Die Zukunft von Active Directory: Welchen Weg nimmt das AD?
Immer mehr Unternehmen setzen auf Dienste in der Cloud, zum Beispiel in Microsoft Azure. Zur Authentifizierung und Absicherung wird dabei das Azure AD verwendet. In diesem Zusammenhang stellt sich die Frage, wie es um die Zukunft des Active Directory On-Premises bestellt ist.
Vorab: Hier muss sich derzeit niemand Sorgen machen. Microsoft plant nicht, das Active Directory abzuschaffen. Das wäre auch nicht so einfach möglich.
Die Struktur von Azure AD unterscheidet sich deutlich von der Struktur lokaler AD-Umgebungen. Azure AD setzt vor allem auf Security Assertion Markup Language/SAML und Open Authorization. Zur Bestätigung der Identität unterstützt Azure AD verschiedene MFA-Methoden. Dazu gehören die Microsoft Authenticator App, OAuth Tokens oder FIDO2 Security Keys. Lokal betriebene und ältere Anwendungen können damit oft nicht umgehen. Aus diesem Grund ist ein lokales AD in vielen Umgebungen aktuell kaum wegzudenken.
Deshalb wird uns Active Directory noch lange erhalten bleiben
Es gibt funktionale Gründe, die Active Directory auch in Zukunft notwendig machen. Aber auch Windows Server wird sich weiterentwickeln.
LDAP, NTLM und Kerberos
Zunächst gibt es viele Unternehmen, die nicht vorhaben, alle Dienste auf Azure oder Microsoft 365 zu migrieren. Hier wird weiterhin ein lokales Active Directory benötigt, da die lokale Authentifizierung von Ressourcen mit Azure AD nicht möglich ist. Wenn eine Legacy-Anwendung Zugriff auf LDAP, NTLM oder Kerberos benötigt, scheidet Azure AD aus. Natürlich ist NT-LAN-Manager (NTLM) etwas veraltet und unsicher. Das ändert aber nichts daran, dass Legacy-Anwendungen dieses Protokoll teilweise noch benötigen. Es gibt aber noch viel mehr Gründe, warum uns On-Premises AD noch eine Weile begleiten wird.
Windows Server Support
Auch im Nachfolger von Windows Server 2022 mit der aktuellen Bezeichnung Windows Server vNext ist Active Directory noch enthalten und nicht als „veraltet“ gekennzeichnet. Da diese Version voraussichtlich 2024 oder 2025 erscheinen wird und mindestens drei Jahre Support (plus Extended Support) erhält, ist davon auszugehen, dass Active Directory noch bis mindestens 2030, wahrscheinlich sogar deutlich länger, Bestandteil von Windows-Servern sein wird. Schon allein aus diesen Gründen ist On-Premises AD keine Sackgasse.
Sollte Active Directory irgendwann von Microsoft abgekündigt werden, dann wird Redmond das AD frühestens im Nachfolger von Windows Server vNext als „veraltet“ markieren. Ein Ende der lokalen AD-Umgebungen ist also derzeit nicht in Sicht.
Active Directory und Azure Active Directory: Stärken auf beiden Seiten
Azure AD hat nicht die Aufgabe, lokale AD-Umgebungen zu ersetzen, sondern soll die Möglichkeit schaffen, lokale AD-Umgebungen in die Cloud zu erweitern. Es gibt zahlreiche Möglichkeiten und Tools, AD-Benutzer mit Azure AD zu synchronisieren, so dass Single-Sign-On-Szenarien (SSO) in Netzwerken mit Cloud-Nutzung die Zusammenarbeit von AD und Azure AD ermöglichen. Die beiden Verzeichnisdienste sind also keine Konkurrenten, sondern ein Team mit Stärken auf allen Seiten.
Stark in der Kombination
In der Cloud bietet Azure AD einen echten Mehrwert und maximale Sicherheit für Cloud-Dienste. Im lokalen Rechenzentrum kann das Active Directory optimal zur Absicherung herkömmlicher Anwendungen genutzt werden. Durch Synchronisation und Azure AD Connect lassen sich beide Welten miteinander verbinden. So können Unternehmen selbst entscheiden, wo sie Dienste betreiben wollen. Die beiden Welten arbeiten bereits jetzt gut zusammen und werden in Zukunft wahrscheinlich noch stärker zusammenwachsen.
Zusammenwachsen von Active Directory und Azure AD
Ohne Cloud Anwendungen auch kein Azure AD
Das bedeutet aber nicht, dass Unternehmen, die auf AD setzen, auch Azure AD einsetzen müssen. Hier macht der Einsatz nur Sinn, wenn auch Cloud-Ressourcen in Azure genutzt werden sollen. AD funktioniert auch ohne Azure AD problemlos.
Setzt ein Unternehmen jedoch auf Ressourcen in Azure, wird häufig auch lokal ein AD eingesetzt. In diesem Fall kann es sinnvoll sein, die beiden Verzeichnisdienste miteinander zu verbinden. Denn so können sich Benutzer in SSO-Szenarien mit ihrem AD-Konto an ihrem Arbeitsplatz anmelden und über die AD-Synchronisation mit Azure auf Ressourcen in Azure zugreifen, ohne sich erneut authentifizieren zu müssen.
Geeignete Software-Lösungen für hybride IT-Welt
Die FirstAttribute bietet ein Portfolio an Software-Lösungen an, um die Verwaltung von Identitäten in lokalen AD-Umgebungen und in der Cloud effizient zu gestalten.
