Wat is Microsoft Entra Domain Services?

  • Artikel

Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, Lightweight Directory Access Protocol (LDAP) en Kerberos/NTLM-verificatie. U gebruikt deze domeinservices zonder domeincontrollers (DC’s) in de cloud te hoeven implementeren, beheren en patchen.

Met een beheerd domein van Domain Services kunt u verouderde toepassingen uitvoeren in de cloud die geen moderne verificatiemethoden kunnen gebruiken of waarbij u niet wilt dat adreslijstzoekacties altijd terugkeren naar een on-premises AD DS-omgeving. U kunt deze verouderde toepassingen uit uw on-premises omgeving verplaatsen naar een beheerd domein, zonder dat u de AD DS-omgeving in de cloud hoeft te beheren.

Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden bij services en toepassingen die zijn verbonden met het beheerde domein met behulp van hun bestaande referenties. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om toegang tot resources te beveiligen. Deze functies bieden een soepeler lift-and-shift van on-premises resources naar Azure.

Om aan de slag te gaan, maakt u een door Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum

Bekijk onze korte video voor meer informatie over Domain Services.

Hoe werkt Domain Services?

Wanneer u een door Domain Services beheerd domein maakt, definieert u een unieke naamruimte. Deze naamruimte is de domeinnaam, bijvoorbeeld aaddscontoso.com. Er worden vervolgens twee Windows Server-domeincontrollers (DC's) geïmplementeerd in uw geselecteerde Azure-regio. Deze implementatie van DC's wordt een replicaset genoemd.

U hoeft deze DC’s niet te beheren, te configureren of bij te werken. Op het Azure-platform worden de DC's verwerkt als onderdeel van het beheerde domein, inclusief back-ups en versleuteling van data-at-rest, met behulp van Azure Disk Encryption.

Een beheerd domein is geconfigureerd voor het uitvoeren van een eenrichtingssynchronisatie van Microsoft Entra ID om toegang te bieden tot een centrale set gebruikers, groepen en referenties. U kunt resources rechtstreeks in het beheerde domein maken, maar ze worden niet gesynchroniseerd met Microsoft Entra-id. Toepassingen, services en VM's in Azure die verbinding maken met het beheerde domein, kunnen vervolgens algemene AD DS-functies gebruiken, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.

In een hybride omgeving met een on-premises AD DS-omgeving synchroniseert Microsoft Entra Verbinding maken identiteitsgegevens met Microsoft Entra-id, die vervolgens wordt gesynchroniseerd met het beheerde domein.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services repliceert identiteitsgegevens van Microsoft Entra-id, zodat deze werkt met Microsoft Entra-tenants die alleen in de cloud staan of worden gesynchroniseerd met een on-premises AD DS-omgeving. Dezelfde set Domain Services-functies bestaat voor beide omgevingen.

  • Als u over een bestaande on-premises AD DS-omgeving beschikt, kunt u gebruikersaccountgegevens synchroniseren om gebruikers een consistente identiteit te bieden. Zie Synchronisatie van objecten en referenties in een beheerd domein voor meer informatie.
  • Voor cloudomgevingen hebt u geen traditionele on-premises AD DS-omgeving nodig om de gecentraliseerde identiteitsservices van Domain Services te gebruiken.

U kunt een beheerd domein uitbreiden met meer dan één replicaset per Microsoft Entra-tenant. Replicasets kunnen worden toegevoegd aan elk gekoppeld virtueel netwerk in elke Azure-regio die Ondersteuning biedt voor Domain Services. Door replicasets toe te voegen in verschillende Azure-regio's, kunt u geografisch herstel na noodgevallen bieden voor verouderde toepassingen als een Azure-regio offline gaat. Zie Concepten en functies van replicasets voor beheerde domeinen.

