關於 Microsoft Entra Domain Services 的常見問題 （常見問題）

否。 您只能為單一 Microsoft Entra 目錄建立由 Microsoft Entra Domain Services 服務的單一受控網域。

不支援傳統虛擬網路。

如需詳細資訊，請參閱 正式淘汰通知。

是。 您可以在 Azure Resource Manager 虛擬網路中啟用 Microsoft Entra Domain Services。 當您建立受控網域時，就無法再使用傳統 Azure 虛擬網路。

是。 如需詳細資訊，請參閱 如何在 Azure CSP 訂用帳戶中啟用 Microsoft Entra Domain Services。

否。 若要透過NTLM或 Kerberos 驗證使用者，Microsoft Entra Domain Services 需要存取使用者帳戶的密碼哈希。 在同盟目錄中，密碼哈希不會儲存在 Microsoft Entra 目錄中。 因此，Microsoft Entra Domain Services 不適用於這類 Microsoft Entra 目錄。

不過，如果您使用 Microsoft Entra 連線 進行密碼哈希同步處理，您可以使用 Microsoft Entra Domain Services，因為密碼哈希值會儲存在 Microsoft Entra ID 中。

服務本身並不直接支援此案例。 您的受控網域一次只能在一個虛擬網路中使用。 不過，您可以設定多個虛擬網路之間的連線，以將 Microsoft Entra Domain Services 公開給其他虛擬網路。 如需詳細資訊，請參閱 如何使用 VPN 閘道 或 虛擬網路對等互連來連線 Azure 中的虛擬網路。

是。 如需詳細資訊，請參閱 如何使用PowerShell啟用 Microsoft Entra Domain Services。

是，您可以使用 Resource Manager 範本建立 Microsoft Entra Domain Services 受控網域。 部署範本之前，必須先使用 Microsoft Entra 系統管理中心或 PowerShell 建立服務主體和 Microsoft Entra 群組以進行系統管理。 當您在 Microsoft Entra 系統管理中心建立 Microsoft Entra Domain Services 受控網域時，您也可以選擇匯出範本以與其他部署搭配使用。 如需詳細資訊，請參閱 使用 Azure Resource Manager 範本建立 Domain Services 受控網域。

否。 Microsoft Entra Domain Services 所提供的網域是受控網域。 您不需要布建、設定或管理此網域的域控制器。 Microsoft 會以服務的形式提供這些管理活動。 因此，您無法為受控網域新增更多域控制器（讀寫或只讀）。

否。 使用 Microsoft Entra B2B 邀請程式邀請加入 Microsoft Entra 目錄的來賓使用者會同步處理到您的 Microsoft Entra Domain Services 受控網域。 不過，這些用戶的密碼不會儲存在您的 Microsoft Entra 目錄中。 因此，Microsoft Entra Domain Services 無法將這些使用者的 NTLM 和 Kerberos 哈希同步處理到受控網域。 這類用戶無法登入或將計算機加入受控網域。

是，您可以建立雙向信任。 您也可以建立單向傳出信任或單向連入信任，以支援使用者驗證和存取的不同案例。 如需詳細資訊，請參閱 建立樹系信任。

Domain Services 目前僅支援樹系信任，且不支援外部網域信任。

建立 Domain Services 受控網域之後，就無法將它移至不同的訂用帳戶、資源群組或區域。 因應措施是，您可以使用 PowerShell或 Microsoft Entra 系統管理中心來刪除受控網域 ，並使用您想要的設定重新建立它。 重新建立受控網域時，無法提供還原作業。

否。 建立 Microsoft Entra Domain Services 受控網域之後，就無法變更 DNS 功能變數名稱。 當您建立受控網域時，請仔細選擇 DNS 功能變數名稱。 如需選擇 DNS 功能變數名稱時的考慮，請參閱 建立及設定 Microsoft Entra Domain Services 受控網域的教學課程。

