AD DS implementeren in een virtueel Azure-netwerk

Azure
Virtual Network

Deze architectuur laat zien hoe u een on-premises Active Directory domein uitbreidt naar Azure om gedistribueerde verificatie services te bieden.This architecture shows how to extend an on-premises Active Directory domain to Azure to provide distributed authentication services. Deze oplossing implementeren.Deploy this solution.

Een hybride netwerk architectuur beveiligen met Active Directory

Een Visio-bestand van deze architectuur downloaden.Download a Visio file of this architecture.

Als uw toepassing gedeeltelijk on-premises en gedeeltelijk in azure wordt gehost, is het mogelijk efficiënter om Active Directory Domain Services (AD DS) in azure te repliceren.If your application is hosted partly on-premises and partly in Azure, it may be more efficient to replicate Active Directory Domain Services (AD DS) in Azure. Dit kan de latentie verminderen die wordt veroorzaakt door het verzenden van verificatie aanvragen vanuit de Cloud terug naar AD DS die on-premises worden uitgevoerd.This can reduce the latency caused by sending authentication requests from the cloud back to AD DS running on-premises.

Deze architectuur wordt veel gebruikt wanneer het on-premises netwerk en het virtuele Azure-netwerk zijn verbonden met een VPN- of ExpressRoute-verbinding.This architecture is commonly used when the on-premises network and the Azure virtual network are connected by a VPN or ExpressRoute connection. Deze architectuur ondersteunt ook bidirectionele replicatie, wat inhoudt dat wijzigingen die on-premises of in de cloud worden doorgevoerd, in beide gegevensbronnen worden gesynchroniseerd.This architecture also supports bidirectional replication, meaning changes can be made either on-premises or in the cloud, and both sources will be kept consistent. Typische toepassingen van deze architectuur zijn hybride toepassingen waarin de functionaliteit wordt gedistribueerd tussen on-premises en Azure, en toepassingen en services die verificatie uitvoeren met behulp van Active Directory.Typical uses for this architecture include hybrid applications in which functionality is distributed between on-premises and Azure, and applications and services that perform authentication using Active Directory.

Zie Een oplossing kiezen voor het integreren van on-premises Active Directory met Azure voor aanvullende informatie.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitectuurArchitecture

Deze architectuur breidt de hybride netwerk architectuur uit die wordt weer gegeven in een on-premises netwerk verbinden met Azure met behulp van een VPN-gateway.This architecture extends the hybrid network architecture shown in Connect an on-premises network to Azure using a VPN gateway. en bestaat uit de volgende onderdelen:It has the following components.

  • On-premises netwerk.On-premises network. Het on-premises netwerk omvat lokale Active Directory-servers die verificatie en autorisatie kunnen uitvoeren voor on-premises onderdelen.The on-premises network includes local Active Directory servers that can perform authentication and authorization for components located on-premises.
  • Active Directory-servers.Active Directory servers. Dit zijn domeincontrollers die adreslijstservices (AD DS) implementeren die als virtuele machines worden uitgevoerd in de cloud.These are domain controllers implementing directory services (AD DS) running as VMs in the cloud. Deze servers kunnen verificatie bieden van onderdelen die worden uitgevoerd in uw virtuele Azure-netwerk.These servers can provide authentication of components running in your Azure virtual network.
  • Active Directory-subnet.Active Directory subnet. De AD DS-servers worden gehost in een afzonderlijk subnet.The AD DS servers are hosted in a separate subnet. Via regels voor netwerkbeveiligingsgroepen (NSG's) worden de AD DS-servers beveiligd. Deze regels vormen ook een firewall tegen verkeer van onverwachte bronnen.Network security group (NSG) rules protect the AD DS servers and provide a firewall against traffic from unexpected sources.
  • Azure-gateway en Active Directory-synchronisatie.Azure Gateway and Active Directory synchronization. De Azure-gateway biedt een verbinding tussen het on-premises netwerk en het virtuele Azure-netwerk.The Azure gateway provides a connection between the on-premises network and the Azure VNet. Dit kan een VPN-verbinding zijn of Azure ExpressRoute.This can be a VPN connection or Azure ExpressRoute. Alle synchronisatieaanvragen tussen Active Directory-servers in de cloud en on-premises lopen via de gateway.All synchronization requests between the Active Directory servers in the cloud and on-premises pass through the gateway. Door de gebruiker gedefinieerde routes (UDR's) zorgen voor de routering van on-premises verkeer dat via Azure loopt.User-defined routes (UDRs) handle routing for on-premises traffic that passes to Azure.

