- 01/20/2021
- 5 perc olvasás
-
- J
- k
- k
- M
- i
-
+1
Az Active Directory tartományi szolgáltatások (AD DS) kezelt tartományi szolgáltatásokat nyújt, mint például a tartományhoz való csatlakozás, csoportházirend, LDAP (Lightweight Directory Access Protocol) és Kerberos/NTLM hitelesítés. Ezeket a tartományi szolgáltatásokat anélkül használhatja, hogy a felhőben tartományvezérlőket (DC-ket) kellene telepítenie, kezelnie és javítania.
Az Azure AD DS kezelt tartomány lehetővé teszi, hogy olyan régebbi alkalmazásokat futtasson a felhőben, amelyek nem használhatnak modern hitelesítési módszereket, vagy ahol nem szeretné, hogy a címtárkeresés mindig egy helyhez kötött AD DS-környezetbe menjen vissza. Ezeket az örökölt alkalmazásokat átemelheti és áthelyezheti a helyhez kötött környezetéből egy kezelt tartományba, anélkül, hogy a felhőben kellene kezelnie az AD DS-környezetet.
Azure AD DS integrálódik a meglévő Azure AD bérlőjébe. Ez az integráció lehetővé teszi, hogy a felhasználók a meglévő hitelesítő adataikkal bejelentkezzenek a kezelt tartományhoz kapcsolódó szolgáltatásokba és alkalmazásokba. A meglévő csoportokat és felhasználói fiókokat is használhatja az erőforrásokhoz való hozzáférés biztosításához. Ezek a funkciók biztosítják a helyben lévő erőforrások zökkenőmentesebb átvitelét az Azure-ra.
Nézze meg rövid videónkat, hogy többet megtudjon az Azure AD DS-ről.
Hogyan működik az Azure AD DS?
Az Azure AD DS kezelt tartomány létrehozásakor egyedi névteret határoz meg. Ez a névtér a tartomány neve, például aaddscontoso.com. Ezután két Windows Server tartományvezérlőt (DC) telepít a kiválasztott Azure régióba. A DC-k ezen telepítését replikakészletnek nevezzük.
Nem kell kezelnie, konfigurálnia vagy frissítenie ezeket a DC-ket. Az Azure platform a DC-ket a kezelt tartomány részeként kezeli, beleértve a biztonsági mentéseket és a nyugalmi titkosítást az Azure Disk Encryption használatával.
A kezelt tartomány úgy van konfigurálva, hogy az Azure AD-ből egyirányú szinkronizálást végezzen, hogy hozzáférést biztosítson a felhasználók, csoportok és hitelesítő adatok központi készletéhez. Közvetlenül a kezelt tartományban hozhat létre erőforrásokat, de azok nem szinkronizálódnak vissza az Azure AD-be. A kezelt tartományhoz csatlakozó alkalmazások, szolgáltatások és VM-ek az Azure-ban ezután használhatják az AD DS olyan általános funkcióit, mint a tartományi csatlakozás, a csoportházirend, az LDAP és a Kerberos/NTLM hitelesítés.
A helyhez kötött AD DS-környezettel rendelkező hibrid környezetben az Azure AD Connect szinkronizálja a személyazonossági információkat az Azure AD-vel, amelyeket aztán a kezelt tartományba szinkronizál.
Az Azure AD DS az Azure AD-ből replikálja a személyazonossági információkat, így olyan Azure AD-bérlőkkel működik, amelyek csak felhőalapúak, vagy helyhez kötött AD DS-környezettel szinkronizáltak. Az Azure AD DS funkcióinak ugyanazok a készletei állnak rendelkezésre mindkét környezetben.
- Ha van egy meglévő helyhez kötött AD DS-környezete, akkor szinkronizálhatja a felhasználói fiókinformációkat, hogy egységes identitást biztosítson a felhasználók számára. További információért lásd: Hogyan szinkronizálódnak az objektumok és a hitelesítő adatok egy felügyelt tartományban.
- A csak felhőalapú környezetek esetében nincs szükség hagyományos helyhez kötött AD DS-környezetre az Azure AD DS központosított identitásszolgáltatásainak használatához.
Egy felügyelt tartományt kibővíthet úgy, hogy Azure AD-bérlőnként egynél több replikakészlet legyen. A replikakészleteket bármelyik Azure régióban lévő, az Azure AD DS-t támogató Azure-régióban lévő bármelyik ellenőrzött virtuális hálózathoz hozzá lehet adni. A különböző Azure-régiókban lévő további replikakészletek földrajzi katasztrófa-helyreállítást biztosítanak a régebbi alkalmazások számára, ha egy Azure-régió offline állapotba kerül. A replikakészletek jelenleg előnézetben vannak. További információért lásd: Replikakészletek fogalmai és funkciói a kezelt tartományokhoz.
