Kiedy Entra Domain Services nie zastąpi lokalnego Active Directory

Wprowadzenie: Nie każda droga prowadzi do chmury

Microsoft 365 oferuje rozwiązania dostarczające funkcjonalności znane z klasycznego Active Directory, jednak nie zawsze są one wystarczające dla potrzeb współczesnych organizacji. W ESVS regularnie spotykamy się z firmami, które rozważają pełną migrację do chmury, zakładając, że Microsoft Entra Domain Services (Entra DS) może całkowicie zastąpić ich lokalne Windows Server Active Directory.

Dzisiaj powiemy to wprost: Microsoft Entra Domain Services może nie stanowić odpowiedniej alternatywy dla tradycyjnego Windows AD w wielu scenariuszach organizacyjnych. Zamiast migracji do Entra DS, lepszą decyzją często jest budowa środowiska hybrydowego z pozostawieniem lokalnego AD lub przeniesienie kontrolerów domeny do chmury jako maszyn wirtualnych.

W tym artykule omówimy kluczowe ograniczenia Entra DS oraz wskażemy, kiedy organizacje powinny rozważyć alternatywne rozwiązania architektoniczne.

Krótki przegląd usług katalogowych Microsoft

Zanim przejdziemy do ograniczeń, warto zrozumieć, że Microsoft oferuje trzy główne usługi katalogowe, z których każda ma swoje optymalne zastosowania:

Windows Server Active Directory (lokalne AD)

Najlepsze dla:

• Większych organizacji z rozbudowaną infrastrukturą lokalną
• Środowisk wymagających pełnej kontroli nad politykami GPO, trustami i strukturą OU
• Firm z aplikacjami działającymi tylko lokalnie i wymagającymi głębokiej integracji z domeną

Przykład zastosowania: Zakład produkcyjny zatrudniający 80 osób z lokalnymi serwerami, drukarkami sieciowymi, systemami MES do zarządzania produkcją oraz ERP zintegrowanym z Active Directory.

Microsoft Entra ID (dawniej Azure AD)

Najlepsze dla:

• Firm korzystających głównie z aplikacji SaaS (Microsoft 365, Salesforce, systemów CRM w chmurze)
• Organizacji z użytkownikami zdalnymi i urządzeniami mobilnymi
• Startupów i firm bez lokalnej infrastruktury, budujących środowisko od podstaw

Przykład zastosowania: Firma technologiczna zatrudniająca 25 osób z zespołem pracującym w modelu fully-remote, używająca wyłącznie aplikacji chmurowych i nie posiadająca własnych serwerów.

Przeczytaj także: Jak osiągnąć funkcjonalności Active Directory w MŚP z wykorzystaniem Microsoft 365?

Microsoft Entra Domain Services

Najlepsze dla:

• Firm migrujących starsze aplikacje (legacy) do Azure
• Środowisk wymagających dołączenia maszyn wirtualnych do domeny w chmurze
• Organizacji, które nie chcą zarządzać własnymi kontrolerami domeny

Przykład zastosowania: Instytucja publiczna zatrudniająca 40 osób, przenosząca starszą aplikację ERP do Azure, która wymaga uwierzytelniania LDAP/Kerberos.

Potencjalne powody wdrożenia Entra DS

Zanim omówimy ograniczenia, warto zrozumieć, dlaczego organizacje w ogóle rozważają Entra Domain Services:

Redukcja obciążenia zarządzaniem

Entra DS przekazuje odpowiedzialność za kontrolery domeny do usługi zarządzanej przez Microsoft. Organizacja nie musi martwić się o aktualizacje, kopie zapasowe czy łatki bezpieczeństwa dla kontrolerów domeny – Microsoft zajmuje się tym automatycznie.

Migracja do chmury

Dla organizacji przechodzących na model „cloud-first” lub „cloud-only”, Entra DS może wydawać się naturalną ścieżką przeniesienia funkcjonalności Windows AD do chmury bez konieczności utrzymywania lokalnej infrastruktury.

Mniejsze organizacje

Dostęp do Active Directory Domain Services bez konieczności inwestowania w lokalną infrastrukturę serwerową oraz redukcja kosztów związanych z utrzymaniem kontrolerów domeny może być atrakcyjna dla mniejszych firm.

