Identifiera Microsoft Entra Domain Services

Slutförd

Om du behöver distribuera AD DS-beroende arbetsbelastningar i Azure, men vill minimera kostnaderna för att distribuera och hantera Active Directory-domänkontrollanter som finns på virtuella Azure-datorer, bör du överväga att implementera Microsoft Entra Domain Services i stället. Microsoft Entra Domain Services är en Microsoft-hanterad AD DS-tjänst som tillhandahåller active directory-standardfunktioner som grupprincip, domänanslutning och stöd för protokoll som Kerberos, NTLM och LDAP.

Tjänsten består av två Active Directory-domänkontrollanter i en ny skog med en domän. När du etablerar tjänsten distribuerar Azure-plattformen automatiskt dessa två domänkontrollanter till ett virtuellt Azure-nätverk som du anger. Dessutom synkroniserar den hanterade AD DS automatiskt sina användare och grupper från Microsoft Entra-klientorganisationen som är associerad med Azure-prenumerationen som är värd för det virtuella nätverket. Microsoft Entra Domain Services-domänen innehåller i själva verket samma användare och grupper som dess Microsoft Entra-motsvarighet. Detta ger följande funktioner:

• Du kan ansluta Azure Virtual Machines till den hanterade AD DS-domänen om de finns i samma virtuella nätverk eller ett annat virtuellt nätverk som är anslutet till den.
• Microsoft Entra-användare kan använda sina befintliga autentiseringsuppgifter för att logga in på dessa virtuella Azure-datorer.

Om du har en lokal AD DS-domän som synkroniseras med samma Microsoft Entra-klientorganisation kan dina lokala AD DS-användare logga in på Microsoft Entra Domain Services-domänen med sina befintliga autentiseringsuppgifter.

I det här scenariot är dock den lokal Active Directory domänen separat från den Active Directory-domän som Microsoft Entra Domain Services implementerar. De två Active Directory-domänerna har olika domännamn och separata uppsättningar med användar-, grupp- och datorobjekt, även om användar- och gruppobjekten inom omfånget för Microsoft Entra Connect-synkronisering har matchande attribut.

Microsoft Entra Domain Services har stöd för samma uppsättning protokoll som lokal AD DS. Med Microsoft Entra Domain Services kan du migrera program som är beroende av AD DS till virtuella Azure-datorer utan att behöva distribuera och underhålla extra domänkontrollanter eller upprätta anslutningar till den lokala infrastrukturen.

Det finns några viktiga skillnader mellan AD DS och Microsoft Entra Domain Services. Microsoft Entra Domain Services tillåter till exempel inte att du skapar förtroenderelationer eller utökar schemat. Beroende på deras ursprung kan användar- och gruppobjekt behöva hanteras lokalt eller i motsvarande Microsoft Entra-klientorganisation. Stödet för grupprincip är begränsat, med endast två tidigare skapade grupprincip Objekt – en som innehåller datorinställningar och en annan som innehåller användarinställningar. Även om det är möjligt att utföra LDAP-bindningar och LDAP-läsningar mot Microsoft Entra Domain Services finns det inget stöd för LDAP-skrivningar.