- 01/20/2021
- 5 minutter at læse
-
- J
- k
- k
- M
- i
-
+1
Azure Active Directory Domain Services (AD DS) leverer administrerede domænetjenester som f.eks. domænetilslutning, gruppepolitik, LDAP (Lightweight Directory Access Protocol) og Kerberos/NTLM-godkendelse. Du bruger disse domænetjenester uden at skulle implementere, administrere og patche domænecontrollere (DC’er) i skyen.
Med et administreret Azure AD DS-domæne kan du køre ældre programmer i skyen, som ikke kan bruge moderne godkendelsesmetoder, eller hvor du ikke ønsker, at opslag i mappen altid skal gå tilbage til et lokalt AD DS-miljø. Du kan løfte og flytte disse ældre applikationer fra dit lokale miljø til et administreret domæne, uden at du behøver at administrere AD DS-miljøet i skyen.
Azure AD DS integreres med din eksisterende Azure AD-lejlighed. Denne integration gør det muligt for brugerne at logge på tjenester og applikationer, der er forbundet med det administrerede domæne, ved hjælp af deres eksisterende legitimationsoplysninger. Du kan også bruge eksisterende grupper og brugerkonti til at sikre adgangen til ressourcer. Disse funktioner giver et mere smidigt løft og skift af lokale ressourcer til Azure.
Se vores korte video for at få mere at vide om Azure AD DS.
Hvordan fungerer Azure AD DS?
Når du opretter et administreret Azure AD DS-domæne, definerer du et unikt navnerum. Dette namespace er domænenavnet, f.eks. aaddscontoso.com. To Windows Server-domænecontrollere (DC’er) distribueres derefter i din valgte Azure-region. Denne implementering af DC’er er kendt som et replikasæt.
Du behøver ikke at administrere, konfigurere eller opdatere disse DC’er. Azure-platformen håndterer DC’erne som en del af det administrerede domæne, herunder sikkerhedskopiering og kryptering i hvile ved hjælp af Azure Disk Encryption.
Et administreret domæne er konfigureret til at udføre en envejssynkronisering fra Azure AD for at give adgang til et centralt sæt af brugere, grupper og legitimationsoplysninger. Du kan oprette ressourcer direkte i det administrerede domæne, men de bliver ikke synkroniseret tilbage til Azure AD. Programmer, tjenester og virtuelle maskiner i Azure, der opretter forbindelse til det administrerede domæne, kan derefter bruge almindelige AD DS-funktioner som f.eks. domænetilslutning, gruppepolitik, LDAP og Kerberos/NTLM-godkendelse.
I et hybridmiljø med et lokalt AD DS-miljø synkroniserer Azure AD Connect identitetsoplysninger med Azure AD, som derefter synkroniseres til det administrerede domæne.
Azure AD DS replikerer identitetsoplysninger fra Azure AD, så det fungerer med Azure AD-lejemål, der kun er cloud-only, eller synkroniseret med et lokalt AD DS-miljø. Det samme sæt Azure AD DS-funktioner findes for begge miljøer.
- Hvis du har et eksisterende on-premises AD DS-miljø, kan du synkronisere brugerkontoinformationer for at give brugerne en ensartet identitet. Du kan læse mere under Sådan synkroniseres objekter og legitimationsoplysninger i et administreret domæne.
- For cloud-only-miljøer behøver du ikke et traditionelt on-premises AD DS-miljø for at bruge de centraliserede identitetstjenester i Azure AD DS.
Du kan udvide et administreret domæne til at have mere end ét replikasæt pr. Azure AD-partner. Replikasæt kan tilføjes til ethvert peered virtuelt netværk i en hvilken som helst Azure-region, der understøtter Azure AD DS. Yderligere replikasæt i forskellige Azure-regioner giver geografisk katastrofeberedskab for ældre programmer, hvis en Azure-region går offline. Replikasæt er i øjeblikket i preview. Du kan finde flere oplysninger under Koncepter og funktioner for replikasæt til administrerede domæner.
