- 01/20/2021
- 5 minuten om te lezen
-
- J
- k
- k
- M
- i
-
+1
Azure Active Directory Domain Services (AD DS) biedt beheerde domeinservices, zoals domain join, groepsbeleid, LDAP (Lightweight Directory Access Protocol) en Kerberos/NTLM-verificatie. U gebruikt deze domeinservices zonder dat u domeincontrollers (DC’s) in de cloud hoeft in te zetten, te beheren en te patchen.
Met een beheerd Azure AD DS-domein kunt u legacy-toepassingen in de cloud uitvoeren die geen moderne authenticatiemethoden kunnen gebruiken, of waarbij u niet wilt dat directoryzoekopdrachten altijd teruggaan naar een on-premises AD DS-omgeving. U kunt deze legacy-toepassingen uit uw lokale omgeving overhevelen naar een beheerd domein, zonder dat u de AD DS-omgeving in de cloud hoeft te beheren.
Azure AD DS integreert met uw bestaande Azure AD-tenant. Dankzij deze integratie kunnen gebruikers zich met hun bestaande referenties aanmelden bij services en applicaties die zijn verbonden met het beheerde domein. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen. Deze functies zorgen voor een soepelere lift-and-shift van on-premises resources naar Azure.
Bekijk onze korte video voor meer informatie over Azure AD DS.
Hoe werkt Azure AD DS?
Wanneer u een Azure AD DS managed domain aanmaakt, definieert u een unieke namespace. Deze namespace is de domeinnaam, zoals aaddscontoso.com. Twee Windows Server domeincontrollers (DC’s) worden dan ingezet in de door u geselecteerde Azure regio. Deze inzet van DC’s staat bekend als een replica set.
U hoeft deze DC’s niet te beheren, te configureren of bij te werken. Het Azure-platform behandelt de DC’s als onderdeel van het beheerde domein, inclusief back-ups en encryptie in rust met behulp van Azure Disk Encryption.
Een beheerd domein is geconfigureerd om een eenrichtingssynchronisatie uit te voeren vanuit Azure AD om toegang te bieden tot een centrale set van gebruikers, groepen en referenties. U kunt resources rechtstreeks in het beheerde domein maken, maar ze worden niet terug gesynchroniseerd naar Azure AD. Toepassingen, services en VM’s in Azure die verbinding maken met het beheerde domein kunnen vervolgens gemeenschappelijke AD DS-functies gebruiken, zoals domain join, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.
In een hybride omgeving met een on-premises AD DS-omgeving, synchroniseert Azure AD Connect identiteitsinformatie met Azure AD, die vervolgens wordt gesynchroniseerd naar het beheerde domein.
Azure AD DS repliceert identiteitsgegevens vanuit Azure AD, dus het werkt met Azure AD-tenants die cloud-only zijn, of gesynchroniseerd met een on-premises AD DS-omgeving. Dezelfde set Azure AD DS-functies bestaat voor beide omgevingen.
- Als u een bestaande on-premises AD DS-omgeving hebt, kunt u gebruikersaccountgegevens synchroniseren om gebruikers een consistente identiteit te bieden. Zie Hoe objecten en referenties worden gesynchroniseerd in een beheerd domein voor meer informatie.
- Voor cloud-only-omgevingen hebt u geen traditionele on-premises AD DS-omgeving nodig om de gecentraliseerde identiteitsdiensten van Azure AD DS te gebruiken.
U kunt een beheerd domein uitbreiden om meer dan één replicaset per Azure AD-tenant te hebben. Replica sets kunnen worden toegevoegd aan elk peered virtueel netwerk in elke Azure regio die Azure AD DS ondersteunt. Extra replicasets in verschillende Azure-regio’s zorgen voor geografisch disaster recovery voor legacy-applicaties als een Azure-regio offline gaat. Replica sets zijn momenteel in preview. Voor meer informatie, zie Replica sets concepten en functies voor beheerde domeinen.
