你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 中创建 AD DS 资源林

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure 虚拟网络
Azure VPN 网关

此参考体系结构展示了如何在 Azure 中创建本地 AD 林中的域信任的一个单独 Active Directory 域。

显示具有独立 Active Directory 域的安全混合网络体系结构的关系图。

下载适用于“AD DS 林”体系结构的 Visio 文件

Active Directory 域服务 (AD DS) 以分层结构存储标识信息。 分层结构中的顶层节点称为林。 林包含域,域包含其他类型的对象。 此参考体系结构在 Azure 中创建与本地域之间具有单向传出信任关系的 AD DS 林。 Azure 中的林包含本地不存在的一个域。 由于信任关系,将信任针对本地域的登录,允许其访问该单独 Azure 域中的资源。

此体系结构的典型用途包括为云中拥有的对象和标识维护安全隔离,以及将各个域从本地迁移到云。

有关其他注意事项,请参阅选择用于将本地 Active Directory 与 Azure 相集成的解决方案

体系结构

该体系结构具有以下组件。

  • 本地网络。 本地网络包含其自己的 Active Directory 林和域。
  • Active Directory 服务器。 它们是域控制器,用于实现在云中作为 VM 运行的域服务。 这些服务器托管的林中包含独立于本地域的一个或多个域。
  • 单向信任关系。 关系图中的示例显示了从 Azure 中的域到本地域的单向信任。 此关系允许本地用户访问 Azure 中的域的资源,但无法反向访问。
  • Active Directory 子网。 AD DS 服务器托管在一个单独的子网中。 网络安全组 (NSG) 规则对 AD DS 服务器进行保护,并提供防火墙以阻止来自意外来源的流量。
  • Azure 网关。 Azure 网关在本地网络与 Azure VNet 之间提供连接。 这可以是 VPN 连接,也可以是 Azure ExpressRoute。 有关详细信息,请参阅使用 VPN 网关将本地网络连接到 Azure

建议

有关在 Azure 中实现 Active Directory 的具体建议,请参阅将 Active Directory 域服务 (AD DS) 扩展到 Azure

信任

本地域包含在与云中的域不同的林中。 若要在云中启用对本地用户的身份验证,Azure 中的域必须信任本地林中的登录域。 同样,如果云为外部用户提供了登录域,则本地林可能需要信任云域。

可以通过创建林信任在林级别建立信任,或者通过创建外部信任在域级别建立信任。 林级别信任在两个林中的所有域之间创建关系。 外部域级别信任仅在两个指定的域之间创建关系。 只应当在不同林中的域之间创建外部域级别信任。

与本地 Active Directory 的信任仅是单向的(单向)。 单向信任允许一个域或林(称为传入域或林)中的用户访问另一个域或林(传出域或林)中拥有的资源。

下表总结了一些简单方案的信任配置:

方案 本地信任 云信任
本地用户需要访问云中的资源,但云中的用户不需要访问本地资源 单向、传入 单向、传出
云中的用户需要访问本地资源,本地用户不需要访问云中的资源 单向、传出 单向、传入

可伸缩性注意事项

Active Directory 能够针对属于同一域的域控制器自动进行缩放。 请求被分布到域中的所有控制器中。 可以添加另一个域控制器,并且它将与该域自动同步。 不要配置单独的负载均衡器来将流量定向到该域中的控制器。 确保所有域控制器都有足够的内存和存储资源来处理域数据库。 使所有域控制器 VM 具有相同的大小。

可用性注意事项

请至少为每个域预配两个域控制器。 这可以在服务器之间实现自动复制。 为充当 Active Directory 服务器(用于处理每个域)的 VM 创建一个可用性集。 至少在此可用性集中放置两个服务器。

另外,请考虑将每个域中的一个或多个服务器指定为备用操作主机,以应对作为灵活单一主机操作 (FSMO) 角色连接到服务器时失败的情况。

可管理性注意事项

有关管理和监视注意事项的详细信息,请参阅将 Active Directory 扩展到 Azure

有关详细信息,请参阅监视 Active Directory。 可以在管理子网中的监视服务器上安装 Microsoft Systems Center 之类的工具来帮助执行这些任务。

安全注意事项

林级别信任是可传递的。 如果在一个本地林与云中的一个林之间建立了林级别信任,则此信任将扩展到在任一林中创建的其他新域。 如果出于安全目的而使用域提供隔离,请考虑仅在域级别创建信任。 域级别信任是不可传递的。

有关特定于 Active Directory 的安全注意事项,请参阅将 Active Directory 扩展到 Azure 中的安全注意事项部分。

DevOps 注意事项

有关 DevOps 的注意事项,请参阅将 Active Directory 域服务 (AD DS) 扩展到 Azure 中的卓越运营。

成本注意事项

使用 Azure 定价计算器估算成本。 Microsoft Azure 架构良好的框架的“成本”部分描述了其他注意事项。

下面是有关此体系结构中所使用服务的成本注意事项。

AD 域服务

请考虑将 Active Directory 域服务用作由多个工作负荷用来降低成本的共享服务。 有关详细信息,请参阅 Active Directory 域服务定价

Azure VPN 网关

此体系结构的主要组件是 VPN 网关服务。 会基于预配和提供网关的时间量进行收费。

所有入站流量都是免费的,所有出站流量都是收费的。 Internet 带宽费用适用于 VPN 出站流量。

有关详细信息,请参阅 VPN 网关定价

后续步骤