Vad är Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänkoppling, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Du använder dessa domäntjänster utan att behöva distribuera, hantera och korrigera domänkontrollanter (DOMÄNKONTROLLANTer) i molnet.

Med Azure AD DS hanterad domän kan du köra äldre program i molnet som inte kan använda moderna autentiseringsmetoder eller där du inte vill att kataloguppslag alltid ska gå tillbaka till en lokal AD DS-miljö. Du kan lyfta och flytta de äldre programmen från din lokala miljö till en hanterad domän utan att behöva hantera AD DS-miljön i molnet.

Azure AD DS integreras med din befintliga Azure AD-klientorganisation. Med den här integreringen kan användare logga in på tjänster och program som är anslutna till den hanterade domänen med sina befintliga autentiseringsuppgifter. Du kan också använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser. De här funktionerna ger en smidigare lift and shift-övergång av lokala resurser till Azure.

Ta en titt på vår korta video för att lära dig mer om Azure AD DS.

Hur fungerar Azure AD DS?

När du skapar en Azure AD DS hanterad domän definierar du ett unikt namnområde. Det här namnområdet är domännamnet, till exempel aaddscontoso.com. Två Windows Server-domänkontrollanter (DOMÄNKONTROLLANTer) distribueras sedan till den valda Azure-regionen. Den här distributionen av nic:ar kallas för en replikuppsättning.

Du behöver inte hantera, konfigurera eller uppdatera dessa nic:ar. Azure-plattformen hanterar domänkontrollanterna som en del av den hanterade domänen, inklusive säkerhetskopior och kryptering i vila med hjälp av Azure Disk Encryption.

En hanterad domän är konfigurerad för att utföra en enkelvägssynkronisering från Azure AD för att ge åtkomst till en central uppsättning användare, grupper och autentiseringsuppgifter. Du kan skapa resurser direkt i den hanterade domänen, men de synkroniseras inte tillbaka till Azure AD. Program, tjänster och virtuella datorer i Azure som ansluter till den hanterade domänen kan sedan använda vanliga AD DS-funktioner som domänkoppling, grupprincip, LDAP och Kerberos/NTLM-autentisering.

I en hybridmiljö med en lokal AD DS-miljö synkroniserar Azure AD Anslut identitetsinformation med Azure AD, som sedan synkroniseras till den hanterade domänen.

Synchronization in Azure AD Domain Services with Azure AD and on-premises AD DS using AD Connect

Azure AD DS replikerar identitetsinformation från Azure AD, så den fungerar med Endast molnbaserade Azure AD-klienter eller synkroniseras med en lokal AD DS-miljö. Samma uppsättning Azure AD DS funktioner finns för båda miljöerna.

  • Om du har en befintlig lokal AD DS-miljö kan du synkronisera användarkontoinformation för att tillhandahålla en konsekvent identitet för användarna. Mer information finns i Hur objekt och autentiseringsuppgifter synkroniseras i en hanterad domän.
  • För molnbaserade miljöer behöver du inte en traditionell lokal AD DS-miljö för att använda de centraliserade identitetstjänsterna i Azure AD DS.

Du kan expandera en hanterad domän så att den har fler än en replikuppsättning per Azure AD-klientorganisation. Replikuppsättningar kan läggas till i alla peer-lagda virtuella nätverk i valfri Azure-region som stöder Azure AD DS. Ytterligare replikuppsättningar i olika Azure-regioner ger geografisk haveriberedskap för äldre program om en Azure-region går offline. Mer information finns i Begrepp och funktioner för replikuppsättningar för hanterade domäner.

Ta en titt på den här videon om hur Azure AD DS integreras med dina program och arbetsbelastningar för att tillhandahålla identitetstjänster i molnet:


Om du Azure AD DS distributionsscenarier i praktiken kan du utforska följande exempel:

Azure AD DS och fördelar

För att tillhandahålla identitetstjänster till program och virtuella datorer i molnet är Azure AD DS helt kompatibelt med en traditionell AD DS-miljö för åtgärder som domänkoppling, säker LDAP (LDAPS), grupprincip, DNS-hantering och LDAP-bindning och lässtöd. LDAP-skrivstöd är tillgängligt för objekt som skapats i den hanterade domänen, men inte resurser som synkroniseras från Azure AD.

Om du vill veta mer om dina identitetsalternativ kan du jämföra Azure AD DS med Azure AD, AD DSpå virtuella Azure-datorer och AD DS lokalt.

Följande funktioner i Azure AD DS distributions- och hanteringsåtgärder:

  • Förenklad distributionsupplevelse: Azure AD DS är aktiverat för din Azure AD-klientorganisation med hjälp av en enda guide i Azure Portal.
  • Integrerad med Azure AD: Användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga från din Azure AD-klientorganisation. Nya användare, grupper eller ändringar av attribut från din Azure AD-klientorganisation eller din lokala AD DS-miljö synkroniseras automatiskt till Azure AD DS.
    • Konton i externa kataloger som är länkade till Azure AD är inte tillgängliga i Azure AD DS. Autentiseringsuppgifter är inte tillgängliga för de externa katalogerna, så kan inte synkroniseras till en hanterad domän.
  • Använd företagets autentiseringsuppgifter/lösenord: Lösenorden för användare i Azure AD DS är samma som i din Azure AD-klientorganisation. Användare kan använda sina företagsautentiseringsuppgifter för att domän-ansluta datorer, logga in interaktivt eller via fjärrskrivbord och autentisera mot den hanterade domänen.
  • NTLM- och Kerberos-autentisering: Med stöd för NTLM- och Kerberos-autentisering kan du distribuera program som förlitar sig Windows integrerad autentisering.
  • Hög tillgänglighet: Azure AD DS innehåller flera domänkontrollanter som ger hög tillgänglighet för din hanterade domän. Den här höga tillgängligheten garanterar tjänstens drifttid och återhämtning vid fel.
    • I regioner som stöder Azure-tillgänglighetszonerdistribueras dessa domänkontrollanter också över zoner för ytterligare återhämtning.
    • Replikuppsättningar kan också användas för att tillhandahålla geografisk haveriberedskap för äldre program om en Azure-region går offline.

Några viktiga aspekter av en hanterad domän är följande:

  • Den hanterade domänen är en fristående domän. Det är inte ett tillägg till en lokal domän.
  • IT-teamet behöver inte hantera, korrigera eller övervaka domänkontrollanter för den här hanterade domänen.

För hybridmiljöer som kör AD DS lokalt behöver du inte hantera AD-replikering till den hanterade domänen. Användarkonton, gruppmedlemskap och autentiseringsuppgifter från din lokala katalog synkroniseras med Azure AD via Azure AD Anslut. Dessa användarkonton, gruppmedlemskap och autentiseringsuppgifter är automatiskt tillgängliga i den hanterade domänen.

Nästa steg

Mer information om hur Azure AD DS kan jämföras med andra identitetslösningar och hur synkronisering fungerar finns i följande artiklar:

Kom igång genom att skapa en hanterad domän med hjälp av Azure Portal.