Microsoft deler betraktninger for å utvide AD til Windows Azure

Det er mange grunner til at du kanskje vil utvide Microsoft Windows Active Directory (AD) -skogen til Microsofts offentlige sky - Windows Azure. Microsoft kunngjorde i juni 2012 at Infrastructure as a Service (IaaS) -funksjoner som virtuelle maskiner (VM) var tilgjengelige i Windows Azure. Mens de fortsatt var i en "prøve" -fase etter seks måneder, har Microsoft fortsatt å legge til nye funksjoner til Azure og publisere nye reseptbelagte veiledninger om bruk av Azure IaaS med Microsoft-produkter.

Kjører og utvider AD til Azure

Et viktig Microsoft-dokument, "Retningslinjer for distribusjon av Windows Server Active Directory på Windows Azure Virtual Machines" ble publisert i oktober 2012. Katalog-, foretaks- og skyarkitekter setter pris på - og kan med rette insistere på - Microsoft publiserer "best practices" for nøkkel arkitekturer slik de gjelder for Windows Azure. Å følge disse arkitekturrammer reduserer risikoen ved å lage felles og offentlige grunnregler som, når de blir fulgt, gjør det mulig for Microsofts økosystem å fungere på sitt beste.

Microsoft akselererer adopsjonen av Azure IaaS ved å styrke kunder og partnere til å fortsette å presse grensene for hva som er mulig med Azure IaaS. For å utvide AD-tjenester som katalog og autentisering til VM-er i Azure, kan en arkitekt nå begynne å inkludere Domain Controllers (DCs) og Read-only DCs (RODCs) i Azure som en del av en design eller løsning. Microsoft lar deg BYON (ta med ditt eget nettverk) inn i Windows Azure, så det er teknisk mulig å koble på stedet, WAN og private sky-nettverk sikkert med virtuelle Azure-nettverk.

Drivere mot å utvide AD til Azure

Når du har en haug med VM-er i Azure-skyen som er koblet til ditt domene på stedet, vil du oppdage at det å ha en DC eller RODC i det samme virtuelle Azure-nettverket kan være en god idé. Her er noen tekniske og forretningsdrivere for dette:

  1. Latens i AD-godkjenningen fordi trafikken beveger seg med Internett-hastighet i stedet for LAN-hastighet. AD-klientprosesser som Kerberos er følsomme for timing. Noen virtuelle nettverkstilkoblinger Azure kan vise seg å være for trege for krevende applikasjoner eller de med kort autentisering.
  2. Resiliency av applikasjonene som kjører på IaaS VMs. Tenk på at dersom det virtuelle Azure-nettverket til de lokale DC-ene mislykkes, vil AD-baserte operasjoner i skyen opphøre. Imidlertid, hvis det er en AD-kopi i Azure, for eksempel den som er funnet på en DC eller riktig konfigurert RODC, kan Azure-skyen overleve midlertidig tap av tilkobling til stedet-nettverket.
  3. Azure nedlasting båndbredde kostnader blir lagret ved å holde AD-relatert nettverkstrafikk som DNS og LDAP i skyen. Det er ingen kostnad for opplastinger til Azure, så en RODC i Azure, som ikke har noen utgående replikeringskanal, vil spare penger sammenlignet med at Azure VMs bruker det virtuelle Azure-nettverket for all AD-trafikk.
  4. Du trenger kanskje bare AD i Azure, ikke nødvendigvis for å utvide din eksisterende AD til Windows Azure ved å bruke virtuelt Azure-nettverk; faktisk kan du distribuere AD fullstendig i det virtuelle Azure-nettverket. Et selvstendig AD som bare lever i Azure-skyen, kan gi katalog- og autentiseringstjenester til elastiske klynger eller gårdsbruk av datamaskiner som ikke har behov for autentisering med et lokalt AD.

Opprett et AD-nettsted i Windows Azure

Microsoft gjør det klart at Azure VM-er som er vert for AD DS-roller, er lite forskjellige når det gjelder hvordan du bruker og administrerer DC- og RODC-roller på VM-er i ethvert virtualiseringsmiljø. Windows Azure er i grunnen et massivt nettverk av Hyper-V-verter, så generelle forholdsregler for å sikre AD-utvinnbarhet når AD er distribuert på VM-er, gjelder VM-er i Azure.

Et enkelt problem å overvinne innebærer at Azure IaaS VM-er alltid har dynamisk tildelte nettverksadresser. Egentlig vil Azure IaaS VMs motta adresser i nettverksundernettet du spesifiserer under konfigurasjonen av det virtuelle Azure-nettverket. Dessuten er de dynamiske adressene permanente for VMs levetid. Så du kan ignorere DCPROMO-advarsler om DC-er som dynamisk har tildelt adresser og behandle Azure-adressene som permanente, mens du holder VMs nettverksgrensesnitt satt til å bruke DHCP.

Siden Azure-virtuelle nettverksoppsett vil tvinge deg til å definere et spesifikt undernett for servere, skal serverundernettene du angir, naturligvis defineres i AD Sites and Services. Dette er noe du bør gjøre så snart du etablerer et virtuelt Azure-nettverk og før du blir med Azure VM-er til stedet-domenet. DC-er og RODC-er som er promotert i det virtuelle Azure-nettverket, vil være riktig tilknyttet det nye AD-nettstedet for Azure som du oppretter. Konvensjonell IP-stedstransport brukes til AD-replikering . Figur A viser hvordan en RODC i Azure ser ut som et hvilket som helst annet AD-sted med en RODC.

Figur A

Lag subnett for virtuelle Azure-nettverk, og installer Azure-baserte DC-er og RODC-er på deres eget Azure-nettsted (er).

Gi en DC med Azure-datadisktype

Her er den virkelig viktige og spesielle detaljene når det gjelder domenekontrollere i Azure: Du må legge til en ekstra disk til Azure VM som vil være en DC, før du kjører DCPROMO. Denne andre disken må være av typen "data", ikke "OS". C: -stasjonen på hver Azure VM er av typen "OS-disk", som har en skrivebufferfunksjon som ikke kan deaktiveres. Å kjøre en DC med SYSVOL på en Azure OS-disk anbefales ikke og kan forårsake problemer med AD.

Dette betyr at du ikke må utføre en standardinstallasjon av DCPROMO på en Azure VM, men heller koble til en datadisk, deretter kjøre DCPROMO og finne AD-filer som SYSVOL på datadisken, ikke C: -stasjonen. Denne lenken hos Microsoft har sjekklister for å legge til en Azure VM-datadisk eller legge ved en tom datadisk:
  • http://www.windowsazure.com/en-us/manage/windows/how-to-guides/attach-a-disk/
Merknad om et annet produkt : Ta i betraktning at det er et annet Microsoft-produkt, Windows Azure Active Directory, som egentlig er et outsourcet AD som lever fullstendig og bare i skyen. Denne tjenesten appellerer til Microsoft Office 365, Dynamics CRM Online og Windows InTune-kunder, og denne tjenesten er IKKE temaet i denne artikkelen. Denne artikkelen introduserer konseptet med å kjøre konvensjonelle Windows Server VM-er med AD Directory Services (AD DS) -rollen installert i Windows Azure, spesielt som en del av hybrid sky inkludert lokal og / eller privat sky AD.

© Copyright 2020 | mobilegn.com