Bewerken

Share via


Veelgestelde vragen over Microsoft Entra Domain Services

Op deze pagina vindt u antwoorden op veelgestelde vragen over Microsoft Entra Domain Services.

Configuratie

Kan ik meerdere beheerde domeinen maken voor één Microsoft Entra-map?

Nee. U kunt slechts één beheerd domein maken dat wordt beheerd door Microsoft Entra Domain Services voor één Microsoft Entra-directory.

Kan ik Microsoft Entra Domain Services inschakelen in een klassiek virtueel netwerk?

Klassieke virtuele netwerken worden niet ondersteund.

Zie de officiële afschaffingsmelding voor meer informatie.

Kan ik Microsoft Entra Domain Services inschakelen in een virtueel Azure Resource Manager-netwerk?

Ja. Microsoft Entra Domain Services kan worden ingeschakeld in een virtueel Azure Resource Manager-netwerk. Klassieke virtuele Azure-netwerken zijn niet meer beschikbaar wanneer u een beheerd domein maakt.

Kan ik Microsoft Entra Domain Services inschakelen in een Azure CSP-abonnement (Cloud Solution Provider)?

Kan ik Microsoft Entra Domain Services beschikbaar maken in meerdere virtuele netwerken binnen mijn abonnement?

De service zelf biedt geen rechtstreekse ondersteuning voor dit scenario. Uw beheerde domein is slechts beschikbaar in één virtueel netwerk tegelijk. U kunt echter connectiviteit tussen meerdere virtuele netwerken configureren om Microsoft Entra Domain Services beschikbaar te maken voor andere virtuele netwerken. Zie voor meer informatie hoe u virtuele netwerken in Azure verbindt met behulp van VPN-gateways of peering van virtuele netwerken.

Kan ik domeincontrollers toevoegen aan een door Microsoft Entra Domain Services beheerd domein?

Nee. Het domein dat wordt geleverd door Microsoft Entra Domain Services is een beheerd domein. U hoeft domeincontrollers voor dit domein niet in te richten, te configureren of anderszins te beheren. Deze beheeractiviteiten worden geleverd als een service van Microsoft. Daarom kunt u geen meer domeincontrollers (alleen-lezen of alleen-lezen) toevoegen voor het beheerde domein.

Kan ik een beheerd domein uitbreiden naar verschillende Azure-regio's voor toepassingsherstel als een Azure-regio offline gaat?

Ja. U kunt replicasets maken die dezelfde naamruimte en configuratie delen met uw beheerde domein. Replicasets kunnen worden toegevoegd aan elk gekoppeld virtueel netwerk in elke Azure-regio die Ondersteuning biedt voor Domain Services.
Zie Concepten en functies van Replicasets voor Microsoft Entra Domain Services voor meer informatie.

Kan ik Microsoft Entra Domain Services inschakelen in een federatieve Microsoft Entra-directory zonder wachtwoord-hashsynchronisatie?

Nee. Voor het verifiëren van gebruikers via NTLM of Kerberos heeft Microsoft Entra Domain Services toegang nodig tot de wachtwoordhashes van gebruikersaccounts. In een federatieve map worden wachtwoordhashes niet opgeslagen in de Map Microsoft Entra. Daarom werkt Microsoft Entra Domain Services niet met dergelijke Microsoft Entra-mappen.

Als u Echter Microsoft Entra Connect gebruikt voor wachtwoord-hashsynchronisatie, kunt u Microsoft Entra Domain Services gebruiken omdat de wachtwoord-hashwaarden worden opgeslagen in Microsoft Entra-id.

Kan ik Microsoft Entra Domain Services inschakelen met behulp van PowerShell?

Kan ik Microsoft Entra Domain Services inschakelen met behulp van een Resource Manager-sjabloon?

Ja, u kunt een door Microsoft Entra Domain Services beheerd domein maken met behulp van een Resource Manager-sjabloon. Een service-principal en een Microsoft Entra-groep voor beheer moeten worden gemaakt met behulp van het Microsoft Entra-beheercentrum of PowerShell voordat de sjabloon wordt geïmplementeerd. Wanneer u een door Microsoft Entra Domain Services beheerd domein maakt in het Microsoft Entra-beheercentrum, is er ook een optie om de sjabloon te exporteren voor gebruik met andere implementaties. Zie Een door Domain Services beheerd domein maken met behulp van een Azure Resource Manager-sjabloon voor meer informatie.