AanbevelingenRecommendations

De volgende aanbevelingen gelden voor de meeste scenario's.The following recommendations apply for most scenarios. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.Follow these recommendations unless you have a specific requirement that overrides them.

Aanbevelingen voor virtuele machinesVM recommendations

Bepaal de vereisten voor de VM-grootte op basis van het verwachte volume van verificatieaanvragen.Determine your VM size requirements based on the expected volume of authentication requests. Neem de specificaties van de computers die AD DS on-premises hosten als uitgangspunt, en match deze met de overeenkomende Azure VM-grootte.Use the specifications of the machines hosting AD DS on premises as a starting point, and match them with the Azure VM sizes. Als de implementatie is voltooid, controleert u het gebruik en kunt u vervolgens omhoog of omlaag schalen op basis van de daadwerkelijke belasting van de virtuele machines.Once deployed, monitor utilization and scale up or down based on the actual load on the VMs. Zie Capacity Planning for Active Directory Domain Services (Capaciteitsplanning voor Active Directory Domain Services) voor meer informatie over het bepalen van de grootte van AD DS-domeincontrollers.For more information about sizing AD DS domain controllers, see Capacity Planning for Active Directory Domain Services.

Maak een afzonderlijke virtuele gegevens schijf voor het opslaan van de data base, logboeken en SYSVOL-map voor Active Directory.Create a separate virtual data disk for storing the database, logs, and sysvol folder for Active Directory. Bewaar deze items niet op dezelfde schijf als het besturingssysteem.Do not store these items on the same disk as the operating system. Standaard gebruiken gegevens schijven die zijn gekoppeld aan een virtuele machine write-through-caching.By default, data disks that are attached to a VM use write-through caching. Deze vorm van caching kan echter conflicten veroorzaken met de vereisten van AD DS.However, this form of caching can conflict with the requirements of AD DS. Om deze reden moet u Host Cache Preference op de gegevensschijf instellen op None.For this reason, set the Host Cache Preference setting on the data disk to None.

Implementeer ten minste twee virtuele machines met AD DS als domeincontrollers en voeg deze toe aan een beschikbaarheidsset.Deploy at least two VMs running AD DS as domain controllers and add them to an availability set.

Aanbevelingen voor netwerkenNetworking recommendations

Configureer de VM-netwerkinterface (NIC) voor elke AD DS-server met een statisch privé-IP-adres voor volledige DNS-ondersteuning (Domain Name Service).Configure the VM network interface (NIC) for each AD DS server with a static private IP address for full domain name service (DNS) support. Zie Statisch privé-IP-adres instellen in Azure Portal voor meer informatie.For more information, see How to set a static private IP address in the Azure portal.

Notitie

De VM-NIC voor een AD DS moet u niet configureren met een openbaar IP-adres.Do not configure the VM NIC for any AD DS with a public IP address. Zie Beveiligingsoverwegingen voor meer informatie.See Security considerations for more details.

Het Active Directory subnet NSG vereist regels om binnenkomend verkeer van on-premises en uitgaand verkeer naar on-premises toe te staan.The Active Directory subnet NSG requires rules to permit incoming traffic from on-premises and outgoing traffic to on-premises. Zie Active Directory and Active Directory Domain Services Port Requirements (Poortvereisten voor Active Directory en Active Directory Domain Services) voor uitgebreide informatie over de poorten die worden gebruikt door AD DS.For detailed information on the ports used by AD DS, see Active Directory and Active Directory Domain Services Port Requirements.