Kluczowe ograniczenia Entra Domain Services

Posłuchaj szerszej rozmowy na ten temat:

1. Brak uprawnień administracyjnych

Jednym z najbardziej znaczących ograniczeń Entra DS jest brak możliwości uzyskania pełnych uprawnień administracyjnych w domenie. Microsoft zarządza infrastrukturą, co oznacza, że użytkownicy nie mają dostępu do konta „Domain Admins” ani „Enterprise Admins”.

Konsekwencje praktyczne:

• Niemożność instalacji usług wymagających uprawnień administracyjnych na poziomie domeny
• Brak możliwości wdrożenia Active Directory Certificate Services (AD CS)
• Niemożność konfiguracji Active Directory Federation Services (AD FS)
• Ograniczone możliwości instalacji aplikacji enterprise wymagających głębokich zmian w schemacie

Przykład z praktyki: Organizacja zatrudniająca 35 osób chciała wdrożyć system PKI (Public Key Infrastructure) dla zaawansowanego uwierzytelniania i podpisywania dokumentów. Entra DS uniemożliwił implementację Certificate Services, co zmusiło firmę do szukania alternatywnych rozwiązań lub utrzymania lokalnego AD.

2. Brak obsługi kart inteligentnych

Bezpośrednią konsekwencją braku Certificate Services jest niemożność implementacji uwierzytelniania kartami inteligentnymi (smart cards).

Konsekwencje dla bezpieczeństwa:

• Organizacje z wysokimi wymaganiami bezpieczeństwa (sektor finansowy, publiczny, obronny) nie mogą korzystać z tej formy dwuskładnikowego uwierzytelniania
• Brak zgodności z niektórymi regulacjami branżowymi wymagającymi fizycznych tokenów uwierzytelniania
• Niemożność wykorzystania istniejących inwestycji w infrastrukturę smart card

3. Niekompatybilność z Entra Hybrid Join

Entra DS nie wspiera mechanizmu Entra Hybrid Join, co ma poważne konsekwencje dla nowoczesnego zarządzania urządzeniami.

Praktyczne implikacje:

• Urządzenia dołączone do domeny Entra DS nie są reprezentowane w Microsoft Entra ID jako obiekty urządzeń
• Brak dostępu do Universal Print – nowoczesnego rozwiązania drukowania w chmurze
• Niemożność wykorzystania urządzeń w politykach Conditional Access
• Brak integracji z nowoczesnymi rozwiązaniami zarządzania urządzeniami mobilnymi

Scenariusz biznesowy: Firma zatrudniająca 45 osób chciała wdrożyć polityki Conditional Access wymagające, aby dostęp do wrażliwych danych był możliwy tylko z zarządzanych, firmowych urządzeń. Entra DS uniemożliwił taką konfigurację, zmuszając do kompromisów w politykach bezpieczeństwa.

4. Brak obsługi Microsoft Intune

Urządzenia dołączone do domeny Entra DS nie mogą być zarządzane przez Microsoft Intune, co tworzy lukę w strategii unified endpoint management.

Konsekwencje operacyjne:

• Brak centralnego zarządzania laptopami, tabletami i smartfonami w jednym rozwiązaniu
• Konieczność utrzymywania dwóch równoległych systemów zarządzania urządzeniami
• Brak możliwości wdrażania nowoczesnych polityk zarządzania przez Intune dla urządzeń domenowych
• Fragmentacja procesów bezpieczeństwa i compliance

5. Brak możliwości rozszerzania schematu

Entra DS nie pozwala na dodawanie niestandardowych atrybutów ani rozszerzeń schematu Active Directory.

Problemy w praktyce:

• Aplikacje wymagające niestandardowych atrybutów mogą nie działać poprawnie
• Niemożność dodania atrybutów Exchange do kont użytkowników dla zaawansowanych scenariuszy integracji
• Ograniczenia dla aplikacji trzecich, które rozszerzają schemat AD
• Problemy z migracją niektórych aplikacji legacy wymagających modyfikacji schematu

Przykład z naszych wdrożeń: Organizacja miała starszą aplikację CRM wymagającą dodatkowych atrybutów użytkowników w Active Directory. Migracja do Entra DS wymagała przeprojektowania integracji lub pozostawienia lokalnego AD.

6. Ograniczenia sieciowe – tylko sieć prywatna

Entra DS jest wdrażane wyłącznie w prywatnej sieci wirtualnej w Azure, co ma fundamentalne konsekwencje dla architektury dostępu.

