Azure Active Directory Domain Services nedir?What is Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS), Windows Server Active Directory ile tamamen uyumlu etki alanına katılması, Grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı Hizmetleri sağlar.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, and Kerberos / NTLM authentication that is fully compatible with Windows Server Active Directory. Bulutta etki alanı denetleyicileri dağıtma, yönetme ve düzeltme eki uygulama gerekmeden bu etki alanı hizmetlerini kullanırsınız.You use these domain services without the need to deploy, manage, and patch domain controllers in the cloud. Azure AD DS, mevcut Azure AD kiracınızla tümleştirilir, bu da kullanıcıların mevcut kimlik bilgilerini kullanarak oturum açmasını olanaklı kılar.Azure AD DS integrates with your existing Azure AD tenant, which makes it possible for users to sign in using their existing credentials. Ayrıca, mevcut grupları ve Kullanıcı hesaplarını, kaynaklara erişimi güvenli hale getirmek için de kullanabilirsiniz. Bu, şirket içi kaynakların daha yumuşak bir şekilde daha iyi bir şekilde daha iyi bir şekilde daha iyi bir şekildeYou can also use existing groups and user accounts to secure access to resources, which provides a smoother lift-and-shift of on-premises resources to Azure.

Azure AD DS, Azure AD 'den kimlik bilgilerini çoğalttığından, bu nedenle yalnızca bulutta bulunan veya şirket içi Active Directory Domain Services (AD DS) ortamıyla eşitlenen Azure AD kiracılarıyla birlikte çalışmaktadır.Azure AD DS replicates identity information from Azure AD, so works with Azure AD tenants that are cloud-only, or synchronized with an on-premises Active Directory Domain Services (AD DS) environment. Mevcut bir şirket içi AD DS ortamınız varsa, kullanıcılar için tutarlı bir kimlik sağlamak üzere Kullanıcı hesabı bilgilerini eşzamanlı hale getirebilirsiniz.If you have an existing on-premises AD DS environment, you can synchronize user account information to provide a consistent identity for users. Yalnızca bulut ortamlarında, Azure AD DS merkezi kimlik hizmetlerini kullanmak için geleneksel bir şirket içi AD DS ortamına ihtiyacınız yoktur.For cloud-only environments, you don't need a traditional on-premises AD DS environment to use the centralized identity services of Azure AD DS. Her iki ortam için de aynı Azure AD DS özellikleri kümesi vardır.The same set of Azure AD DS features exist for both environments.

Aşağıdaki videoda, Bulutta kimlik hizmetleri sağlamak için Azure AD DS uygulamalarınızın ve iş yüklerinizde nasıl tümleştirildiğini gösteren bir genel bakış sunulmaktadır:The following video provides an overview of how Azure AD DS integrates with your applications and workloads to provide identity services in the cloud:


Bulutta kimlik çözümleri sağlamanın yaygın yollarıCommon ways to provide identity solutions in the cloud

Mevcut iş yüklerini buluta geçirdiğinizde, dizin durumunu algılayan uygulamalar, bir şirket içi AD DS dizinine okuma veya yazma erişimi için LDAP kullanabilir.When you migrate existing workloads to the cloud, directory-aware applications may use LDAP for read or write access to an on-premises AD DS directory. Windows Server 'da çalışan uygulamalar genellikle etki alanına katılmış olarak dağıtılır ve bu sayede grup ilkesi kullanarak güvenli bir şekilde yönetilebilir.Applications that run on Windows Server are typically deployed on domain-joined so they can be managed securely using Group Policy. Uygulamalar, son kullanıcıların kimliğini doğrulamak için Kerberos veya NTLM kimlik doğrulaması gibi Windows tümleşik kimlik doğrulamasına de bağlı olabilir.To authenticate end users, the applications may also rely on Windows-integrated authentication, such as Kerberos or NTLM authentication.

BT yöneticileri, Azure 'da çalışan uygulamalara bir kimlik hizmeti sağlamak için genellikle aşağıdaki çözümlerden birini kullanır:IT administrators often use one of the following solutions to provide an identity service to applications that run in Azure:

  • Azure 'da ve şirket içi AD DS ortamında çalışan iş yükleri arasında siteden siteye VPN bağlantısı yapılandırın.Configure a site-to-site VPN connection between workloads that run in Azure and the on-premises AD DS environment.
  • AD DS etki alanı/ormanı genişletmek için Azure sanal makinelerini (VM 'Ler) kullanarak çoğaltma etki alanı denetleyicileri oluşturun.Create replica domain controllers using Azure virtual machines (VMs) to extend the AD DS domain / forest.
  • Azure VM 'lerde çalışan etki alanı denetleyicilerini kullanarak Azure 'da tek başına AD DS ortamı dağıtın.Deploy a standalone AD DS environment in Azure using domain controllers that run on Azure VMs.

