Microsoft Entra Domain Services Bereitstellung

Die Microsoft Entra Domain Services Bereitstellung ist notwendig, wenn in der Cloud zum Beispiel Gruppenrichtlinien, LDAP, Kerberos und auch NTLM notwendig sind. Diese Funktionen bietet Entra ID nicht an. Auch beim Umzug von lokalen Active Directory-Umgebungen ist Entra ID nicht immer sinnvoll einsetzbar.

Microsoft stellt aber mit dem Dienst Microsoft Entra Domain Services einen weiteren Active Directory-Dienst in der Cloud zur Verfügung, der im Grunde der Installation eines vollständigen Active Directory entspricht. Allerdings gibt es auch hier einige Einschränkungen, auf die wir nachfolgend ebenfalls eingehen. Generell sind Microsoft Entra Domain Services der bessere Weg, wenn es darum geht, ein lokales Active Directory in die Cloud zu überführen. Auch Funktionen wie Secure LDAP sind mit Microsoft Entra Domain Services möglich. 

Die Verwaltung der Benutzer und der anderen Objekte in Microsoft Entra Domain Services erfolgt über die herkömmlichen Verwaltungstools von Active Directory. Dazu müssen Sie einen Server oder eine Arbeitsstation in die neue Domäne in der Cloud aufnehmen und können danach auf dem Computer die Remoteserververwaltungstools für Active Directory installieren. Mit diesen können Sie nach der Installation die Umgebung verwalten. Generell ist die Verwaltung von Microsoft Entra Domain Services von jedem Computer aus umsetzbar, der Mitglied der Domäne ist, entsprechende Berechtigungen natürlich vorausgesetzt. 

Microsoft Entra Domain Services – Managed Active Directory aus der Cloud

Einfach ausgedrückt bieten Microsoft Entra Domain Services die Möglichkeit, ein vollständig verwaltetes Active Directory in Microsoft Azure mit allen zur Verfügung stehenden Funktionen bereitzustellen. Die Instanzen von Microsoft Entra Domain Services sind zum Beispiel für ältere Anwendungen geeignet, die zwar grundsätzlich in der Cloud laufen, denen aber die Funktionen von Entra ID nicht ausreichen. Vor allem wenn es um Kerberos, LDAP und NTLM geht, sind Microsoft Entra Domain Services der richtige Weg.

Es ist für Microsoft Entra Domain Services nicht notwendig, einen virtuellen Server in der Cloud zu betreiben oder Domänencontroller zu installieren. Es handelt sich bei Microsoft Entra Domain Services um einen verwalteten Dienst. Die zugrundeliegende Serverinfrastruktur betreibt Microsoft, die Verwaltung von Microsoft Entra Domain Services erfolgt im Webportal.

Microsoft Entra Domain Services versus Active Directory

Wann ist eine Microsoft Entra Domain Services Bereitstellung notwendig? Microsoft Entra Domain Services bieten mit Gruppenrichtlinien, NTLM, LDAP und Kerberos ähnliche Funktionen, wie lokale Active Directory-Umgebungen. Allerdings sind die Domain Services kein vollständiges Active Directory, das sich genauso nutzen lässt, wie eine eigene Installation im lokalen Rechenzentrum. Der größte Unterschied ist zunächst, dass es beim Einsatz von Microsoft Entra Domain Services keine Domänencontroller gibt. Der Dienst ist verwaltet, es findet keine Anpassung von Domänencontrollern statt.

Ein weiterer Unterschied besteht darin, dass Administratoren keine Vertrauensstellungen zu anderen Domänen oder Gesamtstrukturen aufbauen können. Es gibt auch keine Domänen-Admins oder Organisations-Admins und die Möglichkeit, interne Einstellungen der Umgebungen zu verwalten oder anzupassen.

Wer ein vollständiges Active Directory in der Cloud benötigt, kann auf einem virtuellen Computer in Azure Windows Server betreiben und auf dem herkömmlichen Weg einen Domänencontroller installieren und verwalten. Diese Vorgehensweise ist, neben Entra ID und Microsoft Entra Domain Services, der dritte Weg, um Active Directory in der Cloud zu nutzen.

