Ta strona zawiera odpowiedzi na często zadawane pytania dotyczące usług Microsoft Entra Domain Services.
Konfigurowanie
Czy mogę utworzyć wiele domen zarządzanych dla jednego katalogu microsoft Entra?
L.p. Można utworzyć tylko jedną zarządzaną domenę obsługiwaną przez usługi Microsoft Entra Domain Services dla pojedynczego katalogu Firmy Microsoft Entra.
Czy mogę włączyć usługi Microsoft Entra Domain Services w klasycznej sieci wirtualnej?
Klasyczne sieci wirtualne nie są obsługiwane.
Aby uzyskać więcej informacji, zobacz oficjalne powiadomienie o wycofaniu.
Czy mogę włączyć usługi Microsoft Entra Domain Services w sieci wirtualnej usługi Azure Resource Manager?
Tak. Usługi Microsoft Entra Domain Services można włączyć w sieci wirtualnej usługi Azure Resource Manager. Klasyczne sieci wirtualne platformy Azure nie są już dostępne podczas tworzenia domeny zarządzanej.
Czy mogę włączyć usługi Microsoft Entra Domain Services w subskrypcji programu Azure CSP (Dostawca rozwiązań w chmurze)?
Tak. Aby uzyskać więcej informacji, zobacz jak włączyć usługi Microsoft Entra Domain Services w subskrypcjach programu Azure CSP.
Czy mogę udostępnić usługi Microsoft Entra Domain Services w wielu sieciach wirtualnych w ramach subskrypcji?
Sama usługa nie obsługuje bezpośrednio tego scenariusza. Domena zarządzana jest dostępna tylko w jednej sieci wirtualnej jednocześnie. Można jednak skonfigurować łączność między wieloma sieciami wirtualnymi, aby uwidocznić usługi Microsoft Entra Domain Services innym sieciom wirtualnym. Aby uzyskać więcej informacji, zobacz jak połączyć sieci wirtualne na platformie Azure przy użyciu bram sieci VPN lub komunikacji równorzędnej sieci wirtualnych.
Czy mogę dodać kontrolery domeny do domeny zarządzanej usług Microsoft Entra Domain Services?
L.p. Domena dostarczana przez usługi Microsoft Entra Domain Services jest domeną zarządzaną. Nie musisz aprowizować, konfigurować ani zarządzać kontrolerami domeny dla tej domeny ani zarządzać nimi. Te działania związane z zarządzaniem są udostępniane jako usługa przez firmę Microsoft. W związku z tym nie można dodać więcej kontrolerów domeny (tylko do odczytu i zapisu lub odczytu) dla domeny zarządzanej.
Czy mogę rozszerzyć domenę zarządzaną do różnych regionów świadczenia usługi Azure na potrzeby odzyskiwania aplikacji, jeśli region świadczenia usługi Azure przejdzie w tryb offline?
Tak.
Zestawy replik współużytkujące tę samą przestrzeń nazw i konfigurację można utworzyć z domeną zarządzaną.
Zestawy replik można dodać do dowolnej równorzędnej sieci wirtualnej w dowolnym regionie świadczenia usługi Azure obsługującym usługi Domain Services.
Aby uzyskać więcej informacji, zobacz Pojęcia i funkcje zestawów replik dla usług Microsoft Entra Domain Services.
Czy mogę włączyć usługi Microsoft Entra Domain Services w federacyjnym katalogu Microsoft Entra bez synchronizacji skrótów haseł?
L.p. Aby uwierzytelnić użytkowników za pośrednictwem protokołu NTLM lub Kerberos, usługi Microsoft Entra Domain Services wymagają dostępu do skrótów haseł kont użytkowników. W katalogu federacyjnym skróty haseł nie są przechowywane w katalogu Microsoft Entra. W związku z tym usługi Microsoft Entra Domain Services nie działają z takimi katalogami Firmy Microsoft Entra.
Jeśli jednak używasz programu Microsoft Entra Connect do synchronizacji skrótów haseł, możesz użyć usług Microsoft Entra Domain Services, ponieważ wartości skrótów haseł są przechowywane w identyfikatorze Entra firmy Microsoft.
Czy mogę włączyć usługi Microsoft Entra Domain Services przy użyciu programu PowerShell?
Tak. Aby uzyskać więcej informacji, zobacz jak włączyć usługi Microsoft Entra Domain Services przy użyciu programu PowerShell.
Czy mogę włączyć usługi Microsoft Entra Domain Services przy użyciu szablonu usługi Resource Manager?
