Microsoft Entra Domain Services Microsoft Entra Domain Services
Verwaltete DomÀne, Kerberos, NTLM, LDAP/LDAPS, Gruppenrichtlinien, Replica Sets, Hash-Synchronisierung und Migrationsleitfaden. Managed domain, Kerberos, NTLM, LDAP/LDAPS, Group Policy, replica sets, hash synchronization, and migration guidance.
Verwaltete DomÀne
Managed domain
Microsoft betreibt DomÀnencontroller, Replikation, Patching und Monitoring als Plattformdienst. Microsoft operates domain controllers, replication, patching, and monitoring as a platform service.
Legacy-Protokolle
Legacy protocols
Kerberos, NTLM, LDAP und Gruppenrichtlinien erlauben Lift-and-Shift fĂŒr Ă€ltere Anwendungen. Kerberos, NTLM, LDAP, and Group Policy enable lift-and-shift for older applications.
Dediziertes Netzwerk
Dedicated networking
Eine eigene Subnetzplanung, DNS-Ausrichtung und kontrollierte NSG-Regeln sind Pflicht. Dedicated subnet planning, DNS alignment, and controlled NSG rules are mandatory.
Hybrid-Migration
Hybrid migration
Geeignet fĂŒr Anwendungen, die AD DS erwarten, aber keine eigenen DCs in Azure benötigen. Ideal for applications that expect AD DS but do not need customer-managed DCs in Azure.
Was ist Microsoft Entra Domain Services? What is Microsoft Entra Domain Services?
Microsoft Entra Domain Services stellt eine verwaltete Active-Directory-kompatible DomĂ€ne in Azure bereit. Der Dienst synchronisiert Benutzer, Gruppen und Kennworthashes aus Microsoft Entra ID in einen verwalteten Verzeichnisbestand, ohne dass Administratoren DomĂ€nencontroller bereitstellen oder patchen mĂŒssen. Microsoft Entra Domain Services provides a managed Active Directory compatible domain in Azure. The service synchronizes users, groups, and password hashes from Microsoft Entra ID into a managed directory store without requiring administrators to deploy or patch domain controllers.
Typische EinsatzfÀlle sind Legacy-Anwendungen mit LDAP- oder Kerberos-AbhÀngigkeiten, virtuelle Maschinen in Azure, Lift-and-Shift-Migrationen und Szenarien, in denen DomÀnenbeitritt oder Gruppenrichtlinien benötigt werden, aber klassische AD-DS-Betriebsaufgaben vermieden werden sollen. Typical use cases are legacy applications with LDAP or Kerberos dependencies, Azure virtual machines, lift-and-shift migrations, and scenarios that need domain join or Group Policy while avoiding traditional AD DS operational overhead.
âčïž Designgrundsatz
âčïž Design principle
Entra Domain Services ist kein vollwertiger Ersatz fĂŒr alle AD-DS-Szenarien. Der Dienst ist fĂŒr KompatibilitĂ€t mit identitĂ€tsbezogenen Windows-Funktionen optimiert, nicht fĂŒr Schema-Anpassungen oder komplexe Forest-Topologien. Entra Domain Services is not a full replacement for every AD DS scenario. The service is optimized for compatibility with identity-centric Windows features, not for schema customization or complex forest topologies.
| Baustein Component | Beschreibung Description | Betriebsrelevanz Operational relevance |
|---|---|---|
| Managed Domain Managed domain | Vom Dienst verwaltete AD-DomÀne mit Microsoft-gemanagten DomÀnencontrollern. Service-managed AD domain with Microsoft-managed domain controllers. | Kein VM-Zugriff auf DCs, kein Patch- oder Backup-Management durch den Kunden. No VM access to DCs; no patching or backup management by the customer. |
| Replica Set Replica set | Paar aus DomĂ€nencontrollern pro Region oder virtuellem Netzwerk-Scope. Pair of domain controllers per region or virtual network scope. | Ermöglicht HochverfĂŒgbarkeit und zusĂ€tzliche Reichweite fĂŒr Anwendungen. Provides high availability and extended reach for applications. |
| Synchronisierungsdienst Synchronization service | ĂbertrĂ€gt Benutzer, Gruppen und Kennworthashes aus Entra ID in die verwaltete DomĂ€ne. Transfers users, groups, and password hashes from Entra ID into the managed domain. | Hash-AktualitĂ€t und Attributfluss sind zentral fĂŒr Logon und LDAP-Abfragen. Hash freshness and attribute flow are critical for logon and LDAP queries. |
| AAD DC Administrators AAD DC Administrators | Spezielle Gruppe fĂŒr delegierte Verwaltungsrechte innerhalb der verwalteten OU-Struktur. Special group for delegated administrative rights inside the managed OU structure. | Erforderlich fĂŒr Gruppenrichtlinien, OU-Verwaltung und DomĂ€nenbeitritt. Required for Group Policy, OU administration, and domain join. |
| Virtuelles Netzwerk Virtual network | Anwendungs-VMs mĂŒssen den DNS des Managed Domain verwenden. Application VMs must use the managed domain DNS. | Falsche DNS-Weiterleitung ist die hĂ€ufigste Ursache fĂŒr Join- und LDAP-Probleme. Incorrect DNS forwarding is the most common cause of join and LDAP issues. |
| Health Monitoring Health monitoring | Dienstinterne PrĂŒfungen plus Azure Monitor und AktivitĂ€tsprotokolle. Built-in service checks plus Azure Monitor and activity logs. | Wichtig fĂŒr Replikationsfehler, Kennwortsynchronisierung und LDAPS-Zertifikate. Important for replication failures, password sync issues, and LDAPS certificates. |
Bereitstellungsvoraussetzungen und Deployment Prerequisites and deployment
| Voraussetzung Prerequisite | Details Details | Hinweis Note |
|---|---|---|
| Tenant Tenant | Ein Microsoft-Entra-Tenant mit globalen oder privilegierten Berechtigungen fĂŒr die Erstbereitstellung. A Microsoft Entra tenant with global or privileged rights for initial deployment. | Die verwaltete DomĂ€ne wird an den Tenant gekoppelt und kann spĂ€ter nicht in einen anderen Tenant verschoben werden. The managed domain is coupled to the tenant and cannot later be moved to another tenant. |
| Virtuelles Netzwerk Virtual network | Azure-VNet im Zielabonnement; das Subnetz ist ausschlieĂlich fĂŒr den Dienst reserviert. Azure VNet in the target subscription; the subnet is reserved exclusively for the service. | Keine Workload-VMs oder Appliances im AADDS-Subnetz platzieren. Do not place workload VMs or appliances in the AADDS subnet. |
