Vad är Microsoft Entra Domain Services?

Microsoft Entra Domain Services tillhandahåller hanterade domäntjänster såsom domänanslutning, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Du använder dessa domäntjänster utan att behöva distribuera, hantera och korrigera domänkontrollanter (DC) i molnet.

Med en Domäntjänster-hanterad domän kan du köra äldre program i molnet som inte kan använda moderna autentiseringsmetoder, eller där du inte vill att katalogsökningar alltid ska gå tillbaka till en lokal AD DS-miljö. Du kan lyfta och flytta dessa äldre program från din lokala miljö till en hanterad domän, utan att behöva hantera AD DS-miljön i molnet.

Domain Services integreras med din befintliga Microsoft Entra-klientorganisation. Med den här integreringen kan användare logga in på tjänster och program som är anslutna till den hanterade domänen med sina befintliga autentiseringsuppgifter. Du kan också använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser. De här funktionerna ger en smidigare lift-and-shift av lokala resurser till Azure.

Kom igång genom att skapa en domän som hanteras av Domain Services med hjälp av administrationscentret för Microsoft Entra

Ta en titt på vår korta video för att lära dig mer om Domain Services.

Hur fungerar Domain Services?

När du skapar en domän som hanteras av Domain Services definierar du ett unikt namnområde. Det här namnområdet är domännamnet, till exempel aaddscontoso.com. Två Windows Server-domänkontrollanter (DCs) distribueras sedan till din valda Azure-region. Den här distributionen av domänkontrollanter kallas för en replikuppsättning.

Du behöver inte hantera, konfigurera eller uppdatera dessa domänkontrollanter. Azure-plattformen hanterar domänkontrollanterna som en del av den hanterade domänen, inklusive säkerhetskopior och kryptering i vila med hjälp av Azure Disk Encryption.

En hanterad domän är konfigurerad för att utföra en enkelriktad synkronisering från Microsoft Entra-ID för att ge åtkomst till en central uppsättning användare, grupper och autentiseringsuppgifter. Du kan skapa resurser direkt i den hanterade domänen, men de synkroniseras inte tillbaka till Microsoft Entra-ID. Program, tjänster och virtuella datorer i Azure som ansluter till den hanterade domänen kan sedan använda vanliga AD DS-funktioner som domänanslutning, grupprincip, LDAP och Kerberos/NTLM-autentisering.

I en hybridmiljö med en lokal AD DS-miljö synkroniserar Microsoft Entra Anslut identitetsinformation med Microsoft Entra-ID, som sedan synkroniseras med den hanterade domänen.

Domain Services replikerar identitetsinformation från Microsoft Entra-ID så att den fungerar med Microsoft Entra-klienter som endast är molnbaserade eller synkroniserade med en lokal AD DS-miljö. Samma uppsättning domain services-funktioner finns för båda miljöerna.

• Om du har en befintlig lokal AD DS-miljö kan du synkronisera användarkontoinformation för att tillhandahålla en konsekvent identitet för användare. Mer information finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.
• För miljöer som endast är moln behöver du ingen traditionell lokal AD DS-miljö för att använda de centraliserade identitetstjänsterna i Domain Services.

Du kan expandera en hanterad domän till att ha fler än en replikuppsättning per Microsoft Entra-klientorganisation. Replikuppsättningar kan läggas till i alla peer-kopplade virtuella nätverk i valfri Azure-region som stöder Domain Services. Genom att lägga till replikuppsättningar i olika Azure-regioner kan du tillhandahålla geografisk haveriberedskap för äldre program om en Azure-region kopplas från. Mer information finns i Begrepp och funktioner för replikeringsuppsättningar för hanterade domäner.