A következő videó áttekintést nyújt arról, hogyan integrálódik az Azure AD DS az alkalmazásokba és a munkaterhelésekbe, hogy identitásszolgáltatásokat nyújtson a felhőben:
Az Azure AD DS telepítési forgatókönyveinek megtekintéséhez a gyakorlatban a következő példákat tekintheti meg:
- Azure AD DS hibrid szervezetek számára
- Azure AD DS csak felhőben működő szervezetek számára
Azure AD DS jellemzői és előnyei
Az Azure AD DS a felhőben lévő alkalmazások és VM-ek számára identitásszolgáltatások nyújtásához teljes mértékben kompatibilis a hagyományos AD DS-környezettel olyan műveletek tekintetében, mint a tartományhoz való csatlakozás, biztonságos LDAP (LDAPS), csoportházirend, DNS-kezelés, valamint az LDAP kötés és olvasás támogatása. Az LDAP írási támogatás a kezelt tartományban létrehozott objektumokhoz érhető el, de az Azure AD-ből szinkronizált erőforrásokhoz nem.
Az Azure AD DS és az Azure AD, az Azure VM-eken lévő AD DS és a helyben lévő AD DS összehasonlítása az identitási lehetőségekről.
Az Azure AD DS következő jellemzői egyszerűsítik a telepítési és kezelési műveleteket:
- Egyszerűsített telepítési élmény: Az Azure AD DS engedélyezése az Azure AD bérlő számára egyetlen varázsló segítségével történik az Azure portálon.
- Integrálva az Azure AD-vel: A felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők az Azure AD-tartományból. Az Azure AD bérlőjéből vagy a helyhez kötött AD DS környezetéből származó új felhasználók, csoportok vagy az attribútumok módosításai automatikusan szinkronizálódnak az Azure AD DS-be.
- Az Azure AD-vel összekapcsolt külső könyvtárakban lévő fiókok nem érhetők el az Azure AD DS-ben. A hitelesítő adatok nem állnak rendelkezésre ezekhez a külső könyvtárakhoz, így nem szinkronizálhatók egy kezelt tartományba.
- Használja a vállalati hitelesítő adatokat/jelszavakat: A felhasználók jelszavai az Azure AD DS-ben ugyanazok, mint az Azure AD bérlőjében. A felhasználók használhatják vállalati hitelesítő adataikat a gépek tartományhoz való csatlakozásához, interaktívan vagy távoli asztalon keresztül történő bejelentkezéshez, valamint a kezelt tartomány felé történő hitelesítéshez.
- NTLM és Kerberos hitelesítés: Az NTLM és Kerberos hitelesítés támogatásával olyan alkalmazásokat is telepíthet, amelyek Windows-integrált hitelesítésre támaszkodnak.
- Magas rendelkezésre állás: Az Azure AD DS több tartományvezérlőt tartalmaz, amelyek magas rendelkezésre állást biztosítanak a kezelt tartomány számára. Ez a magas rendelkezésre állás garantálja a szolgáltatás üzemidejét és a hibákkal szembeni ellenálló képességet.
- Az Azure rendelkezésre állási zónákat támogató régiókban ezek a tartományvezérlők a további ellenálló képesség érdekében a zónák között is el vannak osztva.
- A replikakészletek arra is használhatók, hogy földrajzi helyreállítást biztosítsanak a régi alkalmazások számára, ha egy Azure régió offline állapotba kerül.
A kezelt tartomány néhány kulcsfontosságú szempontja a következő:
- A kezelt tartomány egy önálló tartomány. Nem egy helyhez kötött tartomány kiterjesztése.
- Szükség esetén létrehozhat egyirányú kimenő erdei bizalmi kapcsolatokat az Azure AD DS-ből egy helyhez kötött AD DS-környezetbe. További információért lásd az Azure AD DS erőforrás-erdő fogalmak és funkciók című fejezetet.
- Az IT-csapatnak nem kell kezelnie, javítania vagy felügyelnie ennek a kezelt tartománynak a tartományvezérlőit.
A helyhez kötött AD DS-t futtató hibrid környezetek esetében nem kell kezelnie az AD replikációt a kezelt tartományba. A helyi címtár felhasználói fiókjai, csoporttagságai és hitelesítő adatai az Azure AD Connecten keresztül szinkronizálódnak az Azure AD AD-vel. Ezek a felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők a kezelt tartományban.
Az Azure AD DS és más személyazonossági megoldások összehasonlításáról és a szinkronizálás működéséről bővebben a következő cikkekben olvashat:
- Az Azure AD DS összehasonlítása az Azure AD-vel, az Active Directory tartományi szolgáltatásokkal Azure VM-eken és az Active Directory tartományi szolgáltatásokkal helyben
- Tudja meg, hogyan szinkronizál az Azure AD tartományi szolgáltatások az Azure AD könyvtárral
- A kezelt tartomány adminisztrációjának megismeréséhez lásd a felhasználói fiókok, jelszavak és a felügyelet kezelési fogalmai az Azure AD DS-ben.
A kezdéshez hozzon létre egy kezelt tartományt az Azure portál segítségével
.