| Dediziertes Subnetz Dedicated subnet | Eigenes Subnetz ohne andere Ressourcen, keine benutzerdefinierte Delegierung. Dedicated subnet with no other resources and no custom delegation. | Ănderungen an AdressrĂ€umen spĂ€ter sind aufwendig und risikobehaftet. Changing address ranges later is complex and risky. |
| DNS-Plan DNS plan | Nach Aktivierung mĂŒssen Arbeitslasten die vom Dienst veröffentlichten DNS-IP-Adressen verwenden. After activation, workloads must use the DNS IP addresses published by the service. | Bei Hub-and-Spoke ist DNS-Forwarding frĂŒh zu entwerfen. For hub-and-spoke, design DNS forwarding early. |
| Kennworthashes Password hashes | Benutzer benötigen kompatible Kennworthashes in Entra ID; nach Aktivierung eventuell PasswortĂ€nderung erforderlich. Users need compatible password hashes in Entra ID; after activation a password change may be required. | Gilt besonders fĂŒr Ă€ltere synchronisierte Konten, die noch nie Cloud-Hashmaterial erzeugt haben. Especially relevant for older synced accounts that never generated cloud hash material. |
| Berechtigungen Permissions | Ressourcengruppe, Netzwerk und verwaltete IdentitĂ€ten mĂŒssen im Abonnement anlegbar sein. Resource group, network, and managed identities must be creatable in the subscription. | FĂŒr IaC empfiehlt sich eine dedizierte BereitstellungsidentitĂ€t. For IaC, use a dedicated deployment identity. |
| SKU SKU | Standard oder Enterprise abhĂ€ngig von Skalierung, Topologie und Zusatzfunktionen. Standard or Enterprise depending on scale, topology, and advanced capabilities. | Enterprise ist fĂŒr gröĂere und komplexere Bereitstellungen vorgesehen. Enterprise targets larger and more complex deployments. |
| Region Region | Die Region des Managed Domain muss zur Applikationslatenz und zum Netzdesign passen. The managed domain region must fit application latency and network design. | Replica Sets können die Reichweite erweitern, ersetzen aber kein sauberes Netzwerkdesign. Replica sets extend reach but do not replace good network design. |
- Erstelle Ressourcengruppe, VNet und dediziertes Subnetz mit ausreichend freiem Adressraum. Create the resource group, VNet, and dedicated subnet with sufficient free address space.
- PrĂŒfe, dass keine benutzerdefinierten DNS-Server oder NSGs den spĂ€teren DC-Datenverkehr blockieren. Verify that custom DNS servers or NSGs do not block later DC traffic.
- Aktiviere Microsoft Entra Domain Services im gewĂŒnschten Abonnement und in der Zielregion. Enable Microsoft Entra Domain Services in the desired subscription and target region.
- Warte auf die erste Bereitstellung und dokumentiere die bereitgestellten DNS-IP-Adressen. Wait for initial provisioning and document the published DNS IP addresses.
- Setze auf Arbeitslast-Subnetzen die DNS-Server auf die verwaltete DomĂ€ne oder einen Forwarder dafĂŒr. Set workload subnet DNS servers to the managed domain or a forwarder that targets it.
- FĂŒhre PasswortĂ€nderungen oder Passwort-Hash-Initialisierung fĂŒr betroffene Konten durch. Trigger password changes or password hash initialization for affected accounts.
- Teste DomÀnenbeitritt, Kerberos, LDAP-Abfragen und Gruppenrichtlinien mit Pilot-VMs. Test domain join, Kerberos, LDAP queries, and Group Policy with pilot VMs.
- Aktiviere Monitoring, Warnungen und ZertifikatsĂŒberwachung vor Produktionsfreigabe. Enable monitoring, alerts, and certificate surveillance before production go-live.
PowerShell
PowerShell
Import-Module Az.Accounts
Import-Module Az.ADDomainServices
Connect-AzAccount
Select-AzSubscription -SubscriptionId "00000000-0000-0000-0000-000000000000"
$params = @{
ResourceGroupName = "rg-aadds-prod"
Name = "aadds-contoso"
DomainName = "corp.contoso.com"
Location = "westeurope"
Sku = "Enterprise"
SubnetId = "/subscriptions/.../subnets/aadds-subnet"
}
New-AzADDomainService @paramsNetzwerk-, DNS- und SKU-Design Networking, DNS, and SKU design
| Aspekt Aspect | Empfehlung Recommendation | Warum Why it matters |
|---|---|---|
| SubnetzgröĂe Subnet size | Plane Reserven fĂŒr den Dienst und zukĂŒnftige Ănderungen ein; kein ĂŒberfĂŒlltes /29-Design. Plan headroom for the service and future changes; avoid an overcrowded /29 design. | Adressmangel erschwert spĂ€tere Skalierung und Fehlersuche. Address scarcity complicates future scaling and troubleshooting. |
| NSG-Regeln NSG rules | Erlaube die von Microsoft dokumentierten Management- und Verzeichnisports; blockiere nichts pauschal. Allow Microsoft-documented management and directory ports; avoid blanket blocks. | Zu restriktive NSGs verursachen Join-, LDAP- und Replikationsprobleme. Overly restrictive NSGs cause join, LDAP, and replication issues. |
| DNS-Forwarder DNS forwarder | Nutze in Hub-and-Spoke einen zentralen DNS-Forwarder oder Azure DNS Private Resolver. Use a central DNS forwarder or Azure DNS Private Resolver in hub-and-spoke. | Anwendungen benötigen konsistente Auflösung fĂŒr die verwaltete DomĂ€ne. Applications need consistent name resolution for the managed domain. |
| Peering Peering | Peerte VNets mĂŒssen DNS und erlaubte Ports transportieren. Peered VNets must carry DNS and allowed ports. | Peering allein ersetzt keine DNS-Konfiguration. Peering alone does not replace DNS configuration. |
| ExpressRoute/VPN ExpressRoute/VPN | Hybrid-Szenarien brauchen bidirektionale Namensauflösung und routbare Pfade. Hybrid scenarios need bidirectional name resolution and routable paths. | Viele Fehler liegen in asymmetrischer Erreichbarkeit oder split-brain DNS. Many failures stem from asymmetric reachability or split-brain DNS. |
