What are forests?

A forest is a logical construct used by Active Directory Domain Services (AD DS) to group one or more domains. The domains then store objects for user or groups, and provide authentication services.

In Azure AD DS, the forest only contains one domain. On-premises AD DS forests often contain many domains. In large organizations, especially after mergers and acquisitions, you may end up with multiple on-premises forests that each then contain multiple domains.

By default, an Azure AD DS managed domain is created as a user forest. This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment. User accounts can directly authenticate against the Azure AD DS managed domain, such as to sign in to a domain-joined VM. A user forest works when the password hashes can be synchronized and users aren't using exclusive sign-in methods like smart card authentication.

In an Azure AD DS resource forest, users authenticate over a one-way forest trust from their on-premises AD DS. With this approach, the user objects and password hashes aren't synchronized to Azure AD DS. The user objects and credentials only exist in the on-premises AD DS. This approach lets enterprises host resources and application platforms in Azure that depend on classic authentication such LDAPS, Kerberos, or NTLM, but any authentication issues or concerns are removed. Azure AD DS resource forests are currently in preview.

Resource forests also provide the capability to lift-and-shift your applications one component at a time. Many legacy on-premises applications are multi-tiered, often using a web server or front end and many database-related components. These tiers make it hard to lift-and-shift the entire application to the cloud in one step. With resource forests, you can lift your application to the cloud in phased approach, which makes it easier to move your application to Azure.

포리스트 는 Active Directory Domain Services (AD DS)에서 하나 이상의 도메인을 그룹화 하는 데 사용 되는 논리적 구문입니다. 그런 다음 도메인은 사용자 또는 그룹에 대 한 개체를 저장 하 고 인증 서비스를 제공 합니다.

Azure AD DS에서 포리스트는 도메인을 하나만 포함 합니다. 온-프레미스 AD DS 포리스트에는 여러 도메인이 포함 되는 경우가 많습니다. 특히 인수 및 합병 후에 규모가 많은 조직의 경우 여러 온-프레미스 포리스트가 있을 수 있으며, 각 포리스트는 여러 도메인을 포함 합니다.

기본적으로 Azure AD DS 관리 되는 도메인은 사용자 포리스트로 생성 됩니다. 이 유형의 포리스트는 온-프레미스 AD DS 환경에서 만든 모든 사용자 계정을 포함 하 여 Azure AD의 모든 개체를 동기화 합니다. 사용자 계정은 도메인에 가입 된 VM에 로그인 하는 등 Azure AD DS 관리 되는 도메인에 대해 직접 인증할 수 있습니다. 사용자 포리스트는 암호 해시를 동기화 할 수 있고 사용자가 스마트 카드 인증과 같은 독점적인 로그인 방법을 사용 하지 않는 경우 작동 합니다.

Azure AD DS 리소스 포리스트에서는 사용자가 온-프레미스 AD DS에서 단방향 포리스트 트러스트 를 통해 인증 합니다. 이 방법을 사용 하면 사용자 개체 및 암호 해시가 Azure AD DS에 동기화 되지 않습니다. 사용자 개체 및 자격 증명은 온-프레미스 AD DS에만 존재 합니다. 이 접근 방식을 통해 기업은 Azure에서 LDAPS, Kerberos 또는 NTLM 등의 클래식 인증에 의존 하는 리소스 및 응용 프로그램 플랫폼을 호스트할 수 있지만 모든 인증 문제나 문제는 제거 됩니다. Azure AD DS 리소스 포리스트는 현재 미리 보기로 제공 됩니다.

또한 리소스 포리스트는 응용 프로그램을 한 번에 한 구성 요소로 리프트 앤 시프트 하는 기능을 제공 합니다. 많은 레거시 온-프레미스 응용 프로그램은 종종 웹 서버 또는 프런트 엔드 및 많은 데이터베이스 관련 구성 요소를 사용 하는 다중 계층으로 구성 됩니다. 이러한 계층을 통해 한 번에 전체 응용 프로그램을 클라우드로 리프트 앤 시프트 할 수 있습니다. 리소스 포리스트를 사용 하면 응용 프로그램을 Azure로 더 쉽게 이동할 수 있도록 단계별 접근 방식으로 응용 프로그램을 클라우드로 전환할 수 있습니다.