De volgende video geeft een overzicht van hoe Azure AD DS integreert met uw applicaties en workloads om identiteitsdiensten in de cloud te leveren:
Om Azure AD DS-implementatiescenario’s in actie te zien, kunt u de volgende voorbeelden verkennen:
- Azure AD DS voor hybride organisaties
- Azure AD DS voor cloud-only organisaties
Azure AD DS kenmerken en voordelen
Om identiteitsdiensten te leveren aan applicaties en VM’s in de cloud, is Azure AD DS volledig compatibel met een traditionele AD DS-omgeving voor bewerkingen zoals domain-join, secure LDAP (LDAPS), Groepsbeleid, DNS-beheer, en LDAP bind en leesondersteuning. LDAP-schrijfondersteuning is beschikbaar voor objecten die zijn gemaakt in het beheerde domein, maar niet voor bronnen die zijn gesynchroniseerd vanuit Azure AD.
Om meer te weten te komen over uw identiteitsopties, vergelijkt u Azure AD DS met Azure AD, AD DS op Azure VM’s en AD DS on-premises.
De volgende functies van Azure AD DS vereenvoudigen implementatie- en beheeractiviteiten:
- Vereenvoudigde implementatie-ervaring: Azure AD DS wordt ingeschakeld voor uw Azure AD tenant met behulp van een enkele wizard in de Azure portal.
- Geïntegreerd met Azure AD: Gebruikersaccounts, groepslidmaatschappen en credentials zijn automatisch beschikbaar vanuit uw Azure AD tenant. Nieuwe gebruikers, groepen of wijzigingen aan attributen vanuit uw Azure AD-tenant of uw lokale AD DS-omgeving worden automatisch gesynchroniseerd naar Azure AD DS.
- Accounts in externe directory’s die aan uw Azure AD zijn gekoppeld, zijn niet beschikbaar in Azure AD DS. Credentials zijn niet beschikbaar voor deze externe directory’s en kunnen dus niet worden gesynchroniseerd naar een beheerd domein.
- Gebruik uw bedrijfsreferenties/wachtwoorden: Wachtwoorden voor gebruikers in Azure AD DS zijn dezelfde als in uw Azure AD-tenant. Gebruikers kunnen hun bedrijfsreferenties gebruiken voor domain-join machines, interactief aanmelden of via remote desktop, en authenticatie tegen het beheerde domein.
- NTLM- en Kerberos-authenticatie: Met ondersteuning voor NTLM en Kerberos verificatie, kunt u applicaties implementeren die vertrouwen op Windows-geïntegreerde verificatie.
- Hoge beschikbaarheid: Azure AD DS omvat meerdere domeincontrollers, die een hoge beschikbaarheid bieden voor uw beheerde domein. Deze hoge beschikbaarheid garandeert service uptime en veerkracht bij storingen.
- In regio’s die Azure Availability Zones ondersteunen, worden deze domeincontrollers ook verdeeld over zones voor extra veerkracht.
- Replica sets kunnen ook worden gebruikt voor geografisch disaster recovery voor legacy-applicaties als een Azure-regio offline gaat.
Enkele belangrijke aspecten van een beheerd domein zijn onder andere de volgende:
- Het beheerde domein is een op zichzelf staand domein. Het is geen uitbreiding van een on-premises domein.
- In voorkomend geval kunt u eenrichtingsuitgaande forest trusts maken van Azure AD DS naar een on-premises AD DS-omgeving. Zie voor meer informatie Resource forest-concepten en -functies voor Azure AD DS.
- Uw IT-team hoeft geen domeincontrollers voor dit beheerde domein te beheren, patchen of bewaken.
Voor hybride omgevingen waarin AD DS op locatie wordt uitgevoerd, hoeft u de AD-replicatie naar het beheerde domein niet te beheren. Gebruikersaccounts, groepslidmaatschappen en referenties van uw on-premises directory worden gesynchroniseerd naar Azure AD via Azure AD Connect. Deze gebruikersaccounts, groepslidmaatschappen en referenties zijn automatisch beschikbaar binnen het beheerde domein.
Om meer te weten te komen over Azure AD DS in vergelijking met andere identiteitsoplossingen en hoe synchronisatie werkt, raadpleegt u de volgende artikelen:
- Vergelijk Azure AD DS met Azure AD, Active Directory Domain Services op Azure VM’s en Active Directory Domain Services on-premises
- Leer hoe Azure AD Domain Services synchroniseert met uw Azure AD-directory
- Om te leren hoe u een beheerd domein kunt beheren, raadpleegt u beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Azure AD DS.
Om te beginnen, maakt u een beheerd domein met behulp van de Azure-portal.