Vanliga frågor och svar om Microsoft Entra Domain Services

Nej. Du kan bara skapa en enda hanterad domän som hanteras av Microsoft Entra Domain Services för en enda Microsoft Entra-katalog.

Klassiska virtuella nätverk stöds inte.

Mer information finns i det officiella utfasningsmeddelandet.

Ja. Microsoft Entra Domain Services kan aktiveras i ett virtuellt Azure Resource Manager-nätverk. Klassiska virtuella Azure-nätverk är inte längre tillgängliga när du skapar en hanterad domän.

Ja. Mer information finns i aktivera Microsoft Entra Domain Services i Azure CSP-prenumerationer.

Nej. För att autentisera användare via NTLM eller Kerberos behöver Microsoft Entra Domain Services åtkomst till lösenordshasherna för användarkonton. I en federerad katalog lagras inte lösenordshashvärden i Microsoft Entra-katalogen. Därför fungerar inte Microsoft Entra Domain Services med sådana Microsoft Entra-kataloger.

Men om du använder Microsoft Entra Anslut för synkronisering av lösenordshash kan du använda Microsoft Entra Domain Services eftersom lösenordshashvärdena lagras i Microsoft Entra-ID.

Själva tjänsten stöder inte det här scenariot direkt. Din hanterade domän är endast tillgänglig i ett virtuellt nätverk i taget. Du kan dock konfigurera anslutningen mellan flera virtuella nätverk för att exponera Microsoft Entra Domain Services för andra virtuella nätverk. Mer information finns i hur du ansluter virtuella nätverk i Azure med VPN-gatewayer eller peering för virtuella nätverk.

Ja. Mer information finns i hur du aktiverar Microsoft Entra Domain Services med hjälp av PowerShell.

Ja, du kan skapa en Microsoft Entra Domain Services-hanterad domän med hjälp av en Resource Manager-mall. Ett huvudnamn för tjänsten och en Microsoft Entra-grupp för administration måste skapas med hjälp av administrationscentret för Microsoft Entra eller PowerShell innan mallen distribueras. När du skapar en Microsoft Entra Domain Services-hanterad domän i administrationscentret för Microsoft Entra finns det också ett alternativ för att exportera mallen för användning med andra distributioner. Mer information finns i Skapa en domän som hanteras av Domain Services med hjälp av en Azure Resource Manager-mall.

Nej. Domänen som tillhandahålls av Microsoft Entra Domain Services är en hanterad domän. Du behöver inte etablera, konfigurera eller på annat sätt hantera domänkontrollanter för den här domänen. Dessa hanteringsaktiviteter tillhandahålls som en tjänst av Microsoft. Därför kan du inte lägga till fler domänkontrollanter (skrivskyddad eller skrivskyddad) för den hanterade domänen.

Nej. Gästanvändare som bjudits in till din Microsoft Entra-katalog med hjälp av inbjudan till Microsoft Entra B2B synkroniseras till din Hanterade Domändomän för Microsoft Entra. Lösenord för dessa användare lagras dock inte i din Microsoft Entra-katalog. Därför kan Microsoft Entra Domain Services inte synkronisera NTLM- och Kerberos-hashar för dessa användare till din hanterade domän. Sådana användare kan inte logga in eller ansluta datorer till den hanterade domänen.

Ja, du kan skapa ett dubbelriktad förtroende. Du kan också skapa ett envägs utgående förtroende eller envägs inkommande förtroende för att stödja olika scenarier för användares autentisering och åtkomst. Mer information finns i Skapa ett skogsförtroende.

Domain Services stöder för närvarande endast skogsförtroende och stöder inte externa domänförtroenden.

När du har skapat en domän som hanteras av Domain Services kan du inte flytta den till en annan prenumeration, resursgrupp eller region. Om du vill ändra regionen skulle en möjlig lösning vara att distribuera en ny replikuppsättning i den region som du vill migrera till. När det är klart tar du bort replikuppsättningen i den region som du inte vill ha mer. Som en lösning för resten av inställningarna kan du ta bort den hanterade domänen med hjälp av PowerShell eller administrationscentret för Microsoft Entra och återskapa den med önskad konfiguration. Inga återställningsåtgärder kan tillhandahållas när den hanterade domänen återskapas.

Nej. När du har skapat en hanterad Domän för Microsoft Entra Domain Services kan du inte ändra DNS-domännamnet. Välj DNS-domännamnet noggrant när du skapar den hanterade domänen. Överväganden när du väljer DNS-domännamnet finns i självstudien för att skapa och konfigurera en hanterad Domän för Microsoft Entra Domain Services.

