Den här referensarkitekturen visar hur du skapar en separat Active Directory-domän i Azure som är betrodd av domäner i din lokala AD-skog.
Ladda ned en Visio-fil för arkitekturen "AD DS Forest".
Identitetsinformation lagras i Active Directory Domain Services (AD DS) i en hierarkisk struktur. Den översta noden i en hierarkisk struktur kallas en skog. En skog innehåller domäner och domänerna innehåller andra typer av objekt. I den här referensarkitekturen skapas en AD DS-skog i Azure med ett enkelriktat utgående förtroende med en lokal domän. Skogen i Azure innehåller en domän som inte finns lokalt. Genom det här förtroendet är inloggningar som görs i lokala domäner betrodda för åtkomst till resurser i den separata Azure-domänen.
Vanliga tillämpningar av den här arkitekturen är att upprätthålla separering av säkerhetsskäl för objekt och identiteter som lagras i molnet, och att migrera enskilda domäner från en lokal plats till molnet.
Fler saker att ta hänsyn till finns i Välja en lösning för att integrera lokala Active Directory med Azure.
Arkitektur
Arkitekturen har följande komponenter:
- Lokalt nätverk. Det lokala nätverket innehåller en Active Directory-skog och -domäner.
- Active Directory-servrar. Det här är domänkontrollanter som implementerar domäntjänster som körs som virtuella datorer i molnet. Servrarna är värdar för en skog som innehåller en eller flera domäner, och som är separata från de som finns lokalt.
- Enkelriktat förtroende. Exemplet i diagrammet visar ett enkelriktat förtroende från domänen i Azure till den lokala domänen. Med den här relationen kan lokala användare komma åt resurser i domänen i Azure, men inte tvärtom.
- Active Directory-undernät. AD DS-servrarna finns i ett separat undernät. Regler för nätverkssäkerhetsgrupper (NSG) skyddar AD DS-servrarna och tillhandahåller en brandvägg mot trafik från oväntade källor.
- Azure-gateway. Azure-gatewayen tillhandahåller en anslutning mellan det lokala nätverket och det virtuella Azure-nätverket. Det kan vara en VPN-anslutning eller Azure ExpressRoute. Mer information finns i Connect an on-premises network to Azure using a VPN gateway (Ansluta ett lokalt nätverk till Azure via en VPN-gateway).
Rekommendationer
Specifika rekommendationer om hur du implementerar Active Directory i Azure finns i Utöka Active Directory Domain Services (AD DS) till Azure.
Förtroende
Lokala domäner ingår i en annan skog än domäner i molnet. Om du vill aktivera autentisering för lokala användare i molnet måste det finnas förtroende mellan domänerna i Azure och inloggningsdomänen i den lokala skogen. Och om molnet har en inloggningsdomän för externa användare kan det behöva finnas förtroende mellan den lokala skogen och molndomänen.
Förtroenden kan upprättas på skognivå genom att skapa skogförtroenden, eller på domännivå genom att skapa externa förtroenden. Med ett förtroende på skognivå skapas en relation mellan alla domäner i två skogar. Med ett förtroende på extern domännivå skapas endast en relation mellan två angivna domäner. Du bör endast skapa externa förtroenden på domännivå mellan domäner i olika skogar.
Förtroenden med en lokal Active Directory är bara enkelriktade (enkelriktade). Med ett enkelriktat förtroende kan användare i en domän eller skog (inkommande domän eller skog) komma åt resurserna som finns i en annan (utgående domän eller skog).
I den här tabellen sammanfattas förtroendekonfigurationer i några grundläggande scenarier:
| Scenario | Lokalt förtroende | Molnförtroende |
|---|---|---|
| Lokala användare behöver komma åt resurser i molnet, men inte tvärtom | Enkelriktat, inkommande | Enkelriktat, utgående |
| Molnanvändare behöver komma åt lokala resurser, men inte tvärtom | Enkelriktat, utgående | Enkelriktat, inkommande |
Skalbarhetsöverväganden
Active Directory skalas automatiskt för domänkontrollanter som ingår i samma domän. Begäranden distribueras till alla kontrollanter i en domän. Du kan lägga till ytterligare en domänkontrollant, som även den synkroniseras automatiskt med domänen. Konfigurera inte en separat lastbalanserare för att dirigera trafik till kontrollanter i domänen. Se till att alla domänkontrollanter har tillräckligt med minne- och lagringsresurser för att hantera domändatabasen. Alla virtuella datorer för domänkontrollanter ska vara lika stora.
Överväganden för tillgänglighet
Etablera minst två domänkontrollanter för varje domän. Då aktiveras automatisk replikering mellan servrarna. Skapa en tillgänglighetsuppsättning för de virtuella datorerna som fungerar som Active Directory-servrar där varje domän hanteras. Placera minst två servrar i tillgänglighetsuppsättningen.
Det går även att tilldela en eller flera servrar i varje domän rollen som standbyåtgärdshanterare om det uppstår anslutningsfel till en server med FSMO-roll (Flexible Single Master Operation).
Överväganden för hantering
Information om överväganden för hantering och övervakning hittar du på sidan om hur du utökar Active Directory till Azure.
Ytterligare information finns på sidan om övervakning av Active Directory. Du kan också installera verktyg som Microsoft Systems Center på en övervakningsserver i hanteringsundernätet för att utföra de här åtgärderna.
Säkerhetsöverväganden
Förtroenden på skognivå är transitiva. Om du upprättar ett förtroende på skognivå mellan en lokal skog och en skog i molnet utökas det här förtroendet till nya domäner som skapas i dessa två skogar. Om du använder domäner för separering av säkerhetsskäl, kan du överväga att endast skapa förtroenden på domännivå. Förtroenden på domännivå är inte transitiva.
Säkerhetsöverväganden för Active Directory finns i avsnittet om säkerhetsöverväganden på sidan om hur du utökar Active Directory till Azure.
DevOps-överväganden
Mer information om DevOps finns i Operational excellence in Extending Active Directory Domain Services (AD DS) to Azure (Operational excellence in Extending Active Directory Domain Services (AD DS) to Azure (Utöka Active Directory Domain Services (AD DS) till Azure.
Kostnadsöverväganden
Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure. Andra överväganden beskrivs i avsnittet Kostnad i Microsoft Azure Well-Architected Framework.
Här följer kostnadsöverväganden för de tjänster som används i den här arkitekturen.
AD Domain Services
Överväg att ha Active Directory Domain Services som en delad tjänst som används av flera arbetsbelastningar för att sänka kostnaderna. Mer information finns i Active Directory Domain Services prissättning.
Azure VPN Gateway
Huvudkomponenten i den här arkitekturen är VPN-gatewaytjänsten. Du debiteras baserat på mängden tid som gatewayen är upprättad och tillgänglig.
All inkommande trafik är kostnadsfri, all utgående trafik debiteras. Kostnader för bandbredd tillämpas på utgående VPN-trafik.
Mer information finns i Prissättning för VPN Gateway.
Nästa steg
- Läs metodtipsen om hur du utökar din lokala AD DS-domän till Azure
- Läs metodtipsen om hur du skapar en AD FS-infrastruktur i Azure.