Azure Active Directory (AD) Etki Alanı Hizmetleri hakkında sık sorulan sorular (SSS)

Hayır. Tek bir Azure AD dizini için yalnızca Azure AD Etki Alanı Hizmetleri tarafından hizmet sunulan tek bir yönetilen etki alanı oluşturabilirsiniz.

Klasik sanal ağlar yeni dağıtımlar için desteklenmez. Klasik sanal ağlarda dağıtılan mevcut yönetilen etki alanları 1 Mart 2023'te kullanımdan kaldırılana kadar desteklenmeye devam eder. Mevcut dağıtımlar için, Azure AD Etki Alanı Hizmetlerini Klasik sanal ağ modelinden Resource Manager geçirebilirsiniz.

Daha fazla bilgi için resmi kullanımdan kaldırma bildirimine bakın.

Evet. Azure AD Etki Alanı Hizmetleri bir Azure Resource Manager sanal ağında etkinleştirilebilir. Yönetilen bir etki alanı oluşturduğunuzda klasik Azure sanal ağları artık kullanılamaz.

Evet. Daha fazla bilgi için bkz. Azure AD Etki Alanı Hizmetlerini Klasik sanal ağ modelinden Resource Manager geçirme.

Evet. Daha fazla bilgi için bkz. Azure CSP aboneliklerinde Azure AD Etki Alanı Hizmetleri'nin nasıl etkinleştirileceği.

Hayır. NTLM veya Kerberos aracılığıyla kullanıcıların kimliğini doğrulamak için, Azure AD Etki Alanı Hizmetleri'nin kullanıcı hesaplarının parola karmalarına erişmesi gerekir. Federasyon dizininde parola karmaları Azure AD dizininde depolanmaz. Bu nedenle, Azure AD Etki Alanı Hizmetleri bu tür Azure AD dizinlerle çalışmaz.

Ancak parola karması eşitlemesi için Azure AD Connect kullanıyorsanız, parola karması değerleri Azure AD depolandığından Azure AD Etki Alanı Hizmetleri'ni kullanabilirsiniz.

Hizmetin kendisi bu senaryoyu doğrudan desteklemez. Yönetilen etki alanınız aynı anda yalnızca bir sanal ağda kullanılabilir. Ancak, Azure AD Etki Alanı Hizmetlerini diğer sanal ağlara göstermek için birden çok sanal ağ arasındaki bağlantıyı yapılandırabilirsiniz. Daha fazla bilgi için bkz. VPN ağ geçitlerini veya sanalağ eşlemesini kullanarak Azure'daki sanal ağları bağlama.

Evet. Daha fazla bilgi için bkz. PowerShell kullanarak Azure AD Etki Alanı Hizmetleri'nin nasıl etkinleştirileceği.

Evet, Resource Manager şablonu kullanarak Azure AD Domain Services yönetilen etki alanı oluşturabilirsiniz. Şablon dağıtılmadan önce Azure portal veya Azure PowerShell kullanılarak yönetim için bir hizmet sorumlusu ve Azure AD grubu oluşturulmalıdır. Daha fazla bilgi için bkz. Azure Resource Manager şablonu kullanarak Azure AD DS yönetilen etki alanı oluşturma. Azure portal Azure AD Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı oluşturduğunuzda, şablonu ek dağıtımlarla kullanmak üzere dışarı aktarma seçeneği de vardır.

Hayır. Azure AD Domain Services tarafından sağlanan etki alanı yönetilen bir etki alanıdır. Bu etki alanı için etki alanı denetleyicilerini sağlamanız, yapılandırmanız veya başka bir şekilde yönetmeniz gerekmez. Bu yönetim etkinlikleri Microsoft tarafından bir hizmet olarak sağlanır. Bu nedenle, yönetilen etki alanı için ek etki alanı denetleyicileri (okuma-yazma veya salt okunur) ekleyemezsiniz.

Hayır. Azure AD B2B davet işlemini kullanarak Azure AD dizininize davet edilen konuk kullanıcılar, Azure AD Etki Alanı Hizmetleri tarafından yönetilen etki alanınızla eşitlenir. Ancak, bu kullanıcıların parolaları Azure AD dizininizde depolanmaz. Bu nedenle, Azure AD Etki Alanı Hizmetleri'nin bu kullanıcılar için NTLM ve Kerberos karmalarını yönetilen etki alanınızla eşitlemesinin hiçbir yolu yoktur. Bu tür kullanıcılar, yönetilen etki alanında oturum açamaz veya bilgisayarları birleştiremez.

Hayır. Yönetilen etki alanı kaynak ormanı, şirket içi ormanlara en fazla beş tek yönlü giden orman güvenini destekler.

Azure AD Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı oluşturduktan sonra, etki alanını farklı bir aboneliğe, kaynak grubuna veya bölgeye taşıyamazsınız. Geçici bir çözüm olarak, PowerShell veya Azure portal kullanarak yönetilen etki alanını silebilir ve istediğiniz kurulumla yeniden oluşturabilirsiniz. Yönetilen etki alanı yeniden oluşturulurken geri yükleme işlemi sağlanamaz.

