.

    Di conseguenza, quando si usa un indirizzo dinamico in Azure, si usa in effetti un indirizzo IP statico, perché è instradabile per il periodo del lease, che a sua volta equivale alla durata del servizio cloud.As a result, when you use a dynamic address on Azure, you are in effect using a static IP address because it is routable for the period of the lease, and the period of the lease is equal to the lifetime of the cloud service.

    Se tuttavia la macchina virtuale viene arrestata, il relativo indirizzo IP dinamico viene deallocato.However, the dynamic address is deallocated if the VM is shutdown. Per evitare che l'indirizzo IP venga deallocato, è possibile usare Set-AzureStaticVNetIP per assegnare un indirizzo IP statico.To prevent the IP address from being deallocated, you can use Set-AzureStaticVNetIP to assign a static IP address.

    Per la risoluzione dei nomi, distribuire l'infrastruttura del server DNS o usare quella esistente. Il DNS fornito da Azure non soddisfa i requisiti avanzati di risoluzione dei nomi di Servizi di dominio Active Directory di Windows Server.For name resolution, deploy your own (or leverage your existing) DNS server infrastructure; Azure-provided DNS does not meet the advanced name resolution needs of Windows Server AD DS. Ad esempio, non supporta i record SRV dinamici e così via.For example, it does not support dynamic SRV records, and so on. La risoluzione dei nomi è un elemento di configurazione critico per i controller di domino e i client aggiunti a un dominio.Name resolution is a critical configuration item for DCs and domain-joined clients. I controller di dominio devono essere in grado di registrare i record di risorse e di risolvere altri record di risorse del controller di dominio.DCs must be capable of registering resource records and resolving other DC’s resource records. Per motivi di prestazioni e tolleranza di errore, la soluzione ottimale consiste nell'installare il servizio DNS di Windows Server nei controller di dominio eseguiti in Azure.For fault tolerance and performance reasons, it is optimal to install the Windows Server DNS service on the DCs running on Azure. Configurare quindi le proprietà della rete virtuale con il nome e l'indirizzo IP del server DNS.Then configure the Azure virtual network properties with the name and IP address of the DNS server. All'avvio di altre macchine virtuali nella rete virtuale, vengono configurate le relative impostazioni del resolver del client DNS con il server DNS come parte dell'allocazione dinamica di indirizzi IP dinamici.When other VMs on the virtual network start, their DNS client resolver settings will be configured with DNS server as part of the dynamic IP address allocation.

    Nota

    Non è possibile aggiungere i computer locali a un dominio Active Directory di Servizi di dominio Active Directory di Windows Server ospitato in Azure direttamente su Internet.You cannot join on-premises computers to a Windows Server AD DS Active Directory domain that is hosted on Azure directly over the Internet. I requisiti della porta per Active Directory e l'operazione di aggiunta al dominio non consentono di esporre direttamente a Internet le porte necessarie e, in effetti, un controller di dominio intero.The port requirements for Active Directory and the domain-join operation render it impractical to directly expose the necessary ports and in effect, an entire DC to the Internet.

    Le VM registrano il relativo nome DNS automaticamente all'avvio o in caso di modifica di un nome.VMs register their DNS name automatically on startup or when there is a name change.

    Per altre informazioni su questo esempio e su un altro che illustra il provisioning della prima VM e l'installazione in quest'ultima di Servizi di dominio Active Directory, vedere Installare una nuova foresta Active Directory in una rete virtuale di Azure.For more information about this example and another example that shows how to provision the first VM and install AD DS on it, see Install a new Active Directory forest on Microsoft Azure. Per altre informazioni sull'uso di Windows PowerShell, vedere Come installare e configurare Azure PowerShell e Cmdlet di gestione di Azure.For more information about using Windows PowerShell, see Install Azure PowerShell and Azure Management Cmdlets.

    Controller di dominio con distribuzione geograficaGeo-distributed DCs

    Azure offre vantaggi quando si ospitano più controller di dominio in reti virtuali diverse:Azure offers advantages when hosting multiple DCs on different virtual networks:

    • Tolleranza di errore multisitoMulti-site fault-tolerance
    • Prossimità fisica alle succursali (latenza più bassa)Physical proximity to branch offices (lower latency)

    Per informazioni sulla configurazione della comunicazione diretta tra reti virtuali, vedere Configurare una connessione da rete virtuale a rete virtuale.For information about configuring direct communication between virtual networks, see Configure virtual network to virtual network connectivity.

