Обнаружение доменных служб Microsoft Entra
Если необходимо развернуть рабочие нагрузки, зависящие от AD DS, в Azure, но вы хотите свести к минимуму затраты, связанные с развертыванием контроллеров домена Active Directory, размещенных в Azure Виртуальные машины, следует рассмотреть возможность реализации доменных служб Microsoft Entra. Доменные службы Microsoft Entra — это управляемая корпорацией Майкрософт служба AD DS, которая предоставляет стандартные функции Active Directory, такие как групповая политика, присоединение к домену и поддержка таких протоколов, как Kerberos, NTLM и LDAP.
Служба состоит из двух контроллеров домена Active Directory в новой совокупности деревьев с одним доменом. При подготовке службы платформа Azure автоматически развертывает эти два контроллера домена в выбранной виртуальной сети Azure. Кроме того, управляемые службы AD DS автоматически синхронизируют пользователей и группы из клиента Microsoft Entra, связанного с подпиской Azure, в котором размещена виртуальная сеть. Фактически домен доменных служб Microsoft Entra будет содержать одни и те же пользователи и группы, что и его коллега Microsoft Entra. Это дает следующие возможности.
- Вы можете присоединить Azure Виртуальные машины к управляемому домену AD DS, если они находятся в той же виртуальной сети или другой виртуальной сети, подключенной к ней.
- Пользователи Microsoft Entra могут использовать имеющиеся учетные данные для входа в эти Виртуальные машины Azure.
Если у вас есть локальный домен AD DS, синхронизированный с тем же клиентом Microsoft Entra, локальные пользователи AD DS смогут войти в домен домен доменных служб Microsoft Entra с помощью имеющихся учетных данных.
Однако в этом сценарии домен локальная служба Active Directory отделен от домена Active Directory, реализуемого доменными службами Microsoft Entra. Два домена Active Directory имеют разные доменные имена и отдельные наборы объектов пользователей, групп и компьютеров, хотя объекты пользователей и групп в пределах синхронизации Microsoft Entra Connect имеют соответствующие атрибуты.
Доменные службы Microsoft Entra поддерживают тот же набор протоколов, что и локальные доменные службы AD DS. С помощью доменных служб Microsoft Entra можно перенести приложения, зависящие от AD DS, в Azure Виртуальные машины без необходимости развертывать и поддерживать дополнительные контроллеры домена или устанавливать подключение к локальной инфраструктуре.
Существуют некоторые важные различия между доменными службами AD DS и Microsoft Entra. Например, доменные службы Microsoft Entra не позволяют создавать отношения доверия или расширять схему. В зависимости от их происхождения может потребоваться управлять объектами пользователей и групп в локальной среде или в соответствующем клиенте Microsoft Entra. Поддержка групповой политики ограничена только двумя ранее созданными групповыми политиками, одна из которых содержит параметры компьютера, а другая — параметры пользователя. Кроме того, хотя можно выполнять привязки LDAP и операции чтения LDAP в доменных службах Microsoft Entra, нет поддержки операций записи LDAP.