Microsoft Entra Domain Services: Verwaltete Domänendienste für kleine Unternehmen in Berlin

Viele Berliner Mittelständler betreiben noch klassische Active-Directory-Domänencontroller on-premises — für Legacy-Anwendungen, die Domänen-Join, LDAP, Kerberos oder NTLM benötigen. Diese Infrastruktur zu pflegen, zu patchen und hochverfügbar zu halten ist operativer Overhead, den kleinere IT-Teams kaum stemmen können. Microsoft Entra Domain Services (Entra DS, früher Azure AD Domain Services / AADDS) bietet eine vollständig verwaltete Alternative: Domänendienste in der Cloud, ohne eigene Domänencontroller.

Was ist Microsoft Entra Domain Services?

Entra Domain Services stellt eine verwaltete Domäne in Azure bereit, die klassische Active-Directory-Funktionen bereitstellt: Domänen-Join für Windows-VMs, LDAP-Verzeichnisdienst, Kerberos- und NTLM-Authentifizierung, Gruppenrichtlinien (GPOs). Microsoft betreibt die zugrundeliegenden Domänencontroller vollständig — Patching, Replikation, Backup, Hochverfügbarkeit liegen im Verantwortungsbereich von Microsoft.

Für Berliner KMUs bedeutet das: Keine Domänencontroller-VMs mehr zu warten, kein AD-Replication-Troubleshooting, kein gesondertes Backup-Konzept für SYSVOL und NTDS. Der IT-Verantwortliche konfiguriert die Domäne, Microsoft betreibt sie.

Kernfunktionen im KMU-Kontext

Verwaltete Domäne ohne eigene Domänencontroller

Entra DS erstellt eine neue verwaltete Domäne in einem Azure Virtual Network. Innerhalb dieser Domäne können Windows-VMs (in Azure oder über Azure Arc auch on-premises) der Domäne beitreten, GPOs empfangen und sich mit Kerberos authentifizieren. Die Domäne ist kein einfaches Replikat des On-Premises-AD — sie ist eine eigenständige Entra-DS-Domäne, die Benutzer- und Gruppenobjekte aus dem Entra-ID-Tenant synchronisiert.

Das ist ein wichtiger architektonischer Punkt: Entra DS synchronisiert Benutzer von Entra ID (einseitig), erstellt aber keine vollständige Bidirektionalität. Änderungen in Entra DS werden nicht zurück nach Entra ID oder in ein eventuell vorhandenes On-Premises-AD geschrieben. Diese Einschränkung ist für die meisten Nutzungsszenarien in Berliner KMUs irrelevant — der Hauptzweck ist die Bereitstellung von Legacy-Auth-Diensten für Anwendungen, nicht die bidirektionale Synchronisation.

LDAP und sichere LDAP-Anbindung (LDAPS)

Entra DS unterstützt Standard-LDAP (Port 389) sowie Secure LDAP (LDAPS, Port 636) über ein benutzerdefiniertes Zertifikat. Anwendungen, die LDAP-Verzeichnisabfragen für Authentifizierung oder Gruppenabfragen nutzen (typisch: ältere ERP-Systeme, Drucker mit LDAP-Auth, interne Webapplikationen), können direkt an die verwaltete Domäne angebunden werden, ohne Änderungen an der Anwendung selbst.

Gruppenrichtlinien (GPOs)

Entra DS unterstützt Gruppenrichtlinien — mit einigen Einschränkungen gegenüber einem vollständigen On-Premises-AD. Standardmäßig existieren zwei Built-in-GPOs (für Computer und Benutzer). Eigene GPOs können erstellt und verlinkt werden, allerdings nur innerhalb der definierten Organisations-OU-Struktur. Domaincontroller-GPOs sind nicht editierbar — Microsoft verwaltet die DC-Ebene.

Für Berliner KMUs ist die GPO-Unterstützung ausreichend für klassische Use Cases: Passwortrichtlinien, Skript-Deployment, Softwareverteilung via GPO, und Sicherheitskonfigurationen auf Benutzer- und Computer-Ebene.

Kerberos und NTLM

Die verwaltete Domäne unterstützt Kerberos v5 und NTLM. Das ist die Voraussetzung für Domänen-Join-basierte Windows-Authentifizierung bei Legacy-Applikationen. NTLM ist standardmäßig aktiviert für Rückwärtskompatibilität, sollte aber wo möglich auf Kerberos-Nutzung eingeschränkt werden — Entra DS bietet dafür entsprechende Konfigurationsoptionen.

