了解 Microsoft Entra 域服务
如果需要在 Azure 中部署依赖于 AD DS 的工作负载,但希望最大程度地减少与部署和管理 Azure 虚拟机上托管的 Active Directory 域控制器相关的开销,则应考虑改为实现 Microsoft Entra 域服务。 Microsoft Entra 域服务是一项 Microsoft 托管的 AD DS 服务,它提供标准的 Active Directory 功能(例如组策略、域加入)以及对 Kerberos、NTLM 和 LDAP 等协议的支持。
该服务由新的单域林中的两个 Active Directory 域控制器组成。 预配服务时,Azure 平台会自动将这两个域控制器部署到指定的 Azure 虚拟网络中。 此外,托管 AD DS 会自动从与托管虚拟网络的 Azure 订阅关联的 Microsoft Entra 租户同步其用户和组。 实际上,Microsoft Entra 域服务域将包含与其 Microsoft Entra 对应方相同的用户和组。 这提供了以下功能:
- 如果 Azure 虚拟机位于相同的虚拟网络或与该网络连接的其他虚拟网络,则可以将其加入托管的 AD DS 域。
- Microsoft Entra 用户可以使用其现有凭据登录到这些 Azure 虚拟机。
如果本地 AD DS 域与同一 Microsoft Entra 租户同步,则本地 AD DS 用户将能够使用其现有凭据登录到 Microsoft Entra 域服务域。
但在此方案中,本地 Active Directory 域独立于由 Microsoft Entra 域服务实现的 Active Directory 域。 尽管 Microsoft Entra Connect 同步范围内的用户和组对象具有匹配的属性,但两个 Active Directory 域具有不同的域名和单独的用户、组和计算机对象集。
Microsoft Entra 域服务支持与本地 AD DS 相同的一组协议。 使用 Microsoft Entra 域服务,可以将依赖于 AD DS 的应用程序迁移到 Azure 虚拟机,而无需部署和维护额外的域控制器或与本地基础结构建立连接。
AD DS 和 Microsoft Entra 域服务之间存在一些重要差异。 例如,Microsoft Entra 域服务不支持创建信任关系或扩展架构。 根据其来源,可能需要在本地或相应的 Microsoft Entra 租户中管理用户和组对象。 组策略支持有限,仅支持两个以前创建的组策略对象 - 一个包含计算机设置,而另一个包含用户设置。 此外,虽然可以针对 Microsoft Entra 域服务执行 LDAP 绑定和 LDAP 读取操作,但不支持 LDAP 写入。