Odnajdywanie usług Microsoft Entra Domain Services
Jeśli musisz wdrożyć obciążenia zależne od usług AD DS na platformie Azure, ale chcesz zminimalizować obciążenie związane z wdrażaniem kontrolerów domeny usługi Active Directory hostowanych na maszynach wirtualnych platformy Azure i zarządzaniem nimi, należy rozważyć zaimplementowanie usług Microsoft Entra Domain Services. Microsoft Entra Domain Services to usługa usług AD DS zarządzana przez firmę Microsoft, która zapewnia standardowe funkcje usługi Active Directory, takie jak zasady grupy, przyłączanie do domeny i obsługa protokołów, takich jak Kerberos, NTLM i LDAP.
Usługa składa się z dwóch kontrolerów domeny usługi Active Directory w nowym lesie z jedną domeną. Podczas aprowizowania usługi platforma Azure automatycznie wdraża te dwa kontrolery domeny w wyznaczonej sieci wirtualnej platformy Azure. Ponadto zarządzana usługa AD DS automatycznie synchronizuje użytkowników i grupy z dzierżawy firmy Microsoft Entra skojarzonej z subskrypcją platformy Azure hostująca sieć wirtualną. W rzeczywistości domena usług Microsoft Entra Domain Services będzie zawierać tych samych użytkowników i grup, co jej odpowiednik firmy Microsoft Entra. Zapewnia to następujące możliwości:
- Maszyny wirtualne platformy Azure można dołączyć do zarządzanej domeny usług AD DS, jeśli znajdują się w tej samej sieci wirtualnej lub innej połączonej z nią sieci wirtualnej.
- Użytkownicy firmy Microsoft Entra mogą logować się do tych maszyn wirtualnych platformy Azure przy użyciu swoich istniejących poświadczeń.
Jeśli masz lokalną domenę usług AD DS, która synchronizuje się z tą samą dzierżawą firmy Microsoft Entra, lokalni użytkownicy usług AD DS będą mogli zalogować się do domeny usług Microsoft Entra Domain Services przy użyciu istniejących poświadczeń.
Jednak w tym scenariuszu domena lokalna usługa Active Directory jest oddzielona od domeny usługi Active Directory implementowanej przez usługi Microsoft Entra Domain Services. Dwie domeny usługi Active Directory mają różne nazwy domen i oddzielne zestawy obiektów użytkowników, grup i komputerów, chociaż obiekty użytkownika i grupy w zakresie synchronizacji programu Microsoft Entra Connect mają pasujące atrybuty.
Usługa Microsoft Entra Domain Services oferuje obsługę tego samego zestawu protokołów co lokalne usługi AD DS. Za pomocą usług Microsoft Entra Domain Services można migrować aplikacje zależne od usług AD DS do usługi Azure Virtual Machines bez konieczności wdrażania i utrzymywania dodatkowych kontrolerów domeny lub nawiązywania łączności z infrastrukturą lokalną.
Istnieją pewne istotne różnice między usługami AD DS i Microsoft Entra Domain Services. Na przykład usługi Microsoft Entra Domain Services nie umożliwiają tworzenia relacji zaufania ani rozszerzania schematu. W zależności od źródła obiekty użytkowników i grup mogą być zarządzane lokalnie lub w odpowiedniej dzierżawie firmy Microsoft Entra. Obsługa zasad grupy jest ograniczona, a tylko dwa wcześniej utworzone obiekty zasad grupy — jeden zawierający ustawienia komputera i drugi zawierający ustawienia użytkownika. Ponadto, chociaż istnieje możliwość wykonywania powiązań LDAP i odczytów LDAP względem usług Microsoft Entra Domain Services, nie ma obsługi zapisów LDAP.