    Controller di dominio di sola letturaRead-only DCs

    È necessario scegliere se distribuire controller di dominio scrivibili o di sola lettura.You need to choose whether to deploy read-only or writeable DCs. Si potrebbe pensare di distribuire controller di dominio di sola lettura perché non si avrà un controllo fisico su di essi, ma questi controller sono progettati per essere distribuiti nelle sedi in cui la sicurezza fisica è a rischio, ad esempio le succursali.You might be inclined to deploy RODCs because you will not have physical control over them, but RODCs are designed to be deployed in locations where their physical security is at risk, such as branch offices.

    Azure non presenta rischi di sicurezza fisica di una succursale, ma i controller di dominio di sola lettura potrebbero comunque risultare più economici perché le funzionalità che forniscono sono adatte a questi ambienti, anche se per motivi molto diversi.Azure does not present the physical security risk of a branch office, but RODCs might still prove to be more cost effective because the features they provide are well-suited to these environments albeit for very different reasons. Ad esempio, i controller di dominio di sola lettura non hanno repliche in uscita e consentono di popolare selettivamente i segreti (password).For example, RODCs have no outbound replication and are able to selectively populate secrets (passwords). D'altra parte, la mancanza di questi segreti potrebbe richiedere traffico in uscita su richiesta per la relativa convalida al momento dell'autenticazione di un utente o un computer.On the downside, the lack of these secrets might require on-demand outbound traffic to validate them as a user or computer authenticates. I segreti possono però essere prepopolati e memorizzati nella cache in modo selettivo.But secrets can be selectively prepopulated and cached.

    I controller di dominio di sola lettura forniscono un vantaggio aggiuntivo per quanto riguarda i problemi relativi a informazioni personali e dati ad alto impatto aziendale, perché è possibile aggiungere attributi che contengono dati sensibili al set di attributi con filtro per controller di dominio di sola lettura.RODCs provide an additional advantage in and around HBI and PII concerns because you can add attributes that contain sensitive data to the RODC filtered attribute set (FAS). Il set di attributi con filtro è un set personalizzabile di attributi che non vengono replicati nei controller di dominio di sola lettura.The FAS is a customizable set of attributes that are not replicated to RODCs. È possibile usare il set di attributi con filtro come strumento di sicurezza qualora non sia possibile o non si vogliano archiviare informazioni personali e dati ad alto impatto aziendale in Azure.You can use the FAS as a safeguard in case you are not permitted or do not want to store PII or HBI on Azure. Per altre informazioni, vedere [set di attributi con filtro per controller di dominio di sola lettura[(https://technet.microsoft.com/library/cc753459)].For more information, see [RODC filtered attribute set[(https://technet.microsoft.com/library/cc753459)].

    Verificare che le applicazioni siano compatibili con i controller di dominio di sola lettura che si prevede di usare.Make sure that applications will be compatible with RODCs you plan to use. Molte applicazioni abilitate per Active Directory di Windows Server funzionano bene con i controller di dominio di sola lettura, ma l'esecuzione di alcune di queste può risultare inefficiente o non riuscire se non hanno accesso a un controller di dominio scrivibile.Many Windows Server Active Directory-enabled applications work well with RODCs, but some applications can perform inefficiently or fail if they do not have access to a writable DC. Per altre informazioni, vedere la Guida alla Compatibilità delle applicazioni con i controller di dominio di sola lettura.For more information, see Read-Only DCs application compatibility guide.

    Catalogo globaleGlobal catalog

    È necessario scegliere se installare un catalogo globale.You need to choose whether to install a global catalog (GC). In una foresta a dominio singolo è necessario configurare tutti i controller di dominio come server di catalogo globale.In a single domain forest, you should configure all DCs as global catalog servers. I costi non aumenteranno perché non vi sarà alcun traffico di replica aggiuntivo.It will not increase costs because there will be no additional replication traffic.

    In una foresta con più domini i cataloghi globali sono necessari per espandere le appartenenze a gruppi universali durante il processo di autenticazione.In a multidomain forest, GCs are necessary to expand Universal Group memberships during the authentication process. Se non si distribuisce un catalogo globale, i carichi di lavoro nella rete virtuale che eseguono l'autenticazione in un controller di dominio in Azure genereranno indirettamente traffico di autenticazione in uscita per l'esecuzione di query sui cataloghi globali locali durante ogni tentativo di autenticazione.If you do not deploy a GC, workloads on the virtual network that authenticate against a DC on Azure will indirectly generate outbound authentication traffic to query GCs on-premises during each authentication attempt.

