Wat is Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) biedt beheerde domeinservices, zoals domeindeelname, groepsbeleid, LDAP (Lightweight Directory Access Protocol) en Kerberos/NTLM-verificatie. U gebruikt deze domeinservices zonder domeincontrollers (DC’s) in de cloud te hoeven implementeren, beheren en patchen.

Met een door Azure AD DS beheerd domein kunt u in de cloud oudere toepassingen uitvoeren die geen gebruik kunnen maken van moderne verificatiemethoden, of waarbij u niet wilt dat zoekopdrachten in de adreslijst altijd teruggaan naar een on-premises AD DS-omgeving. U kunt deze verouderde toepassingen uit uw on-premises omgeving verplaatsen naar een beheerd domein, zonder dat u de AD DS-omgeving in de cloud hoeft te beheren.

Azure AD DS kan met uw bestaande Azure AD-tenant worden geïntegreerd. Met deze integratie kunnen gebruikers zich aanmelden bij services en toepassingen die zijn verbonden met het beheerde domein met behulp van hun bestaande referenties. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om toegang tot resources te beveiligen. Deze functies bieden een soepeler lift-and-shift van on-premises resources naar Azure.

Bekijk onze korte video voor meer informatie over Azure AD DS.

Hoe werkt Azure AD DS?

Wanneer u een beheerd Azure AD DS-domein maakt, definieert u een unieke naamruimte. Deze naamruimte is de domeinnaam, bijvoorbeeld aaddscontoso.com. Er worden vervolgens twee Windows Server-domeincontrollers (DC's) geïmplementeerd in uw geselecteerde Azure-regio. Deze implementatie van DC's wordt een replicaset genoemd.

U hoeft deze DC’s niet te beheren, te configureren of bij te werken. Op het Azure-platform worden de DC's verwerkt als onderdeel van het beheerde domein, inclusief back-ups en versleuteling van data-at-rest, met behulp van Azure Disk Encryption.

Een beheerd domein wordt geconfigureerd voor het uitvoeren van synchronisatie van Azure AD in één richting om toegang te bieden tot een centrale set gebruikers, groepen en referenties. U kunt resources rechtstreeks in het beheerde domein maken, maar ze worden niet terug gesynchroniseerd naar Azure AD. Toepassingen, services en VM's in Azure die verbinding maken met het beheerde domein, kunnen vervolgens algemene AD DS-functies gebruiken, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.

In een hybride omgeving met een on-premises AD DS-omgeving synchroniseert Azure AD Connect identiteitsgegevens met Azure AD, die vervolgens worden gesynchroniseerd naar het beheerde domein.

Synchronization in Azure AD Domain Services with Azure AD and on-premises AD DS using AD Connect

In Azure AD DS worden identiteitsgegevens van Azure AD gerepliceerd, zodat het werkt met Azure AD-tenants die alleen in de cloud bestaan of die zijn gesynchroniseerd met een on-premises AD DS-omgeving. Dezelfde set Azure AD DS-functies bestaat voor beide omgevingen.

  • Als u over een bestaande on-premises AD DS-omgeving beschikt, kunt u gebruikersaccountgegevens synchroniseren om gebruikers een consistente identiteit te bieden. Zie Synchronisatie van objecten en referenties in een beheerd domein voor meer informatie.
  • Voor omgevingen die alleen in de cloud bestaan, hebt u geen traditionele on-premises AD DS-omgeving nodig om de gecentraliseerde identiteitsservices van Azure AD DS te gebruiken.

U kunt een beheerd domein uitbreiden als u meer dan één replicaset per Azure AD-tenant wilt hebben. Replicasets kunnen worden toegevoegd aan elk gekoppeld virtueel netwerk in een Azure-regio die Azure AD DS ondersteunt. Extra replica sets in verschillende Azure-regio's bieden geografisch herstel na noodgeval voor oudere toepassingen als een Azure-regio offline gaat. Zie Concepten en functies van replicasets voor beheerde domeinen.

