Udostępnij za pośrednictwem


Co to jest usługa Microsoft Entra Domain Services?

Usługi Microsoft Entra Domain Services udostępniają zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, uproszczony protokół dostępu do katalogu (LDAP) i uwierzytelnianie Kerberos/NTLM. Te usługi domenowe są używane bez konieczności wdrażania kontrolerów domeny w chmurze, zarządzania nimi i stosowania poprawek.

Domena zarządzana usług Domenowych umożliwia uruchamianie starszych aplikacji w chmurze, które nie mogą używać nowoczesnych metod uwierzytelniania lub gdy nie chcesz, aby wyszukiwanie katalogów zawsze wracało do lokalnego środowiska usług AD DS. Możesz podnieść i przenieść te starsze aplikacje ze środowiska lokalnego do domeny zarządzanej, bez konieczności zarządzania środowiskiem usług AD DS w chmurze.

Usługi Domain Services integrują się z istniejącą dzierżawą firmy Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się do usług i aplikacji połączonych z domeną zarządzaną przy użyciu istniejących poświadczeń. Możesz również użyć istniejących grup i kont użytkowników, aby zabezpieczyć dostęp do zasobów. Te funkcje zapewniają bezproblemowe przenoszenie zasobów lokalnych na platformę Azure.

Zapoznaj się z krótkim filmem wideo, aby dowiedzieć się więcej o usługach Domain Services.

Jak działają usługi Domain Services?

Podczas tworzenia domeny zarządzanej usług Domain Services należy zdefiniować unikatową przestrzeń nazw. Ta przestrzeń nazw to nazwa domeny, taka jak aaddscontoso.com. Dwa kontrolery domeny systemu Windows Server są następnie wdrażane w wybranym regionie świadczenia usługi Azure. To wdrożenie kontrolerów domeny jest określane jako zestaw replik.

Nie musisz zarządzać, konfigurować ani aktualizować tych kontrolerów domeny. Platforma Azure obsługuje kontrolery domeny w ramach domeny zarządzanej, w tym kopie zapasowe i szyfrowanie danych w stanie spoczynku przy użyciu Azure Disk Encryption.

Domena zarządzana jest skonfigurowana do przeprowadzania jednokierunkowej synchronizacji z identyfikatora Entra firmy Microsoft w celu zapewnienia dostępu do centralnego zestawu użytkowników, grup i poświadczeń. Zasoby można tworzyć bezpośrednio w domenie zarządzanej, ale nie są one synchronizowane z powrotem do identyfikatora Entra firmy Microsoft. Aplikacje, usługi i maszyny wirtualne na platformie Azure, które łączą się z domeną zarządzaną, mogą następnie używać typowych funkcji usług AD DS, takich jak przyłączanie do domeny, zasady grupy, ldap i uwierzytelnianie Kerberos/NTLM.

W środowisku hybrydowym z lokalnym środowiskiem usług AD DS Microsoft Entra Connect synchronizuje informacje o tożsamości z identyfikatorem Entra firmy Microsoft, który jest następnie synchronizowany z domeną zarządzaną.

synchronizacja w Microsoft Entra Domain Services z Microsoft Entra ID i lokalnym AD DS przy użyciu AD Connect

Usługi Domain Services replikują informacje o tożsamości z Microsoft Entra ID, więc współpracują z dzierżawami Microsoft Entra, które są wyłącznie w chmurze lub są synchronizowane z lokalnym środowiskiem usług AD DS. Ten sam zestaw funkcji usług domenowych istnieje dla obu środowisk.

  • Jeśli masz istniejące lokalne środowisko usług AD DS, możesz zsynchronizować informacje o koncie użytkownika, aby zapewnić spójną tożsamość dla użytkowników. Aby dowiedzieć się więcej, zobacz Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej.
  • W przypadku środowisk tylko w chmurze nie potrzebujesz tradycyjnego lokalnego środowiska usług AD DS do korzystania ze scentralizowanych usług tożsamości usług Domain Services.

Można rozszerzyć domenę zarządzaną, aby zawierała więcej niż jeden zestaw replik w dzierżawie Microsoft Entra. Zestawy replik można dodać do dowolnej równorzędnej sieci wirtualnej w dowolnym regionie Azure obsługującym usługi Domain Services. Dodając zestawy replik w różnych regionach świadczenia usługi Azure, można zapewnić geograficzne odzyskiwanie po awarii dla starszych aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline. Aby uzyskać więcej informacji, zobacz Koncepcje i funkcje zestawów replik dla zarządzanych domen.