Microsoft Entra Domain Services-Instanzen erstellen und Computer anbinden

Falls notwendig, können Unternehmen auch mehreren Instanzen der Microsoft Entra Domain Services betreiben. Nach der Erstellung einer Instanz, können virtuelle Computer in der Cloud, aber auch Rechner im lokalen Rechenzentrum angebunden werden. Dazu sind natürlich Site-to-Site-VPNs oder andere Technologien notwendig, mit denen lokale Rechenzentren an Azure angebunden werden können. Die Vorgänge dazu entsprechen dem Aufnehmen in eine herkömmliche Domäne. Auf den Client-Rechnern und -Computern sind keine Agenten oder andere Erweiterungen notwendig. Microsoft Entra Domain Services unterstützen auch Ressourcengruppen. Beim Anlegen ist es bereits möglich, einen DNS-Namen für die Domäne zu erstellen. Ein DNS-Server ist dazu nicht notwendig, auch die DNS-Funktionen der Microsoft Entra Domain Services sind vollständig verwaltet.

Wie bei allen Ressourcen in Azure, können auch für Microsoft Entra Domain Services verschiedene Einstellungen für das Netzwerk, die Verwaltung und Sicherheitseinstellungen definiert werden. Bei „Synchronisierung“ lässt sich wiederum festlegen, ob Benutzerkonten von Entra ID zu Microsoft Entra Domain Services synchronisiert werden sollen. Über „Sicherheitseinstellungen“ ist es möglich, Sicherheitsoptionen zu NTLM, TLS und der Synchronisierung von Kennwörtern zu definieren. Auch die Verschlüsselung und der Schutz von Kerberos lassen sich hier festlegen.

SKU für Microsoft Entra Domain Services festlegen

Beim Erstellen einer neuen Instanz der Microsoft Entra Domain Services spielen vor allem zwei Einstellungspunkte eine wichtige Rolle: SKU und Gesamtstrukturtyp. Mit der SKU ist die Größe der Umgebung steuerbar. Standard ist für etwa 25.000 Objekte einsetzbar, Premium kann bis zu 500.000 Objekte speichern. Die Enterprise-Variante ermöglicht bis zu 100.000 Objekte. Die ausführlichen Unterschiede der SKUs zeigt Microsoft auf der Hilfeseite.

Die Preise variieren von 0.13 Euro/Satz bis 1.35 Euro/Satz. Der Gesamtstrukturtyp lässt sich entweder als „Benutzer“ oder „Ressourcen“ festlegen. Während Benutzer-Gesamtstrukturen vor allem für die Anmeldung von Benutzern geeignet sind, dienen Ressourcen-Gesamtstrukturen vor allem der Authentifizierung von Workloads.

Nach dem Festlegen der Optionen kann die Instanz mit „Erstellen“ in Azure definiert werden. Wichtig ist, dass die Einstellungen für DNS-Name, Abonnement, Ressourcengruppe, virtuelles Netzwerk, Subnetz und Gesamtstrukturtyp korrekt gesetzt sind. Diese Einstellungen lassen sich nach dem Erstellen eines Abonnements nicht mehr anpassen.

Das Erstellen der Instanz dauert einige Minuten. Danach steht die Instanz im Portal zur Verfügung und lässt sich über „Verwalten“ auch anpassen und steuern.

Nach der Microsoft Entra Domain Services Bereitstellung dauert es noch einige Zeit, bis auch die verwaltete Domäne einsatzbereit ist. Danach lassen sich die Einstellungen der Instanz im Webportal von Azure verwalten. Die Domänen-internen Einstellungen und die Benutzerkonten verwalten Sie direkt mit den Verwaltungstools aus Active Directory. Dazu müssen Sie zunächst einen Computer in die Domäne aufnehmen, und darauf die Verwaltungstools installieren.

AD und Entra ID Verwaltung delegieren

Dank Microsoft Entra Domain Services ist die Verwaltung der Identität in einer Hybridumgebung (Entra ID und Active Directory) einfacher. Die IT-Struktur wird jedoch noch komplexer. Nur Experten können Benutzerdaten und -zugriffe verwalten und aktualisieren. Dies führt zu einer Konzentration der Aufgaben in der IT-Abteilung. Je mehr sie überlastet ist, desto länger ist die Wartezeit für den Nutzer.

Eine Lösung, wie IDM-Portal Self Service, ermöglicht es Benutzern oder Managern, bestimmte Daten selbst zu ändern.
Die Änderungen werden automatisch in der richtigen Umgebung (AD, Entra ID, beides) vorgenommen. Für mehr Sicherheit können mit mehrstufigen Genehmigungs-Workflows, eine oder mehrere Personen eine E-Mail erhalten und die Änderung bestätigen. Alle Änderungen werden in Logs aufgelistet

IDM-Portal kennenlernen