Active Directory-siteActive Directory site

In AD DS vertegenwoordigt een site een fysieke locatie, een netwerk of een verzameling apparaten.In AD DS, a site represents a physical location, network, or collection of devices. AD DS-sites worden gebruikt voor het beheren van AD DS database replicatie door AD DS objecten te groeperen die zich dicht bij elkaar bevinden en die zijn verbonden met een netwerk met hoge snelheid.AD DS sites are used to manage AD DS database replication by grouping together AD DS objects that are located close to one another and are connected by a high-speed network. AD DS bevat logica voor het selecteren van de beste strategie voor het repliceren van de AD DS-data base tussen sites.AD DS includes logic to select the best strategy for replicating the AD DS database between sites.

Het wordt aangeraden een AD DS-site te maken met inbegrip van de subnetten die voor uw toepassing zijn gedefinieerd in Azure.We recommend that you create an AD DS site including the subnets defined for your application in Azure. Configureer vervolgens een sitekoppeling tussen uw on-premises AD DS-sites, zodat AD DS automatisch de meest efficiënte databasereplicatie kan uitvoeren.Then, configure a site link between your on-premises AD DS sites, and AD DS will automatically perform the most efficient database replication possible. Deze database replicatie vereist weinig meer dan de initiële configuratie.This database replication requires little beyond the initial configuration.

Operations-masters van Active DirectoryActive Directory operations masters

De rol van operations-master kan worden toegewezen aan AD DS-domeincontrollers om consistentiecontrole tussen exemplaren van gerepliceerde AD DS-databases mogelijk te maken.The operations masters role can be assigned to AD DS domain controllers to support consistency checking between instances of replicated AD DS databases. Er zijn vijf operations-masterrollen: schemamaster, master voor domeinnaamgeving, RID-master, PDC-emulator en infrastructuurmaster.There are five operations master roles: schema master, domain naming master, relative identifier master, primary domain controller master emulator, and infrastructure master. Zie What are Operations Masters? (Wat zijn operations-masters?) voor meer informatie over deze rollen.For more information about these roles, see What are Operations Masters?.

Het wordt afgeraden om operations-masterrollen toe te wijzen aan de domeincontrollers die zijn geïmplementeerd in Azure.We recommend you do not assign operations masters roles to the domain controllers deployed in Azure.

BewakingMonitoring

Controleer de resources van de virtuele machines met de rol van domeincontroller, evenals de AD DS-services en stel een plan op voor het snel oplossen van eventuele problemen.Monitor the resources of the domain controller VMs as well as the AD DS Services and create a plan to quickly correct any problems. Zie Monitoring Active Directory (Active Directory controleren) voor meer informatie.For more information, see Monitoring Active Directory. U kunt ook op de controleserver (zie het architectuurschema) hulpprogramma's zoals Microsoft Systems Center installeren om deze taken uit te voeren.You can also install tools such as Microsoft Systems Center on the monitoring server (see the architecture diagram) to help perform these tasks.

SchaalbaarheidsoverwegingenScalability considerations

AD DS is ontworpen voor schaalbaarheid.AD DS is designed for scalability. U hoeft geen load balancer of verkeerscontroller te configureren om aanvragen om te leiden naar AD DS-domeincontrollers.You don't need to configure a load balancer or traffic controller to direct requests to AD DS domain controllers. De enige overweging voor schaalbaarheid is het kiezen van de juiste grootte voor de virtuele machines met AD DS, zodat deze de netwerkbelasting kunnen afhandelen. Daarna kunt u de belasting van de virtuele machines controleren en zo nodig omhoog of omlaag schalen.The only scalability consideration is to configure the VMs running AD DS with the correct size for your network load requirements, monitor the load on the VMs, and scale up or down as necessary.

BeschikbaarheidsoverwegingenAvailability considerations

Implementeer de virtuele machines met AD DS in een beschikbaarheidsset.Deploy the VMs running AD DS into an availability set. U kunt ook overwegen om de rol van stand-by operations-master toe te wijzen aan ten minste één server, en mogelijk meer afhankelijk van uw vereisten.Also, consider assigning the role of standby operations master to at least one server, and possibly more depending on your requirements. Een stand-by operations-master is een actieve kopie van de operations-master die tijdens de failover kan worden gebruikt in plaats van de primaire Operations masters-server.A standby operations master is an active copy of the operations master that can be used in place of the primary operations masters server during failover.

