Πώς να επεκτείνετε την υποδομή Active Directory της επιχείρησης σας, στο Windows Azure.

Οι επιχειρήσεις που θέλουν να εκμεταλλευτούν την δυνατότητα Single Sign-on (SSO), την πρόσβαση δηλαδή στις υπηρεσίες του Microsoft Office 365, αλλά και εκείνες που θέλουν να αναπτύξουν εφαρμογές στο Cloud, για την είσοδο στις οποίες θέλουν να χρησιμοποιούν τον λογαριασμό χρήστη που ήδη έχουν στην υποδομή τους, δηλαδή το Active Directory, πρέπει να εξασφαλίσουν πρόσβαση σε αυτήν την υποδομή του Active Directory, και μάλιστα πρόσβαση συνεχή και αδιάλειπτη.

Σε προηγούμενο άρθρο, που θα βρείτε εδώ, είχαμε εξετάσει τα δύο πιο διαδεδομένα σενάρια τέτοιων υλοποιήσεων, το σενάριο της υλοποίησης της αναγκαίας υποδομής εξ’ ολοκλήρου στο Windows Azure και το σενάριο υλοποίησης πλεονάζουσας υποδομής στο Windows Azure με σκοπό την προστασία από εκτενή βλάβη ή και καταστροφή.

Στο άρθρο αυτό θα αναλύσουμε το πρώτο από τα δύο σενάρια και θα δούμε βήμα προς βήμα πως μπορούμε να αναπτύξουμε μία DMZ (αποστρατικοποιημένη ζώνη) στο Windows Azure, η οποία να είναι συνδεδεμένη με ασφάλεια και κρυπτογράφηση με το εσωτερικό δίκτυο της επιχείρησης μας. Σε αυτήν την DMZ, θα βάλουμε ένα Virtual Machine το οποίο θα κάνουμε Domain Controller. Με λίγα λόγια θα επεκτείνουμε την υποδομή του Active Directory της επιχείρησης μας στο Windows Azure και εκτός των άλλων, θα επωφεληθούμε από την αξιοπιστία της υποδομής και την ταχύτητα των συνδέσεων που αυτό παρέχει.

Περιγραφή της υποδομής

Όπως αναφέρθηκε παραπάνω, στο άρθρο αυτό θα υλοποιήσουμε βήμα – βήμα, την επέκταση της υποδομής της επιχείρησης και συγκεκριμένα της υποδομής «ταυτοποίησης» χρήστη, δηλαδή το Active Directory, στο Windows Azure. Η επέκταση της υποδομής θα επιτευχθεί μέσω ανάπτυξης Virtual Machine, με ρόλο Domain Controller σε δικτυακή ζώνη (DMZ) η οποία θα δημιουργηθεί επίσης στο Windows Azure. Η δικτυακή αυτή ζώνη, η DMZ, θα διασυνδεθεί μέσω κρυπτογραφημένου IPsec, Site-to-Site καναλιού με το κεντρικό δίκτυο της επιχείρησης έτσι ώστε να εξασφαλίζεται η συνεχόμενη ροή πληροφορίας χωρίς καμία παραχώρηση στην εφαρμογή των κανόνων και των πολιτικών ασφαλείας της επιχείρησης.

Η συνολική εγκατάσταση, που απαρτίζεται από το εσωτερικό δίκτυο της εταιρείας και την υποδομή στο Windows Azure, δηλαδή την δικτυακή ζώνη DMZ και τον Domain Controller, συμπεριφέρεται ως ενιαίο σύνολο και εξασφαλίζει την υψηλή διαθεσιμότητα και την προστασία έναντι βλάβης ή και καταστροφής του Active Directory της επιχείρησης .

