Entdecken Sie Microsoft Entra Domain Services

Abgeschlossen

Wenn Sie AD DS-abhängige Workloads in Azure bereitstellen müssen, aber den mit der Bereitstellung und Verwaltung von Active Directory-Domänencontrollern, die auf Azure-VMs gehostet werden, verbundenen Aufwand minimieren möchten, sollten Sie stattdessen die Implementierung von Microsoft Entra Domain Services in Betracht ziehen. Microsoft Entra Domain Services ist ein von Microsoft verwalteter AD DS-Dienst, der die Standardfunktionen von Active Directory wie Gruppenrichtlinien, Domänenbeitritt und Unterstützung für Protokolle wie Kerberos, NTLM und LDAP bietet.

Der Dienst besteht aus zwei Active Directory-Domänencontrollern in einer neuen Gesamtstruktur mit nur einer einzelnen Domäne. Bei der Bereitstellung des Diensts werden diese beiden Domänencontroller auf der Azure-Plattform automatisch in einem von Ihnen bestimmten virtuellen Azure-Netzwerk bereitgestellt. Darüber hinaus synchronisiert der verwaltete AD DS-Dienst automatisch Benutzer*innen und Gruppen aus dem Microsoft Entra-Mandanten, der mit dem Azure-Abonnement verbunden ist, das das virtuelle Netzwerk hostet. Die Microsoft Entra Domain Services-Domäne enthält die gleichen Benutzer*innen und Gruppen wie ihr Microsoft Entra-Gegenstück. Dabei sind folgende Funktionen verfügbar:

• Sie können Azure-VMs mit der verwalteten AD DS-Domäne verknüpfen, wenn diese sich im selben virtuellen Netzwerk oder in einem anderen damit verbundenen virtuellen Netzwerk befinden.
• Microsoft Entra-Benutzerinnen und -Benutzer können ihre bestehenden Anmeldedaten verwenden, um sich bei diesen Azure-VMs anzumelden.

Wenn Sie eine lokale AD DS-Domäne haben, die mit demselben Microsoft Entra-Mandanten synchronisiert wird, können sich Ihre lokalen AD DS-Benutzer*innen mit ihren bestehenden Anmeldedaten bei der Microsoft Entra Domain Services-Domäne anmelden.

In diesem Szenario ist die lokale Active Directory-Domäne jedoch getrennt von der Active Directory-Domäne, die Microsoft Entra Domain Services implementiert. Die beiden Active Directory-Domänen haben unterschiedliche Domänennamen und separate Sätze von Benutzer-, Gruppen- und Computerobjekten, auch wenn die Benutzer- und Gruppenobjekte im Rahmen der Microsoft Entra Connect-Synchronisierung übereinstimmende Attribute haben.

Microsoft Entra Domain Services bietet Unterstützung für die gleichen Protokolle wie der lokale AD DS-Dienst. Mit Microsoft Entra Domain Services können Sie Anwendungen, die von AD DS abhängen, auf Azure-VMs migrieren, ohne dass Sie zusätzliche Domänencontroller bereitstellen und warten oder eine Verbindung mit der lokalen Infrastruktur herstellen müssen.

Es gibt einige wichtige Unterschiede zwischen AD DS und Microsoft Entra Domain Services. Microsoft Entra Domain Services erlaubt es Ihnen beispielsweise nicht, Vertrauensstellungen zu erstellen oder das Schema zu erweitern. Abhängig von ihrer Herkunft müssen Benutzer- und Gruppenobjekte entweder vor Ort oder im entsprechenden Microsoft Entra-Mandanten verwaltet werden. Gruppenrichtlinien werden mit nur zwei bereits erstellten Gruppenrichtlinienobjekten, von denen eines Computereinstellungen, das andere Benutzereinstellungen enthält, nur eingeschränkt unterstützt. Darüber hinaus ist es zwar möglich, LDAP-Bindungen und LDAP-Lesevorgänge mit Microsoft Entra Domain Services durchzuführen, aber es gibt keine Unterstützung für LDAP-Schreibvorgänge.