Kunnen gastgebruikers die zijn uitgenodigd voor mijn directory gebruikmaken van Microsoft Entra Domain Services?

Nee. Gastgebruikers die zijn uitgenodigd voor uw Microsoft Entra-adreslijst met behulp van het uitnodigingsproces voor Microsoft Entra B2B , worden gesynchroniseerd in uw door Microsoft Entra Domain Services beheerde domein. Wachtwoorden voor deze gebruikers worden echter niet opgeslagen in uw Microsoft Entra-map. Daarom kan Microsoft Entra Domain Services geen NTLM- en Kerberos-hashes synchroniseren voor deze gebruikers in uw beheerde domein. Dergelijke gebruikers kunnen zich niet aanmelden of computers toevoegen aan het beheerde domein.

Kan er een tweerichtingsforestvertrouwensrelatie worden gemaakt tussen Domain Services en een on-premises forest?

Ja, u kunt een tweerichtingsvertrouwensrelatie maken. U kunt ook een uitgaande uitgaande vertrouwensrelatie of eenrichtingsvertrouwensrelatie maken om verschillende scenario's voor verificatie en toegang van gebruikers te ondersteunen. Zie Een forestvertrouwensrelatie maken voor meer informatie.

Biedt Domain Services ondersteuning voor het maken van externe vertrouwensrelaties met een on-premises onderliggende domeinen?

Domain Services ondersteunt momenteel alleen forestvertrouwen en biedt geen ondersteuning voor externe domeinvertrouwensrelaties.

Kan ik een beheerd domein verplaatsen?

Nadat u een door Domain Services beheerd domein hebt gemaakt, kunt u het niet verplaatsen naar een ander abonnement, een andere resourcegroep of een andere regio. Als u de regio wilt wijzigen, zou een mogelijke tijdelijke oplossing een nieuwe replicaset implementeren in de regio waarnaar u wilt migreren. Zodra dat is voltooid, verwijdert u de replicaset in de regio die u niet meer wilt. Als tijdelijke oplossing voor de rest van de instellingen kunt u het beheerde domein verwijderen met behulp van PowerShell of het Microsoft Entra-beheercentrum en het opnieuw maken met de gewenste installatie. Er kunnen geen herstelbewerkingen worden opgegeven terwijl het beheerde domein opnieuw wordt gemaakt.

Kan ik de naam van een bestaand Microsoft Entra Domain Services-domeinnaam wijzigen?

Nee. Nadat u een door Microsoft Entra Domain Services beheerd domein hebt gemaakt, kunt u de DNS-domeinnaam niet meer wijzigen. Kies de DNS-domeinnaam zorgvuldig wanneer u het beheerde domein maakt. Als u de DNS-domeinnaam kiest, raadpleegt u de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.

Bevat Microsoft Entra Domain Services opties voor hoge beschikbaarheid?

Ja. Elk door Microsoft Entra Domain Services beheerd domein bevat twee domeincontrollers. U beheert of maakt geen verbinding met deze domeincontrollers. Ze maken deel uit van de beheerde service. Als u Microsoft Entra Domain Services implementeert in een regio die ondersteuning biedt voor Beschikbaarheidszones, worden de domeincontrollers verdeeld over zones. In regio's die geen ondersteuning bieden voor Beschikbaarheidszones, worden de domeincontrollers verdeeld over beschikbaarheidssets. U hebt geen configuratieopties of beheerbeheer over deze distributie. Zie Beschikbaarheidsopties voor virtuele machines in Azure voor meer informatie.

Beheer en bewerkingen

Kan ik verbinding maken met de domeincontroller voor mijn beheerde domein via Extern bureaublad?

Nee. U bent niet gemachtigd om verbinding te maken met domeincontrollers voor het beheerde domein met behulp van Extern bureaublad. Leden van de Microsoft Entra DC-groep kunnen het beheerde domein beheren met behulp van AD-beheerprogramma's zoals het Active Directory Administration Center (ADAC) of AD PowerShell. Deze hulpprogramma's worden geïnstalleerd met behulp van de functie Remote Server Administration Tools op een Windows-server die is gekoppeld aan het beheerde domein. Zie Een beheer-VM maken voor het configureren en beheren van een door Microsoft Entra Domain Services beheerd domein voor meer informatie.

