Развертывание AD DS в виртуальной сети Azure

Microsoft Entra
Виртуальная сеть Azure

В этой архитектуре показано, как расширить домен локальная служба Active Directory в Azure для предоставления распределенных служб проверки подлинности.

Архитектура

Diagram that shows a secure hybrid network architecture with Active Directory.

Скачайте файл Visio для этой архитектуры.

Эта архитектура расширяет архитектуру гибридной сети, показанную в Подключение локальной сети в Azure с помощью VPN-шлюза.

Workflow

  • Локальная сеть. Локальная сеть включает локальные серверы Active Directory, которые могут выполнять аутентификацию и авторизацию для компонентов, установленных локально.
  • Серверы Active Directory. Эти серверы — это контроллеры домена, реализующие службы каталогов (AD DS), работающие в качестве виртуальных машин в облаке. Они могут предоставлять проверку подлинности компонентов, работающих в виртуальной сети Azure.
  • Подсеть Active Directory. Серверы служб домен Active Directory (AD DS) размещаются в отдельной подсети. Правила группы безопасности сети (NSG) защищают серверы доменных служб Active Directory и предоставляют брандмауэр для трафика из неизвестных источников.
  • Синхронизация Azure VPN-шлюз и Active Directory. VPN-шлюз обеспечивает подключение между локальной сетью и Виртуальная сеть Azure. Это подключение может быть VPN-подключением или через Azure ExpressRoute. Все запросы на синхронизацию между серверами Active Directory локально и в облаке передаются через шлюз. Определенные пользователем маршруты отвечают за маршрутизацию локального трафика, передаваемого в Azure.

Компоненты

  • Идентификатор Microsoft Entra — это корпоративная служба удостоверений, которая предоставляет единый вход, многофакторную проверку подлинности и условный доступ.
  • VPN-шлюз — это служба, использующая шлюз виртуальной сети для отправки зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет.
  • ExpressRoute позволяет расширить локальные сети в облако Майкрософт через частное подключение с помощью поставщика подключений.
  • виртуальная сеть является основным стандартным блоком для частных сетей в Azure. Ее можно использовать для включения ресурсов Azure, таких как виртуальные машины, для взаимодействия друг с другом, Интернетом и локальными сетями.

Подробности сценария

Если приложение размещено частично в локальной среде и частично в Azure, реплика использование AD DS в Azure может оказаться более эффективным. Это реплика можно уменьшить задержку, вызванную отправкой запросов проверки подлинности из облака обратно в AD DS, работающих в локальной среде.

Дополнительные сведения см. в статье "Выбор решения для интеграции локальная служба Active Directory с Azure".

Потенциальные варианты использования

Эта архитектура часто используется при подключении VPN или ExpressRoute к локальным и виртуальным сетям Azure. Она также поддерживает двунаправленную репликацию. Это означает, что изменения могут быть выполнены локально или в облаке и оба источника будут согласованы. Типичными для этой архитектуры являются гибридные приложения, в которых функциональные возможности распределены между локальной средой и приложениями и службами Azure и службами, выполняющими проверку подлинности с помощью Active Directory.

Рекомендации

Следующие рекомендации применяются к большинству сценариев. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Рекомендации по виртуальным машинам

Определите требования к размеру виртуальной машины на основе ожидаемого объема запросов на аутентификацию. Используйте спецификации компьютеров, на котором размещена локальная служба AD DS, в качестве отправной точки и сопоставляйте их с размерами виртуальных машин Azure. После развертывания отслеживайте использование и регулируйте масштаб на основе фактической нагрузки на виртуальных машинах. Дополнительные сведения об изменении размера контроллеров домена AD DS см. в статье Capacity Planning for Active Directory Domain Services (Планирование ресурсов для доменных служб Active Directory).

Создайте отдельный диск виртуальных данных для хранения базы данных, журналов и папки sysvol для Active Directory. Не сохраняйте эти элементы на том же диске, что и операционная система. По умолчанию диски данных подключены к виртуальной машине с помощью кэширования путем записи. Однако эта форма кэширования может нарушать требования доменных служб Active Directory. Поэтому для параметра настройки кэша узла на диске данных задайте значение Нет.

Разверните по крайней мере две виртуальные машины под управлением AD DS в качестве контроллеров домена и добавьте их в разные зоны доступности. Если он недоступен в регионе , разверните его в группе доступности.

Рекомендации по сети

Настройте сетевой интерфейс виртуальной машины для каждого сервера доменных служб Active Directory с помощью статического частного IP-адреса для поддержки службы доменных имен (DNS). Дополнительные сведения см. в статье Настройка частных IP-адресов для виртуальной машины с помощью портала Azure.

Примечание.

Не настраивайте сетевой адаптер виртуальной машины для ad DS с общедоступным IP-адресом. Дополнительные сведения см. в разделе Вопросы безопасности этой статьи.

NSG подсети Active Directory требует правил для разрешения входящего трафика из локальной среды и исходящего трафика в локальную среду. Подробные сведения о портах, используемых доменными службами Active Directory, см. в статье Active Directory and Active Directory Domain Services Port Requirements (Требования доменных служб Active Directory и порта доменных служб Active Directory).

