Często zadawane pytania dotyczące usług Azure Active Directory (AD)

Na tej stronie znajdują się odpowiedzi na często zadawane pytania dotyczące Azure Active Directory Domain Services.

Konfiguracja

Czy mogę utworzyć wiele domen zarządzanych dla jednego katalogu usługi Azure AD?

Nie. Możesz utworzyć tylko jedną domenę zarządzaną, która jest Azure AD Domain Services dla jednego katalogu usługi Azure AD.

Czy mogę włączyć Azure AD Domain Services w klasycznej sieci wirtualnej?

Klasyczne sieci wirtualne nie są obsługiwane w przypadku nowych wdrożeń. Istniejące domeny zarządzane wdrożone w klasycznych sieciach wirtualnych będą nadal obsługiwane do 1 marca 2023 r. W przypadku istniejących wdrożeń można migrować Azure AD Domain Services z klasycznego modelu sieci wirtualnej do Resource Manager.

Aby uzyskać więcej informacji, zobacz oficjalne powiadomienie o cofaniu pracy.

Czy mogę włączyć Azure AD Domain Services sieci wirtualnej usługi Azure Resource Manager wirtualnej?

Tak. Azure AD Domain Services można włączyć w sieci wirtualnej azure Resource Manager wirtualnej. Klasyczne sieci wirtualne platformy Azure nie są już dostępne podczas tworzenia domeny zarządzanej.

Czy można migrować istniejącą domenę zarządzaną z klasycznej sieci wirtualnej do Resource Manager wirtualnej?

Czy mogę włączyć Azure AD Domain Services subskrypcji Azure CSP (Dostawca rozwiązań w chmurze)?

Czy mogę włączyć Azure AD Domain Services w federacyjnie katalogu usługi Azure AD? Nie synchronizuj skrótów haseł z usługą Azure AD. Czy mogę włączyć Azure AD Domain Services dla tego katalogu?

Nie. Aby uwierzytelnić użytkowników za pośrednictwem protokołu NTLM lub Kerberos, Azure AD Domain Services musi mieć dostęp do skrótów haseł kont użytkowników. W katalogu federacji skróty haseł nie są przechowywane w katalogu usługi Azure AD. Dlatego Azure AD Domain Services nie działa z takimi katalogami usługi Azure AD.

Jeśli jednak używasz usługi Azure AD Połączenie do synchronizacji skrótów haseł, możesz użyć Azure AD Domain Services ponieważ wartości skrótów haseł są przechowywane w usłudze Azure AD.

Czy mogę udostępnić Azure AD Domain Services w wielu sieciach wirtualnych w ramach mojej subskrypcji?

Sama usługa nie obsługuje bezpośrednio tego scenariusza. Domena zarządzana jest dostępna tylko w jednej sieci wirtualnej jednocześnie. Można jednak skonfigurować łączność między wieloma sieciami wirtualnymi, aby uwidocznić Azure AD Domain Services innym sieciom wirtualnym. Aby uzyskać więcej informacji, zobacz jak połączyć sieci wirtualne na platformie Azure przy użyciu bram sieci VPN lubkomunikacji równorzędnej sieci wirtualnych.

Czy mogę włączyć Azure AD Domain Services przy użyciu programu PowerShell?

Tak. Aby uzyskać więcej informacji, zobacz jak włączyć obsługę Azure AD Domain Services programu PowerShell.

Czy mogę włączyć Azure AD Domain Services przy użyciu Resource Manager szablonu?

Tak, możesz utworzyć domenę Azure AD Domain Services zarządzaną przy użyciu Resource Manager szablonu. Przed wdrożeniem szablonu należy utworzyć jednostkę usługi i grupę usługi Azure AD na Azure Portal lub Azure PowerShell usługi Azure AD. Aby uzyskać więcej informacji, zobacz Create an Azure AD DS managed domain using an Azure Resource Manager template (Tworzenie domeny zarządzanej przy użyciu szablonu usługi Azure Resource Manager zarządzanej). Podczas tworzenia Azure AD Domain Services zarządzanej w Azure Portal istnieje również opcja eksportowania szablonu do użycia z dodatkowymi wdrożeniami.

Czy mogę dodać kontrolery domeny do Azure AD Domain Services zarządzanej?

