Bearbeiten

Freigeben über


Häufig gestellte Fragen (FAQs) zu Microsoft Entra Domain Services

Auf dieser Seite werden häufig gestellte Fragen zu Microsoft Entra Domain Services beantwortet.

Konfiguration

Kann ich mehrere verwaltete Domänen für ein einzelnes Microsoft Entra-Verzeichnis erstellen?

Nein. Sie können nur eine einzelne durch Microsoft Entra Domain Services verwaltete Domäne für ein einzelnes Microsoft Entra-Verzeichnis erstellen.

Kann ich Microsoft Entra Domain Services in einem klassischen virtuellen Netzwerk aktivieren?

Klassische virtuelle Netzwerke werden nicht unterstützt.

Weitere Informationen finden Sie im offiziellen Hinweis zur Einstellung.

Kann ich Microsoft Entra Domain Services in einem virtuellen Azure Resource Manager-Netzwerk aktivieren?

Ja. Microsoft Entra Domain Services können in einem virtuellen Azure Resource Manager-Netzwerk aktiviert werden. Klassische virtuelle Azure-Netzwerke stehen für das Erstellen von verwalteten Domänen nicht mehr zur Verfügung.

Kann ich Microsoft Entra Domain Services in einem Azure CSP-Abonnement (Cloud Solution Provider) aktivieren?

Kann ich Microsoft Entra Domain Services in mehreren virtuellen Netzwerken in meinem Abonnement zur Verfügung stellen?

Der Dienst selbst bietet keine direkte Unterstützung für dieses Szenario. Ihre verwaltete Domäne ist jeweils in nur einem virtuellen Netzwerk verfügbar. Sie können jedoch die Konnektivität zwischen mehreren virtuellen Netzwerken zum Bereitstellen von Microsoft Entra Domain Services mit anderen virtuellen Netzwerken konfigurieren. Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen virtuellen Netzwerken in Azure mithilfe von VPN-Gateways oder Peering virtueller Netzwerke.

Kann ich Domänencontroller zu einer verwalteten Microsoft Entra Domain Services-Domäne hinzufügen?

Nein Die von den Microsoft Entra Domain Services bereitgestellte Domäne ist eine verwaltete Domäne. Sie müssen für diese Domäne keine Domänencontroller bereitstellen, konfigurieren oder anderweitig verwalten. Diese Verwaltungsaktivitäten werden von Microsoft als Dienst bereitgestellt. Daher können Sie keine weiteren Domänencontroller (weder mit Lese-/Schreibzugriff noch mit reinem Lesezugriff) für die verwaltete Domäne hinzufügen.

Kann ich eine verwaltete Domäne auf verschiedene Azure-Regionen für die Anwendungswiederherstellung erweitern, wenn eine Azure-Region offline geht?

Ja. Sie können Replikatgruppen erstellen, die denselben Namespace und dieselbe Konfiguration mit Ihrer verwalteten Domäne gemeinsam verwenden. Replikatgruppen können einem beliebigen virtuellen Netzwerk mit Peering in einer beliebigen Azure-Region mit Domain Services-Unterstützung hinzugefügt werden.
Weitere Informationen finden Sie unter Konzepte und Features zu Replikatgruppen für Microsoft Entra Domain Services.

Kann ich Microsoft Entra Domain Services in einem Microsoft Entra-Verbundverzeichnis ohne Kennworthashsynchronisierung aktivieren?

Nein Für Microsoft Entra Domain Services ist der Zugriff auf die Kennworthashes von Benutzerkonten erforderlich, um Benutzer über NTLM oder Kerberos zu authentifizieren. In einem Verbundverzeichnis werden Kennworthashes nicht im Microsoft Entra-Verzeichnis gespeichert. Daher funktioniert Microsoft Entra Domain Services mit solchen Microsoft Entra-Verzeichnissen nicht.

