常見問題 () 有關 Azure Active Directory (AD) 網域服務的常見問題

此頁面會回答有關 Azure Active Directory Domain Services 的常見問題。

組態

我可以針對單一 Azure AD 目錄建立多個受控網域嗎?

不可以。 您只能針對單一 Azure AD 目錄,建立由 Azure AD Domain Services 所服務的單一受控網域服務。

我可以在傳統虛擬網路中啟用 Azure AD 網域服務嗎?

新部署不支援傳統虛擬網路。 在傳統虛擬網路中部署的現有受控網域,在2023年3月1日淘汰之前,會繼續受到支援。 針對現有的部署,您可以將Azure AD 網域服務從傳統虛擬網路模型遷移到 Resource Manager

如需詳細資訊,請參閱 官方淘汰通知

是否可以啟用 Azure Resource Manager 虛擬網路中的 Azure AD 網域服務?

可以。 可以啟用 Azure Resource Manager 虛擬網路中的 Azure AD Domain Services。 當您建立受控網域時,無法再使用傳統的 Azure 虛擬網路。

我可以將現有的受控網域從傳統虛擬網路遷移至 Resource Manager 的虛擬網路嗎?

是否可以在 Azure CSP (雲端方案提供者) 訂用帳戶中啟用 Azure AD Domain Services?

是的。 如需詳細資訊,請參閱如何在 Azure CSP 訂閱中啟用 Azure AD 網域服務

我可以在同盟 Azure AD 目錄中啟用 Azure AD Domain Services 嗎? 我不要將密碼雜湊同步至 Azure AD。 我可以針對此目錄啟用 Azure AD Domain Services 嗎?

不可以。 若要透過 NTLM 或 Kerberos 驗證使用者,Azure AD 網域服務需要存取使用者帳戶的密碼雜湊。 在同盟目錄中,密碼雜湊不會儲存在 Azure AD 目錄中。 因此,Azure AD 網域服務無法使用這類 Azure AD 目錄。

但是,如果您使用 Azure AD 連線進行密碼雜湊同步處理,您可以使用 Azure AD 網域服務,因為密碼雜湊值會儲存在 Azure AD 中。

我可以在訂用帳戶內的多個虛擬網路中使用 Azure AD 網域服務嗎?

服務本身不會直接支援這種情況。 受控網域一次只能在一個虛擬網路上使用。 不過,您可以設定多個虛擬網路之間的連線,以向其他虛擬網路公開 Azure AD 網域服務。 如需詳細資訊,請參閱如何使用 VPN 閘道或虛擬網路對等互連來連接 Azure 中的虛擬網路

我是否可以使用 PowerShell 來啟用「Azure AD 網域服務」?

是的。 如需詳細資訊,請參閱如何使用 PowerShell 啟用 Azure AD 的網域服務

是否可以使用 Resource Manager 範本啟用 Azure AD Domain Services?

是,您可以使用 Resource Manager 範本建立 Azure AD Domain Services 受控網域。 在部署範本之前,必須先使用 Azure 入口網站或 Azure PowerShell 來建立服務主體和 Azure AD 群組以進行管理。 如需詳細資訊,請參閱使用 Azure Resource Manager 範本建立 Azure AD DS 受控網域。 當您在 Azure 入口網站中建立 Azure AD Domain Services 受控網域時,也會有匯出範本以搭配其他部署使用的選項。

可以將網域控制站新增至 Azure AD 網域服務的受控網域嗎?

不可以。 Azure Active Directory Domain Services 所提供的網域是受控網域。 您不需要布建、設定或以其他方式管理此網域的網域控制站。 這些管理活動是由 Microsoft 提供的服務。 因此,您無法為受控網域新增額外的網域控制站 (讀寫或唯讀) 。

來賓使用者是否可以受邀使用 Azure AD 網域服務的目錄?

不可以。 以 Azure AD B2B 邀請流程受邀到您 Azure AD 目錄的來賓使用者會同步至您的 Azure AD Domain Services 受控網域。 不過,這些使用者的密碼不會儲存在您的 Azure AD 目錄中。 因此,Azure AD 網域服務無法將這些使用者的 NTLM 與 Kerberos 雜湊同步處理到您的受控網域。 這類使用者無法登入或將電腦加入受控網域。

可以在資源樹系和內部部署樹系之間建立雙向樹系信任嗎?

不可以。 受控網域資源樹系支援對內部部署樹系的最高 5 1 向輸出樹系信任。

為什麼我看不到 [信任] 功能表?