Das FirstWare IDM-Portal ist eine IAM-Lösung zur automatisierten Benutzer- und Berechtigungsverwaltung, sowohl On-Premises als auch in der Cloud. Es vereint alle Aspekte des Identity und Access Managements in einem Portal und greift zentral auf Identitäts- und Verzeichnisdienste zu.
Die my-IAM Cloud Identity Management Plattform konzentriert sich auf die Zusammenführung und Verwaltung aller internen und externen Identitäten durch in Microsoft Teams integrierte Apps, wie my-IAM PeopleConnect und my-IAM TeamSpace.
Wohin wird sich Active Directory in Zukunft entwickeln?
Azure AD wird sich in Zukunft mehr in Richtung Active Directory öffnen. Über Managementlösungen wie das Windows Admin Center sollen Azure-Ressourcen mehr in lokale AD-Umgebungen integriert werden können. Beispiele hierfür sind die:
- Sicherung lokaler Daten mit Azure Backup
- Synchronisation lokaler Hyper-V VMs in die Cloud zur Verbesserung der Hochverfügbarkeit.
Gleichzeitig können mit Azure Arc lokale Server an Azure angebunden werden, um diese beispielsweise mit Azure Monitor zu überwachen oder lokale Server aus der Cloud zu administrieren, ohne ein VPN aufbauen zu müssen. Auch hier kommt das Windows Admin Center zum Einsatz.
AD und Azure AD wachsen also dort zusammen, wo es gewünscht ist. Lokale AD-Umgebungen können aber auch ohne Azure problemlos weiter genutzt werden. Mit Azure Stack HCI bietet Microsoft aktuell die Möglichkeit, Azure-Ressourcen wie VMs in lokalen Rechenzentren zu betreiben und mit Azure-Technologien abzusichern und zu erweitern.
On-Premises und Cloud wachsen also eher zusammen. Es sieht derzeit nicht so aus, als ob in Zukunft alle Ressourcen in der Cloud laufen können und sollen.
Neue Funktionen im Active Directory sind derzeit nicht verfügbar
Bereits seit Windows Server 2016 gibt es keine nennenswerten Neuerungen für Active Directory. Dies ist auch der Grund, warum es in Windows Server 2022 und aktuell auch in Windows Server vNext keine neueren Betriebsmodi als Windows Server 2016 für Active Directory gibt. Derzeit sieht Microsoft daher keine Notwendigkeit, die Funktionalität des Active Directory weiter auszubauen, und dies ist derzeit auch nicht notwendig. Es sind alle relevanten Funktionen bereits integriert und eine umfassende Anpassung von AD ist schlicht und ergreifend nicht sinnvoll. Dazu kommt dann parallel Azure AD zum Einsatz, wenn die Authentifizierung in die Cloud ausgedehnt werden soll.
Azure AD Domain Services bringen das Active Directory in die Cloud
Mit den Azure AD Domain Services bietet Microsoft einen vollständig verwalteten Dienst für das Active Directory in Azure AD an.
Damit können viele (aber nicht alle) Funktionen von Active Directory parallel zu Azure AD auch in der Cloud genutzt werden.
Dies zeigt auch, dass Microsoft noch viel Potenzial in Active Directory sieht, denn die Entwicklung eines solchen Cloud-Dienstes ist natürlich mit viel Aufwand verbunden.
Azure AD Domain Services unterstützen jedoch keine Vertrauensstellungen, Organisationseinheiten oder die Erweiterung und Anpassung des Active Directory Schemas. Zudem können Administratoren viele Einstellungen in der Umgebung nicht selbst verwalten. Dazu gehören die Kontrolle:
- über den verwendeten Betriebsmodus,
- den globalen Katalog und
- die verschiedenen Betriebsmasterrollen.
Allerdings gibt es zumindest eingeschränkte Gruppenrichtlinien.
Fazit
Die Struktur von Azure AD ist nicht für alle Anwendungsfälle geeignet. Active Directory erlaubt eine viel tiefere Struktur als Azure AD. Unternehmen, die mehrere Domänen, Strukturen (Trees) und Gesamtstrukturen (Forests) benötigen, setzen auf AD, da Azure AD eine flache Struktur ohne diese Möglichkeiten hat. Aus diesem Grund befinden sich in Azure AD alle Accounts in der gleichen Domäne.
All dies zeigt, dass Azure AD kein AD der nächsten Generation ist, sondern ein anderer Ansatz, der für den Einsatz in der Cloud entwickelt wurde. Unternehmen, die weiterhin Ressourcen im eigenen Rechenzentrum betreiben, werden daher auch in Zukunft auf On-Premises AD setzen und Azure AD parallel als Ergänzung für die Authentifizierung in der Cloud nutzen. Daran ändert sich in den nächsten Jahren nicht viel, sodass Active Directory auch in Zukunft eine wichtige Basis für Netzwerk sein wird.
Über die FirstAttribute AG
Die FirstAttribute AG ist ein unabhängiges deutsches Cloud Service- und Software-Unternehmen mit Schwerpunkt Identity & Access Management (IAM) für AD und M365/Azure AD.
Alles Wissenswerte über unsere Software-Lösungen und Leistungen erfahren Sie hier. Kontaktieren Sie uns, wenn Sie Ihr Identitäts- und Berechtigungsmanagement auf den aktuellen Stand bringen wollen und in einer hybriden IT-Welt nach einer maßgeschneiderten IAM-Lösung suchen.
