Pojęcia i funkcje zestawów replik dla usług Microsoft Entra Domain Services

  • Artykuł

Podczas tworzenia domeny zarządzanej usług Microsoft Entra Domain Services należy zdefiniować unikatową przestrzeń nazw. Ta przestrzeń nazw jest nazwą domeny, taką jak aaddscontoso.com, a dwa kontrolery domeny (DC) są następnie wdrażane w wybranym regionie świadczenia usługi Azure. To wdrożenie kontrolerów domeny jest nazywane zestawem replik.

Domenę zarządzaną można rozszerzyć, aby mieć więcej niż jeden zestaw replik na dzierżawę firmy Microsoft Entra. Zestawy replik można dodać do dowolnej równorzędnej sieci wirtualnej w dowolnym regionie świadczenia usługi Azure obsługującym usługi Domain Services. Dodatkowe zestawy replik w różnych regionach świadczenia usługi Azure zapewniają geograficzne odzyskiwanie po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline.

Uwaga

Zestawy replik nie umożliwiają wdrażania wielu unikatowych domen zarządzanych w jednej dzierżawie platformy Azure. Każdy zestaw replik zawiera te same dane.

Jak działają zestawy replik

Podczas tworzenia domeny zarządzanej, takiej jak aaddscontoso.com, tworzony jest zestaw replik początkowych. Dodatkowe zestawy replik współdzielą tę samą przestrzeń nazw i konfigurację. Zmiany w usługach Domain Services, w tym konfiguracja, tożsamość użytkownika i poświadczenia, grupy, obiekty zasad grupy, obiekty komputera i inne zmiany są stosowane do wszystkich zestawów replik w domenie zarządzanej przy użyciu replikacji usług AD DS.

Każdy zestaw replik należy utworzyć w sieci wirtualnej. Każda sieć wirtualna musi być połączona równorzędnie z każdą inną siecią wirtualną, która hostuje zestaw replik domeny zarządzanej. Ta konfiguracja tworzy topologię sieci siatki, która obsługuje replikację katalogów. Sieć wirtualna może obsługiwać wiele zestawów replik, pod warunkiem, że każdy zestaw replik znajduje się w innej podsieci wirtualnej.

Wszystkie zestawy replik są umieszczane w tej samej lokacji usługi Active Directory. W związku z tym wszystkie zmiany są propagowane przy użyciu replikacji wewnątrzwitrynowej w celu szybkiej zbieżności.

Uwaga

Nie można zdefiniować oddzielnych lokacji i zdefiniować ustawień replikacji między zestawami replik.

Na poniższym diagramie przedstawiono domenę zarządzaną z dwoma zestawami replik. Pierwszy zestaw replik jest tworzony przy użyciu przestrzeni nazw domeny. Drugi zestaw replik jest tworzony po tym:

Diagram of example managed domain with two replica sets

Uwaga

Zestawy replik zapewniają dostępność usług uwierzytelniania w regionach, w których skonfigurowano zestaw replik. Aby aplikacja miała nadmiarowość geograficzną, jeśli wystąpi awaria regionalna, platforma aplikacji, która opiera się na domenie zarządzanej, musi również znajdować się w innym regionie.

Odporność innych usług wymaganych przez aplikację do działania, takich jak maszyny wirtualne platformy Azure lub usługi aplikacja systemu Azure, nie jest dostarczana przez zestawy replik. Projekt dostępności innych składników aplikacji musi uwzględniać funkcje odporności dla usług tworzących aplikację.

W poniższym przykładzie przedstawiono domenę zarządzaną z trzema zestawami replik, aby zapewnić odporność i zapewnić dostępność usług uwierzytelniania. W obu przykładach obciążenia aplikacji istnieją w tym samym regionie co zarządzany zestaw replik domeny:

Diagram of example managed domain with three replica sets

Uwagi dotyczące wdrażania

Domyślna jednostka SKU domeny zarządzanej to jednostka SKU przedsiębiorstwa , która obsługuje wiele zestawów replik. Aby utworzyć dodatkowe zestawy replik w przypadku zmiany na jednostkę SKU w warstwie Standardowa , uaktualnij domenę zarządzaną do warstwy Enterprise lub Premium.

Obsługiwana maksymalna liczba zestawów replik to pięć, w tym pierwsza replika utworzona podczas tworzenia domeny zarządzanej.

Rozliczenia dla każdego zestawu replik są oparte na jednostce SKU konfiguracji domeny. Jeśli na przykład masz domenę zarządzaną, która używa jednostki SKU przedsiębiorstwa i masz trzy zestawy replik, subskrypcja jest naliczana za godzinę dla każdego z trzech zestawów replik.

Często zadawane pytania

Czy mogę utworzyć zestaw replik w subskrypcji innej niż moja domena zarządzana?

L.p. Zestawy replik muszą znajdować się w tej samej subskrypcji co domena zarządzana.

Ile zestawów replik można utworzyć?

Można utworzyć maksymalnie pięć zestawów replik — początkowy zestaw replik dla domeny zarządzanej oraz cztery dodatkowe zestawy replik.

Jak informacje o użytkownikach i grupach są synchronizowane z zestawami replik?

Wszystkie zestawy replik są ze sobą połączone za pomocą komunikacji równorzędnej sieci wirtualnej siatki. Jeden zestaw replik odbiera aktualizacje użytkowników i grup z identyfikatora Entra firmy Microsoft. Te zmiany są następnie replikowane do innych zestawów replik przy użyciu replikacji usług AD DS wewnątrz lokacji za pośrednictwem sieci równorzędnej.

Podobnie jak w przypadku lokalnych usług AD DS, rozszerzony stan rozłączenia może spowodować zakłócenia replikacji. Ponieważ równorzędne sieci wirtualne nie są przechodnie, wymagania projektowe zestawów replik wymagają pełnej topologii sieci z siatką.

Jak mogę wprowadzić zmiany w domenie zarządzanej po dokonaniu zestawów replik?

Zmiany w domenie zarządzanej działają tak samo jak wcześniej. Tworzysz maszynę wirtualną zarządzania i używasz jej z narzędziami RSAT dołączonymi do domeny zarządzanej. Możesz dołączyć dowolną liczbę maszyn wirtualnych zarządzania do domeny zarządzanej.

Następne kroki

Aby rozpocząć pracę z zestawami replik, utwórz i skonfiguruj domenę zarządzaną usług Domain Services. Podczas wdrażania utwórz i użyj dodatkowych zestawów replik.