Ta en titt på den här videon om hur Domain Services integreras med dina program och arbetsbelastningar för att tillhandahålla identitetstjänster i molnet:

Om du vill se distributionsscenarier för Domain Services i praktiken kan du utforska följande exempel:

• Domäntjänster för hybridorganisationer
• Domäntjänster för organisationer som endast är molnbaserade

Funktioner och fördelar med Domain Services

För att tillhandahålla identitetstjänster till program och virtuella datorer i molnet är Domain Services helt kompatibelt med en traditionell AD DS-miljö för åtgärder som domänanslutning, säker LDAP (LDAPS), grupprincip, DNS-hantering och LDAP-bindning och lässtöd. LDAP-skrivstöd är tillgängligt för objekt som skapats i den hanterade domänen, men inte resurser som synkroniserats från Microsoft Entra-ID.

Om du vill veta mer om dina identitetsalternativ kan du jämföra Domain Services med Microsoft Entra ID, AD DS på virtuella Azure-datorer och AD DS lokalt.

Följande funktioner i Domain Services förenklar distributions- och hanteringsåtgärder:

• Förenklad distributionsupplevelse: Domain Services är aktiverat för din Microsoft Entra-klientorganisation med hjälp av en enda guide i administrationscentret för Microsoft Entra.
• Integrerat med Microsoft Entra-ID: Användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga från din Microsoft Entra-klientorganisation. Nya användare, grupper eller ändringar av attribut från din Microsoft Entra-klientorganisation eller din lokala AD DS-miljö synkroniseras automatiskt med Domain Services.
  • Konton i externa kataloger som är länkade till ditt Microsoft Entra-ID är inte tillgängliga i Domain Services. Autentiseringsuppgifter är inte tillgängliga för dessa externa kataloger, så det går inte att synkronisera till en hanterad domän.
• Använd företagets autentiseringsuppgifter/lösenord: Lösenord för användare i Domain Services är desamma som i din Microsoft Entra-klientorganisation. Användare kan använda sina företagsautentiseringsuppgifter till domänanslutna datorer, logga in interaktivt eller via fjärrskrivbord och autentisera mot den hanterade domänen.
• NTLM- och Kerberos-autentisering: Med stöd för NTLM- och Kerberos-autentisering kan du distribuera program som är beroende av Windows-integrerad autentisering.
• Hög tillgänglighet: Domain Services innehåller flera domänkontrollanter som ger hög tillgänglighet för din hanterade domän. Den här höga tillgängligheten garanterar tjänstens drifttid och motståndskraft mot fel.
  • I regioner som stöder Azure Tillgänglighetszoner distribueras även dessa domänkontrollanter mellan zoner för ytterligare återhämtning.
  • Replikuppsättningar kan också användas för att tillhandahålla geografisk haveriberedskap för äldre program om en Azure-region går offline.

Några viktiga aspekter av en hanterad domän är följande:

• Den hanterade domänen är en fristående domän. Det är inte ett tillägg för en lokal domän.
  • Om det behövs kan du skapa envägs utgående skogsförtroenden från Domain Services till en lokal AD DS-miljö. Mer information finns i Skogsbegrepp och -funktioner för Domain Services.
• IT-teamet behöver inte hantera, korrigera eller övervaka domänkontrollanter för den här hanterade domänen.

För hybridmiljöer som kör AD DS lokalt behöver du inte hantera AD-replikering till den hanterade domänen. Användarkonton, gruppmedlemskap och autentiseringsuppgifter från din lokala katalog synkroniseras med Microsoft Entra-ID via Microsoft Entra Anslut. Dessa användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga i den hanterade domänen.

Nästa steg

Mer information om Domain Services jämförs med andra identitetslösningar och hur synkronisering fungerar finns i följande artiklar:

• Jämför Domain Services med Microsoft Entra ID, Active Directory-domän Services på virtuella Azure-datorer och Active Directory-domän Services lokalt
• Lär dig hur Microsoft Entra Domain Services synkroniseras med din Microsoft Entra-katalog
• Information om hur du administrerar en hanterad domän finns i Hanteringsbegrepp för användarkonton, lösenord och administration i Domain Services.

Kom igång genom att skapa en hanterad domän med hjälp av administrationscentret för Microsoft Entra.