了解 Active Directory 域服务 (AD DS)
AD DS 可提供各种与业务相关的好处和技术方面的好处。 按照设计,其主要目的是用作本地环境、独立托管环境、隔离环境的标识和访问管理解决方案,并且其大多数特征都反映了这一基本前提。
AD DS 的身份验证机制主要依赖于将域成员计算机永久加入到域中。 与域控制器的通信涉及各种协议,例如用于目录服务查找的轻型目录访问协议 (LDAP)、用于身份验证的 Kerberos 和用于与 AD DS 域控制器进行基于组策略的交互的服务器消息块 (SMB)。 这些协议都不适合 Internet 环境。
如果要在 Azure 中提供等效功能,则可以将 AD DS 域控制器部署为 Azure 虚拟机。 将域控制器放置在 Azure 中的一些常见原因包括:
- 在 Azure 环境中向依赖于 AD DS 的应用程序和服务提供身份验证。
- 为了实现灾难恢复,将本地 AD DS 的范围扩展到一个或多个 Azure 区域。
- 在 Azure 中实现其他 AD DS 域控制器,以增强与 Microsoft Entra ID 和 Microsoft Entra 联合部署的目录同步的复原能力。