Aracılığıyla paylaş

Microsoft Entra Domain Services nedir?

  • Makale

Microsoft Entra Domain Services, etki alanına katılma, grup ilkesi, basit dizin erişim protokolü (LDAP) ve Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sağlar. Bu etki alanı hizmetlerini bulutta etki alanı denetleyicilerini (DC) dağıtmanıza, yönetmenize ve düzeltme eki uygulamanıza gerek kalmadan kullanırsınız.

Etki Alanı Hizmetleri tarafından yönetilen etki alanı, modern kimlik doğrulama yöntemlerini kullanemeyen veya dizin aramalarının her zaman şirket içi AD DS ortamına dönmesini istemediğiniz eski uygulamaları bulutta çalıştırmanıza olanak tanır. Bu eski uygulamaları, buluttaki AD DS ortamını yönetmeye gerek kalmadan şirket içi ortamınızdan kaldırıp yönetilen bir etki alanına kaydırabilirsiniz.

Domain Services, mevcut Microsoft Entra kiracınızla entegre olur. Bu tümleştirme, kullanıcıların mevcut kimlik bilgilerini kullanarak yönetilen etki alanına bağlı hizmetlerde ve uygulamalarda oturum açmasına olanak tanır. Kaynaklara erişimin güvenliğini sağlamak için mevcut grupları ve kullanıcı hesaplarını da kullanabilirsiniz. Bu özellikler, şirket içi kaynakların Azure'a daha sorunsuz bir şekilde kaldırılmasını sağlar.

Başlamak için, Microsoft Entra yönetim merkezini kullanarak Bir Etki Alanı Hizmetleri yönetilen etki alanı oluşturun

Domain Services hakkında daha fazla bilgi edinmek için kısa videomuza göz atın.

Alan Adı Hizmetleri nasıl çalışır?

Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı oluşturduğunuzda, benzersiz bir ad alanı tanımlarsınız. Bu isim alanı, aaddscontoso.comgibi etki alanı adıdır. Ardından seçtiğiniz Azure bölgesine iki Windows Server etki alanı denetleyicisi (DC) dağıtılır. Dc'lerin bu dağıtımı bir çoğaltma kümesi olarak bilinir.

Bu DC'leri yönetmeniz, yapılandırmanız veya güncelleştirmeniz gerekmez. Azure platformu, yönetilen etki alanının bir parçası olarak DC'leri işler ve Azure Disk Şifrelemesi kullanarak yedeklemeler ve bekleme durumundaki veri şifrelemesini içerir.

Yönetilen etki alanı, Microsoft Entra ID'den tek yönlü senkronizasyon gerçekleştirecek şekilde yapılandırılır ve bu, merkezi bir kullanıcı, grup ve kimlik bilgisi kümesine erişim sağlar. Kaynakları doğrudan yönetilen etki alanında oluşturabilirsiniz, ancak bunlar Microsoft Entra Kimliği'ne geri senkronize edilmez. Azure'da yönetilen etki alanına bağlanan uygulamalar, hizmetler ve VM'ler daha sonra etki alanına katılma, grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi yaygın AD DS özelliklerini kullanabilir.

Şirket içi AD DS ortamına sahip karma bir ortamda, Microsoft Entra Connect kimlik bilgilerini Microsoft Entra Kimliği ile senkronize eder, ardından yönetilen etki alanına senkronize edilir.

Microsoft Entra Domain Services'de, AD Connect.

Domain Services, kimlik bilgilerini Microsoft Entra ID'den çoğaltarak yalnızca bulut tabanlı veya şirket içi AD DS ortamıyla eşzamanlanan Microsoft Entra kiracılarıyla çalışır. Her iki ortam için de aynı Etki Alanı Hizmetleri özellikleri kümesi vardır.

  • Mevcut bir şirket içi AD DS ortamınız varsa, kullanıcılar için tutarlı bir kimlik sağlamak üzere kullanıcı hesabı bilgilerini eşitleyebilirsiniz. Daha fazla bilgi edinmek için bkz. Yönetilen etki alanında nesneler ve kimlik bilgileri nasıl eşitlenir.
  • Yalnızca bulut ortamlarında, Etki Alanı Hizmetleri'nin merkezi kimlik hizmetlerini kullanmak için geleneksel bir şirket içi AD DS ortamına ihtiyacınız yoktur.

Yönetilen etki alanını, Microsoft Entra kiracısı başına birden fazla çoğaltma kümesine sahip olacak şekilde genişletebilirsiniz. Çoğaltma kümeleri, Etki Alanı Hizmetleri'ni destekleyen herhangi bir Azure bölgesindeki eşlenmiş herhangi bir sanal ağa eklenebilir. Farklı Azure bölgelerinde kopya kümeleri ekleyerek, bir Azure bölgesi çevrimdışı olursa eski uygulamalar için coğrafi olağanüstü durum kurtarma sağlayabilirsiniz. Daha fazla bilgi için, yönetilen etki alanları için Çoğaltılmış kümeler kavram ve özelliklerine bakın.

