此頁面提供關於 Microsoft Entra Domain Services 常見問題集的解答。
組態
是否可以針對單一 Microsoft Entra 目錄建立多個受控網域?
不可以。 您只能針對單一 Microsoft Entra 目錄,建立由 Microsoft Entra Domain Services 服務的單一受控網域服務。
是否可以在傳統虛擬網路中啟用 Microsoft Entra Domain Services?
不支援傳統虛擬網路。
如需詳細資訊,請參閱官方淘汰通知 (英文)。
是否可以在 Azure Resource Manager 虛擬網路中啟用 Microsoft Entra Domain Services?
可以。 可以在 Azure Resource Manager 虛擬網路中啟用 Microsoft Entra Domain Services。 建立受控網域後,無法再使用傳統 Azure 虛擬網路。
是否可以在 Azure CSP (雲端解決方案提供者) 訂用帳戶中啟用 Microsoft Entra Domain Services?
可以。 如需詳細資訊,請參閱<如何在 Azure CSP 訂用帳戶中啟用 Microsoft Entra Domain Services>(機器翻譯)。
是否可以在訂用帳戶內的多個虛擬網路中使用 Microsoft Entra Domain Services?
該服務本身並不直接支援這種情況。 受控網域一次只能在一個虛擬網路上使用。 不過,您可以在多個虛擬網路之間設定連線,將 Microsoft Entra Domain Services 公開至其他虛擬網路。 如需詳細資訊,請參閱<如何使用 VPN 閘道在 Azure 中連線虛擬網路>(機器翻譯) 或<虛擬網路對等互連>。
是否可以將網域控制站新增至 Microsoft Entra Domain Services 受控網域?
不可以。 Microsoft Entra Domain Services 所提供的網域是受控網域。 您不需要佈建、設定或以其他方式管理此網域的網域控制站。 這些管理活動是 Microsoft 提供的服務。 因此,您無法為受控網域新增更多網域控制站 (讀寫或唯讀)。
若 Azure 區域離線,是否可以將受控網域擴展至不同 Azure 區域進行應用程式復原?
可以。
您可以建立與受控網域共用相同命名空間和組態的複本集。
您可以將複本集新增至任何支援 Domain Services 之 Azure 區域中的對等互連虛擬網路。
如需詳細資訊,請參閱<Microsoft Entra Domain Services 的複本集概念及功能>。
是否可在不進行密碼雜湊同步處理的狀況下,於同盟 Microsoft Entra 目錄中啟用 Microsoft Entra Domain Services?
不可以。 若要透過 NTLM 或 Kerberos 驗證使用者,則 Microsoft Entra Domain Services 需要存取使用者帳戶的密碼雜湊。 在同盟目錄中,密碼雜湊並非儲存在 Microsoft Entra 目錄中。 因此,Microsoft Entra Domain Services 不適用於此類 Microsoft Entra 目錄。
不過,若使用 Microsoft Entra Connect 進行密碼雜湊同步處理,由於密碼雜湊值會儲存在 Microsoft Entra ID 中,因此便能使用 Microsoft Entra Domain Services。
是否可以使用 PowerShell 啟用 Microsoft Entra Domain Services?
可以。 如需詳細資訊,請參閱<如何使用 PowerShell 啟用 Microsoft Entra Domain Services>。
是否可以使用 Resource Manager 範本啟用 Microsoft Entra Domain Services?
可以,您可使用 Resource Manager 範本建立 Microsoft Entra Domain Services 受控網域。 部署範本之前,必須使用 Microsoft Entra 系統管理中心或 PowerShell 來建立用於管理的服務主體和 Microsoft Entra 群組。 在 Microsoft Entra 系統管理中心建立 Microsoft Entra Domain Services 受控網域時,也可以選擇匯出範本以搭配其他部署使用。 如需詳細資訊,請參閱<使用 Azure Resource Manager 範本建立 Domain Services 受控網域>(機器翻譯)。
受邀至目錄的來賓使用者是否可以使用 Microsoft Entra Domain Services?
