Esta página responde a las preguntas más frecuentes acerca de Azure Active Directory Domain Services.
Configuración
¿Se pueden crear varios dominios administrados para un único directorio de Azure AD?
No. Solo se puede crear un único dominio administrado atendido por Azure AD Domain Services para un único directorio de Azure AD.
¿Puedo habilitar Azure AD Domain Services en una red virtual clásica?
No se admiten redes virtuales clásicas para nuevas implementaciones. Los dominios administrados existentes implementados en redes virtuales clásicas seguirán siendo compatibles hasta que se retiren el 1 de marzo de 2023. Para las implementaciones existentes, puede migrar Azure AD Domain Services desde el modelo de red virtual clásica a Resource Manager.
Para obtener más información, vea el aviso de desuso oficial.
¿Puedo habilitar Azure AD Domain Services en una red virtual de Azure Resource Manager?
Sí. Azure AD Domain Services se puede habilitar en una red virtual de Azure Resource Manager. Ya no hay redes virtuales clásicas de Azure disponibles cuando crea un nuevo dominio administrado.
¿Puedo migrar mi dominio administrado existente de una red virtual clásica a una red virtual de Resource Manager?
Sí. Para más información, consulte Migración de Azure AD Domain Services desde el modelo de red virtual clásica a Resource Manager.
¿Puedo habilitar Azure AD Domain Services en una suscripción de Azure CSP (proveedor de soluciones en la nube)?
Sí. Para obtener más información, consulte cómo habilitar Azure AD Domain Services en las suscripciones de Azure CSP.
¿Puedo habilitar Azure AD Domain Services en un directorio de Azure AD federado? No sincronizo los valores hash de contraseña con Azure AD. ¿Puedo habilitar Azure AD Domain Services para este directorio?
No. Para autenticar a los usuarios a través de NTLM o Kerberos, Azure AD Domain Services necesita acceso a los hashes de contraseña de las cuentas de usuario . En un directorio federado, los hashes de contraseña no se almacenan en el directorio de Azure AD. Por tanto, Azure AD Domain Services no funciona con estos directorios de Azure AD.
Sin embargo, si usa Azure AD Connect para la sincronización de hash de contraseñas, puede usar Azure AD Domain Services porque los valores hash de contraseña se almacenan en Azure AD.
¿Puedo hacer que Azure AD Domain Services esté disponible en varias redes virtuales dentro de mi suscripción?
El propio servicio no admite directamente este escenario. Su dominio administrado está disponible en una sola red virtual a la vez. Sin embargo, puede configurar la conectividad entre varias redes virtuales con el fin de exponer Azure AD Domain Services a otras redes virtuales. Para obtener más información, consulte cómo conectar redes virtuales en Azure mediante puertas de enlace VPN o emparejamiento de redes virtuales.
¿Puedo habilitar Servicios de dominio de Azure AD mediante PowerShell?
Sí. Para más información, consulte cómo habilitar Azure AD Domain Services mediante PowerShell.
¿Puedo habilitar Azure AD Domain Services mediante la plantilla de Resource Manager?
Sí, puede crear un dominio administrado de Azure AD Domain Services mediante una plantilla de Resource Manager. Se deben crear una entidad de servicio y un grupo de Azure AD para la administración mediante Azure Portal o Azure PowerShell antes de que se implemente la plantilla. Para más información, consulte Creación de un dominio administrado de Azure Active Directory Domain Services mediante una plantilla de Resource Manager. Al crear un dominio administrado de Azure AD Domain Services en Azure Portal, también existe la opción de exportar la plantilla para su uso en implementaciones adicionales.
¿Puedo agregar controladores de dominio a un dominio administrado de Servicios de dominio de Azure AD?
No. El dominio de Servicios de dominio de Azure AD es un dominio administrado. No es necesario aprovisionar, configurar o administrar de otro modo controladores de dominio para este dominio. Microsoft proporciona estas actividades de administración como servicio. Por lo tanto, no podrá agregar controladores de dominio adicionales (ni de lectura y escritura ni de solo lectura) para el dominio administrado.
¿Pueden los usuarios invitados a mi directorio usar Azure AD Domain Services?
No. Los usuarios invitados a su directorio de Azure AD mediante el proceso de invitación B2B de Azure AD se sincronizan en el dominio administrado de Azure AD Domain Services. Sin embargo, las contraseñas para estos usuarios no se almacenan en el directorio de Azure AD. Por lo tanto, Azure AD Domain Services no tiene ninguna manera de sincronizar los códigos hash de Kerberos y NTLM para estos usuarios en el dominio administrado. Estos usuario no pueden iniciar sesión o unir equipos al dominio administrado.
¿Se puede crear una confianza de bosque de dos vías entre un bosque de recursos y un bosque local?
No. Un bosque de recursos de dominio administrado admite hasta cinco bosques de salida unidireccionales en los bosques locales.
¿Puedo mover un dominio administrado?
