Mobile-Menu

Vollständig verwaltetes Active Directory aus der Cloud Azure Active Directory Domain Services in der Praxis

Von Thomas Joos

Mit den Azure AD Domain Services können Organisationen ein Active Directory in der Cloud aufbauen, das im Gegensatz zu einem herkömmlichen Azure AD auch Gruppenrichtlinien, LDAP, NTLM und Kerberos unterstützt. Damit lassen sich auch ältere Anwendungen in die Cloud verlagern.

Anbieter zum Thema

Mit Azure Active Directory Domain Services lassen sich klassische Active-Directory-Funktionen in die Cloud verschieben und dort dirigieren.
Mit Azure Active Directory Domain Services lassen sich klassische Active-Directory-Funktionen in die Cloud verschieben und dort dirigieren.
(Bild: Pixabay - Geralt)

Organisationen, die in der Cloud Funktionen aus Active Directory nutzen, setzen normalerweise auf Azure AD. Allerdings kommen einige, oft ältere Anwendungen damit nicht zurecht. Aus diesem Grund stellt Microsoft mit Azure AD Directory Domain Service einen Dienst zur Verfügung, der quasi alle Funktionen aus Active Directory in der Cloud bereitstellt, ohne eigene Domänencontroller betreiben zu müssen. Der Dienst ist vollständig verwaltet. Mit den Azure AD Domain Services lassen sich auch LDAP, NTLM, Kerberos und Gruppenrichtlinien in der Cloud nutzen. Es gibt aber keine virtuellen Domänencontroller, die selbst verwaltet werden müssen.

Bildergalerie
Bildergalerie mit 14 Bildern

Verwaltungstools aus Active Directory in Azure AD Domain Services nutzen

Da es sich bei Azure AD Domain Services um ein in die Cloud verschobenes Active Directory mit von Microsoft verwalteten Domänencontrollern handelt, lassen sich auch die klassischen Verwaltungstools von Active Directory in der Cloud nutzen. Das gilt für die Verwaltung von Benutzern und Computern mit der Managementkonsole "Active Directory-Benutzer und -Computer" und das "Active Directory Admin Center". Zur Verwaltung ist die Installation eines Servers oder einer Arbeitsstation notwendig, auf der die Verwaltungstools installiert werden.

Computer im lokalen Rechenzentrum können genauso Mitglied einer verwalteten Instanz werden, wie VMs in Azure oder anderen Clouddiensten, wenn diese über Connectoren verknüpft sind. Vertrauensstellungen sind mit Azure AD Domain Services aber nicht möglich und die internen Einstellungen der Domäne wie Betriebsmaster, globaler Katalog, Schema oder Betriebsmodus sind nicht selbst konfigurierbar. In puncto Vertrauensstellungen gibt es aber die Möglichkeit, eine unidirektionale Gesamtstrukturvertrauensstellung zwischen einer Azure AD Domain Services-Instanz und einem lokalen Active Directory aufzubauen. Dazu kommen wir später noch.

Wer die genannten Funktionen uneingeschränkt nutzen will, installiert sich eine Azure-VM und betreibt darauf einen eigenen Domänencontroller für Active Directory. In diesem Fall besteht die Installation dann aus einer vollständigen Active-Directory-Gesamtstruktur in der Cloud.

Erstellen einer neuen Instanz für Azure AD Domain Services

Im Azure-Portal können auch mehreren Instanzen der Azure AD Domain Services erstellt werden, wenn das notwendig ist. Die Verwaltung findet über das Portal in Azure statt, in dem bei Azure AD Domain Services der Assistent mit "Erstellen" aufgerufen wird. Im ersten Schritt werden das verwendete Abo und die Ressourcengruppe ausgewählt, in der die neue Instanz erstellt werden soll. Auch der Domänennamen kann hier festgelegt werden. Genauso wie die Domänencontroller müssen auch die DNS-Server nicht selbst verwaltet werden.

Bei der Erstellung kann auch bereits festgelegt werden, ob es sich bei dieser Instanz um eine Gesamtstruktur für Benutzer handelt, oder ob die Gesamtstruktur als Ressourcen-Gesamtstruktur betrieben werden soll. Bei Benutzer-Gesamtstrukturen melden sich Benutzer an der Instanz an, um mit den Ressourcen in der Instanz zu arbeiten. Dazu müssen die Benutzerkonten nach der Einrichtung aus einem lokalen AD mit Azure AD Connect synchronisiert werden.

