關於 Microsoft Entra Domain Services 的常見問題集 (FAQ)

否。 您只能針對單一 Microsoft Entra 目錄，建立由 Microsoft Entra Domain Services 所服務的單一受控網域服務。

不支援傳統虛擬網路。

如需詳細資訊，請參閱官方淘汰通知。

是。 可以在 Azure Resource Manager 虛擬網路中啟用 Microsoft Entra Domain Services。 當您建立受控網域時，將無法再使用傳統 Azure 虛擬網路。

是。 如需詳細資訊，請參閱如何在 Azure CSP 訂閱中啟用 Microsoft Entra Domain Services。

服務本身並不直接支援這種情況。 受控網域一次只能在一個虛擬網路上使用。 不過，您可以在多個虛擬網路之間設定連線，以將 Microsoft Entra Domain Services 公開至其他虛擬網路。 如需詳細資訊，請參閱如何使用 VPN 閘道在Azure 中連線虛擬網路或虛擬網路對等互連。

否。 Microsoft Entra Domain Services 所提供的網域是受控網域。 您不需要佈建、設定或以其他方式管理此網域的網域控制站。 這些管理活動是 Microsoft 提供的服務。 因此，您無法為受控網域新增更多網域控制站 (讀取/寫入或唯讀)。

是。 您可以建立與受控網域共用相同命名空間和設定的複本集。 您可以將複本集新增至任何支援 Domain Services 之 Azure 區域中的對等互連虛擬網路。
如需詳細資訊，請參閱 Microsoft Entra Domain Services 的複本集概念及功能。

否。 若要透過 NTLM 或 Kerberos 驗證使用者，則 Microsoft Entra Domain Services 需要存取使用者帳戶的密碼雜湊。 在同盟目錄中，密碼雜湊並非儲存在 Microsoft Entra 目錄中。 因此，Microsoft Entra Domain Services 不適用於此類 Microsoft Entra 目錄。

不過，若使用 Microsoft Entra Connect 進行密碼雜湊同步處理，由於密碼雜湊值會儲存在 Microsoft Entra ID 中，因此便能使用 Microsoft Entra Domain Services。

是。 如需詳細資訊，請參閱如何使用 PowerShell 啟用 Microsoft Entra Domain Services。

是的，您可使用 Resource Manager 範本建立 Microsoft Entra Domain Services 受控網域。 部署範本之前，必須使用 Microsoft Entra 系統管理中心或 PowerShell 來建立用於管理的服務主體和 Microsoft Entra 群組。 在 Microsoft Entra 系統管理中心建立 Microsoft Entra Domain Services 受控網域時，也可以選擇匯出範本以搭配其他部署使用。 如需詳細資訊，請參閱使用 Azure Resource Manager 範本建立 Domain Services 受控網域。

否。 以 Microsoft Entra B2B 邀請流程受邀到您 Microsoft Entra 目錄的來賓使用者會同步至您的 Microsoft Entra Domain Services 受控網域。 不過，這些使用者的密碼不會儲存在您的 Microsoft Entra 目錄中。 因此，Microsoft Entra Domain Services 無法將這些使用者的 NTLM 和 Kerberos 雜湊同步至您的受控網域。 這類使用者無法登入或將電腦加入受控網域。

是的，您可以建立雙向信任， 也可以建立單向連出信任或單向連入信任，以在不同情況下支援使用者驗證與存取。 如需詳細資訊，請參閱建立樹系信任。

Domain Services 目前僅支援樹系信任，並未支援外部網域信任。

建立 Domain Services 受控網域後，便無法將其移至不同的訂用帳戶、資源群組或區域。 若要變更區域，可能的因應措施為在要移轉至的區域中部署新複本集。 完成後，請刪除區域中的不需要的複本集。 針對其餘設定，因應措施可為使用 PowerShell 或 Microsoft Entra 系統管理中心來刪除受控網域，並使用想要的設定重新建立受控網域。 重新建立受控網域時，無法提供還原作業。

