- 20.01.2021
- 5 Minuten zu lesen
-
-
J -
k -
k -
M -
i -
+1
-
Azure Active Directory Domain Services (AD DS) bietet verwaltete Domänendienste wie Domain Join, Gruppenrichtlinien, Lightweight Directory Access Protocol (LDAP) und Kerberos/NTLM-Authentifizierung. Sie nutzen diese Domänendienste, ohne dass Sie Domänencontroller (DCs) in der Cloud bereitstellen, verwalten und patchen müssen.
Mit einer verwalteten Azure AD DS-Domäne können Sie Legacy-Anwendungen in der Cloud ausführen, die keine modernen Authentifizierungsmethoden verwenden können oder bei denen Sie nicht möchten, dass Verzeichnisabfragen immer zu einer lokalen AD DS-Umgebung zurückkehren. Sie können diese Legacy-Anwendungen aus Ihrer lokalen Umgebung in eine verwaltete Domäne verschieben, ohne die AD DS-Umgebung in der Cloud verwalten zu müssen.
Azure AD DS lässt sich in Ihren bestehenden Azure AD-Tenant integrieren. Durch diese Integration können sich Benutzer mit ihren vorhandenen Anmeldeinformationen bei Diensten und Anwendungen anmelden, die mit der verwalteten Domäne verbunden sind. Sie können auch vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen zu sichern. Diese Funktionen sorgen für einen reibungsloseren Wechsel von On-Premises-Ressourcen zu Azure.
Schauen Sie sich unser kurzes Video an, um mehr über Azure AD DS zu erfahren.
Wie funktioniert Azure AD DS?
Wenn Sie eine verwaltete Azure AD DS-Domäne erstellen, definieren Sie einen eindeutigen Namespace. Dieser Namespace ist der Domänenname, z. B. aaddscontoso.com. Zwei Windows Server-Domänencontroller (DCs) werden dann in Ihrer ausgewählten Azure-Region bereitgestellt. Diese Bereitstellung von DCs wird als Replikatsatz bezeichnet.
Sie müssen diese DCs nicht verwalten, konfigurieren oder aktualisieren. Die Azure-Plattform verwaltet die DCs als Teil der verwalteten Domäne, einschließlich Backups und Verschlüsselung im Ruhezustand mit Azure Disk Encryption.
Eine verwaltete Domäne ist so konfiguriert, dass sie eine einseitige Synchronisierung von Azure AD durchführt, um den Zugriff auf einen zentralen Satz von Benutzern, Gruppen und Anmeldeinformationen zu ermöglichen. Sie können Ressourcen direkt in der verwalteten Domäne erstellen, aber sie werden nicht zurück zu Azure AD synchronisiert. Anwendungen, Dienste und VMs in Azure, die sich mit der verwalteten Domäne verbinden, können dann allgemeine AD DS-Funktionen wie Domänenbeitritt, Gruppenrichtlinien, LDAP und Kerberos/NTLM-Authentifizierung verwenden.
In einer hybriden Umgebung mit einer lokalen AD DS-Umgebung synchronisiert Azure AD Connect Identitätsinformationen mit Azure AD, die dann mit der verwalteten Domäne synchronisiert werden.
Azure AD DS repliziert Identitätsinformationen aus Azure AD, so dass es mit Azure AD-Tenants funktioniert, die nur in der Cloud sind oder mit einer lokalen AD DS-Umgebung synchronisiert werden. Für beide Umgebungen stehen dieselben Azure AD DS-Funktionen zur Verfügung.
- Wenn Sie eine vorhandene lokale AD DS-Umgebung haben, können Sie Benutzerkontoinformationen synchronisieren, um eine konsistente Identität für Benutzer bereitzustellen. Weitere Informationen finden Sie unter Wie Objekte und Anmeldeinformationen in einer verwalteten Domäne synchronisiert werden.
- Für reine Cloud-Umgebungen benötigen Sie keine herkömmliche lokale AD DS-Umgebung, um die zentralisierten Identitätsdienste von Azure AD DS zu nutzen.
Sie können eine verwaltete Domäne erweitern, um mehr als einen Replikatsatz pro Azure AD-Tenant zu haben. Replikatsätze können zu jedem gepeerten virtuellen Netzwerk in jeder Azure-Region hinzugefügt werden, die Azure AD DS unterstützt. Zusätzliche Replikat-Sets in verschiedenen Azure-Regionen bieten geografische Disaster Recovery für Legacy-Anwendungen, wenn eine Azure-Region offline geht. Replikatsätze befinden sich derzeit in der Vorschau. Weitere Informationen finden Sie unter Konzepte und Funktionen von Replikatsätzen für verwaltete Domänen.
