Domande frequenti su Microsoft Entra Domain Services

No. È possibile creare solo un singolo dominio gestito da Microsoft Entra Domain Services per un singolo elenco Microsoft Entra.

Le reti virtuali classiche non sono supportate.

Per altre informazioni, vedere Informativa ufficiale sulle funzionalità deprecate.

Sì. Microsoft Entra Domain Services può essere abilitato in una rete virtuale di Azure Resource Manager. Le reti virtuali classiche di Azure non sono più disponibili quando si crea un dominio gestito.

Sì. Per altre informazioni, vedere Come abilitare Microsoft Entra Domain Services nelle sottoscrizioni di Azure CSP.

Il servizio stesso non supporta direttamente questo scenario. Il dominio gestito è disponibile in una sola rete virtuale alla volta. È comunque possibile configurare la connettività tra più reti virtuali per esporre Microsoft Entra Domain Services ad altre reti virtuali. Per altre informazioni, vedere Come connettere reti virtuali in Azure usando gateway VPN o peering di reti virtuali.

No. Il dominio fornito da Microsoft Entra Domain Services è un dominio gestito. Non è necessario effettuare il provisioning, configurare o gestire in altro modo i controller di dominio per questo dominio. Microsoft fornisce queste attività di gestione come servizio. Non sarà quindi possibile aggiungere altri controller di dominio, di lettura-scrittura o sola lettura, per il dominio gestito.

Sì. È possibile creare set di repliche che condividono lo stesso spazio dei nomi e la stessa configurazione con il dominio gestito. I set di repliche possono essere aggiunti a qualsiasi rete virtuale con peering in qualsiasi area di Azure che supporta Domain Services.
Per altre informazioni, vedere Concetti e funzionalità dei set di repliche per Microsoft Entra Domain Services.

No. Microsoft Entra Domain Services richiede l'accesso agli hash delle password degli account utente per autenticare gli utenti tramite NTLM o Kerberos. In un elenco federato, gli hash delle password non vengono memorizzati nell’elenco di Microsoft Entra. Pertanto, Microsoft Entra Domain Services non funziona con tali elenchi di Microsoft Entra.

Tuttavia, se si usa Microsoft Entra Connect per la sincronizzazione dell'hash delle password, è possibile usare Microsoft Entra Domain Services, perché i valori hash delle password vengono archiviati in Microsoft Entra ID.

Sì. Per altre informazioni, vedere Come abilitare Microsoft Entra Domain Services usando PowerShell.

Sì, è possibile creare un dominio gestito di Microsoft Entra Domain Services usando un modello di Resource Manager. È necessario creare un'entità servizio e un gruppo Microsoft Entra per l'amministrazione usando l'interfaccia di amministrazione di Microsoft Entra o PowerShell prima di implementare il modello. Quando si crea un dominio gestito di Microsoft Entra Domain Services nell'interfaccia di amministrazione di Microsoft Entra, è disponibile anche un'opzione per esportare il modello da usare con altre distribuzioni. Per altre informazioni, vedere Creare un dominio gestito di Domain Services usando un modello di Azure Resource Manager.

No. Gli utenti guest invitati a un elenco Microsoft Entra tramite la procedura di invito Microsoft Entra B2B vengono sincronizzati nel dominio gestito di Microsoft Entra Domain Services. Tuttavia, le password di questi utenti non vengono archiviate nell’elenco di Microsoft Entra. Microsoft Entra Domain Services non ha pertanto alcuna possibilità di sincronizzare gli hash NTLM e Kerberos per questi utenti nel dominio gestito. Tali utenti non possono accedere o aggiungere computer al dominio gestito.

Sì, è possibile creare un trust bidirezionale. È anche possibile creare un trust in uscita unidirezionale o un trust unidirezionale in entrata per supportare scenari diversi per l'autenticazione e l'accesso degli utenti. Per ulteriori informazioni, vedere Creare un trust tra foreste.

Attualmente Domain Services supporta solo il trust tra foreste e non supporta trust di dominio esterni.

Dopo aver creato un dominio gestito Domain Services, non è possibile spostarlo in una sottoscrizione, un gruppo di risorse o un'area diversa. Per modificare un’area, una possibile soluzione alternativa consiste nell’implementare un nuovo set di repliche nell'area in cui si vuole eseguire la migrazione. Al termine, eliminare il set di repliche nell'area che non si vuole più usare. Come soluzione alternativa per il resto delle impostazioni, è possibile eliminare il dominio gestito usando PowerShell o l'interfaccia di amministrazione di Microsoft Entra e ricrearlo con la configurazione desiderata. Non è possibile fornire alcuna operazione di ripristino durante la ricreazione del dominio gestito.