No. Después de crear un dominio administrado de Azure AD Domain Services, no puede trasladarlo a otra suscripción, grupo de recursos, región, red virtual o subred. Como solución alternativa, puede eliminar el dominio administrado mediante PowerShell o Azure Portal y volver a crearlo con la configuración deseada. No se puede proporcionar ninguna operación de restauración mientras se vuelve a crear el dominio administrado.
¿Puedo cambiar el nombre de un dominio de Azure AD Domain Services?
No. Después de crear un dominio administrado de Azure AD Domain Services, no puede cambiar el nombre de dominio DNS. Elija concienzudamente el nombre de dominio DNS al crear el dominio administrado. Para ver las consideraciones que se deben tener al elegir el nombre de dominio DNS, consulte el tutorial para crear y configurar un dominio administrado de Azure AD Domain Services.
¿Azure AD Domain Services incluye opciones de alta disponibilidad?
Sí. Cada dominio administrado de Azure AD Domain Services contiene dos controladores de dominio. No necesita administrar estos controladores de dominio ni conectarse a ellos; forman parte del servicio administrado. Si implementa Azure AD Domain Services en una región que admite Availability Zones, los controladores de dominio se distribuirán por diferentes zonas. En las regiones que no admitan Availability Zones, los controladores de dominio se distribuirán por diferentes conjuntos de disponibilidad. No tiene ninguna opción de configuración ni ningún control que le permita administrar esta distribución. Para más información, consulte Opciones de disponibilidad para máquinas virtuales de Azure.
Administración y operaciones
¿Puedo conectarme al controlador de dominio para mi dominio administrado mediante Escritorio remoto?
No. Los administradores de inquilinos no tienen privilegios para conectarse a controladores de dominio en el dominio administrado con el Escritorio remoto. Los miembros del grupo Administradores de controlador de dominio de AAD pueden administrar el dominio administrado usando las herramientas de administración de AD, como el Centro de administración de Active Directory (ADAC) o AD PowerShell. Estas herramientas se instalan mediante la característica Herramientas de administración de servidor remoto en un servidor de Windows unido al dominio administrado. Para obtener más información, consulte Creación de una máquina virtual de administración para configurar y administrar un dominio administrado de Azure AD Domain Services.
He habilitado Azure AD Domain Services. ¿Qué cuenta de usuario utilizo para unir máquinas a este dominio?
Cualquier cuenta de usuario que forme parte del dominio administrado puede unirse a una VM. A los miembros del grupo Administradores de AAD DC se les concede acceso de Escritorio remoto a las máquinas que se han unido al dominio administrado.
¿Puedo tener privilegios de administrador de dominio para el dominio administrado proporcionado por Azure AD Domain Services?
No. No se le conceden privilegios administrativos en el dominio administrado. Los privilegios Administrador de dominio y Administrador de organización no estarán disponibles dentro del dominio. A los miembros de los grupos de administradores de dominio o administradores de organización dentro del directorio local de Active Directory tampoco se les concederán privilegios de administrador de dominio o de organización en el dominio administrado.
¿Puedo modificar pertenencias a grupos mediante LDAP u otras herramientas administrativas de AD en dominios administrados?
Los usuarios y grupos que se sincronizan desde Azure Active Directory con Azure AD Domain Services no se pueden modificar porque su origen es Azure Active Directory. Esto incluye mover usuarios o grupos de la unidad organizativa administrada AADDC Users a una unidad organizativa personalizada. Cualquier grupo o usuario que se origine en el dominio administrado se puede modificar.
¿Cuánto tardan los cambios realizados en el directorio de Azure AD en estar visibles en mi dominio administrado?
Los cambios realizados en el directorio de Azure AD mediante la interfaz de usuario de Azure AD o PowerShell se sincronizan automáticamente con el dominio administrado. Este proceso de sincronización se ejecuta en segundo plano. No hay ningún período de tiempo definido para que esta sincronización complete todos los cambios en el objeto.
¿Puedo extender el esquema del dominio administrado por Azure AD Domain Services?
No. Microsoft administra el esquema del dominio administrado. No se admiten extensiones de esquema en los Servicios de dominio de Azure AD.
¿Puedo modificar o agregar registros DNS en mi dominio administrado?
Sí. Los miembros del grupo Administradores de controlador de dominio de AAD reciben privilegios de Administrador de DNS con el fin de modificar los registros DNS en el dominio administrado. Estos usuarios pueden utilizar la consola de administrador de DNS en una máquina que ejecuta Windows Server unido al dominio administrado para administrar DNS. A fin de usar la consola de administrador de DNS, instale las Herramientas del servidor DNS, que forman parte de la característica opcional Herramientas de administración remota del servidor en el servidor. Para obtener más información, consulte Administración de DNS en un dominio administrado con Azure AD Domain Services
¿Qué es la directiva de duración de la contraseña en un dominio administrado?