| Standard-SKU Standard SKU | FĂŒr kleine bis mittlere, einregionale Bereitstellungen mit Grundfunktionen. For small to midsize single-region deployments with core capabilities. | Kosteneffizient fĂŒr klassische Lift-and-Shift-Workloads. Cost efficient for classic lift-and-shift workloads. |
| Enterprise-SKU Enterprise SKU | FĂŒr gröĂere Objektzahlen, komplexe Topologien und zusĂ€tzliche Replica Sets oder Resource Forest. For larger object counts, complex topologies, and additional replica sets or resource forest. | UnterstĂŒtzt anspruchsvollere Unternehmensszenarien. Supports more demanding enterprise scenarios. |
| Kriterium Criterion | Standard Standard | Enterprise Enterprise |
|---|---|---|
| PrimĂ€rer Fokus Primary focus | Kernfunktionen, eine verwaltete DomĂ€ne, Basis-HA. Core capabilities, one managed domain, baseline HA. | GröĂere Skalierung, mehr FlexibilitĂ€t und erweiterte Topologien. Higher scale, more flexibility, and advanced topologies. |
| Replica Sets Replica sets | Basisbereitstellung; zusĂ€tzliche Reichweite abhĂ€ngig von aktuellem Dienststand. Baseline deployment; additional reach depends on current service state. | Mehrregionale oder zusĂ€tzliche Replica-Set-Szenarien fĂŒr NĂ€he zu Workloads. Multi-region or extra replica-set scenarios for workload proximity. |
| Topologie Topology | User-Forest-orientierte Standardszenarien. User-forest-oriented standard scenarios. | Resource-Forest-Szenarien und gröĂere Mandanten. Resource-forest scenarios and larger tenants. |
| Betriebsmodell Operating model | Einfacher Einstieg, geringere Kosten. Simpler entry point, lower cost. | Mehr Governance- und Skalierungsoptionen. More governance and scaling options. |
| Typische Nutzung Typical use | Pilot, kleine Legacy-App-Portfolios, Dev/Test. Pilot, small legacy app portfolios, dev/test. | Produktion, groĂe Portfolios, mehr Netzsegmente, strenge SLAs. Production, large portfolios, more network segments, stricter SLAs. |
Authentifizierung, Funktionen und Forest-Topologien Authentication, features, and forest topologies
| Feature Feature | UnterstĂŒtzung Support | Praxis Operational use |
|---|---|---|
| Kerberos Kerberos | UnterstĂŒtzt fĂŒr Windows-Logon und Kerberos-fĂ€hige Anwendungen. Supported for Windows logon and Kerberos-capable applications. | Wichtig fĂŒr SMB, IIS Integrated Auth und klassische Server-Apps. Important for SMB, IIS integrated auth, and classic server apps. |
| NTLM NTLM | UnterstĂŒtzt fĂŒr Ă€ltere Anwendungen und Fallback-Szenarien. Supported for legacy applications and fallback scenarios. | Nur dort nutzen, wo Modernisierung kurzfristig nicht möglich ist. Use only where modernization is not feasible in the short term. |
| LDAP LDAP | Klartext-LDAP nur intern im VNet; Produktionsdesign bevorzugt LDAPS. Plain LDAP only inside the VNet; production design should prefer LDAPS. | Viele Legacy-Apps benötigen einfache Such- und Bind-Operationen. Many legacy apps require simple search and bind operations. |
| Secure LDAP Secure LDAP | UnterstĂŒtzt via Port 636 mit Kunden- oder verwaltetem Zertifikat. Supported over port 636 with customer or managed certificate. | Erforderlich fĂŒr sichere Bindings aus nicht vertrauenswĂŒrdigen Segmenten. Required for secure binds from less trusted segments. |
| Gruppenrichtlinien Group Policy | UnterstĂŒtzt innerhalb der delegierten OU-Struktur. Supported inside the delegated OU structure. | Hilfreich fĂŒr Baselines, Skripte und Legacy-Management. Useful for baselines, scripts, and legacy management. |
| DomÀnenbeitritt Domain join | Windows- und Linux-VMs können der verwalteten DomÀne beitreten. Windows and Linux VMs can join the managed domain. | Benötigt korrekte DNS-Auflösung und Delegationsgruppe. Requires correct DNS resolution and delegated admin group. |
| User Forest User forest | Standardmodell mit direktem Bezug zu synchronisierten Benutzerobjekten. Default model directly tied to synchronized user objects. | Am einfachsten fĂŒr schnelle Inbetriebnahme. Easiest for quick onboarding. |
| Resource Forest Resource forest | Getrennter Ressourcenforest fĂŒr stĂ€rkere Trennung und bestimmte Enterprise-Szenarien. Separate resource forest for stronger separation and specific enterprise scenarios. | Geeignet bei M&A, Hosting und Trennung zwischen IdentitĂ€t und Ressourcen. Useful for M&A, hosting, and separation of identity from resources. |
| Topologie Topology | Wann sinnvoll When to use it | Wichtige EinschrÀnkung Key limitation |
|---|---|---|
| User Forest User forest | Wenn Benutzerobjekte direkt in der verwalteten DomÀne sichtbar sein sollen und kein zusÀtzlicher Forest benötigt wird. When user objects should be directly visible in the managed domain and no extra forest is needed. | Keine klassischen DomÀnentrusts in diesem Modus. No traditional domain trusts in this mode. |
| Resource Forest Resource forest | Wenn Anwendungen Ressourcenobjekte benötigen, aber BenutzeridentitĂ€ten in Entra ID getrennt bleiben sollen. When applications need resource objects while user identities stay separated in Entra ID. | Mehr Planungsaufwand fĂŒr Anwendungen, Berechtigungen und NamensrĂ€ume. Requires more planning for applications, permissions, and namespaces. |
Kennworthash-Synchronisierung und Richtlinien Password hash synchronization and policies
Entra Domain Services nutzt kompatible Kennworthashes aus Entra ID. FĂŒr Konten, die vor der Aktivierung noch nie Cloud-Hashmaterial erzeugt haben, ist hĂ€ufig eine PasswortĂ€nderung oder ein gezieltes ZurĂŒcksetzen erforderlich, damit Kerberos und NTLM in der verwalteten DomĂ€ne funktionieren. Entra Domain Services uses compatible password hashes from Entra ID. For accounts that never generated cloud hash material before activation, a password change or targeted reset is often required so Kerberos and NTLM can work inside the managed domain.