Nie. Domena dostarczana przez Azure AD Domain Services jest domeną zarządzaną. Nie trzeba aprowizować, konfigurować ani w inny sposób zarządzać kontrolerami domeny dla tej domeny. Te działania związane z zarządzaniem są udostępniane jako usługa przez firmę Microsoft. W związku z tym nie można dodawać dodatkowych kontrolerów domeny (do odczytu i zapisu lub tylko do odczytu) dla domeny zarządzanej.

Czy użytkownicy-goście mogą być zapraszani do mojego katalogu za pomocą Azure AD Domain Services?

Nie. Użytkownicy-goście zaproszeni do katalogu usługi Azure AD przy użyciu procesu zapraszania usługi Azure AD B2B są synchronizowane z twoją Azure AD Domain Services zarządzaną. Jednak hasła dla tych użytkowników nie są przechowywane w katalogu usługi Azure AD. W związku Azure AD Domain Services nie ma możliwości synchronizowania skrótów NTLM i Kerberos dla tych użytkowników w domenie zarządzanej. Tacy użytkownicy nie mogą logować się ani dołączać komputerów do domeny zarządzanej.

Czy można utworzyć relację zaufania między lasem zasobów a lasem lokalnym?

Nie. Las zasobów domeny zarządzanej obsługuje maksymalnie pięć jednokierunkowych relacji zaufania lasu wychodzącego do lasów lokalnych.

Dlaczego nie widzę menu Relacje zaufania?

Jeśli nie widzisz opcji menu Relacje zaufania , sprawdź w obszarze Właściwości dla typu lasu. Tylko lasy zasobów mogą tworzyć relacje zaufania. Jeśli typ lasu to Użytkownik, nie można tworzyć relacji zaufania. Obecnie nie ma możliwości zmiany typu lasu domeny zarządzanej. Należy usunąć i ponownie utworzyć domenę zarządzaną jako las zasobów.

Czy mogę przenieść domenę zarządzaną?

Nie. Po utworzeniu Azure AD Domain Services zarządzanej nie można przenieść jej do innej subskrypcji, grupy zasobów, regionu, sieci wirtualnej lub podsieci. Aby obejść ten problem, możesz usunąć domenę zarządzaną przy użyciu programu PowerShell lub Azure Portal i utworzyć ją ponownie z odpowiednią konfiguracją. Podczas ponownego tworzenia domeny zarządzanej nie można tworzyć żadnych operacji przywracania.

Czy mogę zmienić nazwę istniejącej Azure AD Domain Services domeny?

Nie. Po utworzeniu Azure AD Domain Services zarządzanej nie można zmienić nazwy domeny DNS. Podczas tworzenia domeny zarządzanej dokładnie wybierz nazwę domeny DNS. Uwagi dotyczące wyboru nazwy domeny DNS można znaleźć w samouczku tworzenia i konfigurowania Azure AD Domain Services domeny zarządzanej.

Czy Azure AD Domain Services opcje wysokiej dostępności?

Tak. Każda Azure AD Domain Services zarządzana zawiera dwa kontrolery domeny. Nie zarządzasz tymi kontrolerami domeny ani nie łączysz się z nimi, ponieważ są one częścią usługi zarządzanej. W przypadku wdrażania Azure AD Domain Services w regionie, który obsługuje Strefy dostępności, kontrolery domeny są rozproszone w różnych strefach. W regionach, które nie obsługują Strefy dostępności, kontrolery domeny są rozproszone w zestawach dostępności. Nie masz żadnych opcji konfiguracji ani kontroli zarządzania nad tą dystrybucją. Aby uzyskać więcej informacji, zobacz Opcje dostępności dla maszyn wirtualnych na platformie Azure.

Administracja i operacje

Czy mogę nawiązać połączenie z kontrolerem domeny dla mojej domeny zarządzanej przy użyciu Pulpit zdalny?

Nie. Nie masz uprawnień do nawiązywania połączenia z kontrolerami domeny dla domeny zarządzanej przy użyciu Pulpit zdalny. Członkowie grupy administratorzy AAD domeny zarządzanej mogą administrować domeną zarządzaną przy użyciu narzędzi administracyjnych usługi AD, takich jak Centrum administracyjne usługi Active Directory (ADAC) lub program AD PowerShell. Te narzędzia są instalowane przy użyciu funkcji Narzędzia administracji zdalnej serwera na serwerze Windows przyłączony do domeny zarządzanej. Aby uzyskać więcej informacji, zobacz Create a management VM to configure and administer an Azure AD Domain Services managed domain (Tworzenie maszyny wirtualnej zarządzania w celu skonfigurowania Azure AD Domain Services domeny zarządzanej).

