Hola:

Recientemente hemos escuchado de empresas que quieren proteger sus controladores de dominio hacia Azure para tener alta disponibilidad.  Para extender tu dominio hacia la nube de Azure para los equipos implementados en Azure y además tener alta disponibilidad de tu controlador de dominio, puedes implementar un controlador de dominio replicado en Azure, adicionalmente te va a dar más ventajas para los recursos implementados en Azure empezando por la disminución de los tiempos de latencia.

Los requerimientos para implementar Windows Server Active Directory on Azure tiene muy poca diferencia de la implementación en máquinas virtuales en sitio.

He aquí la arquitectura típica de esta solución.

Descargue un archivo Visio de esta arquitectura.

Esta arquitectura suele usarse cuando la red local y la red virtual de Azure están conectadas mediante una conexión VPN o ExpressRoute. Esta arquitectura también admite la replicación bidireccional, lo que significa que los cambios se pueden realizar en el entorno local o en la nube, de tal forma que se mantiene la coherencia de ambos orígenes. Los usos típicos de esta arquitectura incluyen aplicaciones híbridas en las que la funcionalidad se distribuye entre el entorno local y Azure, y las aplicaciones y los servicios que realizan la autenticación con Active Directory.

Esta arquitectura tiene los siguientes componentes:

• Red en sitio.
• Servidores de Directorio Activo
• Relación de confianza en un sentido.
• Subnet de Directorio Activo
• Gateway de Azure.

RECOMENDACIONES GENERALES:

Cree un disco de datos virtual independiente para almacenar la base de datos, los registros y la carpeta Sysvol para Active Directory. No almacene estos elementos en el mismo disco que el sistema operativo. De forma predeterminada, los discos de datos que están conectados a una máquina virtual usan el almacenamiento en caché de escritura. Sin embargo, esta forma de almacenamiento en caché puede entrar en conflicto con los requisitos de AD DS. Por ello, establezca la preferencia de caché de host en el disco de datos en “Ninguna”.

Implemente al menos dos máquinas virtuales que ejecuten AD DS como controladores de dominio y agréguelas a un conjunto de disponibilidad. Además, considere la posibilidad de asignar el rol de maestro de operaciones en espera al menos a un servidor y, posiblemente, más en función de sus requisitos. Un maestro de operaciones en espera es una copia activa del maestro de operaciones que se puede usar en lugar del servidor de maestros de operaciones principal durante la conmutación por error.

AD DS está diseñado para ofrecer escalabilidad. No es necesario configurar un equilibrador de carga o un controlador de tráfico para dirigir las solicitudes a controladores de dominio de AD DS. La única consideración de escalabilidad consiste en configurar las máquinas virtuales que ejecutan AD DS con el tamaño correcto para los requisitos de la carga de red, supervisar la carga en las máquinas virtuales y escalar y reducir verticalmente, según sea necesario.

Hay disponible una implementación de esta arquitectura en GitHub. Toda la implementación puede tardar hasta dos horas, lo que incluye la creación de la puerta de enlace de VPN y la ejecución de los scripts que configuran AD DS.

PROCEDIMIENTO DETALLADO:

Para la documentación detallada y los procedimientos paso a paso, favor de ir al enlace:
Extend your on-premises Active Directory domain to Azure




Gracias y esperamos que sea de su agrado.

Saludos

Mariano Carro