Kluczowe wymagania:

• Active Directory Domain Services (zarówno Entra DS jak i Windows AD) nigdy nie powinny być eksponowane bezpośrednio do Internetu ze względów bezpieczeństwa
• Użytkownicy mogą dołączyć do domeny tylko przy zapewnieniu prywatnej łączności z domeną Entra DS
• Wymagane połączenie VPN lub Azure ExpressRoute dla użytkowników pracujących lokalnie lub zdalnie
• Prywatna sieć może rozciągać się na środowiska lokalne lub inne chmury poprzez VPN/ExpressRoute

Konsekwencje operacyjne:

• Użytkownicy lokalni wymagają dostępu do DNS Entra DS poprzez prywatne połączenie
• Brak dostępu do zasobów domenowych podczas awarii WAN lub problemów z łącznością
• Skomplikowane projektowanie i zarządzanie infrastrukturą DNS
• Konieczność utrzymania stabilnej łączności między wszystkimi lokalizacjami

Scenariusz biznesowy: Firma z biurem głównym i dwoma oddziałami chciała wdrożyć Entra DS. Okazało się, że każda lokalizacja musi mieć stabilne połączenie VPN do Azure, a problemy z łącznością w jednym oddziale uniemożliwiają użytkownikom logowanie się do systemów. Dodatkowe koszty infrastruktury sieciowej oraz złożoność zarządzania przekroczyły przewidywane oszczędności.

7. Brak lokalnych kontrolerów domeny

Entra DS nie pozwala na dodawanie lokalnych kontrolerów domeny (DC) w siedzibie organizacji.

Szczegóły techniczne:

• Możliwe jest dodanie dodatkowych zestawów replik Entra DS tylko w ramach Azure
• Wszystkie zestawy replik w domenie Entra DS muszą istnieć w tej samej subskrypcji Azure
• Brak możliwości wdrożenia kontrolerów domeny w lokalizacjach lokalnych lub innych chmurach publicznych

Konsekwencje praktyczne:

• Ograniczona elastyczność geograficzna w rozmieszczeniu kontrolerów
• Całkowita zależność od łączności WAN dla wszystkich operacji domenowych
• Brak redundancji lokalnej w przypadku problemów z łącznością do Azure
• Zwiększone opóźnienia dla użytkowników w lokalizacjach oddalonych od regionu Azure

8. Separacja w nazwach i strukturze

Entra DS działa w oddzielnym lesie i domenie, co tworzy dodatkową warstwę złożoności.

Problemy architektoniczne:

• Skomplikowane zarządzanie tożsamościami użytkowników w dwóch oddzielnych domenach
• Problemy z udostępnianiem zasobów między domenami
• Niezależne katalogi wymagające ciągłej synchronizacji
• Potencjalne konflikty nazewnictwa i routing w środowiskach złożonych

9. Problemy z dostępnością i elastycznością

Ograniczenia subskrypcji:

• Replica sets muszą być w tej samej subskrypcji Azure
• Brak opcji migracji między subskrypcjami lub tenantami
• Ograniczona elastyczność w reorganizacjach IT czy przejęciach firm

Konsekwencje biznesowe: Organizacje przechodzące przez fuzje, przejęcia lub reorganizacje struktury Azure mogą napotkać znaczące trudności w dostosowaniu Entra DS do nowej architektury.

10. Brak opcji migracji wstecznej

Jednym z najbardziej krytycznych ograniczeń jest brak możliwości migracji z Entra DS z powrotem do Windows Server Active Directory.

Ryzyko vendor lock-in:

• Jedyną opcją „migracji wstecznej” jest export użytkowników i grup oraz przebudowa domeny od podstaw
• Brak strategii wyjścia (exit strategy) w przypadku zmiany wymagań biznesowych
• Wysokie ryzyko uzależnienia od platformy Microsoft Azure
• Potencjalnie kosztowna i czasochłonna odbudowa infrastruktury

Co w związku z tym? Rekomendacje i alternatywy

Zalecana alternatywa: Windows AD na IaaS w Azure

Na podstawie naszych doświadczeń z projektami dla organizacji MŚP, często rekomendujemy wdrożenie tradycyjnych kontrolerów domeny Windows Server Active Directory jako maszyn wirtualnych w Azure zamiast korzystania z Entra DS.