BeheerbaarheidsoverwegingenManageability considerations

Maak regelmatig back-ups van AD DS.Perform regular AD DS backups. Kopieer de VHD-bestanden van domein controllers niet in plaats van regel matige back-ups, omdat het AD DS database bestand op de VHD mogelijk niet consistent is wanneer het wordt gekopieerd, waardoor het onmogelijk is om de data base opnieuw op te starten.Don't copy the VHD files of domain controllers instead of performing regular backups, because the AD DS database file on the VHD may not be in a consistent state when it's copied, making it impossible to restart the database.

Schakel een virtuele machine met de rol van domeincontroller niet uit via Azure Portal.Do not shut down a domain controller VM using Azure portal. Maak altijd gebruik van het gastbesturingssysteem om domeincontrollers af te sluiten en opnieuw op te starten.Instead, shut down and restart from the guest operating system. Als u dit doet via de portal, wordt de toewijzing van de virtuele machine ongedaan gemaakt, met als gevolg dat zowel de VM-GenerationID als de invocationID van de Active Directory-opslagplaats opnieuw wordt ingesteld.Shutting down through the portal causes the VM to be deallocated, which resets both the VM-GenerationID and the invocationID of the Active Directory repository. Hiermee wordt de RID-groep (AD DS Relative Identifier) verwijderd en wordt de map SYSVOL gemarkeerd als niet-bindend, en kan de domein controller opnieuw worden geconfigureerd.This discards the AD DS relative identifier (RID) pool and marks the sysvol folder as nonauthoritative, and may require reconfiguration of the domain controller.

BeveiligingsoverwegingenSecurity considerations

AD DS-servers bieden verificatieservices en zijn daardoor een aantrekkelijke doelwit voor aanvallen.AD DS servers provide authentication services and are an attractive target for attacks. U kunt dit type server beveiligen door directe verbindingen vanaf internet te voorkomen door de AD DS-servers in een apart subnet te plaatsen met een netwerkbeveiligingsgroep die fungeert als een firewall.To secure them, prevent direct Internet connectivity by placing the AD DS servers in a separate subnet with an NSG acting as a firewall. Sluit alle poorten op de AD DS-servers, behalve die nodig zijn voor verificatie, autorisatie en synchronisatie van de server.Close all ports on the AD DS servers except those necessary for authentication, authorization, and server synchronization. Zie Active Directory and Active Directory Domain Services Port Requirements (Poortvereisten voor Active Directory en Active Directory Domain Services) voor meer informatie.For more information, see Active Directory and Active Directory Domain Services Port Requirements.

Gebruik BitLocker- of Azure-schijfversleuteling voor het versleutelen van de schijf die de AD DS-database host.Use either BitLocker or Azure disk encryption to encrypt the disk hosting the AD DS database.

DevOps overwegingenDevOps considerations

  • Gebruik Infrastructure as code (IaC) practice om de netwerk-en beveiligings infrastructuur in te richten en te configureren.Use Infrastructure as Code (IaC) practice, to provision and configure the network and security infrastructure. Deze referentie architectuur maakt gebruik van een AZBB-sjabloon (Azure buil ding blocks) .This reference architecture uses an Azure Building Blocks (AZBB) template. Een andere optie is Azure Resource Manager sjablonen.Another option is Azure Resource Manager templates.

  • Isoleer workloads om DevOps in te scha kelen voor doorlopende integratie en doorlopende levering (CI/CD), omdat elke werk belasting is gekoppeld aan en wordt beheerd door het bijbehorende DevOps-team.Isolate workloads to enable DevOps to do continuous integration and continuous delivery (CI/CD), because every workload is associated and managed by its corresponding DevOps team.

    In deze architectuur wordt het hele virtuele netwerk met de verschillende toepassings lagen, Management JumpBox en Azure AD Domain Services geïdentificeerd als één geïsoleerde werk belasting.In this architecture the entire virtual network that includes the different application tiers, management jumpbox, and Azure AD Domain Services is identified as a single isolated workload. Deze werk belasting wordt in één AZBB-sjabloon gedeclareerd.That workload is declared in a single AZBB template.

