Mi az Azure Active Directory Domain Services?What is Azure Active Directory Domain Services?

A Azure Active Directory Domain Services (AD DS) olyan felügyelt tartományi szolgáltatásokat biztosít, mint például a tartományhoz való csatlakozás, a csoportházirend, a Lightweight Directory Access Protocol (LDAP) és a Kerberos/NTLM hitelesítés.Azure Active Directory Domain Services (AD DS) provides managed domain services such as domain join, group policy, lightweight directory access protocol (LDAP), and Kerberos / NTLM authentication. Ezeket a tartományi szolgáltatásokat a tartományvezérlők (DCs) Felhőbeli üzembe helyezése, kezelése és javítása nélkül kell használni.You use these domain services without the need to deploy, manage, and patch domain controllers (DCs) in the cloud.

Az Azure AD DS felügyelt tartomány lehetővé teszi, hogy olyan örökölt alkalmazásokat futtasson a felhőben, amelyek nem használhatják a modern hitelesítési módszereket, vagy ha nem szeretné, hogy a címtár-keresési szolgáltatás mindig visszalépjen egy helyszíni AD DS-környezetbe.An Azure AD DS managed domain lets you run legacy applications in the cloud that can't use modern authentication methods, or where you don't want directory lookups to always go back to an on-premises AD DS environment. Az örökölt alkalmazásokat a helyszíni környezetből egy felügyelt tartományba helyezheti át, és nem kell a felhőben kezelnie a AD DS környezetet.You can lift and shift those legacy applications from your on-premises environment into a managed domain, without needing to manage the AD DS environment in the cloud.

Az Azure AD DS integrálható a meglévő Azure AD-Bérlővel.Azure AD DS integrates with your existing Azure AD tenant. Ez az integráció lehetővé teszi a felhasználók számára, hogy a meglévő hitelesítő adataik használatával bejelentkezzenek a felügyelt tartományhoz csatlakozó szolgáltatásba és alkalmazásokba.This integration lets users sign in to service and applications connected to the managed domain using their existing credentials. Meglévő csoportokat és felhasználói fiókokat is használhat az erőforrásokhoz való hozzáférés biztosításához.You can also use existing groups and user accounts to secure access to resources. Ezek a funkciók zökkenőmentesebb átállást biztosítanak a helyszíni erőforrások számára az Azure-hoz.These features provide a smoother lift-and-shift of on-premises resources to Azure.

Hogyan működik az Azure AD DS?How does Azure AD DS work?

Azure AD DS felügyelt tartomány létrehozásakor egyedi névteret határozhat meg.When you create an Azure AD DS managed domain, you define a unique namespace. Ez a névtér a tartomány neve, például aaddscontoso.com.This namespace is the domain name, such as aaddscontoso.com. Ezután két Windows Server-tartományvezérlőt (DCs) telepítünk a kiválasztott Azure-régióba.Two Windows Server domain controllers (DCs) are then deployed into your selected Azure region. A tartományvezérlők ezt a központi telepítését replikakészlet néven nevezzük.This deployment of DCs is known as a replica set.

Ezeket a tartományvezérlőket nem kell kezelnie, konfigurálnia vagy frissítenie.You don't need to manage, configure, or update these DCs. Az Azure platform kezeli a tartományvezérlőket a felügyelt tartomány részeként, beleértve a biztonsági mentéseket is.The Azure platform handles the DCs as part of the managed domain, including backups.

A felügyelt tartomány úgy van konfigurálva, hogy egyirányú szinkronizálást végezzen az Azure AD-ből, hogy hozzáférést biztosítson a felhasználók, csoportok és hitelesítő adatok központi készletéhez.A managed domain is configured to perform a one-way synchronization from Azure AD to provide access to a central set of users, groups, and credentials. Erőforrásokat közvetlenül a felügyelt tartományban hozhat létre, de nem szinkronizálja őket az Azure AD-vel.You can create resources directly in the managed domain, but they aren't synchronized back to Azure AD. Az Azure-ban a felügyelt tartományhoz csatlakozó alkalmazások, szolgáltatások és virtuális gépek olyan általános AD DS szolgáltatásokat használhatnak, mint például a tartományhoz való csatlakozás, a csoportházirend, az LDAP és a Kerberos/NTLM hitelesítés.Applications, services, and VMs in Azure that connect to the managed domain can then use common AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication.

A helyszíni AD DS környezettel rendelkező hibrid környezetekben a Azure ad Connect az azonosító adatokat szinkronizálja az Azure ad-vel, amelyet ezután szinkronizál a felügyelt tartományba.In a hybrid environment with an on-premises AD DS environment, Azure AD Connect synchronizes identity information with Azure AD, which is then synchronized to the managed domain.