Korzyści tego podejścia:

• Usunięcie wszystkich wyżej wymienionych ograniczeń Entra DS
• Pełna kontrola nad konfiguracją i uprawnieniami administracyjnymi
• Możliwość wdrożenia kontrolerów w wielu regionach, subskrypcjach i tenantach
• Wyższa dostępność i elastyczność w projektowaniu architektury
• Kompatybilność z wszystkimi rozwiązaniami wymagającymi standardowego AD
• Koszt często porównywalny lub niższy (dwie maszyny wirtualne B-series ≈ koszt Entra DS)

Wyzwania do rozważenia:

• Wymagane ciągłe zarządzanie serwerami (aktualizacje, monitoring, backup)
• Odpowiedzialność za bezpieczeństwo i compliance kontrolerów domeny
• Konieczność planowania disaster recovery i business continuity

Strategia hybrydowa

Dla wielu organizacji optymalnym rozwiązaniem jest środowisko hybrydowe łączące mocne strony różnych technologii:

Architektura hybrydowa może obejmować:

• Lokalne Windows Server AD dla użytkowników i aplikacji lokalnych
• Azure AD Connect synchronizujący tożsamości do Microsoft Entra ID
• Microsoft 365 i aplikacje SaaS korzystające z Entra ID
• Wybrane aplikacje w Azure korzystające z lokalnego AD przez ExpressRoute/VPN

Korzyści podejścia hybrydowego:

• Wykorzystanie istniejących inwestycji w infrastrukturę lokalną
• Dostęp do nowoczesnych usług chmurowych Microsoft 365
• Elastyczność w tempie i zakresie transformacji cyfrowej
• Możliwość stopniowej migracji aplikacji do chmury

Proces decyzyjny: Kiedy rozważyć Entra DS?

Mimo licznych ograniczeń, Entra DS może być odpowiednim rozwiązaniem w bardzo specyficznych scenariuszach:

Entra DS może być właściwym wyborem gdy:

• Organizacja migruje pojedynczą starszą aplikację do Azure wymagającą LDAP/Kerberos
• Aplikacja nie wymaga rozszerzeń schematu ani zaawansowanych funkcji AD
• Użytkownicy pracują wyłącznie w chmurze i nie potrzebują lokalnego dostępu
• Organizacja nie ma wymagań dotyczących Intune czy Hybrid Join
• Akceptowalny jest vendor lock-in i brak strategii migracji wstecznej

Alternatywy należy rozważyć gdy:

• Organizacja ma złożone wymagania bezpieczeństwa (smart cards, PKI)
• Potrzebne jest zarządzanie urządzeniami przez Intune
• Wymagana jest pełna kontrola nad konfiguracją AD
• Organizacja chce zachować elastyczność architektoniczną
• Istnieją aplikacje wymagające rozszerzeń schematu

Podsumowanie: Świadoma decyzja zamiast modnych trendów

Microsoft Entra Domain Services nie jest odpowiednim zamiennikiem dla Windows Server Active Directory w większości scenariuszy organizacyjnych MŚP. Liczne ograniczenia – od braku uprawnień administracyjnych, przez problemy z integracją z nowoczesnymi usługami Microsoft, po brak strategii migracji wstecznej – czynią go rozwiązaniem niszowym, przeznaczonym głównie dla bardzo specyficznych przypadków migracji starszych aplikacji.

Organizacje rozważające modernizację infrastruktury katalogowej powinny:

1. Dokładnie przeanalizować swoje wymagania biznesowe i techniczne przed podjęciem decyzji
2. Rozważyć Windows AD na IaaS jako alternatywę zapewniającą pełną funkcjonalność przy porównywalnych kosztach
3. Zaplanować strategię hybrydową łączącą mocne strony różnych rozwiązań Microsoft
4. Unikać vendor lock-in poprzez zachowanie opcji migracji i elastyczności architektonicznej
5. Skonsultować się z doświadczonym partnerem który pomoże wybrać optymalną ścieżkę transformacji

W ESVS wspieramy organizacje w projektowaniu i wdrażaniu optymalnych rozwiązań katalogowych – zarówno w chmurze, lokalnie, jak i w architekturach hybrydowych. Kluczem jest zrozumienie, że nie ma jednego uniwersalnego rozwiązania, a decyzje architektoniczne powinny być oparte na rzeczywistych potrzebach biznesowych, a nie na modnych trendach technologicznych.

Zapraszamy do kontaktu z naszym zespołem w celu omówienia, które rozwiązanie będzie optymalne dla specyficznych potrzeb Państwa organizacji.