有关 Microsoft Entra 域服务的常见问题 (FAQ)

本页解答有关 Microsoft Entra 域服务的常见问题。

配置

是否可为单个 Microsoft Entra 目录创建多个托管域?

不是。 对于单个 Microsoft Entra 目录,只能创建一个由 Microsoft Entra 域服务提供服务的托管域。

是否可在经典虚拟网络中启用 Microsoft Entra 域服务?

不支持经典虚拟网络。

有关详细信息,请查看正式的弃用通知

是否可以在 Azure 资源管理器虚拟网络中启用 Microsoft Entra 域服务?

是的。 可以在 Azure 资源管理器虚拟网络中启用 Microsoft Entra 域服务。 创建托管域时,经典 Azure 虚拟网络不再可用。

是否可以在 Azure CSP(云解决方案提供商)订阅中启用 Microsoft Entra 域服务?

是的。 有关详细信息,请参阅如何在 Azure CSP 订阅中启用 Microsoft Entra 域服务

是否可以在订阅中的多个虚拟网络内使用 Microsoft Entra 域服务?

域服务本身无法直接支持这种方案。 托管域每次只能在一个虚拟网络中使用。 但是,可以在多个虚拟网络之间配置连接,将 Microsoft Entra 域服务公开到其他虚拟网络。 有关详细信息,请参阅如何使用 VPN 网关虚拟网络对等互连连接 Azure 中的虚拟网络。

是否可将域控制器添加到 Microsoft Entra 域服务托管域?

否。 Microsoft Entra 域服务提供的域是托管域。 你不需要预配、配置或以其他方式管理此域的域控制器。 这些管理活动由 Microsoft 以服务形式提供。 因此,不能为托管域添加更多域控制器(读写或只读)。

如果 Azure 区域脱机,是否可以将托管域扩展到不同的 Azure 区域进行应用程序恢复?

是的。 可以创建与托管域共享相同的命名空间和配置的副本集。 副本集现在可以添加到支持域服务的任何 Azure 区域中的任何对等网络。
有关详细信息,请参阅 Microsoft Entra 域服务的副本集概念和功能

是否可以在不进行密码哈希同步的情况下在联合 Microsoft Entra 目录中启用 Microsoft Entra 域服务?

否。 若要通过 NTLM 或 Kerberos 对用户进行身份验证,Microsoft Entra 域服务需要访问用户帐户的密码哈希。 在联合目录中,密码哈希未存储于 Microsoft Entra 目录中。 因此,Microsoft Entra 域服务不适用于此类Microsoft Entra 目录。

但是,如果使用 Microsoft Entra Connect 进行密码哈希同步,则可以使用 Microsoft Entra 域服务,因为密码哈希值存储在 Microsoft Entra ID 中。

是否可以使用 PowerShell 来启用 Microsoft Entra 域服务?

是的。 有关详细信息,请参阅如何使用 PowerShell 启用 Microsoft Entra 域服务

是否可以使用资源管理器模板来启用 Microsoft Entra 域服务?

是的,可以使用资源管理器模板创建 Microsoft Entra 域服务托管域。 在部署模板之前,必须使用 Microsoft Entra 管理中心或 PowerShell 创建用于管理的服务主体和 Microsoft Entra 组。 在 Microsoft Entra 管理中心创建 Microsoft Entra 域服务托管域时,还可以选择导出模板以用于其他部署。 有关详细信息,请参阅使用 Azure 资源管理器模板创建域服务托管域

邀请到我的目录中的来宾用户能否使用 Microsoft Entra 域服务?

否。 使用 Microsoft Entra B2B 邀请进程邀请到 Microsoft Entra 目录的来宾用户会同步到 Microsoft Entra 域服务托管域。 但这些用户的密码不会存储在 Microsoft Entra 目录中。 因此,Microsoft Entra 域服务无法将这些用户的 NTLM 和 Kerberos 哈希同步到托管域。 这类用户可以登录到或者将计算机加入到托管域。

是否可以在域服务和本地林之间创建双向林信任?

可以,可以创建双向信任。 还可以创建单向传出信任或单向传入信任,,以支持用户身份验证和访问的不同方案。 有关详细信息,请参阅创建林信任

域服务是否支持使用本地子域创建外部信任?

域服务目前仅支持林信任,不支持外部域信任。

是否可以移动托管域?

创建域服务托管域后,你无法将其移动到不同的订阅、资源组或区域。 若要更改区域,可能的解决方法是在要迁移到的区域中部署新的副本集。 完成部署后,删除区域中不再需要的副本集。 作为其余设置的一种变通方法是,使用 PowerShell 或 Microsoft Entra 管理中心删除托管域,然后使用所需的设置重新创建它。 重新创建托管域时,无法提供任何还原操作。

是否可以重命名现有 Microsoft Entra 域服务域名?