Włączono Azure AD Domain Services. Jakiego konta użytkownika używam do dołączania maszyn do domeny do tej domeny?

Każde konto użytkownika, które jest częścią domeny zarządzanej, może dołączyć do maszyny wirtualnej. Członkowie grupy administratorzy AAD kontrolerze domeny mają dostęp pulpitu zdalnego do maszyn, które zostały przyłączone do domeny zarządzanej.

Czy mam uprawnienia administratora domeny dla domeny zarządzanej udostępniane przez Azure AD Domain Services?

Nie. Nie masz uprawnień administracyjnych w domenie zarządzanej. Uprawnienia administratoradomeny Enterprise administratora domeny nie są dostępne do użycia w domenie. Członkowie grup administratorów domeny lub administratorów przedsiębiorstwa w Twojej lokalna usługa Active Directory również nie mają przyznanych uprawnień administratora domeny/przedsiębiorstwa w domenie zarządzanej.

Czy mogę zmodyfikować członkostwo w grupach przy użyciu protokołu LDAP lub innych narzędzi administracyjnych usługi AD w domenach zarządzanych?

Użytkowników i grup synchronizowanych z Azure Active Directory do Azure AD Domain Services nie można modyfikować, ponieważ ich źródło pochodzenia jest Azure Active Directory. Obejmuje to przeniesienie użytkowników lub grup z jednostki organizacyjnej zarządzanej przez użytkowników usługi AADDC do niestandardowej jednostki organizacyjnej. Każdy użytkownik lub grupa pochodząca z domeny zarządzanej może zostać zmodyfikowany.

Jak długo trwa, aby zmiany wprowadzone w katalogu usługi Azure AD były widoczne w domenie zarządzanej?

Zmiany wprowadzone w katalogu usługi Azure AD przy użyciu interfejsu użytkownika usługi Azure AD lub programu PowerShell są automatycznie synchronizowane z domeną zarządzaną. Ten proces synchronizacji działa w tle. Nie ma zdefiniowanego okresu dla tej synchronizacji, aby ukończyć wszystkie zmiany obiektu.

Czy mogę rozszerzyć schemat domeny zarządzanej dostarczany przez Azure AD Domain Services?

Nie. Schemat jest administrowany przez firmę Microsoft dla domeny zarządzanej. Rozszerzenia schematu nie są obsługiwane przez Azure AD Domain Services.

Czy mogę modyfikować lub dodawać rekordy DNS w domenie zarządzanej?

Tak. Członkowie grupy administratorzy AAD kontrolera domeny mają uprawnienia administratora DNS do modyfikowania rekordów DNS w domenie zarządzanej. Ci użytkownicy mogą używać konsoli Menedżera DNS na maszynie z systemem Windows Server przyłączony do domeny zarządzanej w celu zarządzania systemem DNS. Aby użyć konsoli Menedżera DNS, zainstaluj narzędzia serwera DNS, które są częścią Narzędzia administracji zdalnej serwera funkcji na serwerze. Aby uzyskać więcej informacji, zobacz Administrowanie systemem DNS w Azure AD Domain Services domenie zarządzanej.

Jakie są zasady okresu istnienia hasła w domenie zarządzanej?

Domyślny okres istnienia hasła w domenie zarządzanej Azure AD Domain Services wynosi 90 dni. Ten okres istnienia hasła nie jest synchronizowany z okresem istnienia hasła skonfigurowanym w usłudze Azure AD. W związku z tym może wystąpić sytuacja, w której hasła użytkowników wygasają w domenie zarządzanej, ale są nadal ważne w usłudze Azure AD. W takich scenariuszach użytkownicy muszą zmienić swoje hasło w usłudze Azure AD, a nowe hasło zostanie zsynchronizowane z Twoją domeną zarządzaną. Jeśli chcesz zmienić domyślny okres istnienia hasła w domenie zarządzanej, możesz utworzyć i skonfigurować niestandardowe zasady haseł.

Ponadto zasady haseł usługi Azure AD dla funkcji DisablePasswordExpiration są synchronizowane z domeną zarządzaną. Po zastosowaniu wartości DisablePasswordExpiration do użytkownika w usłudze Azure AD wartość UserAccountControl dla zsynchronizowanego użytkownika w domenie zarządzanej DONT_EXPIRE_PASSWORD zastosowana.