Tak, można utworzyć domenę zarządzaną usług Microsoft Entra Domain Services przy użyciu szablonu usługi Resource Manager. Przed wdrożeniem szablonu należy utworzyć jednostkę usługi i grupę Microsoft Entra do administrowania przy użyciu centrum administracyjnego firmy Microsoft Entra lub programu PowerShell. Podczas tworzenia domeny zarządzanej usług Microsoft Entra Domain Services w centrum administracyjnym firmy Microsoft Entra istnieje również możliwość wyeksportowania szablonu do użycia z innymi wdrożeniami. Aby uzyskać więcej informacji, zobacz Create a Domain Services managed domain using an Azure Resource Manager template (Tworzenie domeny zarządzanej usług Domain Services przy użyciu szablonu usługi Azure Resource Manager).
Czy użytkownicy-goście, którzy są zaproszeni do mojego katalogu, mogą korzystać z usług Microsoft Entra Domain Services?
L.p. Użytkownicy-goście zaproszeni do katalogu Microsoft Entra przy użyciu procesu zapraszania Microsoft Entra B2B są synchronizowani z domeną zarządzaną usług Microsoft Entra Domain Services. Jednak hasła dla tych użytkowników nie są przechowywane w katalogu Microsoft Entra. W związku z tym usługi Microsoft Entra Domain Services nie mają możliwości synchronizowania skrótów NTLM i Kerberos dla tych użytkowników z domeną zarządzaną. Tacy użytkownicy nie mogą logować się ani dołączać komputerów do domeny zarządzanej.
Czy można utworzyć dwukierunkową relację zaufania lasu między usługami Domain Services i lasem lokalnym?
Tak, możesz utworzyć dwukierunkową relację zaufania. Możesz również utworzyć jednokierunkową relację zaufania wychodzącego lub jednokierunkową przychodzącą relację zaufania, aby obsługiwać różne scenariusze uwierzytelniania i dostępu użytkowników. Aby uzyskać więcej informacji, zobacz Tworzenie zaufania lasu.
Czy usługi Domain Services obsługują tworzenie zaufania zewnętrznego z lokalnymi domenami podrzędnymi?
Usługi domenowe obecnie obsługują tylko zaufanie lasu i nie obsługują relacji zaufania domeny zewnętrznej.
Czy mogę przenieść domenę zarządzaną?
Po utworzeniu domeny zarządzanej usług Domain Services nie można przenieść jej do innej subskrypcji, grupy zasobów ani regionu. Aby zmienić region, możliwe obejście to wdrożenie nowego zestawu replik w regionie, do którego chcesz przeprowadzić migrację. Po zakończeniu usuń zestaw replik w regionie, którego nie potrzebujesz. Aby obejść pozostałe ustawienia, możesz usunąć domenę zarządzaną przy użyciu programu PowerShell lub centrum administracyjnego firmy Microsoft Entra i utworzyć ją ponownie przy użyciu żądanej konfiguracji. Podczas ponownego tworzenia domeny zarządzanej nie można podać żadnych operacji przywracania.
Czy mogę zmienić nazwę istniejącej nazwy domeny usług Microsoft Entra Domain Services?
L.p. Po utworzeniu domeny zarządzanej usług Microsoft Entra Domain Services nie można zmienić nazwy domeny DNS. Podczas tworzenia domeny zarządzanej należy dokładnie wybrać nazwę domeny DNS. Aby zapoznać się z zagadnieniami dotyczącymi wybierania nazwy domeny DNS, zobacz samouczek dotyczący tworzenia i konfigurowania domeny zarządzanej usług Microsoft Entra Domain Services.
Czy usługi Microsoft Entra Domain Services obejmują opcje wysokiej dostępności?
Tak. Każda domena zarządzana usług Microsoft Entra Domain Services zawiera dwa kontrolery domeny. Nie zarządzasz tymi kontrolerami domeny ani nie łączysz się z nimi— są one częścią usługi zarządzanej. W przypadku wdrażania usług Microsoft Entra Domain Services w regionie obsługującym Strefy dostępności kontrolery domeny są dystrybuowane między strefami. W regionach, które nie obsługują Strefy dostępności, kontrolery domeny są dystrybuowane między zestawy dostępności. Nie masz opcji konfiguracji ani kontroli zarządzania nad tą dystrybucją. Aby uzyskać więcej informacji, zobacz Opcje dostępności maszyn wirtualnych na platformie Azure.
Administracja i operacje
Czy mogę nawiązać połączenie z kontrolerem domeny dla mojej domeny zarządzanej przy użyciu pulpitu zdalnego?