Ik heb Microsoft Entra Domain Services ingeschakeld. Welk gebruikersaccount gebruik ik voor het toevoegen van computers aan dit domein?

Elk gebruikersaccount dat deel uitmaakt van het beheerde domein, kan lid worden van een virtuele machine. Leden van de microsoft Entra DC-beheerdersgroep krijgen extern bureaublad toegang tot computers die zijn toegevoegd aan het beheerde domein.

Is er een quotum voor het aantal computers dat ik aan het domein kan toevoegen?

Er is geen quotum in Domain Services voor computers die lid zijn van een domein.

Hoe wordt de tijd gesynchroniseerd voor virtuele machines (VM's) die zijn gekoppeld aan een beheerd domein?

VM's die in Azure worden uitgevoerd, worden gedurende zeer nauwkeurige tijd gesynchroniseerd met Azure-hosts. Niet-Azure-VM's die on-premises worden uitgevoerd, moeten Windows Time Services hebben geconfigureerd voor synchronisatie met een externe NTP-tijdbron, vergelijkbaar met vm's die lid zijn van een domein. Zie Het tijdmechanisme configureren voor Virtuele Active Directory Windows-machines in Azure voor meer informatie.

Heb ik domeinbeheerdersbevoegdheden voor het beheerde domein dat wordt geleverd door Microsoft Entra Domain Services?

Nee. U krijgt geen beheerdersbevoegdheden voor het beheerde domein. Domeinbeheerder- en ondernemingsbeheerdersbevoegdheden zijn niet beschikbaar voor gebruik binnen het domein. Leden van de domeinbeheerder- of ondernemingsbeheerdersgroepen in uw on-premises Active Directory krijgen ook geen domein-/ondernemingsbeheerdersbevoegdheden voor het beheerde domein.

Kan ik groepslidmaatschappen wijzigen met LDAP of andere AD-beheerprogramma's voor beheerde domeinen?

Gebruikers en groepen die vanuit Microsoft Entra-id met Microsoft Entra Domain Services worden gesynchroniseerd, kunnen niet worden gewijzigd omdat hun oorsprongsbron Microsoft Entra-id is. Dit omvat het verplaatsen van gebruikers of groepen van de door AADDC-gebruikers beheerde organisatie-eenheid naar een aangepaste organisatie-eenheid. Elke gebruiker of groep die afkomstig is uit het beheerde domein, kan worden gewijzigd.

Kan ik een DHCP-server in een beheerd domein autoriseren?

Nee. Lidmaatschap van domeinadministratoren is vereist voor het autoriseren van een DHCP-server, die niet beschikbaar is in een beheerd domein.

Hoe lang duurt het voordat wijzigingen in mijn Microsoft Entra-directory zichtbaar zijn in mijn beheerde domein?

Wijzigingen die zijn aangebracht in uw Microsoft Entra-directory met behulp van de Microsoft Entra-gebruikersinterface of PowerShell, worden automatisch gesynchroniseerd met uw beheerde domein. Dit synchronisatieproces wordt op de achtergrond uitgevoerd. Er is geen gedefinieerde periode voor deze synchronisatie om alle objectwijzigingen te voltooien.

Kan ik het schema uitbreiden van het beheerde domein dat wordt geleverd door Microsoft Entra Domain Services?

Nee. Het schema wordt beheerd door Microsoft voor het beheerde domein. Schema-extensies worden niet ondersteund door Microsoft Entra Domain Services.

Kan ik DNS-records in mijn beheerde domein wijzigen of toevoegen?

Ja. Leden van de microsoft Entra DC-beheerdersgroep krijgen DNS-beheerdersbevoegdheden om DNS-records in het beheerde domein te wijzigen. Deze gebruikers kunnen de DNS Manager-console gebruiken op een computer waarop Windows Server is gekoppeld aan het beheerde domein om DNS te beheren. Als u de DNS Manager-console wilt gebruiken, installeert u DNS Server Tools, die deel uitmaken van de optionele functie Remote Server Administration Tools op de server. Zie DNS beheren in een door Microsoft Entra Domain Services beheerd domein voor meer informatie.

Wat is het beleid voor de levensduur van wachtwoorden voor een beheerd domein?

