Azure Active Directory Domain Services ARM Network – Gateway oder VNet-Peering

Zwischen den Feiertagen stand das Thema Azure Active Directory Domain Services auf dem Aufarbeitungsplan. An sich ist das ja keine komplizierte Sache, nur wird aktuell der Service komplett in ASM (manage.windowsazure.com) bereitgestellt. Der Service setzt ein verbundenes VNet voraus. Nun erratet Ihr schon das Problem, es können natürlich direkt keine ARM VNets angebunden werden. Die Kritik dazu ist in den Foren und Blogs schon relativ hoch. Verständlich, warum announced Microsoft im Oktober einen Service GA, der letztlich nur im alten Deploymentmodel zur Verfügung steht. Das es auch anders geht zeigt bspw. der Service StorSimple. In diesem kann man direkt aus ASM – ASM und ARM Speicherkonten hinterlegen.

Generell gibt es zwei Möglichkeiten den Services mit ARM zu verheiraten. Entweder über ein Gateway oder über VNet-Peering. Der Unterschied liegt vor allem in den zusätzlichen Gateway Kosten, auch ist die Einrichtung des Gateways wesentlich komplexer. Dafür kann über das Gateway eine Verbindung zwischen Regionen aufgebaut werden, währenddessen sich VNet-Peerings nur für Verbindungen innerhalb einer Region eignen. In der Doku wird das Thema leider gar nicht behandelt. Es gibt bisher in den offiziellen Microsoft Blogs nur einen Artikel der das Szenario mit Gateway beschreibt. Auch liefert Google nicht gleich den gewünschten Treffer, was mit letztlich zum Schreiben des Beitrages animiert hat.

https://blogs.technet.microsoft.com/markrenoden/2016/06/10/using-azure-active-directory-domain-services-with-arm-vnets/

Die Schritte für das VNet-Peering sind sehr einfach. Nachdem der Azure Active Directory Domain Services komplett samt VNet im ASM erstellt wurde, wechsle ich ins Azure Portal und erstelle ein zweites VNet in einem anderen Adressbereich und verbinde die VNets miteinander. Danach noch der Domain Join und fertig.

143

144

145

147

146

148

Hier auch nochmal die Azure Dokumentation dazu.

https://docs.microsoft.com/de-de/azure/virtual-network/virtual-network-peering-overview

Ob man den Services aktuell produktiv ausrollen sollte ist zumindest fragwürdig. Zum einen holt man sich wieder unnütze ASM Altlast in das Deployment, zum anderen stehen die ganzen modernden Funktionen wie bspw. Role-Based Access Control nicht zur Verfügung.