Was ist Microsoft Entra Domain Services?

Microsoft Entra Domain Services bietet verwaltete Domänendienste wie den Domänenbeitritt, Gruppenrichtlinien, das Lightweight Directory Access-Protokoll (LDAP) und die Kerberos/NTLM-Authentifizierung. Sie können diese Domänendienste nutzen, ohne Domänencontroller (DCs) in der Cloud bereitstellen, verwalten und patchen zu müssen.

Mit einer verwalteten Domain Services-Domäne können Sie Legacyanwendungen in der Cloud ausführen, für die keine modernen Authentifizierungsmethoden genutzt werden können oder bei denen Sie nicht möchten, dass Verzeichnissuchen immer in einer lokalen AD DS-Umgebung durchgeführt werden. Sie können diese Legacyanwendungen per Lift & Shift-Vorgang aus Ihrer lokalen Umgebung in eine verwaltete Domäne verschieben, ohne dass Sie die AD DS-Umgebung in der Cloud verwalten müssen.

Domain Services kann in Ihren vorhandenen Microsoft Entra-Mandanten integriert werden. Diese Integration ermöglicht es Benutzern, sich bei Diensten und Anwendungen, die mit der verwalteten Domäne verbunden sind, mithilfe ihrer vorhandenen Anmeldeinformationen anzumelden. Sie können auch vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen abzusichern. So können Sie für eine reibungslosere Lift & Shift-Migration lokaler Ressourcen zu Azure sorgen.

Sehen Sie sich das kurze Video an, um mehr über Domain Services zu erfahren.

Wie funktioniert Domain Services?

Nachdem Sie eine verwaltete Domain Services-Domäne erstellt haben, können Sie einen eindeutigen Namespace festlegen. Dieser Namespace ist der Domänenname, z. B. aaddscontoso.com. Anschließend werden zwei Windows Server-Domänencontroller (DCs) in Ihrer ausgewählten Azure-Region bereitgestellt. Diese Bereitstellung von Domänencontrollern wird als Replikatgruppe bezeichnet.

Sie müssen diese Domänencontroller nicht verwalten, konfigurieren oder aktualisieren. Die Azure-Plattform führt die Schritte für die Domänencontroller im Rahmen der verwalteten Domäne aus – einschließlich Sicherung und Verschlüsselung ruhender Daten mit Azure Disk Encryption.

Eine verwaltete Domäne ist so konfiguriert, dass sie eine unidirektionale Synchronisierung von Microsoft Entra ID durchführt, um Zugriff auf einen zentralen Satz mit Benutzern, Gruppen und Anmeldeinformationen zu ermöglichen. Sie können Ressourcen direkt in der verwalteten Domäne erstellen, die aber nicht erneut mit Microsoft Entra ID synchronisiert werden. Anwendungen, Dienste und VMs in Azure, die eine Verbindung mit der verwalteten Domäne herstellen, können gemeinsame AD DS-Features wie Domänenbeitritt, Gruppenrichtlinien, LDAP und Kerberos- bzw. NTLM-Authentifizierung nutzen.

In einer Hybridumgebung mit einer lokalen AD DS-Umgebung synchronisiert Microsoft Entra Connect Identitätsinformationen mit Microsoft Entra ID, die dann wiederum mit der verwalteten Domäne synchronisiert werden.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services repliziert Identitätsinformationen aus Microsoft Entra ID und lässt sich daher für rein cloudbasierte Microsoft Entra-Mandanten sowie für Mandanten einsetzen, die mit einer lokalen AD DS-Umgebung synchronisiert werden. Für beide Umgebungen stehen die gleichen Domain Services-Features zur Verfügung.

Sie können eine verwaltete Domäne erweitern, sodass mehrere Replikatgruppen pro Microsoft Entra-Mandant festgelegt sind. Replikatgruppen können einem beliebigen virtuellen Netzwerk mit Peering in einer beliebigen Azure-Region mit Domain Services-Unterstützung hinzugefügt werden. Durch zusätzliche Replikatgruppen in verschiedenen Azure-Regionen können Sie eine geografische Notfallwiederherstellung für Legacyanwendungen bereitstellen, wenn eine Azure-Region offline geschaltet wird. Weitere Informationen finden Sie unter Konzepte und Features von Replikatgruppen für Azure Active Directory Domain Services (Vorschau).

