此參考架構會顯示如何在 Azure 中建立受到內部部署 AD 樹系內網域信任的另一個 Active Directory 網域。
下載適用于「AD DS 樹系」架構的 Visio 檔案 。
Active Directory Domain Services (AD DS) 會以階層式結構儲存身分識別資訊。 階層式結構中的最上層節點稱為樹系。 樹系包含網域,而網域則包含其他類型的物件。 此參考架構會在 Azure 中建立與內部部署網域具有單向連出信任關係的 AD DS 樹系。 Azure 中的樹系包含不存在於內部部署的網域。 因為信任關係,才能夠信任針對內部部署網域的登入,以存取個別 Azure 網域中的資源。
這個架構的典型用途包括維持雲端中保留之物件和身分識別的安全性隔離,以及將個別網域從內部部署移轉到雲端。
如需其他考慮,請參閱選擇整合內部部署的 Active Directory與 Azure 的解決方案。
架構
此架構具有下列元件。
- 內部部署網路。 內部部署網路包含自己的 Active Directory 樹系和網域。
- Active Directory 伺服器。 這些是雲端中實作當作 VM 執行之網域服務的網域控制站。 這些伺服器會裝載包含一個或多個網域的樹系,而且與內部部署的網域不同。
- 單向信任關係。 圖表中的範例顯示 Azure 中網域到內部部署網域的單向信任。 這種關係可讓內部部署使用者在 Azure 中存取網域內的資源,但不適用於反向。
- Active Directory 子網路。 AD DS 伺服器會裝載在不同的子網路中。 網路安全性群組 (NSG) 規則可保護 AD DS 伺服器,並提供防火牆以防禦來自非預期來源的流量。
- Azure 閘道。 Azure 閘道會提供內部部署網路與 Azure VNet 之間的連線。 這可能是 VPN 連線或 Azure ExpressRoute。 如需詳細資訊,請參閱使用 VPN 閘道將內部部署網路連線至 Azure。
建議
如需在 Azure 中實作 Active Directory 的特定建議,請參閱將 ACTIVE DIRECTORY 網域服務 (AD DS) 延伸至 Azure。
信任
內部部署網域包含在雲端網域中的不同樹系內。 若要在雲端驗證內部部署使用者,Azure 中的網域必須信任內部部署樹系中的登入網域。 同樣地,如果雲端為外部使用者提供登入網域,內部部署樹系也需要信任雲端網域。
您可以建立樹系信任,或在網域層級 建立外部信任,以在樹系層級 建立信任。 樹系層級信任會建立兩個樹系中所有網域之間的關係。 外部網域層級信任只會建立兩個指定網域之間的關係。 您僅應在不同樹系的網域之間建立外部網域層級信任。
與內部部署的 Active Directory的信任只有單向 (單向) 。 單向信任可讓一個網域或樹系 (稱為「連入」網域或樹系) 中的使用者存取另一個網域或樹系 (「連出」網域或樹系) 中保留的資源。
下表摘要說明一些簡單案例的信任設定:
| 狀況 | 內部部署信任 | 雲端信任 |
|---|---|---|
| 內部部署使用者需要存取雲端的資源,但反之則否 | 單向,連入 | 單向,連出 |
| 雲端使用者需要存取內部部署的資源,但反之則否 | 單向,連出 | 單向,連入 |
延展性考量
Active Directory 會針對屬於相同網域的網域控制站自動進行調整。 要求會分散到網域內的所有控制站。 您可以新增另一個網域控制站,而且該網域控制站會自動與網域同步。 請勿將個別的負載平衡器設定為將流量導向至網域內的控制站。 請確定所有網域控制站都有足夠的記憶體和儲存體資源,可處理網域資料庫。 將所有網域控制站 VM 的大小設為相同。
可用性考量
針對每個網域至少佈建兩個網域控制站。 如此可在伺服器之間啟用自動複寫。 針對當作處理每個網域之 Active Directory 伺服器的 VM,建立可用性設定組。 在此可用性設定組中至少放置兩部伺服器。
此外,如果作為彈性單一主機操作 (FSMO) 角色之伺服器的連線失敗,請考慮將每個網域中的一部或多部伺服器指定為待命操作主機。
管理性考量
如需管理與監視考量的相關資訊,請參閱將 Active Directory 擴充至 Azure。
如需其他資訊,請參閱監視 Active Directory。 您可以在管理子網路中的監視伺服器上安裝工具 (例如 Microsoft Systems Center) 以協助執行這些工作。
安全性考量
樹系層級信任是可轉移的。 如果您在內部部署樹系與雲端樹系之間建立樹系層級信任,此信任會擴充至任一樹系中建立的其他新網域。 如果您基於安全性目的而使用網域提供區隔,請考慮僅在網域層級建立信任。 網域層級信任是不可轉移的。
如需了解 Active Directory 專屬的安全性考量,請參閱將 Active Directory 擴充至 Azure 中的<安全性考量>一節。
DevOps 考量
如需 DevOps 考慮,請參閱將 ACTIVE DIRECTORY 網域服務 (AD DS) 擴充至 Azure中的營運卓越。
成本考量
使用 Azure 定價計算機來估計成本。 Microsoft Azure Well-Architected Framework中的成本一節會說明其他考慮。
以下是此架構中使用的服務成本考慮。
AD Domain Services
考慮將 Active Directory Domain Services 作為共用服務,由多個工作負載使用以降低成本。 如需詳細資訊,請參閱Active Directory 網域服務定價。
Azure VPN 閘道
此架構的主要元件是 VPN 閘道服務。 您須根據閘道上所佈建及可用時間量支付費用。
所有輸入流量是免費的,所有輸出流量都會收費。 網際網路頻寬成本適用於 VPN 輸出流量。
如需詳細資訊,請參閱 VPN 閘道價格。
下一步
- 了解將內部部署 AD DS 網域擴充至 Azure 的最佳做法
- 了解在 Azure 中建立 AD FS 基礎結構的最佳做法。