Konzepte und Features zu Replikatgruppen für Microsoft Entra Domain Services
Nachdem Sie eine verwaltete Microsoft Entra Domain Services-Domäne erstellt haben, können Sie einen eindeutigen Namespace festlegen. Dieser Namespace ist der Domänenname, etwa aaddscontoso.com. Anschließend werden zwei Domänencontroller (DCs) in der ausgewählten Azure-Region bereitgestellt. Diese Bereitstellung von Domänencontrollern wird als Replikatgruppe bezeichnet.
Sie können eine verwaltete Domäne erweitern, sodass mehrere Replikatgruppen pro Microsoft Entra-Mandant festgelegt sind. Replikatgruppen können einem beliebigen virtuellen Netzwerk mit Peering in einer beliebigen Azure-Region mit Domain Services-Unterstützung hinzugefügt werden. Zusätzliche Replikatgruppen in verschiedenen Azure-Regionen bieten eine geografische Notfallwiederherstellung für Legacyanwendungen, wenn eine Azure-Region offline geschaltet wird.
Hinweis
Sie können mit Replikatgruppen nicht mehrere eindeutige verwaltete Domänen in einem einzelnen Azure-Mandanten bereitstellen. Jede Replikatgruppe enthält dieselben Daten.
Funktionsweise von Replikatgruppen
Wenn Sie eine verwaltete Domäne erstellen (beispielsweise aaddscontoso.com), wird eine anfängliche Replikatgruppe erstellt. Von weiteren Replikatgruppen werden der gleiche Namespace und die gleiche Konfiguration verwendet. Änderungen an Domaoin Services (einschließlich Konfiguration, Benutzeridentität und Anmeldeinformationen, Gruppen, Gruppenrichtlinienobjekte, Computerobjekte und andere Änderungen) werden mittels AD DS-Replikation auf alle Replikatgruppen in der verwalteten Domäne angewendet.
Sie erstellen jede Replikatgruppe in einem virtuellen Netzwerk. Jedes virtuelle Netzwerk muss per Peering mit jedem anderen virtuellen Netzwerk verbunden werden, das die Replikatgruppe einer verwalteten Domäne hostet. Bei dieser Konfiguration wird eine Peermesh-Netzwerktopologie erstellt, die die Verzeichnisreplikation unterstützt. Ein virtuelles Netzwerk kann mehrere Replikatgruppen unterstützen, sofern sich jede Replikatgruppe in einem anderen virtuellen Subnetz befindet.
Alle Replikatgruppen werden am selben Active Directory-Standort angeordnet. Durch die schnelle Weitergabe aller Änderungen mithilfe der standortinternen Replikation wird schnell Konvergenz erreicht.
Hinweis
Es ist nicht möglich, separate Standorte zu definieren und Replikationseinstellungen zwischen Replikatgruppen zu definieren.
Das folgende Diagramm zeigt eine verwaltete Domäne mit zwei Replikatgruppen. Die erste Replikatgruppe wird mit dem Domänennamespace erstellt. Anschließend wird eine zweite Replikatgruppe erstellt:
Hinweis
Replikatgruppen stellen sicher, dass in den Regionen, in denen eine Replikatgruppe konfiguriert ist, auch Authentifizierungsdienste verfügbar sind. Damit eine Anwendung bei einem regionalen Ausfall geografische Redundanz behält, muss sich die Anwendungsplattform, die von der verwalteten Domäne abhängt, auch in der anderen Region befinden.
Die Resilienz anderer Dienste, die für die Funktion der Anwendung erforderlich sind, z. B. virtuelle Azure-Computer oder Azure App Service, wird nicht durch Replikatgruppen bereitgestellt. Sie sollten beim Entwerfen der Verfügbarkeit anderer Anwendungskomponenten die Resilienzfeatures für alle Dienste der Anwendung berücksichtigen.
Das folgende Beispiel zeigt eine verwaltete Domäne, für die mit drei Replikatgruppen zusätzliche Resilienz gewährleistet und die Verfügbarkeit der Authentifizierungsdienste sichergestellt wird. In beiden Beispielen befinden sich Anwendungsworkloads in derselben Region wie die Replikatgruppe der verwalteten Domäne:
Überlegungen zur Bereitstellung
Die Standard-SKU für eine verwaltete Domäne ist die Enterprise-SKU, die mehrere Replikatgruppen unterstützt. Um bei einem Wechsel von der Standard-SKU zusätzliche Replikatgruppen zu erstellen, führen Sie ein Upgrade der verwalteten Domänen auf Enterprise oder Premium durch.
Die unterstützte maximale Anzahl von Replikatgruppen beträgt fünf. Dies schließt auch das erste Replikat ein, das beim Erstellen der verwalteten Domäne erstellt wird.
Die Abrechnung für die einzelnen Replikatgruppe basiert auf der für die Domäne konfigurierten SKU. Wenn Sie z. B. eine verwaltete Domäne mit der Enterprise-SKU verwenden und über drei Replikatgruppen verfügen, erfolgt die Abrechnung in Ihrem Abonnement pro Stunde für jede der drei Replikatgruppen.
Häufig gestellte Fragen
Kann ich eine Replikatgruppe in einem anderen Abonnement als meine verwaltete Domäne erstellen?
Nein. Replikatgruppen müssen sich im selben Abonnement befinden wie die verwaltete Domäne.
Wie viele Replikatgruppen kann ich erstellen?
Sie können maximal fünf Replikatgruppen erstellen (die anfängliche Replikatgruppe für die verwaltete Domäne und vier zusätzliche Replikatgruppen).
Wie werden Benutzer- und Gruppeninformationen mit meinen Replikatgruppen synchronisiert?
Alle Replikatgruppen sind über ein Peermesh per Peering virtueller Netzwerke miteinander verbunden. Eine Replikatgruppe empfängt Benutzer- und Gruppenaktualisierungen von Microsoft Entra ID. Diese Änderungen werden dann mithilfe der standortinternen AD DS-Replikation über das mittels Peering verknüpfte Netzwerk in die anderen Replikatgruppen repliziert.
Ebenso wie bei den lokalen AD DS kann ein erweiterter, nicht verbundener Zustand Unterbrechungen bei der Replikation verursachen. Da mittels Peering verbundene virtuelle Netzwerke nicht transitiv sind, muss bereits beim Entwurf für Replikatgruppen eine vollständige Peermesh-Netzwerktopologie eingeplant werden.
Wie nehme ich Änderungen an der verwalteten Domäne vor, nachdem ich Replikatgruppen hinzugefügt habe?
Änderungen innerhalb der verwalteten Domäne funktionieren wie zuvor. Sie erstellen und verwenden eine Verwaltungs-VM mit den RSAT-Tools, die in die verwaltete Domäne eingebunden ist. Sie können der verwalteten Domäne beliebig viele Verwaltungs-VMs hinzufügen.
Nächste Schritte
Für einen schnellen Einstieg in Replikatgruppen erstellen und konfigurieren Sie eine verwaltete Domain Services-Domäne. Nach der Bereitstellung können Sie zusätzliche Replikatgruppen erstellen und verwenden.