No. Dopo aver creato un dominio gestito di Microsoft Entra Domain Services, non è possibile modificare il nome di dominio DNS. Scegliere attentamente il nome di dominio DNS quando si crea il dominio gestito. Per considerazioni sulla scelta del nome di dominio DNS, vedere l’esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Sì. Ogni dominio gestito di Microsoft Entra Domain Services include due controller di dominio. Non è possibile gestire questi controller di dominio o connettersi a questi ultimi, ma fanno parte del servizio gestito. Se si implementa Microsoft Entra Domain Services in un'area che supporta zone di disponibilità, i controller di dominio vengono distribuiti tra le zone. Nelle aree che non supportano zone di disponibilità, i controller di dominio vengono distribuiti tra set di disponibilità. Su questa distribuzione non sono disponibili opzioni di configurazione o il controllo di gestione. Per altre informazioni, vedere Opzioni di disponibilità per le macchine virtuali in Azure.

No. Non si dispone delle autorizzazioni per connettersi ai controller di dominio per il dominio gestito usando Desktop remoto. I membri del gruppo Amministratori Microsoft Entra DC possono gestire il dominio gestito usando gli strumenti di amministrazione di AD, ad esempio Centro di amministrazione di Active Directory (ADAC) e AD PowerShell. Tramite la funzionalità Strumenti di amministrazione remota del server, questi strumenti vengono installati su un server Windows aggiunto al dominio gestito. Per altre informazioni, vedere: Creare una VM di gestione per configurare e gestire un dominio gestito di Microsoft Entra Domain Services.

Qualsiasi account utente che fa parte del dominio gestito può unirsi a una VM. Ai membri del gruppo Amministratori Microsoft Entra DC viene concesso l'accesso desktop remoto ai computer aggiunti al dominio gestito.

Non esiste alcuna quota in Domain Services per i computer aggiunti a un dominio.

Le MV che eseguono Azure vengono sincronizzate con gli host di Azure per un arco di tempo altamente accurato. È necessario che le VM non di Azure in esecuzione in locale abbiano i Servizi ora di Windows configurati per la sincronizzazione con una fonte temporale NTP esterna, come le VM aggiunte a un dominio. Per altre informazioni, vedere Configurare il meccanismo temporale per macchine virtuali Windows di Active Directory in Azure.

No. Non si ottengono privilegi amministrativi nel dominio gestito. I privilegi amministratore di dominio e di amministratore enterprise non sono disponibili per l’uso all’interno del dominio. I membri dei gruppi degli amministratori di dominio o degli amministratori enterprise in Active Directory locale non avranno privilegi di amministratore di dominio/di amministratore enterprise per il dominio gestito.

Gli utenti e i gruppi sincronizzati da Microsoft Entra ID a Microsoft Entra Domain Services non possono essere modificati perché la loro origine è Microsoft Entra ID. Ciò include lo spostamento di utenti o gruppi dall'unità organizzativa gestita da utenti AADDC a un'unità organizzativa personalizzata. È possibile modificare qualsiasi utente o gruppo che ha origine nel dominio gestito.

No. L'appartenenza agli amministratori di dominio è necessaria per autorizzare un server DHCP, che non è disponibile in un dominio gestito.

Le modifiche apportate nella directory di Microsoft Entra usando l'interfaccia utente di Microsoft Entra o PowerShell vengono sincronizzate automaticamente con il dominio gestito. Il processo di sincronizzazione avviene in background. Per questa sincronizzazione non esiste un periodo di tempo definito per completare tutte le modifiche agli oggetti.

No. Lo schema è gestito da Microsoft per il dominio gestito. Le estensioni dello schema non sono supportate da Microsoft Entra Domain Services.

Sì. Agli utenti del gruppo Amministratori Microsoft Entra DC vengono concessi i privilegi di Amministratore DNS per modificare i record DNS nel dominio gestito. Per la gestione DNS, questi utenti possono usare la console Gestore DNS su un computer con Windows Server aggiunto al dominio gestito. Per usare questa console, installare Strumenti server DNS, che fanno parte della funzionalità facoltativa Strumenti di amministrazione remota del server sul server. Per altre informazioni, vedere Gestire il DNS in un dominio gestito di Microsoft Entra Domain Services.

La durata predefinita di una password in un dominio gestito di Microsoft Entra Domain Services è 90 giorni. Questa durata non è sincronizzata con la durata delle password configurata in Microsoft Entra ID. Pertanto, possono verificarsi situazioni in cui le password degli utenti scadono nel dominio gestito, ma sono ancora valide in Microsoft Entra ID. In scenari di questo tipo, gli utenti devono cambiare la password in Microsoft Entra ID e la nuova password verrà sincronizzata nel dominio gestito. Se si vuole modificare la durata predefinita della password in un dominio gestito, è possibile creare e configurare criteri password personalizzati.

Inoltre, i criteri password di Microsoft Entra per DisablePasswordExpiration vengono sincronizzati con un dominio gestito. Quando DisablePasswordExpiration viene applicato a un utente in Microsoft Entra ID, al valore UserAccountControl per l'utente sincronizzato nel dominio gestito è stato applicato DONT_EXPIRE_PASSWORD.

