Wat is Microsoft Entra Domain Services?

Microsoft Entra Domain Services biedt beheerde domeinservices, zoals domeindeelname, groepsbeleid, LDAP (Lightweight Directory Access Protocol) en Kerberos/NTLM-verificatie. U gebruikt deze domeinservices zonder dat u domeincontrollers (DC's) in de cloud hoeft te implementeren, beheren en patchen.

Met een beheerd domein van Domain Services kunt u verouderde toepassingen uitvoeren in de cloud die geen moderne verificatiemethoden kunnen gebruiken of waarbij u niet wilt dat adreslijstzoekacties altijd terugkeren naar een on-premises AD DS-omgeving. U kunt deze verouderde toepassingen van uw on-premises omgeving naar een beheerd domein verplaatsen zonder dat u de AD DS-omgeving in de cloud hoeft te beheren.

Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden bij services en toepassingen die zijn verbonden met het beheerde domein met behulp van hun bestaande referenties. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen. Deze functies zorgen voor een soepeler verplaatsen van on-premises resources naar Azure.

Bekijk onze korte video voor meer informatie over Domain Services.

Hoe werkt Domain Services?

Wanneer u een door Domain Services beheerd domein maakt, definieert u een unieke naamruimte. Deze naamruimte is de domeinnaam, zoals bijvoorbeeld aaddscontoso.com. Twee Windows Server-domeincontrollers (DC's) worden vervolgens geïmplementeerd in uw geselecteerde Azure-regio. Deze implementatie van DC's wordt een replicaset genoemd.

U hoeft deze DC's niet te beheren, configureren of bij te werken. Het Azure-platform verwerkt de DC's als onderdeel van het beheerde domein, inclusief back-ups en versleuteling-at-rest met behulp van Azure Disk Encryption.

Een beheerd domein is geconfigureerd voor het uitvoeren van een eenrichtingssynchronisatie van Microsoft Entra ID om toegang te bieden tot een centrale set gebruikers, groepen en referenties. U kunt resources rechtstreeks in het beheerde domein maken, maar ze worden niet gesynchroniseerd met Microsoft Entra-id. Toepassingen, services en VM's in Azure die verbinding maken met het beheerde domein, kunnen vervolgens algemene AD DS-functies gebruiken, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.

In een hybride omgeving met een on-premises AD DS-omgeving synchroniseert Microsoft Entra Connect identiteitsgegevens met Microsoft Entra-id, die vervolgens wordt gesynchroniseerd met het beheerde domein.

Domain Services repliceert identiteitsgegevens van Microsoft Entra-id, zodat deze werkt met Microsoft Entra-tenants die alleen in de cloud staan of worden gesynchroniseerd met een on-premises AD DS-omgeving. Dezelfde set Domain Services-functies bestaat voor beide omgevingen.

• Als u een bestaande on-premises AD DS-omgeving hebt, kunt u gebruikersaccountgegevens synchroniseren om een consistente identiteit voor gebruikers te bieden. Zie Hoe objecten en referenties worden gesynchroniseerd in een beheerd domeinvoor meer informatie.
• Voor cloudomgevingen hebt u geen traditionele on-premises AD DS-omgeving nodig om de gecentraliseerde identiteitsservices van Domain Services te gebruiken.

U kunt een beheerd domein uitbreiden met meer dan één replicaset per Microsoft Entra-tenant. Replicasets kunnen worden toegevoegd aan elk gekoppeld virtueel netwerk in elke Azure-regio die Ondersteuning biedt voor Domain Services. Door replicasets toe te voegen in verschillende Azure-regio's, kunt u geografisch herstel na noodgevallen bieden voor verouderde toepassingen als een Azure-regio offline gaat. Zie Replica concepten en functies voor beheerde domeinenvoor meer informatie.