Wenn Sie jedoch Microsoft Entra Connect für die Passwort-Hashsynchronisierung verwenden, können Sie Azure AD Domain-Dienste nutzen, weil die Passworthashwerte in Microsoft Entra ID gespeichert werden.

Kann ich Microsoft Entra Domain Services mithilfe von PowerShell zur Verfügung stellen?

Kann ich Microsoft Entra Domain Services mithilfe einer Resource Manager-Vorlage aktivieren?

Ja, Sie können eine durch Microsoft Entra Domain Services verwaltete Domäne mithilfe einer Resource Manager-Vorlage erstellen. Vor dem Bereitstellen der Vorlage müssen im Microsoft Entra Admin Center oder über Azure PowerShell ein Dienstprinzipal und eine Microsoft Entra ID-Gruppe für die Verwaltung erstellt werden. Wenn Sie eine durch Microsoft Entra Domain Services verwaltete Domäne im Microsoft Entra Admin Center erstellen, steht dort auch eine Option zum Exportieren der Vorlage zur Verwendung bei anderen Bereitstellungen zur Verfügung. Weitere Informationen finden Sie unter Erstellen einer verwalteten Domain Services-Domäne mithilfe einer Azure Resource Manager-Vorlage.

Können in mein Verzeichnis eingeladene Gastbenutzer*innen Microsoft Entra Domain Services verwenden?

Nein Gastbenutzer, die Sie mithilfe des Microsoft Entra B2B-Einladungsprozesses in Ihr Microsoft Entra-Verzeichnis einladen, werden mit Ihrer verwalteten Microsoft Entra Domain Services-Domäne synchronisiert. Kennwörter für diese Benutzer werden jedoch nicht in Ihrem Microsoft Entra-Verzeichnis gespeichert. Daher gibt es in Microsoft Entra Domain Services keine Möglichkeit zum Synchronisieren von NTLM- und Kerberos-Hashes für diese Benutzer in Ihrer verwalteten Domäne. Diese Benutzer können sich nicht anmelden und auch keine Computer in die verwaltete Domäne einbinden.

Kann eine bidirektionale Gesamtstrukturvertrauensstellung zwischen Domain Services und einer lokalen Gesamtstruktur erstellt werden?

Ja. Sie können eine bidirektionale Vertrauensstellung erstellen. Sie können auch eine unidirektionale ausgehende oder eine unidirektionale eingehende Vertrauensstellung erstellen, um verschiedene Szenarien für die Benutzerauthentifizierung und den Zugriff zu unterstützen. Weitere Informationen finden Sie unter Erstellen einer Gesamtstrukturvertrauensstellung.

Unterstützt die Domänendienste die Erstellung externer Vertrauensstellungen mit einer lokalen untergeordneten Domäne?

Die Domänendienste unterstützen derzeit nur die Gesamtstruktur-Vertrauensstellung, jedoch keine externen Domänenvertrauensstellungen.

Kann ich eine verwaltete Domäne verschieben?

Nachdem Sie eine verwaltete Domänendienstdomäne erstellt haben, können Sie diese nicht in ein anderes Abonnement, eine andere Ressourcengruppe oder eine andere Region verschieben. Um die Region zu ändern, wäre eine mögliche Zwischenlösung die Bereitstellung einer neuen Replikatgruppe in der Region, in die Sie migrieren möchten. Sobald dies abgeschlossen ist, löschen Sie die Replikatgruppe in der Region, die Sie nicht mehr benötigen. Als Problemumgehung für den Rest der Einstellungen können Sie die verwaltete Domäne löschen (mit PowerShell oder im Microsoft Entra Admin Center) und mit dem gewünschten Setup neu erstellen. Während der Neuerstellung der verwalteten Domäne können keine Wiederherstellungsvorgänge bereitgestellt werden.

Kann ich einen bestehenden Microsoft Entra Domain Services-Domänennamen ändern?

