Azure AADDS 多区域

Question

需要一些关于如何为 AADDS 实现 "true" 多区域设置的指示。 根据 Microsoft 的文档，AADDS 为 "designed" 为 "single regioned"。虽然它通过旋转基本上 2 个托管域控制器提供了一些（可以说）冗余，但它没有考虑性能。 Microsoft 建议（实际上没有任何其他方法可以做到这一点）设置 VPN 或 VNET 对等互连以便从其他区域访问您的 AADDS，但这对性能和实际冗余有巨大影响（HA 设计应该是多区域 imo，AADDS 应该是 HA）。

我们正在（在撰写此问题时）10 个区域部署 Windows 虚拟机，AADDS 在西欧。我们看到我们的应用程序在 LDAP 上 require/rely（在某些地区 >10s）即使是最基本的 LDAP 查询也有相当小的 return 有效负载。

是否希望有人想出在新区域 mirror/cache AADDS 的方法，例如添加新的工作 DC 或一些黑魔法，以便 VM 和服务在本地连接得更多？

干杯！

Answer 1

Azure AADDS 多区域支持已经是 requested feature and is under works currently. However, there is no ETA to share at the moment. You can follow What's new in Azure Active Directory? 更新。

实现地理冗余的唯一选择是通过 IaaS VM、Vnet 配对和 VPN 网关跨多个区域部署 ADDS。

此外，对于 high availability，每个 Azure AD 域服务托管域都包含两个域控制器。您不管理或连接到这些域控制器，它们是托管服务的一部分。如果将 Azure AD 域服务部署到支持可用性区域的区域，则域控制器分布在多个区域中。在不支持可用性区域的区域中，域控制器分布在可用性集中。您没有配置选项或对此发行版的管理控制。

Answer 2

根据 Azure AADDS FAQ documentation，它们确实支持故障转移到另一个地理位置。

您可以按照 this tutorial 页面为您的 AADDS 部署创建副本集。