    Virtuele machines worden geconfigureerd met behulp van virtuele-machine uitbreidingen en andere hulpprogram ma's, zoals desired state Configuration (DSC), die worden gebruikt voor het configureren van toevoegen op de virtuele machines.Virtual machines are configured by using Virtual Machine Extensions and other tools such as Desired State Configuration (DSC), used to configure ADDS on the virtual machines.

  • Overweeg het gebruik van Azure DevOps of andere CI/cd-oplossingen om uw implementaties te automatiseren.Consider using Azure DevOps or any other CI/CD solutions to automate your deployments. Azure-pijp lijnen is het aanbevolen onderdeel van Azure DevOps Services dat automatisering voor oplossingen bouwt en implementaties biedt. het is ook geïntegreerd in het Azure-ecosysteem.Azure Pipelines is the recommended component of Azure DevOps Services that brings automation for solution builds and deployments, it's also highly integrated in the Azure ecosystem.

  • Gebruik Azure monitor om de prestaties van uw infra structuur te analyseren.Use Azure Monitor to analyze the performance of your infrastructure. U kunt hiermee ook netwerk problemen bewaken en diagnosticeren zonder u aan te melden bij uw virtuele machines.It also allows you to monitor and diagnose networking issues without logging into your virtual machines. Application Insights biedt uitgebreide metrische gegevens en Logboeken om de status van uw infra structuur te controleren.Application Insights provides rich metrics and logs to verify the state of your infrastructure.

Zie de sectie DevOps in Microsoft Azure Well-Architected Frameworkvoor meer informatie.For more information, see the DevOps section in Microsoft Azure Well-Architected Framework.

KostenoverwegingenCost considerations

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.Use the Azure pricing calculator to estimate costs. Andere overwegingen worden beschreven in de sectie kosten in Microsoft Azure Well-Architected Framework.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Hier vindt u kosten overwegingen voor de services die in deze architectuur worden gebruikt.Here are cost considerations for the services used in this architecture.

AD Domain ServicesAD Domain Services

Overweeg om Active Directory Domain Services te gebruiken als een gedeelde service die voor meerdere workloads wordt gebruikt om de kosten te verlagen.Consider having Active Directory Domain Services as a shared service that is consumed by multiple workloads to lower costs. Zie Active Directory Domain Services prijzenvoor meer informatie.For more information, see Active Directory Domain Services pricing.

Azure VPN-gatewayAzure VPN Gateway

Het belangrijkste onderdeel van deze architectuur is de VPN-gateway service.The main component of this architecture is the VPN gateway service. Kosten worden in rekening gebracht op basis van de duur van het inrichten van de gateway en de beschikbaarheid.You are charged based on the amount of time that the gateway is provisioned and available.

Al het inkomende verkeer is gratis, alle uitgaande verkeer wordt in rekening gebracht.All inbound traffic is free, all outbound traffic is charged. Kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.Internet bandwidth costs are applied to VPN outbound traffic.

Zie Prijzen van VPN Gateway voor meer informatie.For more information, see VPN Gateway Pricing.

Azure Virtual NetworkAzure Virtual Network

Azure Virtual Network is gratis.Azure Virtual Network is free. Met elk abonnement mogen maximaal 50 virtuele netwerken worden gemaakt in alle regio's.Every subscription is allowed to create up to 50 virtual networks across all regions. Al het verkeer dat plaatsvindt binnen de grenzen van een virtueel netwerk is gratis.All traffic that occurs within the boundaries of a virtual network is free. De communicatie tussen twee VM’s binnen hetzelfde virtuele netwerk is dus gratis.So, communication between two VMs in the same virtual network is free.

De oplossing implementerenDeploy the solution

Een implementatie voor deze architectuur is beschikbaar op GitHub.A deployment for this architecture is available on GitHub. De volledige implementatie kan Maxi maal twee uur duren, waaronder het maken van de VPN-gateway en het uitvoeren van de scripts voor het configureren van AD DS.The entire deployment can take up to two hours, which includes creating the VPN gateway and running the scripts that configure AD DS.