Nein. Nachdem Sie eine verwaltete Microsoft Entra Domain Services-Domäne erstellt haben, können Sie den DNS-Domänennamen nicht mehr ändern. Wählen Sie den DNS-Domänennamen sorgfältig aus, wenn Sie die verwaltete Domäne erstellen. Überlegungen zur Auswahl des DNS-Domänennamens finden Sie im Tutorial zum Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.

Enthält Microsoft Entra Domain Services Hochverfügbarkeitsoptionen?

Ja. Jede verwaltete Microsoft Entra Domain Services-Domäne enthält zwei Domänencontroller. Sie verwalten diese Domänencontroller nicht und stellen auch keine Verbindung zu ihnen her. Die Controller sind Bestandteil des verwalteten Diensts. Wenn Sie Microsoft Entra Domain Services in einer Region bereitstellen, die Verfügbarkeitszonen unterstützt, werden die Domänencontroller auf die Zonen verteilt. In Regionen, die keine Verfügbarkeitszonen unterstützen, werden die Domänencontroller auf Verfügbarkeitsgruppen verteilt. Sie haben keine Möglichkeit, diese Verteilung zu konfigurieren oder deren Verwaltung zu steuern. Weitere Informationen finden Sie unter Verfügbarkeitsoptionen für virtuelle Computer in Azure.

Verwaltung und Betrieb

Kann ich über Remotedesktop eine Verbindung zum Domänencontroller für meine verwaltete Domäne herstellen?

Nein. Sie besitzen keine Berechtigungen, um über Remotedesktop eine Verbindung mit Domänencontrollern in der verwalteten Domäne herzustellen. Mitglieder der Administratorengruppe für Microsoft Entra-Domänencontroller können die verwaltete Domäne mithilfe von AD-Verwaltungstools wie dem Active Directory-Verwaltungscenter (Active Directory-Administration Center, ADAC) oder AD-PowerShell verwalten. Diese Tools werden mithilfe der Remoteserver-Verwaltungstools auf einem Windows-Server installiert, der der verwalteten Domäne beigetreten ist. Weitere Informationen finden Sie unter Erstellen einer Verwaltungs-VM zum Konfigurieren und Verwalten einer verwalteten Microsoft Entra Domain Services-Domäne.

Ich habe Microsoft Entra Domain Services aktiviert. Welches Benutzerkonto verwende ich für den Domänenbeitritt von Computern zu dieser Domäne?

Jedes Benutzerkonto, das Teil der verwalteten Domäne ist, kann einem virtuellen Computer beitreten. Mitglieder der Administratorengruppe für Microsoft Entra -Domänencontroller erhalten Remotedesktopzugriff auf Computer, die der verwalteten Domäne beigetreten sind.

Gibt es ein Kontingent für die Anzahl von Computern, die ich der Domäne hinzufügen kann?

In Domain Services gibt es kein Kontingent für in die Domäne eingebundene Computer.

Wie wird die Zeit bei virtuellen Computern (VMs) synchronisiert, die in eine verwaltete Domäne eingebunden sind?

VMs, die auf Azure ausgeführt werden, werden zu einer sehr genauen Zeit mit Azure-Hosts synchronisiert. Bei VMs, die nicht auf Azure sondern lokal ausgeführt werden, müssen die Windows-Zeitdienste für die Synchronisierung mit einer externen NTP-Zeitquelle konfiguriert sein, ähnlich wie bei in die Domäne eingebundenen VMs. Weitere Informationen finden Sie unter Konfigurieren des Zeitmechanismus für virtuelle Active Directory Windows-Computer in Azure.

Verfüge ich über Domänenadministratorrechte für die über Microsoft Entra Domain Services bereitgestellte verwaltete Domäne?