Uygulamalarınızla ve iş yüklerinizle bulutta kimlik hizmetleri sağlamak için Domain Services'ın nasıl entegre edildiğini gösteren bu videoya göz atın.


Etki Alanı Hizmetleri dağıtım senaryolarını uygulamada görmek için aşağıdaki örnekleri inceleyebilirsiniz:

Etki Alanı Hizmetleri özellikleri ve avantajları

Etki Alanı Hizmetleri, buluttaki uygulamalara ve VM'lere kimlik hizmetleri sağlamak için etki alanına katılma, güvenli LDAP (LDAPS), Grup İlkesi, DNS yönetimi ve LDAP bağlama ve okuma desteği gibi işlemler için geleneksel bir AD DS ortamıyla tamamen uyumludur. LDAP yazma desteği yönetilen etki alanında oluşturulan nesneler için kullanılabilir, ancak Microsoft Entra Id'den eşitlenen kaynaklar için kullanılamaz.

Kimlik seçenekleriniz hakkında daha fazla bilgi edinmek için Etki Alanı Hizmetleri'ni Microsoft Entra ID, Azure VM'lerinde AD DS ve AD DS şirket içiile karşılaştırın.

Etki Alanı Hizmetleri'nin aşağıdaki özellikleri dağıtım ve yönetim işlemlerini basitleştirir:

  • Basitleştirilmiş dağıtım deneyimi: Etki Alanı Hizmetleri, Microsoft Entra yönetim merkezindeki tek bir sihirbaz kullanılarak Microsoft Entra kiracınız için etkinleştirilir.
  • Microsoft Entra Id ile tümleşik: Kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri Microsoft Entra kiracınızdan otomatik olarak kullanılabilir. Microsoft Entra kiracınızdan veya şirket içi AD DS ortamınızdan gelen yeni kullanıcılar, gruplar veya özniteliklerde yapılan değişiklikler otomatik olarak Etki Alanı Hizmetleri ile eşitlenir.
    • Microsoft Entra Kimliğinize bağlı dış dizinlerdeki hesaplar, Etki Alanı Hizmetleri'nde kullanılamaz. Bu dış dizinler için kimlik bilgileri yer almıyor, bu yüzden yönetilen bir etki alanına eşitlenemezler.
  • Şirket kimlik bilgilerinizi/parolalarınızı kullanın: Etki Alanı Hizmetlerindeki kullanıcılar için parolalar, Microsoft Entra kiracınızdaki parolalarla aynıdır. Kullanıcılar, şirket kimlik bilgilerini kullanarak makineleri etki alanına katabilir, etkileşimli olarak veya uzak masaüstü üzerinden oturum açabilir ve yönetilen etki alanında kimlik doğrulaması yapabilir.
  • NTLM ve Kerberos kimlik doğrulamasını : NTLM ve Kerberos kimlik doğrulaması desteğiyle, Windows ile tümleşik kimlik doğrulaması kullanan uygulamaları dağıtabilirsiniz.
  • Yüksek kullanılabilirlik: Etki Alanı Hizmetleri, yönetilen etki alanınız için yüksek kullanılabilirlik sağlayan birden çok etki alanı denetleyicisi içerir. Bu yüksek kullanılabilirlik, hizmet çalışma süresini ve hatalara dayanıklılığı garanti eder.
    • Azure Kullanılabilirlik Alanlarını destekleyen bölgelerde, bu etki alanı denetleyicileri de ek dayanıklılık için bölgeler arasında dağıtılır.
    • Replika setleri, bir Azure bölgesi çevrimdışı olursa, eski uygulamalar için coğrafi felaket kurtarma sağlamak amacıyla da kullanılabilir.

Yönetilen etki alanının bazı önemli yönleri şunlardır:

  • Yönetilen etki alanı tek başına bir etki alanıdır. Şirket içi etki alanının uzantısı değildir.
    • Gerekirse, Etki Alanı Hizmetleri'nden yerinde AD DS ortamına tek yönlü dışa dönük orman güvenleri oluşturabilirsiniz. Daha fazla bilgi için bkz. Domain Servicesiçin Orman kavramları ve özellikleri.
  • BT ekibinizin bu yönetilen etki alanı için etki alanı denetleyicilerini yönetmesi, düzeltme eki eklemesi veya izlemesi gerekmez.

Şirket içinde AD DS çalıştıran karma ortamlar için yönetilen etki alanına AD çoğaltmasını yönetmeniz gerekmez. Şirket içi dizininizdeki kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri, Microsoft Entra Connectaracılığıyla Microsoft Entra Id ile eşitlenir. Bu kullanıcı hesapları, grup üyelikleri ve kimlik bilgileri yönetilen etki alanında otomatik olarak kullanılabilir.

Sonraki adımlar

Domain Services'ın diğer kimlik çözümleriyle karşılaştırması ve eşitlemenin nasıl çalıştığı hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

Başlamak için Microsoft Entra yönetim merkezini kullanarak yönetilen bir etki alanı oluşturun.