Vanliga frågor och svar om Azure Active Directory (AD) Domain Services

Den här sidan besvarar vanliga frågor om Azure Active Directory Domain Services.

Konfiguration

Kan jag skapa flera hanterade domäner för en enda Azure AD-katalog?

Nej. Du kan bara skapa en enda hanterad domän som hanteras av Azure AD Domain Services för en enda Azure AD-katalog.

Kan jag aktivera Azure AD Domain Services i ett klassiskt virtuellt nätverk?

Klassiska virtuella nätverk stöds inte för nya distributioner. Befintliga hanterade domäner som distribueras i klassiska virtuella nätverk fortsätter att stödjas tills de dras tillbaka den 1 mars 2023. För befintliga distributioner kan du migrera Azure AD Domain Services från den klassiska virtuella nätverksmodellen till Resource Manager.

Mer information finns i det officiella meddelandet om utfasning.

Kan jag aktivera Azure AD Domain Services i ett virtuellt Azure Resource Manager nätverk?

Ja. Azure AD Domain Services kan aktiveras i ett virtuellt Azure Resource Manager-nätverk. Klassiska virtuella Azure-nätverk är inte längre tillgängliga när du skapar en hanterad domän.

Kan jag migrera min befintliga hanterade domän från ett klassiskt virtuellt nätverk till ett Resource Manager virtuellt nätverk?

Kan jag aktivera Azure AD Domain Services i en Azure CSP-prenumeration (Molnlösningsleverantör)?

Kan jag aktivera Azure AD Domain Services i en federerad Azure AD-katalog? Jag synkroniserar inte lösenordshashar till Azure AD. Kan jag aktivera Azure AD Domain Services för den här katalogen?

Nej. För att autentisera användare via NTLM eller Kerberos Azure AD Domain Services åtkomst till lösenordshashar för användarkonton. I en federerad katalog lagras inte lösenordshashar i Azure AD-katalogen. Därför Azure AD Domain Services fungerar inte med sådana Azure AD-kataloger.

Men om du använder Azure AD Anslut synkronisering av lösenordshashar kan du använda Azure AD Domain Services eftersom hashvärdena för lösenord lagras i Azure AD.

Kan jag göra Azure AD Domain Services tillgängliga i flera virtuella nätverk i min prenumeration?

Själva tjänsten har inte direkt stöd för det här scenariot. Din hanterade domän är endast tillgänglig i ett virtuellt nätverk i taget. Du kan dock konfigurera anslutningen mellan flera virtuella nätverk för att exponera Azure AD Domain Services andra virtuella nätverk. Mer information finns i Ansluta virtuella nätverk i Azure med HJÄLP av VPN-gatewayer ellerpeering för virtuella nätverk.

Kan jag aktivera Azure AD Domain Services med PowerShell?

Kan jag aktivera Azure AD Domain Services en Resource Manager mall?

Ja, du kan skapa en Azure AD Domain Services hanterad domän med en Resource Manager mall. Ett huvudnamn för tjänsten och en Azure AD-grupp för administration måste skapas med hjälp Azure Portal eller Azure PowerShell innan mallen distribueras. Mer information finns i Skapa en Azure AD DS hanterad domän med hjälp av en Azure Resource Manager mall. När du skapar Azure AD Domain Services hanterad domän i Azure Portal finns det också ett alternativ för att exportera mallen för användning med ytterligare distributioner.

Kan jag lägga till domänkontrollanter i en Azure AD Domain Services hanterad domän?

Nej. Domänen som tillhandahålls av Azure AD Domain Services är en hanterad domän. Du behöver inte etablera, konfigurera eller på annat sätt hantera domänkontrollanter för den här domänen. Dessa hanteringsaktiviteter tillhandahålls som en tjänst av Microsoft. Därför kan du inte lägga till ytterligare domänkontrollanter (skrivskyddade eller skrivskyddade) för den hanterade domänen.

Kan gästanvändare bjudas in till min katalog med Azure AD Domain Services?

Nej. Gästanvändare som bjudits in till din Azure AD-katalog med hjälp av processen för Azure AD B2B-inbjudan synkroniseras till din Azure AD Domain Services hanterade domän. Lösenord för dessa användare lagras dock inte i Azure AD-katalogen. Därför kan Azure AD Domain Services inte synkronisera NTLM- och Kerberos-hashs för dessa användare till din hanterade domän. Sådana användare kan inte logga in eller ansluta datorer till den hanterade domänen.

Kan ett tvåvägs skogsförtroende skapas mellan en resursskog och en lokal skog?

Nej. En hanterad domänresursskog har stöd för upp till fem envägs utgående skogsförtroenden till lokala skogar.

Varför kan jag inte se menyn Förtroenden?

Om du inte ser menyalternativet Förtroenden markerar du under Egenskaper för Skogstyp. Endast resursskogar kan skapa förtroenden. Om skogstypen är Användare kan du inte skapa förtroenden. Det finns för närvarande inget sätt att ändra skogstypen för en hanterad domän. Du måste ta bort och återskapa den hanterade domänen som en resursskog.