Bekijk deze video over hoe Azure AD DS kan worden geïntegreerd met uw toepassingen en workloads om identiteitsservices in de cloud te bieden:


U kunt de volgende voorbeelden verkennen om implementatiescenario’s voor Azure AD DS in actie te zien:

Azure AD DS-functies en -voordelen

Om identiteitsservices te bieden voor toepassingen en virtuele machines in de cloud is Azure AD DS volledig compatibel met een traditionele AD DS-omgeving voor bewerkingen zoals domeindeelname, beveiligde LDAP (LDAPS), groepsbeleid, DNS-beheer en ondersteuning voor LDAP-bindingen en -leesbewerkingen. LDAP-schrijfondersteuning is beschikbaar voor objecten die in het beheerde domein zijn gemaakt, maar niet voor resources die zijn gesynchroniseerd vanuit Azure AD.

Vergelijk Azure AD DS met Azure AD, AD DS op virtuele Azure-machines en on-premises AD DS voor meer informatie over uw identiteitsopties.

De volgende functies van Azure AD DS zorgen voor eenvoudigere implementatie- en beheerbewerkingen:

  • Vereenvoudigde implementatie-ervaring: Azure AD DS wordt ingeschakeld voor uw Azure AD-tenant met behulp van één wizard in Azure Portal.
  • Geïntegreerd met Azure AD: Gebruikersaccounts, groepslidmaatschappen en referenties worden automatisch beschikbaar via uw Azure AD-tenant. Nieuwe gebruikers en groepen, of wijzigingen in kenmerken van uw Azure AD-tenant of uw on-premises AD DS-omgeving, worden automatisch gesynchroniseerd naar Azure AD DS.
    • Accounts in externe mappen die aan uw Azure AD zijn gekoppeld, zijn niet beschikbaar in Azure AD DS. Referenties zijn niet beschikbaar voor die externe mappen, dus deze kunnen niet worden gesynchroniseerd naar een beheerd domein.
  • Gebruik uw zakelijke referenties/wachtwoorden: Wachtwoorden voor gebruikers in Azure AD DS zijn dezelfde als in uw Azure AD-tenant. Gebruikers kunnen hun zakelijke referenties gebruiken om domeindeelname op apparaten te gebruiken, zich interactief of via een extern bureaublad aan te melden en zich te verifiëren bij het beheerde domein.
  • NTLM- en Kerberos-verificatie: Met ondersteuning voor NTLM- en Kerberos-verificatie kunt u toepassingen implementeren die afhankelijk zijn van met Windows geïntegreerde verificatie.
  • Hoge beschikbaarheid: Azure AD DS bevat meerdere domeincontrollers, die hoge beschikbaarheid voor uw beheerde domein bieden. Door deze hoge beschikbaarheid is uptime van de service en weerstand tegen fouten gegarandeerd.
    • In regio's die ondersteuning bieden voor Azure-beschikbaarheidszones worden deze domeincontrollers ook gedistribueerd over meerdere zones voor extra flexibiliteit.
    • Er kunnen ook replicasets worden gebruikt om geografisch herstel na noodgevallen te bieden voor oudere toepassingen als een Azure-regio offline gaat.

Belangrijke aspecten van een beheerd domein zijn onder andere:

  • Het beheerde domein is een zelfstandig domein. Het domein is geen extensie van een on-premises domein.
  • Uw IT-team hoeft geen domeincontrollers voor dit beheerde domein te beheren, patchen of bewaken.

Voor hybride omgevingen waarin AD DS on-premises wordt uitgevoerd, hoeft u geen AD-replicatie naar het beheerde domein te beheren. Gebruikersaccounts, groepslidmaatschappen en referenties van uw on-premises map worden gesynchroniseerd naar Azure AD via Azure AD Connect. Deze gebruikersaccounts, groepslidmaatschappen en referenties worden automatisch beschikbaar in het beheerde domein.

Volgende stappen

Raadpleeg de volgende artikelen voor meer informatie over het verschil tussen Azure AD DS en andere identiteitsoplossingen en de werking van synchronisatie:

Maak eerst een beheerd domein met behulp van de Azure-portal.