不可以。 以 Microsoft Entra B2B 邀請流程受邀到 Microsoft Entra 目錄的來賓使用者會同步至您的 Microsoft Entra Domain Services 受控網域。 不過,這些使用者的密碼不會儲存在您的 Microsoft Entra 目錄中。 因此,Microsoft Entra Domain Services 無法將這些使用者的 NTLM 和 Kerberos 雜湊同步至您的受控網域。 這類使用者無法登入或將電腦加入受控網域。
是否可以在 Domain Services 與內部部署樹系之間建立雙向樹系信任?
可以,您可以建立雙向信任, 也可以建立單向連出信任或單向連入信任,以在不同情況下支援使用者驗證與存取。 如需詳細資訊,請參閱<建立樹系信任>。
Domain Services 是否支援利用內部部署子網域建立外部信任?
Domain Services 目前僅支援樹系信任,並未支援外部網域信任。
我是否可以移動受控網域?
建立 Domain Services 受控網域後,便無法將其移至不同的訂用帳戶、資源群組或區域。 若要變更區域,可能的因應措施為在要移轉至的區域中部署新複本集。 完成後,請刪除區域中的不需要的複本集。 針對其餘設定,因應措施可為使用 PowerShell 或 Microsoft Entra 系統管理中心來刪除受控網域,並使用想要的設定重新建立受控網域。 重新建立受控網域時,無法提供還原作業。
是否可以重新命名現有的 Microsoft Entra Domain Services 網域名稱?
不可以。 建立 Microsoft Entra Domain Services 受控網域之後,您將無法變更 DNS 網域名稱。 建立受控網域時,請謹慎選擇 DNS 網域名稱。 有關選擇 DNS 網域名稱時的注意事項,請參閱<建立和設定 Microsoft Entra Domain Services 受控網域的教學課程>。
Microsoft Entra Domain Services 是否包含高可用性選項?
包含。 每個 Microsoft Entra Domain Services 受控網域都會包括兩個網域控制站。 您無法管理或連線到這些網域控制站,它們是受管理的服務的一部分。 若將 Microsoft Entra Domain Services 部署到支援可用性區域的區域,網域控制站將會分散到各區域。 在不支援可用性區域的區域中,網域控制站會分散到可用性設定組。 您沒有此分散方式的設定選項或管理控制項。 如需詳細資訊,請參閱<Azure 中虛擬機器的可用性選項>(機器翻譯)。
管理和作業
我是否可以使用遠端桌面連線到我的受控網域的網域控制站?
不包含。 您沒有權限使用遠端桌面連線至受控網域的網域控制站。 Microsoft Entra DC 管理員群組的成員可以使用 AD 管理工具,例如 Active Directory 管理中心 (ADAC) 或 AD PowerShell 來管理受控網域。 這些工具會使用遠端伺服器管理工具功能安裝在加入受控網域的 Windows 伺服器上。 如需詳細資訊,請參閱<建立管理 VM 來設定和管理 Microsoft Entra Domain Services 受控網域>。
我已啟用 Microsoft Entra Domain Services。 我應該使用哪一個使用者帳戶來將電腦加入此網域?
屬於受控網域的任何使用者帳戶都可以加入 VM。 Microsoft Entra DC 管理員群組的成員會獲得已加入受控網域之電腦的遠端桌面存取權限。
可加入網域的電腦數目是否有任何配額?
已加入網域的電腦並無 Domain Services 配額。
已加入受控網域的虛擬機器 (VM) 如何同步時間?
在 Azure 上執行的 VM 會與 Azure 主機同步,以確保時間準確無虞。 在內部部署執行的非 Azure VM 需要設定 Windows Time Services,才能如同已加入網域的 VM,與外部 NTP 時間來源同步。 如需詳細資訊,請參閱<在 Azure 中設定 Active Directory Windows 虛擬機器的時間機制>(英文)。
我是否有 Microsoft Entra Domain Services 所提供之受控網域的網域管理員權限?
不包含。 您不會取得受控網域的管理權限。 您無法在網域內使用網域管理員和企業管理員權限。 在內部部署 Active Directory 中,網域管理員或企業管理員群組的成員也不會獲得受控網域的網域/企業管理員權限。
我是否可以在受控網域上使用 LDAP 或其他 AD 管理工具來修改群組成員資格?