Το σχεδιάγραμμα της εγκατάστασης που θα υλοποιήσουμε είναι το εξής :

Azure DMZ and VPN Tunnel

Εν συντομία τα βήματα που θα εκτελέσουμε είναι τα εξής :

  1. Προσθήκη της δικτυακής ζώνης DMZ στο On-Premise Active Directory Sites and Subnets
  2. Προσθήκη του On-premise DNS server, στο Windows Azure Virtual Network
  3. Δημιουργία Windows Azure Virtual Network με δυνατότητα Site-to-Site VPN διασύνδεσης
  4. Εγκατάσταση νέου Domain Controller, στην DMZ του Windows Azure

Ας ξεκινήσουμε λοιπόν

Προσθήκη της δικτυακής ζώνης DMZ στο On-Premise Active Directory Sites and Subnets

Η δικτυακή ζώνη DMZ, που θα δημιουργηθεί στο Windows Azure δεν διαφέρει σε κάτι από οποιαδήποτε άλλη δικτυακή ζώνη ή υποδίκτυο της επιχείρησης, που είναι προσβάσιμο μέσω ευρύτερων συνδέσεων WAN, ενώ η προσθήκη της γίνεται ως εξής, επιλέγουμε Server Manager –> Tools –> Active Directory Sites and Services

Azure-DMZ-01

Πρέπει να δημιουργήσουμε ένα νέο Site, το ALABS-DMZ, με δεξί κλικ new site πάνω στον κόμβο Sites

Azure-DMZ-02

Και μετά ένα νέο Subnet, πατώντας δεξί κλικ και μετά New Subnet από τον κόμβο Subnets

Azure-DMZ-03

Με την δημιουργία του Subnet, η προσθήκη της ζώνης DMZ στο on-premise Active Directory έχει ολοκληρωθεί και τώρα η υποδομή της επιχείρησης είναι έτοιμη για τον νέο Domain Controller που θα εγκατασταθεί στην DMZ του Windows Azure.

Προσθήκη του On-premise DNS server, στο Windows Azure Virtual Network

Tην προσθήκη των επιθυμητών DNS Servers στο Windows Azure Virtual Network, όπως και όλες τις εργασίες στο Windows Azure, μπορούμε να τις κάνουμε από την διαχειριστική κονσόλα του Windows Azure ή μέσω PowerShell.

Στην συγκεκριμένη περίπτωση, θα χρησιμοποιήσουμε την διαχειριστική κονσόλα

Azure-DMZ-04

Πηγαίνουμε στο Networks –> DNS Servers και πατάμε New

Azure-DMZ-05

Στην οθόνη που εμφανίζεται καταχωρούμε το όνομα και την διεύθυνση IP του DNS Server, στην περίπτωση μας του Domain Controller, της επιχείρησης μας.

Μέσω αυτής της διαδικασίας μπορούμε να καταχωρήσουμε τους απαραίτητους DNS Servers για την απρόσκοπτη λειτουργία της υποδομής Active Directory της επιχείρησης.

Δημιουργία Windows Azure Virtual Network με δυνατότητα Site-to-Site VPN διασύνδεσης

Για να δημιουργήσουμε ένα Virtual Network μέσω της διαχειριστικής κονσόλας του Windows Azure, πηγαίνουμε στο Networks και πατάμε New

Azure-DMZ-06

Όπως φαίνεται, έχουμε μία πληθώρα επιλογών στην διάθεση μας. Μπορούμε να δημιουργήσουμε ένα Virtual Network, μέσω προεπιλεγμένων ρυθμίσεων με το Quick Create ή να κάνουμε προχωρημένες ρυθμίσεις μέσω του Custom Create

Azure-DMZ-07

Αφού συμπληρώσουμε το όνομα του δικτύου καθώς και το Affinity Group, προχωράμε στο επόμενο βήμα στο οποίο κάνουμε τις απαραίτητες ρυθμίσεις για τους DNS Servers και την διασύνδεση μέσω VPN.

Azure-DMZ-08

Επιλέξαμε τον DNS Server, που είχαμε προσθέσει στο προηγούμενο βήμα καθώς και την δυνατότητα σύνδεσης με τα κεντρικά μέσω διασύνδεσης VPN. Σχετικά με την διασύνδεση με ασφαλή και κρυπτογραφημένο τρόπο, VPN, βλέπουμε ότι υπάρχουν δύο επιλογές μία για διασύνδεση του Virtual Network με το δίκτυο της επιχείρησης μας, SitetoSite και μία για διασύνδεση με μεμονωμένους υπολογιστές, PointtoSite.