Gdy użytkownicy resetują swoje hasło w usłudze Azure AD, stosowany jest atrybut forceChangePasswordNextSignIn=True . Domena zarządzana synchronizuje ten atrybut z usługi Azure AD. Gdy domena zarządzana wykryje, że wartość forceChangePasswordNextSignIn jest ustawiona dla zsynchronizowanego użytkownika z usługi Azure AD, atrybut pwdLastSet w domenie zarządzanej jest ustawiany na wartość 0, co unieważnia aktualnie ustawione hasło.

Czy Azure AD Domain Services ochronę konta usługi AD?

Tak. Pięć prób nieprawidłowego hasła w ciągu 2 minut w domenie zarządzanej powoduje zablokowanie konta użytkownika na 30 minut. Po 30 minutach konto użytkownika zostanie automatycznie odblokowane. Próby nieprawidłowego hasła w domenie zarządzanej nie blokają konta użytkownika w usłudze Azure AD. Konto użytkownika jest zablokowane tylko w twojej Azure AD Domain Services zarządzanej. Aby uzyskać więcej informacji, zobacz Password and account lockout policies on managed domains (Zasady blokowania haseł i kont w domenach zarządzanych).

Czy można skonfigurować rozproszony system plików replikację w ramach Azure AD Domain Services?

Nie. rozproszony system plików (DFS) i replikacja nie są dostępne podczas korzystania z Azure AD Domain Services.

W jaki Windows są stosowane aktualizacje Azure AD Domain Services?

Kontrolery domeny w domenie zarządzanej automatycznie stosują wymagane Windows aktualizacji. Nie musisz tutaj nic konfigurować ani administrować. Upewnij się, że nie tworzysz reguł sieciowej grupy zabezpieczeń, które blokują ruch wychodzący do usługi Windows Updates. W przypadku własnych maszyn wirtualnych przyłączonych do domeny zarządzanej użytkownik jest odpowiedzialny za konfigurowanie i stosowanie wszelkich wymaganych aktualizacji systemu operacyjnego i aplikacji.

Rozliczenia i dostępność

Czy Azure AD Domain Services usługa płatna?

Tak. Aby uzyskać więcej informacji, odwiedź stronę cennika.

Czy istnieje bezpłatna wersja próbna usługi?

Azure AD Domain Services jest uwzględniony w bezpłatnej wersji próbnej platformy Azure. Możesz zarejestrować się, aby korzystać z bezpłatnej miesięcznej wersji próbnej platformy Azure.

Czy mogę wstrzymać domenę Azure AD Domain Services zarządzaną?

Nie. Po włączeniu zarządzanej domeny Azure AD Domain Services usługa jest dostępna w wybranej sieci wirtualnej do momentu usunięcia domeny zarządzanej. Nie ma możliwości wstrzymania usługi. Rozliczenia są kontynuowane co godzinę do momentu usunięcia domeny zarządzanej.

Czy mogę przesieć w Azure AD Domain Services do innego regionu na wypadek zdarzenia awarii?

Tak, aby zapewnić odporność geograficzną dla domeny zarządzanej, można utworzyć dodatkowy zestaw replik dla równorzędnej sieci wirtualnej w dowolnym regionie świadczenia usługi Azure, który obsługuje Azure AD DS. Zestawy replik współdzielą tę samą przestrzeń nazw i konfigurację z domeną zarządzaną.

Czy mogę uzyskać Azure AD Domain Services w ramach pakietu Enterprise Mobility Suite (EMS)? Czy muszę Azure AD — wersja Premium używać Azure AD Domain Services?

Nie. Azure AD Domain Services jest usługą platformy Azure z płatnością zgodnie z ty i nie jest częścią usługi EMS. Azure AD Domain Services można używać ze wszystkimi wersjami usługi Azure AD (wersja bezpłatna i Premium). Opłaty są naliczane godzinowo, w zależności od użycia.

Czy mogę utworzyć domenę podrzędną w domenie zarządzanej?

Nie. Azure AD Domain Services ma projekt z jedną domeną i jednym lasem i nie można tworzyć domen podrzędnych.

W jakich regionach platformy Azure jest dostępna usługa?

Zapoznaj się ze stroną Usługi platformy Azure według regionów , aby wyświetlić listę regionów świadczenia usługi Azure, Azure AD Domain Services są dostępne.

Rozwiązywanie problemów

Zapoznaj się z przewodnikiem rozwiązywania problemów , aby uzyskać rozwiązania typowych problemów z konfigurowaniem lub administrowaniem Azure AD Domain Services.