Часто задаваемые вопросы о доменных службах Microsoft Entra

№ Вы можете создать только один управляемый домен, обслуживаемый доменными службами Microsoft Entra для одного каталога Microsoft Entra.

Классические виртуальные сети не поддерживаются.

Дополнительные сведения см. в официальном уведомлении о прекращении поддержки.

Да. Доменные службы Microsoft Entra можно включить в виртуальной сети Azure Resource Manager. Классические виртуальные сети Azure больше недоступны при создании управляемого домена.

Да. Дополнительные сведения см. в статье о включении доменных служб Microsoft Entra в подписках Azure CSP.

№ Для проверки подлинности пользователей с помощью NTLM или Kerberos доменные службы Microsoft Entra должны иметь доступ к хэшам паролей учетных записей пользователей. В федеративном каталоге хэши паролей не хранятся в каталоге Microsoft Entra. Поэтому доменные службы Microsoft Entra не работают с такими каталогами Microsoft Entra.

Однако если вы используете Microsoft Entra Подключение для синхронизации хэша паролей, можно использовать доменные службы Microsoft Entra, так как хэш-значения паролей хранятся в идентификаторе Microsoft Entra.

Сама служба напрямую не поддерживает этот сценарий. В определенный момент времени управляемый домен доступен только в одной виртуальной сети. Однако можно настроить подключение между несколькими виртуальными сетями, чтобы предоставить доменные службы Microsoft Entra другим виртуальным сетям. Дополнительные сведения см. в статье о подключении виртуальных сетей в Azure с помощью VPN-шлюзов или пиринга между виртуальными сетями.

Да. Дополнительные сведения см. в статье о включении доменных служб Microsoft Entra с помощью PowerShell.

Да, вы можете создать управляемый домен доменных служб Microsoft Entra с помощью шаблона Resource Manager. Субъект-служба и группа Microsoft Entra для администрирования должны быть созданы с помощью Центра администрирования Microsoft Entra или PowerShell перед развертыванием шаблона. При создании управляемого домена доменных служб Microsoft Entra в Центре администрирования Microsoft Entra также можно экспортировать шаблон для использования с другими развертываниями. Дополнительные сведения см. в статье "Создание управляемого домена доменных служб" с помощью шаблона Azure Resource Manager.

№ Домен, предоставляемый доменом Microsoft Entra Domain Services, является управляемым доменом. Не требуется подготовка, настройка или какое-либо другое управление контроллерами домена для этого домена. Эти действия по управлению предоставляются корпорацией Майкрософт как услуга. Поэтому для управляемого домена нельзя добавлять дополнительные контроллеры домена (только для чтения или чтения).

№ Гостевые пользователи, приглашенные в каталог Microsoft Entra, с помощью процесса приглашения Microsoft Entra B2B синхронизируются с управляемым доменом доменных служб Microsoft Entra. Однако пароли для этих пользователей не хранятся в каталоге Microsoft Entra. Поэтому доменные службы Microsoft Entra не могут синхронизировать хэши NTLM и Kerberos для этих пользователей в управляемый домен. Такие пользователи не могут войти или установить соединение компьютеров с управляемым доменом.

Да, можно создать двустороннее доверие. Кроме того, можно создать односторонняя исходящее доверие или односторонняя входящие доверия для поддержки различных сценариев проверки подлинности и доступа пользователей. Дополнительные сведения см. в разделе "Создание доверия к лесу".

Доменные службы в настоящее время поддерживают только доверие леса и не поддерживают отношения доверия внешнего домена.

После создания управляемого домена доменных служб его нельзя переместить в другую подписку, группу ресурсов или регион. В качестве обходного решения можно удалить управляемый домен с помощью PowerShell или Центра администрирования Microsoft Entra и повторно создать его с помощью требуемой настройки. Никакие операции восстановления не могут быть выполнены, пока управляемый домен не будет создан заново.

№ После создания управляемого домена доменных служб Microsoft Entra нельзя изменить доменное имя DNS. При создании управляемого домена тщательно выбирайте доменное имя DNS. Рекомендации по выбору доменного имени DNS см. в руководстве по созданию и настройке управляемого домена доменных служб Microsoft Entra.

