Was ist Azure Active Directory Domain Services?What is Azure Active Directory Domain Services?

Azure Active Directory Domain Services (AD DS) verfügt über verwaltete Domänendienste wie Domänenbeitritt, Gruppenrichtlinien, Lightweight Directory Access Protocol (LDAP) und Kerberos/NTLM-Authentifizierung.Azure Active Directory Domain Services (AD DS) provides managed domain services such as domain join, group policy, lightweight directory access protocol (LDAP), and Kerberos / NTLM authentication. Sie können diese Domänendienste nutzen, ohne Domänencontroller (DCs) in der Cloud bereitstellen, verwalten und patchen zu müssen.You use these domain services without the need to deploy, manage, and patch domain controllers (DCs) in the cloud.

Mit einer verwalteten Azure AD DS-Domäne können Sie Legacyanwendungen in der Cloud ausführen, für die keine modernen Authentifizierungsmethoden genutzt werden können oder bei denen Sie nicht möchten, dass Verzeichnissuchen immer in einer lokalen AD DS-Umgebung durchgeführt werden.An Azure AD DS managed domain lets you run legacy applications in the cloud that can't use modern authentication methods, or where you don't want directory lookups to always go back to an on-premises AD DS environment. Sie können diese Legacyanwendungen per Lift & Shift-Vorgang aus Ihrer lokalen Umgebung in eine verwaltete Domäne verschieben, ohne dass Sie die AD DS-Umgebung in der Cloud verwalten müssen.You can lift and shift those legacy applications from your on-premises environment into a managed domain, without needing to manage the AD DS environment in the cloud.

Azure AD DS lässt sich in Ihren vorhandenen Azure AD-Mandanten integrieren.Azure AD DS integrates with your existing Azure AD tenant. Diese Integration ermöglicht Benutzern, sich bei Diensten und Anwendungen, die mit der verwalteten Domäne verbunden sind, mit ihren vorhandenen Anmeldeinformationen anzumelden.This integration lets users sign in to service and applications connected to the managed domain using their existing credentials. Sie können auch vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen abzusichern.You can also use existing groups and user accounts to secure access to resources. So können Sie für eine reibungslosere Lift & Shift-Migration lokaler Ressourcen zu Azure sorgen.These features provide a smoother lift-and-shift of on-premises resources to Azure.

Wie funktioniert Azure AD DS?How does Azure AD DS work?

Beim Erstellen einer verwalteten Azure AD DS-Domäne definieren Sie einen eindeutigen Namespace.When you create an Azure AD DS managed domain, you define a unique namespace. Dieser Namespace ist der Domänenname, z. B. aaddscontoso.com.This namespace is the domain name, such as aaddscontoso.com. Anschließend werden zwei Windows Server-Domänencontroller (DCs) in Ihrer ausgewählten Azure-Region bereitgestellt.Two Windows Server domain controllers (DCs) are then deployed into your selected Azure region. Diese Bereitstellung von Domänencontrollern wird als Replikatgruppe bezeichnet.This deployment of DCs is known as a replica set.

Sie müssen diese Domänencontroller nicht verwalten, konfigurieren oder aktualisieren.You don't need to manage, configure, or update these DCs. Die Azure-Plattform führt die Schritte für die Domänencontroller im Rahmen der verwalteten Domäne aus – einschließlich Sicherung und Verschlüsselung ruhender Daten mit Azure Disk Encryption.The Azure platform handles the DCs as part of the managed domain, including backups and encryption at rest using Azure Disk Encryption.

Eine verwaltete Domäne ist so konfiguriert, dass sie eine unidirektionale Synchronisierung von Azure AD durchführt, um Zugriff auf einen zentralen Satz mit Benutzern, Gruppen und Anmeldeinformationen zu ermöglichen.A managed domain is configured to perform a one-way synchronization from Azure AD to provide access to a central set of users, groups, and credentials. Sie können Ressourcen direkt in der verwalteten Domäne erstellen, die aber mit Azure AD nicht erneut synchronisiert werden.You can create resources directly in the managed domain, but they aren't synchronized back to Azure AD. Anwendungen, Dienste und VMs in Azure, die eine Verbindung mit der verwalteten Domäne herstellen, können gemeinsame AD DS-Features wie Domänenbeitritt, Gruppenrichtlinien, LDAP und Kerberos- bzw. NTLM-Authentifizierung nutzen.Applications, services, and VMs in Azure that connect to the managed domain can then use common AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication.

