Tanya jawab umum (FAQ) tentang Microsoft Entra Domain Services

Tidak. Anda hanya dapat membuat satu domain terkelola yang dilayankan oleh Microsoft Entra Domain Services untuk satu direktori Microsoft Entra.

Jaringan virtual klasik tidak didukung.

Untuk informasi selengkapnya, lihat pengumuman penghentian resmi.

Ya. Microsoft Entra Domain Services dapat diaktifkan di jaringan virtual Azure Resource Manager. Jaringan virtual Azure klasik tidak lagi tersedia saat Anda membuat domain terkelola.

Ya. Untuk informasi selengkapnya, lihat cara mengaktifkan Microsoft Entra Domain Services di langganan Azure CSP.

Tidak. Untuk mengautentikasi pengguna melalui NTLM atau Kerberos, Microsoft Entra Domain Services memerlukan akses ke hash kata sandi akun pengguna. Di direktori gabungan, hash kata sandi tidak disimpan di direktori Microsoft Entra. Oleh karena itu, Microsoft Entra Domain Services tidak berfungsi dengan direktori Microsoft Entra tersebut.

Namun, jika Anda menggunakan Microsoft Entra Koneksi untuk sinkronisasi hash kata sandi, Anda dapat menggunakan Microsoft Entra Domain Services karena nilai hash kata sandi disimpan di ID Microsoft Entra.

Layanan itu sendiri tidak secara langsung mendukung skenario ini. Domain terkelola Anda hanya tersedia dalam satu jaringan virtual pada satu waktu. Namun, Anda dapat mengonfigurasi konektivitas antara beberapa jaringan virtual untuk mengekspos Microsoft Entra Domain Services ke jaringan virtual lainnya. Untuk informasi selengkapnya, lihat cara menghubungkan jaringan virtual di Azure menggunakan gateway VPN atau peering jaringan virtual.

Ya. Untuk informasi selengkapnya, lihat cara mengaktifkan Microsoft Entra Domain Services menggunakan PowerShell.

Ya, Anda dapat membuat domain terkelola Microsoft Entra Domain Services menggunakan templat Resource Manager. Perwakilan layanan dan grup Microsoft Entra untuk administrasi harus dibuat menggunakan pusat admin Microsoft Entra atau PowerShell sebelum templat disebarkan. Saat Anda membuat domain terkelola Microsoft Entra Domain Services di pusat admin Microsoft Entra, ada juga opsi untuk mengekspor templat untuk digunakan dengan penyebaran lain. Untuk informasi selengkapnya, lihat Membuat domain terkelola Domain Services menggunakan templat Azure Resource Manager.

Tidak. Domain yang disediakan oleh Microsoft Entra Domain Services adalah domain terkelola. Anda tidak perlu memprovisikan, mengonfigurasi, atau mengelola pengendali domain untuk domain ini. Aktivitas manajemen ini disediakan sebagai layanan oleh Microsoft. Oleh karena itu, Anda tidak dapat menambahkan lebih banyak pengontrol domain (baca-tulis atau baca-saja) untuk domain terkelola.

Tidak. Pengguna tamu yang diundang ke direktori Microsoft Entra Anda menggunakan proses undangan Microsoft Entra B2B disinkronkan ke domain terkelola Microsoft Entra Domain Services Anda. Namun, kata sandi untuk pengguna ini tidak disimpan di direktori Microsoft Entra Anda. Oleh karena itu, Microsoft Entra Domain Services tidak memiliki cara untuk menyinkronkan hash NTLM dan Kerberos untuk pengguna ini ke domain terkelola Anda. Pengguna tersebut tidak dapat masuk atau bergabung dengan komputer ke domain terkelola.

Ya, Anda dapat membuat kepercayaan dua arah. Anda juga dapat membuat kepercayaan keluar satu arah atau kepercayaan masuk satu arah untuk mendukung skenario yang berbeda untuk autentikasi dan akses pengguna. Untuk informasi selengkapnya, lihat Membuat kepercayaan hutan.

Layanan Domain saat ini hanya mendukung kepercayaan hutan, dan tidak mendukung kepercayaan domain eksternal.

Setelah membuat domain terkelola Domain Services, Anda tidak dapat memindahkannya ke langganan, grup sumber daya, atau wilayah lain. Untuk mengubah wilayah, solusi yang mungkin akan menyebarkan set replika baru di wilayah yang ingin Anda migrasikan. Setelah selesai, hapus set replika di wilayah yang tidak Anda inginkan lagi. Sebagai solusi untuk pengaturan lainnya, Anda dapat menghapus domain terkelola dengan menggunakan PowerShell atau pusat admin Microsoft Entra dan membuatnya kembali dengan penyiapan yang Anda inginkan. Tidak ada operasi pemulihan yang dapat disediakan saat domain yang dikelola dibuat ulang.

Tidak. Setelah membuat domain terkelola Microsoft Entra Domain Services, Anda tidak dapat mengubah nama domain DNS. Pilih nama domain DNS dengan cermat saat Anda membuat domain terkelola. Untuk pertimbangan saat Anda memilih nama domain DNS, lihat tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.

