- 01/20/2021
- 5 minuter att läsa
-
- J
- k
- k
- M
- i
-
+1
Azure Active Directory Domain Services (AD DS) tillhandahåller hanterade domäntjänster som domänanslutning, grupppolicy, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Du använder dessa domäntjänster utan att behöva distribuera, hantera och patcha domänkontrollanter (DC) i molnet.
Med en Azure AD DS-hanterad domän kan du köra äldre program i molnet som inte kan använda moderna autentiseringsmetoder, eller där du inte vill att katalogsökningar alltid ska gå tillbaka till en AD DS-miljö på plats. Du kan lyfta och flytta dessa äldre applikationer från din lokala miljö till en hanterad domän, utan att behöva hantera AD DS-miljön i molnet.
Azure AD DS integreras med din befintliga Azure AD-hyresgäst. Den här integrationen gör det möjligt för användare att logga in på tjänster och program som är anslutna till den hanterade domänen med sina befintliga autentiseringsuppgifter. Du kan också använda befintliga grupper och användarkonton för att säkra åtkomsten till resurser. Dessa funktioner ger en smidigare lyftning och förflyttning av resurser på plats till Azure.
Se vår korta video för att lära dig mer om Azure AD DS.
Hur fungerar Azure AD DS?
När du skapar en Azure AD DS-hanterad domän definierar du ett unikt namnområde. Det här namnområdet är domännamnet, till exempel aaddscontoso.com. Två Windows Server-domänkontrollanter (DC) distribueras sedan i den valda Azure-regionen. Den här distributionen av DC:er kallas en replikasats.
Du behöver inte hantera, konfigurera eller uppdatera de här DC:erna. Azure-plattformen hanterar DC:erna som en del av den hanterade domänen, inklusive säkerhetskopiering och kryptering i vila med Azure Disk Encryption.
En hanterad domän konfigureras för att utföra en enkelriktad synkronisering från Azure AD för att ge åtkomst till en central uppsättning användare, grupper och autentiseringsuppgifter. Du kan skapa resurser direkt i den hanterade domänen, men de synkroniseras inte tillbaka till Azure AD. Program, tjänster och virtuella maskiner i Azure som ansluter till den hanterade domänen kan sedan använda vanliga AD DS-funktioner som domänanslutning, grupprinciper, LDAP och Kerberos/NTLM-autentisering.
I en hybridmiljö med en AD DS-miljö på plats synkroniserar Azure AD Connect identitetsinformation med Azure AD, som sedan synkroniseras till den hanterade domänen.
Azure AD DS replikerar identitetsinformation från Azure AD, så det fungerar med Azure AD-hyresgäster som endast är molnbaserade eller synkroniserade med en AD DS-miljö på plats. Samma uppsättning Azure AD DS-funktioner finns för båda miljöerna.
- Om du har en befintlig AD DS-miljö på plats kan du synkronisera information om användarkonton för att ge användarna en enhetlig identitet. Mer information finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.
- För molnmiljöer behöver du inte en traditionell AD DS-miljö på plats för att kunna använda de centraliserade identitetstjänsterna i Azure AD DS.
Du kan utöka en hanterad domän så att den har mer än en replikasats per Azure AD-partner. Replikauppsättningar kan läggas till i alla virtuella peered-nätverk i alla Azure-regioner som har stöd för Azure AD DS. Ytterligare replikatuppsättningar i olika Azure-regioner ger geografisk katastrofåterställning för äldre program om en Azure-region går offline. Replikauppsättningar finns för närvarande i förhandsgranskningen. Mer information finns i Begrepp och funktioner för replikuppsättningar för hanterade domäner.
