甲骨文云深化混合云中的Active Directory集成：拓展与融合

在以Microsoft Windows为主的混合云和多云环境中，一些应用程序依赖于目录服务，因此将Microsoft Active Directory (AD)与Oracle Cloud Infrastructure (OCI)进行扩展和集成对于性能和安全性来说非常重要。

AD是Microsoft的一项服务，通常作为IT环境的框架来实施。AD存储有关网络上对象的信息，并使管理员和用户易于查找和使用这些信息（如账户、权限、安全策略、DNS）。AD使用结构化的数据存储作为目录信息的逻辑层次组织的基础。

注意：此参考架构基于AD知识构建。如果您的组织中使用AD，请联系系统管理员以在OCI上进行适当的实施。

架构

本参考架构描述了如何在混合云环境中扩展本地AD与OCI的集成。

OCI和AD集成 - DNS

AD依靠其DNS功能在域内提供服务。DNS集成是在OCI上扩展AD环境的关键部分。为了使新的基于云的服务器和服务可靠地利用某些AD功能，它们首先必须能够解析由域管理的DNS记录，并且在某些情况下，甚至需要加入域。

• DNS转发：将特定DNS查询转发到指定服务器以根据查询中的DNS域名进行解析的过程，而不是由客户端首次联系的服务器处理。
• 此过程改善了网络性能和弹性。它提供了一种方法，可以通过将本地DNS服务器的区域中不包含的命名空间或资源记录传递给远程DNS服务器来解析，从而在网络内外解析名称查询。
• 当DNS服务器配置为使用转发器时，如果它无法使用其本地主区域、辅助区域或缓存解析名称查询，它会将请求转发给指定的转发器。
• OCI DNS - VCN解析器：使实例能够解析同一VCN中其他实例的DNS主机名（您可以分配）。
• OCI DNS - 端点：为VCN解析器分配的IP，用于转发或监听（接收）DNS查询。转发端点将允许创建规则，将相关查询转发给AD DNS进行解析，而监听器将接受并解析从AD DNS转发的OCI相关查询。
• 建议为所有AD域创建转发规则，包括子域和诸如"_msdsc"之类的SRV文件夹。
• Active Directory - DNS条件转发器：包含在AD DNS服务器内的一组DNS转发规则。对于OCI集成，建议为所有基于OCI的域创建转发规则，例如VCN DNS名称，以便通过FastConnect/VPN进行私有名称解析。

以下图表展示了这一参考架构。

OCI和AD集成 - 域扩展

AD使用站点拓扑来将资源分组到位置。目录服务站点拓扑是您物理网络的逻辑表示，有助于高效路由客户端查询和AD复制流量。为AD域服务设计站点拓扑涉及规划域控制器的放置，以及设计站点、子网、站点链接和站点链接桥，以确保高效的查询路由和流量复制。

站点拓扑显著影响您网络的性能和用户访问网络资源的能力。利用AD服务的应用程序和用户需要访问域控制器。为了确保一致的服务，大多数组织会为给定位置的所有区域域部署区域域控制器。

为了获得最大的性能和可靠性，建议将AD扩展到包括OCI位置，通过为订阅的区域创建相关的站点表示、为部署的VCN创建子网表示，以及实施基于OCI的域控制器。

• 域控制器：Microsoft AD服务的核心。负责允许访问域资源的网络访问。它认证用户，存储用户账户和主机信息，并为域执行策略。域控制器可以是可写的或只读的（RODC），但每个部署至少需要一个可写的域控制器。
• 站点：代表一个或多个具有高可靠性和快速网络连接的TCP/IP子网的AD对象。站点信息允许管理员配置AD访问和复制，以优化物理网络的使用。站点对象与一组子网相关联，森林中的每个域控制器根据其IP地址与一个AD站点相关联。站点可以托管来自多个域的域控制器，一个域可以在多个站点中表示。
• 站点链接：代表知识一致性检查器（KCC）用于建立AD复制连接的逻辑路径的AD对象。站点链接对象代表一组可以通过指定的跨站点传输以统一成本进行通信的站点。
• AD子网：TCP/IP网络的一个段的逻辑表示，分配给一组IP地址。子网以一种方式对计算机进行分组，标识它们在网络上的物理接近性。AD中的子网对象标识用于将计算机映射到站点的网络地址。
• 架构：一组规则，定义了目录中包含的对象和属性的类别、这些对象实例的约束和限制，以及它们名称的格式。
• 全局目录：包含目录中每个对象的信息。这使用户和管理员无论哪个域实际包含数据，都能找到目录信息。

以下图表展示了这一参考架构。

架构包括以下组件：

地区（Region）

Oracle Cloud Infrastructure地区是一个包含一个或多个数据中心（称为可用性域）的地理区域。地区相互独立，它们之间可能相隔很远（跨越国家甚至大陆）。

虚拟云网络（VCN）和子网

VCN是您在Oracle Cloud Infrastructure地区中设置的可自定义、软件定义的网络。与传统数据中心网络一样，VCN使您完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块，这些块在创建VCN后可以更改。您可以将VCN分割为子网，这些子网可以是针对地区或可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。创建后，您可以更改子网的大小。子网可以是公共的或私有的。

动态路由网关（DRG）

DRG是一个虚拟路由器，提供同一地区内VCN之间、VCN与地区外网络（如另一个Oracle Cloud Infrastructure地区的VCN、本地网络或其他云提供商的网络）之间的私有网络流量路径。

FastConnect

Oracle Cloud Infrastructure FastConnect提供了一种简单的方法来创建您的数据中心与Oracle Cloud Infrastructure之间的专用、私有连接。FastConnect提供更高带宽选项和相比基于互联网的连接更可靠的网络体验。

站点到站点VPN（Site-to-Site VPN）

站点到站点VPN提供了您的本地网络与Oracle Cloud Infrastructure中VCN之间的IPSec VPN连接。IPSec协议套件在数据包从源传输到目的地之前对IP流量进行加密，并在流量到达时解密。

路由表（Route table）

虚拟路由表包含将子网流量路由到VCN外部目的地的规则，通常通过网关。

安全列表（Security list）

对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

推荐

以下推荐可以作为一个起点。您的需求可能与这里描述的架构不同。

域控制器（Domain Controllers）

考虑部署两个或更多域控制器以实现高可用性。如果部署多于一个域控制器，考虑在不同的可用性域中部署。

站点（Sites）

如果在多个可用性域中部署了多个域控制器，可以将每个可用性域视为其自己的AD站点，同时配置优先级站点链接，以实现内部OCI复制和可用性。

DNS

一旦至少一个域控制器在OCI上部署，建议编辑DNS转发规则，使其解析到本地OCI域控制器。

考虑因素实施此参考架构时，请考虑以下选项。

DNS

所有AD域都应被转发，包括子域和诸如_msdsc这样的SRV文件夹。在某些情况下，可能存在进一步的自定义域（例如，如果内部域与公共域冲突）。建议导出所有规则的列表，并在OCI上与重定向到AD DNS的规则相匹配。路由以及DNS转发是VCN范围内的，并且不依赖于域加入。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。