    I costi associati ai cataloghi globali sono meno prevedibili perché ospitano ogni dominio (in parte).The costs associated with GCs are less-predictable because they host every domain (in-part). Se il carico di lavoro ospita un servizio con connessione Internet e autentica gli utenti in Servizi di dominio Active Directory di Windows Server, potrebbe essere difficile prevedere i costi.If the workload hosts an Internet-facing service and authenticates users against Windows Server AD DS, the costs could be completely unpredictable. Per ridurre le query dei cataloghi globali al di fuori del sito cloud durante l'autenticazione, è possibile abilitare la memorizzazione nella cache dell'appartenenza al gruppo universale.To help reduce GC queries outside of the cloud site during authentication, you can enable Universal Group Membership Caching.

    Metodo di installazioneInstallation method

    È necessario scegliere come installare i controller di dominio nella rete virtuale:You need to choose how to install the DCs on the virtual network:

    Usare solo macchine virtuali per i controller di dominio, invece di macchine virtuali del ruolo "Web" o "di lavoro" di Azure.Use only Azure virtual machines for DCs (as opposed to Azure “web” or “worker” role VMs). Sono durevoli e la durabilità di stato per un controller di dominio è essenziale.They are durable and durability of state for a DC is required. Le macchine virtuali di Azure sono progettate per i carichi di lavoro, ad esempio i controller di dominio.Azure virtual machines are designed for workloads such as DCs.

    Non usare SYSPREP per distribuire o clonare i controller di dominio.Do not use SYSPREP to deploy or clone DCs. La possibilità di clonare i controller di dominio è disponibile solo a partire da Windows Server 2012.The ability to clone DCs is only available beginning in Windows Server 2012. La funzionalità di clonazione richiede il supporto per VMGenerationID nell'hypervisor sottostante.The cloning feature requires support for VMGenerationID in the underlying hypervisor. Hyper-V in Windows Server 2012 e le reti virtuali di Azure supportano entrambi VMGenerationID, come fanno i fornitori di software di virtualizzazione di terze parti.Hyper-V in Windows Server 2012 and Azure virtual networks both support VMGenerationID, as do third-party virtualization software vendors.

    Posizione del database di Servizi di dominio Active Directory di Windows Server e di SYSVOLPlacement of the Windows Server AD DS database and SYSVOL

    Selezionare la posizione per il database di Servizi di dominio Active Directory di Windows Server, i log e SYSVOL.Select where to locate the Windows Server AD DS database, logs, and SYSVOL. Devono essere distribuiti nei dischi dati di Azure.They must be deployed on Azure Data disks.

    Nota

    Le dimensioni dei dischi dati di Azure sono vincolate a 1 TB.Azure Data disks are constrained to 1 TB.

    Per impostazione predefinita, le unità disco dati non memorizzano le scritture nella cache.Data disk drives do not cache writes by default. Le unità disco dati collegate a una macchina virtuale usano la funzionalità cache write-through.Data disk drives that are attached to a VM use write-through caching. La funzionalità cache write-through assicura il commit della scrittura nell'archiviazione di Azure durevole prima del completamento della transazione dal punto di vista del sistema operativo della VM.Write-through caching makes sure the write is committed to durable Azure storage before the transaction is complete from the perspective of the VM’s operating system. Garantisce durabilità, ma le scritture sono leggermente più lente.It provides durability, at the expense of slightly slower writes.

    Questo aspetto è importante per Servizi di dominio Active Directory di Windows Server perché la funzionalità cache write-behind su disco invalida i presupposti del controller di dominio.This is important for Windows Server AD DS because write-behind disk-caching invalidates assumptions made by the DC. Servizi di dominio Active Directory di Windows Server prova a disabilitare la cache in scrittura, ma spetta al sistema di I/O su disco riconoscere l'impostazione.Windows Server AD DS attempts to disable write caching but it is up to the disk IO system to honor it. In determinate circostanze, la mancata disabilitazione della cache in scrittura può introdurre il rollback degli USN, causando oggetti residui e altri problemi.Failure to disable write caching may, under certain circumstances, introduce USN rollback resulting in lingering objects and other problems.