Да. Каждый управляемый домен доменных служб Microsoft Entra включает два контроллера домена. Пользователь не управляет этими контроллерами домена и не подключается к ним, они являются частью управляемой службы. При развертывании доменных служб Microsoft Entra в регионе, поддерживающем Зоны доступности, контроллеры домена распределяются по зонам. В регионах, которые не поддерживают зоны доступности, контроллеры домена распределяются по группам доступности. Для этого распределения нет параметров конфигурации или управления. Дополнительные сведения см. в статье Параметры доступности для виртуальных машин в Azure.

№ У пользователя нет разрешений на подключение к контроллерам домена для управляемого домена с помощью удаленного рабочего стола. Члены группы контроллера домена Microsoft Entra DC Администратор istrator могут администрировать управляемый домен с помощью средств администрирования AD, таких как Центр Администратор администрирования Active Directory (ADAC) или AD PowerShell. Эти средства устанавливаются с помощью функции Средства удаленного администрирования сервера на сервере Windows, подключенному к управляемому домену. Дополнительные сведения см. в статье "Создание виртуальной машины управления для настройки и администрирования управляемого домена доменных служб Microsoft Entra".

Любая учетная запись пользователя, которая является частью управляемого домена, может установить соединение с виртуальной машиной. Члены группы контроллера домена Microsoft Entra DC Администратор istrator получают доступ к компьютерам, присоединенным к управляемому домену.

Квота в доменных службах для компьютеров, присоединенных к домену, отсутствует.

Виртуальные машины, выполняемые в Azure, синхронизируются с узлами Azure для точного времени. Виртуальные машины, которые работают в локальной среде, должны иметь службы времени Windows, настроенные для синхронизации с внешним источником времени NTP, аналогичным виртуальным машинам, присоединенным к домену. Дополнительные сведения см. в статье "Настройка механизма времени для Виртуальные машины Windows Active Directory в Azure".

№ Пользователю не предоставлены права администратора в управляемом домене. Привилегии для роли Администратор домена и Администратор предприятия недоступны для использования внутри домена. Участникам группы администраторов домена или администраторов предприятия в локальной версии Active Directory также не предоставляются права администратора домена/предприятия в управляемом домене.

Пользователи и группы, синхронизированные с идентификатором Microsoft Entra с доменными службами Microsoft Entra, не могут быть изменены, так как их источник является идентификатором Microsoft Entra. Это включает перемещение пользователей или групп из управляемого подразделения AADDC Users в настраиваемое подразделение. Любого пользователя или группу, созданных в управляемом домене, можно изменить.

№ Членство в домене Администратор требуется для авторизации DHCP-сервера, который недоступен в управляемом домене.

Изменения, внесенные в каталог Microsoft Entra с помощью пользовательского интерфейса Microsoft Entra или PowerShell, автоматически синхронизируются с управляемым доменом. Процесс синхронизации происходит в фоновом режиме. Для этой синхронизации нет определенного периода времени для завершения выполнения всех изменений объекта.

№ Схемой управляемого домена управляет корпорация Майкрософт. Расширения схемы не поддерживаются доменными службами Microsoft Entra.

Да. Члены группы контроллера домена Microsoft Entra DC Администратор istrator предоставляют права DNS Администратор istrator для изменения записей DNS в управляемом домене. Эти пользователи могут использовать консоль диспетчера DNS на машине под управлением Windows Server, подключенной к управляемому домену, для управления DNS. Чтобы использовать консоль диспетчера DNS, установите Средства DNS-сервера, которые являются частью дополнительной функции Средства удаленного администрирования сервера на сервере. Дополнительные сведения см. в разделе Администратор ister DNS в управляемом домене доменных служб Microsoft Entra.

Время существования пароля по умолчанию в управляемом домене доменных служб Microsoft Entra составляет 90 дней. Это время существования пароля не синхронизируется с временем существования пароля, настроенного в идентификаторе Microsoft Entra. Таким образом, у вас может возникнуть ситуация, когда срок действия паролей пользователей истекает в управляемом домене, но по-прежнему действителен в идентификаторе Microsoft Entra. В таких сценариях пользователям необходимо изменить пароль в идентификаторе Microsoft Entra, а новый пароль будет синхронизироваться с управляемым доменом. Если вы хотите изменить время существования пароля по умолчанию в управляемом домене, можно создать и настроить пользовательские политики паролей.