不是。 创建 Microsoft Entra 域服务托管域后,不能更改 DNS 域名。 创建托管域时,请仔细选择 DNS 域名。 有关选择 DNS 域名时的注意事项,请参阅创建和配置 Microsoft Entra 域服务托管域的教程

Microsoft Entra 域服务是否包含高可用性选项?

是的。 每个 Microsoft Entra 域服务托管域都包括两个域控制器。 你不需要管理或连接到这些域控制器,它们是托管服务的一部分。 如果将 Microsoft Entra 域服务部署到支持可用性局部区域的区域中,则域控制器将分布到各个局部区域中。 在不支持可用性局部区域的区域中,域控制器将分布在多个可用性集中。 对于此分布,你无法通过选项进行配置,也无法进行管理控制。 有关详细信息,请参阅 Azure 中虚拟机的可用性选项

管理和操作

是否可以使用远程桌面连接到托管域的域控制器?

否。 你没有权限使用远程桌面连接到托管域的域控制器。 “Microsoft Entra DC 管理员”组的成员可以使用 AD 管理工具,例如 Active Directory 管理中心 (ADAC) 或 AD PowerShell 来管理托管域。 可使用“远程服务器管理工具”功能在加入托管域的 Windows 服务器上安装这些工具。 有关详细信息,请参阅创建一个管理 VM 来配置和管理 Microsoft Entra 域服务托管域

我已启用 Microsoft Entra 域服务。 应使用哪个用户帐户将计算机加入此域?

属于该托管域的任何用户帐户都可以将 VM 加入域。 “Microsoft Entra DC 管理员”组的成员有权通过远程桌面访问已加入托管域的计算机。

对于可以加入域的计算机数量,是否有任何相关的可用配额?

已加入域的计算机的域服务中没有配额。

已加入托管域的虚拟机 (VM) 的时间如何同步?

在 Azure 上运行的 VM 与 Azure 主机同步,以便获得高度准确的时间。 在本地运行的非 Azure VM 需要配置 Windows 时间服务,以便与外部 NTP 时间源同步,类似于已加入域的 VM。 有关详细信息,请参阅为 Azure 中的 Active Directory Windows 虚拟机配置时间机制

我是否具有 Microsoft Entra 域服务提供的托管域的域管理员特权?

错误。 你在托管域上没有管理权限。 你不可以在该域中使用“域管理员”和“企业管理员”权限。 本地 Active Directory 中的域管理员或企业管理员组成员在该托管域上也没有域/企业管理员权限。

能否在托管域上使用 LDAP 或其他 AD 管理工具修改组成员身份?

无法修改从 Microsoft Entra ID 同步到 Microsoft Entra 域服务的用户和组,因为它们的来源是 Microsoft Entra ID。 这包括将用户或组从 AADDC 用户托管组织单位移动到自定义组织单位。 可以修改源自托管域的任何用户或组。

是否可以在托管域中授权 DHCP 服务器?

否。 域管理员成员身份是授权 DHCP 服务器所必需的,该服务器在托管域中不可用。

对 Microsoft Entra 目录的更改需要多长时间才可在托管域中显示?

在 Microsoft Entra 目录中使用 Microsoft Entra UI 或 PowerShell 所做的更改将自动同步到托管域中。 此同步过程在后台运行。 没有规定此同步完成所有对象更改的时间段。

能否扩展 Microsoft Entra 域服务提供的托管域的架构?

不是。 托管域的架构由 Microsoft 管理。 Microsoft Entra 域服务不支持架构扩展。

是否可以在托管域中修改或添加 DNS 记录?

是的。 “Microsoft Entra DC 管理员”组的成员具有“DNS 管理员”权限,可在托管域中修改 DNS 记录。 这些用户可以在运行已加入托管域的 Windows Server 的计算机上使用 DNS 管理器控制台来管理 DNS。 若要使用 DNS 管理器控制台,请在服务器上安装“远程服务器管理工具”可选功能中包含的“DNS 服务器工具” 。 有关详细信息,请参阅管理 Microsoft Entra 域服务托管域中的 DNS

什么是托管域上的密码生存期策略?

Microsoft Entra 域服务托管域上的默认密码生存期为 90 天。 此密码生存期不会与 Microsoft Entra ID 中配置的密码生存期同步。 因此,可能会出现用户密码在托管域中已过期,但在 Microsoft Entra ID 中仍然有效的情况。 在这种情况下,用户需要更改 Microsoft Entra ID 中的密码,并且将新密码同步到托管域。 如果要更改托管域中的默认密码生存期,可以创建并配置自定义密码策略

此外,DisablePasswordExpiration 的 Microsoft Entra 密码策略将同步到托管域。 当将 DisablePasswordExpiration 应用于 Microsoft Entra ID 中的用户时,托管域中已同步用户的 UserAccountControl 值已应用 DONT_EXPIRE_PASSWORD。

当用户在 Microsoft Entra ID 中重置密码时,将应用 forceChangePasswordNextSignIn=True 属性。 托管域从 Microsoft Entra ID 同步此属性。 当托管域检测到为来自 Microsoft Entra ID 的同步用户设置了 forceChangePasswordNextSignIn 时,托管域中的 pwdLastSet 属性设置为 0,这将使当前设置的密码无效。

Microsoft Entra 域服务是否提供 AD 帐户锁定保护?