    La procedura consigliata per i controller di dominio virtuali prevede quanto segue:As a best practice for virtual DCs, do the following:

    • Impostare Preferenze cache dell'host del disco dati di Azure su NESSUNA.Set the Host Cache Preference setting on the Azure data disk for NONE. In questo modo si evitano problemi di memorizzazione nella cache in scrittura per le operazioni di Servizi di dominio Active Directory.This prevents issues with write caching for AD DS operations.
    • Archiviare il database, i log e SYSVOL nello stesso disco dati o in dischi dati separati.Store the database, logs, and SYSVOL on the either same data disk or separate data disks. In genere, si tratta di un disco separato da quello usato per il sistema operativo stesso.Typically, this is a separate disk from the disk used for the operating system itself. L'aspetto più importante è che il database di Servizi di dominio Active Directory di Windows Server e SYSVOL non devono essere archiviati in un tipo di disco del sistema operativo Azure.The key takeaway is that the Windows Server AD DS database and SYSVOL must not be stored on an Azure Operating System disk type. Per impostazione predefinita, il processo di installazione di Servizi di dominio Active Directory di Windows Server installa i componenti nella cartella %systemroot%, ma questa NON è una soluzione consigliata per Azure.By default, the AD DS installation process installs these components in %systemroot% folder, which is NOT recommended for Azure.

    Backup e ripristinoBackup and restore

    Tenere presente quali elementi sono o meno supportati per il backup e ripristino di un controller di dominio in generale e, più in particolare, quelli in esecuzione in una VM.Be aware of what is and is not supported for backup and restore of a DC in general, and more specifically, those running in a VM. Vedere Considerazioni sul backup e il ripristino dei controller di dominio virtualizzati.See Backup and Restore Considerations for Virtualized DCs.

    Creare backup dello stato del sistema usando solo software per backup che riconosca specificatamente i requisiti di backup per Servizi di dominio Active Directory di Windows Server, ad esempio Windows Server Backup.Create system state backups by using only backup software that is specifically aware of backup requirements for Windows Server AD DS, such as Windows Server Backup.

    Non copiare o clonare file VHD di controller di dominio invece di eseguire backup regolari.Do not copy or clone VHD files of DCs instead of performing regular backups. Se è necessario un ripristino e l'operazione viene eseguita usando VHD clonati o copiati senza Windows Server 2012 e un hypervisor supportato, verranno introdotti gap USN.Should a restore ever be required, doing so using cloned or copied VHDs without Windows Server 2012 and a supported hypervisor will introduce USN bubbles.

    Configurazione del server federativoFederation server configuration

    La configurazione di server federativi AD FS di Windows Server (servizi token di sicurezza) dipende in parte dal fatto che le applicazioni da distribuire in Azure richiedano o meno l'accesso alle risorse nella rete locale.The configuration of Windows Server AD FS federation servers (STSs) depends in part on whether the applications that you want to deploy on Azure need to access resources on your on-premises network.

    Se le applicazioni soddisfano i criteri seguenti, possono essere distribuite isolate dalla rete locale.If the applications meet the following criteria, you could deploy the applications in isolation from your on-premises network.

    • Accettano token di sicurezza SAMLThey accept SAML security tokens
    • Possono essere esposte a InternetThey are exposable to the Internet
    • Non accedono alle risorse localiThey do not access on-premises resources

    In questo caso, configurare i servizi token di sicurezza di AD FS di Windows Server come segue:In this case, configure Windows Server AD FS STSs as follows:

    1. Configurare una foresta a dominio singolo isolata in Azure.Configure an isolated single-domain forest on Azure.
    2. Fornire l'accesso federato alla foresta configurando una server farm federativa AD FS di Windows Server.Provide federated access to the forest by configuring a Windows Server AD FS federation server farm.
    3. Configurare AD FS di Windows Server, server farm federativa e farm proxy server federativo, nella foresta locale.Configure Windows Server AD FS (federation server farm and federation server proxy farm) in the on-premises forest.
    4. Stabilire una relazione di trust federativa tra le istanze di Azure e locali di AD FS di Windows Server.Establish a federation trust relationship between the on-premises and Azure instances of Windows Server AD FS.

    D'altra parte, se le applicazioni richiedono l'accesso alle risorse locali, è possibile configurare AD FS di Windows Server con l'applicazione in Azure come indicato di seguito:On the other hand, if the applications require access to on-premises resources, you could configure Windows Server AD FS with the application on Azure as follows:

    1. Configurare la connettività tra le reti locali e Azure.Configure connectivity between on-premises networks and Azure.
    2. Configurare una server farm federativa AD FS di Windows Server nella foresta locale.Configure a Windows Server AD FS federation server farm in the on-premises forest.
    3. Configurare una farm proxy server federativo AD FS di Windows Server in Azure.Configure a Windows Server AD FS federation server proxy farm on Azure.

    Questa configurazione offre il vantaggio di ridurre l'esposizione delle risorse locali, analogamente alla configurazione di AD FS di Windows Server con applicazioni in una rete perimetrale.This configuration has the advantage of reducing the exposure of on-premises resources, similar to configuring Windows Server AD FS with applications in a perimeter network.