VereistenPrerequisites

  1. Kloon, Fork of down load het zip-bestand voor de github-opslag plaats.Clone, fork, or download the zip file for the GitHub repository.

  2. Installeer Azure CLI 2,0.Install Azure CLI 2.0.

  3. Installeer het NPM-pakket met Azure-bouwstenen.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Meld u via een opdrachtprompt, Bash-prompt of PowerShell-prompt als volgt aan bij uw Azure-account:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Het gesimuleerde on-premises datacenter implementerenDeploy the simulated on-premises datacenter

  1. Navigeer naar de identity/adds-extend-domain map van de GitHub-opslag plaats.Navigate to the identity/adds-extend-domain folder of the GitHub repository.

  2. Open het bestand onprem.json.Open the onprem.json file. Zoeken naar instanties van adminPassword en Password en waarden voor de wacht woorden toevoegen.Search for instances of adminPassword and Password and add values for the passwords.

  3. Voer de volgende opdracht uit en wacht tot de implementatie is voltooid:Run the following command and wait for the deployment to finish:

    azbb -s <subscription_id> -g <resource group> -l <location> -p onprem.json --deploy
    

Azure VNet implementerenDeploy the Azure VNet

  1. Open het bestand azure.json.Open the azure.json file. Zoeken naar instanties van adminPassword en Password en waarden voor de wacht woorden toevoegen.Search for instances of adminPassword and Password and add values for the passwords.

  2. In hetzelfde bestand zoekt u naar instanties van sharedKey en voert u gedeelde sleutels in voor de VPN-verbinding.In the same file, search for instances of sharedKey and enter shared keys for the VPN connection.

    "sharedKey": "",
    
  3. Voer de volgende opdracht uit en wacht tot de implementatie is voltooid.Run the following command and wait for the deployment to finish.

    azbb -s <subscription_id> -g <resource group> -l <location> -p azure.json --deploy
    

    Implementeer het op dezelfde resource groep als de on-premises VNet.Deploy to the same resource group as the on-premises VNet.

De connectiviteit met Azure VNet testenTest connectivity with the Azure VNet

Nadat de implementatie is voltooid, kunt u de connectiviteit van de gesimuleerde on-premises omgeving testen naar Azure VNet.After deployment completes, you can test connectivity from the simulated on-premises environment to the Azure VNet.

  1. Gebruik de Azure Portal, navigeer naar de resource groep die u hebt gemaakt.Use the Azure portal, navigate to the resource group that you created.

  2. Zoek de VM met de naam ra-onpremise-mgmt-vm1 .Find the VM named ra-onpremise-mgmt-vm1.

  3. Klik op Connect om een sessie voor Extern bureaublad naar de VM te beginnen.Click Connect to open a remote desktop session to the VM. De gebruikers naam is contoso\testuser en het wacht woord dat u hebt opgegeven in het onprem.json parameter bestand.The username is contoso\testuser, and the password is the one that you specified in the onprem.json parameter file.

  4. Open vanuit uw extern bureau blad-sessie een andere extern bureau blad-sessie naar 10.0.4.4, het IP-adres van de virtuele machine met de naam adds-vm1 .From inside your remote desktop session, open another remote desktop session to 10.0.4.4, which is the IP address of the VM named adds-vm1. De gebruikers naam is contoso\testuser en het wacht woord dat u hebt opgegeven in het azure.json parameter bestand.The username is contoso\testuser, and the password is the one that you specified in the azure.json parameter file.

  5. Ga in de extern bureau blad-sessie naar adds-vm1 Serverbeheer en klik op andere servers toevoegen om te beheren.From inside the remote desktop session for adds-vm1, go to Server Manager and click Add other servers to manage.

  6. Klik op het tabblad Active Directory op Nu zoeken.In the Active Directory tab, click Find now. U ziet een lijst met de AD-, AD DS-en Web-Vm's.You should see a list of the AD, AD DS, and Web VMs.

    Scherm afbeelding van het dialoog venster servers toevoegen

Volgende stappenNext steps