Bu yaklaşımlar sayesinde, şirket içi dizine yönelik VPN bağlantıları, uygulamaları geçici ağ kesintileri veya kesintiler için savunmasız hale getirir.With these approaches, VPN connections to the on-premises directory make applications vulnerable to transient network glitches or outages. Azure 'da VM 'Leri kullanarak etki alanı denetleyicileri dağıtırsanız, BT ekibi VM 'Leri bunları yönetmeli, güvenli, düzeltme eki, izleme, yedekleme ve sorunlarını gidermelidir.If you deploy domain controllers using VMs in Azure, the IT team VMs must manage, secure, patch, monitor, backup, and troubleshoot them.

Azure AD DS, kimlik hizmetleri sağlamak için şirket içi AD DS ortamına VPN bağlantıları oluşturma veya Azure 'da VM 'Leri çalıştırma ve yönetme gereksinimlerine yönelik alternatifler sunmaktadır.Azure AD DS offers alternatives to the need to create VPN connections back to an on-premises AD DS environment or run and manage VMs in Azure to provide identity services. Yönetilen bir hizmet olarak Azure AD DS, hem karma hem de yalnızca bulut ortamları için tümleşik bir kimlik çözümü oluşturma karmaşıklığını azaltır.As a managed service, Azure AD DS reduces the complexity to create an integrated identity solution for both hybrid and cloud-only environments.

Azure AD DS özellikleri ve avantajlarıAzure AD DS features and benefits

Bulutta uygulamalara ve sanal makinelere kimlik hizmetleri sağlamak için Azure AD DS, etki alanına katılması, Güvenli LDAP (LDAPS), grup ilkesi ve DNS yönetimi ve LDAP bağlama ve okuma desteği gibi işlemler için geleneksel bir AD DS ortamıyla tamamen uyumludur.To provide identity services to applications and VMs in the cloud, Azure AD DS is fully compatible with a traditional AD DS environment for operations such as domain-join, secure LDAP (LDAPS), Group Policy and DNS management, and LDAP bind and read support. LDAP yazma desteği, Azure AD DS yönetilen etki alanında oluşturulan nesneler için kullanılabilir, ancak Azure AD 'den eşitlenen kaynaklar için kullanılabilir.LDAP write support is available for objects created in the Azure AD DS managed domain, but not resources synchronized from Azure AD. Azure AD DS dağıtım ve yönetim işlemlerini basitleştirecek aşağıdaki özellikler:The following features of Azure AD DS simplify deployment and management operations:

  • Basitleştirilmiş dağıtım deneyimi: Azure AD DS, Azure portal tek bir sihirbaz kullanılarak Azure AD kiracınız için etkinleştirilmiştir.Simplified deployment experience: Azure AD DS is enabled for your Azure AD tenant using a single wizard in the Azure portal.
  • Azure AD ile tümleşik: Kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri Azure AD kiracınızdan otomatik olarak kullanılabilir.Integrated with Azure AD: User accounts, group memberships, and credentials are automatically available from your Azure AD tenant. Azure AD kiracınızdan veya şirket içi AD DS ortamınızda bulunan yeni kullanıcılar, gruplar veya özniteliklerde yapılan değişiklikler otomatik olarak Azure AD DS eşitlenir.New users, groups, or changes to attributes from your Azure AD tenant or your on-premises AD DS environment are automatically synchronized to Azure AD DS.
  • Şirket kimlik bilgilerinizi/parolalarınızı kullanın: Azure AD kiracınızdaki kullanıcıların parolaları Azure AD DS ile çalışır.Use your corporate credentials/passwords: Passwords for users in your Azure AD tenant work with Azure AD DS. Kullanıcılar, Şirket kimlik bilgilerini etki alanına katmak, etkileşimli olarak veya uzak masaüstü üzerinden oturum açmak ve Azure AD DS yönetilen etki alanında kimlik doğrulaması yapmak için kullanabilir.Users can use their corporate credentials to domain-join machines, sign in interactively or over remote desktop, and authenticate against the Azure AD DS managed domain.
  • NTLM ve Kerberos kimlik doğrulaması: NTLM ve Kerberos kimlik doğrulaması desteğiyle, Windows ile tümleşik kimlik doğrulamasına dayanan uygulamalar dağıtabilirsiniz.NTLM and Kerberos authentication: With support for NTLM and Kerberos authentication, you can deploy applications that rely on Windows-integrated authentication.
  • Yüksek kullanılabilirlik: Azure AD DS, yönetilen etki alanınız için yüksek kullanılabilirlik sağlayan birden çok etki alanı denetleyicisi içerir.High availability: Azure AD DS includes multiple domain controllers, which provide high availability for your managed domain. Bu yüksek kullanılabilirlik, hizmet çalışma süresini ve esnekliği hatalara karşı garanti eder.This high availability guarantees service uptime and resilience to failures.