    Si noti che in entrambi gli scenari è possibile stabilire relazioni di trust con più provider di identità, se è necessaria la collaborazione business-to-business.Note that in either scenario, you can establish trusts relationships with more identity providers, if business-to-business collaboration is needed.

    Configurazione di servizi cloudCloud services configuration

    I servizi cloud sono necessari se si vuole esporre una VM direttamente a Internet o esporre un'applicazione con bilanciamento del carico con connessione Internet.Cloud services are necessary if you want to expose a VM directly to the Internet or to expose an Internet-facing load-balanced application. Ciò è possibile perché ogni servizio cloud offre un singolo indirizzo IP virtuale configurabile.This is possible because each cloud service offers a single configurable virtual IP address.

    Requisiti del server federativo per l'indirizzamento IP pubblico e privato (confronto tra indirizzo IP dinamico e indirizzo IP virtuale)Federation server requirements for public and private IP addressing (dynamic IP vs. virtual IP)

    Ogni macchina virtuale di Azure riceve un indirizzo IP dinamico.Each Azure virtual machine receives a dynamic IP address. Un indirizzo IP dinamico è un indirizzo privato accessibile solo all'interno di Azure.A dynamic IP address is a private address accessible only within Azure. Nella maggior parte dei casi sarà tuttavia necessario configurare un indirizzo IP virtuale per le distribuzioni di AD FS di Windows Server.In most cases, however, it will be necessary to configure a virtual IP address for your Windows Server AD FS deployments. L'indirizzo IP virtuale è necessario per esporre a Internet gli endpoint AD FS di Windows Server che saranno usati da partner e client federativi per l'autenticazione e la gestione continuativa.The virtual IP is necessary to expose Windows Server AD FS endpoints to the Internet, and will be used by federated partners and clients for authentication and ongoing management. Un indirizzo IP virtuale è una proprietà di un servizio cloud che contiene una o più macchine virtuali di Azure.A virtual IP address is a property of a cloud service which contains one or more Azure virtual machines. Se le sessioni dell'applicazione in grado di riconoscere attestazioni distribuita in Azure e AD FS di Windows Server sono entrambi con connessione Internet e condividono porte comuni, per ognuna sarà necessario un indirizzo IP virtuale specifico e sarà quindi necessario creare un servizio cloud per l'applicazione e un altro per AD FS di Windows Serve.If the claims-aware application deployed on Azure and Windows Server AD FS are both Internet-facing and share common ports, each will require a virtual IP address of its own and it will therefore be necessary to create one cloud service for the application and a second for Windows Server AD FS.

    Per le definizioni dei termini "indirizzo IP virtuale", "condizioni" e "indirizzo IP dinamico", vedere Termini e definizioni.For definitions of the terms virtual IP address and dynamic IP address, see Terms and definitions.

    Configurazione con disponibilità elevata di AD FS di Windows ServerWindows Server AD FS high availability configuration

    Anche se è possibile distribuire servizi federativi AD FS di Windows Server autonomi, è consigliabile distribuire una farm con almeno due nodi sia per il servizio token di sicurezza di AD FS che per i proxy per gli ambienti di produzione.While it is possible to deploy standalone Windows Server AD FS federation services, it is recommended to deploy a farm with at least two nodes for both AD FS STS and proxies for production environments.

    Per stabilire le opzioni di configurazione della distribuzione che meglio soddisfano esigenze particolari, vedere Considerazioni sulla topologia di distribuzione di AD FS 2.0 nella Guida alla progettazione di AD FS 2.0.See AD FS 2.0 deployment topology considerations in the AD FS 2.0 Design Guide to decide which deployment configuration options best suit your particular needs.

    Nota

    Per ottenere il bilanciamento del carico per gli endpoint AD FS di Windows Server in Azure, configurare tutti i membri della farm AD FS di Windows Server nello stesso servizio cloud e usare la funzionalità di bilanciamento del carico di Azure per le porte HTTP (80 predefinita) e HTTPS (443 predefinita).In order to get load balancing for Windows Server AD FS endpoints on Azure, configure all members of the Windows Server AD FS farm in the same cloud service, and use the load balancing capability of Azure for HTTP (default 80) and HTTPS ports (default 443). Per altre informazioni, vedere l'articolo relativo al probe di bilanciamento del carico di Azure.For more information, see Azure load-balancer probe. Il bilanciamento del carico di rete di Windows Server non è supportato in Azure.Windows Server Network Load Balancing (NLB) is not supported on Azure.