Microsoft Entra 域服务的副本集概念和功能

创建 Microsoft Entra 域服务托管域时，需要定义唯一的命名空间。此命名空间是域名（如 aaddscontoso.com），两个域控制器 (DC) 随后会部署到所选 Azure 区域。 DC 的这种部署称为副本集。

可以扩展托管域，使每个 Microsoft Entra 租户具有多个副本集。副本集现在可以添加到支持域服务的任何 Azure 区域中的任何对等网络。如果某个 Azure 区域处于离线状态，则不同 Azure 区域中的其他副本集可为旧版应用程序提供地理灾难恢复。

注意

副本集不允许在单个 Azure 租户中部署多个唯一托管域。每个副本集包含相同的数据。

副本集的工作方式

创建托管域（如 aaddscontoso.com）时，将创建初始副本集。其他副本集共享相同的命名空间和配置。对域服务进行的更改（包括配置、用户标识和凭据、组、组策略对象、计算机对象以及其他更改）会应用于使用 AD DS 复制的托管域中的所有副本集。

在虚拟网络中创建每个副本集。每个虚拟网络都必须与托管域的副本集的每个其他虚拟网络对等互连。此配置将创建支持目录复制的网格网络拓扑。一个虚拟网络可以支持多个副本集，前提是每个副本集位于不同的虚拟子网中。

所有副本集都放置在同一 Active Directory 站点中。因此，所有更改都将使用站点内复制进行传播以实现快速聚合。

注意

无法在副本集之间定义单独的站点以及定义复制设置。

下图显示了具有两个副本集的托管域。第一个副本集使用域命名空间进行创建。第二个副本集在此之后创建：

Diagram of example managed domain with two replica sets

注意

副本集可确保配置副本集的区域中的身份验证服务的可用性。若要使应用程序在发生区域性服务中断时具有地理冗余，依赖于托管域的应用程序平台也必须位于其他区域。

副本集不会提供使应用程序正常运行所需的其他服务（如 Azure VM 或 Azure 应用服务）的复原能力。其他应用程序组件的可用性设计需要考虑构成应用程序的服务的复原能力。

下面的示例显示了具有三个副本集的托管域，以便进一步提供复原能力并确保身份验证服务的可用性。在这两个示例中，应用程序工作负载都与托管域副本集位于同一区域中：

Diagram of example managed domain with three replica sets

托管域的默认 SKU 为 Enterprise SKU，它支持多个副本集。如果更改为标准 SKU，则需创建其他副本集，请将托管域升级到 Enterprise 或 Premium 。

支持的副本集最大数量为 5，包括创建托管域时创建的第一个副本。

每个副本集的计费基于域配置 SKU。例如，如果你有一个使用 Enterprise SKU 的托管域，且有三个副本集，则对于三个副本集中的每个副本集，你的订阅都将按小时计费。

不是。副本集必须与托管域位于同一订阅中。

你最多可以创建 5 个副本集 - 托管域的初始副本集外加 4 个附加副本集。

所有副本集都使用网格虚拟网络对等互联彼此连接。一个副本集接收来自 Microsoft Entra ID 的用户和组更新。然后，使用跨对等互连网络的站点内 AD DS 复制将这些更改复制到其他副本集。

与本地 AD DS 一样，扩展的离线状态可能导致复制中断。由于对等互连虚拟网络不可传递，因此副本集的设计要求需要完全网格化的网络拓扑。

托管域中的更改会像其以前一样工作。你可以使用已加入托管域的 RSAT 工具创建和使用管理 VM。可以根据需要将任意数量的管理 VM 加入到托管域。