Das folgende Video bietet einen Überblick darüber, wie Azure AD DS mit Ihren Anwendungen und Arbeitslasten integriert wird, um Identitätsdienste in der Cloud bereitzustellen:
Um Azure AD DS-Bereitstellungsszenarien in Aktion zu sehen, können Sie die folgenden Beispiele untersuchen:
- Azure AD DS für hybride Organisationen
- Azure AD DS für reine Cloud-Organisationen
Funktionen und Vorteile von Azure AD DS
Um Identitätsdienste für Anwendungen und VMs in der Cloud bereitzustellen, ist Azure AD DS für Vorgänge wie Domain-Join, sicheres LDAP (LDAPS), Gruppenrichtlinien, DNS-Verwaltung und LDAP-Bind- und Leseunterstützung vollständig mit einer herkömmlichen AD DS-Umgebung kompatibel. LDAP-Schreibunterstützung ist für Objekte verfügbar, die in der verwalteten Domäne erstellt wurden, jedoch nicht für Ressourcen, die aus Azure AD synchronisiert wurden.
Um mehr über Ihre Identitätsoptionen zu erfahren, vergleichen Sie Azure AD DS mit Azure AD, AD DS auf Azure VMs und AD DS vor Ort.
Die folgenden Funktionen von Azure AD DS vereinfachen die Bereitstellung und Verwaltung:
- Vereinfachte Bereitstellung: Azure AD DS wird für Ihren Azure AD-Tenant mit einem einzigen Assistenten im Azure-Portal aktiviert.
- Integriert mit Azure AD: Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen sind automatisch in Ihrem Azure AD-Tenant verfügbar. Neue Benutzer, Gruppen oder Änderungen an Attributen aus Ihrem Azure AD-Tenant oder Ihrer lokalen AD DS-Umgebung werden automatisch mit Azure AD DS synchronisiert.
- Konten in externen Verzeichnissen, die mit Ihrem Azure AD verknüpft sind, sind in Azure AD DS nicht verfügbar. Anmeldeinformationen sind für diese externen Verzeichnisse nicht verfügbar und können daher nicht mit einer verwalteten Domäne synchronisiert werden.
- Verwenden Sie Ihre Unternehmensanmeldeinformationen/Passwörter: Die Passwörter für Benutzer in Azure AD DS sind die gleichen wie in Ihrem Azure AD-Tenant. Benutzer können ihre Unternehmensanmeldeinformationen verwenden, um Maschinen mit der Domäne zu verbinden, sich interaktiv oder über Remote-Desktop anzumelden und sich gegenüber der verwalteten Domäne zu authentifizieren.
- NTLM- und Kerberos-Authentifizierung: Mit Unterstützung für NTLM- und Kerberos-Authentifizierung können Sie Anwendungen bereitstellen, die auf Windows-integrierte Authentifizierung angewiesen sind.
- Hohe Verfügbarkeit: Azure AD DS umfasst mehrere Domänencontroller, die eine hohe Verfügbarkeit für Ihre verwaltete Domäne bieten. Diese Hochverfügbarkeit garantiert die Betriebszeit des Dienstes und die Ausfallsicherheit.
- In Regionen, die Azure Availability Zones unterstützen, sind diese Domänencontroller auch über Zonen verteilt, um zusätzliche Ausfallsicherheit zu gewährleisten.
- Replikatsätze können auch verwendet werden, um eine geografische Disaster Recovery für Legacy-Anwendungen bereitzustellen, wenn eine Azure-Region offline geht.
Zu den wichtigsten Aspekten einer verwalteten Domäne gehören die folgenden:
- Die verwaltete Domäne ist eine eigenständige Domäne. Sie ist keine Erweiterung einer lokalen Domäne.
- Bei Bedarf können Sie einseitige ausgehende Forest Trusts von Azure AD DS zu einer lokalen AD DS-Umgebung erstellen. Weitere Informationen finden Sie unter Resource Forest-Konzepte und -Funktionen für Azure AD DS.
- Ihr IT-Team muss die Domänencontroller für diese verwaltete Domäne nicht verwalten, patchen oder überwachen.
Für hybride Umgebungen, in denen AD DS vor Ort ausgeführt wird, müssen Sie die AD-Replikation in die verwaltete Domäne nicht verwalten. Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen aus Ihrem lokalen Verzeichnis werden über Azure AD Connect mit Azure AD synchronisiert. Diese Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen sind automatisch in der verwalteten Domäne verfügbar.
Wenn Sie mehr über Azure AD DS im Vergleich zu anderen Identitätslösungen und die Funktionsweise der Synchronisierung erfahren möchten, lesen Sie die folgenden Artikel:
- Vergleichen Sie Azure AD DS mit Azure AD, Active Directory Domain Services auf Azure VMs und Active Directory Domain Services vor Ort
- Erfahren Sie, wie Azure AD Domain Services mit Ihrem Azure AD-Verzeichnis synchronisiert
- Um zu erfahren, wie eine verwaltete Domäne verwaltet wird, siehe Verwaltungskonzepte für Benutzerkonten, Kennwörter und Verwaltung in Azure AD DS.
Um loszulegen, erstellen Sie eine verwaltete Domäne über das Azure-Portal.