L.p. Nie masz uprawnień do nawiązywania połączenia z kontrolerami domeny dla domeny zarządzanej przy użyciu pulpitu zdalnego. Członkowie grupy Administratorzy domeny firmy Microsoft Entra mogą administrować domeną zarządzaną przy użyciu narzędzi administracyjnych usługi AD, takich jak Centrum administracyjne usługi Active Directory (ADAC) lub ad PowerShell. Te narzędzia są instalowane przy użyciu funkcji Narzędzia administracji zdalnej serwera na serwerze z systemem Windows przyłączonym do domeny zarządzanej. Aby uzyskać więcej informacji, zobacz Tworzenie maszyny wirtualnej zarządzania w celu skonfigurowania i administrowania domeną zarządzaną usług Microsoft Entra Domain Services.
Włączono usługi Microsoft Entra Domain Services. Jakiego konta użytkownika używam do przyłączania maszyn do tej domeny?
Każde konto użytkownika będące częścią domeny zarządzanej może dołączyć do maszyny wirtualnej. Członkowie grupy Administratorzy domeny firmy Microsoft Entra otrzymują dostęp pulpitu zdalnego do maszyn, które zostały przyłączone do domeny zarządzanej.
Czy istnieje limit przydziału liczby maszyn, które mogę dołączyć do domeny?
W usługach Domain Services nie ma limitu przydziału dla maszyn przyłączonych do domeny.
Jak jest synchronizowany czas dla maszyn wirtualnych, które są przyłączone do domeny zarządzanej?
Maszyny wirtualne uruchamiane na platformie Azure są synchronizowane z hostami platformy Azure w celu uzyskania bardzo dokładnego czasu. Maszyny wirtualne spoza platformy Azure, które działają lokalnie, muszą mieć usługi czasowe systemu Windows skonfigurowane do synchronizacji z zewnętrznym źródłem czasu NTP, podobnie jak maszyny wirtualne przyłączone do domeny. Aby uzyskać więcej informacji, zobacz Konfigurowanie mechanizmu czasu dla maszyn wirtualnych z systemem Windows w usłudze Active Directory na platformie Azure.
Czy mam uprawnienia administratora domeny dla domeny zarządzanej udostępnianej przez usługi Microsoft Entra Domain Services?
L.p. Nie masz przyznanych uprawnień administracyjnych w domenie zarządzanej. Uprawnienia administratora domeny i administratora przedsiębiorstwa nie są dostępne do użycia w domenie. Członkowie grupy administratorów domeny lub administratorów przedsiębiorstwa w lokalna usługa Active Directory nie mają również uprawnień domeny/administratora przedsiębiorstwa w domenie zarządzanej.
Czy można modyfikować członkostwa w grupach przy użyciu protokołu LDAP lub innych narzędzi administracyjnych usługi AD w domenach zarządzanych?
Nie można modyfikować użytkowników i grup zsynchronizowanych z identyfikatorem Entra firmy Microsoft z usługami Microsoft Entra Domain Services, ponieważ ich źródłem pochodzenia jest microsoft Entra ID. Obejmuje to przenoszenie użytkowników lub grup z jednostki organizacyjnej zarządzanej przez użytkowników usługi AADDC do niestandardowej jednostki organizacyjnej. Każdy użytkownik lub grupa pochodząca z domeny zarządzanej może zostać zmodyfikowana.
Czy mogę autoryzować serwer DHCP w domenie zarządzanej?
L.p. Członkostwo administratorów domeny jest wymagane do autoryzowania serwera DHCP, który nie jest dostępny w domenie zarządzanej.
Jak długo trwa wprowadzanie zmian w katalogu Microsoft Entra, aby było widoczne w mojej domenie zarządzanej?
Zmiany wprowadzone w katalogu Microsoft Entra przy użyciu interfejsu użytkownika firmy Microsoft lub programu PowerShell są automatycznie synchronizowane z domeną zarządzaną. Ten proces synchronizacji jest uruchamiany w tle. Nie ma zdefiniowanego okresu dla tej synchronizacji, aby ukończyć wszystkie zmiany obiektu.
Czy mogę rozszerzyć schemat domeny zarządzanej udostępnianej przez usługi Microsoft Entra Domain Services?
L.p. Schemat jest administrowany przez firmę Microsoft dla domeny zarządzanej. Rozszerzenia schematu nie są obsługiwane przez usługi Microsoft Entra Domain Services.
Czy mogę zmodyfikować lub dodać rekordy DNS w mojej domenie zarządzanej?
