在 Azure 中创建 Active Directory 域服务资源林
此参考体系结构演示如何在 Azure 中创建一个单独的 Active Directory 域,该域由本地 Active Directory 林中的域信任。
Architecture
下载此体系结构的 Visio 文件。
Components
本地网络 包含自己的 Active Directory 林和域。
Active Directory 服务器 是实现在云中作为虚拟机(VM)运行的域服务的域控制器。 这些服务器托管具有一个或多个域的林,这些域不同于本地域。
单向信任关系 使本地用户能够访问 Azure 中域中的资源。 但是,属于 Azure 域的用户无法访问本地域中的资源。 该图中的示例显示了从 Azure 中的域到本地域的单向信任。
Active Directory 子网 是托管 Active Directory 域服务(AD DS)服务器的单独网络段。 网络安全组规则保护这些服务器,并针对来自意外源的流量提供防火墙。
Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. 有关详细信息,请参阅 使用 PowerShell 配置 ExpressRoute 和站点到站点共存连接。
Scenario details
AD DS 将标识信息存储在分层结构中。 The top node in the hierarchical structure is known as a forest. 林包含域,域包含其他类型的对象。 此参考体系结构在 Azure 中创建 AD DS 林,并具有与本地域的单向传出信任关系。 Azure 中的林包含本地不存在的域。 由于信任关系,可以信任针对本地域进行的登录,以便访问单独的 Azure 域中的资源。
可能的用例
此体系结构的典型用途包括维护云中保存的对象和标识的安全分离。 它们还包括将各个域从本地迁移到云。
有关详细信息,请参阅 将本地 Active Directory 域与 Microsoft Entra ID 集成。
Recommendations
您可以将以下建议应用于大多数场景。 除非有优先于这些建议的特定要求,否则请遵循这些建议。
有关如何在 Azure 中实现 Active Directory 的具体建议,请参阅 在 Azure 虚拟网络中部署 AD DS。
Trust
本地域包含在与云中的域不同的林中。 若要在云中启用本地用户的身份验证,Azure 中的域必须信任本地林中的登录域。 同样,如果云为外部用户提供登录域,则可能需要本地林信任云域。
可以通过 创建林信任 或在域级别通过 创建外部信任在林级别建立信任。 林级信任在两个林中的所有域之间创建关系。 外部域级信任仅创建两个指定域之间的关系。 只应在不同森林中的域之间创建外部域级信任。
Trusts with an on-premises Active Directory are only one way, or unidirectional. 单向信任允许一个域或林(称为传入域或林)中的用户访问另一个域或林(称为传出域或林)中的资源。 传出域中的用户无法访问传入域中的资源。
下表汇总了简单方案的信任配置:
| Scenario | On-premises trust | Cloud trust |
|---|---|---|
| 本地用户需要访问云中的资源,但云用户不需要访问本地环境中的资源。 | One-way, incoming | One-way, outgoing |
| 云中的用户需要访问位于本地的资源,但本地环境中的用户不需要访问云中的资源。 | One-way, outgoing | One-way, incoming |
Considerations
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改进工作负荷质量的指导原则。 For more information, see Well-Architected Framework.
Reliability
可靠性有助于确保应用程序能够履行对客户的承诺。 有关详细信息,请参阅 可靠性的设计评审清单。
为每个域预配至少两个域控制器。 此方法支持在服务器之间自动复制。 为充当处理每个域的 Active Directory 服务器的 VM 创建可用性集。 将此可用性集中至少放置两台服务器。
如果连接到充当灵活单一主作角色的服务器失败,请考虑将每个域中的一个或多个服务器指定为 备用作主机 。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅 安全的设计评审清单。
林级信任是可传递的。 如果在本地林与云中的林之间建立林级信任,信任将扩展到在任一林中创建的任何新域。 如果使用域为安全目的提供隔离,请考虑仅在域级别创建信任。 域级信任是不可传递的。
有关特定于 Active Directory 的安全注意事项,请参阅 Azure 虚拟网络中部署 AD DS 中的安全注意事项部分。
Cost Optimization
成本优化侧重于减少不必要的开支和提高运营效率的方法。 有关详细信息,请参阅 成本优化的设计评审清单。
使用 Azure 定价计算器 估算此体系结构中使用的服务的成本。
Microsoft Entra 域名服务
请考虑将 Microsoft Entra 域服务部署为多个工作负荷用于降低成本的共享服务。 有关详细信息, 请比较自托管 Active Directory 域服务、Microsoft Entra ID 和托管Microsoft Entra 域服务。
Azure VPN 网关
此体系结构的主要组件是 VPN 网关服务。 系统会根据预配和可用网关的时间量向你收费。
所有入站流量是免费的,所有出站流量都收费。 Internet 带宽成本适用于 VPN 出站流量。
有关详细信息,请参阅 VPN 网关定价。
Operational Excellence
卓越运营涵盖部署应用程序并使其在生产环境中运行的运营流程。 有关详细信息,请参阅 卓越运营的设计评审清单。
DevOps
For DevOps considerations, see Operational Excellence.
Manageability
有关管理和监视注意事项的详细信息,请参阅 在 Azure 虚拟网络中部署 AD DS。
按照 Monitor Active Directory 中的指南作。 可以在管理子网中的监视服务器上安装 Microsoft System Center 等工具,以帮助执行这些任务。
Performance Efficiency
性能效率是指工作负荷能够高效地缩放以满足用户需求。 有关详细信息,请参阅 性能效率的设计评审清单。
对于属于同一域的域控制器,Active Directory 会自动缩放。 请求分布在域中的所有控制器中。 可以添加另一个域控制器,并自动与域同步。 不要将单独的负载均衡器配置为将流量定向到域中的控制器。 确保所有域控制器都具有足够的内存和存储资源来处理域数据库。 使所有域控制器 VM 的大小都相同。
Related resources
- 了解如何 将本地 AD DS 域扩展到 Azure 的最佳做法。
- 了解如何在 Azure 中创建 Active Directory 联合身份验证服务(AD FS)基础结构 的最佳做法。