Microsoft deler overvejelser med hensyn til at udvide AD til Windows Azure

Der er mange grunde til, at du måske ønsker at udvide din Microsoft Windows Active Directory (AD) -skov til Microsofts offentlige sky - Windows Azure. Microsoft meddelte i juni 2012, at infrastruktur som en tjeneste (IaaS) -funktioner såsom Virtual Machines (VMs) var tilgængelige i Windows Azure. Mens de stadig er i en "prøve" -fase efter seks måneder, har Microsoft fortsat med at tilføje nye funktioner til Azure og offentliggøre ny receptpligtig vejledning om brug af Azure IaaS med Microsoft-produkter.

Kører og udvider AD til Azure

Et vigtigt Microsoft-dokument, "Retningslinjer for distribution af Windows Server Active Directory på Windows Azure Virtual Machines" blev offentliggjort i oktober 2012. Directory, enterprise og cloud arkitekter sætter pris på - og kan med rette insistere på - at Microsoft offentliggør "bedste praksis" til nøgle arkitekturer, som de gælder for Windows Azure. At følge disse arkitekturrammer reducerer risikoen ved at oprette fælles og offentlige grundregler, der, når de følges, gør det muligt for Microsofts økosystem at arbejde bedst.

Microsoft fremskynder vedtagelsen af ​​Azure IaaS ved at give kunder og partnere mulighed for at fortsætte med at skubbe grænserne for hvad der er muligt med Azure IaaS. For at udvide AD-tjenester såsom katalog og autentificering til VM'er i Azure, kan en arkitekt nu begynde at inkludere domænecontrollere (DC'er) og Read-only DC'er (RODC'er) i Azure som en del af et design eller en løsning. Microsoft lader dig BYON (medbringe dit eget netværk) i Windows Azure, så det er teknisk muligt at forbinde på stedet, WAN og private sky-netværk sikkert med virtuelle Azure-netværk.

Drivere mod at udvide AD til Azure

Når du først har en masse VM'er i Azure-skyen, der er knyttet til dit domæne på stedet, vil du opdage, at det kan være en god ide at have en DC eller RODC i det samme virtuelle Azure-netværk. Her er nogle tekniske og forretningsdrivere til dette:

  1. Latency i AD-godkendelsen, fordi trafikken bevæger sig med internethastighed snarere end LAN-hastighed. AD-klientprocesser som Kerberos er følsomme over for timing. Nogle virtuelle Azure-netværksforbindelser kan vise sig at være for langsomme til krævende applikationer eller dem med kort godkendelsestimeout.
  2. Resiliency af applikationer, der kører på IaaS VMs. Overvej, at hvis det virtuelle Azure-netværk til de lokale DC'er mislykkes, vil AD-baserede operationer i skyen ophøre. Hvis der imidlertid er en AD-kopi i Azure, såsom den der findes på en DC eller korrekt konfigureret RODC, kan Azure-skyen overleve midlertidigt tab af forbindelse til det lokale netværk.
  3. Azure download båndbreddeafgifter gemmes ved at holde AD-relateret netværkstrafik som DNS og LDAP i skyen. Der er ingen afgift for uploads til Azure, så en RODC i Azure, som ikke har nogen udgående replikeringskanal, sparer penge i forhold til at Azure VMs bruger det virtuelle Azure-netværk til al AD-trafik.
  4. Du har muligvis bare brug for AD i Azure, ikke nødvendigvis for at udvide din eksisterende AD til Windows Azure ved hjælp af det virtuelle Azure-netværk; faktisk kan du muligvis implementere AD fuldstændigt i dit virtuelle Azure-netværk. Et selvstændigt AD, der kun lever i din Azure-sky, leverer muligvis katalog- og autentificeringstjenester til elastiske klynger eller gårde af computere, der ikke har behov for godkendelse med en lokal AD.

Opret et AD-sted i Windows Azure

Microsoft gør det klart, at Azure VMs, der er vært for AD DS-roller, kun er meget forskellige med hensyn til, hvordan du vil ansætte og styre DC- og RODC-roller på VM'er i ethvert virtualiseringsmiljø. Windows Azure er grundlæggende et massivt netværk af Hyper-V-værter, så generelle forholdsregler med hensyn til at sikre AD-genvindbarhed, når AD er implementeret på VM'er, gælder for VM'er i Azure.

Et simpelt problem at overvinde involverer Azure IaaS VM'er, der altid har dynamisk tildelte netværksadresser. Faktisk vil Azure IaaS VM'er modtage adresser i det netværksundernet, du specificerer under konfigurationen af ​​det virtuelle Azure-netværk. De dynamiske adresser er også permanente i VM'ernes levetid. Så du kan ignorere DCPROMO-advarsler om DC'er, der dynamisk har tildelt adresser og behandle Azure-adresserne som permanente, mens VM's netværksgrænseflade er indstillet til at bruge DHCP.

Da Azure-virtuelt netværksopsætning tvinger dig til at definere et specifikt undernet til servere, skal de serverundernet (er), du angiver, naturligvis defineres i AD-websteder og -tjenester. Dette skal du gøre, så snart du opretter et virtuelt Azure-netværk, og inden du tilslutter Azure VMs til stedet-domænet. DC'er og RODC'er, der promoveres i det virtuelle Azure-netværk, vil være korrekt tilknyttet det nye AD-sted for Azure, som du opretter. Konventionel IP-stedstransport bruges til AD-replikation . Figur A viser, hvordan en RODC i Azure ser ud som ethvert andet AD-sted med en RODC.

Figur A

Opret undernet til virtuelle Azure-netværk, og installer Azure-baserede DC'er og RODC'er på deres / de egne Azure-websteder.

Lever en DC med Azure-datadisktype

Her er den virkelig vigtige og specielle detalje, når det kommer til domænecontrollere i Azure: Du skal tilføje en ekstra disk til Azure VM, der vil være en DC, før du kører DCPROMO. Denne anden disk skal være af typen "data", ikke "OS". C: drevet for hver Azure VM er af typen "OS-disk", som har en skrivecache-funktion, der ikke kan deaktiveres. Det anbefales ikke at køre en DC med SYSVOL på en Azure OS-disk og kan forårsage problemer med AD.

Dette betyder, at du ikke må udføre en standardinstallation af DCPROMO på en Azure VM, men snarere vedhæfte en datadisk, derefter køre DCPROMO og finde AD-filer såsom SYSVOL på datadisken, ikke C: -drevet. Dette link hos Microsoft har tjeklister for at tilføje en Azure VM-datadisk eller vedhæfte en tom datadisk:
  • http://www.windowsazure.com/en-us/manage/windows/how-to-guides/attach-a-disk/
Bemærk om et andet produkt : Tag højde for, at der er et andet Microsoft-produkt, Windows Azure Active Directory, som i det væsentlige er et outsourcet AD, der lever fuldstændigt og kun i skyen. Denne service appellerer til Microsoft Office 365, Dynamics CRM Online og Windows InTune-kunder, og denne service er IKKE emnet for denne artikel. Denne artikel introducerer konceptet med at køre konventionelle Windows Server VM'er med AD Directory Services (AD DS) -rollen installeret i Windows Azure, især som en del af hybrid sky inklusive lokal og / eller privat cloud AD.

© Copyright 2020 | mobilegn.com