由於其來源為 Microsoft Entra ID,因此無法修改從 Microsoft Entra ID 同步至 Microsoft Entra Domain Services 的使用者及群組。 這包括將使用者或群組從 AADDC 使用者受控組織單位移至自訂組織單位。 任何源自受控網域的使用者或群組都可以進行修改。
是否可以在受控網域中授權 DHCP 伺服器?
不可以。 必須具有網域管理成員資格,才能授權受控網域中不可用的 DHCP 伺服器。
針對 Microsoft Entra 目錄所做的變更多久才會反映於受控網域中?
使用 Microsoft Entra UI 或 PowerShell 在 Microsoft Entra 目錄中進行的變更,會自動同步至您的受控網域。 這個同步處理程序會在背景中執行。 此同步處理作業沒有定義的時間週期來完成所有物件變更。
是否可以擴充 Microsoft Entra Domain Services 所提供之受控網域的結構描述?
不可以。 結構描述是由 Microsoft 針對受控網域進行管理。 Microsoft Entra Domain Services 不支援結構描述延伸模組。
是否可以在受控網域中修改或新增 DNS 記錄?
可以。 Microsoft Entra DC 管理員群組的成員會獲得DNS 管理權限,以在受控網域中修改 DNS 記錄。 這些使用者可以在加入受控網域且執行 Windows Server 的電腦上,使用 DNS 管理員主控台來管理 DNS。 若要使用 DNS 管理員主控台,請安裝DNS 伺服器工具,這是伺服器上的遠端伺服器管理工具選用功能的一部分。 如需詳細資訊,請參閱<管理 Microsoft Entra Domain Services 受控網域中的 DNS>。
受控網域上的密碼存留期原則為何?
Microsoft Entra Domain Services 受控網域上的預設密碼存留期為 90 天。 此密碼存留期不會與 Microsoft Entra ID 中設定的密碼存留期同步。 因此,您可能會遇到使用者的密碼在您的受控網域中到期,但在 Microsoft Entra ID 中卻仍然有效的情況。 在這種情況下,使用者需要變更其在 Microsoft Entra ID 中的密碼,而新密碼將會同步至您的受控網域。 若想變更受控網域中的預設密碼存留期,您可以建立及設定自訂密碼原則。
此外,DisablePasswordExpiration 的 Microsoft Entra 密碼原則會同步至受控網域。 DisablePasswordExpiration 套用至 Microsoft Entra ID 中的使用者時,受控網域中已同步使用者的 UserAccountControl 值已套用 DONT_EXPIRE_PASSWORD。
當使用者在 Microsoft Entra ID 中重設其密碼時,會套用 forceChangePasswordNextSignIn=True 屬性。 受控網域會從 Microsoft Entra ID 同步此屬性。 受控網域偵測到來自 Microsoft Entra ID 的同步使用者已設定 forceChangePasswordNextSignIn 後,受控網域中的 pwdLastSet 屬性會設為 0,使目前設定的密碼失效。
Microsoft Entra Domain Services 是否提供 AD 帳戶鎖定保護?
提供。 2 分鐘內在受控網域中輸入不正確的密碼五次,即會導致使用者帳戶鎖定 30 分鐘。 30 分鐘後,使用者帳戶會自動解除鎖定。 在受控網域上輸入不正確的密碼,並不會鎖定 Microsoft Entra ID 中的使用者帳戶。 Microsoft Entra Domain Services 受控網域內的使用者帳戶才會遭到鎖定。 如需詳細資訊,請參閱<受控網域上的密碼和帳戶鎖定原則>。
是否可以在 Microsoft Entra Domain Services 內設定分散式檔案系統和複寫?
不可以。 使用 Microsoft Entra Domain Services 時,無法使用分散式檔案系統 (DFS) 和複寫。
如何在 Microsoft Entra Domain Services 中套用 Windows 更新?
