Основные понятия и функции реплик для доменных служб Microsoft Entra
При создании управляемого домена доменных служб Microsoft Entra определяется уникальное пространство имен. Это доменное имя, например contosocloud.com, а затем два контроллера домена (DCs) развертываются в выбранном регионе Azure. Такое развертывание контроллеров домена называется набором реплик.
Вы можете развернуть управляемый домен, чтобы иметь несколько наборов реплик для каждого клиента Microsoft Entra. Наборы реплик можно добавлять в любую пиринговую виртуальную сеть в любом регионе Azure, поддерживающем доменные службы. Дополнительные наборы реплик в разных регионах Azure предоставляют возможности географического аварийного восстановления для устаревших приложений, если регион Azure становится недоступен.
Примечание.
Наборы реплик не позволяют развертывать несколько уникальных управляемых доменов в одном арендаторе Azure. Каждый набор реплик содержит одинаковые данные.
Как работают наборы реплик
При создании управляемого домена, например contosocloud.com, создается начальный набор реплик. Дополнительные наборы реплик используют одно пространство имен и конфигурацию. Изменения в доменных службах, включая конфигурацию, удостоверение пользователя и учетные данные, группы, объекты групповой политики, объекты компьютера и другие изменения применяются ко всем наборам реплик в управляемом домене с помощью репликации AD DS.
Каждый набор реплик создается в виртуальной сети. При этом каждую виртуальную сеть нужно связать с другой виртуальной сетью, на которой размещен набор реплик управляемого домена. Такая конфигурация создает связанную топологию сети, которая поддерживает репликацию каталога. Виртуальная сеть может поддерживать несколько наборов реплик, при условии, что каждый набор реплик будет находится в другой виртуальной подсети.
Все наборы реплик размещаются на одном сайте Active Directory. Благодаря этому все изменения распределяются с помощью внутрисайтовой репликации и обеспечивают быструю синхронизацию.
Примечание.
Определить отдельные сайты, а также параметры репликации между наборами реплик, невозможно.
На следующей схеме можно увидеть управляемый домен с двумя наборами реплик. Первый набор реплик создан с помощью пространства имен домена. Второй набор реплик создается после этого:
Примечание.
Наборы реплик обеспечивают доступность служб проверки подлинности в регионах, где такие наборы реплик были настроены. Чтобы приложение имело географическую избыточность в случае регионального сбоя, платформа приложений, которая использует управляемый домен, также должна находиться в другом регионе.
Наборы реплик не обеспечивают устойчивость других служб, необходимых для работы приложений, например Виртуальных машин Azure или Служб приложений Azure. При проектировании доступности других компонентов приложения необходимо рассмотреть возможность использования возможностей устойчивости для служб, составляющих приложение.
В следующем примере представлен управляемый домен с тремя наборами реплик, которые позволяют обеспечить устойчивость и доступность служб проверки подлинности. В обоих примерах рабочие нагрузки приложений находятся в том же регионе, что и набор реплик управляемого домена:
Рекомендации по развертыванию
SKU по умолчанию для управляемого домена — SKU уровня Корпоративный, который поддерживает несколько наборов реплик. Чтобы создать дополнительные наборы реплик при изменении номера SKU на SKU уровня Стандартный, обновите управляемый домен до уровня Корпоративный или Премиум.
Максимальное количество наборов реплик — пять, включая первую реплику, созданную при создании управляемого домена.
Выставление счетов за каждый набор реплик зависит от номера SKU конфигурации домена. Например, если у вас есть управляемый домен, использующий SKU уровня Корпоративный, и три набора реплик, плата будет взиматься за час использования каждого из трех наборов реплик.
Часто задаваемые вопросы
Можно ли создать набор реплик в подписке, отличающейся от той, в которой содержится управляемый домен?
№ Наборы реплик должны находиться в той же подписке, что и управляемый домен.
Сколько наборов реплик можно создать?
Вы можете создать не более пяти наборов реплик — первоначальный набор реплик для управляемого домена, а также четыре дополнительных набора реплик.
Как синхронизируются сведения о пользователях и группах в моих наборах реплик?
Все наборы реплик соединены друг с другом с помощью пиринга одноранговой виртуальной сети. Один набор реплик получает обновления пользователей и групп из идентификатора Microsoft Entra. Затем эти изменения реплицируются на другие наборы реплик с помощью внутрисайтовой репликации AD DS через одноранговую сеть.
Как и в случае с локальными доменными службами Active Directory, длительное пребывание в отключенном состоянии может привести к нарушению репликации. Поскольку одноранговые виртуальные сети не являются транзитивными, согласно требованиям к проектированию для наборов реплик нужно обеспечить полностью связанную сетевую топологию.
Как изменить управляемый домен после создания наборов реплик?
Вы можете изменять управляемый домен также, как и ранее. Создайте и используйте виртуальную машину управления с инструментами RSAT, которые присоединены к управляемому домену. Вы можете присоединить к управляемому домену столько виртуальных машин управления, сколько нужно.
Следующие шаги
Чтобы приступить к работе с наборами реплик, создайте и настройте управляемый домен доменных служб. А после развертывания создайте и используйте дополнительные наборы реплик.