Veelgestelde vragen over Azure Active Directory (AD) Domain Services

Op deze pagina vindt u antwoorden op veelgestelde vragen over Azure Active Directory Domain Services.

Configuration

Kan ik meerdere beheerde domeinen maken voor één Azure AD-directory?

Nee. U kunt slechts één beheerd domein maken dat wordt beheerd door Azure AD Domain Services voor één Azure AD-directory.

Kan ik Azure AD Domain Services inschakelen in een klassiek virtueel netwerk?

Klassieke virtuele netwerken worden niet ondersteund voor nieuwe implementaties. Bestaande beheerde domeinen die zijn geïmplementeerd in klassieke virtuele netwerken, worden nog steeds ondersteund totdat ze op 1 maart 2023 worden gestopt. Voor bestaande implementaties kunt u een Azure AD Domain Services migreren van het klassieke virtuele netwerkmodel naar Resource Manager.

Zie de officiële kennisgeving over afschaffing voor meer informatie.

Kan ik Azure AD Domain Services inschakelen in een virtueel Resource Manager Azure-netwerk?

Ja. Azure AD Domain Services kunnen worden ingeschakeld in een virtueel netwerk van Azure Resource Manager. Klassieke virtuele Azure-netwerken zijn niet meer beschikbaar wanneer u een beheerd domein maakt.

Kan ik mijn bestaande beheerde domein migreren van een klassiek virtueel netwerk naar Resource Manager virtueel netwerk?

Ja. Zie Migrate Azure AD Domain Services from the Classic virtual network model to Resource Manager (Migratie van het klassieke virtuele netwerkmodel naar Resource Manager).

Kan ik Azure AD Domain Services inschakelen in Azure CSP (Cloud Solution Provider)-abonnement?

Kan ik Azure AD Domain Services inschakelen in een federatief Azure AD-adreslijst? Ik synchroniseer geen wachtwoordhashes naar Azure AD. Kan ik Azure AD Domain Services voor deze directory inschakelen?

Nee. Als u gebruikers wilt verifiëren via NTLM of Kerberos, moet Azure AD Domain Services toegang hebben tot de wachtwoordhashes van gebruikersaccounts. In een federatief adreslijst worden wachtwoordhashes niet opgeslagen in de Azure AD-directory. Daarom werkt Azure AD Domain Services niet met dergelijke Azure AD-directories.

Als u echter Azure AD Verbinding maken gebruikt voor wachtwoordhashsynchronisatie, kunt u Azure AD Domain Services gebruiken omdat de wachtwoordhashwaarden worden opgeslagen in Azure AD.

Kan ik Azure AD Domain Services beschikbaar maken in meerdere virtuele netwerken binnen mijn abonnement?

De service zelf biedt geen directe ondersteuning voor dit scenario. Uw beheerde domein is slechts in één virtueel netwerk tegelijk beschikbaar. U kunt echter connectiviteit tussen meerdere virtuele netwerken configureren om deze Azure AD Domain Services andere virtuele netwerken. Zie Virtuele netwerken in Azure verbinden met behulp van VPN-gateways of peering voor virtuele netwerken voor meer informatie.

Kan ik Azure AD Domain Services powershell gebruiken?

Kan ik de Azure AD Domain Services met behulp van een Resource Manager sjabloon?

Ja, u kunt een beheerd Azure AD Domain Services maken met behulp van een Resource Manager sjabloon. Een service-principal en Azure AD-groep voor beheer moeten worden gemaakt met behulp van de Azure Portal of Azure PowerShell voordat de sjabloon wordt geïmplementeerd. Zie Create an Azure AD DS managed domain using an Azure Resource Manager template (Een beheerd Resource Manager azure-domein maken) Resource Manager meer informatie. Wanneer u een Azure AD Domain Services beheerd domein in de Azure Portal, is er ook een optie om de sjabloon te exporteren voor gebruik met aanvullende implementaties.

Kan ik domeincontrollers toevoegen aan een Azure AD Domain Services beheerd domein?

