A Microsoft Entra Domain Services szolgáltatással kapcsolatos gyakori kérdések (GYIK)

Szám A Microsoft Entra Domain Services által egyetlen felügyelt tartományt csak egyetlen Microsoft Entra-címtárhoz hozhat létre.

A klasszikus virtuális hálózatok nem támogatottak.

További információkért lásd a hivatalos elavulásról szóló közleményt.

Igen. A Microsoft Entra Domain Services egy Azure Resource Manager virtuális hálózaton engedélyezhető. A klasszikus Azure-beli virtuális hálózatok már nem érhetők el felügyelt tartomány létrehozásakor.

Igen. További információkért tekintse meg , hogyan engedélyezheti a Microsoft Entra Domain Servicest az Azure CSP-előfizetésekben.

Szám A felhasználók NTLM-en vagy Kerberoson keresztüli hitelesítéséhez a Microsoft Entra Domain Servicesnek hozzá kell férnie a felhasználói fiókok jelszókivonataihoz. Összevont címtárban a jelszókivonatok nem a Microsoft Entra könyvtárban vannak tárolva. Ezért a Microsoft Entra Domain Services nem működik az ilyen Microsoft Entra-címtárakkal.

Ha azonban a Microsoft Entra Csatlakozás használja a jelszókivonat-szinkronizáláshoz, használhatja a Microsoft Entra Domain Services szolgáltatást, mert a jelszókivonat értékei a Microsoft Entra-azonosítóban vannak tárolva.

Maga a szolgáltatás nem támogatja közvetlenül ezt a forgatókönyvet. A felügyelt tartomány egyszerre csak egy virtuális hálózaton érhető el. Több virtuális hálózat közötti kapcsolatot azonban konfigurálhat, hogy a Microsoft Entra Domain Servicest más virtuális hálózatokon is elérhetővé tegye. További információkért tekintse meg , hogyan csatlakoztathat virtuális hálózatokat az Azure-ban VPN-átjárók vagy virtuális hálózatok közötti társviszony-létesítés használatával.

Igen. További információkért tekintse meg , hogyan engedélyezheti a Microsoft Entra Domain Servicest a PowerShell használatával.

Igen, Resource Manager-sablonnal létrehozhat egy Felügyelt Microsoft Entra Domain Services-tartományt. A sablon üzembe helyezése előtt létre kell hozni egy szolgáltatásnevet és egy Felügyeleti Microsoft Entra-csoportot a Microsoft Entra felügyeleti központban vagy a PowerShellben. Amikor a Microsoft Entra Domain Services által felügyelt tartományt hoz létre a Microsoft Entra Felügyeleti központban, lehetősége van a sablon exportálására más központi telepítésekkel való használatra. További információ: Domain Services által felügyelt tartomány létrehozása Azure Resource Manager-sablonnal.

Szám A Microsoft Entra Domain Services által biztosított tartomány egy felügyelt tartomány. Ehhez a tartományhoz nem kell tartományvezérlőket kiépítenie, konfigurálnia vagy más módon kezelnie. Ezeket a felügyeleti tevékenységeket a Microsoft szolgáltatásként biztosítja. Ezért nem adhat hozzá több tartományvezérlőt (írásvédett vagy írásvédett) a felügyelt tartományhoz.

Szám A Microsoft Entra B2B meghívási folyamattal meghívott vendégfelhasználók szinkronizálódnak a Microsoft Entra Domain Services által felügyelt tartományba. A felhasználók jelszavai azonban nem a Microsoft Entra könyvtárban vannak tárolva. Ezért a Microsoft Entra Domain Services nem szinkronizálhatja a felhasználók NTLM- és Kerberos-kivonatait a felügyelt tartományba. Ezek a felhasználók nem tudnak bejelentkezni vagy számítógépeket csatlakoztatni a felügyelt tartományhoz.