Bei den Ressourcen-Gesamtstrukturen melden sich Benutzer weiterhin am lokalen Active Directory an, greifen aber auf Ressourcen zu, die in der Azure AD Domain-Services-Instanz positioniert sind. Damit das funktioniert, wird eine unidirektionale Gesamtstrukturvertrauensstellung zwischen der Azure AD Domain Services Instanz und einer lokalen Active-Directory-Gesamtstruktur aufgebaut.

Azure AD Domain Services bei der Erstellung bereits konfigurieren

Neben dem DNS-Namen und dem Typ der neuen Gesamtstruktur (Benutzer oder Ressourcen) kann über den Assistenten auch ein virtuelles Netzwerk definiert werden, in dem die neue Instanz betrieben wird. Dazu kommt die Einstellung, welche Benutzerkonten Mitglied der Administratoren-Gruppe in Azure AD Domain Services werden sollen. Mitglieder lassen sich aber auch jederzeit nachträglich konfigurieren.

Bezüglich der Synchronisierung mit einem lokalen Active Directory kann bereits über den Assistenten festgelegt werden, ob nur einzelne Bereiche mit einem lokalen Active Directory synchronisiert werden sollen. Das ist sinnvoll, wenn nicht alle Benutzer aus Active Directory mit den Ressourcen in den Azure AD Domain Services arbeiten sollen, sondern nur bestimmte Gruppen.

Wichtig sind bei der Einrichtung auch die Sicherheitseinstellungen. Hier kann festgelegt werden, wie das Verhalten bezüglich NTLM v1 und TLS 1.2 sein soll. Auch die Synchronisierung von NTLM-Kennwörtern sind hier einstellbar. Das gilt auch für die Kerberos-Verschlüsselung und den Kerberos-Schutz.

Bevor die Umgebung erstellt wird, warnt der Assistent noch davor, dass sich verschiedene Einstellungen der Azure AD Domain Services-Instanz nach der Erstellung nicht mehr anpassen lassen. Dazu gehören:

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung
  • DNS-Name
  • Abonnement
  • Ressourcengruppe
  • Virtuelles Netzwerk
  • Subnetz
  • Gesamtstrukturtyp

Nach der Bestätigung der Auswahl beginnt die Bereitstellung. Diese kann bis zu einer Stunde dauern, da hier im Hintergrund viele Einstellungen notwendig sind. Sobald die Instanz bereitgestellt ist, erfolgt auch noch die Bereitstellung der verwalteten Domäne. Auch dieser Vorgang dauert eine Weile. Der Status ist in der Verwaltungswebseite im Azure-Portal zu sehen.

Bildergalerie
Bildergalerie mit 14 Bildern

Azure AD Domain Services verwalten und Diagnose erstellen

Sobald die Instanz bereitgestellt ist, kann es noch etwas dauern, bis auch die dazugehörige Domäne bereitgestellt ist. Die komplette Bereitstellung kann also durchaus 1-2 Stunden dauern. Erst danach ist die Domäne einsatzbereit.

Im Dashboard des Azure-Portals finden Sie den Status der Instanz bei der Verwaltung der Azure AD Domain Services-Instanzen. Über "Integrität anzeigen" zeigt das Portal Informationen und Warnungen an. Auf der linken Seite sind für alle Instanzen verschiedene Verwaltungsbereiche zu finden. Hier können zum Beispiel Vertrauensstellungen verwaltet, Secure LDAP konfiguriert und Replikationsgruppen angepasst werden.

Bei "Sicherheitseinstellungen" können die gleichen Optionen angepasst werden, die auch beim Erstellen der jeweiligen Instanz zur Verfügung stehen. Um die Objekte innerhalb einer Instanz zu verwalten, muss eine VM in der Domäne installiert werden. Auf dieser Instanz kann die Installation der Verwaltungstools von Active Directory erfolgen, genauso wie in lokalen Active Directory-Infrastrukturen. Die Einrichtung der VM beschreibt Microsoft in der Dokumentation auf der Seite "Tutorial: Erstellen einer Verwaltungs-VM zum Konfigurieren und Verwalten einer verwalteten Azure Active Directory Domain Services-Domäne".

Über den Menüpunkt "Konfigurationsdiagnose" und dann "Ausführen" können Admins überprüfen, ob die Einstellungen der Instanz korrekt sind. Findet die Diagnose Fehler, zeigt das Portal das in der Oberfläche an und in den meisten Fällen kann an dieser Stelle auch gleich eine Anpassung der Einstellungen erfolgen.

Bildergalerie
Bildergalerie mit 55 Bildern

(ID:48314542)