| Thema Topic | Wie es funktioniert How it works | Betrieblicher Hinweis Operational note |
|---|---|---|
| Hash-Generierung Hash generation | Kennworthashmaterial wird in Entra ID vorbereitet und in die verwaltete DomÀne repliziert. Password hash material is prepared in Entra ID and replicated into the managed domain. | Kein direkter Zugriff auf den Hash-Speicher des Diensts. No direct access to the service hash store. |
| PasswortÀnderung Password change | Löst bei Bedarf die Neuerzeugung kompatibler Hashes aus. Can trigger regeneration of compatible hashes when required. | Bei Pilotprojekten immer mit Testkonten verifizieren. Always validate with pilot accounts. |
| KomplexitĂ€t Complexity | Die effektive Richtlinie orientiert sich an den unterstĂŒtzten AD-DS-Richtlinien des verwalteten Diensts. Effective policy follows supported AD DS style rules inside the managed service. | Feingranulare Kennwortrichtlinien sind nicht beliebig wie on-prem anpassbar. Fine-grained password policies are not endlessly customizable as on-prem. |
| Lockout Lockout | Klassische DomĂ€nen-Lockout-Effekte bleiben relevant fĂŒr Legacy-Protokolle. Traditional domain lockout effects still matter for legacy protocols. | Monitoring von Fehlanmeldungen ist wichtig fĂŒr Helpdesk und Sicherheit. Monitoring failed logons is important for helpdesk and security. |
| SSPR SSPR | Self-Service Password Reset wirkt auf Entra ID und damit indirekt auf spĂ€tere Hash-Synchronisierung. Self-Service Password Reset affects Entra ID and therefore later hash synchronization. | Kommunikation an Benutzer reduziert EinfĂŒhrungsprobleme. User communication reduces rollout issues. |
| FGPP FGPP | Fine-grained password policy UnterstĂŒtzung ist eingeschrĂ€nkt und folgt dem verwalteten Plattformmodell. Fine-grained password policy support is limited and follows the managed platform model. | Spezialanforderungen vorab gegen die aktuelle Dienstmatrix prĂŒfen. Validate special requirements against the current service matrix up front. |
UnterstĂŒtzte und nicht unterstĂŒtzte Funktionen Supported and unsupported capabilities
| UnterstĂŒtzt Supported | Beschreibung Description | Kommentar Comment |
|---|---|---|
| DomÀnenbeitritt Domain join | Windows Server, Windows Client und gÀngige Linux-Distributionen können beitreten. Windows Server, Windows Client, and common Linux distributions can join. | Immer zuerst mit einer Pilot-OU testen. Always validate with a pilot OU first. |
| LDAP-Abfragen LDAP queries | Lesen, Suchen und Bind fĂŒr kompatible Anwendungen. Read, search, and bind for compatible applications. | FĂŒr unsichere Segmente nur LDAPS freigeben. Expose only LDAPS for less trusted segments. |
| Gruppenrichtlinien Group Policy | GPMC-Verwaltung in delegierten OUs. GPMC management in delegated OUs. | Root-OU bleibt vom Dienst kontrolliert. The root OU remains service controlled. |
| Kerberos/NTLM Kerberos/NTLM | Legacy-Authentifizierung fĂŒr Workloads in Azure. Legacy authentication for workloads in Azure. | Modern Auth trotzdem bevorzugen, wo möglich. Still prefer modern auth where possible. |
| OU-Verwaltung unterhalb delegierter OUs OU management below delegated OUs | Eigene Unter-OUs in den verwalteten Containern sind erlaubt. Custom child OUs in delegated containers are allowed. | Nicht auf Root-Ebene. Not at root level. |
| Secure LDAP Secure LDAP | TLS-geschĂŒtzte LDAP-Kommunikation mit Zertifikat. TLS-protected LDAP communication with certificate. | Zertifikatserneuerung operationalisieren. Operationalize certificate renewal. |
| Azure Monitor Integration Azure Monitor integration | Metriken, Diagnosedaten und Warnungen können exportiert werden. Metrics, diagnostic data, and alerts can be exported. | Empfehlung: Workspace plus Alert-Rules. Recommendation: workspace plus alert rules. |
| Nicht unterstĂŒtzt Not supported | Was das bedeutet What it means | Alternative Alternative |
|---|---|---|
| Schema-Erweiterungen Schema extensions | Kein HinzufĂŒgen eigener Klassen oder Attribute im verwalteten Schema. No adding custom classes or attributes to the managed schema. | Eigene Metadaten ĂŒber Entra-Attribute oder App-Datenbanken abbilden. Model custom metadata in Entra attributes or application databases. |
| FSMO-Zugriff FSMO access | Keine direkte Administration der DomÀnencontroller oder FSMO-Rollen. No direct administration of domain controllers or FSMO roles. | Betriebsmodell an den Plattformdienst anpassen. Adapt operating model to the platform service. |
| Root-OU-Erstellung Root OU creation | Keine neuen OUs auf Root-Ebene; nur unter delegierten Standardcontainern. No new OUs at the root; only below delegated default containers. | Design mit untergeordneten OUs und GPO-VerknĂŒpfungen planen. Design with child OUs and GPO links. |
| Klassische Trusts im User Forest Traditional trusts in user forest | DomĂ€nentrusts stehen im User-Forest-Modell nicht zur VerfĂŒgung. Domain trusts are not available in the user forest model. | Bei Trust-Bedarf Resource-Forest oder klassische AD-DS-VMs prĂŒfen. For trust requirements, evaluate resource forest or classic AD DS VMs. |
| DomÀnencontroller-Login Domain controller logon | Kein RDP oder lokales Admin-Management auf DCs. No RDP or local admin management on DCs. | Verlasse dich auf delegierte Tools und Dienstschnittstellen. Use delegated tools and service interfaces. |
