- 01/20/2021
- 5 minute de citit
-
- J
- k
- k
- M
- . i
-
+1
Azure Active Directory Domain Services (AD DS) oferă servicii de domeniu gestionate, cum ar fi unirea domeniilor, politica de grup, protocolul ușor de acces la directoare (LDAP) și autentificarea Kerberos/NTLM. Utilizați aceste servicii de domeniu fără a fi nevoie să implementați, să gestionați și să aplicați patch-uri controlorilor de domeniu (DC) în cloud.
Un domeniu gestionat Azure AD DS vă permite să executați în cloud aplicații vechi care nu pot utiliza metode moderne de autentificare sau în cazul în care nu doriți ca căutările de directoare să se întoarcă întotdeauna la un mediu AD DS local. Puteți ridica și transfera aceste aplicații moștenite din mediul dvs. local într-un domeniu gestionat, fără a fi nevoie să gestionați mediul AD DS în cloud.
Azure AD DS se integrează cu chiriașul dvs. Azure AD existent. Această integrare le permite utilizatorilor să se conecteze la serviciile și aplicațiile conectate la domeniul gestionat folosind acreditările lor existente. De asemenea, puteți utiliza grupurile și conturile de utilizator existente pentru a securiza accesul la resurse. Aceste caracteristici asigură o ridicare și o trecere mai ușoară a resurselor on-premise în Azure.
Consultați scurtul nostru videoclip pentru a afla mai multe despre Azure AD DS.
Cum funcționează Azure AD DS?
Când creați un domeniu administrat Azure AD DS, definiți un spațiu de nume unic. Acest spațiu de nume este numele domeniului, cum ar fi aaddscontoso.com. Două controlere de domeniu (DC) Windows Server sunt apoi implementate în regiunea Azure selectată. Această desfășurare de DC-uri este cunoscută sub numele de set de replicare.
Nu este nevoie să gestionați, să configurați sau să actualizați aceste DC-uri. Platforma Azure gestionează DC-urile ca parte a domeniului gestionat, inclusiv copiile de rezervă și criptarea în repaus utilizând Azure Disk Encryption.
Un domeniu gestionat este configurat pentru a efectua o sincronizare unidirecțională din Azure AD pentru a oferi acces la un set central de utilizatori, grupuri și acreditări. Puteți crea resurse direct în domeniul gestionat, dar acestea nu sunt sincronizate înapoi la Azure AD. Aplicațiile, serviciile și mașinile virtuale din Azure care se conectează la domeniul gestionat pot utiliza apoi caracteristici AD DS comune, cum ar fi alăturarea la domeniu, politica de grup, LDAP și autentificarea Kerberos/NTLM.
Într-un mediu hibrid cu un mediu AD DS local, Azure AD Connect sincronizează informațiile de identitate cu Azure AD, care sunt apoi sincronizate în domeniul gestionat.
Azure AD DS replică informațiile de identitate din Azure AD, astfel încât funcționează cu chiriașii Azure AD care sunt numai în cloud sau sincronizați cu un mediu AD DS local. Același set de caracteristici Azure AD DS există pentru ambele medii.
- Dacă aveți un mediu AD DS existent la fața locului, puteți sincroniza informațiile despre conturile de utilizator pentru a oferi o identitate consistentă pentru utilizatori. Pentru a afla mai multe, consultați Cum se sincronizează obiectele și acreditările într-un domeniu gestionat.
- Pentru mediile numai în cloud, nu aveți nevoie de un mediu AD DS tradițional on-premise pentru a utiliza serviciile de identitate centralizate ale Azure AD DS.
Puteți extinde un domeniu gestionat pentru a avea mai mult de un set de replici pentru fiecare chiriaș Azure AD. Seturile de replici pot fi adăugate la orice rețea virtuală peered din orice regiune Azure care acceptă Azure AD DS. Seturile de replici suplimentare din diferite regiuni Azure asigură recuperarea geografică în caz de dezastru pentru aplicațiile moștenite dacă o regiune Azure rămâne offline. Seturile de replici sunt în prezent în previzualizare. Pentru mai multe informații, consultați Concepte și caracteristici ale seturilor de replică pentru domeniile gestionate.
