Co to są usługi Azure Active Directory Domain Services?

Usługi Azure Active Directory Domain Services (Azure AD DS) zapewniają zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy, uwierzytelnianie LDAP i Kerberos/NTLM. Można korzystać z tych usług domenowych bez konieczności wdrażania kontrolerów domeny w chmurze, zarządzania nimi i tworzenia w nich poprawek.

Domena zarządzana Azure AD DS umożliwia uruchamianie starszych aplikacji w chmurze, które nie mogą używać nowoczesnych metod uwierzytelniania lub gdzie nie chcesz, aby wyszukiwanie katalogów zawsze wracało do lokalnego środowiska usług AD DS. Możesz przenieść te starsze aplikacje ze środowiska lokalnego do domeny zarządzanej i przenieść je bez konieczności zarządzania środowiskiem usług AD DS w chmurze.

Azure AD DS integruje się z istniejącą dzierżawą Azure AD. Ta integracja umożliwia użytkownikom logowanie się do usług i aplikacji połączonych z domeną zarządzaną przy użyciu istniejących poświadczeń. Możesz również użyć istniejących grup i kont użytkowników, aby zabezpieczyć dostęp do zasobów. Te funkcje zapewniają bezproblemowe przenoszenie zasobów lokalnych na platformę Azure.

Zapoznaj się z naszym krótkim filmem wideo, aby dowiedzieć się więcej o Azure AD DS.

Jak działa Azure AD DS?

Podczas tworzenia domeny zarządzanej Azure AD DS należy zdefiniować unikatową przestrzeń nazw. Ta przestrzeń nazw jest nazwą domeny, taką jak aaddscontoso.com. Dwa kontrolery domeny systemu Windows Server są następnie wdrażane w wybranym regionie świadczenia usługi Azure. To wdrożenie kontrolerów domeny jest nazywane zestawem replik.

Nie musisz zarządzać, konfigurować ani aktualizować tych kontrolerów domeny. Platforma Azure obsługuje kontrolery domeny w ramach domeny zarządzanej, w tym kopie zapasowe i szyfrowanie magazynowane przy użyciu usługi Azure Disk Encryption.

Domena zarządzana jest skonfigurowana do przeprowadzania jednokierunkowej synchronizacji z Azure AD w celu zapewnienia dostępu do centralnego zestawu użytkowników, grup i poświadczeń. Zasoby można tworzyć bezpośrednio w domenie zarządzanej, ale nie są one synchronizowane z powrotem do Azure AD. Aplikacje, usługi i maszyny wirtualne na platformie Azure łączące się z domeną zarządzaną mogą następnie używać typowych funkcji usług AD DS, takich jak przyłączanie do domeny, zasady grupy, protokół LDAP i uwierzytelnianie Kerberos/NTLM.

W środowisku hybrydowym z lokalnym środowiskiem usług AD DS program Azure AD Connect synchronizuje informacje o tożsamości z Azure AD, który następnie jest synchronizowany z domeną zarządzaną.

Synchronizacja w usługach Azure AD Domain Services z usługami Azure AD i lokalnymi usługami AD DS przy użyciu programu AD Connect

Azure AD DS replikuje informacje o tożsamości z Azure AD, dlatego współpracuje z dzierżawami Azure AD, które są tylko w chmurze, lub synchronizowane z lokalnym środowiskiem usług AD DS. Ten sam zestaw funkcji Azure AD DS istnieje dla obu środowisk.

  • Jeśli masz istniejące lokalne środowisko usług AD DS, możesz zsynchronizować informacje o koncie użytkownika, aby zapewnić spójną tożsamość dla użytkowników. Aby dowiedzieć się więcej, zobacz Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej.
  • W przypadku środowisk tylko w chmurze nie potrzebujesz tradycyjnego lokalnego środowiska usług AD DS do korzystania ze scentralizowanych usług tożsamości Azure AD DS.

Domenę zarządzaną można rozwinąć, aby mieć więcej niż jeden zestaw replik na dzierżawę Azure AD. Zestawy replik można dodać do dowolnej równorzędnej sieci wirtualnej w dowolnym regionie świadczenia usługi Azure, który obsługuje usługę Azure AD DS. Dodatkowe zestawy replik w różnych regionach świadczenia usługi Azure zapewniają geograficzne odzyskiwanie po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline. Aby uzyskać więcej informacji, zobacz Pojęcia i funkcje zestawów replik dla domen zarządzanych.