Quando gli utenti reimpostano la password in Microsoft Entra ID, viene applicato l'attributo forceChangePasswordNextSignIn=True. Un dominio gestito sincronizza questo attributo da Microsoft Entra ID. Quando il dominio gestito rileva che forceChangePasswordNextSignIn è impostato per un utente sincronizzato da Microsoft Entra ID, l'attributo pwdLastSet nel dominio gestito è impostato su 0, che invalida la password attualmente impostata.

Sì. Dopo 5 tentativi di inserimento di password non valide in 2 minuti per il dominio gestito, l'account utente viene bloccato per 30 minuti. Dopo 30 minuti, l'account utente viene sbloccato automaticamente. I tentativi di inserimento di password non valide nel dominio gestito non bloccano l'account utente in Microsoft Entra ID. L'account utente viene bloccato solo all'interno del dominio gestito di Microsoft Entra Domain Services. Per altre informazioni, vedere Criteri password e di blocco dell'account nei domini gestiti.

No. La replica e il file system distribuito (DFS) non sono disponibili quando si usa Microsoft Entra Domain Services.

I controller di dominio in un dominio gestito applicano automaticamente gli aggiornamenti Windows necessari. Qui non è necessario eseguire azioni di configurazione o amministrazione. Assicurarsi di non creare regole del gruppo di sicurezza di rete che bloccano il traffico in uscita verso gli aggiornamenti di Windows. Per le VM aggiunte al dominio gestito, l'utente è responsabile della configurazione e dell'applicazione degli aggiornamenti necessari per il sistema operativo e le applicazioni.

Con la deprecazione dei tag AzureUpdateDelivery e AzureFrontDoor.FirstParty, Microsoft Entra Domain Services non consiglia più di aggiungere questi tag al traffico internet in uscita. Se si usa la regola predefinita AllowInternetOutBound (priorità 65001), non è necessaria alcuna modifica (con o senza tag AzureUpdateDelivery e AzureFrontDoor.FirstParty). Se si rimuove la regola predefinita AllowInternetOutBound (priorità 65001) o la si fa precedere con una regola InternetOutBound negata, usare un firewall per filtrare il traffico di Windows Update in uscita usando l’FQDN WindowsUpdate anziché limitare InternetOutBound. Questo passaggio è fondamentale affinché Microsoft Entra Domain Services continui a ricevere gli aggiornamenti di Windows. Per altre informazioni, vedere Modifiche in arrivo al tag del servizio AzureUpdateDelivery.

Microsoft Entra Domain Services archivia i dati dei clienti. Per impostazione predefinita, i dati dei clienti rimangono all'interno dell'area in cui l'istanza del servizio viene implementata. I clienti possono usare set di repliche per archiviare i dati in altre aree.

Le patch vengono installate non appena diventano disponibili (ogni secondo martedì). Vengono installate a più fasi durante la settimana che diventano disponibili, a partire da martedì.

È possibile che durante la manutenzione dei controller di dominio vi sia una modifica dei nomi. Per evitare problemi con questo tipo di modifica, è consigliabile non usare i nomi dei controller di dominio hardcoded nelle applicazioni e/o in altre risorse di dominio, ma usare l’FQDN del dominio. In questo modo, indipendentemente dai nomi dei controller di dominio, non sarà necessario riconfigurare nulla dopo una modifica del nome.

Il rollover della password dell'account KRBTGT in un dominio gestito viene eseguito ogni sette (7) giorni.

Sì. Per ulteriori informazioni, vedere la pagina dei prezzi.

Microsoft Entra Domain Services è incluso nella versione di valutazione gratuita per Azure. È possibile registrarsi per una versione di valutazione gratuita di un mese di Azure.

No. Dopo aver abilitato un dominio gestito da Microsoft Entra Domain Services, il servizio rimane disponibile nella rete virtuale selezionata fino a quando il dominio gestito non viene eliminato. e pertanto non può essere sospeso. La fatturazione continua su base oraria finché non viene eliminato il dominio gestito.

Sì, per offrire resilienza geografica per un dominio gestito, è possibile creare un altro set di repliche su una rete virtuale con peering in qualsiasi area di Azure che supporti Domain Services. I set di repliche condividono lo stesso spazio dei nomi e la stessa configurazione con il dominio gestito.

No. Microsoft Entra Domain Services è un servizio di Azure con pagamento in base al consumo e non fa parte di EMS. Microsoft Entra Domain Services può essere usato con tutte le edizioni di Microsoft Entra ID (gratuita e premium). La fatturazione avviene su base oraria, a seconda dell'uso.

No. Microsoft Entra Domain Services ha un singolo dominio, progettazione a foresta singola e non è possibile creare domini figlio.

Per l'elenco delle aree di Azure in cui è disponibile Microsoft Entra Domain Services, vedere la pagina Servizi di Azure per area.

Risoluzione dei problemi

Per soluzioni relative ai problemi comuni di configurazione o gestione di Azure AD Domain Services, vedere la Guida alla risoluzione dei problemi.

Passaggi successivi

Per altre informazioni su Microsoft Entra Domain Services, vedere Che cos'è Microsoft Entra Domain Services?.

Per le attività iniziali, vedere Creare e configurare un dominio gestito di Microsoft Entra Domain Services.