此頁面會回答有關 Azure Active Directory Domain Services 的常見問題。
組態
我可以針對單一 Azure AD 目錄建立多個受控網域嗎?
不可以。 您只能針對單一 Azure AD 目錄,建立由 Azure AD Domain Services 所服務的單一受控網域服務。
我可以在傳統虛擬網路中啟用 Azure AD Domain Services 嗎?
不支援傳統虛擬網路。
如需詳細資訊,請參閱官方淘汰通知。
是否可以啟用 Azure Resource Manager 虛擬網路中的 Azure AD 網域服務?
可以。 可以啟用 Azure Resource Manager 虛擬網路中的 Azure AD Domain Services。 當您建立受控網域時,將無法再使用傳統 Azure 虛擬網路。
是否可以在 Azure CSP (雲端方案提供者) 訂用帳戶中啟用 Azure AD Domain Services?
可以。 如需詳細資訊,請參閱如何在 Azure CSP 訂閱中啟用 Azure AD Domain Services。
我可以在同盟 Azure AD 目錄中啟用 Azure AD Domain Services 嗎? 我不要將密碼雜湊同步至 Azure AD。 我可以針對此目錄啟用 Azure AD Domain Services 嗎?
不會。 若要透過 NTLM 或 Kerberos 驗證使用者,Azure AD Domain Services 需要存取使用者帳戶的密碼雜湊。 在同盟目錄中,密碼雜湊不是儲存在 Azure AD 目錄中。 因此,Azure AD Domain Services 不適用於此類 Azure AD 目錄。
不過,如果您使用 Azure AD Connect 進行密碼雜湊同步處理,便可以使用 Azure AD Domain Services,因為密碼雜湊值會儲存在 Azure AD 中。
我可以在訂用帳戶內的多個虛擬網路中使用 Azure AD 網域服務嗎?
服務本身並不直接支援這種情況。 受控網域一次只能在一個虛擬網路上使用。 不過,您可以在多個虛擬網路之間設定連線,以將 Azure AD Domain Services 公開至其他虛擬網路。 如需詳細資訊,請參閱如何使用 VPN 閘道在Azure 中連線虛擬網路或虛擬網路對等互連。
我是否可以使用 PowerShell 來啟用「Azure AD 網域服務」?
可以。 如需詳細資訊,請參閱如何使用 PowerShell 啟用 Azure AD Domain Services。
是否可以使用 Resource Manager 範本啟用 Azure AD Domain Services?
是,您可以使用 Resource Manager 範本來建立 Azure AD Domain Services 受控網域。 部署範本之前,必須使用 Azure 入口網站或 Azure PowerShell 來建立管理用的服務主體和 Azure AD 群組。 如需詳細資訊,請參閱使用 Azure Resource Manager 範本建立 Azure AD DS 受控網域。 當您在 Azure 入口網站中建立 Azure AD Domain Services 受控網域時,也可以選擇匯出範本以搭配其他部署使用。
可以將網域控制站新增至 Azure AD 網域服務的受控網域嗎?
不會。 Azure Active Directory Domain Services 所提供的網域是受控網域。 您不需要佈建、設定或以其他方式管理此網域的網域控制站。 這些管理活動是 Microsoft 提供的服務。 因此,您無法為受控網域新增其他網域控制站 (讀取/寫入或唯讀)。
來賓使用者是否可以受邀到我目錄來使用 Azure AD Domain Services?
不會。 以 Azure AD B2B 邀請流程受邀到您 Azure AD 目錄的來賓使用者會同步至您的 Azure AD Domain Services 受控網域。 不過,這些使用者的密碼不會儲存在您的 Azure AD 目錄中。 因此,Azure AD Domain Services 無法將這些使用者的 NTLM 和 Kerberos 雜湊同步至您的受控網域。 這類使用者無法登入或將電腦加入受控網域。
Azure AD DS 與內部部署樹系之間是否可以建立雙向樹系信任?
不會。 受控網域最多可支援五個單向輸出樹系信任至內部部署樹系。
我可以移動受控網域嗎?
建立 Azure AD Domain Services 受控網域之後,您無法將其移至不同的訂用帳戶、資源群組或區域。 作為因應措施,您可以使用 PowerShell 或Azure 入口網站來刪除受控網域,並使用您想要的設定重新建立受控網域。 重新建立受控網域時,無法提供還原作業。
我可以重新命名現有的 Azure AD Domain Services 網域名稱嗎?
