有关Microsoft Entra域服务的常见问题（常见问题解答）

不是。 只能为单个Microsoft Entra目录创建由Microsoft Entra域服务服务的单个托管域。

不支持经典虚拟网络。

有关详细信息，请参阅 官方弃用通知。

是的。 可以在Azure Resource Manager虚拟网络中启用Microsoft Entra域服务。 创建托管域时，经典Azure虚拟网络不再可用。

是的。 有关详细信息，请参阅如何在 Azure CSP 订阅中启用Microsoft Entra域服务。

该服务本身无法直接支持这种情况。 托管域每次只能在一个虚拟网络中使用。 但是，可以在多个虚拟网络之间配置连接，以向其他虚拟网络公开Microsoft Entra域服务。 有关详细信息，请参阅 如何使用 VPN 网关或 虚拟网络对等互连连接Azure中的虚拟网络。

不是。 Microsoft Entra域服务提供的域是托管域。 你不需要预配、配置或以其他方式管理此域的域控制器。 这些管理活动由 Microsoft 以服务形式提供。 因此，不能为托管域添加更多域控制器（读写或只读）。

是的。 可以创建与托管域共享相同的命名空间和配置的副本集。 副本集可以添加到支持域服务的任何 Azure 区域中的任何对等互连的虚拟网络。
有关详细信息，请参阅 Replica 设置 Microsoft Entra 域服务的概念和功能。

不是。 若要通过 NTLM 或 Kerberos 对用户进行身份验证，Microsoft Entra域服务需要访问用户帐户的密码哈希。 在联合目录中，密码哈希不会存储在Microsoft Entra目录中。 因此，Microsoft Entra域服务不适用于此类Microsoft Entra目录。

但是，如果使用 Microsoft Entra Connect 进行密码哈希同步，则可以使用Microsoft Entra域服务，因为密码哈希值存储在Microsoft Entra ID中。

是的。 有关详细信息，请参阅 如何使用 PowerShell 启用 Microsoft Entra 域服务。

可以，可以使用Resource Manager模板创建Microsoft Entra域服务托管域。 在部署模板之前，必须使用Microsoft Entra管理中心或 PowerShell 创建服务主体和Microsoft Entra组进行管理。 在 Microsoft Entra 管理中心中创建Microsoft Entra域服务托管域时，还可以选择导出模板以用于其他部署。 有关详细信息，请参阅 使用 Azure Resource Manager 模板创建域服务托管域。

不是。 使用 Microsoft Entra B2B 邀请过程邀请到 Microsoft Entra 目录的来宾用户将同步到您 Microsoft Entra 域服务管理的域。 但是，这些用户的密码不会存储在Microsoft Entra目录中。 因此，Microsoft Entra域服务无法将这些用户的 NTLM 和 Kerberos 哈希同步到托管域。 这类用户无法登录到或者将计算机加入到托管域。

可以，可以创建双向信任。 还可以创建单向传出信任或单向传入信任，，以支持用户身份验证和访问的不同方案。 有关详细信息，请参阅 创建森林信任。

域服务目前仅支持林信任，不支持外部域信任。

创建域服务托管域后，你无法将其移动到不同的订阅、资源组或区域。 若要更改区域，可能的解决方法是在要迁移到的区域中部署新的副本集。 一旦完成，删除您不再需要的区域中的副本集。 作为其余设置的解决方法，可以使用 PowerShell 或 Microsoft Entra 管理中心删除托管域，并使用所需的设置重新创建它。 重新创建托管域时，无法提供任何还原操作。

不是。 创建Microsoft Entra域服务托管域后，无法更改 DNS 域名。 创建托管域时，请仔细选择 DNS 域名。 有关选择 DNS 域名时的注意事项，请参阅 tutorial 来创建和配置Microsoft Entra域服务托管域。

是的。 每个Microsoft Entra域服务托管域都包含两个域控制器。 你不需要管理或连接到这些域控制器，它们是托管服务的一部分。 如果将Microsoft Entra域服务部署到支持Availability Zones的区域，则域控制器分布在各个区域。 在不支持Availability Zones的区域，域控制器分布在可用性集中。 对于此分布，你无法通过选项进行配置，也无法进行管理控制。 有关详细信息，请参阅 Azure。

不是。 你无权使用 Remote Desktop 连接到托管域的域控制器。 Microsoft Entra DC 管理员组的成员可以使用 AD 管理工具（例如Active Directory管理中心（ADAC）或 AD PowerShell 来管理托管域。 这些工具是使用加入托管域的Windows服务器上的 Remote 服务器管理工具功能安装的。 有关详细信息，请参阅 创建管理 VM 以配置和管理Microsoft Entra域服务托管域。

属于托管域的任何用户帐户都可以加入 VM。 向 Microsoft Entra DC 管理员组的成员授予对已加入托管域的计算机的远程桌面访问权限。

已加入域的计算机在域服务中没有配额。

在Azure上运行的 VM 与Azure主机同步，以便获得高度准确的时间。 在本地运行的非 Azure VM 需要配置 Windows 时间服务，与外部 NTP 时间源同步，这与加入域的 VM 的设置类似。 有关详细信息，请参阅 在 Azure 中配置 Active Directory Windows 虚拟机的时间机制。

不是。 你在托管域上没有管理权限。 域管理员 和企业 管理员 权限在域中不可用。 在本地 Active Directory 中，域管理员或企业管理员组的成员在受管域上也不会被授予域/企业管理员权限。

