Domande frequenti su Microsoft Entra Domain Services

No. È possibile creare un singolo dominio gestito gestito da Microsoft Entra Domain Services per una singola directory di Microsoft Entra.

Le reti virtuali classiche non sono supportate.

Per altre informazioni, vedere l'avviso ufficiale sulla deprecazione.

Sì. Microsoft Entra Domain Services può essere abilitato in una rete virtuale di Azure Resource Manager. Le reti virtuali di Azure classiche non sono più disponibili quando si crea un dominio gestito.

Sì. Per altre informazioni, vedere come abilitare Microsoft Entra Domain Services nelle sottoscrizioni di Azure CSP.

No. Per autenticare gli utenti tramite NTLM o Kerberos, Microsoft Entra Domain Services deve accedere agli hash delle password degli account utente. In una directory federata gli hash delle password non vengono archiviati nella directory Microsoft Entra. Pertanto, Microsoft Entra Domain Services non funziona con tali directory di Microsoft Entra.

Tuttavia, se si usa Microsoft Entra Connessione per la sincronizzazione dell'hash delle password, è possibile usare Microsoft Entra Domain Services perché i valori hash delle password vengono archiviati in Microsoft Entra ID.

Il servizio stesso non supporta direttamente questo scenario. Il dominio gestito è disponibile in una sola rete virtuale alla volta. Tuttavia, è possibile configurare la connettività tra più reti virtuali per esporre Microsoft Entra Domain Services ad altre reti virtuali. Per altre informazioni, vedere come connettere reti virtuali in Azure usando gateway VPN o peering di rete virtuale.

Sì. Per altre informazioni, vedere come abilitare Microsoft Entra Domain Services con PowerShell.

Sì, è possibile creare un dominio gestito di Microsoft Entra Domain Services usando un modello di Resource Manager. È necessario creare un'entità servizio e un gruppo Microsoft Entra per l'amministrazione usando l'interfaccia di amministrazione di Microsoft Entra o PowerShell prima della distribuzione del modello. Quando si crea un dominio gestito di Microsoft Entra Domain Services nell'interfaccia di amministrazione di Microsoft Entra, è disponibile anche un'opzione per esportare il modello da usare con altre distribuzioni. Per altre informazioni, vedere Creare un dominio gestito di Servizi di dominio usando un modello di Azure Resource Manager.

No. Il dominio fornito da Microsoft Entra Domain Services è un dominio gestito. Non è necessario effettuare il provisioning, configurare o gestire in altro modo i controller di dominio per questo dominio. Queste attività di gestione vengono fornite come servizio da Microsoft. Non è quindi possibile aggiungere altri controller di dominio (sola lettura/scrittura) per il dominio gestito.

No. Gli utenti guest invitati alla directory Microsoft Entra utilizzando il processo di invito a Microsoft Entra B2B vengono sincronizzati nel dominio gestito di Microsoft Entra Domain Services. Tuttavia, le password per questi utenti non vengono archiviate nella directory Microsoft Entra. Pertanto, Microsoft Entra Domain Services non è in grado di sincronizzare gli hash NTLM e Kerberos per questi utenti nel dominio gestito. Tali utenti non possono accedere o aggiungere computer al dominio gestito.

Sì, è possibile creare un trust bidirezionale. È anche possibile creare un trust in uscita unidirezionale o unidirezionale trust in ingresso per supportare scenari diversi per l'autenticazione e l'accesso degli utenti. Per altre informazioni, vedere Creare un trust tra foreste.

Servizi di dominio supporta attualmente solo l'attendibilità tra foreste e non supporta trust di dominio esterni.

Dopo aver creato un dominio gestito di Servizi di dominio, non è possibile spostarlo in una sottoscrizione, un gruppo di risorse o un'area diversa. Per modificare l'area, una possibile soluzione alternativa consiste nel distribuire un nuovo set di repliche nell'area in cui si vuole eseguire la migrazione. Al termine, eliminare il set di repliche nell'area che non si vuole più. Come soluzione alternativa per il resto delle impostazioni, è possibile eliminare il dominio gestito usando PowerShell o l'interfaccia di amministrazione di Microsoft Entra e ricrearlo con la configurazione desiderata. Non è possibile fornire alcuna operazione di ripristino durante la ricreazione del dominio gestito.