Nein Ihnen werden keine Administratorrechte für die verwaltete Domäne gewährt. Die Berechtigungen für Domänenadministrator und Unternehmensadministrator stehen innerhalb der Domäne nicht zur Verfügung. Mitglieder von Domänenadministrator- oder Unternehmensadministratorengruppen in Ihrem Active Directory-Verzeichnis erhalten ebenfalls keine Domänen-/Unternehmensadministratorberechtigungen in der verwalteten Domäne.

Kann ich mithilfe von LDAP oder anderen AD-Verwaltungstools Gruppenmitgliedschaften in verwalteten Domänen ändern?

Benutzer und Gruppen, die von Microsoft Entra ID mit Microsoft Entra Domain Services synchronisiert werden, können nicht geändert werden, da sie aus Microsoft Entra ID stammen. Dies umfasst das Verschieben von Benutzern oder Gruppen aus der verwalteten Organisationseinheit AADDC-Benutzer in eine benutzerdefinierte Organisationseinheit. Alle Benutzer oder Gruppen, die ihren Ursprung in der verwalteten Domäne haben, können geändert werden.

Kann ich einen DHCP-Server in einer verwalteten Domäne autorisieren?

Nein Die Mitgliedschaft von Domänenadministratoren ist erforderlich, um einen DHCP-Server zu autorisieren. Dies ist in einer verwalteten Domäne nicht verfügbar.

Wie lange dauert es, bis Änderungen an meinem Microsoft Entra-Verzeichnis in meiner verwalteten Domäne angezeigt werden?

Sowohl über die Benutzeroberfläche von Microsoft Entra als auch über PowerShell vorgenommene Änderungen an Ihrem Microsoft Entra-Verzeichnis werden automatisch mit Ihrer verwalteten Domäne synchronisiert. Diese Synchronisation erfolgt im Hintergrund. Es gibt keinen definierten Zeitraum für die Synchronisierung, um alle Objektänderungen abzuschließen.

Kann ich das Schema der über Microsoft Entra Domain Services bereitgestellten verwalteten Domäne erweitern?

Nein. Das Schema für die verwaltete Domäne wird von Microsoft verwaltet. Schemaerweiterungen werden von Microsoft Entra Domain Services nicht unterstützt.

Kann ich DNS-Einträge in meiner verwalteten Domäne ändern oder hinzufügen?

Ja. Mitgliedern der Administratorengruppe für Microsoft Entra-Domänencontroller werden DNS-Administratorrechte gewährt, damit sie DNS-Einträge in der verwalteten Domäne ändern können. Diese Benutzer können die DNS-Manager-Konsole auf einem der verwalteten Domäne beigetretenen Windows Server-Computer verwenden, um DNS zu verwalten. Um die DNS-Manager-Konsole zu verwenden, installieren Sie die DNS-Servertools, die zum optionalen Feature der Remoteserver-Verwaltungstools auf dem Server gehören. Weitere Informationen finden Sie unter Verwalten des DNS in einer von Microsoft Entra Domain Services verwalteten Domäne.

Was ist die Richtlinie für die Kennwortgültigkeitsdauer in einer verwalteten Domäne?

Die Standardlebensdauer von Kennwörtern in einer verwalteten Microsoft Entra Domain Services-Domäne beträgt 90 Tage. Diese Kennwortgültigkeitsdauer wird nicht mit der in Microsoft Entra ID konfigurierten Kennwortgültigkeitsdauer synchronisiert. Daher können Kennwörter von Benutzern in Ihrer verwalteten Domäne ablaufen, während sie in Microsoft Entra ID weiterhin gültig sind. In solchen Szenarien müssen Benutzer ihr Kennwort in Microsoft Entra ID ändern, und das neue Kennwort wird mit Ihrer verwalteten Domäne synchronisiert. Wenn Sie die standardmäßige Kennwortgültigkeitsdauer in einer verwalteten Domäne ändern möchten, können Sie benutzerdefinierte Kennwortrichtlinien erstellen und konfigurieren.

