Udostępnij za pośrednictwem


Co to jest usługa Microsoft Entra Domain Services?

Usługi Microsoft Entra Domain Services zapewniają zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy, uwierzytelnianie LDAP i Kerberos/NTLM. Można korzystać z tych usług domenowych bez konieczności wdrażania kontrolerów domeny w chmurze, zarządzania nimi i tworzenia w nich poprawek.

Domena zarządzana usług Domenowych umożliwia uruchamianie starszych aplikacji w chmurze, które nie mogą używać nowoczesnych metod uwierzytelniania lub gdy nie chcesz, aby wyszukiwanie katalogów zawsze wracało do lokalnego środowiska usług AD DS. Możesz przenieść te starsze aplikacje ze środowiska lokalnego do domeny zarządzanej i przenieść je bez konieczności zarządzania środowiskiem usług AD DS w chmurze.

Usługi Domain Services integrują się z istniejącą dzierżawą firmy Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się do usług i aplikacji połączonych z domeną zarządzaną przy użyciu istniejących poświadczeń. Możesz również użyć istniejących grup i kont użytkowników, aby zabezpieczyć dostęp do zasobów. Te funkcje zapewniają bezproblemowe przenoszenie zasobów lokalnych na platformę Azure.

Zapoznaj się z krótkim filmem wideo, aby dowiedzieć się więcej o usługach Domain Services.

Jak działają usługi Domain Services?

Podczas tworzenia domeny zarządzanej usług Domain Services należy zdefiniować unikatową przestrzeń nazw. Ta przestrzeń nazw jest nazwą domeny, taką jak aaddscontoso.com. Dwa kontrolery domeny systemu Windows Server są następnie wdrażane w wybranym regionie świadczenia usługi Azure. To wdrożenie kontrolerów domeny jest nazywane zestawem replik.

Nie musisz zarządzać, konfigurować ani aktualizować tych kontrolerów domeny. Platforma Azure obsługuje kontrolery domeny w ramach domeny zarządzanej, w tym kopie zapasowe i szyfrowanie magazynowane przy użyciu usługi Azure Disk Encryption.

Domena zarządzana jest skonfigurowana do przeprowadzania jednokierunkowej synchronizacji z identyfikatora Entra firmy Microsoft w celu zapewnienia dostępu do centralnego zestawu użytkowników, grup i poświadczeń. Zasoby można tworzyć bezpośrednio w domenie zarządzanej, ale nie są one synchronizowane z powrotem do identyfikatora Entra firmy Microsoft. Aplikacje, usługi i maszyny wirtualne na platformie Azure, które łączą się z domeną zarządzaną, mogą następnie używać typowych funkcji usług AD DS, takich jak przyłączanie do domeny, zasady grupy, ldap i uwierzytelnianie Kerberos/NTLM.

W środowisku hybrydowym z lokalnym środowiskiem usług AD DS firma Microsoft Entra Połączenie synchronizuje informacje o tożsamości z identyfikatorem Entra firmy Microsoft, który jest następnie synchronizowany z domeną zarządzaną.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Usługi Domain Services replikują informacje o tożsamości z identyfikatora Entra firmy Microsoft, więc współdziałają z dzierżawami firmy Microsoft entra, które są tylko w chmurze lub są synchronizowane z lokalnym środowiskiem usług AD DS. Ten sam zestaw funkcji usług domenowych istnieje dla obu środowisk.

  • Jeśli masz istniejące lokalne środowisko usług AD DS, możesz zsynchronizować informacje o koncie użytkownika, aby zapewnić spójną tożsamość dla użytkowników. Aby dowiedzieć się więcej, zobacz Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej.
  • W przypadku środowisk tylko w chmurze nie potrzebujesz tradycyjnego lokalnego środowiska usług AD DS do korzystania ze scentralizowanych usług tożsamości usług Domain Services.

Domenę zarządzaną można rozszerzyć, aby mieć więcej niż jeden zestaw replik na dzierżawę firmy Microsoft Entra. Zestawy replik można dodać do dowolnej równorzędnej sieci wirtualnej w dowolnym regionie świadczenia usługi Azure obsługującym usługi Domain Services. Dodając zestawy replik w różnych regionach świadczenia usługi Azure, można zapewnić geograficzne odzyskiwanie po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline. Aby uzyskać więcej informacji, zobacz Pojęcia i funkcje zestawów replik dla domen zarządzanych.