No. Dopo aver creato un dominio gestito di Microsoft Entra Domain Services, non è possibile modificare il nome di dominio DNS. Scegliere attentamente il nome di dominio DNS quando si crea il dominio gestito. Per considerazioni sulla scelta del nome di dominio DNS, vedere l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Sì. Ogni dominio gestito di Microsoft Entra Domain Services include due controller di dominio. Non è possibile gestire o connettersi a questi controller di dominio, ma fanno parte del servizio gestito. Se si distribuisce Microsoft Entra Domain Services in un'area che supporta zone di disponibilità, i controller di dominio vengono distribuiti tra le zone. Nelle aree che non supportano zone di disponibilità, i controller di dominio vengono distribuiti tra set di disponibilità. Non sono disponibili opzioni di configurazione o controllo di gestione su questa distribuzione. Per altre informazioni, vedere Opzioni di disponibilità per le macchine virtuali in Azure.

No. Non si dispone delle autorizzazioni per connettersi ai controller di dominio per il dominio gestito tramite Desktop remoto. I membri del gruppo microsoft Entra DC Amministrazione istrators possono amministrare il dominio gestito usando strumenti di amministrazione di Active Directory, ad esempio Active Directory Amministrazione istration Center (ADAC) o AD PowerShell. Questi strumenti vengono installati usando la funzionalità Remote Server Amministrazione istration Tools in un server Windows aggiunto al dominio gestito. Per altre informazioni, vedere Creare una macchina virtuale di gestione per configurare e amministrare un dominio gestito di Microsoft Entra Domain Services.

Qualsiasi account utente che fa parte del dominio gestito può aggiungere una macchina virtuale. Ai membri del gruppo microsoft Entra DC Amministrazione istrators viene concesso l'accesso desktop remoto ai computer aggiunti al dominio gestito.

Non esiste alcuna quota in Servizi di dominio per i computer aggiunti a un dominio.

Le macchine virtuali eseguite in Azure vengono sincronizzate con gli host di Azure per un'ora estremamente accurata. Le macchine virtuali non di Azure in esecuzione in locale devono avere Servizi ora di Windows configurati per la sincronizzazione con un'origine ora NTP esterna, in modo analogo alle macchine virtuali aggiunte a un dominio. Per altre informazioni, vedere Configurare il meccanismo di tempo per Active Directory Windows Macchine virtuali in Azure.

No. Non vengono concessi privilegi amministrativi nel dominio gestito. I privilegi di domain Amministrazione istrator e Enterprise Amministrazione istrator non sono disponibili per l'uso all'interno del dominio. Ai membri dell'amministratore di dominio o dei gruppi di amministratori dell'organizzazione nel Active Directory locale non vengono concessi privilegi di dominio/amministratore dell'organizzazione nel dominio gestito.

Gli utenti e i gruppi sincronizzati da Microsoft Entra ID a Microsoft Entra Domain Services non possono essere modificati perché la loro origine di origine è Microsoft Entra ID. Ciò include lo spostamento di utenti o gruppi dall'unità organizzativa gestita AADDC Users a un'unità organizzativa personalizzata. È possibile modificare qualsiasi utente o gruppo che ha origine nel dominio gestito.

No. L'appartenenza al dominio Amministrazione s è necessaria per autorizzare un server DHCP, che non è disponibile in un dominio gestito.

Le modifiche apportate nella directory di Microsoft Entra usando l'interfaccia utente di Microsoft Entra o PowerShell vengono sincronizzate automaticamente con il dominio gestito. Il processo di sincronizzazione avviene in background. Non esiste un periodo di tempo definito per completare tutte le modifiche apportate all'oggetto.

No. Lo schema è amministrato da Microsoft per il dominio gestito. Le estensioni dello schema non sono supportate da Microsoft Entra Domain Services.

Sì. Ai membri del gruppo Amministrazione istrators di Microsoft Entra DC vengono concessi privilegi dns Amministrazione istrator per modificare i record DNS nel dominio gestito. Questi utenti possono usare la console di Gestione DNS in un computer che esegue Windows Server aggiunto al dominio gestito per gestire IL DNS. Per usare la console di Gestione DNS, installare gli strumenti server DNS, che fanno parte della funzionalità facoltativa Strumenti di Amministrazione istration server remoto nel server. Per altre informazioni, vedere Amministrazione ister DNS in un dominio gestito di Microsoft Entra Domain Services.

La durata della password predefinita in un dominio gestito di Microsoft Entra Domain Services è di 90 giorni. Questa durata della password non viene sincronizzata con la durata della password configurata in Microsoft Entra ID. Pertanto, potrebbe verificarsi una situazione in cui le password degli utenti scadono nel dominio gestito, ma sono ancora valide in Microsoft Entra ID. In questi scenari, gli utenti devono modificare la password in Microsoft Entra ID e la nuova password verrà sincronizzata con il dominio gestito. Se si vuole modificare la durata della password predefinita in un dominio gestito, è possibile creare e configurare criteri password personalizzati.

