Azure AD Domain Services – Nedir, Ne değildir?
Azure AD, Azure’un yeni kullanıcıları için her zaman biraz kafa karıştırıcı olmuştur. Azure AD, AD’nin bir bulut versiyonunu ima ettiğini biliyoruz diye düşünüyorum. Sanırım bu karmaşaya daha fazla karışıklık getirmek için, Azure Active Directory Etki Alanı Hizmetleri (AAD DS) yakın zamanda, kurum içi etki alanı denetleyicilerinin bazı işlevlerini Azure’a bir PaaS hizmeti olarak getiren bir GA olarak yayınlandı :). Sorun şu ki bu yeni hizmetin ne olduğu ve olmadığı sanırım biraz kafa karıştırmakta.
Nedir?
AAD DS’nin birincil çıkış nedeni, müşterilerin kimlik doğrulama veya iletişim için uygun bir LDAP AD ile konuşma ihtiyaçlarında, müşterileri veri merkezlerinden Azure’a taşımalarına yardımcı olmak içindir. Uygulamalar, herhangi bir değişiklik yapmadan konuşabilecekleri bir LDAP ve Kerberos etkin dizinine erişebilirler; makineler etki alanına katılabilir, kullanıcılar oluşturabilir, DNS’i yönetebilir ve hatta bazı GPO’ları uygulayabilirsiniz. Bu nedenle, alan adı servislerini küçük bir kapsamını ve sınırlı sayıda hizmetleri sağlamak için çalışabilmektedir. AAD DS’deki kullanıcılar otomatik olarak Azure AD ile senkronize edilir ve böylece AAD ile de konuşabilen uygulamalar tarafından kullanılabilmektedir.
Ne değildir?
AAD DS hakkında araştırmalarımda kullanıcıların çokça sordukları bir soru, bunun on-prem etki alanının yerini alması için mi tasarlandığı, yoksa büyük bir Azure dağıtımı için alan adı hizmetleri sağlayıp sağlamayacağına konusundaydı. Azure AD DS, tüm uygulamalarınızı Azure üzerinde dağıtmış olsanız bile, bir hayli ciddi kısıtlamalara sahiptir. Örneğin:
- Varsayılan GPO’ları yalnızca özel OU’lara uygulayabilirsiniz, ancak yeni bir tane oluşturamazsınız.
- Özel GPOS oluşturamazsınız, yalnızca var olan 1 kullanıcı GPO’sunu ve 1 bilgisayar GPO’sunu düzenleyebilirsiniz.
- Özel OU’lar oluşturabilirsiniz, ancak bu OU’lar yalnızca AD DS tarafında gösterilir; bu özel OU’lardaki kullanıcılar, Azure AD’de gösterilmez.
- AAD DS bir v1 VNET gerektirir; bu nedenle, v2 kullanan VNET’lerinizi kullanıyorsanız, ayrı bir VNET oluşturmanız ve bunları VNET peer veya VPN ile bağlamanız gerekir.
- Gerçekten Domain Admin yada Enterprise Admin haklarına sahip olamazsınız. Yani Exchange server gibi dağıtımları AAD DS üzerinden yapamazsınız.
Azure’a taşımak istediğiniz bir uygulamanız varsa ve tam bir LDAP AD’sine erişmeniz gerekiyorsa Azure AD DS harika bir çözümdür. Bununla birlikte, etki alanı yönetici haklarını veya GPO veya OU’nun karmaşık bir yapısını yapmak isterseniz, AAD DS yetersiz kalacaktır. AAD DS’nin sunduğu basit özelliklerden daha fazlasını arıyorsanız on-prem AD’ye yönelmelisiniz. AAD DS, kurum içi alan denetleyicilerinizin yerine geçmez.
AAD DS özel bir amaç için tasarlanmıştır ve kapsamının dışına çıkmanız gerekiyorsa hızlı bir şekilde IaaS’yi ve tam etki alanı denetleyicilerini kullanmaya geri dönmelisiniz. Belki ileride, AAD DS’yi bir hizmet seçeneği olarak tam olarak bir AD haline getirmek için bazı şeyler eklenecektir, ancak şu anda bu sınırlı seçenekler ile yetinmek zorundayız.