Bekijk deze video over de integratie van Domain Services met uw toepassingen en workloads om identiteitsservices in de cloud te bieden:


Als u implementatiescenario's van Domain Services in actie wilt zien, kunt u de volgende voorbeelden bekijken:

Functies en voordelen van Domain Services

Domain Services is volledig compatibel met een traditionele AD DS-omgeving voor bewerkingen zoals domeindeelname, Secure LDAP (LDAPS), Groepsbeleid, DNS-beheer en LDAP-binding en leesondersteuning om identiteitsservices te bieden aan toepassingen en VM's in de cloud. Ondersteuning voor LDAP-schrijfbewerkingen is beschikbaar voor objecten die zijn gemaakt in het beheerde domein, maar niet voor resources die zijn gesynchroniseerd vanuit Microsoft Entra-id.

Voor meer informatie over uw identiteitsopties vergelijkt u Domain Services met Microsoft Entra ID, AD DS op Azure-VM's en on-premises AD DS.

De volgende functies van Domain Services vereenvoudigen implementatie- en beheerbewerkingen:

  • Vereenvoudigde implementatie-ervaring: Domain Services is ingeschakeld voor uw Microsoft Entra-tenant met één wizard in het Microsoft Entra-beheercentrum.
  • Geïntegreerd met Microsoft Entra-id: gebruikersaccounts, groepslidmaatschappen en referenties zijn automatisch beschikbaar vanuit uw Microsoft Entra-tenant. Nieuwe gebruikers, groepen of wijzigingen in kenmerken van uw Microsoft Entra-tenant of uw on-premises AD DS-omgeving worden automatisch gesynchroniseerd met Domain Services.
    • Accounts in externe mappen die zijn gekoppeld aan uw Microsoft Entra-id zijn niet beschikbaar in Domain Services. Referenties zijn niet beschikbaar voor die externe mappen, dus deze kunnen niet worden gesynchroniseerd naar een beheerd domein.
  • Gebruik uw bedrijfsreferenties/wachtwoorden: wachtwoorden voor gebruikers in Domain Services zijn hetzelfde als in uw Microsoft Entra-tenant. Gebruikers kunnen hun zakelijke referenties gebruiken om domeindeelname op apparaten te gebruiken, zich interactief of via een extern bureaublad aan te melden en zich te verifiëren bij het beheerde domein.
  • NTLM- en Kerberos-verificatie: Met ondersteuning voor NTLM- en Kerberos-verificatie kunt u toepassingen implementeren die afhankelijk zijn van geïntegreerde Windows-verificatie.
  • Hoge beschikbaarheid: Domain Services bevat meerdere domeincontrollers, die hoge beschikbaarheid bieden voor uw beheerde domein. Door deze hoge beschikbaarheid is uptime van de service en weerstand tegen fouten gegarandeerd.
    • In regio's die ondersteuning bieden voor Azure-beschikbaarheidszones worden deze domeincontrollers ook gedistribueerd over meerdere zones voor extra flexibiliteit.
    • Er kunnen ook replicasets worden gebruikt om geografisch herstel na noodgevallen te bieden voor oudere toepassingen als een Azure-regio offline gaat.

Belangrijke aspecten van een beheerd domein zijn onder andere:

  • Het beheerde domein is een zelfstandig domein. Het domein is geen extensie van een on-premises domein.
  • Uw IT-team hoeft geen domeincontrollers voor dit beheerde domein te beheren, patchen of bewaken.

Voor hybride omgevingen waarin AD DS on-premises wordt uitgevoerd, hoeft u geen AD-replicatie naar het beheerde domein te beheren. Gebruikersaccounts, groepslidmaatschappen en referenties uit uw on-premises adreslijst worden gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Verbinding maken. Deze gebruikersaccounts, groepslidmaatschappen en referenties worden automatisch beschikbaar in het beheerde domein.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Domain Services en andere identiteitsoplossingen en hoe synchronisatie werkt:

Maak een beheerd domein met behulp van het Microsoft Entra-beheercentrum om aan de slag te gaan.