Seznamte se se službou Microsoft Entra Domain Services
Pokud potřebujete nasadit úlohy závislé na službě AD DS v Azure, ale chcete minimalizovat režii spojenou s nasazením a správou řadičů domény Active Directory hostovaných na virtuálních počítačích Azure, měli byste zvážit implementaci služby Microsoft Entra Domain Services. Microsoft Entra Domain Services je služba AD DS spravovaná microsoftem, která poskytuje standardní funkce služby Active Directory, jako jsou zásady skupiny, připojení k doméně a podpora protokolů, jako je Kerberos, NTLM a LDAP.
Služba se skládá ze dvou řadičů domény služby Active Directory v nové doménové struktuře s jednou doménou. Když službu zřídíte, platforma Azure automaticky nasadí tyto dva řadiče domény do virtuální sítě Azure, kterou určíte. Spravovaná služba AD DS navíc automaticky synchronizuje své uživatele a skupiny z tenanta Microsoft Entra přidruženého k předplatnému Azure, které je hostitelem virtuální sítě. Doména Microsoft Entra Domain Services bude obsahovat stejné uživatele a skupiny jako její protějšk Microsoft Entra. To poskytuje následující možnosti:
- Virtuální počítače Azure můžete připojit ke spravované doméně SLUŽBY AD DS, pokud se nacházejí ve stejné virtuální síti nebo jiné virtuální síti připojené k ní.
- Uživatelé Microsoft Entra můžou k přihlášení k těmto virtuálním počítačům Azure použít své stávající přihlašovací údaje.
Pokud máte místní doménu SLUŽBY AD DS, která se synchronizuje se stejným tenantem Microsoft Entra, vaši místní uživatelé služby AD DS se budou moct přihlásit k doméně služby Microsoft Entra Domain Services pomocí svých existujících přihlašovacích údajů.
V tomto scénáři je však místní Active Directory doména oddělená od domény služby Active Directory, kterou implementuje služba Microsoft Entra Domain Services. Tyto dvě domény služby Active Directory mají různé názvy domén a samostatné sady objektů uživatelů, skupin a počítačů, i když objekty uživatelů a skupin v rámci synchronizace služby Microsoft Entra Connect mají odpovídající atributy.
Služba Microsoft Entra Domain Services nabízí podporu stejné sady protokolů jako místní služba AD DS. Pomocí služby Microsoft Entra Domain Services můžete migrovat aplikace, které závisí na službě AD DS, do služby Azure Virtual Machines, aniž byste museli nasazovat a udržovat další řadiče domény nebo navazovat připojení k místní infrastruktuře.
Mezi službami AD DS a Microsoft Entra Domain Services existují některé důležité rozdíly. Služba Microsoft Entra Domain Services například neumožňuje vytvářet vztahy důvěryhodnosti nebo rozšiřovat schéma. V závislosti na původu můžou být objekty uživatelů a skupin spravované místně nebo v odpovídajícím tenantovi Microsoft Entra. Podpora zásad skupiny je omezená, pouze se dvěma dříve vytvořenými objekty zásad skupiny – jeden obsahující nastavení počítače a další obsahující uživatelská nastavení. Kromě toho, i když je možné provádět vazby LDAP a čtení LDAP vůči službě Microsoft Entra Domain Services, neexistuje žádná podpora pro zápisy ldap.