La duración predeterminada de la contraseña en un dominio administrado de Azure AD Domain Services es de 90 días. Esta duración de la contraseña no está sincronizada con la duración de la contraseña configurada en Azure AD. Por lo tanto, podría darse una situación donde las contraseñas de los usuarios hayan expirado en el dominio administrado, pero sigan siendo válidas en Azure AD. En tales escenarios, los usuarios deben cambiar sus contraseñas en Azure AD y la nueva contraseña se sincronizará con el dominio administrado. Si desea cambiar la duración predeterminada de la contraseña en un dominio administrado, puede crear y configurar directivas de contraseñas personalizadas.
Además, la directiva de contraseñas de Azure AD para DisablePasswordExpiration se sincroniza con un dominio administrado. Cuando DisablePasswordExpiration se aplica a un usuario en Azure AD, el valor de UserAccountControl para el usuario sincronizado en el dominio administrado indica DONT_EXPIRE_PASSWORD.
Cuando los usuarios restablecen su contraseña en Azure AD, se aplica el atributo forceChangePasswordNextSignIn = True. Este atributo lo sincroniza un dominio administrado en Azure AD. Cuando el dominio administrado detecta que forceChangePasswordNextSignIn se ha establecido para un usuario sincronizado en Azure AD, el atributopwdLastSet del dominio administrado se establece en 0, lo que invalida la contraseña establecida actualmente.
¿Azure AD Domain Services proporciona protección de bloqueo de cuentas de AD?
Sí. Tras escribir una contraseña incorrecta del dominio administrado cinco veces en un lapso de dos minutos, la cuenta de usuario quedará bloqueada durante 30 minutos. Pasados los 30 minutos, la cuenta de usuario se desbloqueará automáticamente. Los intentos no válidos de escribir la contraseña del dominio administrado no provocarán el bloqueo de la cuenta de usuario en Azure AD. La cuenta de usuario solo se bloqueará en el dominio administrado de Azure AD Domain Services. Para obtener más información Directivas de bloqueo de cuenta y contraseña en dominios administrados.
¿Puedo configurar el sistema de archivos distribuido y la replicación en Azure AD Domain Services?
No. El sistema de archivos distribuido (DFS) y la replicación no están disponibles cuando se usa Azure AD Domain Services.
¿Cómo se aplican las actualizaciones de Windows en Azure AD Domain Services?
Los controladores de dominio de un dominio administrado aplican automáticamente las actualizaciones de Windows necesarias. No es necesario configurar ni administrar nada. Asegúrese de no crear reglas de grupo de seguridad de red que bloqueen el tráfico saliente hacia las actualizaciones de Windows. En el caso de las máquinas virtuales unidas al dominio administrado, el usuario es responsable de configurar y aplicar las actualizaciones necesarias del sistema operativo y de la aplicación.
Facturación y disponibilidad
¿Azure AD Domain Services es un servicio de pago?
Sí. Consulte la página de preciospara obtener más información.
¿Hay una versión de prueba gratuita para el servicio?
Se incluye Azure AD Domain Services en la evaluación gratuita de Azure. Puede suscribirse a un mes de evaluación gratuita de Azure.
¿Puedo pausar un dominio administrado de Azure AD Domain Services?
No. Después de habilitar un dominio administrado de Azure AD Domain Services, el servicio está disponible en la red virtual administrada hasta que se elimina el dominio administrado. No hay manera de pausar el servicio. La facturación continúa cada hora hasta que se elimine el dominio administrado.
¿Puedo conmutar por error Azure AD Domain Services a otra región en un evento de recuperación ante desastres?
Sí, para proporcionar resistencia geográfica a un dominio administrado, puede crear un conjunto de réplicas adicional en una red virtual emparejada en cualquier región de Azure que admita Azure AD DS. Los conjuntos de réplicas comparten el mismo espacio de nombres y la misma configuración con el dominio administrado.
¿Puedo obtener Servicios de dominio de Azure AD como parte de Enterprise Mobility Suite (EMS)? ¿Necesito Azure AD Premium para usar Azure AD Domain Services?
No. No, Azure AD Domain Services es un servicio de pago por uso de Azure y no forma parte de EMS. Azure AD Domain Services puede utilizarse con todas las ediciones de Azure AD (Gratis y Premium). Se le facturará por cada hora en función del uso.
¿Puedo crear un dominio secundario en un dominio administrado?
No. Azure AD Domain Services tiene un solo dominio, un diseño de bosque único y no se pueden crear dominios secundarios.
¿En qué regiones de Azure está disponible el servicio?
Consulte la página de servicios de Azure por región para saber en qué regiones de Azure está disponible Azure AD Domain Services.
Solución de problemas
Consulte nuestra Guía de solución de problemas para obtener soluciones a los problemas más habituales al configurar o administrar Azure AD Domain Services.
Pasos siguientes
Para obtener más información acerca de Azure AD Domain Services, consulte ¿Qué es Azure Active Directory Domain Services?.
Para comenzar, consulte Crear y configurar una dominio administrado de Azure Active Directory Domain Services.