Außerdem wird die Azure AD-Kennwortrichtlinie für DisablePasswordExpiration mit einer verwalteten Domain synchronisiert. Wenn Sie in Microsoft Entra ID DisablePasswordExpiration für einen Benutzer anwenden, wird DONT_EXPIRE_PASSWORD auf den Wert UserAccountControl für den synchronisierten Benutzer in der verwalteten Domäne angewendet.

Wenn Benutzer*innen ihr Passwort in Microsoft Entra ID zurücksetzt, wird das Attribut forceChangePasswordNextSignIn=True angewendet. Eine verwaltete Domäne synchronisiert dieses Attribut von Microsoft Entra ID. Wenn die verwaltete Domäne erkennt, dass forceChangePasswordNextSignIn=True für einen synchronisierten Benutzer von Microsoft Entra ID festgelegt wurde, wird das Attribut pwdLastSet in der verwalteten Domäne auf 0 gesetzt, wodurch das aktuell festgelegte Kennwort ungültig wird.

Bietet Microsoft Entra Domain Services Schutz durch Sperrung von AD-Konten?

Ja. Wenn innerhalb von 2 Minuten fünf erfolglose Kennworteingaben in der verwalteten Domäne vorgenommen werden, wird das Benutzerkonto für 30 Minuten gesperrt. Nach 30 Minuten wird das Benutzerkonto automatisch entsperrt. Ungültige Kennworteingabeversuche in der verwalteten Domäne sperren das Benutzerkonto in Microsoft Entra ID nicht. Das Benutzerkonto wird nur in Ihrer verwalteten Microsoft Entra Domain Services-Domäne gesperrt. Weitere Informationen finden Sie unter Kennwort- und Kontosperrungsrichtlinien in verwalteten Domänen.

Kann ich in Microsoft Entra Domain Services ein verteiltes Dateisystem (Distributed File System, DFS) und Replikation konfigurieren?

Nein. Ein verteiltes Dateisystem (Distributed File System, DFS) und Replikation sind bei Verwendung von Microsoft Entra Domain Services nicht verfügbar.

Wie wird Windows Update in Microsoft Entra Domain Services angewendet?

Die erforderlichen Windows-Updates werden von Domänencontrollern in einer verwalteten Domäne automatisch angewandt. Sie müssen keine Konfigurations- oder Verwaltungsaufgaben ausführen. Achten Sie darauf, keine Regeln für Netzwerksicherheitsgruppen zu erstellen, die ausgehenden Datenverkehr an Windows Update blockieren. Bei eigenen virtuellen Computern, die in die verwaltete Domäne eingebunden wurden, sind Sie für das Konfigurieren und Anwenden aller erforderlichen Betriebssystem- und Anwendungsupdates verantwortlich.

Sollte ich die Tags AzureUpdateDelivery und AzureFrontDoor.FirstParty in der ausgehenden Netzwerksicherheitsgruppe (NSG) entfernen?

Seit der Einstellung der Tags AzureUpdateDelivery und AzureFrontDoor.FirstParty verwaltet Microsoft Entra Domain Services WindowsUpdate unabhängig, sodass dieses Tags nicht mehr benötigt werden. NSG-Anpassungen sind nicht erforderlich, mit oder ohne veraltete Tags.

Wo speichert Microsoft Entra Domain Services Kundendaten?

Microsoft Entra Domain Services speichert Kundendaten. Standardmäßig bleiben Kundendaten in der Region, in der die Dienstinstanz bereitgestellt ist. Die Kundschaft kann Replikatgruppen verwenden, um Daten in anderen Regionen zu speichern.

Wie wird Patchen auf Domänencontrollern ausgeführt, die Teil einer verwalteten Domäne sind?

Patches werden installiert, sobald sie verfügbar sind (jeden zweiten Dienstag). Sie werden dienstags beginnend schrittweise in der Woche installiert, in der sie verfügbar werden.

Warum ändern sich die Namen meiner Domänencontroller?

