:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/97/d7/97d7bd621fd98cd012e2b925ef866a67/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/70/c6/70c6d758eb0048f37eaea7997018042e/0114039013.jpeg "Die Mobile Autonomous Prospecting Platform (MAPP), ein Rover von Lunar Outpost, mit ausgefahrenen Nokia-Antennen. (Bild: Intuitive Machines / Lunar Outpost / Nokia Bell Labs)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/74/be/74be7356ac7dd22816ff8cbf6432b34d/0113402444.jpeg "IT-Abteilungen sollten sich möglichst zeitnah Gedanken machen, wie es nach dem Supportende der Windows-10/11-Versionen 22H2 weitergeht. (Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/dc/90dcb3db29933ec6f2a637a1ff835e17/0113368256.jpeg "Produktives Arbeiten ist nur in einer Umgebung möglich, in der sich die Mitarbeitenden wohlfühlen. (Bild: NTT)")
:quality(80)/p7i.vogel.de/wcms/68/bb/68bb812210f2315fde2d5cad1a497f60/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/23/ab23a4237b362bc1a68c37ce857aa338/0113384399.jpeg "Wer sich jetzt schon mit den neuen Vorgaben der NIS2 auseinandersetzt und handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Vollständig verwaltetes Active Directory aus der Cloud Azure Active Directory Domain Services in der Praxis
Mit den Azure AD Domain Services können Organisationen ein Active Directory in der Cloud aufbauen, das im Gegensatz zu einem herkömmlichen Azure AD auch Gruppenrichtlinien, LDAP, NTLM und Kerberos unterstützt. Damit lassen sich auch ältere Anwendungen in die Cloud verlagern.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Organisationen, die in der Cloud Funktionen aus Active Directory nutzen, setzen normalerweise auf Azure AD. Allerdings kommen einige, oft ältere Anwendungen damit nicht zurecht. Aus diesem Grund stellt Microsoft mit Azure AD Directory Domain Service einen Dienst zur Verfügung, der quasi alle Funktionen aus Active Directory in der Cloud bereitstellt, ohne eigene Domänencontroller betreiben zu müssen. Der Dienst ist vollständig verwaltet. Mit den Azure AD Domain Services lassen sich auch LDAP, NTLM, Kerberos und Gruppenrichtlinien in der Cloud nutzen. Es gibt aber keine virtuellen Domänencontroller, die selbst verwaltet werden müssen.
:quality(80)/images.vogel.de/vogelonline/bdb/1964100/1964158/original.jpg "Verwaltungswebseite der Azure AD Domain Services.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964100/1964159/original.jpg "Erstellen einer neuen Instanz der Azure AD Domain Services.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964100/1964160/original.jpg "Festlegen des Gesamtstrukturtyps der neuen Instanz von Azure AD Domain Services.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964100/1964161/original.jpg "Konfigurieren der Berechtigungen einer Instanz der Azure AD Domain Services.")
Verwaltungstools aus Active Directory in Azure AD Domain Services nutzen
Da es sich bei Azure AD Domain Services um ein in die Cloud verschobenes Active Directory mit von Microsoft verwalteten Domänencontrollern handelt, lassen sich auch die klassischen Verwaltungstools von Active Directory in der Cloud nutzen. Das gilt für die Verwaltung von Benutzern und Computern mit der Managementkonsole "Active Directory-Benutzer und -Computer" und das "Active Directory Admin Center". Zur Verwaltung ist die Installation eines Servers oder einer Arbeitsstation notwendig, auf der die Verwaltungstools installiert werden.
Computer im lokalen Rechenzentrum können genauso Mitglied einer verwalteten Instanz werden, wie VMs in Azure oder anderen Clouddiensten, wenn diese über Connectoren verknüpft sind. Vertrauensstellungen sind mit Azure AD Domain Services aber nicht möglich und die internen Einstellungen der Domäne wie Betriebsmaster, globaler Katalog, Schema oder Betriebsmodus sind nicht selbst konfigurierbar. In puncto Vertrauensstellungen gibt es aber die Möglichkeit, eine unidirektionale Gesamtstrukturvertrauensstellung zwischen einer Azure AD Domain Services-Instanz und einem lokalen Active Directory aufzubauen. Dazu kommen wir später noch.
Wer die genannten Funktionen uneingeschränkt nutzen will, installiert sich eine Azure-VM und betreibt darauf einen eigenen Domänencontroller für Active Directory. In diesem Fall besteht die Installation dann aus einer vollständigen Active-Directory-Gesamtstruktur in der Cloud.
Erstellen einer neuen Instanz für Azure AD Domain Services
Im Azure-Portal können auch mehreren Instanzen der Azure AD Domain Services erstellt werden, wenn das notwendig ist. Die Verwaltung findet über das Portal in Azure statt, in dem bei Azure AD Domain Services der Assistent mit "Erstellen" aufgerufen wird. Im ersten Schritt werden das verwendete Abo und die Ressourcengruppe ausgewählt, in der die neue Instanz erstellt werden soll. Auch der Domänennamen kann hier festgelegt werden. Genauso wie die Domänencontroller müssen auch die DNS-Server nicht selbst verwaltet werden.
Bei der Erstellung kann auch bereits festgelegt werden, ob es sich bei dieser Instanz um eine Gesamtstruktur für Benutzer handelt, oder ob die Gesamtstruktur als Ressourcen-Gesamtstruktur betrieben werden soll. Bei Benutzer-Gesamtstrukturen melden sich Benutzer an der Instanz an, um mit den Ressourcen in der Instanz zu arbeiten. Dazu müssen die Benutzerkonten nach der Einrichtung aus einem lokalen AD mit Azure AD Connect synchronisiert werden.