Følgende video giver en oversigt over, hvordan Azure AD DS integreres med dine applikationer og arbejdsbelastninger for at levere identitetstjenester i skyen:
For at se Azure AD DS-implementeringsscenarier i praksis kan du undersøge følgende eksempler:
- Azure AD DS til hybride organisationer
- Azure AD DS til organisationer, der kun arbejder i skyen
Azure AD DS-funktioner og fordele
For at levere identitetstjenester til programmer og VM’er i skyen er Azure AD DS fuldt ud kompatibel med et traditionelt AD DS-miljø for operationer som f.eks. domænetilslutning, sikker LDAP (LDAPS), gruppepolitik, DNS-administration og understøttelse af LDAP-binding og -læsning. LDAP-skriveunderstøttelse er tilgængelig for objekter, der er oprettet i det administrerede domæne, men ikke ressourcer, der er synkroniseret fra Azure AD.
For at få mere at vide om dine identitetsmuligheder kan du sammenligne Azure AD DS med Azure AD, AD DS på Azure VM’er og AD DS på stedet.
Følgende funktioner i Azure AD DS forenkler implementerings- og administrationsoperationer:
- Forenklet implementeringsoplevelse: Azure AD DS aktiveres for din Azure AD-lejer ved hjælp af en enkelt guide i Azure-portalen.
- Integreret med Azure AD: Brugerkonti, gruppemedlemsskaber og legitimationsoplysninger er automatisk tilgængelige fra din Azure AD-lejlighed. Nye brugere, grupper eller ændringer i attributter fra din Azure AD-lejlighed eller dit lokale AD DS-miljø synkroniseres automatisk til Azure AD DS.
- Konti i eksterne mapper, der er knyttet til dit Azure AD, er ikke tilgængelige i Azure AD DS. Legitimationsoplysninger er ikke tilgængelige for disse eksterne mapper, så de kan ikke synkroniseres til et administreret domæne.
- Brug dine virksomhedslegitimationsoplysninger/adgangskoder: Adgangskoder til brugere i Azure AD DS er de samme som i din Azure AD-lejlighed. Brugere kan bruge deres virksomhedslegitimationsoplysninger til at oprette domænetilslutning til maskiner, logge ind interaktivt eller via fjernskrivebord og autentificere sig over for det administrerede domæne.
- NTLM- og Kerberos-godkendelse: Med understøttelse af NTLM- og Kerberos-godkendelse kan du implementere programmer, der er afhængige af Windows-integreret godkendelse.
- Høj tilgængelighed: Du kan implementere programmer, der er afhængige af Windows-integreret godkendelse.
- Høj tilgængelighed: Azure AD DS indeholder flere domænecontrollere, som giver høj tilgængelighed for dit administrerede domæne. Denne høje tilgængelighed garanterer tjenestens oppetid og modstandsdygtighed over for fejl.
- I regioner, der understøtter Azure Availability Zones, er disse domænecontrollere også fordelt på tværs af zoner for at opnå yderligere modstandsdygtighed.
- Replica-sæt kan også bruges til at levere geografisk katastrofe-genoprettelse for ældre programmer, hvis en Azure-region går offline.
Nogle centrale aspekter af et administreret domæne omfatter følgende:
- Det administrerede domæne er et selvstændigt domæne. Det er ikke en udvidelse af et domæne på stedet.
- Hvis det er nødvendigt, kan du oprette envejs udgående skovtillid fra Azure AD DS til et AD DS-miljø på stedet. Du kan finde flere oplysninger i Koncepter og funktioner for ressourceforsker til Azure AD DS.
- Dit it-team behøver ikke at administrere, patche eller overvåge domænecontrollere for dette administrerede domæne.
For hybridmiljøer, der kører AD DS på stedet, behøver du ikke at administrere AD-replikering til det administrerede domæne. Brugerkonti, gruppemedlemsskaber og legitimationsoplysninger fra din lokale mappe synkroniseres til Azure AD via Azure AD Connect. Disse brugerkonti, gruppemedlemsskaber og legitimationsoplysninger er automatisk tilgængelige i det administrerede domæne.
For at få mere at vide om Azure AD DS sammenlignet med andre identitetsløsninger, og hvordan synkronisering fungerer, kan du se følgende artikler:
- Sammenlign Azure AD DS med Azure AD, Active Directory Domain Services på Azure VM’er og Active Directory Domain Services på stedet
- Se, hvordan Azure AD Domain Services synkroniseres med din Azure AD-mappe
- For at lære, hvordan du administrerer et administreret domæne, se Administrationsbegreber for brugerkonti, adgangskoder og administration i Azure AD DS.
Om at komme i gang skal du oprette et administreret domæne ved hjælp af Azure-portalen.