Es ist möglich, dass während der Wartung von Domänencontrollern eine Änderung an ihren Namen stattfindet. Um Probleme mit dieser Art von Änderung zu vermeiden, empfiehlt es sich, nicht die Namen der Domänencontroller zu verwenden, die in Anwendungen und/oder anderen Domänenressourcen hartcodiert sind, sondern den FQDN der Domäne. Auf diese Weise müssen Sie, unabhängig davon, was die Namen der Domänencontroller sind, nach einer Namensänderung nichts neu konfigurieren.

Wird für das Kennwort des KRBTGT-Kontos in einer verwalteten Domäne in regelmäßigen Abständen ein Rollover ausgeführt? Wenn ja, in welcher Häufigkeit?

Für das Kennwort des KRBTGT-Kontos in einer verwalteten Domäne wird alle sieben (7) Tage ein Rollover ausgeführt.

Abrechnung und Verfügbarkeit

Ist Microsoft Entra Domain Services ein kostenpflichtiger Dienst?

Ja. Weitere Informationen hierzu finden Sie in der Preisübersicht.

Gibt es eine kostenlose Testversion des Diensts?

Microsoft Entra Domain Services ist in der kostenlosen Testversion von Azure enthalten. Sie können sich für eine kostenlose einmonatige Testversion von Azureregistrieren.

Kann ich eine verwaltete Microsoft Entra Domain Services-Domäne anhalten?

Nein. Sobald Sie eine durch Microsoft Entra Domain Services verwaltete Domäne aktiviert haben, ist der Dienst in dem ausgewählten virtuellen Netzwerk verfügbar, bis Sie die verwaltete Domäne löschen. Es gibt keine Möglichkeit, den Dienst anzuhalten. Die Abrechnung erfolgt weiterhin auf Stundenbasis, bis Sie die verwaltete Domäne löschen.

Kann ich für die Notfallwiederherstellung ein Failover von Microsoft Entra Domain Services in eine andere Region durchführen?

Ja, um geografische Resilienz für eine verwaltete Domäne zu gewährleisten, können Sie in einem verknüpften virtuellen Netzwerk in einer beliebigen Azure-Region, die Domain Services unterstützt, eine weitere Replikatgruppe erstellen. Replikatgruppen verwenden denselben Namespace und dieselbe Konfiguration wie die verwaltete Domäne.

Kann ich Microsoft Entra Domain Services als Teil der Enterprise Mobility Suite (EMS) erwerben? Benötige ich Microsoft Entra ID P1 oder P2, um Microsoft Entra Domain Services zu verwenden?

Nein. Microsoft Entra Domain Services ist ein Azure-Dienst mit nutzungsbasierter Bezahlung und nicht Teil von EMS. Microsoft Entra Domain Services kann mit allen Editionen von Microsoft Entra ID (Free und Premium) verwendet werden. Die Abrechnung erfolgt auf Stundenbasis nach Verbrauch.

Kann ich eine untergeordnete Domäne unter einer verwalteten Domäne erstellen?

Nein. Das Konzept von Microsoft Entra Domain Services sieht eine einzelne Domäne und eine einzelne Gesamtstruktur vor, und Sie können keine untergeordneten Domänen erstellen.

In welchen Azure-Regionen ist der Dienst verfügbar?

Eine Liste der Azure-Regionen, in denen Microsoft Entra Domain Services verfügbar ist, finden Sie unter Azure-Dienste nach Region.

Problembehandlung

Im Leitfaden zur Problembehandlung finden Sie Lösungen für häufig auftretende Probleme beim Konfigurieren oder Verwalten der Azure AD Domain Services.

Nächste Schritte

Weitere Informationen zu Microsoft Entra Domain-Diensten finden Sie unter Was sind Microsoft Entra Domain-Dienste?.

Für die ersten Schritte siehe Erstellen und Konfigurieren einer von Microsoft Entra Domain-Diensten verwalteten Domain.