| Beliebige AD-Tools Arbitrary AD tools | Nicht jedes Low-Level-Tool funktioniert, weil APIs und Serverzugriff eingeschrÀnkt sind. Not every low-level AD tool works because APIs and server access are restricted. | Nur dokumentierte Verwaltungspfade verwenden. Use only documented management paths. |
| AD CS im Dienst AD CS on the service | Keine Integration als eigener Zertifizierungsstellen-Host im Managed Domain. No ability to host AD CS inside the managed domain service itself. | PKI getrennt betreiben. Operate PKI separately. |
Secure LDAP / LDAPS Secure LDAP / LDAPS
| Anforderung Requirement | Empfehlung Recommendation | PrĂŒfpunkt Validation |
|---|---|---|
| Zertifikat Certificate | Serverauthentifizierungszertifikat mit privatem SchlĂŒssel, vertrauenswĂŒrdiger Kette und passendem FQDN. Server authentication certificate with private key, trusted chain, and matching FQDN. | Ablaufdatum ĂŒberwachen und vorzeitig erneuern. Monitor expiration and renew early. |
| Port Port | Port 636 fĂŒr externes oder segmentĂŒbergreifendes LDAPS zulassen. Allow port 636 for external or cross-segment LDAPS. | Mit Test-NetConnection oder ldp.exe prĂŒfen. Validate with Test-NetConnection or ldp.exe. |
| NSG NSG | Eingehende Regeln nur fĂŒr bekannte Quellnetze oder Jump-Hosts. Limit inbound rules to known source networks or jump hosts. | Nie 636 aus dem Internet ohne Schutz veröffentlichen. Never publish 636 to the internet without protection. |
| DNS-Name DNS name | Clients verbinden sich mit dem dokumentierten LDAPS-DNS-Namen der verwalteten DomÀne. Clients connect to the documented LDAPS DNS name of the managed domain. | CN oder SAN muss passen. CN or SAN must match. |
| TLS-Version TLS version | Nur aktuelle TLS-Einstellungen und vertrauenswĂŒrdige Cipher nutzen. Use current TLS settings and trusted ciphers only. | Legacy-Clients vorab testen. Test legacy clients in advance. |
| Firewall-Protokollierung Firewall logging | Aktiviere Flow Logs oder Àquivalente Netzwerkprotokolle. Enable flow logs or equivalent network telemetry. | Hilft bei sporadischen Bind-Fehlern. Helps with intermittent bind failures. |
PowerShell
PowerShell
Test-NetConnection -ComputerName ldaps.corp.contoso.com -Port 636
$ldap = New-Object System.DirectoryServices.Protocols.LdapConnection("ldaps.corp.contoso.com:636")
$ldap.SessionOptions.SecureSocketLayer = $true
$ldap.Bind()
PowerShell
PowerShell
# ldp.exe Testablauf
# 1. Connection > Connect > ldaps.corp.contoso.com, Port 636, SSL aktivieren
# 2. Connection > Bind mit UPN oder Domain\\User
# 3. Browse > Search gegen die Basis-DN der verwalteten DomÀneDomain Join, OU-Struktur und Gruppenrichtlinien Domain join, OU structure, and Group Policy
| Schritt Step | Windows-VM Windows VM | Linux-VM Linux VM |
|---|---|---|
| DNS DNS | PrimĂ€re DNS-Server auf die verwaltete DomĂ€ne oder passenden Forwarder setzen. Set primary DNS servers to the managed domain or an appropriate forwarder. | Gleiche Anforderung; /etc/resolv.conf oder NetworkManager prĂŒfen. Same requirement; validate /etc/resolv.conf or NetworkManager. |
| Zeitquelle Time source | Zeitsynchronisierung gegen verlÀssliche Quelle; Kerberos toleriert nur geringe Abweichung. Use reliable time synchronization; Kerberos tolerates only small skew. | chrony oder systemd-timesyncd korrekt konfigurieren. Configure chrony or systemd-timesyncd correctly. |
| Delegation Delegation | Join-Konto in AAD DC Administrators oder delegierter OU-Berechtigung. Join account in AAD DC Administrators or with delegated OU rights. | sudo plus realm/join-Pakete erforderlich. Requires sudo plus realm/join packages. |
| OU-Ziel Target OU | Computerobjekte in verwalteten Containern oder Unter-OUs platzieren. Place computer objects in managed containers or child OUs. | Linux-Hosts logisch nach Anwendung oder Zone gruppieren. Group Linux hosts by application or zone. |
| GPO/SSSD GPO/SSSD | Nach Join gpupdate und Sicherheitsbaselines testen. After join, test gpupdate and security baselines. | FĂŒr Linux SSSD, Kerberos und Samba-Optionen prĂŒfen. For Linux validate SSSD, Kerberos, and Samba settings. |
| OU / Container OU / container | Zweck Purpose | Hinweis Note |
|---|---|---|
| AADDC Users AADDC Users | Delegierter Bereich fĂŒr Benutzerobjekte und untergeordnete OUs. Delegated area for user objects and child OUs. | Empfohlener Startpunkt fĂŒr GPO-Scopes. Recommended starting point for GPO scopes. |
| AADDC Computers AADDC Computers | Delegierter Bereich fĂŒr Computerobjekte und Server-Workloads. Delegated area for computer objects and server workloads. | Separate Unter-OUs fĂŒr Tiering und App-Zonen anlegen. Create child OUs for tiering and app zones. |
| Custom Child OUs Custom child OUs | Eigene OU-Hierarchien unterhalb der verwalteten Container. Custom OU hierarchies below the managed containers. | Nicht auf Root-Ebene anlegbar. Cannot be created at root. |
| Default Domain Policy Default Domain Policy | Dienstgesteuert; sparsam mit Ănderungen umgehen. Service-controlled; be very conservative with changes. | Vor Ănderung immer dokumentieren und testen. Document and test before changing. |
PowerShell
PowerShell
Add-Computer -DomainName "corp.contoso.com" -Credential (Get-Credential) -Restart
PowerShell
PowerShell
# Beispiel fĂŒr Ubuntu / RHEL (Kommandos dokumentieren und auĂerhalb des Images testen)
sudo realm discover corp.contoso.com
sudo realm join corp.contoso.com -U joinadmin@corp.contoso.com