De standaardlevensduur van wachtwoorden voor een door Microsoft Entra Domain Services beheerd domein is 90 dagen. Deze levensduur van het wachtwoord wordt niet gesynchroniseerd met de wachtwoordlevensduur die is geconfigureerd in Microsoft Entra-id. Daarom hebt u mogelijk een situatie waarin de wachtwoorden van gebruikers verlopen in uw beheerde domein, maar nog steeds geldig zijn in Microsoft Entra-id. In dergelijke scenario's moeten gebruikers hun wachtwoord wijzigen in Microsoft Entra-id en wordt het nieuwe wachtwoord gesynchroniseerd met uw beheerde domein. Als u de standaardlevensduur van het wachtwoord in een beheerd domein wilt wijzigen, kunt u aangepast wachtwoordbeleid maken en configureren.

Daarnaast wordt het Wachtwoordbeleid voor Microsoft Entra voor DisablePasswordExpiration gesynchroniseerd met een beheerd domein. Wanneer DisablePasswordExpiration wordt toegepast op een gebruiker in Microsoft Entra ID, wordt de waarde UserAccountControl voor de gesynchroniseerde gebruiker in het beheerde domein DONT_EXPIRE_PASSWORD toegepast.

Wanneer gebruikers hun wachtwoord opnieuw instellen in Microsoft Entra ID, wordt het kenmerk forceChangePasswordNextSignIn=True toegepast. Een beheerd domein synchroniseert dit kenmerk van Microsoft Entra ID. Wanneer het beheerde domein forceChangePasswordNextSignIn detecteert voor een gesynchroniseerde gebruiker van Microsoft Entra ID, wordt het kenmerk pwdLastSet in het beheerde domein ingesteld op 0, waardoor het momenteel ingestelde wachtwoord ongeldig wordt.

Biedt Microsoft Entra Domain Services beveiliging tegen vergrendeling van AD-accounts?

Ja. Vijf ongeldige wachtwoordpogingen binnen 2 minuten in het beheerde domein zorgen ervoor dat een gebruikersaccount 30 minuten wordt vergrendeld. Na 30 minuten wordt het gebruikersaccount automatisch ontgrendeld. Ongeldige wachtwoordpogingen in het beheerde domein vergrendelen het gebruikersaccount niet in Microsoft Entra-id. Het gebruikersaccount is alleen vergrendeld binnen uw door Microsoft Entra Domain Services beheerde domein. Zie Wachtwoord- en accountvergrendelingsbeleidsregels voor beheerde domeinen voor meer informatie.

Kan ik gedistribueerd bestandssysteem en replicatie configureren in Microsoft Entra Domain Services?

Nee. Dfs (Distributed File System) en replicatie zijn niet beschikbaar wanneer u Microsoft Entra Domain Services gebruikt.

Hoe worden Windows-updates toegepast in Microsoft Entra Domain Services?

Domeincontrollers in een beheerd domein passen automatisch vereiste Windows-updates toe. U hoeft hier niets te configureren of te beheren. Zorg ervoor dat u geen regels voor netwerkbeveiligingsgroepen maakt waarmee uitgaand verkeer naar Windows-updates wordt geblokkeerd. Voor uw eigen VM's die zijn toegevoegd aan het beheerde domein, bent u verantwoordelijk voor het configureren en toepassen van vereiste besturingssysteem- en toepassingsupdates.

Moet ik de tags AzureUpdateDelivery en AzureFrontDoor.FirstParty verwijderen in de uitgaande netwerkbeveiligingsgroep (NSG)?

Met de afschaffing van AzureUpdateDelivery- en AzureFrontDoor.FirstParty-tags raadt Microsoft Entra Domain Services niet langer aan deze tags toe te voegen aan uitgaand internetverkeer. Als u de standaardregel AllowInternetOutBound (prioriteit 65001) gebruikt, is er geen wijziging nodig (met of zonder AzureUpdateDelivery en AzureFrontDoor.FirstParty-tags). Als u de standaardregel AllowInternetOutBound (prioriteit 65001) verwijdert of voorafgaat door een geweigerde InternetOutBound-regel, gebruikt u een firewall om uitgaand Windows Update-verkeer te filteren met behulp van de WindowsUpdate-FQDN in plaats van InternetOutBound te beperken. Deze stap is van cruciaal belang voor Microsoft Entra Domain Services om Windows-updates te blijven ontvangen. Zie Wijzigingen die worden toegevoegd aan de servicetag AzureUpdateDelivery voor meer informatie.

