Что такое доменные службы Microsoft Entra?

  • Статья

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование упрощенного протокола доступа к каталогам (LDAP) и проверку подлинности Kerberos или NTLM. Вы можете использовать эти доменные службы без необходимости развертывать и исправлять контроллеры домена в облаке или управлять ими.

Управляемый домен доменных служб позволяет запускать устаревшие приложения в облаке, которые не могут использовать современные методы проверки подлинности или где вы не хотите, чтобы поиски каталогов всегда возвращались в локальную среду AD DS. Эти устаревшие приложения можно перенести из локальной среды в управляемый домен, чтобы избавиться от необходимости управлять средой AD DS в облаке.

Доменные службы интегрируются с существующим клиентом Microsoft Entra. Такая интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя существующие учетные данные. Для безопасного доступа к ресурсам можно также использовать существующие группы и учетные записи пользователей. Эти функции обеспечивают более гладкий перенос lift-and-shift локальных ресурсов в Azure.

Чтобы приступить к работе, создайте управляемый домен доменных служб с помощью Центра администрирования Microsoft Entra

Ознакомьтесь с нашим коротким видео, чтобы узнать больше о доменных службах.

Как работают доменные службы?

При создании управляемого домена доменных служб определяется уникальное пространство имен. Это пространство имен является доменным именем, например aaddscontoso.com. Затем в выбранном регионе Azure развертываются два контроллера домена Windows Server. Такое развертывание контроллеров домена называется набором реплик.

Вам не нужно управлять этими контроллерами домена, а также настраивать или обновлять их. Платформа Azure работает с контроллерами домена как с компонентом управляемого домена, в том числе выполняет резервное копирование и шифрование хранимых данных с помощью Шифрования дисков Azure.

Управляемый домен настроен для односторонней синхронизации из идентификатора Microsoft Entra, чтобы предоставить доступ к центральному набору пользователей, групп и учетных данных. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не синхронизируются с идентификатором Microsoft Entra. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к управляемому домену, смогут использовать стандартные функции AD DS, такие как присоединение к домену, групповая политика, LDAP и аутентификация Kerberos/NTLM.

В гибридной среде с локальной средой AD DS Microsoft Entra Подключение синхронизирует сведения об удостоверениях с идентификатором Microsoft Entra, который затем синхронизируется с управляемым доменом.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Доменные службы реплика tes identity information from Microsoft Entra ID, поэтому он работает с клиентами Microsoft Entra, которые являются облачными или синхронизированы с локальной средой AD DS. Для обеих сред существует один набор функций доменных служб.

  • Если у вас уже есть локальная среда AD DS, вы можете синхронизировать данные об учетных записях пользователей для достижения единообразия. Дополнительные сведения см. в разделе Синхронизация объектов и учетных данных в управляемом домене.
  • Для облачных сред не требуется традиционная локальная среда AD DS для использования централизованных служб удостоверений доменных служб.

Вы можете развернуть управляемый домен, чтобы задать несколько реплика для каждого клиента Microsoft Entra. Наборы реплик можно добавлять в любую пиринговую виртуальную сеть в любом регионе Azure, поддерживающем доменные службы. Добавив реплика наборы в разных регионах Azure, вы можете предоставить географическое аварийное восстановление для устаревших приложений, если регион Azure переходит в автономный режим. Дополнительные сведения см. в статье Основные понятия и функции наборов реплик для управляемых доменов.

Ознакомьтесь с этим видео о том, как доменные службы интегрируются с приложениями и рабочими нагрузками для предоставления служб удостоверений в облаке:


Чтобы просмотреть сценарии развертывания доменных служб в действии, ознакомьтесь со следующими примерами:

Функции и преимущества доменных служб

Чтобы предоставить службы удостоверений приложениям и виртуальным машинам в облаке, доменные службы полностью совместимы с традиционной средой AD DS для таких операций, как присоединение к домену, защита LDAP (LDAPS), групповая политика, управление DNS и поддержка привязки LDAP и поддержки чтения. Поддержка записи LDAP доступна для объектов, созданных в управляемом домене, но не для ресурсов, синхронизированных с идентификатором Microsoft Entra.

Чтобы узнать больше о параметрах удостоверений, сравните доменные службы с идентификатором Microsoft Entra ID, AD DS на виртуальных машинах Azure и локальной службой AD DS.

Следующие функции доменных служб упрощают операции развертывания и управления.

  • Упрощенное развертывание. Доменные службы включены для клиента Microsoft Entra с помощью одного мастера в Центре администрирования Microsoft Entra.
  • Интегрированная с идентификатором Microsoft Entra: учетные записи пользователей, членство в группах и учетные данные автоматически доступны в клиенте Microsoft Entra. Новые пользователи, группы или изменения атрибутов из клиента Microsoft Entra или локальной среды AD DS автоматически синхронизируются с доменными службами.
    • Учетные записи во внешних каталогах, связанных с идентификатором Microsoft Entra, недоступны в доменных службах. Учетные данные недоступны для этих внешних каталогов, поэтому их нельзя синхронизировать с управляемым доменом.
  • Используйте корпоративные учетные данные и пароли: пароли для пользователей в доменных службах совпадают с вашим клиентом Microsoft Entra. Пользователи могут использовать свои корпоративные учетные данные для присоединения компьютеров к домену, входа в систему в интерактивном режиме или через удаленный рабочий стол, а также для аутентификации в управляемом домене.
  • Проверка подлинности NTLM и Kerberos. Поддержка проверки подлинности NTLM и Kerberos позволяет развертывать приложения, использующие встроенную проверку подлинности Windows.
  • Высокий уровень доступности: доменные службы включают несколько контроллеров домена, которые обеспечивают высокий уровень доступности для управляемого домена. Высокий уровень доступности гарантирует непрерывность работы и отказоустойчивость службы.
    • В регионах, поддерживающих Зоны доступности Azure, эти контроллеры домена также распределяются между зонами для обеспечения дополнительной отказоустойчивости.
    • Наборы реплик можно также использовать для обеспечения географического аварийного восстановления устаревших приложений, если регион Azure становится недоступен.

Ниже приведены некоторые ключевые аспекты управляемого домена.

  • Это отдельный управляемый домен. Он не является расширением локального домена.
  • Для управляемого домена ИТ-специалистам не нужно управлять контролерами домена, исправлять их или отслеживать.

В гибридных средах, использующих локальную службу AD DS, вам не нужно управлять репликацией AD в управляемый домен. Учетные записи пользователей, членство в группах и учетные данные из локального каталога синхронизируются с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. Эти учетные записи и учетные данные пользователей, а также сведения о членстве в группах автоматически становятся доступными в управляемом домене.

Следующие шаги

Дополнительные сведения о доменных службах сравниваются с другими решениями идентификации и о том, как работает синхронизация, см. в следующих статьях:

Чтобы приступить к работе, создайте управляемый домен с помощью Центра администрирования Microsoft Entra.