Următorul videoclip oferă o prezentare generală a modului în care Azure AD DS se integrează cu aplicațiile și volumele de lucru pentru a furniza servicii de identitate în cloud:
Pentru a vedea scenariile de implementare Azure AD DS în acțiune, puteți explora următoarele exemple:
- Azure AD DS pentru organizații hibride
- Azure AD DS pentru organizații care lucrează numai în cloud
Caracteristici și beneficii ale Azure AD DS
Pentru a furniza servicii de identitate aplicațiilor și mașinilor virtuale în cloud, Azure AD DS este pe deplin compatibil cu un mediu AD DS tradițional pentru operațiuni precum domain-join, LDAP securizat (LDAPS), Group Policy, gestionarea DNS și suportul LDAP bind și read. Suportul de scriere LDAP este disponibil pentru obiectele create în domeniul gestionat, dar nu și pentru resursele sincronizate din Azure AD.
Pentru a afla mai multe despre opțiunile dvs. de identitate, comparați Azure AD DS cu Azure AD, AD DS pe mașinile virtuale Azure și AD DS la fața locului.
Următoarele caracteristici ale Azure AD DS simplifică operațiunile de implementare și gestionare:
- Experiență de implementare simplificată: Azure AD DS este activat pentru chiriașul dvs. Azure AD utilizând un singur asistent în portalul Azure.
- Integrat cu Azure AD: Conturile de utilizator, apartenența la grupuri și acreditările sunt disponibile automat din chiriașul dvs. Azure AD. Utilizatorii noi, grupurile sau modificările aduse atributelor din chiriașul Azure AD sau din mediul dvs. local AD DS sunt sincronizate automat în Azure AD DS.
- Conturile din directoare externe legate de Azure AD nu sunt disponibile în Azure AD DS. Nu sunt disponibile acreditările pentru acele directoare externe, deci nu pot fi sincronizate într-un domeniu gestionat.
- Folosiți acreditările/parolele dvs. corporative: Parolele pentru utilizatorii din Azure AD DS sunt aceleași cu cele din Azure AD tenant. Utilizatorii își pot utiliza acreditările corporative pentru a se alătura la mașini din domeniu, pentru a se conecta interactiv sau prin desktop la distanță și pentru a se autentifica față de domeniul gestionat.
- Autentificare NTLM și Kerberos: Cu suport pentru autentificarea NTLM și Kerberos, puteți implementa aplicații care se bazează pe autentificarea integrată în Windows.
- Disponibilitate ridicată: Azure AD DS include mai mulți controlori de domeniu, care asigură o disponibilitate ridicată pentru domeniul dvs. gestionat. Această disponibilitate ridicată garantează timpul de funcționare a serviciului și reziliența la defecțiuni.
- În regiunile care acceptă Azure Availability Zones, aceste controllere de domeniu sunt, de asemenea, distribuite în zone pentru o reziliență suplimentară.
- Seturile de replici pot fi, de asemenea, utilizate pentru a asigura recuperarea geografică în caz de dezastru pentru aplicațiile moștenite în cazul în care o regiune Azure rămâne offline.
Câteva aspecte cheie ale unui domeniu gestionat includ următoarele:
- Domeniul gestionat este un domeniu de sine stătător. Nu este o extensie a unui domeniu on-premise.
- Dacă este necesar, puteți crea trusturi forestiere unidirecționale de ieșire din Azure AD DS către un mediu AD DS on-premise. Pentru mai multe informații, consultați Concepte și caracteristici ale pădurilor de resurse pentru Azure AD DS.
- Echipa dvs. IT nu trebuie să administreze, să aplice patch-uri sau să monitorizeze controlorii de domeniu pentru acest domeniu administrat.
Pentru mediile hibride care rulează AD DS la fața locului, nu trebuie să administrați replicarea AD către domeniul administrat. Conturile de utilizator, apartenența la grupuri și acreditările din directorul dvs. on-premise sunt sincronizate cu Azure AD prin Azure AD Connect. Aceste conturi de utilizator, apartenențe la grupuri și acreditări sunt disponibile automat în cadrul domeniului gestionat.
Pentru a afla mai multe despre Azure AD DS în comparație cu alte soluții de identitate și despre modul în care funcționează sincronizarea, consultați următoarele articole:
- Comparați Azure AD DS cu Azure AD, Active Directory Domain Services pe mașinile virtuale Azure și Active Directory Domain Services on-premise
- Învățați cum se sincronizează Azure AD Domain Services cu directorul Azure AD
- Pentru a învăța cum să administrați un domeniu gestionat, consultați concepte de gestionare pentru conturi de utilizator, parole și administrare în Azure AD DS.
Pentru a începe, creați un domeniu administrat utilizând portalul Azure.
.