Vad är Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänkoppling, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Du använder dessa domäntjänster utan att behöva distribuera, hantera och korrigera domänkontrollanter (DOMÄNKONTROLLANTer) i molnet.

Med Azure AD DS hanterad domän kan du köra äldre program i molnet som inte kan använda moderna autentiseringsmetoder eller där du inte vill att kataloguppslag alltid ska gå tillbaka till en lokal AD DS-miljö. Du kan lyfta och flytta de äldre programmen från din lokala miljö till en hanterad domän, utan att behöva hantera AD DS-miljön i molnet.

Azure AD DS integreras med din befintliga Azure AD-klientorganisation. Med den här integreringen kan användare logga in på tjänster och program som är anslutna till den hanterade domänen med sina befintliga autentiseringsuppgifter. Du kan också använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser. De här funktionerna ger en smidigare lift and shift-övergång av lokala resurser till Azure.

Ta en titt på vår korta video för att lära dig mer om Azure AD DS.

Hur fungerar Azure AD DS?

När du skapar en Azure AD DS hanterad domän definierar du ett unikt namnområde. Det här namnområdet är domännamnet, till exempel aaddscontoso.com. Två Windows Server-domänkontrollanter (DOMÄNKONTROLLANTer) distribueras sedan till den valda Azure-regionen. Den här distributionen av nic:er kallas för en replikuppsättning.

Du behöver inte hantera, konfigurera eller uppdatera dessa nic:ar. Azure-plattformen hanterar domänkontrollanterna som en del av den hanterade domänen, inklusive säkerhetskopiering och kryptering i vila med Azure Disk Encryption.

En hanterad domän konfigureras för att utföra en enkelvägssynkronisering från Azure AD för att ge åtkomst till en central uppsättning användare, grupper och autentiseringsuppgifter. Du kan skapa resurser direkt i den hanterade domänen, men de synkroniseras inte tillbaka till Azure AD. Program, tjänster och virtuella datorer i Azure som ansluter till den hanterade domänen kan sedan använda vanliga AD DS-funktioner som domänkoppling, grupprincip, LDAP och Kerberos/NTLM-autentisering.

I en hybridmiljö med en lokal AD DS-miljö synkroniserar Azure AD Anslut identitetsinformation med Azure AD, som sedan synkroniseras till den hanterade domänen.

Azure AD DS replikerar identitetsinformation från Azure AD, så den fungerar med Endast molnbaserade Azure AD-klienter eller synkroniseras med en lokal AD DS-miljö. Samma uppsättning Azure AD DS funktioner finns för båda miljöerna.

• Om du har en befintlig lokal AD DS-miljö kan du synkronisera användarkontoinformation för att tillhandahålla en konsekvent identitet för användarna. Mer information finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.
• För molnbaserade miljöer behöver du inte en traditionell lokal AD DS-miljö för att använda de centraliserade identitetstjänsterna i Azure AD DS.

Du kan expandera en hanterad domän så att den har fler än en replikuppsättning per Azure AD-klientorganisation. Replikuppsättningar kan läggas till i alla peer-satta virtuella nätverk i valfri Azure-region som stöder Azure AD DS. Ytterligare replikuppsättningar i olika Azure-regioner ger geografisk haveriberedskap för äldre program om en Azure-region går offline. Mer information finns i Begrepp och funktioner för replikuppsättningar för hanterade domäner.

Ta en titt på den här videon om Azure AD DS integreras med dina program och arbetsbelastningar för att tillhandahålla identitetstjänster i molnet:

Om du Azure AD DS distributionsscenarier i praktiken kan du utforska följande exempel:

• Azure AD DS för hybridorganisationer
• Azure AD DS för endast molnbaserade organisationer

Azure AD DS och fördelar

För att tillhandahålla identitetstjänster till program och virtuella datorer i molnet är Azure AD DS helt kompatibelt med en traditionell AD DS-miljö för åtgärder som domänkoppling, säker LDAP (LDAPS), grupprincip, DNS-hantering och LDAP-bindning och lässtöd. LDAP-skrivstöd är tillgängligt för objekt som skapats i den hanterade domänen, men inte för resurser som synkroniseras från Azure AD.

Om du vill veta mer om dina identitetsalternativ kan du jämföra Azure AD DS med Azure AD, AD DSpå virtuella Azure-datorer och AD DS lokalt.

Följande funktioner i Azure AD DS enklare distribution och hantering:

• Förenklad distributionsupplevelse: Azure AD DS har aktiverats för din Azure AD-klientorganisation med hjälp av en enda guide i Azure Portal.
• Integrerad med Azure AD: Användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga från Din Azure AD-klientorganisation. Nya användare, grupper eller ändringar av attribut från din Azure AD-klientorganisation eller din lokala AD DS-miljö synkroniseras automatiskt till Azure AD DS.
  • Konton i externa kataloger som är länkade till din Azure AD är inte tillgängliga i Azure AD DS. Autentiseringsuppgifter är inte tillgängliga för de externa katalogerna, så kan inte synkroniseras till en hanterad domän.
• Använd företagets autentiseringsuppgifter/lösenord: Lösenorden för användare i Azure AD DS är samma som i din Azure AD-klientorganisation. Användare kan använda sina företagsautentiseringsuppgifter för att domän-ansluta datorer, logga in interaktivt eller via fjärrskrivbord och autentisera mot den hanterade domänen.
• NTLM- och Kerberos-autentisering: Med stöd för NTLM- och Kerberos-autentisering kan du distribuera program som förlitar sig Windows integrerad autentisering.
• Hög tillgänglighet: Azure AD DS innehåller flera domänkontrollanter som ger hög tillgänglighet för din hanterade domän. Den här höga tillgängligheten garanterar tjänstens drifttid och återhämtning vid fel.
  • I regioner som stöder Azure-tillgänglighetszonerdistribueras dessa domänkontrollanter också mellan zoner för ytterligare återhämtning.
  • Replikuppsättningar kan också användas för att tillhandahålla geografisk haveriberedskap för äldre program om en Azure-region går offline.

Några viktiga aspekter av en hanterad domän är följande:

• Den hanterade domänen är en fristående domän. Det är inte ett tillägg till en lokal domän.
  • Om det behövs kan du skapa envägs utgående skogsförtroenden från Azure AD DS till en lokal AD DS-miljö. Mer information finns i Resource forest concepts and features for Azure AD DS.
• IT-teamet behöver inte hantera, korrigera eller övervaka domänkontrollanter för den här hanterade domänen.

För hybridmiljöer som kör AD DS lokalt behöver du inte hantera AD-replikering till den hanterade domänen. Användarkonton, gruppmedlemskap och autentiseringsuppgifter från din lokala katalog synkroniseras med Azure AD via Azure AD Anslut. Dessa användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga i den hanterade domänen.

Nästa steg

Mer information om Azure AD DS kan jämföras med andra identitetslösningar och hur synkronisering fungerar finns i följande artiklar:

• Jämför Azure AD DS med Azure AD, Active Directory Domain Services på virtuella Azure-datorer och Active Directory Domain Services lokalt
• Lär dig Azure AD Domain Services synkroniserar med din Azure AD-katalog
• Information om hur du administrerar en hanterad domän finns i hanteringsbegrepp för användarkonton, lösenord och administration i Azure AD DS.

Kom igång genom att skapa en hanterad domän med hjälp av Azure Portal.