Azure AD DS yönetilen bir etki alanının bazı önemli yönleri şunlardır:Some key aspects of an Azure AD DS managed domain are as follows:

  • Azure AD DS yönetilen etki alanı tek başına bir etki alanıdır.The Azure AD DS managed domain is a stand-alone domain. Şirket içi bir etki alanının uzantısı değildir.It isn't an extension of an on-premises domain.
  • BT takımınızın bu Azure AD DS yönetilen etki alanı için etki alanı denetleyicilerini yönetmesi, düzeltme eki uygulama veya izleme yapması gerekmez.Your IT team doesn't need to manage, patch, or monitor domain controllers for this Azure AD DS managed domain.

Şirket içinde AD DS çalıştıran hibrit ortamlarda, AD çoğaltmasını Azure AD DS yönetilen etki alanına yönetmeniz gerekmez.For hybrid environments that run AD DS on-premises, you don't need to manage AD replication to the Azure AD DS managed domain. Şirket içi dizininizdeki Kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri Azure AD Connect aracılığıyla Azure AD ile eşitlenir.User accounts, group memberships, and credentials from your on-premises directory are synchronized to Azure AD via Azure AD Connect. Bu Kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri, Azure AD DS yönetilen etki alanı içinde otomatik olarak kullanılabilir.These user accounts, group memberships, and credentials are automatically available within the Azure AD DS managed domain.

Azure AD DS nasıl çalışır?How does Azure AD DS work?

Azure, kimlik hizmetleri sağlamak için seçtiğiniz bir sanal ağda AD DS yönetilen bir etki alanı oluşturur.To provide identity services, Azure creates an AD DS managed domain available on a virtual network of your choice. Arka planda ve yönetmeniz, güvenli hale getirmeniz veya güncelleştirmeniz gerekmeden yedekliliğe sahip bir Windows Server etki alanı denetleyicileri çifti sağlanır.Behind the scenes, and without the need for you to manage, secure, or update, redundancy is provided through a pair of Windows Server domain controllers. Azure AD DS yönetilen etki alanı, merkezi bir grup kullanıcıya, gruba ve kimlik bilgilerine erişim sağlamak için Azure AD 'den tek yönlü bir eşitleme gerçekleştirecek şekilde yapılandırılmıştır.The Azure AD DS managed domain is configured to perform a one-way synchronization from Azure AD to provide access to a central set of users, groups, and credentials. Kaynakları doğrudan Azure AD DS yönetilen etki alanında oluşturabilirsiniz, ancak Azure AD 'ye geri eşitlenmez.You can create resources directly in the Azure AD DS managed domain, but they're not synchronized back to Azure AD. Azure 'daki bu sanal ağa bağlanan uygulamalar, hizmetler ve VM 'Ler, etki alanına katılması, Grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi ortak AD DS özellikleri kullanabilir.Applications, services, and VMs in Azure that connect to this virtual network can then use common AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication. Şirket içi AD DS ortamı olan bir karma ortamda, Azure AD Connect kimlik BILGILERINI Azure AD ile eşitler.In a hybrid environment with an on-premises AD DS environment, Azure AD Connect synchronizes identity information with Azure AD.

AD Connect kullanarak Azure AD ve şirket içi Active Directory Domain Services Azure AD Domain Services eşitleme

Azure AD DS 'yi eylemde görmek için birkaç örneğe göz atalım:To see Azure AD DS in action, let's look at a couple of examples:

Hibrit kuruluşlar için Azure AD DSAzure AD DS for hybrid organizations

Birçok kuruluş, hem bulut hem de şirket içi uygulama iş yüklerini içeren karma bir altyapı çalıştırır.Many organizations run a hybrid infrastructure that includes both cloud and on-premises application workloads. Yükseltme ve kaydırma stratejisinin bir parçası olarak Azure 'a geçirilen eski uygulamalar, kimlik bilgilerini sağlamak için geleneksel LDAP bağlantıları kullanmaya devam edebilir.Legacy applications migrated to Azure as part of a lift and shift strategy may still use traditional LDAP connections to provide identity information. Bu karma altyapıyı desteklemek için, şirket içi Active Directory Domain Services (AD DS) ortamından kimlik bilgileri bir Azure AD kiracısıyla eşitlenebilir.To support this hybrid infrastructure, identity information from an on-premises Active Directory Domain Services (AD DS) environment can be synchronized to an Azure AD tenant. Azure AD DS, Azure 'da bu eski uygulamaları bir kimlik kaynağıyla, şirket içi dizin hizmetlerine geri uygulama bağlantısını yapılandırmaya ve yönetmeye gerek kalmadan sağlayabilir.Azure AD DS can then provide these legacy applications in Azure with an identity source, without the need to configure and manage application connectivity back to on-premises directory services.