sudo kinit joinadmin@CORP.CONTOSO.COMMonitoring, Warnungen und Fehlerbehebung Monitoring, alerts, and troubleshooting
| Signal Signal | Was beobachten What to watch | Aktion Action |
|---|---|---|
| Bereitstellungsstatus Provisioning status | Erste Erstellung, Ănderungen an LDAPS, Replica Sets und Netzparametern. Initial creation, LDAPS changes, replica sets, and network parameter changes. | AktivitĂ€tsprotokoll plus Azure Monitor Alert. Use activity log plus Azure Monitor alert. |
| Kennwortsynchronisierung Password synchronization | Benutzer melden Kerberos- oder NTLM-Fehler nach PasswortĂ€nderungen. Users report Kerberos or NTLM failures after password changes. | Passwort erneut setzen, Sync-Zeit prĂŒfen, Pilotkonto vergleichen. Reset password again, check sync timing, compare with a pilot account. |
| LDAPS-Zertifikat LDAPS certificate | Ablaufdatum, Kettenvertrauen und Port-636-Erreichbarkeit. Expiration date, chain trust, and port 636 reachability. | Renew before expiry and retest with ldp.exe. Vor Ablauf erneuern und erneut mit ldp.exe testen. |
| DNS-Auflösung DNS resolution | SRV-Records, A-Records und Reverse Lookups aus den Workload-Subnetzen. SRV records, A records, and reverse lookups from workload subnets. | nslookup, Resolve-DnsName und Packet Capture verwenden. Use nslookup, Resolve-DnsName, and packet capture. |
| DomĂ€nenbeitritt Domain join | Fehler bei Computerkonto-Erstellung oder OU-Berechtigung. Failures creating computer accounts or applying OU delegation. | Join-Konto, DNS und Uhrzeit prĂŒfen. Validate join account, DNS, and time. |
| Gruppenrichtlinien Group Policy | gpupdate /force, SYSVOL-Zugriff und GPO-VerknĂŒpfungen. gpupdate /force, SYSVOL access, and GPO links. | Mit Resultant Set of Policy gegen Test-OU arbeiten. Use Resultant Set of Policy on a test OU. |
| Fehlerbild Symptom | Wahrscheinliche Ursache Likely cause | Abhilfe Remediation |
|---|---|---|
| Anmeldung schlĂ€gt fĂŒr synchronisierten Benutzer fehl Sign-in fails for a synced user | Kompatibler Hash fehlt oder ist noch nicht repliziert. Compatible hash is missing or not replicated yet. | Passwort Ă€ndern, Replikationszeit abwarten, mit neuem Testkonto vergleichen. Change the password, wait for replication, compare with a new pilot account. |
| VM findet DomÀne nicht VM cannot find the domain | Falscher DNS-Server oder fehlende Weiterleitung. Wrong DNS server or missing forwarding. | VNet- und NIC-DNS korrigieren; SRV-Records testen. Fix VNet/NIC DNS and test SRV records. |
| LDAPS Bind schlĂ€gt fehl LDAPS bind fails | Zertifikat passt nicht, Port blockiert oder TLS-Vertrauen fehlt. Certificate mismatch, blocked port, or missing TLS trust. | Zertifikat und Kette prĂŒfen; NSG/Firewall freigeben. Validate certificate and chain; allow NSG/firewall. |
| GPO wird nicht angewendet GPO does not apply | Computer in falscher OU oder fehlende Leserechte. Computer is in the wrong OU or lacks read rights. | OU-Struktur und Sicherheitsfilter ĂŒberprĂŒfen. Review OU structure and security filtering. |
| Langsame LDAP-Suche Slow LDAP search | Netzwerklatenz, breite Suchbasis oder ineffiziente Filter. Network latency, broad search base, or inefficient filters. | Filter enger fassen und Replica Set nÀher an Workloads platzieren. Tighten filters and place a replica set closer to workloads. |
| Hybrid-App erreicht DC nicht Hybrid app cannot reach a DC | Routen, Peering oder Firewall unvollstĂ€ndig. Routes, peering, or firewall configuration is incomplete. | Connectivity-Tests hop-by-hop durchfĂŒhren. Perform hop-by-hop connectivity tests. |
| OU kann an Root nicht erstellt werden Cannot create an OU at root | DienstbeschrÀnkung; Root bleibt verwaltet. Service limitation; root remains managed. | Untergeordnete OU unter AADDC Users oder AADDC Computers nutzen. Use child OUs under AADDC Users or AADDC Computers. |
PowerShell
PowerShell
Get-AzADDomainService -ResourceGroupName "rg-aadds-prod" -Name "aadds-contoso" |
Select-Object Name, DomainName, ProvisioningState, SyncOwner, LdapsSettings, ReplicaSetsPowerShell, REST und Administrationsreferenz PowerShell, REST, and administration reference
| Cmdlet / API Cmdlet / API | Zweck Purpose | Hinweis Note |
|---|---|---|
| Get-AzADDomainService Get-AzADDomainService | Liest den Zustand und die Eigenschaften der verwalteten DomĂ€ne. Reads managed domain state and properties. | Grundbaustein fĂŒr Health- und KonfigurationsprĂŒfungen. Core building block for health and configuration checks. |
| New-AzADDomainService New-AzADDomainService | Erstellt eine neue verwaltete DomÀne. Creates a new managed domain. | Nutzt Subscription-, Netzwerk- und SKU-Parameter. Uses subscription, networking, and SKU parameters. |
| Set-AzADDomainService Set-AzADDomainService | Aktualisiert Dienstparameter wie LDAPS oder Benachrichtigungen. Updates service parameters such as LDAPS or notifications. | Ănderungen können lĂ€ngere Provisioning-Zyklen auslösen. Changes can trigger longer provisioning cycles. |
| Remove-AzADDomainService Remove-AzADDomainService | Löscht die verwaltete DomĂ€ne. Deletes the managed domain. | Vorher AbhĂ€ngigkeiten, DNS und Recovery-Plan prĂŒfen. Check dependencies, DNS, and recovery plan first. |