Waar worden klantgegevens opgeslagen in Microsoft Entra Domain Services?

Microsoft Entra Domain Services slaat klantgegevens op. Klantgegevens blijven standaard binnen de regio waar het service-exemplaar wordt geïmplementeerd. Klanten kunnen replicasets gebruiken om gegevens op te slaan in andere regio's.

Hoe wordt patching uitgevoerd op domeincontrollers die deel uitmaken van een beheerd domein?

Patches worden geïnstalleerd zodra ze beschikbaar zijn (elke tweede dinsdag). Ze worden geïnstalleerd in fasen tijdens de week die ze beschikbaar zijn, beginnend op dinsdag.

Waarom wijzigen mijn domeincontrollers namen?

Het is mogelijk dat er tijdens het onderhoud van domeincontrollers een wijziging in hun namen is. Om problemen met dit type wijziging te voorkomen, is het raadzaam om niet de namen van de domeincontrollers te gebruiken die zijn vastgelegd in toepassingen en/of andere domeinbronnen, maar de FQDN van het domein. Op deze manier hoeft u, ongeacht wat de namen van de domeincontrollers zijn, niets opnieuw te configureren na een naamwijziging.

Wordt het wachtwoord van het KRBTGT-account in een beheerd domein periodiek geïmplementeerd? Zo ja, wat is de frequentie?

Het wachtwoord van het KRBTGT-account in een beheerd domein wordt elke zeven (7) dagen overgezet.

Facturering en beschikbaarheid

Is Microsoft Entra Domain Services een betaalde service?

Ja. Zie de pagina met prijzen voor meer informatie.

Is er een gratis proefversie voor de service?

Microsoft Entra Domain Services is opgenomen in de gratis proefversie voor Azure. U kunt zich registreren voor een gratis proefversie van één maand van Azure.

Kan ik een beheerd domein van Microsoft Entra Domain Services onderbreken?

Nee. Nadat u een door Microsoft Entra Domain Services beheerd domein hebt ingeschakeld, is de service beschikbaar in het geselecteerde virtuele netwerk totdat u het beheerde domein verwijdert. Er is geen manier om de service te onderbreken. Facturering wordt elk uur voortgezet totdat u het beheerde domein verwijdert.

Kan ik een failover uitvoeren voor Microsoft Entra Domain Services naar een andere regio voor een DR-gebeurtenis?

Ja, als u geografische tolerantie wilt bieden voor een beheerd domein, kunt u een andere replicaset maken op een virtueel peernetwerk in elke Azure-regio die Ondersteuning biedt voor Domain Services. Replicasets delen dezelfde naamruimte en configuratie met het beheerde domein.

Kan ik Microsoft Entra Domain Services krijgen als onderdeel van Enterprise Mobility Suite (EMS)? Heb ik Microsoft Entra ID P1 of P2 nodig om Microsoft Entra Domain Services te gebruiken?

Nee. Microsoft Entra Domain Services is een Azure-service voor betalen per gebruik en maakt geen deel uit van EMS. Microsoft Entra Domain Services kan worden gebruikt met alle edities van Microsoft Entra ID (Gratis en Premium). U wordt per uur gefactureerd, afhankelijk van het gebruik.

Kan ik een onderliggend domein maken onder een beheerd domein?

Nee. Microsoft Entra Domain Services heeft een ontwerp met één domein, één forest en u kunt geen onderliggende domeinen maken.

Welke Azure-regio's hebben de service beschikbaar?

Raadpleeg de pagina Azure-services per regio om een lijst weer te geven van de Azure-regio's waar Microsoft Entra Domain Services beschikbaar is.

Probleemoplossing

Raadpleeg de gids voor probleemoplossing voor oplossingen voor veelvoorkomende problemen met het configureren of beheren van Azure AD Domain Services.

Volgende stappen

Zie Wat is Microsoft Entra Domain Services?voor meer informatie over Microsoft Entra Domain Services.

Zie Een door Microsoft Entra Domain Services beheerd domein maken en configureren om aan de slag te gaan.