Ανάλογα με τις επιλογές που θα κάνουμε, θα πρέπει να βάλουμε τους αριθμούς δικτύων και υποδικτύων, (Network Number)  που θέλουμε να δημιουργηθούν.

Azure-DMZ-09

Στην περίπτωση που απαιτείται διασύνδεση με τα κεντρικά, απαραίτητος είναι ο αριθμός του υποδικτύου του εξοπλισμού διασύνδεσης, Gateway.

Αφού κάνουμε αυτές τις επιλογές, επιλέγουμε την δημιουργία αυτού του Virtual Network, το οποίο και δημιουργείται.

Μόλις δημιουργηθεί το Virtual Network, επιλέγουμε την δημιουργία του VPN Gateway, του μηχανισμού που θα πραγματοποιήσει την κρυπτογραφημένη διασύνδεση με το δίκτυο της επιχείρησης. Αφού δημιουργηθεί το VPN Gateway, πρέπει να κάνουμε τις σχετικές ρυθμίσεις στον περιμετρικό Router / Firewall του δικτύου της επιχείρησης για να αποκατασταθεί η μεταξύ τους Site-to-Site διασύνδεση.

Azure-DMZ-11

Σχετικά με τους περιμετρικούς Routers / Firewalls, υποστηρίζεται μία εκτενής γκάμα από προϊόντα της Cisco και της Juniper για τα οποία μπορούμε να κατεβάσουμε και το απαραίτητο αρχείο ρυθμίσεων έτσι ώστε να αποκατασταθεί η διασύνδεση.

Βέβαια το πρωτόκολλο της διασύνδεσης είναι το IPsec, πράγμα που σημαίνει ότι εάν η συσκευή της επιχείρησης δεν είναι στην λίστα με τα υποστηριζόμενα προϊόντα, αλλά υποστηρίζει το IPsec μπορούμε να δοκιμάσουμε και μόνοι μας να κάνουμε τις απαραίτητες ρυθμίσεις με σκοπό να επιτευχθεί η διασύνδεση.

Εγκατάσταση νέου Domain Controller, στην DMZ του Windows Azure

Αφού ολοκληρωθεί η δημιουργία του Virtual Network στο Windows Azure, καθώς και η κρυπτογραφημένη VPN διασύνδεση με το δίκτυο της επιχείρησης, μπορούμε να δημιουργήσουμε ένα Virtual Machine, που θα το κάνουμε μετά Active Directory Domain Controller.

Ξεκινάμε λοιπόν με το VM. Στην κονσόλα διαχείρισης του Windows Azure, πηγαίνουμε στα Virtual Machines και επιλέγουμε New.

Azure-DMZ-12

Επιλέγουμε, From Gallery για να επιλέξουμε το λειτουργικό του Virtual Machine, το όνομα του, την υπολογιστική του ισχύ καθώς και το υποδίκτυο στο οποίο θα είναι συνδεδεμένο

Azure-DMZ-13

Όταν ολοκληρωθεί η δημιουργία του Virtual Machine, μπορούμε να του προσθέσουμε έναν Data Disk για να αποθηκευτούν οι πληροφορίες του Active Directory αφού το VM θα γίνει Domain Controller. Η εγκατάσταση του ρόλου Domain Controller, γίνεται  όπως σε οποιοδήποτε άλλο Server της επιχείρησης.

Μόλις το Virtual Machine γίνει Active Directory Domain Controller, όπως περιγράψαμε και στην αρχή του άρθρου, η συνολική εγκατάσταση συμπεριφέρεται ως ενιαίο σύνολο και εξασφαλίζει την υψηλή διαθεσιμότητα και την προστασία έναντι βλάβης ή και καταστροφής του Active Directory της επιχείρησης.

 

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

(Spamcheck Enabled)