Kan jag flytta en hanterad domän?

Nej. När du har Azure AD Domain Services en hanterad domän kan du inte flytta den till en annan prenumeration, resursgrupp, region, virtuellt nätverk eller undernät. Som en tillfällig lösning kan du ta bort den hanterade domänen med hjälp av PowerShell eller Azure Portal och skapa den igen med önskad konfiguration. Inga återställningsåtgärder kan tillhandahållas medan den hanterade domänen återskapas.

Kan jag byta namn på Azure AD Domain Services ett befintligt domännamn?

Nej. När du har Azure AD Domain Services en hanterad domän kan du inte ändra DNS-domännamnet. Välj DNS-domännamnet noggrant när du skapar den hanterade domänen. Saker att tänka på när du väljer DNS-domännamn finns i självstudien om hur du skapar och konfigurerar en Azure AD Domain Services hanterad domän.

Innehåller Azure AD Domain Services alternativ för hög tillgänglighet?

Ja. Varje Azure AD Domain Services hanterad domän innehåller två domänkontrollanter. Du hanterar eller ansluter inte till dessa domänkontrollanter, de ingår i den hanterade tjänsten. Om du Azure AD Domain Services till en region som stöder Tillgänglighetszoner distribueras domänkontrollanterna mellan zoner. I regioner som inte stöder Tillgänglighetszoner distribueras domänkontrollanterna över tillgänglighetsuppsättningar. Du har inga konfigurationsalternativ eller hanteringskontroll över den här distributionen. Mer information finns i Tillgänglighetsalternativ för virtuella datorer i Azure.

Administration och åtgärder

Kan jag ansluta till domänkontrollanten för min hanterade domän med fjärrskrivbord?

Nej. Du har inte behörighet att ansluta till domänkontrollanter för den hanterade domänen med hjälp av Fjärrskrivbord. Medlemmar i gruppen AAD DC-administratörer kan administrera den hanterade domänen med hjälp av AD-administrationsverktyg som Active Directory Administrationscenter (ADAC) eller AD PowerShell. Dessa verktyg installeras med hjälp av verktyg för fjärrserveradministration på en Windows-server som är ansluten till den hanterade domänen. Mer information finns i Skapa en hanterings-VM för att konfigurera och administrera en Azure AD Domain Services hanterad domän.

Jag har aktiverat Azure AD Domain Services. Vilket användarkonto använder jag för domänkoppling av datorer till den här domänen?

Alla användarkonton som ingår i den hanterade domänen kan ansluta till en virtuell dator. Medlemmar i gruppen AAD DC-administratörer beviljas fjärrskrivbordsåtkomst till datorer som har anslutits till den hanterade domänen.

Har jag domänadministratörsbehörighet för den hanterade domän som tillhandahålls av Azure AD Domain Services?

Nej. Du beviljas inte administratörsbehörighet på den hanterade domänen. Domänadministratörs- och företagsadministratörsbehörigheter är inte tillgängliga för dig att använda i domänen. Medlemmar i domänadministratörs- eller företagsadministratörsgrupperna i din lokal Active Directory beviljas inte heller domän-/företagsadministratörsbehörighet på den hanterade domänen.

Kan jag ändra gruppmedlemskap med LDAP eller andra ADMINISTRATIVA AD-verktyg på hanterade domäner?

Användare och grupper som synkroniseras från Azure Active Directory till Azure AD Domain Services inte ändras eftersom deras ursprung är Azure Active Directory. Detta omfattar att flytta användare eller grupper från den hanterade organisationsenheten AADDC-användare till en anpassad organisationsenhet. Alla användare eller grupper som har sitt ursprung i den hanterade domänen kan ändras.

Hur lång tid tar det innan ändringar som jag gör i Azure AD-katalogen visas i min hanterade domän?

Ändringar som görs i Azure AD-katalogen med hjälp av antingen Azure AD-användargränssnittet eller PowerShell synkroniseras automatiskt till din hanterade domän. Den här synkroniseringsprocessen körs i bakgrunden. Det finns ingen definierad tidsperiod för den här synkroniseringen för att slutföra alla objektändringar.

Kan jag utöka schemat för den hanterade domän som tillhandahålls av Azure AD Domain Services?

Nej. Schemat administreras av Microsoft för den hanterade domänen. Schematillägg stöds inte av Azure AD Domain Services.

Kan jag ändra eller lägga till DNS-poster i min hanterade domän?

Ja. Medlemmar i gruppen AAD DC-administratörer beviljas DNS-administratörsbehörighet för att ändra DNS-poster i den hanterade domänen. Dessa användare kan använda DNS Manager-konsolen på en dator som kör Windows Server som är ansluten till den hanterade domänen för att hantera DNS. Om du vill använda DNS Manager-konsolen installerar du DNS Server Tools, som är en del verktyg för fjärrserveradministration valfri funktion på servern. Mer information finns i Administrera DNS i en Azure AD Domain Services hanterad domän.