Bekijk deze video over de integratie van Domain Services met uw toepassingen en workloads om identiteitsservices in de cloud te bieden:

Als u implementatiescenario's van Domain Services in actie wilt zien, kunt u de volgende voorbeelden bekijken:

• Domain Services voor hybride organisaties
• Domain Services voor uitsluitend cloudorganisaties

Functies en voordelen van Domain Services

Domain Services is volledig compatibel met een traditionele AD DS-omgeving voor bewerkingen zoals domeindeelname, Secure LDAP (LDAPS), Groepsbeleid, DNS-beheer en LDAP-binding en leesondersteuning om identiteitsservices te bieden aan toepassingen en VM's in de cloud. Ondersteuning voor LDAP-schrijfbewerkingen is beschikbaar voor objecten die zijn gemaakt in het beheerde domein, maar niet voor resources die zijn gesynchroniseerd vanuit Microsoft Entra-id.

Voor meer informatie over uw identiteitsopties Domain Services vergelijken met Microsoft Entra ID, AD DS op Azure-VM's en on-premises AD DS-.

De volgende functies van Domain Services vereenvoudigen implementatie- en beheerbewerkingen:

• Vereenvoudigde implementatie: Domain Services is ingeschakeld voor uw Microsoft Entra-tenant met één wizard in het Microsoft Entra-beheercentrum.
• geïntegreerd met Microsoft Entra-id: gebruikersaccounts, groepslidmaatschappen en referenties zijn automatisch beschikbaar vanuit uw Microsoft Entra-tenant. Nieuwe gebruikers, groepen of wijzigingen in kenmerken van uw Microsoft Entra-tenant of uw on-premises AD DS-omgeving worden automatisch gesynchroniseerd met Domain Services.
  • Accounts in externe mappen die zijn gekoppeld aan uw Microsoft Entra-id zijn niet beschikbaar in Domain Services. Referenties zijn niet beschikbaar voor deze externe directory's, en kunnen daarom niet worden gesynchroniseerd met een beheerd domein.
• Uw bedrijfsreferenties/wachtwoorden gebruiken: Wachtwoorden voor gebruikers in Domain Services zijn dezelfde als in uw Microsoft Entra-tenant. Gebruikers kunnen hun bedrijfsreferenties gebruiken voor computers die lid zijn van een domein, zich interactief of via extern bureaublad aanmelden en zich verifiëren bij het beheerde domein.
• NTLM- en Kerberos-verificatie: Met ondersteuning voor NTLM- en Kerberos-verificatie kunt u toepassingen implementeren die afhankelijk zijn van geïntegreerde Windows-verificatie.
• Hoge beschikbaarheid: Domain Services bevat meerdere domeincontrollers, die hoge beschikbaarheid bieden voor uw beheerde domein. Deze hoge beschikbaarheid garandeert service-uptime en tolerantie voor storingen.
  • In regio's die ondersteuning bieden voor Azure-beschikbaarheidszones, worden deze domeincontrollers ook verdeeld over zones voor extra tolerantie.
  • Replicasets kunnen ook worden gebruikt om geografisch herstel na noodgevallen te bieden voor verouderde toepassingen als een Azure-regio offline gaat.

Enkele belangrijke aspecten van een beheerd domein zijn onder andere:

• Het beheerde domein is een zelfstandig domein. Het is geen uitbreiding van een on-premises domein.
  • Indien nodig kunt u eenrichtingsuitgaande forestvertrouwensrelaties maken van Domain Services naar een on-premises AD DS-omgeving. Zie Forest-concepten en -functies voor Domain Servicesvoor meer informatie.
• Uw IT-team hoeft domeincontrollers voor dit beheerde domein niet te beheren, patchen of bewaken.

Voor hybride omgevingen waarop AD DS on-premises wordt uitgevoerd, hoeft u geen AD-replicatie naar het beheerde domein te beheren. Gebruikersaccounts, groepslidmaatschappen en referenties uit uw on-premises adreslijst worden gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Connect. Deze gebruikersaccounts, groepslidmaatschappen en referenties zijn automatisch beschikbaar in het beheerde domein.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Domain Services en andere identiteitsoplossingen en hoe synchronisatie werkt:

• Domain Services vergelijken met Microsoft Entra ID, Active Directory Domain Services op Azure-VM's en on-premises Active Directory Domain Services-
• Meer informatie over hoe Microsoft Entra Domain Services wordt gesynchroniseerd met uw Microsoft Entra-adreslijst
• Zie beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Domain Servicesvoor meer informatie over het beheren van een beheerd domein.

Om te beginnen, kunt u een beheerd domein maken met behulp van het Microsoft Entra-beheercentrum.