Zapoznaj się z tym filmem wideo na temat sposobu integrowania usług Domain Services z aplikacjami i obciążeniami w celu zapewnienia usług tożsamości w chmurze:


Aby zobaczyć scenariusze wdrażania usług Domain Services w działaniu, możesz zapoznać się z następującymi przykładami:

Funkcje i korzyści związane z usługami Domain Services

Aby zapewnić usługi tożsamości aplikacjom i maszynom wirtualnym w chmurze, usługi Domain Services są w pełni zgodne z tradycyjnym środowiskiem usług AD DS na potrzeby operacji, takich jak przyłączanie do domeny, bezpieczny protokół LDAP (LDAPS), zasady grupy, zarządzanie systemem DNS i obsługa powiązań LDAP i odczytu. Obsługa zapisu LDAP jest dostępna dla obiektów utworzonych w domenie zarządzanej, ale nie dla zasobów zsynchronizowanych z identyfikatorem Entra firmy Microsoft.

Aby dowiedzieć się więcej na temat swoich opcji tożsamości, porównaj usługi Domain Services z Microsoft Entra ID, AD DS na maszynach wirtualnych Azure i lokalnymi usługami AD DS.

Następujące funkcje usług Domain Services upraszczają operacje wdrażania i zarządzania:

  • Uproszczone środowisko wdrażania: Domain Services jest dostępna dla dzierżawy Microsoft Entra za pomocą jednego kreatora w centrum administracyjnym Microsoft Entra.
  • Zintegrowane z Microsoft Entra ID: Konta użytkowników, członkostwa w grupach oraz poświadczenia są automatycznie dostępne z dzierżawy Microsoft Entra. Nowi użytkownicy, grupy lub zmiany atrybutów z dzierżawy Microsoft Entra lub lokalnego środowiska usług AD DS są automatycznie synchronizowane z usługą Domain Services.
    • Konta w katalogach zewnętrznych połączonych z twoim identyfikatorem Entra firmy Microsoft nie są dostępne w usługach domenowych. Poświadczenia nie są dostępne dla tych katalogów zewnętrznych, więc nie można ich zsynchronizować z domeną zarządzaną.
  • Użyj poświadczeń/haseł firmowych: Hasła dla użytkowników w Usługach domenowych są takie same jak w dzierżawie Microsoft Entra. Użytkownicy mogą używać swoich poświadczeń firmowych do maszyn przyłączonych do domeny, logować się interaktywnie lub za pośrednictwem pulpitu zdalnego i uwierzytelniać się w domenie zarządzanej.
  • uwierzytelnianie NTLM i Kerberos: Dzięki obsłudze uwierzytelniania NTLM i Kerberos można wdrażać aplikacje, które korzystają z uwierzytelniania zintegrowanego z systemem Windows.
  • wysoka dostępność: usługa Domain Services obejmuje wiele kontrolerów domeny, które zapewniają wysoką dostępność domeny zarządzanej. Ta wysoka dostępność gwarantuje czas działania usługi i odporność na awarie.
    • W regionach obsługujących stref dostępności platformy Azurete kontrolery domeny są również dystrybuowane między strefami w celu zapewnienia dodatkowej odporności.
    • Zestawy replik mogą również służyć do zapewnienia geograficznego odzyskiwania po awarii dla starszych aplikacji, jeśli region Azure przejdzie w tryb offline.

Niektóre kluczowe aspekty domeny zarządzanej obejmują następujące elementy:

  • Domena zarządzana jest domeną autonomiczną. Nie jest to rozszerzenie domeny lokalnej.
  • Zespół IT nie musi zarządzać, poprawiać ani monitorować kontrolerów domeny dla tej domeny zarządzanej.

W przypadku środowisk hybrydowych z lokalnymi usługami AD DS nie trzeba zarządzać replikacją usługi AD do domeny zarządzanej. Konta użytkowników, członkostwa w grupach i poświadczenia z katalogu lokalnego są synchronizowane z identyfikatorem Entra firmy Microsoft za pośrednictwem Microsoft Entra Connect. Te konta użytkowników, członkostwa w grupach i poświadczenia są automatycznie dostępne w domenie zarządzanej.

Następne kroki

Aby dowiedzieć się więcej na temat usług Domain Services w porównaniu z innymi rozwiązaniami tożsamości oraz na temat działania synchronizacji, zobacz następujące artykuły:

Aby rozpocząć, utwórz domenę zarządzaną przy użyciu centrum administracyjnego Microsoft Entra.