Igen, létrehozhat egy kétirányú megbízhatósági kapcsolatot. Létrehozhat egy egyirányú kimenő megbízhatóságot vagy egyirányú bejövő megbízhatóságot is a felhasználók hitelesítésének és hozzáférésének különböző forgatókönyveinek támogatásához. További információ: Erdőmegbízhatóság létrehozása.

A Domain Services jelenleg csak az erdőszintű megbízhatóságot támogatja, és nem támogatja a külső tartománymegbízhatóságokat.

A Domain Services által felügyelt tartomány létrehozása után nem helyezheti át másik előfizetésbe, erőforráscsoportba vagy régióba. Áthidaló megoldásként törölheti a felügyelt tartományt a PowerShell vagy a Microsoft Entra felügyeleti központ használatával, és újra létrehozhatja a kívánt beállítással. A felügyelt tartomány újbóli létrehozásakor nem lehet visszaállítási műveletet végezni.

Szám A Microsoft Entra Domain Services által felügyelt tartomány létrehozása után nem módosíthatja a DNS-tartománynevet. A felügyelt tartomány létrehozásakor gondosan válassza ki a DNS-tartomány nevét. A DNS-tartománynév kiválasztásakor megfontolandó szempontokért tekintse meg a Felügyelt Microsoft Entra Domain Services-tartomány létrehozásához és konfigurálásához szükséges oktatóanyagot.

Igen. Minden Microsoft Entra Domain Services által felügyelt tartomány két tartományvezérlőt tartalmaz. Ezek a tartományvezérlők nem kezelhetők és nem csatlakoznak hozzájuk, a felügyelt szolgáltatás részét képezik. Ha a Microsoft Entra Domain Servicest olyan régióban helyezi üzembe, amely támogatja a rendelkezésre állási zónákat, a tartományvezérlők zónák között vannak elosztva. A rendelkezésre állási zónákat nem támogató régiókban a tartományvezérlők a rendelkezésre állási csoportok között vannak elosztva. Nincs konfigurálási lehetősége vagy felügyeleti vezérlése a disztribúció felett. További információ: Rendelkezésre állási lehetőségek az Azure-beli virtuális gépekhez.

Szám Nincs engedélye csatlakozni a felügyelt tartomány tartományvezérlőihez a Távoli asztal használatával. A Microsoft Entra DC Rendszergazda istrators csoport tagjai felügyelhetik a felügyelt tartományt olyan AD-felügyeleti eszközökkel, mint az Active Directory Rendszergazda istration Center (ADAC) vagy az AD PowerShell. Ezek az eszközök a Távoli kiszolgáló Rendszergazda istration Tools funkcióval vannak telepítve a felügyelt tartományhoz csatlakoztatott Windows-kiszolgálón. További információ: Felügyeleti virtuális gép létrehozása felügyelt Microsoft Entra Domain Services-tartomány konfigurálásához és felügyeletéhez.

A felügyelt tartományhoz tartozó bármely felhasználói fiók csatlakozhat egy virtuális géphez. A Microsoft Entra DC Rendszergazda istrators csoport tagjai távoli asztali hozzáférést kapnak a felügyelt tartományhoz csatlakoztatott gépekhez.

A tartományhoz csatlakoztatott gépekhez nincs kvóta a Domain Servicesben.

Az Azure-ban futó virtuális gépek szinkronizálva vannak az Azure-gazdagépekkel a rendkívül pontos idő érdekében. A helyszínen futó nem Azure-beli virtuális gépeknek a tartományhoz csatlakoztatott virtuális gépekhez hasonlóan konfigurálnia kell a Windows Time Servicest egy külső NTP-időforrással való szinkronizáláshoz. További információ: Az Active Directory Windows rendszerű virtuális gépek időmechanizmusának konfigurálása az Azure-ban.

Szám Nem kap rendszergazdai jogosultságokat a felügyelt tartományon. A tartományon belüli Rendszergazda istrator és enterprise Rendszergazda istrator jogosultságok nem használhatók. A helyi Active Directory tartományadminisztrátori vagy vállalati rendszergazdai csoportjainak tagjai szintén nem kapnak tartományi/vállalati rendszergazdai jogosultságokat a felügyelt tartományon.