Szinkronizálás Azure AD Domain Services az Azure AD-vel és helyszíni AD DS az AD-kapcsolat használatával

Az Azure AD DS az Azure AD-ből replikálja az azonosító adatokat, így az Azure AD-bérlők csak felhőalapú módon működnek, vagy a helyszíni (AD DS-környezettel szinkronizálva).Azure AD DS replicates identity information from Azure AD, so it works with Azure AD tenants that are cloud-only, or synchronized with an on-premises (AD DS environment. Ugyanezek az Azure AD DS-funkciók is léteznek mindkét környezetben.The same set of Azure AD DS features exists for both environments.

  • Ha meglévő helyszíni AD DS-környezettel rendelkezik, a felhasználói fiókadatok szinkronizálásával konzisztens identitást biztosíthat a felhasználóknak.If you have an existing on-premises AD DS environment, you can synchronize user account information to provide a consistent identity for users. További információ: az objektumok és a hitelesítő adatok szinkronizálása felügyelt tartományokban.To learn more, see How objects and credentials are synchronized in a managed domain.
  • A csak felhőalapú környezetekhez nincs szükség hagyományos helyszíni AD DS környezetre az Azure AD DS központi identitási szolgáltatásainak használatához.For cloud-only environments, you don't need a traditional on-premises AD DS environment to use the centralized identity services of Azure AD DS.

A felügyelt tartományokat kiterjesztheti úgy, hogy az Azure AD-bérlőn belüli több replikát is hozzon létre.You can expand a managed domain to have more than one replica set per Azure AD tenant. A kópiakészlet bármely olyan Azure-régióban használható, amely támogatja az Azure AD DS-t.Replica sets can be added to any peered virtual network in any Azure region that supports Azure AD DS. A különböző Azure-régiókban található további replikák földrajzi vész-helyreállítást biztosítanak az örökölt alkalmazásokhoz, ha egy Azure-régió offline állapotba kerül.Additional replica sets in different Azure regions provide geographical disaster recovery for legacy applications if an Azure region goes offline. A kópiakészlet jelenleg előzetes verzióban érhető el.Replica sets are currently in preview. További információ: a replika-készletek fogalmai és funkciói a felügyelt tartományokhoz.For more information, see Replica sets concepts and features for managed domains.

Az alábbi videó áttekintést nyújt arról, hogyan integrálható az Azure AD DS az alkalmazásokkal és a számítási feladatokkal a Felhőbeli Identity Services biztosításához:The following video provides an overview of how Azure AD DS integrates with your applications and workloads to provide identity services in the cloud:


Az Azure AD DS üzembe helyezési forgatókönyvek működés közbeni megtekintéséhez tekintse meg az alábbi példákat:To see Azure AD DS deployment scenarios in action, you can explore the following examples:

Az Azure AD DS funkciói és előnyeiAzure AD DS features and benefits

A felhőben lévő alkalmazásokhoz és virtuális gépekhez az Azure AD DS teljes mértékben kompatibilis a hagyományos AD DS környezettel olyan műveletekhez, mint a tartományhoz való csatlakozás, a biztonságos LDAP (LDAPs), a Csoportházirend, a DNS-kezelés és az LDAP-kötés, valamint az olvasási támogatás.To provide identity services to applications and VMs in the cloud, Azure AD DS is fully compatible with a traditional AD DS environment for operations such as domain-join, secure LDAP (LDAPS), Group Policy, DNS management, and LDAP bind and read support. A felügyelt tartományban létrehozott objektumok esetében LDAP-írási támogatás érhető el, az Azure AD-ből nem szinkronizált erőforrások azonban nem.LDAP write support is available for objects created in the managed domain, but not resources synchronized from Azure AD.

Ha többet szeretne megtudni az identitási lehetőségekről, hasonlítsa össze az azure AD DS az Azure ad-vel, az Azure-beli virtuális gépek ad DSával és a helyszíni ad DSával.To learn more about your identity options, compare Azure AD DS with Azure AD, AD DS on Azure VMs, and AD DS on-premises.

