Esplorare i principali scenari di utilizzo di Active Directory Domain Services e macchine virtuali di Azure

  • 7 minuti

Esistono tre scenari principali che coinvolgono Active Directory Domain Services e le macchine virtuali di Azure:

  • Distribuzione di Active Directory Domain Services in macchine virtuali di Azure senza connettività cross-premise. Questa distribuzione comporta la creazione di una nuova foresta con tutti i controller di dominio che risiedono in Azure. Usare questo approccio se si prevede di implementare carichi di lavoro residenti in Azure che si trovano in macchine virtuali di Azure basate sull'autenticazione Kerberos o Criteri di gruppo, ma prive di dipendenze locali.
  • Distribuzione di Active Directory Domain Services locale già esistente con connettività cross-premise a una rete virtuale di Azure in cui risiedono le macchine virtuali di Azure. Questo scenario usa un ambiente Active Directory locale esistente per fornire l'autenticazione per i carichi di lavoro che risiedono nelle macchine virtuali di Azure. Quando si pensa a questa progettazione, è necessario prendere in considerazione la latenza associata al traffico di rete cross-premise.
  • Distribuzione di Active Directory Domain Services locale già esistente con connettività cross-premise a una rete virtuale di Azure che ospita più controller di dominio nelle macchine virtuali di Azure. L'obiettivo principale di questo scenario è ottimizzare le prestazioni del carico di lavoro tramite la localizzazione del traffico di autenticazione.

Quando si pianifica la distribuzione dei controller di dominio Active Directory Domain Services nelle macchine virtuali di Azure, è necessario considerare quanto segue:

  • Connettività cross-premise. Se si intende estendere l'ambiente Active Directory Domain Services esistente ad Azure, la connettività tra l'ambiente locale e la rete virtuale di Azure è un elemento di progettazione fondamentale. È necessario configurare una rete privata virtuale (VPN) da sito a sito o Microsoft Azure ExpressRoute.
  • Topologia Active Directory. Negli scenari cross-premise è necessario configurare i siti di Active Directory Domain Services in modo da riflettere l'infrastruttura di rete cross-premise. In questo modo, è possibile localizzare il traffico di autenticazione e controllare il traffico di replica tra i controller di dominio locali e quelli basati su macchine virtuali di Azure. La replica all'interno del sito presuppone una larghezza di banda elevata e connessioni disponibili in modo permanente. Al contrario, la replica tra siti consente la pianificazione e la limitazione della larghezza di banda della rete per il traffico di replica. Una progettazione del sito adeguata, inoltre, garantisce che i controller di dominio in un sito specifico gestiscano le richieste di autenticazione provenienti da quel sito.
  • Controller di dominio di sola lettura. Alcuni clienti sono restii a distribuire controller di dominio scrivibili nelle macchine virtuali di Azure, per i problemi di sicurezza che ne potrebbero derivare. Un modo per mitigare questa preoccupazione consiste nel distribuire controller di dominio di sola lettura. I controller di dominio di sola lettura e i controller di dominio scrivibili assicurano esperienze utente analoghe. Tuttavia, i controller di dominio di sola lettura riducono il volume del traffico in uscita e gli addebiti corrispondenti. Questo approccio è una valida soluzione nel caso in cui un carico di lavoro residente in Azure non richieda di frequente l'accesso in scrittura ad Active Directory Domain Services.
  • Posizionamento del catalogo globale. Indipendentemente dalla topologia del dominio, è necessario configurare tutti i controller di dominio basati su macchine virtuali di Azure come server del catalogo globale. Questa disposizione impedisce che le ricerche nel catalogo globale attraversino i collegamenti di rete cross-premise, influendo negativamente sulle prestazioni.