Zapoznaj się z tym filmem wideo o tym, jak Azure AD DS integruje się z aplikacjami i obciążeniami, aby zapewnić usługi tożsamości w chmurze:


Aby wyświetlić scenariusze wdrażania Azure AD DS w działaniu, możesz zapoznać się z następującymi przykładami:

funkcje i korzyści Azure AD DS

Aby zapewnić usługi tożsamości aplikacjom i maszynom wirtualnym w chmurze, usługa Azure AD DS jest w pełni zgodna z tradycyjnym środowiskiem usług AD DS na potrzeby operacji, takich jak przyłączanie do domeny, bezpieczny protokół LDAP (LDAPS), zasady grupy, zarządzanie systemem DNS i obsługa powiązań LDAP i odczytu. Obsługa zapisu LDAP jest dostępna dla obiektów utworzonych w domenie zarządzanej, ale nie zasobów synchronizowanych z Azure AD.

Aby dowiedzieć się więcej na temat opcji tożsamości, porównaj Azure AD DS z Azure AD, usługAMI AD DS na maszynach wirtualnych platformy Azure i lokalnymi usługami AD DS.

Następujące funkcje Azure AD DS upraszczają operacje wdrażania i zarządzania:

  • Uproszczone środowisko wdrażania: Azure AD DS jest włączona dla dzierżawy Azure AD przy użyciu jednego kreatora w Azure Portal.
  • Zintegrowane z Azure AD: konta użytkowników, członkostwo w grupach i poświadczenia są automatycznie dostępne w dzierżawie Azure AD. Nowi użytkownicy, grupy lub zmiany atrybutów z dzierżawy Azure AD lub lokalnego środowiska usług AD DS są automatycznie synchronizowane z usługą Azure AD DS.
    • Konta w katalogach zewnętrznych połączonych z Azure AD nie są dostępne w usłudze Azure AD DS. Poświadczenia nie są dostępne dla tych katalogów zewnętrznych, więc nie można ich zsynchronizować z domeną zarządzaną.
  • Użyj poświadczeń/haseł firmowych: Hasła użytkowników w usłudze Azure AD DS są takie same jak w dzierżawie Azure AD. Użytkownicy mogą używać swoich poświadczeń firmowych do maszyn przyłączonych do domeny, logować się interaktywnie lub za pośrednictwem pulpitu zdalnego i uwierzytelniać się w domenie zarządzanej.
  • Uwierzytelnianie NTLM i Kerberos: Dzięki obsłudze uwierzytelniania NTLM i Kerberos można wdrażać aplikacje oparte na uwierzytelnianiu zintegrowanym z systemem Windows.
  • Wysoka dostępność: Azure AD DS obejmuje wiele kontrolerów domeny, które zapewniają wysoką dostępność dla domeny zarządzanej. Ta wysoka dostępność gwarantuje czas pracy usługi i odporność na awarie.
    • W regionach obsługujących usługę Azure Strefy dostępności te kontrolery domeny są również dystrybuowane między strefami w celu zapewnienia dodatkowej odporności.
    • Zestawy replik mogą również służyć do zapewnienia geograficznego odzyskiwania po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline.

Oto niektóre kluczowe aspekty domeny zarządzanej:

  • Domena zarządzana jest domeną autonomiczną. Nie jest to rozszerzenie domeny lokalnej.
  • Twój zespół IT nie musi zarządzać kontrolerami domeny, poprawiać ich ani monitorować dla tej domeny zarządzanej.

W przypadku środowisk hybrydowych z lokalnymi usługami AD DS nie trzeba zarządzać replikacją usługi AD do domeny zarządzanej. Konta użytkowników, członkostwo w grupach i poświadczenia z katalogu lokalnego są synchronizowane z Azure AD za pośrednictwem programu Azure AD Connect. Te konta użytkowników, członkostwo w grupach i poświadczenia są automatycznie dostępne w domenie zarządzanej.

Następne kroki

Aby dowiedzieć się więcej na temat usług Azure AD DS w porównaniu z innymi rozwiązaniami do obsługi tożsamości i sposobu działania synchronizacji, zobacz następujące artykuły:

Aby rozpocząć pracę, utwórz domenę zarządzaną przy użyciu Azure Portal.