Георгий Гаджиев Microsoft

Azure AD Office 365 Azure AD Exchange Online SharePoint Online Lync Online CRM Online Windows InTune

Размещение контроллеров домена AD в Windows Azure – то же самое, что и DC в ВМ Некоторые гипервизоры некорректно работают с распределенными службами, включая Active Directory Бизнес-причины Предварительное требование для других приложений и сервисов в Azure Как запасной объект для аутентификации в вашей инфраструктуре Как основной объект аутентификации для чисто облачных инфраструктур Особенности архитектуры Некоторые варианты архитектуры AD больше подходят для облака, чем другие

Безопасно ли виртуализовать DC? Размещение БД Active (DIT) Оптимизация развертывания с точки зрения трафика Read-Only DCs (RODC) или же Read-Writes? Global Catalog или нет? Доверие или репликация? IP-адресация и разрешение имен Геораспределенные облачные DC

Время событий DC 1 ID: A USN: 100 Создание VHD Время: T1 Время: T2 ID: A USN: польз. Доб. Время: T3 ID: A USN: 100 T1 VHD восстановлен Время: T4 ID: A USN: еще польз. Доб. DC2 получает обновления: USNs >100 DC2 получает обновление: USNs >200 DC 2 = 200 = 250 RID Pool: RID Pool: RID Pool: RID Pool: USN-откат не обнаружен: только 50 попали в обработку на 2-х DC Все остальные остались либо на одном, либо на другом DC 150 объектов безопасности (пользователей) с RID имеют SID-конфликты

DIT/sysvol надо разворачивать на дисках данных Data Disks (Диски данных) и OS Disks (Диски ОС) – это 2 разных типа дисков в WindowsAzure Разное поведение (разные настройки по умолчанию) Диски ОС не кэшируют операции записи по умолчанию (в отличие от дисков данных) Диски данных не более 1Тб 1Тб > самая большая известная база Active Directory == нет проблем Почему это важно? Write-behind disk-caching дискредитируют рекомендации и изменения на уровне DC DC использует FUA (forced unit access) и ожидает учитывания этого с точки зрения подсистемы ввода-вывода FUA удостоверяется в том, что все операции записи производятся на надежный носитель Может привести к образованию USN-пузырей в случае сбоя

AD поддерживается в Windows Azure ВМ (Как роль ВМ) Захват/образы не поддерживается для DC Чтобы сделать новый DC разверните ВМ и промотируйте ее до DC

Учтите стоимость и выберите оптимальный вариант Входящий трафик бесплатен, исходящий - нет Стандартное стоимость трафика в Azure Номинальная стоимость за час работы шлюза Вкл./Выкл. по запросу Если выкл. – то ВМ изолированы от частной сети вашего ЦОД RODC являются самыми эффективными с этой точки зрения

Наконец, RODC никогда не реплицируют наружу Не распространяют кэшируемую информацию Нет затрат на внешний трафик Использование RODC для Azure – это глупо? Или нет? Ну это не для этого… RODC нужен для небезопасных дочерних точек Доверяйте ли вы ЦОД с Windows Azure?

GC для аутентификации множества доменов и лесов Задачи, которые аутентифицируются через DC в облаке генерируют исходящий трафик Используется для расширения универсальных групп Universal Group (членство) Менее предсказуемо с точки зрения стоимости (размещается каждый домен) Полная непредсказуемость в случае внешнего сервиса, который аутентифицируется через AD Может задействовать Universal Group Membership Caching В основном реплицирует только входящий трафик Внешняя репликация возможна со сторонними GC

Выбор Добавление реплик DС в облаке или создать новый лес и настроить траст? Kerberos или Федерация Мотиваторы Безопасность (Выбор метода аутентификации) Соответствие/регуляторы (HBI/PII) Цена Репликация и аутентификация генерируют трафик Непрерывность/катастрофоустойчивость Если падает канал, траст-сценарии также станут недоступны

Разрешение имен Развертывание Windows Server DNS на контроллере домена Windows Azure DNS не соответствует комплексному разрешению имен необходимому для Active Directory (DDNS, SRV записи, и т.п..) Критический момент для контроллеров и присоединенных клиентах Нужно иметь возможность регистрации (DC) и разрешения имен ресурсов своими силами Так как статическая адресация не поддерживается, эти параметры настраиваются в виртуальной сети (ее свойства) ВМ Azure требует DHCP leased addresses но лизы не истекают и не перемещаются между ВМ Нестатическая конфигурация в Active Directory непривычна для сисадминов When an Azure VM leases an address, it is routable for the period of the lease Период лиза = время жизни службы все отлично Традиционные практики для развертывания локальных DC неприменимы! Не назначайте статическим адрес, даже если он раньше был назначен лизом Все будет хорошо, пока лиз не станет просроченным – и сервис не перестанет работать не подходит для DC

Весь трафик репликации идет мимо локальных DC Может генерировать большие объемы исходящего трафика Привлекательные опции для геораспр. DC Катастрофоустойчивость Близкое расположение к удаленным офисам (низкая латенстность) Нет прямой связи вирт. Сеть – вирт. сеть Необходимо по одному туннелю в частную сеть от каждой виртуальной сети и ее шлюза X HQ AsiaUS

Развертывание DC как облачной службы Облачный сервис для клиентов Место: North Central US Имя: app-cloudservice.cloudapp.net Affinity-группа: ADAG Развертывание Вирт. сеть : MyVNET DNS IP: ВМ Имя роллы: advm1 Подсеть: AppSubnet IP Address: Облачный сервис AD для DC Место: North Central US Имя: ad-cloudservice.cloudapp.net Affinity-группа: ADAG Развертывание Вирт. сеть: ADVNET DNS IP: (ЦОД AD IP) ВМ Имя роллы: ad-dc Подсеть: ADSubnet IP Address: DIP Подписка Windows Azure

VPN-туннель «сайт-сайт» AD Authentication + On-Premises Resources Contoso.com Active Directory Балансировщик Публ. IP

VPN-туннель «сайт-сайт» AD-аутентификация + Ресурсы локального ЦОД Contoso.com Active Directory AD Auth Балансировщик Публ. IP

Балансировщик Публ. IP VPN-туннель «сайт-сайт» Локальные ресурсы ЦОД Contoso.com Active Directory AD Авт. Внешняя Active Directory fabrikam.com

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.