Integration mit Entra ID und Hybrid-Szenarien

Entra DS ist in die Entra-ID-Identitätsplattform integriert. Benutzer, die in Entra ID existieren (ob Cloud-nativ oder über Entra Connect aus einem On-Premises-AD synchronisiert), werden in die verwaltete Domäne repliziert. Das bedeutet: Single-Identity-Ansatz. Berliner Mitarbeiter nutzen ihre Entra-ID-Credentials sowohl für Microsoft 365 als auch für domänengejoinede Ressourcen in Entra DS.

Für Hybrid-Szenarien mit bestehenden On-Premises-AD-Installationen ist Entra Connect die Brücke: On-Premises-AD-Objekte werden über Entra Connect nach Entra ID synchronisiert — und von dort in die Entra DS-verwaltete Domäne. Das erlaubt Berliner Unternehmen, Legacy-Infrastruktur schrittweise abzubauen: Erst Entra DS aktivieren und Anwendungen migrieren, dann On-Premises-Domänencontroller dekommissionieren.

Typische Anwendungsfälle in Berliner KMUs

Legacy-Applikationen mit Domänen-Anforderungen: ERP-Systeme, Dokumentenmanagement-Lösungen oder interne Webtools, die Domänen-Join oder LDAP-Auth voraussetzen und nicht kurzfristig migrierbar sind. Entra DS stellt die Domäneninfrastruktur bereit, ohne eigene DC-VMs.

Azure-VM-Verwaltung: Windows-VMs in Azure, die via RDP administriert werden, profitieren von Domänen-Join: Zentrale Anmeldung mit Unternehmenscredentials, GPO-Durchsetzung, kein lokales Administratorkonto-Management pro VM.

Druckerinfrastruktur mit LDAP-Auth: Netzwerkdrucker vieler Hersteller nutzen LDAP für die Benutzerauthentifizierung beim Scannen und Drucken. Entra DS liefert den LDAP-Endpunkt, ohne dass ein On-Premises-DC erreichbar sein muss.

DC-Dekommissionierung: Berliner KMUs mit alternder On-Premises-DC-Infrastruktur können Entra DS als Zielplattform nutzen und Domänencontroller-Hardware ausmustern, ohne sofort alle LDAP/Kerberos-abhängigen Applikationen migrieren zu müssen.

Sicherheitsaspekte

Entra DS sollte mit Conditional-Access-Richtlinien kombiniert werden. Da die Authentifizierung über Entra ID läuft, greifen CA-Richtlinien — MFA-Anforderungen, gerätebasierte Compliance-Prüfungen, Standortbasierte Zugriffskontrollen — auch für Zugriffe auf domänengejoinede Ressourcen. Das ist ein Sicherheitsvorteil gegenüber klassischen On-Premises-Umgebungen, in denen domänengejoinede Systeme intern oft ohne moderne Auth-Controls erreichbar sind.

Das Azure Virtual Network, in dem Entra DS deployed ist, sollte durch Network Security Groups (NSGs) abgesichert sein. Eingehender LDAP/LDAPS-Zugriff sollte auf bekannte Client-IP-Bereiche eingeschränkt werden. Microsoft betreibt die Domänencontroller intern und exponiert sie nicht direkt — der Verwaltungsendpunkt für die Domäne ist ausschließlich über das Azure-Portal erreichbar.

Kosten und Lizenzierung

Entra Domain Services wird als Azure-Ressource nach Compute-Stunden abgerechnet. Die Kosten hängen von der SKU ab (Standard oder Enterprise, letzere mit größerem Objektlimit und Replica Sets). Für typische Berliner KMUs mit unter 500 Benutzern ist die Standard-SKU ausreichend. Entra DS ist kein Bestandteil von Microsoft 365 — es handelt sich um einen separaten Azure-Dienst mit eigener Abrechnung.

Kostenrechner-Tipp: Entra DS läuft 24/7. Der monatliche Fixkostenbetrag für die Standard-SKU in der Region Europe West ist in aller Regel deutlich niedriger als die Betriebskosten zweier Windows-Server-VMs als Domänencontroller in Azure — inklusive Lizenz, Patching-Aufwand und Backup-Infrastruktur.

Fazit

Microsoft Entra Domain Services ist die richtige Wahl für Berliner KMUs, die Domänendienste für Legacy-Anwendungen benötigen, aber keine Domänencontroller-Infrastruktur mehr betreiben wollen. Die vollständig verwaltete Domäne reduziert operativen Overhead drastisch, integriert sich nahtlos in Entra ID und Entra Connect, und ermöglicht einen kontrollierten Abbau von On-Premises-AD-Infrastruktur ohne sofortige Applikationsmigration. Für Berliner IT-Teams mit begrenzten Ressourcen ist das ein erheblicher Mehrwert: Microsoft pflegt die Domänencontroller, das Team konzentriert sich auf die eigentliche Arbeit.