是的。 在托管域上于 2 分钟内尝试五个无效密码将导致用户帐户锁定 30 分钟。 30 分钟后用户帐户将自动解锁。 在托管域上尝试无效密码不会在 Microsoft Entra ID 中锁定用户帐户, 仅在 Microsoft Entra 域服务托管域中锁定用户帐户。 有关详细信息,请参阅托管域中的密码和帐户锁定策略

是否可在 Microsoft Entra 域服务中配置分布式文件系统和复制?

不是。 使用 Microsoft Entra 域服务时,分布式文件系统 (DFS) 和复制不可用。

如何在 Microsoft Entra 域服务中应用 Windows 更新?

托管域中的域控制器会自动应用必需的 Windows 更新。 无需在此处进行任何配置或管理。 请确保你没有创建阻止到 Windows 更新的出站流量的网络安全组规则。 对于加入托管域的你自己的 VM,你负责配置和应用任何必需的操作系统和应用程序更新。

是否应删除出站网络安全组 (NSG) 中的 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 标记?

弃用 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 标记后,Microsoft Entra 域服务不再建议将这些标记添加到出站 Internet 流量中。 如果使用默认 AllowInternetOutBound 规则(优先级 65001),则无需更改(无论是否使用 AzureUpdateDelivery 和 AzureFrontDoor.FirstParty 标记)。 如果删除默认 AllowInternetOutBound 规则(优先级 65001),或者在其前面添加被拒绝的 InternetOutBound 规则,则请使用防火墙通过 WindowsUpdate FQDN 来筛选出站 Windows 更新流量,而不是限制 InternetOutBound。 此步骤对于 Microsoft Entra 域服务继续接收 Windows 更新至关重要。 有关详细信息,请参阅 AzureUpdateDelivery 服务标记即将进行的更改

Microsoft Entra 域服务在哪里存储客户数据?

Microsoft Entra 域服务可存储客户数据。 默认情况下,客户数据保留在部署服务实例的区域内。 客户可以使用副本集来存储其他区域的数据。

如何对托管域中包含的域控制器执行修补?

补丁一旦可用(每第二个星期二),就会立即安装。 从星期二开始,它们会在可用的一周内分阶段安装。

为什么域控制器会更改名称?

在维护域控制器期间,其名称可能会发生更改。 为了避免此类更改出现问题,建议不要使用在应用程序和/或其他域资源中硬编码的域控制器的名称,而使用域的 FQDN。 这样,无论域控制器的名称是什么,你都无需在名称更改后重新配置任何内容。

托管域中 KRBTGT 帐户的密码是否会定期滚动更新? 如果是,频率是多少?

托管域中 KRBTGT 帐户的密码每七 (7) 天滚动更新一次。

计费和可用性

Microsoft Entra 域服务是付费服务吗?

是的。 有关详细信息,请参阅定价页

该服务是否有试用版?

Microsoft Entra 域服务包含在 Azure 试用版中。 可以注册 Azure 试用版

是否可以暂停 Microsoft Entra 域服务托管域?

不是。 一旦启用 Microsoft Entra 域服务托管域,即可在选定的虚拟网络中使用该服务,直到删除托管域为止。 无法暂停该服务。 删除托管域前,会按小时对服务计费。

对于 DR 事件,是否可以将 Microsoft Entra 域服务故障转移到另一个区域?

是的,若要为托管域提供地理复原能力,可以在支持域服务的任何 Azure 区域中创建另一个副本集。 副本集与托管域共享相同的命名空间和配置。

是否可以从企业移动性套件 (EMS) 获取 Microsoft Entra 域服务? 是否需要 Microsoft Entra ID P1 或 P2 才能使用 Microsoft Entra 域服务?

不是。 Microsoft Entra 域服务是即用即付的 Azure 服务,未包含在 EMS 中。 Microsoft Entra 域服务可用于所有版本的 Microsoft Entra ID(免费版和高级版)。 它按小时计费,具体取决于使用量。

能否在托管域下创建子域?

不是。 Microsoft Entra 域服务采用单域、单林设计,并且无法创建子域。

哪些 Azure 区域提供该服务?

请参阅按区域列出的 Azure 服务页,获取提供 Microsoft Entra 域服务的 Azure 区域列表。

疑难解答

有关配置或管理 Azure AD 域服务的常见问题的解决方法,请参阅疑难解答指南

后续步骤

若要详细了解 Microsoft Entra 域服务,请参阅什么是 Microsoft Entra 域服务?

若要开始,请参阅创建并配置 Microsoft Entra 域服务托管域