Кроме того, политика паролей Microsoft Entra для DisablePasswordExpiration синхронизируется с управляемым доменом. При применении DisablePasswordExpiration к пользователю в идентификаторе Microsoft Entra значение UserAccountControl для синхронизированного пользователя в управляемом домене DONT_EXPIRE_PASSWORD применено.

Когда пользователи сбрасывают пароль в идентификаторе Microsoft Entra, применяется атрибут forceChangePasswordNextSignIn=True . Управляемый домен синхронизирует этот атрибут из идентификатора Microsoft Entra. Когда управляемый домен обнаруживает forceChangePasswordNextSignIn для синхронизированного пользователя из идентификатора Microsoft Entra ID, атрибут pwdLastSet в управляемом домене имеет значение 0, что делает недопустимым текущий пароль.

Да. При пяти недействительных попытках ввода пароля в течение 2 минут в управляемом домене происходит блокировка учетной записи пользователя на 30 минут. Через 30 минут учетная запись пользователя будет автоматически разблокирована. Недопустимые попытки пароля в управляемом домене не блокируют учетную запись пользователя в идентификаторе Microsoft Entra. Учетная запись пользователя заблокирована только в управляемом домене доменных служб Microsoft Entra. Дополнительные сведения см. в статье Политики паролей и блокировки учетных записей в управляемых доменах.

№ Распределенная файловая система (DFS) и реплика tion недоступны при использовании доменных служб Microsoft Entra.

Контроллеры домена в управляемом домене автоматически применяют необходимые обновления Windows. Здесь не требуется выполнения настройки или администрирования. Убедитесь, что не создаются правила группы безопасности сети, которые блокируют исходящий трафик для обновлений Windows. Для собственных виртуальных машин, подключенных к управляемому домену, пользователь сам несет ответственность за настройку и применение любых необходимых обновлений ОС и приложений.

Исправления устанавливаются сразу после того, как они становятся доступными (каждый второй вторник). Они устанавливаются на этапах в течение недели они становятся доступными, начиная с вторников.

Возможно, во время обслуживания контроллеров домена их имена меняются. Чтобы избежать проблем с этим типом изменений, рекомендуется не использовать имена контроллеров домена, закодированных в приложениях и (или) других ресурсах домена, но полное доменное имя домена. В этом случае независимо от имен контроллеров домена, вам не придется ничего перенастраивать после изменения имени.

Пароль учетной записи KRBTGT в управляемом домене выполняется каждые семь (7) дней.

Да. Дополнительные сведения см. на странице цен.

Доменные службы Microsoft Entra включены в бесплатную пробную версию Azure. Вы можете зарегистрировать бесплатную пробную версию Azure на один месяц.

№ После включения управляемого домена доменных служб Microsoft Entra служба будет доступна в выбранной виртуальной сети, пока не удалите управляемый домен. Приостановить работу службы нельзя. Счета выставляются на почасовой основе, пока вы не удалите управляемый домен.

Да, чтобы обеспечить географическую устойчивость для управляемого домена, можно создать еще один реплика установить пиринговую виртуальную сеть в любом регионе Azure, поддерживающем доменные службы. Наборы реплик используют одно пространство имен и конфигурацию с управляемым доменом.

№ Доменные службы Microsoft Entra — это служба Azure с оплатой по мере использования и не является частью EMS. Доменные службы Microsoft Entra можно использовать со всеми выпусками идентификатора Microsoft Entra (бесплатный и премиум). Счет выставляется за каждый час использования.

№ Доменные службы Microsoft Entra имеют единый домен, один лес и не могут создавать дочерние домены.

Перейдите на страницу служб Azure по регионам , чтобы просмотреть список регионов Azure, где доступны доменные службы Microsoft Entra.

Устранение неполадок

Ознакомьтесь с нашим руководством по устранению неполадок для решения распространенных проблем при настройке или администрировании доменных служб Azure AD.

Следующие шаги

Дополнительные сведения о доменных службах Microsoft Entra см. в статье "Что такое доменные службы Microsoft Entra?".

Сведения о начале работы см. в статье "Создание и настройка управляемого домена доменных служб Microsoft Entra".