Microsoft Entra Domain Services'i inceleme
Günümüzde çoğu kuruluşta, iş kolu (LOB) uygulamaları etki alanı üyesi olan bilgisayarlara ve cihazlara dağıtılır. Bu kuruluşlar kimlik doğrulaması için AD DS tabanlı kimlik bilgilerini kullanır ve Grup İlkesi bunları yönetir. Bu uygulamaları Azure'da çalıştırılacak şekilde taşımayı düşündüğünüzde, önemli sorunlardan biri bu uygulamalara kimlik doğrulama hizmetleri sağlamadır. Bu gereksinimi karşılamak için yerel altyapınızla Azure IaaS arasında siteden siteye sanal özel ağ (VPN) uygulamayı seçebilir veya yerel AD DS'nizden çoğaltma etki alanı denetleyicilerini Azure'da sanal makine (VM) olarak dağıtabilirsiniz. Bu yaklaşımlar ek maliyetler ve yönetim eforu gerektirebilir. Buna ek olarak, bu iki yaklaşım arasındaki fark, ilk seçenekle kimlik doğrulama trafiğinin VPN'yi aşması, ikinci seçenekte ise çoğaltma trafiğinin VPN'yi aşması ve kimlik doğrulama trafiğinin bulutta kalmasıdır.
Microsoft, bu yaklaşımlara alternatif olarak Microsoft Entra Domain Services sağlar. Microsoft Entra Id P1 veya P2 katmanının bir parçası olarak çalışan bu hizmet, Microsoft Entra kiracınıza Grup İlkesi yönetimi, etki alanına katılma ve Kerberos kimlik doğrulaması gibi etki alanı hizmetleri sağlar. Bu hizmetler yerel olarak dağıtılan AD DS ile tamamen uyumludur, bu nedenle bunları bulutta ek etki alanı denetleyicileri dağıtmadan ve yönetmeden kullanabilirsiniz.
Microsoft Entra Id yerel AD DS'nizle tümleştirebildiğinden, Microsoft Entra Bağlan uyguladığınızda kullanıcılar hem şirket içi AD DS'de hem de Microsoft Entra Domain Services'da kuruluş kimlik bilgilerini kullanabilir. YEREL olarak dağıtılan AD DS'niz olmasa bile, Microsoft Entra Domain Services'ı yalnızca bulut hizmeti olarak kullanmayı seçebilirsiniz. Bu, şirket içinde veya bulutta tek bir etki alanı denetleyicisi dağıtmak zorunda kalmadan yerel olarak dağıtılan AD DS'nin benzer işlevlerine sahip olmanıza olanak tanır. Örneğin, bir kuruluş bir Microsoft Entra kiracısı oluşturmayı ve Microsoft Entra Domain Services'i etkinleştirmeyi seçebilir ve ardından şirket içi kaynaklarıyla Microsoft Entra kiracısı arasında bir sanal ağ dağıtabilir. Tüm şirket içi kullanıcıların ve hizmetlerin Microsoft Entra Id'den etki alanı hizmetlerini kullanabilmesi için bu sanal ağ için Microsoft Entra Domain Services'i etkinleştirebilirsiniz.
Microsoft Entra Domain Services, kuruluşlar için aşağıdakiler gibi çeşitli avantajlar sağlar:
- Yönetici istrator'ların etki alanı denetleyicilerini yönetmesi, güncelleştirmesi ve izlemesi gerekmez.
- Yönetici istrator'ların Active Directory çoğaltmasını dağıtması ve yönetmesi gerekmez.
- Microsoft Entra Id'nin yönettiği etki alanları için Etki Alanı Yönetici veya Kurumsal Yönetici gruplarının olması gerekmez.
Microsoft Entra Domain Services'ı uygulamayı seçerseniz hizmetin geçerli sınırlamalarını bilmeniz gerekir. Bu modüller şunlardır:
- Yalnızca temel bilgisayar Active Directory nesnesi desteklenir.
- Microsoft Entra Domain Services etki alanının şemasını genişletmek mümkün değildir.
- Kuruluş birimi (OU) yapısı düzdür ve iç içe OU'lar şu anda desteklenmiyor.
- Yerleşik bir Grup İlkesi Nesnesi (GPO) vardır ve bilgisayar ve kullanıcı hesapları için mevcuttur.
- Yerleşik GPO'larla OU'ları hedeflemek mümkün değildir. Ayrıca, Windows Yönetim Araçları filtrelerini veya güvenlik grubu filtrelemesini kullanamazsınız.
Microsoft Entra Domain Services kullanarak LDAP, NTLM veya Kerberos protokollerini kullanan uygulamaları şirket içi altyapınızdan buluta serbestçe geçirebilirsiniz. Ayrıca vm'lerde Microsoft SQL Server veya Microsoft SharePoint Server gibi uygulamaları kullanabilir veya bulutta etki alanı denetleyicilerine veya yerel altyapıya VPN'e gerek kalmadan Azure IaaS'de dağıtabilirsiniz.
Azure portalını kullanarak Microsoft Entra Domain Services'i etkinleştirebilirsiniz. Bu hizmet, dizininizin boyutuna göre saatlik ücretlendirilir.