Ya. Setiap domain terkelola Microsoft Entra Domain Services menyertakan dua pengendali domain. Anda tidak mengelola atau terhubung ke pengendali domain ini, mereka adalah bagian dari layanan terkelola. Jika Anda menyebarkan Microsoft Entra Domain Services ke wilayah yang mendukung Zona Ketersediaan, pengendali domain didistribusikan di seluruh zona. Di wilayah yang tidak mendukung Zona Ketersediaan, pengendali domain didistribusikan di seluruh Set Ketersediaan. Anda tidak memiliki opsi konfigurasi atau kontrol manajemen atas distribusi ini. Untuk informasi selengkapnya, lihat Opsi ketersediaan untuk komputer virtual di Azure.

Tidak. Anda tidak memiliki izin untuk tersambung ke pengendali domain untuk domain terkelola menggunakan Desktop Jauh. Anggota grup Administrator Microsoft Entra DC dapat mengelola domain terkelola menggunakan alat administrasi AD seperti Pusat Administrasi Direktori Aktif (ADAC) atau AD PowerShell. Alat ini diinstal menggunakan fitur Alat Administrasi Server Jarak Jauh pada server Windows yang bergabung ke domain terkelola. Untuk informasi selengkapnya, lihat Membuat VM manajemen untuk mengonfigurasi dan mengelola domain terkelola Microsoft Entra Domain Services.

Setiap akun pengguna yang merupakan bagian dari domain terkelola dapat bergabung dengan VM. Anggota grup Administrator Microsoft Entra DC diberikan akses desktop jarak jauh ke komputer yang telah bergabung ke domain terkelola.

Tidak ada kuota di Domain Services untuk komputer yang bergabung dengan domain.

VM yang berjalan di Azure disinkronkan dengan host Azure untuk waktu yang sangat akurat. VM non-Azure yang berjalan secara lokal harus memiliki Windows Time Services yang dikonfigurasi untuk sinkronisasi dengan sumber waktu NTP eksternal, mirip dengan VM yang bergabung dengan domain. Untuk informasi selengkapnya, lihat Mengonfigurasi mekanisme waktu untuk Active Directory Windows Virtual Machines di Azure.

Tidak. Anda tidak diberikan hak istimewa admin pada domain terkelola. Hak istimewa Administrator Domain dan Administrator Perusahaan tidak tersedia untuk Anda gunakan dalam domain. Anggota administrator domain atau grup administrator perusahaan di Direktori Aktif lokal Anda juga tidak diberikan hak istimewa administrator domain/perusahaan pada domain terkelola.

Pengguna dan grup yang disinkronkan dari ID Microsoft Entra ke Microsoft Entra Domain Services tidak dapat dimodifikasi karena sumber asalnya adalah ID Microsoft Entra. Ini termasuk memindahkan pengguna atau grup dari unit organisasi terkelola Pengguna AADDC ke unit organisasi kustom. Setiap pengguna atau grup yang berasal dari domain terkelola dapat dimodifikasi.

Tidak. Keanggotaan Admin Domain diperlukan untuk mengotorisasi server DHCP, yang tidak tersedia di domain terkelola.

Perubahan yang dilakukan di direktori Microsoft Entra Anda menggunakan UI Microsoft Entra atau PowerShell secara otomatis disinkronkan ke domain terkelola Anda. Proses sinkronisasi ini berjalan di latar belakang. Tidak ada periode waktu yang ditentukan untuk sinkronisasi ini untuk menyelesaikan semua perubahan objek.

Tidak. Skema ini dikelola oleh Microsoft untuk domain terkelola. Ekstensi skema tidak didukung oleh Microsoft Entra Domain Services.

Ya. Anggota grup Administrator Microsoft Entra DC diberikan hak istimewa Administrator DNS untuk mengubah catatan DNS di domain terkelola. Pengguna tersebut dapat menggunakan konsol DNS Manager pada mesin yang menjalankan Windows Server bergabung ke domain terkelola untuk mengelola DNS. Untuk menggunakan konsol DNS Manager, pasang Alat Server DNS, yang merupakan bagian dari fitur opsional Alat Administrasi Server Jarak Jauh di server. Untuk informasi selengkapnya, lihat Mengelola DNS di domain terkelola Microsoft Entra Domain Services.

Masa pakai kata sandi default pada domain terkelola Microsoft Entra Domain Services adalah 90 hari. Masa pakai kata sandi ini tidak disinkronkan dengan masa pakai kata sandi yang dikonfigurasi dalam ID Microsoft Entra. Oleh karena itu, Anda mungkin memiliki situasi di mana kata sandi pengguna kedaluwarsa di domain terkelola Anda, tetapi masih valid di ID Microsoft Entra. Dalam skenario seperti itu, pengguna perlu mengubah kata sandi mereka di ID Microsoft Entra dan kata sandi baru akan disinkronkan ke domain terkelola Anda. Jika Anda ingin mengubah masa pakai kata sandi default di domain terkelola, Anda dapat membuat dan mengonfigurasi kebijakan kata sandi kustom.