是。 每個 Microsoft Entra Domain Services 受控網域都包含兩個域控制器。 您不會管理或連線到這些域控制器，它們是受控服務的一部分。 如果您將 Microsoft Entra Domain Services 部署到支援 可用性區域 的區域，域控制器會分散到各個區域。 在不支援 可用性區域 的區域，域控制器會分散到可用性設定組。 您對此散發沒有設定選項或管理控制權。 如需詳細資訊，請參閱 Azure 中虛擬機的可用性選項。

否。 您沒有使用遠端桌面連線到受控網域域控制器的許可權。 Microsoft Entra DC 管理員 istrators 群組的成員可以使用 Ad 管理工具來管理受控網域，例如 Active Directory 管理員 istration Center （ADAC） 或 AD PowerShell。 這些工具是使用已加入受控網域之 Windows 伺服器上的遠端伺服器 管理員 istration Tools 功能來安裝。 如需詳細資訊，請參閱 建立管理 VM 以設定和管理 Microsoft Entra Domain Services 受控網域。

屬於受控網域的任何用戶帳戶都可以加入 VM。 Microsoft Entra DC 管理員 istrators 群組的成員會獲得已加入受控網域之計算機的遠端桌面存取權。

已加入網域的機器在網域服務中沒有配額。

在 Azure 上執行的 VM 會與 Azure 主機同步，以取得高度精確的時間。 在內部部署執行的非 Azure VM 必須設定 Windows Time Services，才能與外部 NTP 時間來源進行同步處理，類似於已加入網域的 VM。 如需詳細資訊，請參閱在 Azure 中設定 Active Directory Windows 虛擬機器 的時間機制。

否。 您未獲授與受控網域的系統管理許可權。 網域 管理員 istrator 和 Enterprise 管理員 istrator 許可權無法供您在網域內使用。 您 內部部署的 Active Directory中的網域系統管理員或企業系統管理員群組成員也未獲授與受控網域的網域/企業系統管理員許可權。

無法修改從 Microsoft Entra 識別符同步處理至 Microsoft Entra Domain Services 的使用者和群組，因為其來源來源為 Microsoft Entra ID。 這包括將使用者或群組從 AADDC Users 受控組織單位移至自定義組織單位。 任何源自受控網域的使用者或群組都可以修改。

否。 需要網域 管理員 成員資格，才能授權受控網域中無法使用的 DHCP 伺服器。

使用 Microsoft Entra UI 或 PowerShell 在 Microsoft Entra 目錄中所做的變更會自動同步處理到您的受控網域。 此同步處理程式會在背景執行。 此同步處理沒有定義的時間週期，無法完成所有物件變更。

否。 架構是由 Microsoft 為受控網域所管理。 Microsoft Entra Domain Services 不支援架構延伸模組。

是。 Microsoft Entra DC 管理員 istrators 群組的成員會獲得 DNS 管理員 istrator 許可權，以修改受控網域中的 DNS 記錄。 這些使用者可以在執行已加入受控網域的 Windows Server 電腦上使用 DNS 管理員控制台來管理 DNS。 若要使用 DNS 管理員控制台，請在伺服器上安裝 DNS 伺服器工具，這是遠端伺服器 管理員 管理工具選用功能的一部分。 如需詳細資訊，請參閱在 Microsoft Entra Domain Services 受控網域中 管理員 註冊 DNS。

Microsoft Entra Domain Services 受控網域的默認密碼存留期為 90 天。 此密碼存留期不會與 Microsoft Entra ID 中設定的密碼存留期同步。 因此，您可能會有用戶密碼在受控網域中過期，但仍在 Microsoft Entra ID 中有效的情況。 在這種情況下，用戶必須在 Microsoft Entra ID 中變更其密碼，而新的密碼將會同步處理到您的受控網域。 如果您想要變更受控網域中的預設密碼存留期，您可以 建立及設定自訂密碼原則。