Nee. Het domein dat door Azure AD Domain Services is een beheerd domein. U hoeft geen domeincontrollers voor dit domein in terichten, te configureren of anderszins te beheren. Deze beheeractiviteiten worden geleverd als een service door Microsoft. Daarom kunt u geen extra domeincontrollers (lezen/schrijven of alleen-lezen) toevoegen voor het beheerde domein.

Kunnen gastgebruikers worden uitgenodigd voor mijn directory met Azure AD Domain Services?

Nee. Gastgebruikers die zijn uitgenodigd voor uw Azure AD-directory met behulp van het Azure AD B2B-uitnodigingsproces , worden gesynchroniseerd met Azure AD Domain Services beheerde domein. Wachtwoorden voor deze gebruikers worden echter niet opgeslagen in uw Azure AD-directory. Daarom kan Azure AD Domain Services NTLM- en Kerberos-hashes voor deze gebruikers niet synchroniseren met uw beheerde domein. Dergelijke gebruikers kunnen zich niet aanmelden of computers toevoegen aan het beheerde domein.

Kan er een twee way forestvertrouwensrelatie worden gemaakt tussen een resource-forest en een on-premises forest?

Nee. Een beheerd domeinresource-forest ondersteunt maximaal vijf uitgaande forestvertrouwensrelatie in één richting naar on-premises forests.

Waarom zie ik het menu Vertrouwensrelatie niet?

Als u de menuoptie Vertrouwensrelaties niet ziet, zoekt u onder Eigenschappen naar het Foresttype. Alleen resource forests kunnen vertrouwensrelatie maken. Als het foresttype Gebruikers is, kunt u geen vertrouwensrelaties maken. Het is momenteel niet mogelijk om het foresttype van een beheerd domein te wijzigen. U moet het beheerde domein verwijderen en opnieuw maken als een resourceforest.

Kan ik een beheerd domein verplaatsen?

Nee. Nadat u een Azure AD Domain Services beheerd domein hebt gemaakt, kunt u het niet verplaatsen naar een ander abonnement, resourcegroep, regio, virtueel netwerk of subnet. Als tijdelijke oplossing kunt u het beheerde domein verwijderen met behulp van PowerShell of de Azure Portal en het opnieuw maken met de gewenste installatie. Er kunnen geen herstelbewerkingen worden opgegeven terwijl het beheerde domein opnieuw wordt gemaakt.

Kan ik de naam van een bestaand Azure AD Domain Services wijzigen?

Nee. Nadat u een Azure AD Domain Services beheerd domein hebt gemaakt, kunt u de DNS-domeinnaam niet meer wijzigen. Kies de DNS-domeinnaam zorgvuldig wanneer u het beheerde domein maakt. Voor overwegingen bij het kiezen van de DNS-domeinnaam, zie de zelfstudie voor het maken en configureren van een Azure AD Domain Services beheerd domein.

Bevat Azure AD Domain Services opties voor hoge beschikbaarheid?

Ja. Elk Azure AD Domain Services beheerd domein bevat twee domeincontrollers. U beheert of maakt geen verbinding met deze domeincontrollers, maar maakt deel uit van de beheerde service. Als u Azure AD Domain Services implementeert in een regio die ondersteuning biedt Beschikbaarheidszones, worden de domeincontrollers verdeeld over zones. In regio's die geen ondersteuning bieden Beschikbaarheidszones, worden de domeincontrollers verdeeld over beschikbaarheidssets. U hebt geen configuratieopties of beheerbeheer over deze distributie. Zie Beschikbaarheidsopties voor virtuele machines in Azure voor meer informatie.

Beheer en bewerkingen

Kan ik verbinding maken met de domeincontroller voor mijn beheerde domein met Extern bureaublad?

Nee. U hebt geen machtigingen om verbinding te maken met domeincontrollers voor het beheerde domein met behulp van Extern bureaublad. Leden van de groep AAD DC-beheerders kunnen het beheerde domein beheren met ad-beheerprogramma's zoals het Active Directory Administration Center (ADAC) of AD PowerShell. Deze hulpprogramma's worden geïnstalleerd met behulp Remote Server Administration Tools functie op een Windows server die is toegevoegd aan het beheerde domein. Zie Een beheer-VM maken voor het configureren en beheren van een Azure AD Domain Services beheerd domein voor meer informatie.

