Nejčastější dotazy týkající se služby Microsoft Entra Domain Services

Tato stránka odpovídá na nejčastější dotazy týkající se služby Microsoft Entra Domain Services.

Konfigurace

Můžu pro jeden adresář Microsoft Entra vytvořit více spravovaných domén?

Ne. Pro jeden adresář Microsoft Entra Domain Services můžete vytvořit pouze jednu spravovanou doménu obsluhované službou Microsoft Entra Domain Services.

Můžu povolit službu Microsoft Entra Domain Services v klasické virtuální síti?

Klasické virtuální sítě se nepodporují.

Další informace najdete v oficiálním oznámení o vyřazení.

Můžu ve virtuální síti Azure Resource Manageru povolit službu Microsoft Entra Domain Services?

Ano. Službu Microsoft Entra Domain Services je možné povolit ve virtuální síti Azure Resource Manageru. Klasické virtuální sítě Azure už nejsou při vytváření spravované domény dostupné.

Můžu povolit službu Microsoft Entra Domain Services v předplatném Azure CSP (Cloud Solution Provider)?

Ano. Další informace najdete v tématu povolení služby Microsoft Entra Domain Services v předplatných Azure CSP.

Můžu v rámci svého předplatného zpřístupnit službu Microsoft Entra Domain Services ve více virtuálních sítích?

Samotná služba tento scénář přímo nepodporuje. Vaše spravovaná doména je dostupná jenom v jedné virtuální síti najednou. Připojení mezi několika virtuálními sítěmi ale můžete nakonfigurovat tak, aby služba Microsoft Entra Domain Services zpřístupnila jiným virtuálním sítím. Další informace najdete v tématu připojení virtuálních sítí v Azure pomocí bran VPN nebo partnerského vztahu virtuálních sítí.

Můžu přidat řadiče domény do spravované domény služby Microsoft Entra Domain Services?

Ne. Doména poskytovaná službou Microsoft Entra Domain Services je spravovaná doména. Pro tuto doménu nemusíte zřizovat, konfigurovat ani jinak spravovat řadiče domény. Tyto aktivity správy poskytuje Microsoft jako službu. Proto pro spravovanou doménu nemůžete přidat další řadiče domény (jen pro čtení nebo jen pro čtení).

Můžu rozšířit spravovanou doménu do různých oblastí Azure pro obnovení aplikace, pokud oblast Azure přejde do režimu offline?

Ano. Můžete vytvořit sady replik, které sdílejí stejný obor názvů a konfiguraci se spravovanou doménou. Sady replik je možné přidat do jakékoli partnerské virtuální sítě v jakékoli oblasti Azure, která podporuje službu Domain Services.
Další informace najdete v tématu Koncepty a funkce sady replik pro službu Microsoft Entra Domain Services.

Můžu povolit službu Microsoft Entra Domain Services v federovaném adresáři Microsoft Entra bez synchronizace hodnot hash hesel?

Ne. K ověřování uživatelů přes protokol NTLM nebo Kerberos potřebuje služba Microsoft Entra Domain Services přístup k hodnotám hash hesel uživatelských účtů. V federovaném adresáři nejsou hodnoty hash hesel uloženy v adresáři Microsoft Entra. Služba Microsoft Entra Domain Services proto s těmito adresáři Microsoft Entra nefunguje.

Pokud však používáte Microsoft Entra Connect pro synchronizaci hodnot hash hesel, můžete použít službu Microsoft Entra Domain Services, protože hodnoty hash hesel jsou uloženy v Microsoft Entra ID.

Můžu povolit službu Microsoft Entra Domain Services pomocí PowerShellu?

Můžu povolit službu Microsoft Entra Domain Services pomocí šablony Resource Manageru?

Ano, spravovanou doménu služby Microsoft Entra Domain Services můžete vytvořit pomocí šablony Resource Manageru. Instanční objekt a skupina Microsoft Entra pro správu musí být vytvořeny pomocí Centra pro správu Microsoft Entra nebo PowerShellu před nasazením šablony. Při vytváření spravované domény Služby Microsoft Entra Domain Services v Centru pro správu Microsoft Entra je také možnost exportovat šablonu pro použití s jinými nasazeními. Další informace najdete v tématu Vytvoření spravované domény služby Domain Services pomocí šablony Azure Resource Manageru.

Mohou uživatelé typu host, kteří jsou pozvaní do mého adresáře, používat službu Microsoft Entra Domain Services?

