Vad är Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster såsom domänanslutning, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Du använder dessa domäntjänster utan att behöva distribuera, hantera och korrigera domänkontrollanter (DC) i molnet.

Med en Azure AD DS-hanterad domän kan du köra äldre program i molnet som inte kan använda moderna autentiseringsmetoder eller där du inte vill att katalogsökningar alltid ska gå tillbaka till en lokal AD DS-miljö. Du kan lyfta och flytta dessa äldre program från din lokala miljö till en hanterad domän, utan att behöva hantera AD DS-miljön i molnet.

Azure AD DS integreras med din befintliga Azure AD klientorganisation. Med den här integreringen kan användare logga in på tjänster och program som är anslutna till den hanterade domänen med sina befintliga autentiseringsuppgifter. Du kan också använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser. De här funktionerna ger en smidigare lift-and-shift av lokala resurser till Azure.

Ta en titt på vår korta video för att lära dig mer om Azure AD DS.

Hur fungerar Azure AD DS?

När du skapar en Azure AD DS-hanterad domän definierar du ett unikt namnområde. Det här namnområdet är domännamnet, till exempel aaddscontoso.com. Två Windows Server-domänkontrollanter (DCs) distribueras sedan till din valda Azure-region. Den här distributionen av domänkontrollanter kallas för en replikuppsättning.

Du behöver inte hantera, konfigurera eller uppdatera dessa domänkontrollanter. Azure-plattformen hanterar domänkontrollanterna som en del av den hanterade domänen, inklusive säkerhetskopior och kryptering i vila med hjälp av Azure Disk Encryption.

En hanterad domän är konfigurerad för att utföra en enkelriktad synkronisering från Azure AD för att ge åtkomst till en central uppsättning användare, grupper och autentiseringsuppgifter. Du kan skapa resurser direkt i den hanterade domänen, men de synkroniseras inte tillbaka till Azure AD. Program, tjänster och virtuella datorer i Azure som ansluter till den hanterade domänen kan sedan använda vanliga AD DS-funktioner som domänanslutning, grupprincip, LDAP och Kerberos/NTLM-autentisering.

I en hybridmiljö med en lokal AD DS-miljö synkroniserar Azure AD Connect identitetsinformation med Azure AD, som sedan synkroniseras till den hanterade domänen.

Synkronisering i Azure AD Domain Services med Azure AD och lokal AD DS med AD Connect

Azure AD DS replikerar identitetsinformation från Azure AD, så den fungerar med Azure AD klientorganisationer som endast är molnbaserade eller synkroniserade med en lokal AD DS-miljö. Samma uppsättning Azure AD DS-funktioner finns för båda miljöerna.

  • Om du har en befintlig lokal AD DS-miljö kan du synkronisera användarkontoinformation för att tillhandahålla en konsekvent identitet för användarna. Mer information finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.
  • För molnbaserade miljöer behöver du inte en traditionell lokal AD DS-miljö för att använda de centraliserade identitetstjänsterna i Azure AD DS.

Du kan expandera en hanterad domän för att ha fler än en replikuppsättning per Azure AD klientorganisation. Replikuppsättningar kan läggas till i alla peerkopplade virtuella nätverk i valfri Azure-region som stöder Azure AD DS. Ytterligare replikuppsättningar i olika Azure-regioner ger geografisk haveriberedskap för äldre program om en Azure-region kopplas från. Mer information finns i Begrepp och funktioner för replikuppsättningar för hanterade domäner.

Ta en titt på den här videon om hur Azure AD DS integreras med dina program och arbetsbelastningar för att tillhandahålla identitetstjänster i molnet:


Om du vill se Azure AD DS-distributionsscenarier i praktiken kan du utforska följande exempel:

Azure AD DS-funktioner och fördelar

För att tillhandahålla identitetstjänster till program och virtuella datorer i molnet är Azure AD DS helt kompatibelt med en traditionell AD DS-miljö för åtgärder som domänanslutning, säker LDAP (LDAPS), grupprincip, DNS-hantering och LDAP-bindning och lässtöd. Skrivstöd för LDAP är tillgängligt för objekt som skapats i den hanterade domänen, men inte resurser som synkroniserats från Azure AD.

Om du vill veta mer om dina identitetsalternativ kan du jämföra Azure AD DS med Azure AD, AD DS på virtuella Azure-datorer och AD DS lokalt.

Följande funktioner i Azure AD DS förenklar distributions- och hanteringsåtgärder:

  • Förenklad distributionsupplevelse: Azure AD DS är aktiverat för din Azure AD klientorganisation med hjälp av en enda guide i Azure Portal.
  • Integrerat med Azure AD: Användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga från din Azure AD klientorganisation. Nya användare, grupper eller ändringar av attribut från din Azure AD klientorganisation eller din lokala AD DS-miljö synkroniseras automatiskt till Azure AD DS.
    • Konton i externa kataloger som är länkade till din Azure AD är inte tillgängliga i Azure AD DS. Autentiseringsuppgifter är inte tillgängliga för dessa externa kataloger, så det går inte att synkronisera till en hanterad domän.
  • Använd företagets autentiseringsuppgifter/lösenord: Lösenord för användare i Azure AD DS är samma som i din Azure AD klientorganisation. Användare kan använda sina företagsautentiseringsuppgifter till domänanslutna datorer, logga in interaktivt eller via fjärrskrivbord och autentisera mot den hanterade domänen.
  • NTLM- och Kerberos-autentisering: Med stöd för NTLM- och Kerberos-autentisering kan du distribuera program som förlitar sig på Windows-integrerad autentisering.
  • Hög tillgänglighet: Azure AD DS innehåller flera domänkontrollanter, vilket ger hög tillgänglighet för din hanterade domän. Den här höga tillgängligheten garanterar drifttid för tjänsten och motståndskraft mot fel.
    • I regioner som stöder Azure Tillgänglighetszoner distribueras även dessa domänkontrollanter mellan zoner för ytterligare återhämtning.
    • Replikuppsättningar kan också användas för att tillhandahålla geografisk haveriberedskap för äldre program om en Azure-region kopplas från.

Några viktiga aspekter av en hanterad domän är följande:

  • Den hanterade domänen är en fristående domän. Det är inte ett tillägg för en lokal domän.
  • IT-teamet behöver inte hantera, korrigera eller övervaka domänkontrollanter för den här hanterade domänen.

För hybridmiljöer som kör AD DS lokalt behöver du inte hantera AD-replikering till den hanterade domänen. Användarkonton, gruppmedlemskap och autentiseringsuppgifter från din lokala katalog synkroniseras till Azure AD via Azure AD Connect. Dessa användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga i den hanterade domänen.

Nästa steg

Mer information om Azure AD DS jämförs med andra identitetslösningar och hur synkronisering fungerar finns i följande artiklar:

Kom igång genom att skapa en hanterad domän med hjälp av Azure Portal.