Az Azure AD DS alábbi funkciói egyszerűsítik az üzembe helyezési és felügyeleti műveleteket:The following features of Azure AD DS simplify deployment and management operations:

  • Egyszerűsített üzembe helyezési élmény: Az Azure AD DS a Azure Portal egyetlen varázslójának használatával engedélyezhető az Azure AD-bérlő számára.Simplified deployment experience: Azure AD DS is enabled for your Azure AD tenant using a single wizard in the Azure portal.
  • Az Azure ad-vel integrált: Az Azure AD-bérlő automatikusan elérhetővé teszi a felhasználói fiókokat, a csoporttagságok és a hitelesítő adatokat.Integrated with Azure AD: User accounts, group memberships, and credentials are automatically available from your Azure AD tenant. Az Azure AD-bérlőből vagy a helyszíni AD DS környezetből származó attribútumok új felhasználóit, csoportjait vagy módosításait a rendszer automatikusan szinkronizálja az Azure AD DSba.New users, groups, or changes to attributes from your Azure AD tenant or your on-premises AD DS environment are automatically synchronized to Azure AD DS.
    • Az Azure AD-hez csatolt külső címtárakban lévő fiókok nem érhetők el az Azure AD DSban.Accounts in external directories linked to your Azure AD aren't available in Azure AD DS. A hitelesítő adatok nem érhetők el ezekhez a külső könyvtárakhoz, ezért nem lehet szinkronizálni a felügyelt tartományba.Credentials aren't available for those external directories, so can't be synchronized into a managed domain.
  • Vállalati hitelesítő adatok/jelszavak használata: Az Azure AD DSban lévő felhasználók jelszavai ugyanazok, mint az Azure AD-bérlőben.Use your corporate credentials/passwords: Passwords for users in Azure AD DS are the same as in your Azure AD tenant. A felhasználók a vállalati hitelesítő adataikat a tartományhoz csatlakozó számítógépekhez használhatják, interaktív módon vagy távoli asztalon is bejelentkezhetnek, és hitelesíthetők a felügyelt tartományon.Users can use their corporate credentials to domain-join machines, sign in interactively or over remote desktop, and authenticate against the managed domain.
  • NTLM-és Kerberos-hitelesítés: Az NTLM-és Kerberos-hitelesítés támogatása lehetővé teszi a Windows-alapú hitelesítésre támaszkodó alkalmazások központi telepítését.NTLM and Kerberos authentication: With support for NTLM and Kerberos authentication, you can deploy applications that rely on Windows-integrated authentication.
  • Magas rendelkezésre állás: Az Azure AD DS több tartományvezérlőt is tartalmaz, amelyek magas rendelkezésre állást biztosítanak a felügyelt tartomány számára.High availability: Azure AD DS includes multiple domain controllers, which provide high availability for your managed domain. Ez a magas rendelkezésre állás garantálja a szolgáltatás üzemidőét és a hibákhoz való rugalmasságot.This high availability guarantees service uptime and resilience to failures.
    • A Azure Availability Zonesttámogató régiókban ezek a tartományvezérlők a további rugalmasság érdekében a zónák között is eloszthatók.In regions that support Azure Availability Zones, these domain controllers are also distributed across zones for additional resiliency.
    • A replikák a korábbi alkalmazások földrajzi vész-helyreállításának biztosítására is használhatók, ha egy Azure-régió offline állapotba kerül.Replica sets can also be used to provide geographical disaster recovery for legacy applications if an Azure region goes offline.

A felügyelt tartomány néhány kulcsfontosságú aspektusa a következőket foglalja magában:Some key aspects of a managed domain include the following:

  • A felügyelt tartomány önálló tartomány.The managed domain is a stand-alone domain. Nem egy helyszíni tartomány kiterjesztése.It isn't an extension of an on-premises domain.
  • Az informatikai csapatnak nem kell a felügyelt tartományhoz tartozó tartományvezérlőket kezelnie, megjavítania vagy figyelnie.Your IT team doesn't need to manage, patch, or monitor domain controllers for this managed domain.

A helyszíni AD DSt futtató hibrid környezetek esetében nem szükséges az AD-replikáció kezelése a felügyelt tartományhoz.For hybrid environments that run AD DS on-premises, you don't need to manage AD replication to the managed domain. A helyszíni címtárból származó felhasználói fiókok, csoporttagság és hitelesítő adatok az Azure AD-vel Azure ad Connectonkeresztül szinkronizálhatók.User accounts, group memberships, and credentials from your on-premises directory are synchronized to Azure AD via Azure AD Connect. Ezek a felhasználói fiókok, csoporttagság és hitelesítő adatok automatikusan elérhetők a felügyelt tartományon belül.These user accounts, group memberships, and credentials are automatically available within the managed domain.

További lépésekNext steps

Ha többet szeretne megtudni az Azure AD DS más identitási megoldásokkal való összehasonlításáról és a szinkronizálás működéséről, tekintse meg a következő cikkeket:To learn more about Azure AD DS compares with other identity solutions and how synchronization works, see the following articles:

Első lépésként hozzon létre egy felügyelt tartományt a Azure Portal használatával.To get started, create a managed domain using the Azure portal.