如果您沒有看到 [信任] 功能表選項,請在 [樹系類型] 下,勾選 [屬性]。 只有 資源 樹系可以建立信任。 如果樹系類型為「使用者」,您就無法建立信任。 目前沒有任何方法可變更受控網域的樹系類型。 您必須刪除並重新建立受控網域作為資源樹系。

我可以移動受控網域嗎?

不可以。 建立 Azure AD 網域服務受控網域之後,您無法將它移至不同的訂用帳戶、資源群組、區域、虛擬網路或子網。 因應措施是,您可以使用 PowerShell 或 Azure 入口網站來刪除受控網域,並使用您想要的設定來重新建立它。 重新建立受控網域時,無法提供任何還原作業。

我可以重新命名現有的 Azure AD 網域服務功能變數名稱嗎?

不可以。 建立 Azure AD 網域服務受控網域之後,您就無法變更 DNS 功能變數名稱。 當您建立受控網域時,請謹慎選擇 DNS 功能變數名稱。 如需選擇 DNS 功能變數名稱的考慮,請參閱教學課程以建立和設定 Azure AD domain Services 受控網域

Azure AD 網域服務是否包含高可用性選項?

是的。 每個 Azure AD domain Services 受控網域包含兩個網域控制站。 您不會管理或連接到這些網域控制站,而是受管理服務的一部分。 如果您將 Azure AD 網域服務部署到支援可用性區域的區域,則網域控制站會分散到不同區域。 在不支援可用性區域的區域中,網域控制站會分散到不同的可用性設定組。 您沒有此發佈的設定選項或管理控制。 如需詳細資訊,請參閱 Azure 中虛擬機器的可用性選項

管理和作業

我可以使用遠端桌面連線到我的受控網域的網域控制站嗎?

不可以。 您沒有許可權可使用遠端桌面連線到受控網域的網域控制站。 AAD DC 系統管理員群組的成員可以使用 ad 系統管理工具(例如 Active Directory administration CENTER (ADAC) 或 ad PowerShell)來管理受控網域。 這些工具是使用已加入受控網域的 Windows 伺服器上的遠端伺服器管理工具功能來安裝。 如需詳細資訊,請參閱建立管理 VM 以設定和管理 Azure AD Domain Services 受控網域

我已啟用 Azure AD 網域服務。 我應該使用哪一個使用者帳戶來將電腦加入此網域?

屬於受控網域的任何使用者帳戶都可以加入 VM。 AAD DC 系統管理員群組的成員會將遠端桌面存取權授與已加入受控網域的電腦。

我有 Azure AD Domain Services 所提供的受控網域的網域系統管理員權限嗎?

不可以。 您不會獲得受控網域的系統管理許可權。 網域系統管理員Enterprise 系統管理員許可權無法供您在網域內使用。 您內部部署的 Active Directory 中的網域系統管理員或企業系統管理員群組成員也不會被授與受控網域的網域/企業系統管理員許可權。

我可以在受控網域上使用 LDAP 或其他 AD 系統管理工具來修改群組成員資格嗎?

無法修改從 Azure Active Directory 同步處理至 Azure AD 網域服務的使用者和群組,因為其來源來源為 Azure Active Directory。 這包括將使用者或群組從 AADDC Users 管理的組織單位移至自訂的組織單位。 可能會修改源自受控網域的任何使用者或群組。

我對 Azure AD 目錄所做的變更要多久才會反映在我的受控網域中?

使用 Azure AD UI 或 PowerShell 在 Azure AD 目錄中所做的變更,會自動同步處理至您的受控網域。 這個同步處理程序會在背景執行。 此同步處理沒有定義的時間間隔,無法完成所有的物件變更。

可以擴充 Azure AD Domain Services 所提供之受控網域的結構描述嗎?

不可以。 結構描述是由 Microsoft 針對受控網域進行管理。 Azure AD 網域服務不支援架構延伸。

是否可以在受控網域中修改或新增 DNS 記錄?

可以。 AAD DC 系統管理員群組的成員會被授與dns 系統管理員許可權,以修改受控網域中的 dns 記錄。 這些使用者可以在執行 Windows Server 且已加入受控網域的電腦上,使用 dns 管理員主控台來管理 DNS。 若要使用 DNS 管理員主控台,請安裝 Dns 伺服器工具,這是伺服器上 遠端伺服器管理工具 選用功能的一部分。 如需詳細資訊,請參閱管理 Azure AD 網域服務受控網域中的 DNS

受控網域上的密碼存留期原則為何?

