Megosztás a következőn keresztül:

Mi az a Microsoft Entra Domain Services?

  • Cikk

A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az egyszerűsített címtárelérési protokoll (LDAP) és a Kerberos/NTLM-hitelesítés. Ezeket a tartományi szolgáltatásokat anélkül használja, hogy tartományvezérlőket (TARTOMÁNYVEZÉRLŐket) kellene telepítenie, kezelnie és javítania a felhőben.

A Domain Services által felügyelt tartományokkal olyan régi alkalmazásokat futtathat a felhőben, amelyek nem tudnak modern hitelesítési módszereket használni, vagy ahol nem szeretné, hogy a címtárkeresések mindig egy helyszíni AD DS-környezetbe térjenek vissza. Ezeket az örökölt alkalmazásokat a helyszíni környezetből egy felügyelt tartományba helyezheti át anélkül, hogy a felhőben kellene kezelnie az AD DS-környezetet.

A Domain Services integrálható a meglévő Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók a meglévő hitelesítő adataikkal jelentkezzenek be a felügyelt tartományhoz csatlakoztatott szolgáltatásokba és alkalmazásokba. Meglévő csoportokat és felhasználói fiókokat is használhat az erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ezek a funkciók zökkenőmentesebben emelik át a helyszíni erőforrásokat az Azure-ba.

Az első lépésekhez hozzon létre egy felügyelt tartományt a Microsoft Entra felügyeleti központjába

A Domain Services szolgáltatással kapcsolatos további információkért tekintse meg rövid videónkat.

Hogyan működik a Domain Services?

A Domain Services által felügyelt tartomány létrehozásakor egyedi névteret határoz meg. Ez a névtér a tartománynév, például aaddscontoso.com. Ezután két Windows Server-tartományvezérlő (DCs) lesz üzembe helyezve a kiválasztott Azure-régióban. A tartományvezérlők ilyen telepítését replikakészletnek nevezzük.

Ezeket a tartományvezérlőket nem kell kezelnie, konfigurálnia vagy frissítenie. Az Azure platform a felügyelt tartomány részeként kezeli a tartományvezérlőket (DC-ket), beleértve a biztonsági mentéseket és a nyugalmi állapotban lévő titkosítást az Azure Disk Encryption használatával.

A felügyelt tartomány úgy van konfigurálva, hogy egyirányú szinkronizálást hajtson végre a Microsoft Entra ID-ból, hogy hozzáférést biztosítson a felhasználók, csoportok és hitelesítő adatok központi készletéhez. Az erőforrásokat közvetlenül a felügyelt tartományban hozhatja létre, de a rendszer nem szinkronizálja őket a Microsoft Entra-azonosítóval. A felügyelt tartományhoz csatlakozó Azure-beli alkalmazások, szolgáltatások és virtuális gépek ezután használhatják az AD DS gyakori funkcióit, például a tartományhoz való csatlakozást, a csoportházirendet, az LDAP-t és a Kerberos/NTLM-hitelesítést.

A helyszíni AD DS-környezettel rendelkező hibrid környezetben Microsoft Entra Connect szinkronizálja az identitásadatokat a Microsoft Entra-azonosítóval, amelyet aztán szinkronizál a felügyelt tartományba.

Szinkronizálás a Microsoft Entra Domain Servicesben Microsoft Entra azonosítóval és helyszíni AD DS-vel az AD Connect használatával

A Domain Services replikálja az identitásadatokat a Microsoft Entra-azonosítóból, így olyan Microsoft Entra-bérlőkkel működik együtt, amelyek csak felhőalapúak, vagy szinkronizálva vannak egy helyszíni AD DS-környezettel. Mindkét környezetben ugyanaz a Domain Services-szolgáltatáskészlet létezik.

  • Ha már rendelkezik helyszíni AD DS-környezettel, szinkronizálhatja a felhasználói fiók adatait, hogy egységes identitást biztosítson a felhasználók számára. További információ: Objektumok és hitelesítő adatok szinkronizálása felügyelt tartományban.
  • Csak felhőalapú környezetek esetén nincs szükség hagyományos helyszíni AD DS-környezetre a Domain Services központosított identitásszolgáltatásainak használatához.

A felügyelt tartomány kibővíthető úgy, hogy egy Microsoft Entra-bérlőhöz több replikakészlet tartozzon. A replikakészletek bármely, a tartományi szolgáltatásokat támogató Azure-régióban hozzáadhatók a társviszonyban lévő virtuális hálózatokhoz. A különböző Azure-régiókban lévő replikakészletek hozzáadásával földrajzi vészhelyreállítást biztosíthat az örökölt alkalmazásokhoz, ha egy Azure-régió offline állapotba kerül. További információ: A replikakészletek fogalmai és funkciói a felügyelt tartományokhoz.

