Active Directory-Integration in Hybrid Cloud erweitern
In Microsoft Windows-orientierten Hybrid-Cloud- und Multi-Cloud-Umgebungen, in denen einige Anwendungen von Directory-Services abhängig sind, ist die Erweiterung und Integration von Microsoft Active Directory (AD) mit Oracle Cloud Infrastructure (OCI) für die Performance und Sicherheit wichtig.
AD ist ein Microsoft-Service, der häufig als Framework für IT-Umgebungen implementiert wird. AD speichert Informationen über Objekte im Netzwerk und erleichtert Administratoren und Benutzern das Suchen und Verwenden (wie Accounts, Berechtigungen, Sicherheits-Policys, DNS). AD verwendet einen strukturierten Datenspeicher als Grundlage für eine logische, hierarchische Organisation von Verzeichnisinformationen.
Hinweis:
Diese Referenzarchitektur baut auf AD-Kenntnissen auf. Wenn AD in Ihrer Organisation verwendet wird, bitten Sie den Systemadministrator um eine ordnungsgemäße Implementierung auf OCI.Architektur
In dieser Referenzarchitektur wird beschrieben, wie Sie die On-Premise-AD-Integration mit OCI in einer Hybrid-Cloud-Umgebung erweitern können.
OCI und AD integrieren - DNS
AD nutzt seine DNS-Funktion, um Services innerhalb einer Domain bereitzustellen. Die DNS-Integration ist ein wichtiger Teil bei der Erweiterung von AD-Umgebungen auf OCI. Damit neue cloud-basierte Server und Services bestimmte AD-Features zuverlässig nutzen können, müssen sie zunächst die von der Domain verwalteten DNS-Datensätze auflösen und in einigen Fällen sogar die Domain verknüpfen können.
- DNS-Weiterleitung: Der Prozess, bei dem eine bestimmte Gruppe von DNS-Abfragen zur Auflösung gemäß dem DNS-Domänennamen in der Abfrage an einen angegebenen Server weitergeleitet wird, anstatt von dem ursprünglichen Server verarbeitet zu werden, der vom Client kontaktiert wurde.
Dieser Prozess verbessert die Netzwerkperformance und -resilienz. Er bietet eine Möglichkeit, Namensabfragen sowohl innerhalb als auch außerhalb des Netzwerks aufzulösen, indem Namespaces oder Ressourcendatensätze, die nicht in der Zone eines lokalen DNS-Servers enthalten sind, zur Auflösung an einen Remote-DNS-Server übergeben werden.
Wenn ein DNS-Server zur Verwendung eines Forwarders konfiguriert ist und eine Namensabfrage nicht mit seiner lokalen primären Zone, sekundären Zone oder seinem Cache auflösen kann, leitet er die Anforderung an den angegebenen Forwarder weiter.
- OCI-DNS - VCN-Resolver: Damit können Instanzen DNS-Hostnamen (die Sie zuweisen können) anderer Instanzen in demselben VCN auflösen.
- OCI-DNS - Endpunkt: Ein Endpunkt ist eine zugewiesene IP für den VCN-Resolver, um DNS-Abfragen weiterzuleiten oder zu empfangen. Ein Weiterleitungsendpunkt ermöglicht das Erstellen von Regeln zum Weiterleiten relevanter Abfragen, die vom AD-DNS aufgelöst werden. Ein Listener hingegen akzeptiert und löst OCI-bezogene Abfragen, die von AD-DNS weitergeleitet werden.
Es wird empfohlen, Weiterleitungsregeln für alle AD-Domains zu erstellen, einschließlich Subdomains und SRV-Ordnern wie "
_msdsc". - Active Directory - Bedingte DNS-Weiterleitungen: Eine Gruppe von DNS-Weiterleitungsregeln, die im AD-DNS-Server enthalten sind. Für die OCI-Integration wird empfohlen, Weiterleitungsregeln für alle OCI-basierten Domains (z.B. den VCN-DNS-Namen) zur privaten Namensauflösung über FastConnect/VPN) zu erstellen.
Das folgende Diagramm zeigt diese Referenzarchitektur.
integr-oci-msft-ad_dns_base-oracle.zip
OCI und AD integrieren - Domainerweiterung
AD verwendet die Standorttopologie, um Ressourcen in Speicherorten zu gruppieren. Eine Directory Service-Site-Topologie ist eine logische Darstellung Ihres physischen Netzwerks, mit der Clientabfragen und der AD-Replikationsdatenverkehr effizient weitergeleitet werden können. Das Entwerfen einer Site-Topologie für AD-Domain-Services umfasst die Planung der Platzierung und des Designs von Sites, Subnetzen, Site-Links und Site-Link-Bridges für das effiziente Abfrage-Routing und die Trafficreplikation.
Die Standorttopologie wirkt sich erheblich auf die Performance Ihres Netzwerks und die Fähigkeit Ihrer Benutzer zum Zugriff auf Netzwerkressourcen aus. Anwendungen und Benutzer, die AD-Services nutzen, benötigen Zugriff auf einen Domaincontroller. Um einen konsistenten Service zu gewährleisten, platzieren die meisten Organisationen regionale Domaincontroller für alle regionalen Domains, die an einem bestimmten Standort dargestellt werden.
Für maximale Performance und Zuverlässigkeit wird empfohlen, AD um OCI-Standorte zu erweitern, indem die relevante Sitedarstellung für die abonnierten Regionen, die Subnetzdarstellung für die bereitgestellten VCNs und die Implementierung von OCI-basierten Domaincontrollern erstellt wird.