Selain itu, kebijakan kata sandi Microsoft Entra untuk DisablePasswordExpiration disinkronkan ke domain terkelola. Saat DisablePasswordExpiration diterapkan ke pengguna di ID Microsoft Entra, nilai UserAccountControl untuk pengguna yang disinkronkan di domain terkelola telah DONT_EXPIRE_PASSWORD diterapkan.

Saat pengguna mengatur ulang kata sandi mereka di ID Microsoft Entra, atribut forceChangePasswordNextSignIn=True diterapkan. Domain terkelola menyinkronkan atribut ini dari ID Microsoft Entra. Ketika domain terkelola mendeteksi forceChangePasswordNextSignIn diatur untuk pengguna yang disinkronkan dari ID Microsoft Entra, atribut pwdLastSet di domain terkelola diatur ke 0, yang membatalkan kata sandi yang saat ini ditetapkan.

Ya. Lima upaya kata sandi yang tidak valid dalam waktu 2 menit pada domain terkelola menyebabkan akun pengguna dikunci selama 30 menit. Setelah 30 menit, akun pengguna secara otomatis dibuka kuncinya. Upaya kata sandi yang tidak valid pada domain terkelola tidak mengunci akun pengguna di ID Microsoft Entra. Akun pengguna dikunci hanya dalam domain terkelola Microsoft Entra Domain Services Anda. Untuk informasi selengkapnya, lihat Kebijakan penguncian kata sandi dan akun pada domain terkelola.

Tidak. Sistem File Terdistribusi (DFS) dan replikasi tidak tersedia saat menggunakan Microsoft Entra Domain Services.

Pengendali domain di domain terkelola secara otomatis menerapkan pembaruan Windows yang diperlukan. Anda tidak perlu mengonfigurasi atau mengelola di sini. Pastikan Anda tidak membuat aturan grup keamanan jaringan yang memblokir lalu lintas keluar ke Windows Update. Untuk VM Anda sendiri yang bergabung ke domain terkelola, Anda bertanggung jawab untuk mengonfigurasi dan menerapkan OS dan pembaruan aplikasi yang diperlukan.

Microsoft Entra Domain Services menyimpan data pelanggan. Secara default, data pelanggan tetap berada di wilayah tempat instans layanan disebarkan. Pelanggan dapat menggunakan set replika untuk menyimpan data di wilayah lain.

Patch dipasang segera setelah tersedia (setiap selasa kedua). Mereka diinstal dalam fase selama minggu mereka tersedia, dimulai pada hari Selasa.

Ada kemungkinan bahwa selama pemeliharaan pengendali domain, ada perubahan pada namanya. Untuk menghindari masalah dengan jenis perubahan ini, disarankan untuk tidak menggunakan nama pengontrol domain yang dikodekan secara permanen dalam aplikasi dan/atau sumber daya domain lainnya, tetapi FQDN domain. Dengan cara ini, apa pun nama pengendali domainnya, Anda tidak perlu mengonfigurasi ulang apa pun setelah perubahan nama.

Kata sandi akun KRBTGT di domain terkelola digulirkan setiap tujuh (7) hari.

Ya. Untuk informasi lebih lanjut, lihat halaman harga.

Microsoft Entra Domain Services disertakan dalam uji coba gratis untuk Azure. Anda dapat mendaftar untuk coba gratis satu bulan di Azure.

Tidak. Setelah Anda mengaktifkan domain terkelola Microsoft Entra Domain Services, layanan tersedia dalam jaringan virtual yang Anda pilih hingga Anda menghapus domain terkelola. Tidak ada cara untuk menjeda layanan. Tagihan berlanjut setiap jam hingga Anda menghapus domain terkelola.

Ya, untuk memberikan ketahanan geografis untuk domain terkelola, Anda dapat membuat replika lain yang diatur ke jaringan virtual yang di-peering di wilayah Azure mana pun yang mendukung Domain Services. Set replika memiliki namespace layanan dan konfigurasi yang sama dengan domain terkelola.

Tidak. Microsoft Entra Domain Services adalah layanan Azure prabayar dan bukan bagian dari EMS. Microsoft Entra Domain Services dapat digunakan dengan semua edisi ID Microsoft Entra (Gratis dan Premium). Anda ditagih per jam, tergantung pada penggunaan.

Tidak. Microsoft Entra Domain Services memiliki domain tunggal, desain forest tunggal, dan Anda tidak dapat membuat domain turunan.

Lihat halaman Layanan Azure menurut wilayah untuk melihat daftar wilayah Azure tempat Microsoft Entra Domain Services tersedia.

Pemecahan Masalah

Lihat Panduan pemecahan masalah untuk solusi masalah umum dengan mengonfigurasi atau mengelola Azure AD Domain Services.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Microsoft Entra Domain Services, lihat Apa itu Microsoft Entra Domain Services?.

Untuk memulai, lihat Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.