Bei den Ressourcen-Gesamtstrukturen melden sich Benutzer weiterhin am lokalen Active Directory an, greifen aber auf Ressourcen zu, die in der Azure AD Domain-Services-Instanz positioniert sind. Damit das funktioniert, wird eine unidirektionale Gesamtstrukturvertrauensstellung zwischen der Azure AD Domain Services Instanz und einer lokalen Active-Directory-Gesamtstruktur aufgebaut.
Azure AD Domain Services bei der Erstellung bereits konfigurieren
Neben dem DNS-Namen und dem Typ der neuen Gesamtstruktur (Benutzer oder Ressourcen) kann über den Assistenten auch ein virtuelles Netzwerk definiert werden, in dem die neue Instanz betrieben wird. Dazu kommt die Einstellung, welche Benutzerkonten Mitglied der Administratoren-Gruppe in Azure AD Domain Services werden sollen. Mitglieder lassen sich aber auch jederzeit nachträglich konfigurieren.
Bezüglich der Synchronisierung mit einem lokalen Active Directory kann bereits über den Assistenten festgelegt werden, ob nur einzelne Bereiche mit einem lokalen Active Directory synchronisiert werden sollen. Das ist sinnvoll, wenn nicht alle Benutzer aus Active Directory mit den Ressourcen in den Azure AD Domain Services arbeiten sollen, sondern nur bestimmte Gruppen.
Wichtig sind bei der Einrichtung auch die Sicherheitseinstellungen. Hier kann festgelegt werden, wie das Verhalten bezüglich NTLM v1 und TLS 1.2 sein soll. Auch die Synchronisierung von NTLM-Kennwörtern sind hier einstellbar. Das gilt auch für die Kerberos-Verschlüsselung und den Kerberos-Schutz.
Bevor die Umgebung erstellt wird, warnt der Assistent noch davor, dass sich verschiedene Einstellungen der Azure AD Domain Services-Instanz nach der Erstellung nicht mehr anpassen lassen. Dazu gehören:
- DNS-Name
- Abonnement
- Ressourcengruppe
- Virtuelles Netzwerk
- Subnetz
- Gesamtstrukturtyp
Nach der Bestätigung der Auswahl beginnt die Bereitstellung. Diese kann bis zu einer Stunde dauern, da hier im Hintergrund viele Einstellungen notwendig sind. Sobald die Instanz bereitgestellt ist, erfolgt auch noch die Bereitstellung der verwalteten Domäne. Auch dieser Vorgang dauert eine Weile. Der Status ist in der Verwaltungswebseite im Azure-Portal zu sehen.
Azure AD Domain Services verwalten und Diagnose erstellen
Sobald die Instanz bereitgestellt ist, kann es noch etwas dauern, bis auch die dazugehörige Domäne bereitgestellt ist. Die komplette Bereitstellung kann also durchaus 1-2 Stunden dauern. Erst danach ist die Domäne einsatzbereit.
Im Dashboard des Azure-Portals finden Sie den Status der Instanz bei der Verwaltung der Azure AD Domain Services-Instanzen. Über "Integrität anzeigen" zeigt das Portal Informationen und Warnungen an. Auf der linken Seite sind für alle Instanzen verschiedene Verwaltungsbereiche zu finden. Hier können zum Beispiel Vertrauensstellungen verwaltet, Secure LDAP konfiguriert und Replikationsgruppen angepasst werden.
Bei "Sicherheitseinstellungen" können die gleichen Optionen angepasst werden, die auch beim Erstellen der jeweiligen Instanz zur Verfügung stehen. Um die Objekte innerhalb einer Instanz zu verwalten, muss eine VM in der Domäne installiert werden. Auf dieser Instanz kann die Installation der Verwaltungstools von Active Directory erfolgen, genauso wie in lokalen Active Directory-Infrastrukturen. Die Einrichtung der VM beschreibt Microsoft in der Dokumentation auf der Seite "Tutorial: Erstellen einer Verwaltungs-VM zum Konfigurieren und Verwalten einer verwalteten Azure Active Directory Domain Services-Domäne".
Über den Menüpunkt "Konfigurationsdiagnose" und dann "Ausführen" können Admins überprüfen, ob die Einstellungen der Instanz korrekt sind. Findet die Diagnose Fehler, zeigt das Portal das in der Oberfläche an und in den meisten Fällen kann an dieser Stelle auch gleich eine Anpassung der Einstellungen erfolgen.
:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
(ID:48314542)
:quality(80)/p7i.vogel.de/wcms/74/25/7425e4bbf0bfdf715a23765e315813a3/0113189831.jpeg "Azure AD – also das Active Directory in der Cloud – bietet viele Vorteile gegenüber dem On-Premises AD – also dem Active Directory im lokalen Netz. Dennoch gibt es Funktionen und Features, die sich mit dem Cloud-AD nicht abbilden lassen! (Bild: © tiero - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/47/ec47419d9b70a755c7abecf3d31fc3fc/0108032744.jpeg "Neben dem Betrieb einer eigenen AD-Gesamtstruktur in Azure, ist es auch möglich, einen zusätzlichen Domänencontroller von vorhandenen Domänen in der Cloud zu installieren. (Bild: Joos / Microsoft)")