Если новые виртуальные машины контроллера домена также имеют роль DNS-серверов, рекомендуется настроить их как настраиваемые DNS-серверы на уровне виртуальной сети, как описано в разделе "Изменение DNS-серверов". Это необходимо сделать для виртуальной сети, в которой размещаются новые контроллеры домена и пиринговые сети, в которых другие виртуальные машины должны разрешать доменные имена Active Directory. Дополнительные сведения о настройке разрешения гибридных DNS-имен см. в статье "Разрешение имен" для ресурсов в виртуальных сетях Azure.

Для начальной настройки может потребоваться настроить сетевой интерфейс одного из контроллеров домена в Azure, чтобы указать локальный контроллер домена в качестве основного источника DNS.

Включение IP-адреса в список DNS-серверов повышает производительность и повышает доступность DNS-серверов. Однако задержка запуска может привести к тому, что DNS-сервер также является контроллером домена и указывает только на себя или указывает на себя в первую очередь для разрешения имен. Поэтому при настройке адреса обратной передачи цикла на адаптере следует соблюдать осторожность, если сервер также является контроллером домена.

Это может означать перезапись параметров DNS сетевого интерфейса в Azure, чтобы указать на другой контроллер домена, размещенный в Azure или локально для основного DNS-сервера. Адрес обратного цикла должен быть настроен только как вторичный или третий DNS-сервер на контроллере домена.

Веб-сайт Active Directory

В доменных службах Active Directory веб-сайт представляет собой физическое расположение, сеть или коллекцию устройств. Сайты AD DS используются для управления реплика базой данных AD DS путем группировки объектов AD DS, расположенных близко друг к другу и подключенных к высокоскоростной сети. AD DS включает логику, чтобы выбрать лучшую стратегию для реплика реплика базы данных AD DS между сайтами.

Рекомендуется создать сайт AD DS, включая подсети, определенные для приложения в Azure. Затем можно настроить связь сайта между локальными сайтами AD DS и AD DS автоматически выполнять наиболее эффективные реплика возможности реплика базы данных. Для этой реплика базы данных требуется немного больше начальной конфигурации.

Главный мастер операций Active Directory

Роль мастера операций может быть назначена контроллерам домена AD DS для поддержки согласованности проверка между экземплярами реплика баз данных AD DS. Существует пять ролей главного контроллера операций (FSMO): главный узел схемы, мастер именования домена, главный главный эмулятор контроллера домена и главный мастер инфраструктуры. Дополнительные сведения об этих ролях см. в разделе "Планирование размещения главных ролей". Кроме того, рекомендуется предоставить по крайней мере две новые роли Azure DCS глобального каталога (GC). Дополнительные сведения о размещении GC см . здесь.

Наблюдение

Отслеживайте ресурсы виртуальных машин контроллера домена и служб AD DS и создайте план для быстрого устранения проблем. Дополнительные сведения см. в документе Monitoring Active Directory (Мониторинг Active Directory). Вы также можете установить инструменты (например, Microsoft Systems Center) на сервере мониторинга (см. диаграмму архитектуры) для выполнения этих задач.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение может выполнять ваши обязательства перед клиентами. Дополнительные сведения см. в разделе "Обзор основы надежности".

Разверните виртуальные машины под управлением AD DS по крайней мере в двух зонах доступности. Если зоны доступности недоступны в регионе, используйте группы доступности. Кроме того, рекомендуется назначить роль мастера резервных операций по крайней мере одному серверу и, возможно, больше в зависимости от ваших требований. Образец резервных операций — это активная копия главного сервера операций, которая может заменить основной сервер главных операций во время отработки отказа.

Безопасность

Безопасность обеспечивает защиту от преднамеренных атак и злоупотреблений ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Серверы доменных служб Active Directory предоставляют службы аутентификации и часто подвергаются атакам. Чтобы защитить их, не избежать прямого подключения к Интернету, разместив серверы AD DS в отдельной подсети с NSG в качестве брандмауэра. Закройте все порты на серверах AD DS, за исключением тех, которые необходимы для аутентификации, авторизации и синхронизации с сервером. Дополнительные сведения см. в разделе Active Directory and Active Directory Domain Services Port Requirements (Требования доменных служб Active Directory и порта доменных служб Active Directory).

Зашифруйте диск, содержащий базу данных AD DS, с помощью BitLocker или шифрования диска Azure.

Защита от атак DDoS Azure в сочетании с рекомендациями по проектированию приложений предоставляет расширенные функции защиты от атак DDoS. Необходимо включить защиту от атак DDOS Azure в любой виртуальной сети периметра.

Эффективность работы

Операционное превосходство охватывает процессы, которые развертывают и сохраняют работу приложения в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

  • Используйте практику инфраструктуры как кода (IaC) для подготовки и настройки инфраструктуры сети и безопасности. Одним из вариантов является шаблоны Azure Resource Manager.