In einer Hybridumgebung mit einer lokalen AD DS-Umgebung synchronisiert Azure AD Connect Identitätsinformationen mit Azure AD, die dann wiederum mit der verwalteten Domäne synchronisiert werden.In a hybrid environment with an on-premises AD DS environment, Azure AD Connect synchronizes identity information with Azure AD, which is then synchronized to the managed domain.

Synchronisierung in Azure AD Domain Services mit Azure AD und lokaler AD DS-Instanz per AD Connect

Azure AD DS repliziert Identitätsinformationen aus Azure AD und lässt sich daher für rein cloudbasierte Azure AD-Mandanten sowie für Mandanten einsetzen, die mit einer lokalen AD DS-Umgebung synchronisiert werden.Azure AD DS replicates identity information from Azure AD, so it works with Azure AD tenants that are cloud-only, or synchronized with an on-premises AD DS environment. Für beide Umgebungen stehen die gleichen Azure AD DS-Features zur Verfügung.The same set of Azure AD DS features exists for both environments.

Sie können eine verwaltete Domäne erweitern, sodass mehrere Replikatgruppen pro Azure AD-Mandant festgelegt sind.You can expand a managed domain to have more than one replica set per Azure AD tenant. Replikatgruppen können einem beliebigen virtuellen Netzwerk mit Peering in einer beliebigen Azure-Region mit Azure AD DS-Unterstützung hinzugefügt werden.Replica sets can be added to any peered virtual network in any Azure region that supports Azure AD DS. Zusätzliche Replikatgruppen in verschiedenen Azure-Regionen bieten eine geografische Notfallwiederherstellung für Legacyanwendungen, wenn eine Azure-Region offline geschaltet wird.Additional replica sets in different Azure regions provide geographical disaster recovery for legacy applications if an Azure region goes offline. Replikatgruppen sind derzeit als Vorschau verfügbar.Replica sets are currently in preview. Weitere Informationen finden Sie unter Konzepte und Features von Replikatgruppen für Azure Active Directory Domain Services (Vorschau).For more information, see Replica sets concepts and features for managed domains.

Das folgende Video bietet einen Überblick über die Integration von Azure AD DS in Ihre Anwendungen und Workloads zum Bereitstellen von Identitätsdiensten in der Cloud:The following video provides an overview of how Azure AD DS integrates with your applications and workloads to provide identity services in the cloud:


Sie können die folgenden Beispiele nutzen, um sich über die Szenarien der Azure AD DS-Bereitstellung zu informieren:To see Azure AD DS deployment scenarios in action, you can explore the following examples:

Azure AD DS: Features und VorteileAzure AD DS features and benefits

Azure AD DS bietet Identitätsdienste für Anwendungen und VMs in der Cloud. Dabei ist der Dienst bei Prozessen wie Domänenbeitritt, Secure LDAP (LDAPS), Gruppenrichtlinie, der Verwaltung von DNS sowie der Unterstützung für LDAP-basierte Bindungs- und Lesevorgänge vollständig kompatibel mit herkömmlichen AD DS-Umgebungen.To provide identity services to applications and VMs in the cloud, Azure AD DS is fully compatible with a traditional AD DS environment for operations such as domain-join, secure LDAP (LDAPS), Group Policy, DNS management, and LDAP bind and read support. Unterstützung für LDAP-Schreibvorgänge ist für Objekte verfügbar, die in der verwalteten Domäne erstellt wurden, aber nicht für Ressourcen, die aus Azure AD synchronisiert wurden.LDAP write support is available for objects created in the managed domain, but not resources synchronized from Azure AD.

Weitere Informationen zu Ihren Identitätsoptionen finden Sie auf der Seite mit dem Vergleich von Azure AD DS mit Azure AD, AD DS auf Azure-VMs und einer lokalen AD DS-Instanz.To learn more about your identity options, compare Azure AD DS with Azure AD, AD DS on Azure VMs, and AD DS on-premises.

Die folgenden Features von Azure AD DS vereinfachen die Bereitstellung und Verwaltung:The following features of Azure AD DS simplify deployment and management operations:

  • Vereinfachte Bereitstellung: Sie können Azure AD DS-Funktionen für Ihren Azure AD-Mandanten über einen einzelnen Assistenten im Azure-Portal einrichten und verwalten.Simplified deployment experience: Azure AD DS is enabled for your Azure AD tenant using a single wizard in the Azure portal.
  • In Azure AD integriert: Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen stehen aus dem Azure AD-Mandanten automatisch zur Verfügung.Integrated with Azure AD: User accounts, group memberships, and credentials are automatically available from your Azure AD tenant. Neue Benutzer, neue Gruppen oder Änderungen an Attributen in Ihrem Azure AD-Mandanten oder Ihrem lokalen AD DS-Verzeichnis werden automatisch mit Azure AD DS synchronisiert.New users, groups, or changes to attributes from your Azure AD tenant or your on-premises AD DS environment are automatically synchronized to Azure AD DS.
    • Konten in externen Verzeichnissen, die mit Ihrer Azure AD-Instanz verknüpft sind, sind in Azure AD DS nicht verfügbar.Accounts in external directories linked to your Azure AD aren't available in Azure AD DS. Da für diese externen Verzeichnisse keine Anmeldeinformationen verfügbar sind, können sie nicht mit einer verwalteten Domäne synchronisiert werden.Credentials aren't available for those external directories, so can't be synchronized into a managed domain.
  • Verwenden der Anmeldeinformationen/Kennwörter Ihres Unternehmens: Kennwörter für Benutzer in Azure AD DS sind mit denen in Ihrem Azure AD-Mandanten identisch.Use your corporate credentials/passwords: Passwords for users in Azure AD DS are the same as in your Azure AD tenant. Benutzer können ihre Unternehmensanmeldeinformationen verwenden, um Computer in die Domäne aufzunehmen, sich interaktiv anzumelden oder Remotedesktop zu nutzen und die Authentifizierung gegenüber der verwalteten Domäne durchzuführen.Users can use their corporate credentials to domain-join machines, sign in interactively or over remote desktop, and authenticate against the managed domain.
  • NTLM- und Kerberos-Authentifizierung: Durch die Unterstützung der NTLM- und Kerberos-Authentifizierung können Sie Anwendungen bereitstellen, die auf der integrierten Windows-Authentifizierung beruhen.NTLM and Kerberos authentication: With support for NTLM and Kerberos authentication, you can deploy applications that rely on Windows-integrated authentication.
  • Hochverfügbarkeit: Azure AD DS umfasst mehrere Domänencontroller, die Hochverfügbarkeit für Ihre verwaltete Domäne bereitstellen.High availability: Azure AD DS includes multiple domain controllers, which provide high availability for your managed domain. Diese Hochverfügbarkeit garantiert eine hohe Betriebszeit der Dienste und Ausfallsicherheit bei Fehlern.This high availability guarantees service uptime and resilience to failures.
    • In Regionen, die Azure-Verfügbarkeitszonen unterstützen, werden diese Domänencontroller für zusätzliche Resilienz ebenfalls über Zonen hinweg verteilt.In regions that support Azure Availability Zones, these domain controllers are also distributed across zones for additional resiliency.
    • Replikatgruppen können auch verwendet werden, um eine geografische Notfallwiederherstellung für Legacyanwendungen für den Fall bereitzustellen, dass eine Azure-Region in den Offlinezustand versetzt wird.Replica sets can also be used to provide geographical disaster recovery for legacy applications if an Azure region goes offline.

Einige wichtige Aspekte einer verwalteten Domäne sind:Some key aspects of a managed domain include the following:

  • Die verwaltete Domäne ist eine eigenständige Domäne.The managed domain is a stand-alone domain. Es handelt sich nicht um eine Erweiterung einer lokalen Domäne.It isn't an extension of an on-premises domain.
  • Ihr IT-Team muss keine Domänencontroller für die verwaltete Domäne verwalten, patchen oder überwachen.Your IT team doesn't need to manage, patch, or monitor domain controllers for this managed domain.

In Hybridumgebungen, in denen AD DS lokal ausgeführt wird, müssen Sie sich nicht um die AD-Replikation in der verwalteten Domäne kümmern.For hybrid environments that run AD DS on-premises, you don't need to manage AD replication to the managed domain. Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen aus Ihrem lokalen Verzeichnis werden über Azure AD Connect mit Azure AD synchronisiert.User accounts, group memberships, and credentials from your on-premises directory are synchronized to Azure AD via Azure AD Connect. Diese Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen stehen innerhalb der verwalteten Domäne automatisch zur Verfügung.These user accounts, group memberships, and credentials are automatically available within the managed domain.

Nächste SchritteNext steps

Einen Vergleich zwischen Azure AD DS und anderen Identitätslösungen sowie Informationen zur Funktionsweise der Synchronisierung finden Sie in den folgenden Artikeln:To learn more about Azure AD DS compares with other identity solutions and how synchronization works, see the following articles:

Im ersten Schritt erstellen Sie im Azure-Portal eine verwaltete Domäne.To get started, create a managed domain using the Azure portal.