此外，DisablePasswordExpiration 的 Microsoft Entra 密碼原則會同步處理至受控網域。 當 DisablePasswordExpiration 套用至 Microsoft Entra ID 中的使用者時， 受控網域中已同步處理使用者的 UserAccountControl 值已 套用DONT_EXPIRE_PASSWORD 。

當使用者在 Microsoft Entra ID 中重設其密碼時， 會套用 forceChangePasswordNextSignIn=True 屬性。 受控網域會從 Microsoft Entra ID 同步處理此屬性。 當受控網域偵測到 forceChangePasswordNextSignIn 是針對 Microsoft Entra ID 同步處理的用戶設定時， 受控網域中的 pwdLastSet 屬性會設定為 0，這會使目前設定的密碼失效。

是。 在受控網域的 2 分鐘內，有五次無效的密碼嘗試導致用戶帳戶遭到鎖定 30 分鐘。 30 分鐘之後，用戶帳戶會自動解除鎖定。 受控網域上的密碼嘗試無效，不會鎖定 Microsoft Entra 識別碼中的用戶帳戶。 用戶帳戶只會鎖定在您的 Microsoft Entra Domain Services 受控網域內。 如需詳細資訊，請參閱 受控網域上的密碼和帳戶鎖定原則。

否。 使用 Microsoft Entra Domain Services 時，無法使用分散式文件系統 （DFS） 和複寫。

受控網域中的域控制器會自動套用必要的 Windows 更新。 您在這裡沒有設定或管理任何專案。 請確定您未建立封鎖 Windows 更新 輸出流量的網路安全組規則。 針對已加入受控網域的您自己的 VM，您必須負責設定及套用任何必要的 OS 和應用程式更新。

Microsoft Entra Domain Services 會儲存客戶數據。 根據預設，客戶數據會保留在部署服務實例的區域。 客戶可以使用副本集將數據儲存在其他區域中。

一旦修補程式可供使用，就會立即安裝修補程式（每秒星期二）。 從星期二開始，它們會分階段安裝。

在域控制器維護期間，其名稱可能會有所變更。 為了避免這類變更發生問題，建議您不要使用在應用程式和/或其他網域資源中硬式編碼的域控制器名稱，而是使用網域的 FQDN。 如此一來，無論域控制器的名稱為何，您都不需要在名稱變更之後重新設定任何專案。

受控網域中 KRBTGT 帳戶的密碼會每隔 7 天變換一次。

是。 如需詳細資訊，請參閱價格網頁。

Microsoft Entra Domain Services 隨附於 Azure 的免費試用版中。 您可以註冊 Azure 的免費一個月試用版。

否。 啟用 Microsoft Entra Domain Services 受控網域之後，服務就會在您刪除受控網域之前，在您選取的虛擬網路內提供該服務。 無法暫停服務。 計費會每小時繼續，直到您刪除受控網域為止。

是，若要為受控網域提供地理復原功能，您可以在任何支援 Domain Services 的 Azure 區域中，建立另一個 復本集 至對等互連的虛擬網路。 復本集與受控網域共用相同的命名空間和組態。

否。 Microsoft Entra Domain Services 是隨用隨付 Azure 服務，不屬於 EMS 的一部分。 Microsoft Entra Domain Services 可以搭配所有版本的 Microsoft Entra ID 使用（免費和 進階版）。 視使用量而定，您每小時會向您收取費用。

否。 Microsoft Entra Domain Services 具有單一網域、單一樹系設計，而且您無法建立子域。

請參閱依區域排序的 Azure 服務頁面，以查看 Microsoft Entra Domain Services 可供使用的 Azure 區域清單。

疑難排解

如需 設定或管理 Azure AD Domain Services 常見問題的解決方案，請參閱疑難解答指南 。

下一步

若要深入瞭解 Microsoft Entra Domain Services，請參閱 什麼是 Microsoft Entra Domain Services？。

若要開始使用，請參閱 建立及設定 Microsoft Entra Domain Services 受控網域。