受控網域中的網域控制站會自動套用必要的 Windows 更新。 這裡沒有任何項目需要設定或管理。 請確保您沒有建立會封鎖 Windows 更新輸出流量的網路安全性群組規則。 針對您已加入受控網域的 VM,您必須負責設定及套用任何必要的作業系統和應用程式更新。
是否應該移除輸出網路安全性群組 (NSG) 中的 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 標籤?
隨著 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 標籤的淘汰,Microsoft Entra Domain Services 不再建議將這些標籤新增至輸出網際網路流量。 如果使用預設的 AllowInternetOutBound 規則(優先順序為 65001),則不需要進行任何變更(具有或沒有 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 標籤)。 如果移除預設的 AllowInternetOutBound 規則(優先順序為 65001),或在它前面加上拒絕的 InternetOutBound 規則,請使用防火牆來利用 WindowsUpdate FQDN 篩選輸出 Windows Update 流量,而不是限制 InternetOutBound。 此步驟對於 Microsoft Entra Domain Services 繼續接收 Windows 更新至關重要。 如需詳細資訊,請參閱<AzureUpdateDelivery 服務標籤的變更>(英文)。
Microsoft Entra Domain Services 會將客戶資料儲存於哪裡?
Microsoft Entra Domain Services 會儲存客戶資料。 依預設,客戶資料會保留在部署服務執行個體的區域內。 客戶可利用複本集將資料儲存在其他區域中。
如何針對屬於受控網域的網域控制站進行修補?
在每月第二個星期二,修補程式會在可用時立即安裝。 自星期二開始,修補程式會在可供使用後的一週內分階段安裝。
為什麼我的網域控制站會變更名稱?
在網域控制站的維護期間,其名稱可能會有所變更。 若要避免這類變更造成的問題,建議不要使用在應用程式及/或其他網域資源中硬式編碼的網域控制站名稱,而是網域的 FQDN。 如此一來,不論網域控制站的名稱為何,您都不需要在名稱變更之後重新設定任何項目。
受控網域中 KRBTGT 帳戶的密碼是否會定期變更? 若是,其頻率為何?
受控網域中 KRBTGT 帳戶的密碼會每 7 天變更一次。
計費與可用性
Microsoft Entra Domain Services 是否為付費服務?
提供。 如需詳細資訊,請參閱定價頁面。
是否可以免費試用服務?
Microsoft Entra Domain Services 包括在 Azure 的免費試用中。 您可以註冊以 免費試用 Azure 一個月。
是否可以暫停 Microsoft Entra Domain Services 受控網域?
不可以。 啟用 Microsoft Entra Domain Services 受控網域後,您選取的虛擬網路中即有該服務可供使用,直到您刪除受控網域為止。 無法暫停服務。 除非您刪除受控網域,否則會以每小時計費。
針對災害復原事件,是否可以將 Microsoft Entra Domain Services 容錯移轉至另一個區域?
可以,若要為受控網域提供地理復原功能,您可以在任何支援 Domain Services 的 Azure 區域中針對對等式虛擬網路建立其他複本集。 複本集會與受控網域共用相同的命名空間和設定。
是否可以從 Enterprise Mobility Suite (EMS) 中取得 Microsoft Entra Domain Services? 是否需要 Microsoft Entra ID P1 或 P2 才能使用 Microsoft Entra Domain Services?
不可以。 Microsoft Entra Domain Services 是隨用隨付的 Azure 服務,並不是 EMS 的一部分。 Microsoft Entra Domain Services 可以與所有 Microsoft Entra ID 版本 (免費及進階版) 搭配使用。 計費方式是每小時依據使用量計費。
我可以在受控網域下建立子網域嗎?
不可以。 Microsoft Entra Domain Services 採取單一網域、單一樹系設計,無法建立子網域。
哪些 Azure 區域提供此服務?
請參閱依區域提供的 Azure 服務頁面,以查看可使用 Microsoft Entra Domain Services 的 Azure 區域清單。
疑難排解
關於 Azure AD Domain Services 在設定或管理上常見問題的解決方案,請參閱疑難排解指南。
下一步
若要了解有關 Microsoft Entra Domain Services 的詳細資訊,請參閱<什麼是 Microsoft Entra Domain Services?>。