  • Изоляция рабочих нагрузок, позволяющих DevOps выполнять непрерывную интеграцию и непрерывную доставку (CI/CD), так как каждая рабочая нагрузка связана и управляется соответствующей командой DevOps.

В этой архитектуре вся виртуальная сеть, включающая различные уровни приложений, поле перехода к управлению и доменные службы Microsoft Entra, определяется как единая изолированная рабочая нагрузка.

Виртуальные машины настраиваются с помощью расширений виртуальных машин и других средств, например требуемой конфигурации состояния (DSC), используемых для настройки AD DS на виртуальных машинах.

  • Рассмотрите возможность автоматизации развертываний с помощью Azure DevOps или других решений CI/CD. Azure Pipelines — это рекомендуемый компонент Azure DevOps Services, который обеспечивает автоматизацию для сборок и развертываний решений и высоко интегрированных в экосистему Azure.

  • Используйте Azure Monitor для анализа производительности инфраструктуры. Он также позволяет отслеживать и диагностировать сетевые проблемы без входа в виртуальные машины. Приложение Аналитика предоставляет широкие метрики и журналы для проверки состояния инфраструктуры.

Дополнительные сведения см. в разделе DevOps в Microsoft Azure Well-Architected Framework.

Управляемость

Выполняйте обычное резервное копирование доменных служб Active Directory. Не копируйте VHD-файлы контроллеров домена вместо выполнения регулярных резервных копий, так как файл базы данных AD DS на VHD может не совпадать при копировании, что делает невозможной перезагрузку базы данных.

Не рекомендуется завершить работу виртуальной машины контроллера домена с помощью портал Azure. Вместо этого закройте и перезапустите гостевую операционную систему. Завершение работы с помощью портал Azure приводит к освобождению виртуальной машины, что приводит к следующим последствиям при перезапуске виртуальной машины контроллера домена:

  1. Сбрасывает VM-GenerationID и invocationID репозиторий Active Directory
  2. Dis карта возвращает текущий пул относительных идентификаторов Active Directory (RID)
  3. Помечает папку sysvol как неавторитетную

Первая проблема относительно доброкачественная. Повторная сброска приведет к дополнительному invocationID использованию пропускной способности во время реплика, но это обычно не является значительным.

Вторая проблема может способствовать исчерпанию пула RID в домене, особенно если размер пула RID был настроен на размер, превышающий значение по умолчанию. Рассмотрим, что если домен находится в течение длительного времени или используется для рабочих процессов, требующих повторяющегося создания и удаления учетных записей, домен может быть уже близок к исчерпанию пула RID. Мониторинг событий предупреждения об исчерпании пула RID рекомендуется. См . статью об управлении выдачой RID.

Третья проблема является относительно доброкачественной, если доверенный контроллер домена доступен при перезапуске виртуальной машины контроллера домена в Azure. Если все контроллеры домена в домене работают в Azure, и все они одновременно завершаются и освобождены, при перезапуске каждый контроллер домена не сможет найти заслуживающий доверия реплика. Исправление этого условия требует ручного вмешательства. См. статью о принудительной и неавторитетной синхронизации для DFSR-реплика ted sysvol реплика tion.

Оптимизация производительности

Эффективность производительности — это возможность масштабирования рабочей нагрузки в соответствии с требованиями, заданными пользователями. Дополнительные сведения см. в разделе "Общие сведения о эффективности производительности".

Доменные службы Active Directory предназначены для масштабируемости. Вам не нужно настраивать подсистему балансировки нагрузки или контроллер трафика, чтобы направлять запросы к контроллерам домена AD DS. Единственным аспектом масштабируемости является настройка виртуальных машин под управлением AD DS с правильным размером требований к сетевой нагрузке, мониторинг нагрузки на виртуальных машинах и масштабирование по мере необходимости.

Оптимизация затрат

Оптимизация затрат заключается в сокращении ненужных расходов и повышении эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

Для оценки затрат используйте калькулятор цен Azure. Другие рекомендации описаны в разделе "Затраты" в Microsoft Azure Well-Architected Framework.

Ниже приведены рекомендации по затратам для служб, используемых в этой архитектуре.

доменные службы Active Directory;

Рассмотрите возможность домен Active Directory службы в качестве общей службы, потребляемой несколькими рабочими нагрузками, чтобы снизить затраты. Дополнительные сведения см. в разделе о ценах на службы домен Active Directory.

VPN-шлюз

Основным компонентом этой архитектуры является служба VPN-шлюза. Плата взимается в зависимости от времени подготовки и доступности шлюза.

Весь входящий трафик бесплатный, и взимается плата за весь исходящий трафик. Затраты на пропускную способность Интернета связаны с исходящим трафиком VPN.

Дополнительные сведения см. на странице цен на VPN-шлюз.

Виртуальная сеть

виртуальная сеть бесплатно. В рамках каждой подписки можно создать до 50 виртуальных сетей во всех регионах. Весь трафик в границах виртуальной сети свободен, поэтому обмен данными между двумя виртуальными машинами в одной виртуальной сети является бесплатным.

Следующие шаги