Windows Serverguide

Azure AD Domain Services (AADDS) einrichten 2025

Active Directory in der Cloud ohne Domain Controller VMs

S
SeeColors IT11. Juni 20264 Min. Lesezeit65 Aufrufe

Was ist Azure AD Domain Services?

Azure AD Domain Services (AADDS) ist ein managed Active Directory in Azure:

  • Kein eigener Domain Controller nötig
  • Kompatibel mit LDAP, Kerberos, NTLM
  • VMs können der Domäne beitreten
  • Gruppenrichtlinien anwendbar
  • Synchronisiert mit Entra ID (Azure AD)

Wann AADDS nutzen?

Szenario Empfehlung
Legacy-Apps brauchen AD (LDAP/Kerberos) AADDS
Neue Cloud-Apps ohne AD-Abhängigkeit Entra ID direkt
Hybride Umgebung mit On-Premises AD Hybrid Join + AD Connect
Lift-and-Shift von Windows-Apps AADDS

AADDS aktivieren

Voraussetzungen

  • Entra ID (Azure AD) Tenant
  • Dediziertes Subnet (min. /24) im VNet
# AADDS-Subnet erstellen
az network vnet subnet create \
  --vnet-name vnet-firma-prod \
  --resource-group rg-firma-prod \
  --name snet-aadds \
  --address-prefix 10.0.8.0/24

# AADDS aktivieren (dauert 30–60 Minuten)
az ad ds create \
  --name firma.onmicrosoft.com \
  --resource-group rg-firma-prod \
  --domain-name firma.onmicrosoft.com \
  --vnet-name vnet-firma-prod \
  --subnet snet-aadds \
  --location germanywestcentral \
  --sku Standard

VM der AADDS-Domäne hinzufügen

Windows VM

# Im Portal oder per Script
$domain = "firma.onmicrosoft.com"
$user = "[email protected]"
$pass = ConvertTo-SecureString "Passwort" -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential($user, $pass)

Add-Computer -DomainName $domain -Credential $cred -Restart

Linux VM (per SSSD)

sudo apt install -y sssd sssd-tools realmd adcli

sudo realm discover firma.onmicrosoft.com
sudo realm join firma.onmicrosoft.com \
  -U "[email protected]"

Gruppenrichtlinien anwenden

AADDS stellt zwei Standard-OUs bereit:

  • AADDC Computers: Domain-joined VMs
  • AADDC Users: Synchronisierte Benutzer aus Entra ID

Eigene OUs und GPOs erstellen:

# Neue OU erstellen
New-ADOrganizationalUnit -Name "Firma-Computers" \
  -Path "DC=firma,DC=onmicrosoft,DC=com"

# GPO erstellen und verknüpfen
New-GPO -Name "Security-Baseline"
New-GPLink -Name "Security-Baseline" \
  -Target "OU=Firma-Computers,DC=firma,DC=onmicrosoft,DC=com"

Secure LDAP konfigurieren

# Zertifikat für Secure LDAP hochladen
az ad ds update \
  --name firma.onmicrosoft.com \
  --resource-group rg-firma-prod \
  --ldaps enabled \
  --pfx-certificate @ldaps-cert.pfx \
  --pfx-certificate-password "ZertifikatPasswort"

LDAPS-Verbindungsstring:
ldaps://firma.onmicrosoft.com:636

AADDS Kosten

SKU Features Preis/Monat
Standard 2 DCs, bis 500 Objekte ~80 €
Enterprise 2 DCs, bis 25.000 Objekte ~240 €
Premium 5 DCs, bis 100.000 Objekte ~400 €

FAQ

Kann ich auf AADDS-Domain-Controllern einloggen?
Nein. AADDS-DCs sind vollständig managed von Microsoft. Sie haben keinen direkten Zugriff.

Werden On-Premises AD-Objekte synchronisiert?
Mit Entra ID Connect: Benutzer und Gruppen aus On-Premises AD → Entra ID → AADDS.

Fazit

AADDS ist ideal für Cloud-first-Unternehmen die Legacy-Apps mit AD-Abhängigkeiten in Azure betreiben ohne eigene DC-VMs zu verwalten.

Azure Active Directory Services für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Windows Server#Active Directory#Azure#Azure AD DS

Verwandte Artikel

AWS vs Azure vs Google Cloud – Der grosse Vergleich 2025

4 Min.

Terraform – Infrastructure as Code fuer AWS und Azure 2025

4 Min.

Azure Backup – Cloud-VM und On-Premises Sicherung 2025

4 Min.