不會。 建立 Azure AD Domain Services 受控網域之後,您無法變更 DNS 網域名稱。 當您建立受控網域時,請謹慎選擇 DNS 網域名稱。 如需選擇 DNS 網域名稱時的注意事項,請參閱建立和設定 Azure AD Domain Services 受控網域的教學課程。
Azure AD Domain Services 是否包含高可用性選項?
可以。 每個 Azure AD Domain Services 受控網域會包括兩個網域控制站。 您無法管理或連線到這些網域控制站,它們是受管理服務的一部分。 如果您將 Azure AD Domain Services 部署到支援可用性區域的區域,網域控制站會分散到各區域。 在不支援可用性區域的區域中,網域控制站會分散到可用性設定組。 您沒有此分散方式的設定選項或管理控制項。 如需詳細資訊,請參閱 Azure 中虛擬機器的可用性選項。
管理和作業
我可以使用遠端桌面連線到我的受控網域的網域控制站嗎?
不會。 您沒有權限使用遠端桌面連線至受控網域上的網域控制站。 Azure AD DC Administrators群組的成員可以使用 AD 管理工具來管理受控網域,例如 Active Directory 管理中心 (ADAC) 或 AD PowerShell。 這些工具會使用「遠端伺服器管理工具」功能安裝在加入受控網域的 Windows 伺服器上。 如需詳細資訊,請參閱建立管理 VM 來設定及管理 Azure AD Domain Services 受控網域。
我已啟用 Azure AD Domain Services。 我應該使用哪一個使用者帳戶來將電腦加入此網域?
屬於受控網域的任何使用者帳戶都可以加入 VM。 Azure AD DC Administrators群組的成員會獲得已加入受控網域之電腦的遠端桌面存取權。
我有 Azure AD Domain Services 所提供的受控網域的網域系統管理員權限嗎?
不會。 您不會取得受控網域的系統管理權限。 您無法在網域內使用「網域系統管理員」和「企業系統管理員」權限。 在內部部署 Active Directory 中,網域系統管理員或企業系統管理員群組的成員也不會獲得受控網域的網域/企業系統管理員權限。
我可以在受控網域上使用 LDAP 或其他 AD 系統管理工具來修改群組成員資格嗎?
無法修改從 Azure Active Directory 同步至 Azure AD Domain Services 的使用者和群組,因為其來源是 Azure Active Directory。 這包括將使用者或群組從 AADDC 使用者受控組織單位移至自訂組織單位。 任何源自受控網域的使用者或群組都可以進行修改。
我對 Azure AD 目錄所做的變更要多久才會反映在我的受控網域中?
使用 Azure AD UI 或 PowerShell 在您 Azure AD 目錄中進行的變更會自動同步至您的受控網域。 這個同步處理程序會在背景執行。 此同步處理作業沒有定義的時間週期來完成所有物件變更。
可以擴充 Azure AD Domain Services 所提供之受控網域的結構描述嗎?
不會。 結構描述是由 Microsoft 針對受控網域進行管理。 Azure AD Domain Services 不支援結構描述延伸模組。
是否可以在受控網域中修改或新增 DNS 記錄?
可以。 Azure AD DC Administrators群組的成員獲授與DNS 系統管理員許可權,以修改受控網域中的 DNS 記錄。 這些使用者可以在加入受控網域且執行 Windows Server 的電腦上,使用 DNS 管理員主控台以管理 DNS。 若要使用 DNS 管理員主控台,請安裝「DNS 伺服器工具」,這是伺服器上的「遠端伺服器管理工具」選擇性功能的一部分。 如需詳細資訊,請參閱管理 Azure AD Domain Services 受控網域中的 DNS。
受控網域上的密碼存留期原則為何?