- Domaincontroller: Das Herzstück des Microsoft AD-Dienstes. Ist für den Netzwerkzugriff auf Domainressourcen verantwortlich. Es authentifiziert Benutzer, speichert Benutzeraccount- und Hostinformationen und erzwingt Policys für eine Domain. Domaincontroller können schreibgeschützt oder schreibgeschützt (RODC) sein. Pro Deployment ist jedoch mindestens ein beschreibbarer Domaincontroller erforderlich.
- Site: AD-Objekte, die ein oder mehrere TCP/IP-Subnetze mit extrem zuverlässigen und schnellen Netzwerkverbindungen darstellen. Mit Siteinformationen können Administratoren AD-Zugriff und Replikation konfigurieren, um die Nutzung des physischen Netzwerks zu optimieren. Siteobjekte sind mit einem Set von Subnetzen verknüpft, und jeder Domaincontroller in einem Wald wird entsprechend seiner IP-Adresse mit einem AD-Standort verknüpft. Sites können Domaincontroller aus mehreren Domains hosten, und eine Domain kann in mehreren Sites dargestellt werden.
- Site-Links: AD-Objekte, die logische Pfade darstellen, mit denen der Knowledge Consistency Checker (KCC) eine Verbindung zur AD-Replikation herstellt. Ein Site-Link-Objekt stellt eine Gruppe von Sites dar, die zu einheitlichen Kosten über einen bestimmten Transport zwischen Standorten kommunizieren können.
- AD-Subnetz: Eine logische Darstellung eines Segments eines TCP/IP-Netzwerks, dem ein Satz von IP-Adressen zugewiesen ist. Subnetze gruppieren Computer so, dass ihre physische Nähe zum Netzwerk identifiziert wird. Subnetzobjekte in AD identifizieren die Netzwerkadressen, die zum Zuordnen von Computern zu Sites verwendet werden.
- Schema: Eine Gruppe von Regeln, die Klassen von Objekten und Attributen definiert, die im Verzeichnis enthalten sind, die Constraints und Grenzwerte für Instanzen dieser Objekte und das Format ihrer Namen.
- Globaler Katalog: Enthält Informationen zu jedem Objekt im Verzeichnis. Dadurch können Benutzer und Administratoren Verzeichnisinformationen suchen, unabhängig davon, welche Domain im Verzeichnis die Daten enthält.
Das folgende Diagramm zeigt diese Referenzarchitektur.
integr-oci-msft-ad-arch-oracle.zip
Die Architektur besteht aus folgenden Komponenten:
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der ein oder mehrere Data Center enthält, die als Availability-Domains bezeichnet werden. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).
- Virtuelles Cloud-Netzwerk (VCN) und Subnetze
Ein VCN ist ein anpassbares, Software definiertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie bei Data Center-Netzwerken erhalten Sie mit VCNs eine vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke enthalten, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain erstrecken. Jedes Subnetz besteht aus einem fortlaufenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
- Dynamisches Routinggateway (DRG)
Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen VCNs in derselben Region zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie einem VCN in einer anderen Oracle Cloud Infrastructure-Region, einem On-Premise-Netzwerk oder einem Netzwerk in einem anderen Cloud-Provider.
- FastConnect
Mit Oracle Cloud Infrastructure FastConnect können Sie ganz einfach eine dedizierte, private Verbindung zwischen Ihrem Data Center und Oracle Cloud Infrastructure erstellen. FastConnect bietet Optionen mit höherer Bandbreite und ein zuverlässigeres Netzwerk als bei internetbasierten Verbindungen.
- Site-to-Site-VPN
Site-to-Site VPN stellt IPSec VPN-Konnektivität zwischen dem On-Premise-Netzwerk und den VCNs in Oracle Cloud Infrastructure bereit. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor die Pakete von der Quelle zum Ziel übertragen werden, und entschlüsselt den Traffic beim Empfang.
- Routentabelle
Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen zu Zielen außerhalb eines VCN weitergeleitet wird, im Allgemeinen über Gateways.
- Sicherheitsliste
Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Typ des Traffics angeben, die in das Subnetz ein- und ausgehen dürfen.
Empfehlungen
- Domaincontroller
Für High Availability sollten zwei oder mehr Domaincontroller bereitgestellt werden. Wenn Sie mehr als einen Domaincontroller bereitstellen, sollten Sie das Deployment in separaten Availability-Domains in Erwägung ziehen.
- Sites
Wenn mehrere Domaincontroller in mehreren Availability-Domains bereitgestellt werden, können Sie jede Availability-Domain als eigene AD-Site behandeln und gleichzeitig Prioritätssitelinks für interne OCI-Replikation und -Verfügbarkeit konfigurieren.
- DNS
Nachdem mindestens ein Domaincontroller auf OCI bereitgestellt wurde, wird empfohlen, die DNS-Weiterleitungsregeln zu bearbeiten, um sie auf den lokalen OCI-Domaincontroller aufzulösen.
Hinweise
Berücksichtigen Sie bei der Implementierung dieser Referenzarchitektur die folgende Option.
- DNS
Alle AD-Domains müssen weitergeleitet werden, einschließlich Subdomains und SRV-Ordnern wie
_msdsc. In einigen Fällen können weitere benutzerdefinierte Domains vorhanden sein (z.B. wenn eine interne Domain mit einer öffentlichen Domain kollidiert). Es wird empfohlen, eine Liste aller Regeln zu exportieren und diese in OCI mit einer Umleitung zum AD-DNS abzugleichen.Routing und DNS-Weiterleitung sind VCN-weit und nicht von Domainverknüpfungen abhängig.