Azure AD Domain Services 受控網域上的預設密碼存留期為 90 天。 此密碼存留期不會與 Azure AD 中設定的密碼存留期同步。 因此,您可能會遇到使用者的密碼在您的受控網域中到期,但在 Azure AD 中卻仍然有效的情況。 在這種情況下,使用者必須變更他們在 Azure AD 中的密碼,而新密碼將會同步至您的受控網域。 如果您想要變更受控網域中的預設密碼存留期,您可以建立和設定自訂密碼原則。

此外, DisablePasswordExpiration的 Azure AD 密碼原則會同步處理至受控網域。 當DisablePasswordExpiration套用至 Azure AD 中的使用者時,受控網域中已同步處理之使用者的UserAccountControl值已套用DONT_EXPIRE_PASSWORD

當使用者在 Azure AD 中重設其密碼時,會套用forceChangePasswordNextSignIn = True屬性。 受控網域會將此屬性從 Azure AD 同步處理。 當受控網域偵測到 Azure AD 中已同步處理的使用者設定了forceChangePasswordNextSignIn時,受控網域中的pwdLastSet屬性會設定為0,這會使目前設定的密碼失效。

Azure Active Directory Domain Services 是否提供 AD 帳戶鎖定保護?

是的。 2 分鐘內在受控網域中輸入不正確的密碼五次,即會導致使用者帳戶鎖定 30 分鐘。 30 分鐘後,使用者帳戶會自動解除鎖定。 受控網域上的密碼嘗試無效,無法在 Azure AD 中鎖定使用者帳戶。 Azure AD Domain Services 受控網域內的使用者帳戶才會遭到鎖定。 如需詳細資訊,請參閱 受控網域上的密碼和帳戶鎖定原則

我可以在 Azure AD 網域服務內設定分散式檔案系統和複寫嗎?

不可以。 使用 Azure AD 網域服務時,無法使用分散式檔案系統 (DFS) 和複寫。

如何在 Azure AD 網域服務中套用 Windows 更新?

受控網域中的網域控制站會自動套用必要的 Windows 更新。 您無法在這裡設定或管理任何專案。 請確定您未建立網路安全性群組規則,以封鎖輸出流量以 Windows 更新。 針對已加入受控網域的 Vm,您必須負責設定和套用任何必要的 OS 和應用程式更新。

計費與可用性

Azure AD 網域服務是付費服務嗎?

可以。 如需詳細資訊,請參閱價格頁面

是否可以免費試用服務?

Azure 免費試用版包含 Azure AD 網域服務。 您可以註冊以 免費試用 Azure 一個月

我能否暫停 Azure AD Domain Services 受控網域?

不可以。 當您啟用 Azure AD 網域服務受控網域之後,在您選取的虛擬網路中可使用該服務,直到您刪除受控網域為止。 沒有任何方法可以暫停服務。 除非您刪除受控網域,否則會以每小時計費。

我可以將 Azure AD 網域服務容錯移轉到另一個區域以進行 DR 事件嗎?

是,為了提供受控網域的地理復原功能,您可以在任何支援 Azure AD DS 的 Azure 區域中,為對等互連的虛擬網路建立額外的複本集。 複本集會與受控網域共用相同的命名空間和設定。

我可以從 Enterprise Mobility Suite (EMS) 中取得 Azure AD 網域服務嗎? 我是否需要 Azure AD Premium 才能使用 Azure AD 網域服務?

不可以。 Azure AD 網域服務是隨用隨付的 Azure 服務,而不是 EMS 的一部分。 Azure AD 的網域服務可搭配所有版本的 Azure AD (免費和進階版) 使用。 系統會根據使用量,以每小時為單位計費。

我可以在受控網域下建立子域嗎?

不可以。 Azure AD 網域服務具有單一網域的單一樹系設計,您無法建立子域。

哪些 Azure 區域提供此服務?

請參閱依區域提供的 Azure 服務頁面,以查看可使用 Azure AD 網域服務的 Azure 區域清單。

疑難排解

關於 Azure AD Domain Services 在設定或管理上常見問題的解決方案,請參閱疑難排解指南

後續步驟

若要深入瞭解 Azure AD 網域服務,請參閱什麼是 Azure Active Directory 網域服務?

若要開始使用,請參閱建立及設定 Azure Active Directory Domain Services 受控網域