Ebből a videóból megtudhatja, hogyan integrálható a Domain Services az alkalmazásokkal és számítási feladatokkal az identitásszolgáltatások felhőbeli biztosításához:


Ha működés közben szeretné megtekinteni a Domain Services üzembe helyezési forgatókönyveit, az alábbi példákat ismerheti meg:

A Domain Services szolgáltatásai és előnyei

Ha identitásszolgáltatásokat szeretne nyújtani a felhőbeli alkalmazások és virtuális gépek számára, a Domain Services teljes mértékben kompatibilis a hagyományos AD DS-környezettel olyan műveletekhez, mint a tartományhoz való csatlakozás, a biztonságos LDAP (LDAPS), a csoportházirend, a DNS-kezelés és az LDAP-kötés és olvasási támogatás. Az LDAP írási támogatása a felügyelt tartományban létrehozott objektumokhoz érhető el, a Microsoft Entra-azonosítóból szinkronizált erőforrások azonban nem.

Ha többet szeretne megtudni az identitásopciókról, hasonlítsa össze a Domain Services szolgáltatást a Microsoft Entra ID-vel, az Azure VM-eken futó AD DS-sel és a helyszíni AD DS-sel.

A Domain Services alábbi funkciói leegyszerűsítik az üzembe helyezési és felügyeleti műveleteket:

  • egyszerűbb üzembe helyezési élmény: Domain Services engedélyezve van a Microsoft Entra-bérlőhöz egyetlen varázslóval a Microsoft Entra felügyeleti központban.
  • Integrálva a Microsoft Entra-azonosítóval: felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők a Microsoft Entra-bérlőről. A Rendszer automatikusan szinkronizálja az új felhasználókat, csoportokat vagy attribútumok módosításait a Microsoft Entra-bérlőből vagy a helyszíni AD DS-környezetből a Tartományi szolgáltatásokba.
    • A Microsoft Entra-azonosítóhoz társított külső címtárak fiókjai nem érhetők el a Domain Servicesben. A külső címtárakhoz nem érhetők el hitelesítő adatok, ezért nem szinkronizálhatók felügyelt tartományba.
  • A vállalati hitelesítő adatok/jelszavak használata: A Tartományi szolgáltatások felhasználóinak jelszavai megegyeznek a Microsoft Entra-bérlői jelszóval. A felhasználók a vállalati hitelesítő adataikkal tartományhoz csatlakoztathatják a gépeket, interaktívan vagy távoli asztalon jelentkezhetnek be, és hitelesíthetik magukat a felügyelt tartományon.
  • NTLM- és Kerberos-hitelesítés: Az NTLM és a Kerberos hitelesítés támogatásával windowsos integrált hitelesítésre támaszkodó alkalmazásokat telepíthet.
  • Magas rendelkezésre állás: Domain Services több tartományvezérlőt is tartalmaz, amelyek magas rendelkezésre állást biztosítanak a felügyelt tartomány számára. Ez a magas rendelkezésre állás garantálja a szolgáltatás üzemidejét és a hibákra való rugalmasságot.
    • Az Azure rendelkezésre állási zónák támogató régiókban ezek a tartományvezérlők a zónák között is el vannak osztva a további rugalmasság érdekében.
    • replikakészletek is használhatók az örökölt alkalmazások földrajzi vészhelyreállításához, ha egy Azure-régió offline állapotba kerül.

A felügyelt tartományok néhány fő aspektusa a következők:

  • A felügyelt tartomány önálló tartomány. Ez nem egy helyszíni tartomány kiterjesztése.
  • Az informatikai csapatnak nem kell felügyelnie, javítania vagy figyelnie a felügyelt tartomány tartományvezérlőit.

A helyszíni AD DS-t futtató hibrid környezetek esetében nem kell kezelnie az AD-replikációt a felügyelt tartományba. A helyszíni címtár felhasználói fiókjai, csoporttagságai és hitelesítő adatai a Microsoft Entra-azonosítóval szinkronizálódnak Microsoft Entra Connect. Ezek a felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők a felügyelt tartományban.

Következő lépések

A Domain Services más identitáskezelési megoldásokkal való összehasonlításával és a szinkronizálás működésével kapcsolatos további információkért tekintse meg az alábbi cikkeket:

Első lépésként hozzon létre egy felügyelt tartományt a Microsoft Entra Felügyeleti központot használva.