无法修改从 Microsoft Entra ID 同步到 Microsoft Entra 域服务的用户和组，因为它们的源是 Microsoft Entra ID。 这包括将用户或组从 AADDC 用户 托管的组织单位移动到自定义组织单位。 可以修改任何来自托管域的用户或组。

不是。 域管理员成员身份是授权 DHCP 服务器所必需的，该服务器在托管域中不可用。

使用 Microsoft Entra UI 或 PowerShell 在Microsoft Entra目录中所做的更改会自动同步到托管域。 此同步过程在后台运行。 没有规定此同步完成所有对象更改的时间段。

不是。 托管域的架构由 Microsoft 管理。 Microsoft Entra 域服务不支持架构扩展。

是的。 Microsoft Entra DC 管理员组的成员被授予DNS 管理员权限以修改托管域中的 DNS 记录。 这些用户可以使用运行Windows Server加入托管域的计算机上的 DNS 管理器控制台来管理 DNS。 若要使用 DNS 管理器控制台，请在服务器上安装属于远程服务器管理工具可选功能的 DNS 服务器工具。 有关详细信息，请参阅 Microsoft Entra 域服务托管域中的 DNS 管理。

Microsoft Entra域服务托管域的默认密码生存期为 90 天。 此密码生存期不会与Microsoft Entra ID中配置的密码生存期同步。 因此，你可能会遇到以下情况：用户的密码在托管域中过期，但在Microsoft Entra ID中仍然有效。 在这种情况下，用户需要在Microsoft Entra ID中更改其密码，新密码将同步到托管域。 如果要更改托管域中的默认密码生存期，可以 创建和配置自定义密码策略。

此外，DisablePasswordExpiration 的Microsoft Entra密码策略将同步到托管域。 当 DisablePasswordExpiration 应用于 Microsoft Entra ID 中的用户时，托管域中该同步用户的 UserAccountControl 值将应用 DONT_EXPIRE_PASSWORD。

当用户在 Microsoft Entra ID 中重置其密码时，将应用 forceChangePasswordNextSignIn=True 属性。 托管域从Microsoft Entra ID同步此属性。 当托管域检测到为从 Microsoft Entra ID 同步的用户设置了 forceChangePasswordNextSignIn 时，托管域中的 pwdLastSet 属性将被设置为 0，这会使当前设置的密码失效。

是的。 在管理域中，如果用户在 2 分钟内尝试输入五次无效密码，用户帐户将被锁定 30 分钟。 30 分钟后用户帐户将自动解锁。 托管域上的无效密码尝试不会锁定Microsoft Entra ID中的用户帐户。 用户帐户仅在由 Microsoft Entra 域服务管理的域中被锁定。 有关详细信息，请参阅 托管域上的密码和帐户锁定策略。

不是。 使用Microsoft Entra域服务时，分布式文件系统（DFS）和复制不可用。

托管域中的域控制器会自动应用所需的Windows更新。 无需在此处进行任何配置或管理。 请确保不要创建阻止出站流量Windows更新的网络安全组规则。 对于加入托管域的你自己的 VM，你负责配置和应用任何必需的操作系统和应用程序更新。

随着 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 标记的弃用，Microsoft Entra 域服务独立管理 WindowsUpdate，这消除了这些标记的需求。 无论是否使用已弃用的标签，都不需要对 NSG 进行调整。

Microsoft Entra域服务存储客户数据。 默认情况下，客户数据保留在部署服务实例的区域内。 客户可以使用副本集来存储其他区域的数据。

补丁一旦可用（每第二个星期二），就会立即安装。 从它们达到可用状态的周二开始，这些软件会在一周内分阶段进行安装。

在维护域控制器期间，其名称可能会发生更改。 为了避免此类更改出现问题，建议不要使用在应用程序和/或其他域资源中硬编码的域控制器的名称，而使用域的 FQDN。 这样，无论域控制器的名称是什么，你都无需在名称更改后重新配置任何内容。

托管域中 KRBTGT 帐户的密码每七 (7) 天滚动更新一次。

是的。 有关详细信息，请参阅定价页。

Microsoft Entra域服务包含在Azure试用版中。 可以注册 Azure 的试用版。

不是。 启用Microsoft Entra域服务托管域后，该服务将在所选虚拟网络中可用，直到删除托管域。 无法暂停该服务。 删除托管域前，会按小时对服务计费。

可以，若要为托管域提供地理复原能力，可以在支持域服务的任何 Azure 区域中创建另一个 replica set 对等虚拟网络。 副本集与托管域共享相同的命名空间和配置。

不是。 Microsoft Entra域服务是即用即付Azure服务，不属于 EMS。 Microsoft Entra域服务可用于所有版本的Microsoft Entra ID（免费版和高级版）。 它按小时计费，具体取决于使用量。

不是。 Microsoft Entra 域服务具有单域、单林设计，并且不支持创建子域。

请参阅Azure服务（按区域页面），查看Microsoft Entra域服务可用的Azure区域列表。

故障排除

有关配置或管理 Azure AD 域服务的常见问题的解决方案，请参阅 Troubleshooting 指南。

后续步骤

若要了解有关Microsoft Entra域服务的详细信息，请参阅 什么是Microsoft Entra域服务？。

若要开始，请参阅 创建并配置 Microsoft Entra 域服务托管域。