Nejčastější dotazy k Azure Active Directory (AD) Domain Services

No. Můžete vytvořit jenom jednu spravovanou doménu spravovanou službou Azure AD Domain Services pro jeden adresář Azure AD.

Klasické virtuální sítě nejsou podporované pro nová nasazení. Stávající spravované domény nasazené v klasických virtuálních sítích budou i nadále podporovány, dokud 1. března 2023 nebudou vyřazeny z provozu. U existujících nasazení můžete migrovat Azure AD Domain Services z modeluklasické virtuální sítě do Resource Manager .

Další informace najdete v oficiálním oznámení o vynětu.

Ano. Azure AD Domain Services je možné povolit ve Azure Resource Manager virtuální síti. Klasické virtuální sítě Azure už nejsou při vytváření spravované domény dostupné.

Ano. Další informace najdete v tématu Migrace Azure AD Domain Services z modelu klasické virtuální sítědo Resource Manager .

Ano. Další informace najdete v tématu povolení Azure AD Domain Services Azure CSP předplatných.

No. K ověřování uživatelů prostřednictvím protokolu NTLM nebo Kerberos Azure AD Domain Services přístup k hash hesel uživatelských účtů. Ve federovaném adresáři se v adresáři Azure AD neuchovávají hash hesel. Proto Azure AD Domain Services s takovými adresáři Azure AD nefunguje.

Pokud ale používáte Azure AD Připojení synchronizaci hodnot hash hesel, můžete použít Azure AD Domain Services protože hodnoty hash hesel jsou uložené v Azure AD.

Samotná služba tento scénář přímo nepodporuje. Vaše spravovaná doména je dostupná jenom v jedné virtuální síti. Připojení mezi několika virtuálními sítěmi ale můžete nakonfigurovat tak, aby Azure AD Domain Services jiným virtuálním sítím. Další informace najdete v tématu propojení virtuálních sítí v Azure pomocí bran VPN nebo partnerského vztahu virtuálních sítí.

Ano. Další informace najdete v tématu, jak povolit Azure AD Domain Services pomocí PowerShellu.

Ano, k vytvoření Azure AD Domain Services domény můžete použít Resource Manager šablony. Před nasazením šablony musí být objekt služby a skupina Azure AD pro správu vytvořeny pomocí Azure Portal nebo Azure PowerShell služby. Další informace najdete v tématu Vytvoření Azure AD DS domény pomocí Azure Resource Manager šablony. Když vytvoříte Azure AD Domain Services domény v Azure Portal, existuje také možnost exportovat šablonu pro použití s dalšími nasazeními.

No. Doména poskytovaná službou Azure AD Domain Services je spravovaná doména. Pro tuto doménu nemusíte zřřovat, konfigurovat ani jinak spravovat řadiče domény. Tyto aktivity správy poskytuje Microsoft jako službu. Proto nemůžete přidat další řadiče domény (pro čtení i zápis nebo jen pro čtení) pro spravovanou doménu.

No. Uživatelé hostů pozvaní do adresáře Azure AD pomocí procesu pozvání Azure AD B2B se synchronizují do vaší Azure AD Domain Services spravované domény. Hesla pro tyto uživatele ale nejsou uložená v adresáři Azure AD. Proto Azure AD Domain Services žádný způsob, jak synchronizovat hash protokolu NTLM a Kerberos pro tyto uživatele do spravované domény. Tito uživatelé se nemůže přihlásit ani připojit počítače ke spravované doméně.

No. Doménová struktura prostředků spravované domény podporuje až pět odchozích vztahů důvěryhodnosti doménové struktury s místními doménovými strukturami.

No. Po vytvoření Azure AD Domain Services domény ji nemůžete přesunout do jiného předplatného, skupiny prostředků, oblasti, virtuální sítě nebo podsítě. Alternativním řešením je odstranit spravovanou doménu pomocí PowerShellu nebo Azure Portal a znovu ji vytvořit s požadovaným nastavením. Během opětovného vytváření spravované domény není možné provádět žádné operace obnovení.

No. Po vytvoření Azure AD Domain Services domény nemůžete změnit název domény DNS. Při vytváření spravované domény pečlivě zvolte název domény DNS. Informace o tom, co je třeba vzít v úvahu při výběru názvu domény DNS, najdete v kurzu vytvoření a Azure AD Domain Services spravované domény.

Ano. Každá Azure AD Domain Services domény obsahuje dva řadiče domény. Tyto řadiče domény nespravujte ani se k nich nepřipojíte, jsou součástí spravované služby. Pokud nasadíte Azure AD Domain Services do oblasti, která podporuje Zóny dostupnosti, řadiče domény se distribuují napříč zónami. V oblastech, které nepodporují Zóny dostupnosti se řadiče domény distribuují mezi skupiny dostupnosti. Nad touto distribucí nemáte žádné možnosti konfigurace ani řízení správy. Další informace najdete v tématu Možnosti dostupnosti pro virtuální počítače v Azure.

No. Nemáte oprávnění pro připojení k řadičům domény pro spravovanou doménu pomocí Vzdálené plochy. Členové skupiny AAD DC můžou spravovat spravovanou doménu pomocí nástrojů pro správu služby AD, jako je Centrum správy služby Active Directory (ADAC) nebo AD PowerShell. Tyto nástroje se instaluje pomocí Nástroje pro vzdálenou správu serveru na Windows serveru připojeném ke spravované doméně. Další informace najdete v tématu Vytvoření virtuálního počítače pro správu pro konfiguraci asprávu Azure AD Domain Services spravované domény.

K virtuálnímu počítače se může připojit jakýkoli uživatelský účet, který je součástí spravované domény. Členům skupiny AAD DC Administrators je udělen přístup ke vzdálené ploše počítačů, které byly připojeny ke spravované doméně.

No. Ve spravované doméně nemáte udělená oprávnění správce. Oprávnění správce Enterprise správce domény nejsou k dispozici pro použití v rámci domény. Členům skupiny správce domény nebo podnikového správce ve vaší místní Active Directory se také neudělí oprávnění správce domény nebo podniku ve spravované doméně.

Uživatele a skupiny synchronizované z Azure Active Directory do Azure AD Domain Services nelze změnit, protože jejich zdroj původu je Azure Active Directory. To zahrnuje přesun uživatelů nebo skupin z organizační jednotky spravované uživateli AADDC do vlastní organizační jednotky. Je možné upravit libovolného uživatele nebo skupinu pocházející ze spravované domény.

Změny provedené v adresáři Azure AD pomocí uživatelského rozhraní Azure AD nebo PowerShellu se automaticky synchronizují s vaší spravovanou doménou. Tento proces synchronizace běží na pozadí. Neexistuje žádné definované časové období, během které by tato synchronizace dokončila všechny změny objektu.

No. Schéma spravuje Microsoft pro spravovanou doménu. Rozšíření schématu nejsou podporovaná Azure AD Domain Services.

Ano. Členům skupiny AAD řadiče domény mají udělená oprávnění správce DNS k úpravě záznamů DNS ve spravované doméně. Tito uživatelé mohou ke správě DNS použít konzolu Správce DNS na počítači Windows Server připojený ke spravované doméně. Pokud chcete použít konzolu Správce DNS, nainstalujte nástroje serveru DNS , které jsou Nástroje pro vzdálenou správu serveru volitelné funkce na serveru. Další informace najdete v tématu Správa DNS v Azure AD Domain Services spravované doméně.

Výchozí doba života hesla ve spravované Azure AD Domain Services je 90 dnů. Tato doba života hesla není synchronizovaná s životností hesla nakonfigurovanou ve službě Azure AD. Proto může dojít k situaci, kdy vyprší platnost hesel uživatelů ve spravované doméně, ale jsou stále platná ve službě Azure AD. V takových scénářích si uživatelé musí změnit heslo ve službě Azure AD a nové heslo se bude synchronizovat s vaší spravovanou doménou. Pokud chcete změnit výchozí dobu života hesla ve spravované doméně, můžete vytvořit a nakonfigurovat vlastní zásady hesel. .

Kromě toho se zásady hesel Azure AD pro DisablePasswordExpiration synchronizují se spravovanou doménou. Když se DisablePasswordExpiration použije na uživatele v Azure AD, hodnota UserAccountControl synchronizovaných uživatelů ve spravované doméně se DONT_EXPIRE_PASSWORD použít.

Když si uživatelé resetují heslo v Azure AD, použije se atribut forceChangePasswordNextSignIn=True. Spravovaná doména synchronizuje tento atribut z Azure AD. Když spravovaná doména zjistí, že je pro synchronizovaného uživatele z Azure AD nastavený atribut forceChangePasswordNextSignIn, atribut pwdLastSet ve spravované doméně je nastavený na 0, což zruší platnost aktuálně nastaveného hesla.

Ano. Pět pokusů o zadání neplatného hesla ve spravované doméně během 2 minut způsobí uzamčení uživatelského účtu po dobu 30 minut. Po 30 minutách se uživatelský účet automaticky odemkne. Pokusy o zadání neplatného hesla ve spravované doméně nezamknou uživatelský účet ve službě Azure AD. Uživatelský účet je uzamčený pouze v rámci vaší Azure AD Domain Services spravované domény. Další informace najdete v tématu Zásady uzamčení hesel a účtů ve spravovaných doménách.

No. systém souborů DFS (Distributed File System) (DFS) a replikace nejsou při použití systému Azure AD Domain Services.

Řadiče domény ve spravované doméně automaticky aplikují požadované Windows aktualizace. Tady není nic, co byste měli konfigurovat nebo spravovat. Ujistěte se, že nevytváříte pravidla skupiny zabezpečení sítě, která blokují odchozí provoz do Windows Updates. Za konfiguraci a použití všech požadovaných aktualizací operačního systému a aplikací zodpovídáte za své vlastní virtuální počítače připojené ke spravované doméně.

Ano. Další informace najdete na stránce s cenami.

Azure AD Domain Services je součástí bezplatné zkušební verze Azure. Můžete si zaregistrovat bezplatnou měsíční zkušební verzi Azure.

No. Po povolení spravované domény Azure AD Domain Services, bude služba dostupná v rámci vybrané virtuální sítě, dokud spravovanou doménu nevystraníte. Službu není žádným způsobem pozastavit. Fakturace pokračuje po hodinách, dokud spravovanou doménu nespravovanou doménu odstraníte.

Ano, pokud chcete zajistit geografickou odolnost pro spravovanou doménu, můžete vytvořit další sadu replik v partnerské virtuální síti v jakékoli oblasti Azure, která podporuje Azure AD DS. Sady replik sdílejí stejný obor názvů a konfiguraci se spravovanou doménou.

No. Azure AD Domain Services je služba Azure s platbami při platbách, která není součástí EMS. Azure AD Domain Services můžete použít se všemi edicemi Azure AD (Free a Premium). V závislosti na využití se vám účtuje po hodině.

No. Azure AD Domain Services má návrh s jednou doménovou doménou a nemůžete vytvářet podřízené domény.

Seznam oblastí Azure, ve kterých je k dispozici, najdete na stránce Služby Azure Azure AD Domain Services oblasti.

Řešení potíží

V průvodci odstraňováním potíží najdete řešení běžných problémů s konfigurací nebo správou Azure AD Domain Services.

Další kroky

Další informace o Azure AD Domain Services najdete v tématu Co je Azure Active Directory Domain Services?.

Pokud chcete začít, podívejte se na vytvoření a konfiguraci Azure Active Directory domény spravované službou Domain Services.