Im folgenden Video wird gezeigt, wie Domain Services zum Bereitstellen von Identitätsdiensten in der Cloud in Ihre Anwendungen und Workloads integriert wird:


Sie können die folgenden Beispiele nutzen, um sich über Szenarien für Domain Services-Bereitstellungen zu informieren:

Features und Vorteile von Domain Services

Domain Services bietet Identitätsdienste für Anwendungen und VMs in der Cloud. Dabei ist der Dienst bei Prozessen wie Domänenbeitritt, Secure LDAP (LDAPS), Gruppenrichtlinie, der Verwaltung von DNS sowie der Unterstützung für LDAP-basierte Bindungs- und Lesevorgänge vollständig kompatibel mit herkömmlichen AD DS-Umgebungen. Unterstützung für LDAP-Schreibvorgänge ist für Objekte verfügbar, die in der verwalteten Domäne erstellt wurden, aber nicht für Ressourcen, die aus Microsoft Entra ID synchronisiert wurden.

Weitere Informationen zu Ihren Identitätsoptionen finden Sie auf der Seite mit dem Vergleich von Domain Services mit Microsoft Entra ID, AD DS auf Azure-VMs und einer lokalen AD DS-Instanz.

Die folgenden Features von Domain Services vereinfachen die Bereitstellung und Verwaltung:

  • Vereinfachte Bereitstellung: Sie können Domain Services-Funktionen für Ihren Microsoft Entra-Mandanten über einen einzelnen Assistenten im Microsoft Entra Admin Center aktivieren.
  • Integration mit Microsoft Entra ID: Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen sind automatisch aus Ihrem Microsoft Entra-Mandanten verfügbar. Neue Benutzer*innen, neue Gruppen oder Änderungen an Attributen in Ihrem Microsoft Entra-Mandanten oder Ihrem lokalen AD DS-Verzeichnis werden automatisch mit Domain Services synchronisiert.
    • Konten in externen Verzeichnissen, die mit Ihrer Microsoft Entra-Instanz verknüpft sind, sind in Domain Services nicht verfügbar. Da für diese externen Verzeichnisse keine Anmeldeinformationen verfügbar sind, können sie nicht mit einer verwalteten Domäne synchronisiert werden.
  • Verwenden Ihrer Unternehmensanmeldeinformationen/-kennwörter: Kennwörter für Benutzer*innen in Domain Services sind mit denen in Ihrem Microsoft Entra-Mandanten identisch. Benutzer können ihre Unternehmensanmeldeinformationen verwenden, um Computer in die Domäne aufzunehmen, sich interaktiv anzumelden oder Remotedesktop zu nutzen und die Authentifizierung gegenüber der verwalteten Domäne durchzuführen.
  • NTLM- und Kerberos-Authentifizierung: Durch die Unterstützung der NTLM- und Kerberos-Authentifizierung können Sie Anwendungen bereitstellen, die auf der integrierten Windows-Authentifizierung beruhen.
  • Hochverfügbarkeit: Domain Services umfasst mehrere Domänencontroller, die Hochverfügbarkeit für Ihre verwaltete Domäne bereitstellen. Diese Hochverfügbarkeit garantiert eine hohe Betriebszeit der Dienste und Ausfallsicherheit bei Fehlern.
    • In Regionen, die Azure-Verfügbarkeitszonen unterstützen, werden diese Domänencontroller für zusätzliche Resilienz ebenfalls über Zonen hinweg verteilt.
    • Replikatgruppen können auch verwendet werden, um eine geografische Notfallwiederherstellung für Legacyanwendungen für den Fall bereitzustellen, dass eine Azure-Region in den Offlinezustand versetzt wird.

Einige wichtige Aspekte einer verwalteten Domäne sind:

  • Die verwaltete Domäne ist eine eigenständige Domäne. Es handelt sich nicht um eine Erweiterung einer lokalen Domäne.
  • Ihr IT-Team muss keine Domänencontroller für die verwaltete Domäne verwalten, patchen oder überwachen.

In Hybridumgebungen, in denen AD DS lokal ausgeführt wird, müssen Sie sich nicht um die AD-Replikation in der verwalteten Domäne kümmern. Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen aus Ihrem lokalen Verzeichnis werden über Microsoft Entra Connect mit Microsoft Entra ID synchronisiert. Diese Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen stehen innerhalb der verwalteten Domäne automatisch zur Verfügung.

Nächste Schritte

Einen Vergleich zwischen Domain Services und anderen Identitätslösungen sowie Informationen zur Funktionsweise der Synchronisierung finden Sie in den folgenden Artikeln:

Erstellen Sie zum Einstieg über das Microsoft Entra Admin Center eine verwaltete Domäne.