Azure AD Domain Services 受控網域上的預設密碼存留期為 90 天。 此密碼存留期不會與 Azure AD 中設定的密碼存留期同步。 因此,您可能會遇到使用者的密碼在您的受控網域中到期,但在 Azure AD 中卻仍然有效的情況。 在這種情況下,使用者必須變更他們在 Azure AD 中的密碼,而新密碼將會同步至您的受控網域。 如果您想要變更受控網域中的預設密碼存留期,您可以建立及設定自訂密碼原則。
此外,DisablePasswordExpiration 的 Azure AD 密碼原則會同步至受控網域。 當 DisablePasswordExpiration 套用至 Azure AD 中的使用者時,受控網域中已同步使用者的 UserAccountControl 值已套用 DONT_EXPIRE_PASSWORD。
當使用者在 Azure AD 中重設其密碼時,會套用 forceChangePasswordNextSignIn=True 屬性。 受控網域會從 Azure AD 同步此屬性。 當受控網域偵測到來自 Azure AD 的同步使用者已設定 forceChangePasswordNextSignIn 時,受控網域中的 pwdLastSet 屬性會設為 0,這會使目前設定的密碼失效。
Azure Active Directory Domain Services 是否提供 AD 帳戶鎖定保護?
可以。 2 分鐘內在受控網域中輸入不正確的密碼五次,即會導致使用者帳戶鎖定 30 分鐘。 30 分鐘後,使用者帳戶會自動解除鎖定。 在受控網域上輸入不正確的密碼,並不會鎖定 Azure AD 的使用者帳戶。 Azure AD Domain Services 受控網域內的使用者帳戶才會遭到鎖定。 如需詳細資訊,請參閱受控網域上的密碼和帳戶鎖定原則。
我可以在 Azure AD Domain Services 內設定分散式檔案系統和複寫嗎?
不會。 使用 Azure AD Domain Services 時,無法使用分散式檔案系統 (DFS) 和複寫。
如何在 Azure AD Domain Services 中套用 Windows 更新?
受控網域中的網域控制站會自動套用必要的 Windows 更新。 這裡沒有任何項目需要設定或管理。 請確保您沒有建立會封鎖 Windows 更新輸出流量的網路安全性群組規則。 針對您已加入受控網域的 VM,您必須負責設定及套用任何必要的 OS 和應用程式更新。
為什麼我的網域控制站會變更名稱?
在網域控制站的維護期間,其名稱可能會有所變更。 若要避免這類變更造成的問題,建議您不要使用在應用程式和/或其他網域資源中硬式編碼的網域控制站名稱,而是使用網域的 FQDN。 如此一來,不論網域控制站的名稱為何,您都不需要在名稱變更之後重新設定任何項目。
計費與可用性
Azure AD 網域服務是付費服務嗎?
可以。 如需詳細資訊,請參閱價格頁面。
是否可以免費試用服務?
Azure AD Domain Services 包括在 Azure 的免費試用中。 您可以註冊以 免費試用 Azure 一個月。
我能否暫停 Azure AD Domain Services 受控網域?
否。 啟用 Azure AD Domain Services 受控網域後,您選取的虛擬網路中即有該服務可供使用,直到您刪除受控網域為止。 無法暫停服務。 除非您刪除受控網域,否則會以每小時計費。
我可以針對 DR 事件將 Azure AD Domain Services 容錯移轉至另一個區域嗎?
是,若要為受控網域提供地理復原功能,您可以在任何支援 Azure AD DS 的 Azure 區域中針對對等式虛擬網路建立額外的複本集。 複本集會與受控網域共用相同的命名空間和設定。
我可以從 Enterprise Mobility Suite (EMS) 中取得 Azure AD 網域服務嗎? 我是否需要 Azure AD Premium 才能使用 Azure AD 網域服務?
不會。 Azure AD Domain Services 是隨用隨付的 Azure 服務,並不是 EMS 的一部分。 Azure AD Domain Services 可以與所有 Azure AD 版本 (免費及進階) 搭配使用。 計費方式是每小時依據使用量計費。
我可以在受控網域下建立子網域嗎?
不會。 Azure AD Domain Services 的設計是單一網域、單一樹系,無法建立子網域。
哪些 Azure 區域有可用的服務?
請參閱依區域提供的 Azure 服務頁面,以查看可使用 Azure AD 網域服務的 Azure 區域清單。
疑難排解
關於 Azure AD Domain Services 在設定或管理上常見問題的解決方案,請參閱疑難排解指南。
後續步驟
若要深入了解 Azure AD Domain Services,請參閱什麼是 Azure Active Directory Domain Services?。
如要開始使用,請參閱建立並設定 Azure Active Directory Domain Services 受控網域。