Ik heb de functie Azure AD Domain Services. Welk gebruikersaccount moet ik gebruiken om machines aan dit domein toe te sluiten?

Elk gebruikersaccount dat deel uitmaakt van het beheerde domein, kan lid worden van een VM. Leden van de AAD DC-beheerdersgroep krijgen extern bureaublad-toegang tot computers die lid zijn van het beheerde domein.

Heb ik domeinbeheerdersbevoegdheden voor het beheerde domein dat door de Azure AD Domain Services?

Nee. U krijgt geen beheerdersbevoegdheden voor het beheerde domein. De bevoegdheden domeinbeheerderen ondernemingsbeheerder zijn niet beschikbaar voor gebruik binnen het domein. Leden van de domeinbeheerder of ondernemingsbeheerdersgroepen in uw on-premises Active Directory worden ook geen domein-/ondernemingsbeheerdersbevoegdheden verleend voor het beheerde domein.

Kan ik groepslidmaatschap wijzigen met behulp van LDAP of andere AD-beheerprogramma's in beheerde domeinen?

Gebruikers en groepen die zijn gesynchroniseerd van Azure Active Directory naar Azure AD Domain Services kunnen niet worden gewijzigd omdat hun bron van oorsprong Azure Active Directory. Dit omvat het verplaatsen van gebruikers of groepen van de door AADDC-gebruikers beheerde organisatie-eenheid naar een aangepaste organisatie-eenheid. Elke gebruiker of groep die afkomstig is van het beheerde domein kan worden gewijzigd.

Hoe lang duurt het voordat wijzigingen in mijn Azure AD-directory zichtbaar zijn in mijn beheerde domein?

Wijzigingen die zijn aangebracht in uw Azure AD-directory met behulp van de gebruikersinterface van Azure AD of PowerShell, worden automatisch gesynchroniseerd met uw beheerde domein. Dit synchronisatieproces wordt op de achtergrond uitgevoerd. Er is geen gedefinieerde tijdsperiode voor deze synchronisatie om alle objectwijzigingen te voltooien.

Kan ik het schema van het beheerde domein uitbreiden dat door de Azure AD Domain Services?

Nee. Het schema wordt beheerd door Microsoft voor het beheerde domein. Schema-extensies worden niet ondersteund door Azure AD Domain Services.

Kan ik DNS-records in mijn beheerde domein wijzigen of toevoegen?

Ja. Leden van de groep AAD DC-beheerders krijgen dns-administratorbevoegdheden voor het wijzigen van DNS-records in het beheerde domein. Deze gebruikers kunnen de DNS-beheerconsole gebruiken op een computer met Windows Server die is verbonden met het beheerde domein om DNS te beheren. Als u de DNS Manager-console wilt gebruiken, installeert u DNS Server Tools, die deel uitmaken van de Remote Server Administration Tools functie op de server. Zie DNS beheren in een Azure AD Domain Services beheerd domein voor meer informatie.

Wat is het beleid voor de levensduur van wachtwoorden in een beheerd domein?

De standaardwachtwoordlevensduur voor een Azure AD Domain Services beheerd domein is 90 dagen. Deze levensduur van het wachtwoord wordt niet gesynchroniseerd met de levensduur van het wachtwoord die is geconfigureerd in Azure AD. Daarom is het mogelijk dat de wachtwoorden van gebruikers verlopen in uw beheerde domein, maar nog steeds geldig zijn in Azure AD. In dergelijke scenario's moeten gebruikers hun wachtwoord wijzigen in Azure AD en wordt het nieuwe wachtwoord gesynchroniseerd met uw beheerde domein. Als u de standaardwachtwoordlevensduur in een beheerd domein wilt wijzigen, kunt u aangepast wachtwoordbeleid maken en configureren.

Daarnaast wordt het Azure AD-wachtwoordbeleid voor DisablePasswordExpiration gesynchroniseerd met een beheerd domein. Wanneer DisablePasswordExpiration wordt toegepast op een gebruiker in Azure AD, is de waarde UserAccountControl voor de gesynchroniseerde gebruiker in het beheerde domein DONT_EXPIRE_PASSWORD toegepast.