| Get-AzADDomainServiceReplicaSet Get-AzADDomainServiceReplicaSet | Liest Replica-Set-Informationen, sofern im Modul verfĂŒgbar. Reads replica set information when exposed by the module. | Bei Ă€lteren ModulstĂ€nden ĂŒber die DomainService-Eigenschaft auswerten. On older module versions inspect the domain service properties. |
| New-AzADDomainServiceReplicaSet New-AzADDomainServiceReplicaSet | FĂŒgt zusĂ€tzliche Replica Sets fĂŒr Reichweite oder Resilienz hinzu. Adds extra replica sets for reach or resilience. | Nur mit passender SKU und sauberem Netzdesign einplanen. Plan only with the appropriate SKU and clean network design. |
| Get-AzActivityLog Get-AzActivityLog | Zeigt Bereitstellungs- und Ănderungsereignisse. Shows deployment and change events. | Hilfreich bei fehlgeschlagenen Update-Operationen. Helpful for failed update operations. |
| Invoke-MgGraphRequest Invoke-MgGraphRequest | Erlaubt tenantbezogene Graph-Abfragen fĂŒr Migrationsvorbereitung. Allows tenant-focused Graph queries for migration preparation. | Domain Services selbst ist Azure Resource Manager, nicht Microsoft Graph. Domain Services itself is an Azure Resource Manager resource, not Microsoft Graph. |
JSON
JSON
{
"properties": {
"domainName": "corp.contoso.com",
"filteredSync": "Enabled",
"domainConfigurationType": "FullySynced",
"ldapsSettings": {
"ldaps": "Enabled",
"externalAccess": "Enabled"
},
"sku": "Enterprise"
},
"location": "westeurope"
}
PowerShell
PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/users?$select=id,displayName,userPrincipalName,onPremisesSyncEnabled" | ConvertTo-Json -Depth 4Migration, Vergleich und Betriebscheckliste Migration, comparison, and operational checklist
| Migrationsschritt Migration step | Warum Why | Ergebnis Outcome |
|---|---|---|
| Anwendungsinventur Application inventory | Identifiziere LDAP-, Kerberos-, NTLM- und GPO-AbhÀngigkeiten. Identify LDAP, Kerberos, NTLM, and GPO dependencies. | Entscheidung, welche Apps mit Domain Services kompatibel sind. Determines which apps are compatible with Domain Services. |
| Namensraumplanung Namespace planning | DomÀnenname, DNS-Zonen und bestehende on-prem-Namen abstimmen. Align the domain name, DNS zones, and existing on-prem names. | Vermeidet spÀteren Refactoring-Aufwand. Avoids later refactoring. |
| Pilotgruppe Pilot group | Nur ausgewÀhlte Benutzer und Server zuerst migrieren. Migrate only selected users and servers first. | Begrenzt Risiko und vereinfacht Hash-/Join-Tests. Limits risk and simplifies hash and join testing. |
| GPO-Bereinigung GPO cleanup | Ăbertrage nur notwendige Richtlinien in die verwalteten OUs. Carry only required policies into the managed OUs. | Vermeidet Altlasten aus on-prem AD DS. Avoids legacy baggage from on-prem AD DS. |
| Parallelbetrieb Parallel operation | Neue Apps gegen Domain Services testen, alte Umgebung noch verfĂŒgbar halten. Test new apps against Domain Services while keeping the old environment available. | Sichere RĂŒckfalloption wĂ€hrend der Transition. Provides a safe rollback option during transition. |
| Abschaltung Decommissioning | Erst nach stabilen Betriebswochen alte DC-AbhÀngigkeiten entfernen. Retire old DC dependencies only after stable operations for several weeks. | Sauberer Endzustand ohne verdeckte Legacy-Kopplungen. Clean end state without hidden legacy coupling. |
| Vergleich Comparison | Entra Domain Services Entra Domain Services | AD DS auf Azure-VMs / on-prem AD DS on Azure VMs / on-prem |
|---|---|---|
| Patch-Management Patch management | Microsoft verwaltet DCs und Plattform. Microsoft manages DCs and the platform. | Kunde verwaltet OS, Patches, Backups und Replikation. Customer manages OS, patches, backups, and replication. |
| Schema Schema | Keine Schema-Erweiterungen. No schema extensions. | Volle Kontrolle ĂŒber Schema und Forest-Konfiguration. Full control over schema and forest configuration. |
| Trusts Trusts | EingeschrĂ€nkt; im User Forest nicht verfĂŒgbar. Limited; not available in user forest. | Volle klassische Trust-Szenarien möglich. Full classic trust scenarios possible. |
| Betriebsaufwand Operational effort | Niedrig bis mittel. Low to medium. | Mittel bis hoch je nach GröĂe und Compliance-Anforderungen. Medium to high depending on scale and compliance requirements. |
| Legacy-KompatibilitĂ€t Legacy compatibility | FĂŒr viele LDAP/Kerberos/GPO-Szenarien ausreichend. Sufficient for many LDAP/Kerberos/GPO scenarios. | Maximale KompatibilitĂ€t inklusive SpezialfĂ€llen. Maximum compatibility including special cases. |
| Kostenmodell Cost model | Dienstbasierte SKU-Kosten. Service-based SKU costs. | VM-, Storage-, Backup- und Betriebsaufwand. VM, storage, backup, and operational cost. |
| Skalierung Scaling | Ăber SKU und Replica Sets des Dienstes. Through service SKU and replica sets. | Ăber eigene Architektur, weitere DCs und Sites. Through your own architecture, extra DCs, and sites. |
| Checkpunkt Checkpoint | Empfehlung Recommendation | Statusfrage Validation question |
|---|---|---|
| SKU & GröĂe SKU and size | Nach heutiger und geplanter Objektzahl dimensionieren. Size for current and planned object count. | Reicht die SKU fĂŒr 24 Monate Wachstum? Does the SKU cover 24 months of growth? |
| DNS DNS | SRV-Auflösung aus jedem App-Subnetz testen. Test SRV resolution from every app subnet. | Lösen alle Spokes korrekt auf? Do all spokes resolve correctly? |
| Zertifikat Certificate | LDAPS-Zertifikate mit Ablaufmonitoring betreiben. Run LDAPS certificates with expiry monitoring. | Gibt es einen dokumentierten Renewal-Prozess? Is there a documented renewal process? |