A Microsoft Entra ID-ból a Microsoft Entra Domain Servicesbe szinkronizált felhasználók és csoportok nem módosíthatók, mert forrásuk a Microsoft Entra-azonosító. Ez magában foglalja a felhasználók vagy csoportok áthelyezését az AADDC-felhasználók által felügyelt szervezeti egységből egy egyéni szervezeti egységbe. A felügyelt tartományból származó bármely felhasználó vagy csoport módosítható.

Szám A DHCP-kiszolgáló engedélyezéséhez tartományi Rendszergazda tagság szükséges, amely nem érhető el felügyelt tartományban.

A Microsoft Entra-címtárban a Microsoft Entra felhasználói felületén vagy a PowerShellben végrehajtott módosítások automatikusan szinkronizálódnak a felügyelt tartományba. Ez a szinkronizálási folyamat a háttérben fut. A szinkronizáláshoz nincs meghatározott időtartam az összes objektummódosítás befejezéséhez.

Szám A sémát a Microsoft felügyeli a felügyelt tartományhoz. A Microsoft Entra Domain Services nem támogatja a sémabővítményeket.

Igen. A Microsoft Entra DC Rendszergazda istrators csoport tagjai DNS-Rendszergazda istrator jogosultságokkal rendelkeznek a felügyelt tartomány DNS-rekordjainak módosításához. Ezek a felhasználók a DNS-kezelő konzolját használhatják a felügyelt tartományhoz csatlakoztatott Windows Servert futtató gépen a DNS kezeléséhez. A DNS Manager-konzol használatához telepítse a DNS Server Tools eszközt, amely a távoli kiszolgáló Rendszergazda istration Tools opcionális funkciójának része a kiszolgálón. További információ: Rendszergazda DNS regisztrálása felügyelt Microsoft Entra Domain Services-tartományokban.

A Microsoft Entra Domain Services által felügyelt tartományok alapértelmezett jelszó-élettartama 90 nap. Ez a jelszó-élettartam nincs szinkronizálva a Microsoft Entra ID-ban konfigurált jelszó élettartamával. Ezért előfordulhat, hogy a felhasználók jelszavai lejárnak a felügyelt tartományban, de továbbra is érvényesek a Microsoft Entra-azonosítóban. Ilyen esetekben a felhasználóknak módosítaniuk kell a jelszavukat a Microsoft Entra-azonosítóban, és az új jelszó szinkronizálódik a felügyelt tartománnyal. Ha módosítani szeretné a jelszó alapértelmezett élettartamát egy felügyelt tartományban, egyéni jelszószabályzatokat hozhat létre és konfigurálhat.

Emellett a DisablePasswordExpiration Microsoft Entra jelszószabályzata szinkronizálva van egy felügyelt tartománnyal. Ha a DisablePasswordExpiration a Microsoft Entra ID-ban lévő felhasználóra van alkalmazva, a felügyelt tartomány szinkronizált felhasználójának UserAccountControl értéke DONT_EXPIRE_PASSWORD lett alkalmazva.

Amikor a felhasználók visszaállítják a jelszavukat a Microsoft Entra-azonosítóban, a forceChangePasswordNextSignIn=True attribútum lesz alkalmazva. Egy felügyelt tartomány szinkronizálja ezt az attribútumot a Microsoft Entra-azonosítóból. Ha a felügyelt tartomány észleli, hogy a ForceChangePasswordNextSignIn egy szinkronizált felhasználóhoz van beállítva a Microsoft Entra-azonosítóból, a felügyelt tartomány pwdLastSet attribútuma 0 értékre van állítva, ami érvényteleníti az aktuálisan beállított jelszót.

