探索 Microsoft Entra Domain Services
如果您需要在 Azure 中部署 AD DS 相依工作負載,但您想要將與部署及管理 Azure 虛擬機器上裝載的 Active Directory 網域控制站相關的額外負荷降到最低,您應該考慮改為實作 Microsoft Entra Domain Services。 Microsoft Entra Domain Services 是 Microsoft 受控 AD DS 服務,可提供標準 Active Directory 功能,例如群組原則、加入網域,以及 Kerberos、NTLM 和 LDAP 等通訊協定的支援。
此服務是由新的單一網域樹系中的兩個 Active Directory 網域控制站所組成。 當您佈建服務時,Azure 平台會自動將這兩個網域控制站部署至您指定的 Azure 虛擬網路。 此外,受控 AD DS 會自動同步來自 Microsoft Entra 租用戶的使用者和群組,此租用戶與裝載虛擬網路的 Azure 訂用帳戶相關聯。 實際上,Microsoft Entra Domain Services 網域會包含與其 Microsoft Entra 對應項目相同的使用者和群組。 這提供下列功能:
- 如果 Azure 虛擬機器位於相同的虛擬網路或另一個與其相連的虛擬網路上,您可以將 Azure 虛擬機器加入受控 AD DS 網域。
- Microsoft Entra 使用者可以使用其現有的認證來登入這些 Azure 虛擬機器。
如果您有與相同 Microsoft Entra 租用戶同步的內部部署 AD DS 網域,內部部署 AD DS 使用者就可以使用其現有的認證登入 Microsoft Entra Domain Services 網域。
不過,在此案例中,內部部署 Active Directory 網域與 Microsoft Entra Domain Services 所實作的 Active Directory 網域不同。 兩個 Active Directory 網域具有不同的網域名稱和不同的使用者、群組和電腦物件集合,不過 Microsoft Entra Connect 同步範圍內的使用者和群組物件會有相符的屬性。
Microsoft Entra Domain Services 為與內部部署 AD DS 相同的一組通訊協定提供支援。 使用 Microsoft Entra Domain Services,您可以將依賴 AD DS 的應用程式移轉至 Azure 虛擬機器,而不需部署和維護額外的網域控制站,或建立與內部部署基礎結構的連線。
AD DS 與 Microsoft Entra Domain Services 之間有一些重要差異。 例如,Microsoft Entra Domain Services 不允許您建立信任關係或擴充結構描述。 使用者和群組物件可能必須在內部部署或對應的 Microsoft Entra 租用戶中進行管理,取決於其來源。 群組原則的支援受到限制,只有兩個先前建立的群組原則物件:一個包含電腦設定,另一個包含使用者設定。 此外,雖然可對 Microsoft Entra Domain Services 執行 LDAP 繫結和 LDAP 讀取,但不支援 LDAP 寫入。