Hem şirket içinde hem de Azure kaynaklarını çalıştıran bir karma kuruluş olan Litwa Corporation için bir örneğe bakalım:Let's look at an example for Litware Corporation, a hybrid organization that runs both on-premises and Azure resources:

Şirket içi eşitleme içeren karma kuruluş için Azure Active Directory Domain Services

  • Etki alanı Hizmetleri gerektiren uygulamalar ve sunucu iş yükleri, Azure 'daki bir sanal ağa dağıtılır.Applications and server workloads that require domain services are deployed in a virtual network in Azure.
    • Bu, yükseltme ve kaydırma stratejisinin bir parçası olarak Azure 'a geçirilen eski uygulamaları içerebilir.This may include legacy applications migrated to Azure as part of a lift and shift strategy.
  • Şirket içi dizinlerinden kimlik bilgilerini Azure AD kiracısıyla eşleştirmek için, Litwa şirketi Azure AD Connectdağıtır.To synchronize identity information from their on-premises directory to their Azure AD tenant, Litware Corporation deploys Azure AD Connect.
    • Eşitlenen kimlik bilgileri, Kullanıcı hesaplarını ve grup üyeliklerini içerir.Identity information that is synchronized includes user accounts and group memberships.
  • Litwonların BT ekibi, bu veya eşlenmiş bir sanal ağ üzerinden Azure AD kiracısı için Azure AD DS sunar.Litware's IT team enables Azure AD DS for their Azure AD tenant in this, or a peered, virtual network.
  • Azure sanal ağında dağıtılan uygulamalar ve VM 'Ler, etki alanına katılması, LDAP okuma, LDAP bağlama, NTLM ve Kerberos kimlik doğrulaması ve grup ilkesi gibi Azure AD DS özelliklerini kullanabilir.Applications and VMs deployed in the Azure virtual network can then use Azure AD DS features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Yalnızca bulutta kuruluşlar için Azure AD DSAzure AD DS for cloud-only organizations

Yalnızca bulutta yer alan bir Azure AD kiracısı, şirket içi kimlik kaynağına sahip değildir.A cloud-only Azure AD tenant doesn't have an on-premises identity source. Kullanıcı hesapları ve grup üyelikleri, örneğin, Azure AD 'de oluşturulur ve yönetilir.User accounts and group memberships, for example, are created and managed in Azure AD.

Şimdi yalnızca, kimlik için Azure AD kullanan bir yalnızca bulut organizasyonu olan contoso örneğine göz atalım.Now let's look at an example for Contoso, a cloud-only organization that only uses Azure AD for identity. Tüm Kullanıcı kimlikleri, kimlik bilgileri ve grup üyelikleri, Azure AD 'de oluşturulur ve yönetilir.All user identities, their credentials, and group memberships are created and managed in Azure AD. Şirket içi bir dizinden herhangi bir kimlik bilgisini eşitlemeye yönelik Azure AD Connect ek bir yapılandırması yoktur.There is no additional configuration of Azure AD Connect to synchronize any identity information from an on-premises directory.

Şirket içi eşitleme olmadan yalnızca bulutta yer alan bir kuruluş için Azure Active Directory Domain Services

  • Etki alanı Hizmetleri gerektiren uygulamalar ve sunucu iş yükleri, Azure 'daki bir sanal ağa dağıtılır.Applications and server workloads that require domain services are deployed in a virtual network in Azure.
  • Contoso BT ekibi, Azure AD kiracısının bu veya eşlenmiş bir sanal ağ için Azure AD DS sunar.Contoso's IT team enables Azure AD DS for their Azure AD tenant in this, or a peered, virtual network.
  • Azure sanal ağında dağıtılan uygulamalar ve VM 'Ler, etki alanına katılması, LDAP okuma, LDAP bağlama, NTLM ve Kerberos kimlik doğrulaması ve grup ilkesi gibi Azure AD DS özelliklerini kullanabilir.Applications and VMs deployed in the Azure virtual network can then use Azure AD DS features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Sonraki adımlarNext steps

Azure AD DS diğer kimlik çözümleriyle ve eşitlemenin nasıl çalıştığı hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:To learn more about Azure AD DS compares with other identity solutions and how synchronization works, see the following articles:

Başlamak için Azure Portal kullanarak Azure AD DS yönetilen bir etki alanı oluşturun.To get started, create an Azure AD DS managed domain using the Azure portal.