Hayır. Azure AD Domain Services yönetilen etki alanı oluşturduktan sonra DNS etki alanı adını değiştiremezsiniz. Yönetilen etki alanını oluştururken DNS etki alanı adını dikkatle seçin. DNS etki alanı adını seçerken dikkat edilmesi gerekenler için, Azure AD Etki Alanı Hizmetleri tarafından yönetilen etki alanı oluşturma ve yapılandırma öğreticisine bakın.

Evet. Etki Alanı Hizmetleri tarafından yönetilen her Azure AD iki etki alanı denetleyicisi içerir. Bu etki alanı denetleyicilerini yönetmez veya bunlara bağlanmazsınız; bunlar yönetilen hizmetin bir parçasıdır. Azure AD Etki Alanı Hizmetleri'ni Kullanılabilirlik Alanları destekleyen bir bölgeye dağıtırsanız, etki alanı denetleyicileri bölgeler arasında dağıtılır. Kullanılabilirlik Alanları desteklemeyen bölgelerde, etki alanı denetleyicileri Kullanılabilirlik Kümeleri arasında dağıtılır. Bu dağıtım üzerinde yapılandırma seçenekleriniz veya yönetim denetiminiz yok. Daha fazla bilgi için bkz . Azure'da sanal makineler için kullanılabilirlik seçenekleri.

Hayır. Uzak Masaüstü'nü kullanarak yönetilen etki alanının etki alanı denetleyicilerine bağlanma izniniz yok. AAD DC Administrators grubunun üyeleri, Active Directory Yönetim Merkezi (ADAC) veya AD PowerShell gibi AD yönetim araçlarını kullanarak yönetilen etki alanını yönetebilir. Bu araçlar, yönetilen etki alanına katılmış bir Windows sunucusunda Uzak Sunucu Yönetim Araçları özelliği kullanılarak yüklenir. Daha fazla bilgi için bkz. Azure AD Etki Alanı Hizmetleri tarafından yönetilen etki alanını yapılandırmak ve yönetmek için yönetim VM'sini oluşturma.

Yönetilen etki alanının parçası olan tüm kullanıcı hesapları vm'ye katılabilir. AAD DC Administrators grubunun üyelerine, yönetilen etki alanına katılmış makinelere uzak masaüstü erişimi verilir.

Hayır. Yönetilen etki alanında size yönetim ayrıcalıkları verilmez. Etki Alanı Yöneticisi ve Kuruluş Yöneticisi ayrıcalıklarını etki alanı içinde kullanamazsınız. şirket içi Active Directory etki alanı yöneticisi veya kuruluş yöneticisi gruplarının üyelerine yönetilen etki alanında etki alanı /kuruluş yöneticisi ayrıcalıkları da verilmez.

Kaynak kaynakları Azure Active Directory olduğundan, Azure Active Directory'den Azure AD Etki Alanı Hizmetleri'ne eşitlenen kullanıcılar ve gruplar değiştirilemez. Bu, kullanıcıları veya grupları AADDC Kullanıcıları yönetilen kuruluş biriminden özel bir kuruluş birimine taşımayı içerir. Yönetilen etki alanında bulunan herhangi bir kullanıcı veya grup değiştirilebilir.

Azure AD kullanıcı arabirimi veya PowerShell kullanılarak Azure AD dizininizde yapılan değişiklikler otomatik olarak yönetilen etki alanınızla eşitlenir. Bu eşitleme işlemi arka planda çalışır. Bu eşitlemenin tüm nesne değişikliklerini tamamlaması için tanımlı bir zaman aralığı yok.

Hayır. Şema, yönetilen etki alanı için Microsoft tarafından yönetilir. Şema uzantıları Azure AD Etki Alanı Hizmetleri tarafından desteklenmez.

Evet. AAD DC Administrators grubunun üyelerine yönetilen etki alanındaki DNS kayıtlarını değiştirmeleri için DNS Yöneticisi ayrıcalıkları verilir. Bu kullanıcılar, DNS'yi yönetmek için yönetilen etki alanına katılmış Windows Server çalıştıran bir makinede DNS Yöneticisi konsolunu kullanabilir. DNS Yöneticisi konsolunu kullanmak için, sunucudaki Uzak Sunucu Yönetim Araçları isteğe bağlı özelliğinin parçası olan DNS Sunucu Araçları'nı yükleyin. Daha fazla bilgi için bkz. Azure AD Etki Alanı Hizmetleri tarafından yönetilen etki alanında DNS'yi yönetme.

Azure AD Domain Services yönetilen etki alanında varsayılan parola ömrü 90 gündür. Bu parola ömrü, Azure AD yapılandırılan parola ömrüyle eşitlenmez. Bu nedenle, yönetilen etki alanınızda kullanıcıların parolalarının süresinin dolmasına rağmen Azure AD geçerli olduğu bir durumla karşılaşabilirsiniz. Bu tür senaryolarda kullanıcıların parolalarını Azure AD değiştirmeleri gerekir ve yeni parola yönetilen etki alanınızla eşitlenir. Yönetilen bir etki alanında varsayılan parola ömrünü değiştirmek istiyorsanız , özel parola ilkeleri oluşturabilir ve yapılandırabilirsiniz..