I följande video får du en översikt över hur Azure AD DS integreras med dina program och arbetsbelastningar för att tillhandahålla identitetstjänster i molnet:
För att se Azure AD DS-implementeringsscenarier i praktiken kan du utforska följande exempel:
- Azure AD DS för hybridorganisationer
- Azure AD DS för organisationer som endast arbetar i molnet
Funktioner och fördelar med Azure AD DS
För att tillhandahålla identitets-tjänster till program och virtuella maskiner i molnet är Azure AD DS fullt kompatibelt med en traditionell AD DS-miljö för operationer som domän-anslutning, säker LDAP (LDAPS), grupprinciper, DNS-hantering och stöd för bindning och läsning av LDAP. Stöd för LDAP-skrivning finns tillgängligt för objekt som skapas i den hanterade domänen, men inte för resurser som synkroniseras från Azure AD.
Om du vill veta mer om dina identitetsalternativ kan du jämföra Azure AD DS med Azure AD, AD DS på Azure VM:s och AD DS på plats.
Följande funktioner i Azure AD DS förenklar distributionen och hanteringen:
- Förenklad distributionsupplevelse: Azure AD DS aktiveras för din Azure AD-hyresgäst med hjälp av en enda guide i Azure-portalen.
- Integrerat med Azure AD: Användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga från din Azure AD-hyresgäst. Nya användare, grupper eller ändringar av attribut från din Azure AD-hyresgäst eller din AD DS-miljö på plats synkroniseras automatiskt till Azure AD DS.
- Konton i externa kataloger som är länkade till Azure AD är inte tillgängliga i Azure AD DS. Referenser är inte tillgängliga för dessa externa kataloger och kan därför inte synkroniseras till en hanterad domän.
- Använd dina företagsreferenser/lösenord: Lösenord för användare i Azure AD DS är desamma som i din Azure AD-hyresgäst. Användare kan använda sina företagsreferenser för att ansluta sig till maskiner i en domän, logga in interaktivt eller via fjärrskrivbord och autentisera sig mot den hanterade domänen.
- NTLM- och Kerberos-autentisering: NTLM- och Kerberos-autentisering: Med stöd för NTLM- och Kerberos-autentisering kan du distribuera program som är beroende av Windows-integrerad autentisering.
- Hög tillgänglighet: Azure AD DS innehåller flera domänkontrollanter, vilket ger hög tillgänglighet för din hanterade domän. Den här höga tillgängligheten garanterar tjänstens drifttid och motståndskraft mot fel.
- I regioner som har stöd för Azure Availability Zones distribueras de här domänkontrollanterna också över zoner för ytterligare motståndskraft.
- Replikauppsättningar kan också användas för att tillhandahålla geografisk katastrofåterställning för äldre program om en Azure-region går offline.
Några viktiga aspekter av en hanterad domän är följande:
- Den hanterade domänen är en fristående domän. Den är inte en förlängning av en lokal domän.
- Om det behövs kan du skapa envägs utgående skogsförtroenden från Azure AD DS till en lokal AD DS-miljö. Mer information finns i Resursskogskoncept och funktioner för Azure AD DS.
- Ditt IT-team behöver inte hantera, patcha eller övervaka domänkontrollanter för den här hanterade domänen.
För hybridmiljöer där AD DS körs på plats behöver du inte hantera AD-replikering till den hanterade domänen. Användarkonton, gruppmedlemskap och autentiseringsuppgifter från din lokala katalog synkroniseras till Azure AD via Azure AD Connect. Dessa användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga i den hanterade domänen.
För att lära dig mer om Azure AD DS jämfört med andra identitetslösningar och hur synkronisering fungerar, se följande artiklar:
- Varför kan Azure AD DS jämföras med Azure AD, Active Directory Domain Services på Azure VMs och Active Directory Domain Services på plats
- Lär dig hur Azure AD Domain Services synkroniseras med din Azure AD-katalog
- Om du vill lära dig hur du administrerar en hanterad domän, se Hanteringskoncept för användarkonton, lösenord och administration i Azure AD DS.
För att komma igång skapar du en hanterad domän med hjälp av Azure-portalen.