Tak. Członkowie grupy Administratorzy domeny firmy Microsoft Entra mają uprawnienia administratora DNS do modyfikowania rekordów DNS w domenie zarządzanej. Ci użytkownicy mogą używać konsoli Menedżera DNS na maszynie z systemem Windows Server przyłączonym do domeny zarządzanej do zarządzania systemem DNS. Aby użyć konsoli Menedżera DNS, zainstaluj narzędzia serwera DNS, które są częścią opcjonalnej funkcji Narzędzia administracji zdalnej serwera na serwerze. Aby uzyskać więcej informacji, zobacz Administrowanie systemem DNS w domenie zarządzanej usług Microsoft Entra Domain Services.
Jakie są zasady okresu istnienia hasła w domenie zarządzanej?
Domyślny okres istnienia hasła w domenie zarządzanej usług Microsoft Entra Domain Services wynosi 90 dni. Ten okres istnienia hasła nie jest synchronizowany z okresem istnienia hasła skonfigurowanym w identyfikatorze Entra firmy Microsoft. W związku z tym może wystąpić sytuacja, w której hasła użytkowników wygasają w domenie zarządzanej, ale nadal są prawidłowe w identyfikatorze Entra firmy Microsoft. W takich scenariuszach użytkownicy muszą zmienić swoje hasło w usłudze Microsoft Entra ID, a nowe hasło zostanie zsynchronizowane z domeną zarządzaną. Jeśli chcesz zmienić domyślny okres istnienia hasła w domenie zarządzanej, możesz utworzyć i skonfigurować niestandardowe zasady haseł.
Ponadto zasady hasła entra firmy Microsoft dla polecenia DisablePasswordExpiration są synchronizowane z domeną zarządzaną. Gdy parametr DisablePasswordExpiration jest stosowany do użytkownika w identyfikatorze Entra firmy Microsoft, zastosowan DONT_EXPIRE_PASSWORD o wartość UserAccountControl dla zsynchronizowanego użytkownika w domenie zarządzanej.
Gdy użytkownicy zresetują swoje hasło w identyfikatorze Entra firmy Microsoft, zostanie zastosowany atrybut forceChangePasswordNextSignIn=True . Domena zarządzana synchronizuje ten atrybut z identyfikatora Entra firmy Microsoft. Gdy domena zarządzana wykryje wartość forceChangePasswordNextSignIn jest ustawiona dla zsynchronizowanego użytkownika z identyfikatora Entra firmy Microsoft, atrybut pwdLastSet w domenie zarządzanej jest ustawiony na wartość 0, co powoduje unieważnienie aktualnie ustawionego hasła.
Czy usługi Microsoft Entra Domain Services zapewniają ochronę blokady konta usługi AD?
Tak. Pięć nieprawidłowych prób hasła w ciągu 2 minut w domenie zarządzanej powoduje zablokowanie konta użytkownika przez 30 minut. Po upływie 30 minut konto użytkownika zostanie automatycznie odblokowane. Nieprawidłowe próby hasła w domenie zarządzanej nie blokują konta użytkownika w identyfikatorze Microsoft Entra. Konto użytkownika jest zablokowane tylko w domenie zarządzanej usług Microsoft Entra Domain Services. Aby uzyskać więcej informacji, zobacz Password and account lockout policies on managed domains (Zasady blokowania haseł i kont w domenach zarządzanych).
Czy mogę skonfigurować rozproszony system plików i replikację w ramach usług Microsoft Entra Domain Services?
L.p. Rozproszony system plików (DFS) i replikacja nie są dostępne w przypadku korzystania z usług Microsoft Entra Domain Services.
W jaki sposób aktualizacje systemu Windows są stosowane w usługach Microsoft Entra Domain Services?
Kontrolery domeny w domenie zarządzanej automatycznie stosują wymagane aktualizacje systemu Windows. Nie ma nic do skonfigurowania lub administrowania w tym miejscu. Upewnij się, że nie utworzono reguł sieciowej grupy zabezpieczeń, które blokują ruch wychodzący do aktualizacji systemu Windows. W przypadku własnych maszyn wirtualnych dołączonych do domeny zarządzanej odpowiadasz za konfigurowanie i stosowanie wszelkich wymaganych aktualizacji systemu operacyjnego i aplikacji.
Czy należy usunąć tagi AzureUpdateDelivery i AzureFrontDoor.FirstParty w sieciowej grupie zabezpieczeń dla ruchu wychodzącego?
Po wycofaniu tagów AzureUpdateDelivery i AzureFrontDoor.FirstParty usługi Microsoft Entra Domain Services zarządzają niezależnie windowsUpdate, co eliminuje potrzebę tych tagów. Korekty sieciowej grupy zabezpieczeń nie są potrzebne, z tagami przestarzałymi lub bez tagów przestarzałych.