否。 建立 Microsoft Entra Domain Services 受控網域之後，您將無法變更 DNS 網域名稱。 當您建立受控網域時，請謹慎選擇 DNS 網域名稱。 有關選擇 DNS 網域名稱時的注意事項，請參閱建立和設定 Microsoft Entra Domain Services 受控網域的教學課程。

是。 每個 Microsoft Entra Domain Services 受控網域都會包括兩個網域控制站。 您無法管理或連線到這些網域控制站，它們是受管理服務的一部分。 若將 Microsoft Entra Domain Services 部署到支援可用性區域的區域，網域控制站將會分散到各區域。 在不支援可用性區域的區域中，網域控制站會分散到可用性設定組。 您沒有此分散方式的設定選項或管理控制項。 如需詳細資訊，請參閱 Azure 中虛擬機器的可用性選項。

否。 您沒有權限使用遠端桌面連線至受控網域上的網域控制站。 「Microsoft Entra DC 系統管理員」群組的成員可以使用 AD 系統管理工具，例如 Active Directory 管理中心 (ADAC) 或 AD PowerShell 來管理受控網域。 這些工具會使用「遠端伺服器管理工具」功能安裝在加入受控網域的 Windows 伺服器上。 如需詳細資訊，請參閱建立管理 VM 來設定及管理 Microsoft Entra Domain Services 受控網域。

屬於受控網域的任何使用者帳戶都可以加入 VM。 「Microsoft Entra DC 系統管理員」群組的成員會獲得已加入受控網域之電腦的遠端桌面存取權限。

已加入網域的機器並無 Domain Services 配額。

在 Azure 上執行的 VM 會與 Azure 主機同步，以確保時間準確無虞。 在內部部署執行的非 Azure VM 必須設定 Windows Time Services，才能如同已加入網域的 VM，與外部 NTP 時間來源同步。 如需詳細資訊，請參閱在 Azure 中設定 Active Directory Windows 虛擬機器的時間機制。

否。 您不會取得受控網域的系統管理權限。 您無法在網域內使用「網域系統管理員」和「企業系統管理員」權限。 在內部部署 Active Directory 中，網域系統管理員或企業系統管理員群組的成員也不會獲得受控網域的網域/企業系統管理員權限。

由於其來源為 Microsoft Entra ID，因此無法修改從 Microsoft Entra ID 同步至 Microsoft Entra Domain Services 的使用者及群組。 這包括將使用者或群組從 AADDC 使用者受控組織單位移至自訂組織單位。 任何源自受控網域的使用者或群組都可以進行修改。

否。 必須具有網域管理成員資格，才能授權受控網域中不可用的 DHCP 伺服器。

使用 Microsoft Entra UI 或 PowerShell 在您 Microsoft Entra 目錄中進行的變更，會自動同步至您的受控網域。 這個同步處理程序會在背景執行。 此同步處理作業沒有定義的時間週期來完成所有物件變更。

否。 結構描述是由 Microsoft 針對受控網域進行管理。 Microsoft Entra Domain Services 不支援結構描述延伸模組。

是。 「Microsoft Entra DC 系統管理員」群組的成員會獲得「DNS 系統管理」權限，以在受控網域中修改 DNS 記錄。 這些使用者可以在加入受控網域且執行 Windows Server 的電腦上，使用 DNS 管理員主控台以管理 DNS。 若要使用 DNS 管理員主控台，請安裝「DNS 伺服器工具」，這是伺服器上的「遠端伺服器管理工具」選擇性功能的一部分。 如需詳細資訊，請參閱管理 Microsoft Entra Domain Services 受控網域中的 DNS。

Microsoft Entra Domain Services 受控網域上的預設密碼存留期為 90 天。 此密碼存留期不會與 Microsoft Entra ID 中設定的密碼存留期同步。 因此，您可能會遇到使用者的密碼在您的受控網域中到期，但在 Microsoft Entra ID 中卻仍然有效的情況。 在這種情況下，使用者必須變更其在 Microsoft Entra ID 中的密碼，而新密碼將會同步至您的受控網域。 若想變更受控網域中的預設密碼存留期，您可以建立及設定自訂密碼原則。