Wanneer gebruikers hun wachtwoord opnieuw instellen in Azure AD, wordt het kenmerk forceChangePasswordNextSignIn=True toegepast. Een beheerd domein synchroniseert dit kenmerk vanuit Azure AD. Wanneer het beheerde domein forceChangePasswordNextSignIn detecteert is ingesteld voor een gesynchroniseerde gebruiker van Azure AD, wordt het kenmerk pwdLastSet in het beheerde domein ingesteld op 0, waardoor het momenteel ingesteld wachtwoord ongeldig wordt.

Biedt Azure AD Domain Services ad-accountvergrendelingsbeveiliging?

Ja. Vijf ongeldige wachtwoordpogingen binnen twee minuten in het beheerde domein zorgen ervoor dat een gebruikersaccount 30 minuten wordt vergrendeld. Na 30 minuten wordt het gebruikersaccount automatisch ontgrendeld. Bij ongeldige wachtwoordpogingen in het beheerde domein wordt het gebruikersaccount in Azure AD niet vergrendeld. Het gebruikersaccount is alleen vergrendeld binnen uw Azure AD Domain Services beheerd domein. Zie Wachtwoord- en accountvergrendelingsbeleid voor beheerde domeinen voor meer informatie.

Kan ik Distributed File System en replicatie binnen de Azure AD Domain Services?

Nee. Distributed File System (DFS) en replicatie zijn niet beschikbaar wanneer u Azure AD Domain Services.

Hoe worden Windows-updates toegepast in Azure AD Domain Services?

Domeincontrollers in een beheerd domein passen automatisch de vereiste Windows toe. U kunt hier niets configureren of beheren. Zorg ervoor dat u geen regels voor netwerkbeveiligingsgroep maakt die uitgaand verkeer naar updates Windows blokkeren. Voor uw eigen VM's die aan het beheerde domein zijn verbonden, bent u verantwoordelijk voor het configureren en toepassen van vereiste updates voor het besturingssysteem en toepassingen.

Facturering en beschikbaarheid

Is Azure AD Domain Services een betaalde service?

Ja. Zie de pagina prijzen voor meer informatie.

Is er een gratis proefversie voor de service?

Azure AD Domain Services is opgenomen in de gratis proefversie voor Azure. U kunt zich aanmelden voor een gratis proefversie van één maand van Azure.

Kan ik een beheerd Azure AD Domain Services onderbreken?

Nee. Zodra u een beheerd domein Azure AD Domain Services ingeschakeld, is de service beschikbaar in het geselecteerde virtuele netwerk totdat u het beheerde domein verwijdert. Er is geen manier om de service te onderbreken. De facturering wordt elk uur voortgezet totdat u het beheerde domein verwijdert.

Kan ik een failover Azure AD Domain Services naar een andere regio voor een DR-gebeurtenis?

Ja, als u geografische tolerantie wilt bieden voor een beheerd domein, kunt u een extra replicaset maken voor een peered virtueel netwerk in elke Azure-regio die ondersteuning biedt voor Azure AD DS. Replicasets delen dezelfde naamruimte en configuratie met het beheerde domein.

Kan ik Azure AD Domain Services als onderdeel van Enterprise Mobility Suite (EMS)? Heb ik Azure AD Premium nodig om deze te Azure AD Domain Services?

Nee. Azure AD Domain Services is een Azure-service voor betalen per gebruik en maakt geen deel uit van EMS. Azure AD Domain Services kunnen worden gebruikt met alle edities van Azure AD (gratis en Premium). U wordt gefactureerd op uurbasis, afhankelijk van het gebruik.

Kan ik een onderliggend domein maken onder een beheerd domein?

Nee. Azure AD Domain Services een ontwerp met één domein en één forest en u kunt geen onderliggende domeinen maken.

In welke Azure-regio's is de service beschikbaar?

Raadpleeg de pagina Azure-services per regio voor een overzicht van de Azure-regio's waar Azure AD Domain Services beschikbaar is.

Problemen oplossen

Raadpleeg de gids voor probleemoplossing voor oplossingen voor veelvoorkomende problemen met het configureren of beheren van Azure AD Domain Services.