Gdzie firma Microsoft Entra Domain Services przechowuje dane klientów?
Usługa Microsoft Entra Domain Services przechowuje dane klientów. Domyślnie dane klientów pozostają w regionie, w którym jest wdrażane wystąpienie usługi. Klienci mogą używać zestawów replik do przechowywania danych w innych regionach.
Jak jest wykonywane stosowanie poprawek na kontrolerach domeny, które są częścią domeny zarządzanej?
Poprawki są instalowane, gdy tylko staną się dostępne (co drugi wtorek). Są one instalowane w fazach w tygodniu, w którym staną się dostępne, począwszy od wtorków.
Dlaczego moje kontrolery domeny zmieniają nazwy?
Istnieje możliwość, że podczas konserwacji kontrolerów domeny istnieje zmiana ich nazw. Aby uniknąć problemów z tą zmianą, zaleca się, aby nie używać nazw kontrolerów domeny zakodowanych na stałe w aplikacjach i/lub innych zasobach domeny, ale nazwy FQDN domeny. W ten sposób, niezależnie od nazw kontrolerów domeny, nie trzeba ponownie konfigurować żadnych elementów po zmianie nazwy.
Czy hasło konta KRBTGT w domenie zarządzanej jest okresowo wdrażane? Jeśli tak, jaka jest częstotliwość?
Hasło konta KRBTGT w domenie zarządzanej jest przerzucane co siedem (7) dni.
Rozliczenia i dostępność
Czy microsoft Entra Domain Services jest płatną usługą?
Tak. Aby uzyskać więcej informacji, zobacz stronę z cennikiem.
Czy istnieje bezpłatna wersja próbna usługi?
Usługa Microsoft Entra Domain Services jest zawarta w bezpłatnej wersji próbnej dla platformy Azure. Możesz utworzyć konto bezpłatnej miesięcznej wersji próbnej platformy Azure.
Czy mogę wstrzymać domenę zarządzaną usług Microsoft Entra Domain Services?
L.p. Po włączeniu domeny zarządzanej usług Microsoft Entra Domain Services usługa jest dostępna w wybranej sieci wirtualnej do momentu usunięcia domeny zarządzanej. Nie ma możliwości wstrzymania usługi. Rozliczenia będą kontynuowane co godzinę do momentu usunięcia domeny zarządzanej.
Czy mogę przejąć usługi Microsoft Entra Domain Services do innego regionu dla zdarzenia odzyskiwania po awarii?
Tak, aby zapewnić odporność geograficzną dla domeny zarządzanej, można utworzyć kolejną replikę ustawioną na równorzędną sieć wirtualną w dowolnym regionie świadczenia usługi Azure obsługującym usługi Domain Services. Zestawy replik współdzielą tę samą przestrzeń nazw i konfigurację z domeną zarządzaną.
Czy mogę uzyskać usługi Microsoft Entra Domain Services w ramach pakietu Enterprise Mobility Suite (EMS)? Czy do korzystania z usług Microsoft Entra Domain Services potrzebuję identyfikatora Microsoft Entra ID P1 lub P2?
L.p. Microsoft Entra Domain Services to usługa platformy Azure z płatnością zgodnie z rzeczywistym użyciem i nie jest częścią pakietu EMS. Usługi Microsoft Entra Domain Services mogą być używane ze wszystkimi wersjami microsoft Entra ID (wersja Bezpłatna i Premium). Opłaty są naliczane co godzinę w zależności od użycia.
Czy mogę utworzyć domenę podrzędną w domenie zarządzanej?
L.p. Usługi Microsoft Entra Domain Services mają projekt z jedną domeną, jednym lasem i nie można tworzyć domen podrzędnych.
Które regiony platformy Azure mają dostępną usługę?
Zapoznaj się ze stroną Usługi platformy Azure według regionów , aby wyświetlić listę regionów świadczenia usługi Azure, w których są dostępne usługi Microsoft Entra Domain Services.
Rozwiązywanie problemów
Zapoznaj się z przewodnikiem rozwiązywania problemów, aby uzyskać rozwiązania typowych problemów z konfigurowaniem lub administrowaniem usługami Azure AD Domain Services.
Następne kroki
Aby dowiedzieć się więcej o usługach Microsoft Entra Domain Services, zobacz Co to jest microsoft Entra Domain Services?.
Aby rozpocząć, zobacz Tworzenie i konfigurowanie domeny zarządzanej usług Microsoft Entra Domain Services.