以單一登入與 Azure 虛擬機器來部署 AD DS 或 AD FS 和 Office 365

 

適用版本: Office 365

上次修改主題的時間: 2015-04-27

摘要:包含 Office 365 搭配單一登入與 Azure 虛擬機器時,虛擬化和部署 Active Directory 網域服務的指引。

我們聽到了您的意見,目前正在整合我們所有的 Office 365 部署內容。在 2015 年 7 月 1 日,本手冊中的所有資訊都會移動到 https://support.office.com/,並且將從 TechNet 移除這些頁面。當您檢閱仍在 TechNet 的內容時,您會發現許多內容有連結指向已在 https://support.office.com/ 的新內容。

若要瀏覽 https://support.office.com/ 上的可用內容,請從商務用 Office 365 - 管理員說明頁面開始。

將 Windows Server Active Directory 部署在 Azure 虛擬機器上時,指導方針與在內部部署中的虛擬機器或實體電腦 (大部分屬於此) 上執行時相同。相同的最佳做法通常也適用於 Azure 中的虛擬網域控制站。

有關在 Azure 上虛擬化及部署 Active Directory 網域服務 (AD DS) 和 Active Directory Federation Services (AD FS) 的詳細指導方針,請參閱在 Azure 虛擬機器中部署 Windows Server Active Directory 的指導方針

建議您閱讀這些指導方針,以瞭解有關在 虛擬機器 上部署網域控制站的一般指引。

應該遵從的原則如下:

  • 您必須部署讀取/寫入網域控制站。不支援使用唯讀網域控制站進行目錄同步處理。

  • 如果 Active Directory 樹系包含不只一個使用者網域,您必須將每個網域的至少一個網域控制站部署到 Azure 中。如此可確保服務存取不會中斷,同時減少周遊跨單位部署的虛擬私人網路 (VPN) 連線之驗證流量。

  • 建議您部署至少兩個 AD FS 伺服器和兩個 AD FS Proxy 伺服器,讓 AD FS 服務發揮最佳可用性。

  • 網域控制站與 AD FS 伺服器絕對不應直接公開到網際網路上,而且應僅能透過 VPN 連線受到存取。

  • 必須使用 AD FS Proxy 將 AD FS 伺服器發佈到網際網路上。

  • 建議您將網域控制站與 AD FS 伺服器部署為單一同質群組,以減少元件間的延遲。如需詳細資訊,請參閱<同質群組>。

為達到最佳部署,請考慮微調網域控制站定位程式和站台間拓撲產生器 (ISTG) 與站台間訊息服務 (ISM) 流量:

  • 正確地定義及連接 Active Directory 子網路與站台。

  • 確保任何內部部署網站與對應至 Azure 虛擬網路之網站之間的連結成本皆高於內部部署網站連結成本。連結成本越高,表示內部部署電腦越不可能為了執行內部部署作業而透過 VPN 連線至 Azure 中的網域控制站。

  • 確保複寫是由排程驅動,而不是由通知驅動。

  • 確保複寫流量會使用適當的壓縮量。網域控制站會提供各種複寫流量壓縮工具。如需詳細資訊,請參閱<Active Directory 複寫工具和設定>。

  • 調整複寫排程為能夠容許延遲。網域控制站只會複寫最新狀態的值。如果有太多較小的物件變更,降低複寫速度可以節省成本。

AD FS 端點的功用是讓用戶端能夠透過其來存取同盟的應用程式與服務。這類端點會在成功驗證用戶端之後,核發驗證權杖給用戶端。您可以在 AD FS 伺服器上管理這些端點,並且透過 AD FS Proxy 伺服器安全地個別發佈這些端點。

若要讓基本驗證用戶端能夠連線 (包括 Outlook),AD FS 基礎結構必須可透過 AD FS Proxy 在網際網路上受到存取。如果不行,就無法驗證任何 Outlook 用戶端,就算這些用戶端是從組織內部網路連線也一樣。

若要確保可以存取在 Azure 虛擬機器上執行的 AD FS Proxy,您必須設定可允許傳入 AD FS 驗證流量流向 AD FS Proxy 虛擬機器的端點。如需詳細資訊,請參閱在 Azure 中設定對虛擬機器的端點

若要深入了解 AD FS 端點,請參閱規劃 AD FS 部署

 
顯示: