Preguntas más frecuentes (P+F) sobre Microsoft Entra Domain Services

No. Solo puede crear un único dominio administrado atendido por Microsoft Entra Domain Services para un único directorio de Microsoft Entra.

No se admiten redes virtuales clásicas.

Para obtener más información, vea el aviso de desuso oficial.

Sí. Microsoft Entra Domain Services se puede habilitar en una red virtual de Azure Resource Manager. Ya no hay redes virtuales clásicas de Azure disponibles cuando crea un nuevo dominio administrado.

Sí. Para obtener más información, consulte cómo habilitar Microsoft Entra Domain Services en las suscripciones de CSP de Azure.

No. Para autenticar a los usuarios a través de NTLM o Kerberos, Microsoft Entra Domain Services necesita acceso a los hashes de contraseña de las cuentas de usuario. En un directorio federado, los hashes de contraseña no se almacenan en el directorio de Microsoft Entra. Por lo tanto, Microsoft Entra Domain Services no funciona con estos directorios de Microsoft Entra.

Sin embargo, si usa Microsoft Entra Connect para la sincronización de hash de contraseña, emplee Microsoft Entra Domain Services porque los valores de hash de contraseña se almacenan en Microsoft Entra ID.

El propio servicio no admite directamente este escenario. Su dominio administrado está disponible en una sola red virtual a la vez. Sin embargo, puede configurar la conectividad entre varias redes virtuales con el fin de exponer Microsoft Entra Domain Services a otras redes virtuales. Para obtener más información, consulte cómo conectar redes virtuales en Azure mediante puertas de enlace VPN o emparejamiento de redes virtuales.

Sí. Para más información, consulte cómo habilitar Microsoft Entra Domain Services mediante PowerShell.

Sí, puede crear un dominio administrado de Microsoft Entra Domain Services mediante una plantilla de Resource Manager. Antes de implementar la plantilla, se deben crear una entidad de servicio y un grupo de Microsoft Entra para la administración mediante el Centro de administración de Microsoft Entra o PowerShell. Cuando crea un dominio administrado de Microsoft Entra Domain Services en el Centro de administración de Microsoft Entra, también existe la opción de exportar la plantilla para utilizarla en otras implementaciones. Para más información, consulte Creación de un dominio administrado de Domain Services mediante una plantilla de Resource Manager.

No. El dominio proporcionado por Microsoft Entra Domain Services es un dominio administrado. No es necesario aprovisionar, configurar o administrar de otro modo controladores de dominio para este dominio. Microsoft proporciona estas actividades de administración como servicio. Por lo tanto, no podrá agregar controladores de dominio adicionales (ni de lectura y escritura ni de solo lectura) para el dominio administrado.

No. Los usuarios invitados a su directorio de Microsoft Entra mediante el proceso de invitación B2B de Microsoft Entra se sincronizan en el dominio administrado de Microsoft Entra Domain Services. Sin embargo, las contraseñas para estos usuarios no se almacenan en el directorio de Microsoft Entra. Por lo tanto, Microsoft Entra Domain Services no tiene ninguna manera de sincronizar los códigos hash de Kerberos y NTLM para estos usuarios en el dominio administrado. Estos usuario no pueden iniciar sesión o unir equipos al dominio administrado.

Sí, puede crear una confianza bidireccional. También puede crear una confianza saliente unidireccional o una confianza entrante unidireccional para admitir escenarios diferentes para la autenticación y el acceso de los usuarios. Para obtener más información, consulte Crear una relación de confianza de bosque.

Actualmente, Domain Services solo admite la confianza de bosque y no admite la confianza de dominio externo.

Después de crear un dominio administrado de Domain Services, no puede trasladarlo a otra suscripción, grupo de recursos o región. Como solución alternativa, puede eliminar el dominio gestionado mediante PowerShell o el centro de administración de Microsoft Entra y vuelva a crearlo con la configuración que desee. No se puede proporcionar ninguna operación de restauración mientras se vuelve a crear el dominio administrado.

No. Después de crear un dominio administrado de Microsoft Entra Domain Services, no puede cambiar el nombre de dominio DNS. Elija concienzudamente el nombre de dominio DNS al crear el dominio administrado. Para ver las consideraciones que se deben tener al elegir el nombre de dominio DNS, consulte el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.

Sí. Cada dominio administrado de Microsoft Entra Domain Services contiene dos controladores de dominio. No necesita administrar estos controladores de dominio ni conectarse a ellos; forman parte del servicio administrado. Si implementa Microsoft Entra Domain Services en una región que admite Availability Zones, los controladores de dominio se distribuirán por diferentes zonas. En las regiones que no admitan Availability Zones, los controladores de dominio se distribuirán por diferentes conjuntos de disponibilidad. No tiene ninguna opción de configuración ni ningún control que le permita administrar esta distribución. Para más información, consulte Opciones de disponibilidad para máquinas virtuales de Azure.

No. Los administradores de inquilinos no tienen privilegios para conectarse a controladores de dominio en el dominio administrado con el Escritorio remoto. Los miembros del grupo Administradores de controlador de dominio de Microsoft Entra pueden administrar el dominio administrado usando las herramientas de administración de AD, como el Centro de administración de Active Directory (ADAC) o AD PowerShell. Estas herramientas se instalan mediante la característica Herramientas de administración de servidor remoto en un servidor de Windows unido al dominio administrado. Para obtener más información, consulte Creación de una máquina virtual de administración para configurar y administrar un dominio administrado de Microsoft Entra Domain Services.

Cualquier cuenta de usuario que forme parte del dominio administrado puede unirse a una VM. A los miembros del grupo Administradores de controlador de dominio de Microsoft Entra se les concede acceso de escritorio remoto a las máquinas que se han unido al dominio administrado.

No hay cuota en Domain Services para máquinas unidas a un dominio.

Las máquinas virtuales que se ejecutan en Azure se sincronizan con los hosts de Azure para un tiempo muy preciso. Las máquinas virtuales que no son de Azure que se ejecutan en el entorno local deben tener configurados los servicios de hora de Windows para la sincronización con un origen de hora NTP externo, de forma similar a las máquinas virtuales unidas a un dominio. Para obtener más información, consulte Configuración del mecanismo de tiempo para Windows Virtual Machines de Active Directory.

No. No se le conceden privilegios administrativos en el dominio administrado. Los privilegios Administrador de dominio y Administrador de organización no estarán disponibles dentro del dominio. A los miembros de los grupos de administradores de dominio o administradores de organización dentro del directorio local de Active Directory tampoco se les concederán privilegios de administrador de dominio o de organización en el dominio administrado.

Los usuarios y grupos que se sincronizan entre Microsoft Entra ID y Microsoft Entra Domain Services no se pueden modificar porque su origen es Microsoft Entra ID. Esto incluye mover usuarios o grupos de la unidad organizativa administrada Usuarios AADDC a una unidad organizativa personalizada. Cualquier grupo o usuario que se origine en el dominio administrado se puede modificar.

No. La pertenencia de los Administradores de dominio es necesaria para autorizar un servidor DHCP, que no está disponible en un dominio administrado.

Los cambios realizados en el directorio de Microsoft Entra mediante la interfaz de usuario de Microsoft Entra o PowerShell se sincronizan automáticamente con el dominio administrado. Este proceso de sincronización se ejecuta en segundo plano. No hay ningún período de tiempo definido para que esta sincronización complete todos los cambios en el objeto.

No. Microsoft administra el esquema del dominio administrado. No se admiten extensiones de esquema en Microsoft Entra Domain Services.

Sí. Los miembros del grupo Administradores de controlador de dominio de Microsoft Entra reciben privilegios de Administrador de DNS con el fin de modificar los registros DNS en el dominio administrado. Estos usuarios pueden utilizar la consola de administrador de DNS en una máquina que ejecuta Windows Server unido al dominio administrado para administrar DNS. A fin de usar la consola de administrador de DNS, instale las Herramientas del servidor DNS, que forman parte de la característica opcional Herramientas de administración remota del servidor en el servidor. Para más información, consulte Administración de DNS en un dominio administrado de Microsoft Entra Domain Services.

La duración predeterminada de la contraseña en un dominio administrado de Microsoft Entra Domain Services es de 90 días. Esta duración de la contraseña no se sincroniza con la duración de la contraseña configurada en Microsoft Entra ID. Por lo tanto, podría darse una situación donde las contraseñas de los usuarios hayan expirado en el dominio administrado, pero sigan siendo válidas en Microsoft Entra ID. En tales escenarios, los usuarios deben cambiar sus contraseñas en Microsoft Entra ID y la nueva contraseña se sincronizará con el dominio administrado. Si desea cambiar la duración predeterminada de la contraseña en un dominio administrado, puede crear y configurar directivas de contraseñas personalizadas.

Además, la directiva de contraseñas de Microsoft Entra para DisablePasswordExpiration se sincroniza con un dominio administrado. Cuando DisablePasswordExpiration se aplica a un usuario en Microsoft Entra ID, el valor de UserAccountControl para el usuario sincronizado en el dominio administrado tiene DONT_EXPIRE_PASSWORD aplicado.

Cuando los usuarios restablecen su contraseña en Microsoft Entra ID, se aplica el atributo forceChangePasswordNextSignIn=True. Un dominio administrado sincroniza este atributo a partir de Microsoft Entra ID. Cuando el dominio administrado detecta que forceChangePasswordNextSignIn se ha establecido para un usuario sincronizado en Microsoft Entra ID, el atributopwdLastSet del dominio administrado se establece en 0, lo que invalida la contraseña establecida actualmente.

Sí. Tras escribir una contraseña incorrecta del dominio administrado cinco veces en un lapso de dos minutos, la cuenta de usuario quedará bloqueada durante 30 minutos. Pasados los 30 minutos, la cuenta de usuario se desbloqueará automáticamente. Los intentos no válidos de escribir la contraseña en el dominio administrado no provocarán el bloqueo de la cuenta de usuario en Microsoft Entra ID. La cuenta de usuario solo se bloqueará en el dominio administrado de Microsoft Entra Domain Services. Para obtener más información Directivas de bloqueo de cuenta y contraseña en dominios administrados.

No. El Sistema de archivos distribuido (DFS) y la replicación no están disponibles cuando se usa Microsoft Entra Domain Services.

Los controladores de dominio de un dominio administrado aplican automáticamente las actualizaciones de Windows necesarias. No es necesario configurar ni administrar nada. Asegúrese de no crear reglas de grupo de seguridad de red que bloqueen el tráfico saliente hacia las actualizaciones de Windows. En el caso de las máquinas virtuales unidas al dominio administrado, el usuario es responsable de configurar y aplicar las actualizaciones necesarias del sistema operativo y de la aplicación.

Las revisiones se instalan tan pronto como estén disponibles (cada segundo martes). Se instalan por fases durante la semana en que están disponibles, empezando los martes.

Es posible que durante el mantenimiento de los controladores de dominio haya un cambio en sus nombres. Para evitar problemas con este tipo de cambio, se recomienda no usar los nombres de los controladores de dominio codificados de forma rígida en aplicaciones u otros recursos de dominio, sino el FQDN del dominio. De este modo, independientemente de cuáles sean los nombres de los controladores de dominio, no tendrá que volver a configurar nada después de un cambio de nombre.

La contraseña de la cuenta KRBTGT en un dominio administrado se sustituye cada siete (7) días.

Sí. Consulte la página de preciospara obtener más información.

Se incluye Microsoft Entra Domain Services en la evaluación gratuita de Azure. Puede suscribirse a un mes de evaluación gratuita de Azure.

No. Después de habilitar un dominio administrado de Microsoft Entra Domain Services, el servicio está disponible en la red virtual seleccionada hasta que se elimina el dominio administrado. No hay manera de pausar el servicio. La facturación continúa cada hora hasta que se elimine el dominio administrado.

Sí, para proporcionar resistencia geográfica a un dominio administrado, puede crear otro conjunto de réplicas en una red virtual emparejada en cualquier región de Azure que admita Domain Services. Los conjuntos de réplicas comparten el mismo espacio de nombres y la misma configuración con el dominio administrado.

No. Microsoft Entra Domain Services es un servicio de pago por uso de Azure y no forma parte de EMS. Microsoft Entra Domain Services se puede usar con todas las ediciones de Microsoft Entra ID (Gratis y Premium). Se le facturará por cada hora en función del uso.

No. Microsoft Entra Domain Services tiene un solo dominio, un diseño de bosque único y no se pueden crear dominios secundarios.

Consulte la página Servicios de Azure por región para ver una lista de las regiones de Azure donde está disponible Microsoft Entra Domain Services.

Solucionar problemas

Consulte nuestra Guía de solución de problemas para obtener soluciones a los problemas más habituales al configurar o administrar Azure AD Domain Services.

Pasos siguientes

Para obtener más información sobre Microsoft Entra Domain Services, consulte ¿Qué es Microsoft Entra Domain Services?.

Para empezar, consulte Crear y configurar dominios administrados de Microsoft Entra Domain Services.