Ja. Varje Microsoft Entra Domain Services-hanterad domän innehåller två domänkontrollanter. Du hanterar eller ansluter inte till dessa domänkontrollanter, de är en del av den hanterade tjänsten. Om du distribuerar Microsoft Entra Domain Services till en region som stöder Tillgänglighetszoner distribueras domänkontrollanterna mellan zoner. I regioner som inte stöder Tillgänglighetszoner distribueras domänkontrollanterna mellan tillgänglighetsuppsättningar. Du har inga konfigurationsalternativ eller hanteringskontroll över den här distributionen. Mer information finns i Tillgänglighetsalternativ för virtuella datorer i Azure.

Nej. Du har inte behörighet att ansluta till domänkontrollanter för den hanterade domänen med fjärrskrivbord. Medlemmar i gruppen Microsoft Entra DC-administratörer kan administrera den hanterade domänen med hjälp av AD-administrationsverktyg som Active Directory Administrationscenter (ADAC) eller AD PowerShell. De här verktygen installeras med funktionen Administrationsverktyg för fjärrserver på en Windows-server som är ansluten till den hanterade domänen. Mer information finns i Skapa en virtuell hanteringsdator för att konfigurera och administrera en hanterad Domän för Microsoft Entra Domain Services.

Alla användarkonton som ingår i den hanterade domänen kan ansluta till en virtuell dator. Medlemmar i gruppen Microsoft Entra DC-administratörer beviljas fjärrskrivbordsåtkomst till datorer som har anslutits till den hanterade domänen.

Det finns ingen kvot i Domain Services för domänanslutna datorer.

Virtuella datorer som körs i Azure synkroniseras med Azure-värdar för mycket exakt tid. Virtuella datorer som inte är Azure-datorer som körs lokalt måste ha Windows Time Services konfigurerat för synkronisering med en extern NTP-tidskälla, på samma sätt som domänanslutna virtuella datorer. Mer information finns i Konfigurera tidsmekanismen för Active Directory Windows Virtual Machines i Azure.

Nej. Du beviljas inte administratörsbehörighet för den hanterade domänen. Domänadministratörs - och företagsadministratörsbehörigheter är inte tillgängliga för dig att använda i domänen. Medlemmar i domänadministratörs- eller företagsadministratörsgrupperna i din lokal Active Directory beviljas inte heller domän-/företagsadministratörsbehörigheter för den hanterade domänen.

Användare och grupper som synkroniseras från Microsoft Entra-ID till Microsoft Entra Domain Services kan inte ändras eftersom deras ursprungskälla är Microsoft Entra-ID. Detta inkluderar att flytta användare eller grupper från den hanterade organisationsenheten AADDC-användare till en anpassad organisationsenhet. Alla användare eller grupper som har sitt ursprung i den hanterade domänen kan ändras.

Nej. Domänadministratörsmedlemskap krävs för att auktorisera en DHCP-server som inte är tillgänglig i en hanterad domän.

Ändringar som görs i din Microsoft Entra-katalog med hjälp av antingen Microsoft Entra-användargränssnittet eller PowerShell synkroniseras automatiskt till din hanterade domän. Den här synkroniseringsprocessen körs i bakgrunden. Det finns ingen definierad tidsperiod för den här synkroniseringen för att slutföra alla objektändringar.

Nej. Schemat administreras av Microsoft för den hanterade domänen. Schematillägg stöds inte av Microsoft Entra Domain Services.

Ja. Medlemmar i gruppen Microsoft Entra DC-administratörer beviljas DNS-administratörsbehörighet för att ändra DNS-poster i den hanterade domänen. Dessa användare kan använda DNS Manager-konsolen på en dator som kör Windows Server som är ansluten till den hanterade domänen för att hantera DNS. Om du vill använda DNS Manager-konsolen installerar du DNS Server Tools, som ingår i den valfria funktionen Administrationsverktyg för fjärrserver på servern. Mer information finns i Administrera DNS i en hanterad domän i Microsoft Entra Domain Services.

Standardlivslängden för lösenord på en Hanterad Domän för Microsoft Entra Services är 90 dagar. Den här lösenordslivslängden synkroniseras inte med lösenordslivslängden som konfigurerats i Microsoft Entra-ID. Därför kan du ha en situation där användarnas lösenord upphör att gälla i din hanterade domän, men fortfarande är giltiga i Microsoft Entra-ID. I sådana scenarier måste användarna ändra sitt lösenord i Microsoft Entra-ID och det nya lösenordet synkroniseras med din hanterade domän. Om du vill ändra standardlivslängden för lösenord i en hanterad domän kan du skapa och konfigurera anpassade lösenordsprinciper.

