此參考架構示範如何在 Azure 中建立由內部部署 Active Directory 樹系中的網域信任的個別 Active Directory 網域。
Architecture
映射有兩個主要區段:內部部署網路和虛擬網路。 內部部署網路包含 contoso.com、閘道和 Active Directory 伺服器。 虛擬網路區段包含網關子網、應用程式子網、管理子網,以及 Active Directory 網域服務 (AD DS) 子網。 閘道子網具有閘道。 應用程式子網包含網路安全組 (NSG) 和虛擬機 (VM)。 管理子網包含 NSG、VM 和跳躍方塊。 AD DS 區段包含 NSG 和伺服器。 在另一個區段中,箭號會從公用IP位址指向管理子網區段中的 VM。
下載此架構的 Visio 檔案。
Components
內部部署網路 包含自己的 Active Directory 樹系和網域。
Active Directory 伺服器 是實作在雲端中以虛擬機(VM) 身分執行的網域服務的域控制器。 這些伺服器裝載具有一或多個網域的樹系,這些網域與位於內部部署的網域不同。
單向信任關係 可讓內部部署使用者存取 Azure 網域中的資源。 不過,屬於 Azure 網域的用戶無法存取內部部署網域中的資源。 圖表中的範例顯示從 Azure 中的網域到內部部署網域的單向信任。
Active Directory 子網 是裝載 Active Directory 網域服務 (AD DS) 伺服器的個別網路區段。 網路安全組規則會保護這些伺服器,並提供防火牆來防範來自非預期來源的流量。
Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. 如需詳細資訊,請參閱 使用 PowerShell 設定 ExpressRoute 和站對站並存連線。
Scenario details
AD DS 會將身分識別資訊儲存在階層式結構中。 The top node in the hierarchical structure is known as a forest. 樹系包含網域,而網域包含其他類型的物件。 此參考架構會在 Azure 中建立 AD DS 樹系,且具有與內部部署網域的單向連出信任關係。 Azure 中的樹系包含不存在於內部部署的網域。 由於信任關係,對內部部署網域進行的登入可以受到信任,以存取個別 Azure 網域中的資源。
潛在應用情境
此架構的一般用途包括維護雲端中保留的物件和身分識別的安全性區隔。 它們也包括將個別網域從內部部署移轉至雲端。
如需詳細資訊,請參閱 整合內部部署 Active Directory 網域與 Microsoft Entra ID。
Recommendations
您可以將以下建議應用於大多數場景。 除非您有取代這些建議的特定需求,否則請遵循這些建議。
如需如何在 Azure 中實作 Active Directory 的特定建議,請參閱 在 Azure 虛擬網路中部署 AD DS。
Trust
內部部署網域包含在雲端中網域的不同樹系內。 若要啟用雲端內部部署用戶的驗證,Azure 中的網域必須信任內部部署樹系中的登入網域。 同樣地,如果雲端為外部使用者提供登入網域,內部部署樹系可能需要信任雲端網域。
您可以建立樹系 信任 ,或在網域層級 建立外部信任,以在樹系層級建立信任。 樹系層級信任會在兩個樹系中的所有網域之間建立關聯性。 外部網域層級信任只會建立兩個指定網域之間的關聯性。 您應該只在不同樹系中的網域之間建立外部網域層級信任。
Trusts with an on-premises Active Directory are only one way, or unidirectional. 單向信任可讓某個網域或樹系中的使用者存取另一個網域或樹系中的資源,稱為傳出網域或樹系。 連出網域中的用戶無法存取傳入網域中的資源。
下表摘要說明簡單案例的信任設定:
Scenario
On-premises trust
Cloud trust
內部部署使用者需要存取雲端中的資源,但雲端使用者不需要存取內部部署環境中的資源。
One-way, incoming
One-way, outgoing
雲端中的使用者需要存取位於內部部署的資源,但內部部署環境中的使用者不需要存取雲端中的資源。
One-way, outgoing
One-way, incoming
Considerations
這些考量能實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可以用來改善工作負載的品質。 For more information, see Well-Architected Framework.
Reliability
可靠性有助於確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱 可靠性的設計檢閱檢查清單。
為每個網域布建至少兩個域控制器。 此方法可啟用伺服器之間的自動復寫。 為作為處理每個網域的 Active Directory 伺服器之 VM 建立可用性設定組。 將此可用性設定組中至少放置兩部伺服器。
如果與作為彈性單一主要作業角色的伺服器連線失敗,請考慮將每個網域中的一或多部伺服器指定為 待命作業主機 。
安全性
安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱 安全性的設計檢閱檢查清單。
樹系層級信任是可轉移的。 如果您在內部部署樹系與雲端中的樹系之間建立樹系層級信任,信任會延伸到任何一個樹系中建立的新網域。 如果您使用網域來基於安全性目的提供區隔,請考慮只在網域層級建立信任。 網域層級信任不可轉移。
如需 Active Directory 特定的安全性考慮,請參閱在 Azure 虛擬網路中部署 AD DS 中的安全性考慮一節。
Cost Optimization
成本優化著重於減少不必要的費用,並提升營運效率的方式。 如需詳細資訊,請參閱 成本優化的設計檢閱檢查清單。
使用 Azure 定價計算機 來估計此架構中使用的服務成本。
Microsoft Entra 網域服務
請考慮將Microsoft Entra Domain Services 部署為多個工作負載耗用的共用服務,以降低成本。 如需詳細資訊, 請比較自我管理 Active Directory Domain Services、Microsoft Entra ID 和 Managed Microsoft Entra Domain Services。
Azure VPN 閘道
此架構的主要元件是 VPN 閘道服務。 系統會根據閘道布建且可供使用的時間量向您收費。
所有輸入流量都是免費的,而且所有輸出流量都會收費。 因特網頻寬成本會套用至 VPN 輸出流量。
如需詳細資訊,請參閱 VPN 閘道定價。
Operational Excellence
卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 Operational Excellence的設計檢閱檢查清單。
DevOps
For DevOps considerations, see Operational Excellence.
Manageability
如需管理和監視考慮的詳細資訊,請參閱 在 Azure 虛擬網路中部署 AD DS。
請遵循 監視 Active Directory 中的指引。 您可以在管理子網的監視伺服器上安裝 Microsoft System Center 之類的工具,以協助執行這些工作。
Performance Efficiency
效能效率是指工作負載能夠有效率地調整以符合使用者需求。 如需詳細資訊,請參閱 效能效率的設計檢閱檢查清單。
Active Directory 會自動調整屬於相同網域的域控制器。 要求會分散到網域內的所有控制器。 您可以新增另一個域控制器,並自動與網域同步處理。 請勿設定個別的負載平衡器,將流量導向網域內的控制器。 請確定所有域控制器有足夠的記憶體和記憶體資源來處理網域資料庫。 讓所有域控制器 VM 的大小都相同。
Related resources
瞭解如何將 內部部署 AD DS 網域擴充至 Azure 的最佳做法。
瞭解如何在 Azure 中 建立 Active Directory 同盟服務 (AD FS) 基礎結構的 最佳做法。