Inoltre, i criteri password di Microsoft Entra per DisablePasswordExpiration vengono sincronizzati con un dominio gestito. Quando DisablePasswordExpiration viene applicato a un utente in Microsoft Entra ID, il valore UserAccountControl per l'utente sincronizzato nel dominio gestito ha DONT_EXPIRE_PASSWORD applicato.

Quando gli utenti reimpostano la password in Microsoft Entra ID, viene applicato l'attributo forceChangePasswordNextSignIn=True . Un dominio gestito sincronizza questo attributo dall'ID Microsoft Entra. Quando il dominio gestito rileva forceChangePasswordNextSignIn è impostato per un utente sincronizzato da Microsoft Entra ID, l'attributo pwdLastSet nel dominio gestito è impostato su 0, che invalida la password attualmente impostata.

Sì. Dopo 5 tentativi di inserimento di password non valide in 2 minuti per il dominio gestito, l'account utente viene bloccato per 30 minuti. Dopo 30 minuti l'account utente viene sbloccato automaticamente. I tentativi di password non validi nel dominio gestito non bloccano l'account utente in Microsoft Entra ID. L'account utente viene bloccato solo all'interno del dominio gestito di Microsoft Entra Domain Services. Per altre informazioni, vedere Criteri di blocco delle password e degli account nei domini gestiti.

No. La replica e il file system distribuito (DFS) non sono disponibili quando si usa Microsoft Entra Domain Services.

I controller di dominio in un dominio gestito applicano automaticamente gli aggiornamenti di Windows necessari. Non è necessario configurare o amministrare qui. Assicurarsi di non creare regole del gruppo di sicurezza di rete che bloccano il traffico in uscita verso Windows Aggiornamenti. Per le macchine virtuali aggiunte al dominio gestito, l'utente è responsabile della configurazione e dell'applicazione degli aggiornamenti del sistema operativo e delle applicazioni necessari.

Microsoft Entra Domain Services archivia i dati dei clienti. Per impostazione predefinita, i dati dei clienti rimangono all'interno dell'area in cui viene distribuita l'istanza del servizio. I clienti possono usare set di repliche per archiviare i dati in altre aree.

Le patch vengono installate non appena diventano disponibili (ogni secondo martedì). Vengono installati in fasi durante la settimana che diventano disponibili, a partire dal martedì.

È possibile che durante la manutenzione dei controller di dominio vi sia una modifica dei nomi. Per evitare problemi con questo tipo di modifica, è consigliabile non usare i nomi dei controller di dominio hardcoded nelle applicazioni e/o in altre risorse di dominio, ma il nome di dominio completo del dominio. In questo modo, indipendentemente dai nomi dei controller di dominio, non sarà necessario riconfigurare nulla dopo una modifica del nome.

La password dell'account KRBTGT in un dominio gestito viene eseguita ogni sette (7) giorni.

Sì. Per ulteriori informazioni, vedere la pagina dei prezzi.

Microsoft Entra Domain Services è incluso nella versione di valutazione gratuita per Azure. È possibile iscriversi per una valutazione gratuita di un mese di Azure.

No. Dopo aver abilitato un dominio gestito di Microsoft Entra Domain Services, il servizio è disponibile all'interno della rete virtuale selezionata fino a quando non si elimina il dominio gestito. Non è possibile sospendere il servizio. La fatturazione continua su base oraria finché non viene eliminato il dominio gestito.

Sì, per offrire resilienza geografica per un dominio gestito, è possibile creare un altro set di repliche su una rete virtuale con peering in qualsiasi area di Azure che supporti Servizi di dominio. I set di repliche condividono lo stesso spazio dei nomi e la stessa configurazione con il dominio gestito.

No. Microsoft Entra Domain Services è un servizio di Azure con pagamento in base al consumo e non fa parte di EMS. Microsoft Entra Domain Services può essere usato con tutte le edizioni di Microsoft Entra ID (Gratuito e Premium). L'addebito viene eseguito su base oraria, a seconda dell'utilizzo.

No. Microsoft Entra Domain Services ha un singolo dominio, progettazione a foresta singola e non è possibile creare domini figlio.

Fare riferimento alla pagina Servizi di Azure per area per visualizzare un elenco delle aree di Azure in cui è disponibile Servizi di dominio Microsoft Entra.

Risoluzione dei problemi

Per soluzioni relative ai problemi comuni di configurazione o amministrazione di Azure AD Domain Services, vedere la Guida alla risoluzione dei problemi.

Passaggi successivi

Per altre informazioni su Microsoft Entra Domain Services, vedere Che cos'è Microsoft Entra Domain Services?.

Per iniziare, vedere Creare e configurare un dominio gestito di Microsoft Entra Domain Services.