| Pilot Pilot | Mindestens eine Windows- und eine Linux-Workload testen. Test at least one Windows and one Linux workload. | Sind Join, Kerberos und LDAP erfolgreich? Are join, Kerberos, and LDAP successful? |
| Runbook Runbook | Join, Hash-Sync, LDAPS und Störungsbehebung dokumentieren. Document join, hash sync, LDAPS, and incident response. | Kann der Betrieb ohne Einzelwissen durchgefĂŒhrt werden? Can operations run without tribal knowledge? |
| Glossarbegriff Glossary term | Definition Definition |
|---|---|
| Managed Domain Managed Domain | Vom Dienst bereitgestellte AD-DomÀne mit Microsoft-gemanagten DomÀnencontrollern. / AD domain delivered by the service with Microsoft-managed domain controllers. Vom Dienst bereitgestellte AD-DomÀne mit Microsoft-gemanagten DomÀnencontrollern. / AD domain delivered by the service with Microsoft-managed domain controllers. |
| Replica Set Replica Set | ZusÀtzliche DomÀnencontroller-Instanzengruppe zur Verbesserung von NÀhe und Resilienz. / Additional DC instance group for proximity and resiliency. ZusÀtzliche DomÀnencontroller-Instanzengruppe zur Verbesserung von NÀhe und Resilienz. / Additional DC instance group for proximity and resiliency. |
| LDAPS LDAPS | LDAP ĂŒber TLS auf Port 636. / LDAP over TLS on port 636. LDAP ĂŒber TLS auf Port 636. / LDAP over TLS on port 636. |
| AAD DC Administrators AAD DC Administrators | Delegierte Verwaltungsgruppe fĂŒr die verwaltete OU-Struktur. / Delegated admin group for the managed OU structure. Delegierte Verwaltungsgruppe fĂŒr die verwaltete OU-Struktur. / Delegated admin group for the managed OU structure. |
| User Forest User Forest | Standardtopologie mit benutzernaher Sicht. / Default topology with user-centric representation. Standardtopologie mit benutzernaher Sicht. / Default topology with user-centric representation. |
| Resource Forest Resource Forest | Getrennter Ressourcenforest fĂŒr spezielle Unternehmensszenarien. / Separate resource forest for specific enterprise scenarios. Getrennter Ressourcenforest fĂŒr spezielle Unternehmensszenarien. / Separate resource forest for specific enterprise scenarios. |
| Hash Sync Hash Sync | Ăbernahme kompatibler Kennworthashes aus Entra ID. / Transfer of compatible password hashes from Entra ID. Ăbernahme kompatibler Kennworthashes aus Entra ID. / Transfer of compatible password hashes from Entra ID. |
| Delegated OU Delegated OU | Bereich, in dem Administratoren eigene Unter-OUs und GPOs anlegen dĂŒrfen. / Area where admins can create child OUs and GPOs. Bereich, in dem Administratoren eigene Unter-OUs und GPOs anlegen dĂŒrfen. / Area where admins can create child OUs and GPOs. |
| Filtered Sync Filtered Sync | Begrenzung des synchronisierten Objektbestands. / Restricting synchronized object scope. Begrenzung des synchronisierten Objektbestands. / Restricting synchronized object scope. |
| Health Alert Health Alert | Dienstwarnung zu VerfĂŒgbarkeit oder Konfiguration. / Service alert about availability or configuration. Dienstwarnung zu VerfĂŒgbarkeit oder Konfiguration. / Service alert about availability or configuration. |
Betriebscheckliste Operational checklist
| Checkpunkt Checkpoint | Erwarteter Zustand Expected state | Bewertung Assessment |
|---|---|---|
| Subnetz dediziert Dedicated subnet | Keine fremden Ressourcen im AADDS-Subnetz. No foreign resources in the AADDS subnet. | Ja/Nein Yes/No |
| DNS dokumentiert DNS documented | Alle Workload-Netze nutzen verwaltete DNS-Auflösung. All workload networks use managed DNS resolution. | Ja/Nein Yes/No |
| Pilotkonten getestet Pilot accounts tested | Neue und alte synchronisierte Konten erfolgreich geprĂŒft. New and old synced accounts tested successfully. | Ja/Nein Yes/No |
| LDAPS abgesichert LDAPS secured | Port 636, Zertifikat und Logging betriebsbereit. Port 636, certificate, and logging operational. | Ja/Nein Yes/No |
| GPO-Runbook GPO runbook | OU- und GPO-Ănderungen dokumentiert. OU and GPO changes documented. | Ja/Nein Yes/No |
| Alerts aktiv Alerts active | Provisioning, Zertifikate und Connectivity ĂŒberwacht. Provisioning, certificates, and connectivity monitored. | Ja/Nein Yes/No |
| Migrationspfad Migration path | Legacy-App-Inventar und Parallelbetrieb geplant. Legacy app inventory and parallel run planned. | Ja/Nein Yes/No |
| Recovery-Prozess Recovery process | Rollback- und Eskalationspfad vorhanden. Rollback and escalation path available. | Ja/Nein Yes/No |
Glossar & Schnellreferenz Glossary & quick reference
| Begriff Term | Definition Definition |
|---|---|
| Kerberos Kerberos | Ticketbasierte AD-Authentifizierung. Ticket-based AD authentication. |
| NTLM NTLM | Legacy-Challenge/Response-Protokoll. Legacy challenge/response protocol. |
| LDAP LDAP | Directory query and bind protocol. Directory query and bind protocol. |
| LDAPS LDAPS | LDAP over TLS on port 636. LDAP ĂŒber TLS auf Port 636. |
| Replica Set Replica Set | ZusÀtzliche Dienstinstanzengruppe. Additional service instance group. |
| AADDC Computers AADDC Computers | Delegierter Container fĂŒr Computerobjekte. Delegated container for computer objects. |
| AADDC Users AADDC Users | Delegierter Container fĂŒr Benutzerobjekte. Delegated container for user objects. |
| Resource Forest Resource Forest | Getrennter Ressourcenforest. Separate resource forest. |