Microsoft Entra Domain Services nedir?

  • Makale

Microsoft Entra Domain Services; etki alanına katılma, grup ilkesi, basit dizin erişim protokolü (LDAP) ve Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sunar. Bu etki alanı hizmetlerini bulutta etki alanı denetleyicilerini (DC) dağıtmanıza, yönetmenize ve düzeltme eki uygulamanıza gerek kalmadan kullanabilirsiniz.

Etki Alanı Hizmetleri tarafından yönetilen etki alanı, modern kimlik doğrulama yöntemlerini kullanemeyen veya dizin aramalarının her zaman şirket içi AD DS ortamına dönmesini istemediğiniz eski uygulamaları bulutta çalıştırmanıza olanak tanır. Bu eski uygulamaları, buluttaki AD DS ortamını yönetmeye gerek kalmadan şirket içi ortamınızdan kaldırıp yönetilen bir etki alanına kaydırabilirsiniz.

Domain Services, mevcut Microsoft Entra kiracınızla tümleştirilir. Bu tümleştirme, kullanıcıların mevcut kimlik bilgilerini kullanarak yönetilen etki alanına bağlı hizmetlerde ve uygulamalarda oturum açmasına olanak tanır. Kaynaklara erişimin güvenliğini sağlamak için mevcut grupları ve kullanıcı hesaplarını da kullanabilirsiniz. Bu özellikler, şirket içi kaynakların Azure'a daha sorunsuz bir şekilde kaldırılmasını sağlar.

Başlamak için, Microsoft Entra yönetim merkezini kullanarak Bir Domain Services yönetilen etki alanı oluşturun

Domain Services hakkında daha fazla bilgi edinmek için kısa videomuza göz atın.

Etki Alanı Hizmetleri nasıl çalışır?

Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı oluşturduğunuzda, benzersiz bir ad alanı tanımlarsınız. Bu ad alanı, aaddscontoso.com gibi etki alanı adıdır. Ardından seçtiğiniz Azure bölgesine iki Windows Server etki alanı denetleyicisi (DC) dağıtılır. Dc'lerin bu dağıtımı bir çoğaltma kümesi olarak bilinir.

Bu DC'leri yönetmeniz, yapılandırmanız veya güncelleştirmeniz gerekmez. Azure platformu, Azure Disk Şifrelemesi kullanarak bekleyen yedeklemeler ve şifreleme dahil olmak üzere yönetilen etki alanının bir parçası olarak DC'leri işler.

Yönetilen etki alanı, merkezi bir kullanıcı, grup ve kimlik bilgileri kümesine erişim sağlamak için Microsoft Entra Id'den tek yönlü eşitleme gerçekleştirecek şekilde yapılandırılır. Kaynakları doğrudan yönetilen etki alanında oluşturabilirsiniz, ancak bunlar Microsoft Entra Kimliği'ne geri eşitlenmez. Azure'da yönetilen etki alanına bağlanan uygulamalar, hizmetler ve VM'ler daha sonra etki alanına katılma, grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi yaygın AD DS özelliklerini kullanabilir.

Şirket içi AD DS ortamına sahip karma bir ortamda, Microsoft Entra Bağlan kimlik bilgilerini Microsoft Entra Kimliği ile eşitler ve bu kimlik daha sonra yönetilen etki alanıyla eşitlenir.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services, kimlik bilgilerini Microsoft Entra Id'den çoğaltarak yalnızca bulut kullanan veya şirket içi AD DS ortamıyla eşitlenen Microsoft Entra kiracılarıyla çalışır. Her iki ortam için de aynı Etki Alanı Hizmetleri özellikleri kümesi vardır.

  • Mevcut bir şirket içi AD DS ortamınız varsa, kullanıcılar için tutarlı bir kimlik sağlamak üzere kullanıcı hesabı bilgilerini eşitleyebilirsiniz. Daha fazla bilgi edinmek için bkz . Yönetilen bir etki alanında nesnelerin ve kimlik bilgilerinin eşitlenmesi.
  • Yalnızca bulut ortamlarında, Etki Alanı Hizmetleri'nin merkezi kimlik hizmetlerini kullanmak için geleneksel bir şirket içi AD DS ortamına ihtiyacınız yoktur.

Yönetilen etki alanını, Microsoft Entra kiracısı başına birden fazla çoğaltma kümesine sahip olacak şekilde genişletebilirsiniz. Çoğaltma kümeleri, Etki Alanı Hizmetleri'ni destekleyen herhangi bir Azure bölgesindeki eşlenmiş herhangi bir sanal ağa eklenebilir. Farklı Azure bölgelerinde çoğaltma kümeleri ekleyerek, bir Azure bölgesi çevrimdışı olursa eski uygulamalar için coğrafi olağanüstü durum kurtarma sağlayabilirsiniz. Daha fazla bilgi için bkz . Yönetilen etki alanları için çoğaltma kümeleri kavramları ve özellikleri.

