badge green

Laat je VM's deel uitmaken van Azure Active Directory Domain Services

Behoefte aan meer controle over je groepenbeleid? Verbind je VM's met de Azure Active Directory Domain Services (AADDS)!
Jeroen Niesen

Wanneer je met VM’s werkt, gebruik je normaal gesproken een Active Directory om je identiteiten op te slaan. Zodoende kun je al die identiteiten gemakkelijk centraal beheren. In het verleden werkte je dan met Windows Active Directory Domain Services, wat je (waarschijnlijk) synchroniseerde met de Azure Active Directory. Al je on-premise identiteiten waren op deze wijze meteen beschikbaar in de Azure AD.

Enkele jaren geleden introduceerde Microsoft de ‘Azure Active Directory Domain Services’. AADDS is een soort van lichtgewicht domeincontroller die actief gesynchroniseerd wordt met je Azure AD. Vergeleken met Windows ADDS heeft AADDS een beperkte set van functionaliteiten.

Domain Controller as a Service

In feite is Azure ADDS een ‘Domain Controller as a Service’. Dit betekent dat je je niet bezig hoeft te houden met de domeininfrastructuur (schema’s, trusts, sites, diensten, etc.).

AADDS levert je de volgende functionaliteiten:

  • DNS-service
  • Een beheerde Active Directory, waarin je
    • GPO’s op VMs toe kunt passen,
    • dezelfde identiteiten als op je VM’s in Azure AD kunt gebruiken,
    • over NTLM en Kerberos authenticatie beschikt,
    • LDAP(S) in kunt zetten.

 

Blog Jeroen Niesen DCAS afbeelding 1 InSpark

Tip

Voor veel applicaties is deze set van functionaliteiten ruim voldoende. Voor de meer geavanceerde applicaties (waarvoor bijvoorbeeld schema-extensies nodig zijn) of voor configuraties waarvoor een trust in een ander domein vereist is, is de Azure ADDS-oplossing op dit moment nog niet toereikend.

De set-up van Azure ADDS

De set-up van de Azure ADDS is heel eenvoudig. Kijk in de ‘market place’ van de Azure Domain Service en volg de instructies van de navolgende wizard.

Virtual Network (VNET)

Azure ADDS wordt ingezet binnen een VNET. Bij een van de stappen in de installatiewizard moet je het netwerk selecteren (of, indien gewenst, een nieuw netwerk aanmaken). Voor Azure ADDS is een subnet vereist. Vervolgens mag alléén ADDS van dit subnetwerk gebruik maken; je kunt hieraan geen andere bronnen meer toevoegen. Na voltooiing van de installatie kun je naar de Azure ADDS-bron navigeren en de DNS-servers zoeken. VM’s die je wilt aansluiten op de Azure ADDS moeten deze DNS-servers gebruiken.

Blog Jeroen Niesen InSpark afbeelding 2

Domein Administrator

Azure ADDS staat je geen rechten voor Domain- of Enterprise-beheer toe. Microsoft zorgt zelf voor de domeininfrastructuur; daarom heb je deze permissies ook niet nodig. Door het inzetten van Azure ADDS wordt in Azure AD een groep gecreëerd, welke aangeduid wordt met: “AAD DC Administrators”. Gebruikers die deel uitmaken van deze groep hebben de maximale rechten binnen Azure ADDS.

Blog Jeroen Niesen InSpark afbeelding 3

Beheer je domein & DNS

Je kunt je domein op dezelfde wijze beheren als de Windows Active Directory Domain Services. Je kunt hier dus ook dezelfde tools voor gebruiken. Wanneer je “Active Directory Users and Computers” opent, zie je een standaard domeininstelling met drie extra OU’s:

  • AADDC Computers– Nadat je een computer hebt aangesloten op het Azure ADDS-domein, komt deze in de betreffende OU terecht. Je kunt computerobjecten ook naar andere (nieuw) aangemaakte OU’s verplaatsen.
  • AADDC Users– In deze OU vind je alle gesynchroniseerde gebruikersobjecten uit de Azure Active Directory. Je kunt gesynchroniseerde gebruikers niet verplaatsen.
  • AADDCDomainAdmin– In deze OU vind je de Azure AD groep die de Azure ADDS domein admins bevat. Je kunt deze groep niet verplaatsen.

Group Policy Management

Net zoals bij een gewoon Windows ADDS-domein kun je ook GPO’s toepassen voor een Azure ADDS-domein. Met de reguliere tools (GPO-editor in Windows) kun je je domeinbeleidsregels beheren. Zo goed als alle standaard Windows-beleidsregels zijn al geladen. Als een bepaalde beleidsregel nog niet aanwezig is, kun je .ADM-bestanden van een derde partij importeren.

Blog Jeroen Niesen InSpark afbeelding 5

DNS Beheer

DNS-servers die bij het Azure ADDS-domein horen, zijn goed te beheren. Net als de andere ADDS-componenten kun je deze beheren met de tooling die je gewend bent. Wanneer je de DNS-manager opent en verbinding maakt met een van de domeincontroller-computers (de naam kun je vinden in “Active Directory Users and Computers”), vind je de DNS-zones die gehost worden op de domeincontrollers. Je kunt extra zones en records toevoegen.

Blog Jeroen Niesen InSpark afbeelding 6

Conclusie

Azure ADDS is een zeer krachtig instrument. Bijna alles wat je met een gewoon Windows ADDS-domein kunt doen, kun je ook doen met Azure ADDS. Als je geen trusts nodig hebt en je je schema niet uit hoeft te breiden, is Azure ADDS wellicht een goede oplossing voor jou. Momenteel kan Azure ADDS slechts in één regio tegelijk worden ingezet. Vanuit het perspectief van disaster recovery zou dit problematisch kunnen zijn. Daar staat tegenover dat de SLA van Azure ADDS maar liefst 99,9% is. Dit is een hogere SLA dan de meeste datacenter operators kunnen bieden vanuit hun on-premise faciliteiten.

 

SHARE
Jeroen Niesen

Consultant Hybrid Datacenter

Wil je meer informatie?
Onder het genot van een kopje koffie, kan ik al jouw vragen over AADS beantwoorden en kijken wat dit voor jouw organisatie kan betekenen.
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!
  • Dit móeten we mededelen:
    Wanneer je op aanmelden drukt ga je akkoord met ons privacy policy.