Zapoznaj się z tym filmem wideo na temat sposobu integrowania usług Domain Services z aplikacjami i obciążeniami w celu zapewnienia usług tożsamości w chmurze:


Aby zobaczyć scenariusze wdrażania usług Domain Services w działaniu, możesz zapoznać się z następującymi przykładami:

Funkcje i korzyści związane z usługami Domain Services

Aby zapewnić usługi tożsamości aplikacjom i maszynom wirtualnym w chmurze, usługi Domain Services są w pełni zgodne z tradycyjnym środowiskiem usług AD DS na potrzeby operacji, takich jak przyłączanie do domeny, bezpieczny protokół LDAP (LDAPS), zasady grupy, zarządzanie systemem DNS i obsługa powiązań LDAP i odczytu. Obsługa zapisu LDAP jest dostępna dla obiektów utworzonych w domenie zarządzanej, ale nie dla zasobów zsynchronizowanych z identyfikatorem Entra firmy Microsoft.

Aby dowiedzieć się więcej na temat opcji tożsamości, porównaj usługi Domain Services z usługami Microsoft Entra ID, AD DS na maszynach wirtualnych platformy Azure i lokalnie usług AD DS.

Następujące funkcje usług Domain Services upraszczają operacje wdrażania i zarządzania:

  • Uproszczone środowisko wdrażania: usługi Domain Services są włączone dla dzierżawy firmy Microsoft Entra przy użyciu jednego kreatora w centrum administracyjnym firmy Microsoft Entra.
  • Zintegrowane z identyfikatorem Entra firmy Microsoft: konta użytkowników, członkostwo w grupach i poświadczenia są automatycznie dostępne w dzierżawie firmy Microsoft Entra. Nowi użytkownicy, grupy lub zmiany atrybutów z dzierżawy microsoft Entra lub lokalnego środowiska usług AD DS są automatycznie synchronizowane z usługami Domain Services.
    • Konta w katalogach zewnętrznych połączonych z twoim identyfikatorem Entra firmy Microsoft nie są dostępne w usługach domenowych. Poświadczenia nie są dostępne dla tych katalogów zewnętrznych, więc nie można ich zsynchronizować z domeną zarządzaną.
  • Użyj poświadczeń/haseł firmowych: hasła dla użytkowników w usługach domenowych są takie same jak w dzierżawie firmy Microsoft Entra. Użytkownicy mogą używać swoich poświadczeń firmowych do maszyn przyłączonych do domeny, logować się interaktywnie lub za pośrednictwem pulpitu zdalnego i uwierzytelniać się w domenie zarządzanej.
  • Uwierzytelnianie NTLM i Kerberos: dzięki obsłudze uwierzytelniania NTLM i Kerberos można wdrażać aplikacje oparte na uwierzytelnianiu zintegrowanym z systemem Windows.
  • Wysoka dostępność: Usługi domenowe obejmują wiele kontrolerów domeny, które zapewniają wysoką dostępność dla domeny zarządzanej. Ta wysoka dostępność gwarantuje czas działania usługi i odporność na awarie.
    • W regionach obsługujących usługę Azure Strefy dostępności te kontrolery domeny są również dystrybuowane między strefami w celu zapewnienia dodatkowej odporności.
    • Zestawy replik mogą również służyć do zapewnienia geograficznego odzyskiwania po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline.

Niektóre kluczowe aspekty domeny zarządzanej obejmują następujące elementy:

  • Domena zarządzana jest domeną autonomiczną. Nie jest to rozszerzenie domeny lokalnej.
    • W razie potrzeby można utworzyć jednokierunkowe relacje zaufania lasu wychodzącego z usług Domain Services do lokalnego środowiska usług AD DS. Aby uzyskać więcej informacji, zobacz Pojęcia i funkcje lasu dla usług domenowych.
  • Zespół IT nie musi zarządzać, poprawiać ani monitorować kontrolerów domeny dla tej domeny zarządzanej.

W przypadku środowisk hybrydowych z lokalnymi usługami AD DS nie trzeba zarządzać replikacją usługi AD do domeny zarządzanej. Konta użytkowników, członkostwo w grupach i poświadczenia z katalogu lokalnego są synchronizowane z identyfikatorem Entra firmy Microsoft za pośrednictwem usługi Microsoft Entra Połączenie. Te konta użytkowników, członkostwa w grupach i poświadczenia są automatycznie dostępne w domenie zarządzanej.

Następne kroki

Aby dowiedzieć się więcej na temat usług Domain Services porównań z innymi rozwiązaniami do obsługi tożsamości i sposobu działania synchronizacji, zobacz następujące artykuły:

Aby rozpocząć, utwórz domenę zarządzaną przy użyciu centrum administracyjnego firmy Microsoft Entra.