此外，DisablePasswordExpiration 的 Microsoft Entra 密碼原則會同步至受控網域。 當 DisablePasswordExpiration 套用至 Microsoft Entra ID 中的使用者時，受控網域中已同步使用者的 UserAccountControl 值已套用 DONT_EXPIRE_PASSWORD。

當使用者在 Microsoft Entra ID 中重設其密碼時，會套用 forceChangePasswordNextSignIn=True 屬性。 受控網域會從 Microsoft Entra ID 同步此屬性。 當受控網域偵測到來自 Microsoft Entra ID 的同步使用者已設定 forceChangePasswordNextSignIn 時，受控網域中的 pwdLastSet 屬性會設為 0，使目前設定的密碼失效。

是。 2 分鐘內在受控網域中輸入不正確的密碼五次，即會導致使用者帳戶鎖定 30 分鐘。 30 分鐘後，使用者帳戶會自動解除鎖定。 在受控網域上輸入不正確的密碼，並不會鎖定 Microsoft Entra ID 中的使用者帳戶。 Microsoft Entra Domain Services 受控網域內的使用者帳戶才會遭到鎖定。 如需詳細資訊，請參閱受控網域上的密碼和帳戶鎖定原則。

否。 使用 Microsoft Entra Domain Services 時，無法使用分散式檔案系統 (DFS) 和複寫。

受控網域中的網域控制站會自動套用必要的 Windows 更新。 這裡沒有任何項目需要設定或管理。 請確保您沒有建立會封鎖 Windows 更新輸出流量的網路安全性群組規則。 針對您已加入受控網域的 VM，您必須負責設定及套用任何必要的 OS 和應用程式更新。

隨著 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 標籤的淘汰，Microsoft Entra Domain Services 會獨立管理 WindowsUpdate，以移除這些標籤的需求。 不需要 NSG 調整，且沒有已被取代的標籤。

Microsoft Entra Domain Services 會儲存客戶資料。 根據預設，客戶資料會保留在部署服務執行個體的區域內。 客戶可利用複本集將資料儲存其他區域中。

在每月第二個星期二，修補程式會在可用時立即安裝。 自星期二開此，修補程式會在可供使用後的一週內分階段安裝。

在網域控制站的維護期間，其名稱可能會有所變更。 若要避免這類變更造成的問題，建議不要使用在應用程式及/或其他網域資源中硬式編碼的網域控制站名稱，而是網域的 FQDN。 如此一來，不論網域控制站的名稱為何，您都不需要在名稱變更之後重新設定任何項目。

受控網域中 KRBTGT 帳戶的密碼會每隔 7 天變更一次。

是。 如需詳細資訊，請參閱價格網頁。

Microsoft Entra Domain Services 包括在 Azure 的免費試用中。 您可以註冊以 免費試用 Azure 一個月。

否。 啟用 Microsoft Entra Domain Services 受控網域後，您選取的虛擬網路中即有該服務可供使用，直到您刪除受控網域為止。 無法暫停服務。 除非您刪除受控網域，否則會以每小時計費。

是，若要為受控網域提供地理復原功能，您可以在任何支援 Domain Services 的 Azure 區域中針對對等式虛擬網路建立其他複本集。 複本集會與受控網域共用相同的命名空間和設定。

否。 Microsoft Entra Domain Services 是隨用隨付的 Azure 服務，並不是 EMS 的一部分。 Microsoft Entra Domain Services 可以與所有 Microsoft Entra ID 版本 (免費及進階版) 搭配使用。 計費方式是每小時依據使用量計費。

否。 Microsoft Entra Domain Services 採取單一網域、單一樹系設計，無法建立子網域。

請參閱依區域提供的 Azure 服務頁面，以查看可使用 Microsoft Entra Domain Services 的 Azure 區域清單。

疑難排解

關於 Azure AD Domain Services 在設定或管理上常見問題的解決方案，請參閱疑難排解指南。

下一步

若要深入瞭解 Microsoft Entra Domain Services，請參閱什麼是 Microsoft Entra Domain Services？

首先，請參閱建立和設定 Microsoft Entra Domain Services 受控網域。