Igen. A felügyelt tartományon 2 percen belül öt érvénytelen jelszókísérlet miatt egy felhasználói fiók 30 percre zárolva lesz. 30 perc elteltével a felhasználói fiók automatikusan feloldva lesz. A felügyelt tartomány érvénytelen jelszavas kísérletei nem zárják ki a felhasználói fiókot a Microsoft Entra-azonosítóban. A felhasználói fiók zárolása csak a Microsoft Entra Domain Services által felügyelt tartományon belül történik. További információ: Jelszó- és fiókzárolási szabályzatok felügyelt tartományokon.

Szám Az elosztott fájlrendszer (DFS) és a replikáció nem érhető el a Microsoft Entra Domain Services használatakor.

A felügyelt tartományok tartományvezérlői automatikusan alkalmazzák a szükséges Windows-frissítéseket. Itt nincs mit konfigurálnia vagy felügyelnie. Győződjön meg arról, hogy nem hoz létre olyan hálózati biztonsági csoportszabályokat, amelyek blokkolják a Windows Frissítések felé irányuló kimenő forgalmat. A felügyelt tartományhoz csatlakoztatott saját virtuális gépek esetében Ön a felelős az operációs rendszer és az alkalmazás szükséges frissítéseinek konfigurálásáért és alkalmazásfrissítéséért.

A javítások amint elérhetővé válnak (minden második kedden) települnek. A hét folyamán fázisokban vannak telepítve, keddtől kezdve.

Előfordulhat, hogy a tartományvezérlők karbantartása során megváltozik a nevük. Az ilyen típusú módosításokkal kapcsolatos problémák elkerülése érdekében javasoljuk, hogy ne az alkalmazásokban és/vagy más tartományi erőforrásokban rögzített tartományvezérlők nevét, hanem a tartomány teljes tartománynevét használja. Így a tartományvezérlők neveitől függetlenül nem kell újrakonfigurálnia semmit a névmódosítás után.

A felügyelt tartományban lévő KRBTGT-fiók jelszava hét (7) naponta kerül át.

Igen. További tájékoztatás a díjszabási oldalon olvasható.

A Microsoft Entra Domain Services az Azure ingyenes próbaverziójában szerepel. Regisztrálhat az Azure egy hónapos ingyenes próbaverziójára.

Szám Miután engedélyezte a Microsoft Entra Domain Services által felügyelt tartományt, a szolgáltatás a kijelölt virtuális hálózaton belül érhető el, amíg nem törli a felügyelt tartományt. Nem lehet szüneteltetni a szolgáltatást. A számlázás óránként folytatódik, amíg ön nem törli a felügyelt tartományt.

Igen, ha földrajzi rugalmasságot szeretne biztosítani egy felügyelt tartomány számára, létrehozhat egy másik replikakészletet egy társhálózatra bármely olyan Azure-régióban, amely támogatja a tartományi szolgáltatásokat. A replikakészletek azonos névteret és konfigurációt használnak a felügyelt tartománnyal.

Szám A Microsoft Entra Domain Services használatalapú fizetéses Azure-szolgáltatás, és nem része az EMS-nek. A Microsoft Entra Domain Services a Microsoft Entra ID összes kiadásával használható (ingyenes és prémium). A számlázás óránként történik, a használattól függően.

Szám A Microsoft Entra Domain Services egytartományos, egyerdős kialakítással rendelkezik, és nem hozhat létre gyermektartományokat.

Az Azure Services régiónkénti lapján megtekintheti azoknak az Azure-régióknak a listáját, ahol a Microsoft Entra Domain Services elérhető.

Hibaelhárítás

Az Azure AD Domain Services konfigurálásával vagy felügyeletével kapcsolatos gyakori problémák megoldásához tekintse meg a hibaelhárítási útmutatót .

Következő lépések

A Microsoft Entra Domain Services szolgáltatásról további információt a Mi az a Microsoft Entra Domain Services?

Első lépésként tekintse meg a Microsoft Entra Domain Services által felügyelt tartomány létrehozását és konfigurálását ismertető témakört.