Vad är principen för lösenordslivslängd på en hanterad domän?

Standardlivslängden för lösenord på en Azure AD Domain Services hanterad domän är 90 dagar. Lösenordets livslängd synkroniseras inte med lösenordets livslängd som konfigurerats i Azure AD. Därför kan du ha en situation där användarnas lösenord upphör att gälla i din hanterade domän, men fortfarande är giltiga i Azure AD. I sådana scenarier måste användarna ändra sitt lösenord i Azure AD och det nya lösenordet synkroniseras till din hanterade domän. Om du vill ändra standardlivslängden för lösenord i en hanterad domän kan du skapa och konfigurera anpassade lösenordsprinciper.

Dessutom synkroniseras Azure AD-lösenordsprincipen för DisablePasswordExpiration till en hanterad domän. När DisablePasswordExpiration tillämpas på en användare i Azure AD har UserAccountControl-värdet för den synkroniserade användaren i den hanterade domänen DONT_EXPIRE_PASSWORD tillämpas.

När användarna återställer sina lösenord i Azure AD tillämpas attributet forceChangePasswordNextSignIn=True . En hanterad domän synkroniserar det här attributet från Azure AD. När den hanterade domänen identifierar forceChangePasswordNextSignIn har angetts för en synkroniserad användare från Azure AD ställs attributet pwdLastSet i den hanterade domänen in på 0, vilket gör lösenordet som angetts ogiltigt.

Ger Azure AD Domain Services skydd mot AD-kontolåsning?

Ja. Fem ogiltiga lösenordsförsök inom 2 minuter på den hanterade domänen gör att ett användarkonto blir utelåst i 30 minuter. Efter 30 minuter låses användarkontot upp automatiskt. Ogiltiga lösenordsförsök på den hanterade domänen låser inte användarkontot i Azure AD. Användarkontot är endast utelåst inom din Azure AD Domain Services hanterade domän. Mer information finns i Principer för lösenords- och kontolåsning i hanterade domäner.

Kan jag konfigurera Distributed File System och replikering inom Azure AD Domain Services?

Nej. Distributed File System (DFS) och replikering är inte tillgängliga när du använder Azure AD Domain Services.

Hur tillämpas Windows uppdateringar i Azure AD Domain Services?

Domänkontrollanter i en hanterad domän tillämpar automatiskt nödvändiga Windows uppdateringar. Det finns inget du kan konfigurera eller administrera här. Se till att du inte skapar regler för nätverkssäkerhetsgrupp som blockerar utgående trafik för att Windows uppdateringar. För dina egna virtuella datorer som är ansluten till den hanterade domänen ansvarar du för att konfigurera och tillämpa eventuella nödvändiga os- och programuppdateringar.

Fakturering och tillgänglighet

Är Azure AD Domain Services en betald tjänst?

Ja. Mer information finns på sidan med priser.

Finns det en kostnadsfri utvärderingsversion av tjänsten?

Azure AD Domain Services ingår i den kostnadsfria utvärderingsversionen för Azure. Du kan registrera dig för en kostnadsfri enmånads utvärderingsversion av Azure.

Kan jag pausa en Azure AD Domain Services hanterad domän?

Nej. När du har aktiverat en Azure AD Domain Services hanterad domän är tjänsten tillgänglig i det valda virtuella nätverket tills du tar bort den hanterade domänen. Det går inte att pausa tjänsten. Faktureringen fortsätter per timme tills du tar bort den hanterade domänen.

Kan jag redundans redundans Azure AD Domain Services en annan region för en DR-händelse?

Ja, om du vill ge geografisk återhämtning för en hanterad domän kan du skapa ytterligare en replikuppsättning till ett peer-erat virtuellt nätverk i valfri Azure-region som stöder Azure AD DS. Replikuppsättningar delar samma namnområde och konfiguration med den hanterade domänen.

Kan jag få Azure AD Domain Services som en del av Enterprise Mobility Suite (EMS)? Behöver jag Azure AD Premium använda Azure AD Domain Services?

Nej. Azure AD Domain Services är en Azure-tjänst med betala per användning och ingår inte i EMS. Azure AD Domain Services kan användas med alla utgåvor av Azure AD (kostnadsfri och Premium). Du debiteras per timme, beroende på användning.

Kan jag skapa en underordnad domän under en hanterad domän?

Nej. Azure AD Domain Services har en endomänsdesign med en skog och du kan inte skapa underordnade domäner.

I vilka Azure-regioner finns tjänsten tillgänglig?

Se sidan Azure-tjänster efter region för att se en lista över de Azure-regioner där Azure AD Domain Services är tillgänglig.

Felsökning

Se felsökningsguiden för lösningar på vanliga problem med att konfigurera eller administrera Azure AD Domain Services.

Nästa steg

Mer information om Azure AD Domain Services finns i Vad är Azure Active Directory Domain Services?.

Kom igång genom att gå till Skapa och konfigurera en Azure Active Directory Domain Services-hanterad domän.