Dessutom synkroniseras Microsoft Entra-lösenordsprincipen för DisablePasswordExpiration till en hanterad domän. När DisablePasswordExpiration tillämpas på en användare i Microsoft Entra-ID har userAccountControl-värdet för den synkroniserade användaren i den hanterade domänen DONT_EXPIRE_PASSWORD tillämpats.

När användarna återställer sitt lösenord i Microsoft Entra-ID tillämpas attributet forceChangePasswordNextSignIn=True . En hanterad domän synkroniserar det här attributet från Microsoft Entra-ID. När den hanterade domänen identifierar forceChangePasswordNextSignIn har angetts för en synkroniserad användare från Microsoft Entra-ID är attributet pwdLastSet i den hanterade domänen inställt på 0, vilket ogiltigförklarar det angivna lösenordet.

Ja. Fem ogiltiga lösenordsförsök inom 2 minuter på den hanterade domänen gör att ett användarkonto blir utelåst i 30 minuter. Efter 30 minuter låss användarkontot upp automatiskt. Ogiltiga lösenordsförsök på den hanterade domänen låser inte användarkontot i Microsoft Entra-ID. Användarkontot är endast utelåst i din hanterade Domän för Microsoft Entra Domain Services. Mer information finns i Principer för utelåsning av lösenord och konton på hanterade domäner.

Nej. DfS (Distributed File System) och replikering är inte tillgängliga när du använder Microsoft Entra Domain Services.

Domänkontrollanter i en hanterad domän tillämpar automatiskt nödvändiga Windows-uppdateringar. Det finns inget för dig att konfigurera eller administrera här. Se till att du inte skapar regler för nätverkssäkerhetsgrupper som blockerar utgående trafik till Windows Uppdateringar. För dina egna virtuella datorer som är anslutna till den hanterade domänen ansvarar du för att konfigurera och tillämpa nödvändiga os- och programuppdateringar.

Microsoft Entra Domain Services lagrar kunddata. Som standard finns kunddata kvar i den region där tjänstinstansen distribueras. Kunder kan använda replikuppsättningar för att lagra data i andra regioner.

Korrigeringar installeras så snart de blir tillgängliga (varannan tisdag). De installeras i faser under veckan de blir tillgängliga, med början på tisdagar.

Det är möjligt att under underhållet av domänkontrollanter ändras deras namn. För att undvika problem med den här typen av ändringar rekommenderar vi att du inte använder namnen på domänkontrollanterna som hårdkodas i program och/eller andra domänresurser, utan domänens fullständiga domännamn. På så sätt, oavsett vilka namn domänkontrollanterna är, behöver du inte konfigurera om något efter en namnändring.

Lösenordet för KRBTGT-kontot i en hanterad domän distribueras var sjunde (7) dag.

Ja. Mer information, se prissidan.

Microsoft Entra Domain Services ingår i den kostnadsfria utvärderingsversionen för Azure. Du kan registrera dig för en kostnadsfri utvärderingsversion av Azure på en månad.

Nej. När du har aktiverat en hanterad domän för Microsoft Entra Domain Services är tjänsten tillgänglig i det valda virtuella nätverket tills du tar bort den hanterade domänen. Det går inte att pausa tjänsten. Faktureringen fortsätter varje timme tills du tar bort den hanterade domänen.

Ja, för att ge geografisk återhämtning för en hanterad domän kan du skapa en annan replikuppsättning till ett peer-kopplat virtuellt nätverk i alla Azure-regioner som stöder Domain Services. Replikuppsättningar delar samma namnområde och konfiguration med den hanterade domänen.

Nej. Microsoft Entra Domain Services är en Betala per användning Azure-tjänst och är inte en del av EMS. Microsoft Entra Domain Services kan användas med alla utgåvor av Microsoft Entra ID (kostnadsfritt och Premium). Du debiteras per timme, beroende på användning.

Nej. Microsoft Entra Domain Services har en design med en domän och en skog och du kan inte skapa underordnade domäner.

Se sidan Azure Services per region för att se en lista över de Azure-regioner där Microsoft Entra Domain Services är tillgängligt.

Felsökning

I felsökningsguiden finns lösningar på vanliga problem med att konfigurera eller administrera Azure AD Domain Services.

Nästa steg

Mer information om Microsoft Entra Domain Services finns i Vad är Microsoft Entra Domain Services?.

Information om hur du kommer igång finns i Skapa och konfigurera en hanterad Domän för Microsoft Entra Domain Services.