Ayrıca DisablePasswordExpiration için Azure AD parola ilkesi yönetilen bir etki alanıyla eşitlenir. Azure AD'da bir kullanıcıya DisablePasswordExpiration uygulandığında, yönetilen etki alanındaki eşitlenen kullanıcının UserAccountControl değeri DONT_EXPIRE_PASSWORD uygulanır.

Kullanıcılar Azure AD'da parolalarını sıfırladığında forceChangePasswordNextSignIn=True özniteliği uygulanır. Yönetilen etki alanı bu özniteliği Azure AD eşitler. Yönetilen etki alanı, Azure AD eşitlenmiş bir kullanıcı için forceChangePasswordNextSignIn algıladığında, yönetilen etki alanındaki pwdLastSet özniteliği 0 olarak ayarlanır ve bu durumda ayarlanmış olan parola geçersiz olur.

Evet. Yönetilen etki alanında 2 dakika içinde beş geçersiz parola denemesi, bir kullanıcı hesabının 30 dakika boyunca kilitlenmesine neden olur. 30 dakika sonra kullanıcı hesabının kilidi otomatik olarak açılır. Yönetilen etki alanında geçersiz parola denemeleri, Azure AD kullanıcı hesabını kilitlemez. Kullanıcı hesabı yalnızca Azure AD Etki Alanı Hizmetleri tarafından yönetilen etki alanınızda kilitlenir. Daha fazla bilgi için bkz. Yönetilen etki alanlarında parola ve hesap kilitleme ilkeleri.

Hayır. Azure AD Etki Alanı Hizmetleri kullanılırken Dağıtılmış Dosya Sistemi (DFS) ve çoğaltma kullanılamaz.

Yönetilen bir etki alanındaki etki alanı denetleyicileri gerekli Windows güncelleştirmelerini otomatik olarak uygular. Burada yapılandırabileceğiniz veya yönetecek bir şey yok. Windows Güncelleştirmeler giden trafiği engelleyen ağ güvenlik grubu kuralları oluşturmadığınızdan emin olun. Yönetilen etki alanına katılmış kendi VM'leriniz için gerekli işletim sistemi ve uygulama güncelleştirmelerini yapılandırmak ve uygulamak sizin sorumluluğunuzdadır.

Etki alanı denetleyicilerinin bakımı sırasında adlarında bir değişiklik olması mümkündür. Bu tür bir değişiklikle ilgili sorunları önlemek için, uygulamalarda ve/veya diğer etki alanı kaynaklarında sabit kodlanmış etki alanı denetleyicilerinin adlarını değil, etki alanının FQDN'sini kullanmanız önerilir. Bu şekilde, etki alanı denetleyicilerinin adları ne olursa olsun, bir ad değişikliğinden sonra hiçbir şeyi yeniden yapılandırmanız gerekmez.

Evet. Daha fazla bilgi edinmek için bkz. fiyatlandırma sayfası.

Azure AD Domain Services, Azure için ücretsiz deneme sürümüne dahildir. Azure'ın bir aylık ücretsiz deneme sürümüne kaydolabilirsiniz.

Hayır. Azure AD Domain Services yönetilen etki alanını etkinleştirdikten sonra, siz yönetilen etki alanını silene kadar hizmet seçili sanal ağınızda kullanılabilir. Hizmeti duraklatma imkanı yoktur. Siz yönetilen etki alanını silene kadar faturalama saatlik olarak devam eder.

Evet, yönetilen bir etki alanı için coğrafi dayanıklılık sağlamak için, Azure AD DS'yi destekleyen herhangi bir Azure bölgesinde eşlenmiş sanal ağa ek bir çoğaltma kümesi oluşturabilirsiniz. Çoğaltma kümeleri yönetilen etki alanıyla aynı ad alanını ve yapılandırmayı paylaşır.

Hayır. Azure AD Domain Services, kullandıkça öde azure hizmetidir ve EMS'nin bir parçası değildir. Azure AD Domain Services tüm Azure AD sürümleriyle kullanılabilir (Ücretsiz ve Premium). Kullanıma bağlı olarak saatlik olarak faturalandırılırsınız.

Hayır. Azure AD Etki Alanı Hizmetleri tek etki alanı, tek ormanlı bir tasarıma sahiptir ve alt etki alanları oluşturamazsınız.

Azure AD Etki Alanı Hizmetleri'nin kullanılabildiği Azure bölgelerinin listesini görmek için Bölgeye göre Azure Hizmetleri sayfasına bakın.

Sorun giderme

Azure AD Etki Alanı Hizmetleri'ni yapılandırma veya yönetme ile ilgili yaygın sorunların çözümleri için Sorun Giderme kılavuzuna bakın.

Sonraki adımlar

Azure AD Etki Alanı Hizmetleri hakkında daha fazla bilgi edinmek için bkz. Azure Active Directory Domain Services nedir?.

Başlamak için bkz. Azure Active Directory Domain Services yönetilen etki alanı oluşturma ve yapılandırma.