Domain Services'ın bulutta kimlik hizmetleri sağlamak için uygulamalarınızla ve iş yüklerinizle nasıl tümleştirilip tümleştirilmemiş olduğunu gösteren bu videoya göz atın:


Etki Alanı Hizmetleri dağıtım senaryolarını uygulamada görmek için aşağıdaki örnekleri inceleyebilirsiniz:

Etki Alanı Hizmetleri özellikleri ve avantajları

Etki Alanı Hizmetleri, buluttaki uygulamalara ve VM'lere kimlik hizmetleri sağlamak için etki alanına katılma, güvenli LDAP (LDAPS), Grup İlkesi, DNS yönetimi ve LDAP bağlama ve okuma desteği gibi işlemler için geleneksel bir AD DS ortamıyla tamamen uyumludur. LDAP yazma desteği yönetilen etki alanında oluşturulan nesneler için kullanılabilir, ancak Microsoft Entra Id'den eşitlenen kaynaklar için kullanılamaz.

Kimlik seçenekleriniz hakkında daha fazla bilgi edinmek için Etki Alanı Hizmetleri'ni Microsoft Entra ID, Azure VM'lerinde AD DS ve şirket içi AD DS ile karşılaştırın.

Etki Alanı Hizmetleri'nin aşağıdaki özellikleri dağıtım ve yönetim işlemlerini basitleştirir:

  • Basitleştirilmiş dağıtım deneyimi: Etki Alanı Hizmetleri, Microsoft Entra yönetim merkezindeki tek bir sihirbaz kullanılarak Microsoft Entra kiracınız için etkinleştirilir.
  • Microsoft Entra Kimliği ile tümleşik: Kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri Microsoft Entra kiracınızdan otomatik olarak kullanılabilir. Microsoft Entra kiracınızdan veya şirket içi AD DS ortamınızdan gelen yeni kullanıcılar, gruplar veya özniteliklerde yapılan değişiklikler otomatik olarak Etki Alanı Hizmetleri ile eşitlenir.
    • Microsoft Entra Kimliğinize bağlı dış dizinlerdeki hesaplar, Etki Alanı Hizmetleri'nde kullanılamaz. Bu dış dizinler için kimlik bilgileri kullanılamaz, bu nedenle yönetilen bir etki alanına eşitlenemez.
  • Şirket kimlik bilgilerinizi/parolalarınızı kullanın: Etki Alanı Hizmetleri'ndeki kullanıcıların parolaları, Microsoft Entra kiracınızdaki parolalarla aynıdır. Kullanıcılar, şirket kimlik bilgilerini kullanarak makineleri etki alanına katabilir, etkileşimli olarak veya uzak masaüstü üzerinden oturum açabilir ve yönetilen etki alanında kimlik doğrulaması yapabilir.
  • NTLM ve Kerberos kimlik doğrulaması: NTLM ve Kerberos kimlik doğrulaması desteğiyle, Windows ile tümleşik kimlik doğrulaması kullanan uygulamaları dağıtabilirsiniz.
  • Yüksek kullanılabilirlik: Etki Alanı Hizmetleri, yönetilen etki alanınız için yüksek kullanılabilirlik sağlayan birden çok etki alanı denetleyicisi içerir. Bu yüksek kullanılabilirlik, hizmet çalışma süresini ve hatalara dayanıklılığı garanti eder.
    • Azure Kullanılabilirlik Alanları destekleyen bölgelerde, bu etki alanı denetleyicileri ek dayanıklılık için bölgeler arasında da dağıtılır.
    • Çoğaltma kümeleri , bir Azure bölgesi çevrimdışı olursa eski uygulamalar için coğrafi olağanüstü durum kurtarma sağlamak için de kullanılabilir.

Yönetilen etki alanının bazı önemli yönleri şunlardır:

  • Yönetilen etki alanı tek başına bir etki alanıdır. Şirket içi etki alanının uzantısı değildir.
    • Gerekirse, Etki Alanı Hizmetleri'nden şirket içi AD DS ortamına tek yönlü giden orman güvenleri oluşturabilirsiniz. Daha fazla bilgi için bkz . Etki Alanı Hizmetleri için orman kavramları ve özellikleri.
  • BT ekibinizin bu yönetilen etki alanı için etki alanı denetleyicilerini yönetmesi, düzeltme eki eklemesi veya izlemesi gerekmez.

Şirket içinde AD DS çalıştıran karma ortamlar için yönetilen etki alanına AD çoğaltmasını yönetmeniz gerekmez. Şirket içi dizininizdeki kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri Microsoft Entra Bağlan aracılığıyla Microsoft Entra Id ile eşitlenir. Bu kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri yönetilen etki alanında otomatik olarak kullanılabilir.

Sonraki adımlar

Domain Services'ın diğer kimlik çözümleriyle karşılaştırması ve eşitlemenin nasıl çalıştığı hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

Başlamak için Microsoft Entra yönetim merkezini kullanarak yönetilen bir etki alanı oluşturun.