Ne. Uživatelé typu host pozvaní do vašeho adresáře Microsoft Entra pomocí procesu pozvání Microsoft Entra B2B se synchronizují do vaší spravované domény Microsoft Entra Domain Services. Hesla pro tyto uživatele ale nejsou uložená ve vašem adresáři Microsoft Entra. Proto microsoft Entra Domain Services nemá žádný způsob, jak synchronizovat hodnoty hash PROTOKOLU NTLM a Kerberos pro tyto uživatele do vaší spravované domény. Tito uživatelé se nemůžou přihlásit nebo připojit počítače ke spravované doméně.

Je možné vytvořit obousměrný vztah důvěryhodnosti doménové struktury mezi službou Domain Services a místní doménovou strukturou?

Ano, můžete vytvořit obousměrný vztah důvěryhodnosti. Můžete také vytvořit jednosměrný odchozí vztah důvěryhodnosti nebo jednosměrný příchozí vztah důvěryhodnosti, který podporuje různé scénáře ověřování a přístupu uživatelů. Další informace najdete v tématu Vytvoření vztahu důvěryhodnosti doménové struktury.

Podporuje služba Domain Services vytváření externího vztahu důvěryhodnosti s místními podřízenými doménami?

Domain Services v současné době podporuje pouze vztah důvěryhodnosti doménové struktury a nepodporuje vztahy důvěryhodnosti externích domén.

Můžu přesunout spravovanou doménu?

Po vytvoření spravované domény Domain Services ji nemůžete přesunout do jiného předplatného, skupiny prostředků nebo oblasti. Pokud chcete změnit oblast, možná alternativní řešení by bylo nasazení nové sady replik v oblasti, do které chcete migrovat. Po dokončení odstraňte sadu replik v oblasti, kterou už nechcete. Jako alternativní řešení pro zbytek nastavení můžete spravovanou doménu odstranit pomocí PowerShellu nebo Centra pro správu Microsoft Entra a znovu ji vytvořit pomocí požadovaného nastavení. Během opětovného vytvoření spravované domény není možné poskytnout žádné operace obnovení.

Můžu přejmenovat existující název domény služby Microsoft Entra Domain Services?

Ne. Po vytvoření spravované domény služby Microsoft Entra Domain Services nemůžete změnit název domény DNS. Při vytváření spravované domény pečlivě zvolte název domény DNS. Důležité informace o výběru názvu domény DNS najdete v kurzu vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services.

Zahrnuje služba Microsoft Entra Domain Services možnosti vysoké dostupnosti?

Ano. Každá spravovaná doména služby Microsoft Entra Domain Services obsahuje dva řadiče domény. K těmto řadičům domény se nespravujete ani nepřipojujete, jsou součástí spravované služby. Pokud nasadíte službu Microsoft Entra Domain Services do oblasti, která podporuje Zóny dostupnosti, budou řadiče domény distribuovány napříč zónami. V oblastech, které nepodporují Zóny dostupnosti, se řadiče domény distribuují napříč skupinami dostupnosti. U této distribuce nemáte žádné možnosti konfigurace ani kontrolu správy. Další informace najdete v tématu Možnosti dostupnosti pro virtuální počítače v Azure.

Správa a provoz

Můžu se připojit k řadiči domény pro spravovanou doménu pomocí Vzdálené plochy?

Ne. Nemáte oprávnění k připojení k řadičům domény pro spravovanou doménu pomocí Vzdálené plochy. Členové skupiny Microsoft Entra DC Administrators mohou spravovat spravovanou doménu pomocí nástrojů pro správu AD, jako je Centrum správy služby Active Directory (ADAC) nebo AD PowerShell. Tyto nástroje se instalují pomocí funkce Nástroje pro vzdálenou správu serveru na serveru s Windows připojeným ke spravované doméně. Další informace najdete v tématu Vytvoření virtuálního počítače pro správu pro konfiguraci a správu spravované domény služby Microsoft Entra Domain Services.

Povolil(a) jsem službu Microsoft Entra Domain Services. Jaký uživatelský účet používám pro připojení počítačů k této doméně?

Každý uživatelský účet, který je součástí spravované domény, se může připojit k virtuálnímu počítači. Členové skupiny Microsoft Entra DC Administrators mají udělený přístup ke vzdálené ploše počítačům připojeným ke spravované doméně.

Existuje nějaká kvóta pro počet počítačů, ke kterým se můžu připojit k doméně?

Ve službě Domain Services není žádná kvóta pro počítače připojené k doméně.

Jak se čas synchronizuje pro virtuální počítače, které jsou připojené ke spravované doméně?

Virtuální počítače, které běží v Azure, se synchronizují s hostiteli Azure pro vysoce přesný čas. Virtuální počítače mimo Azure, které běží místně, musí mít nakonfigurované časové služby Windows pro synchronizaci s externím zdrojem času NTP, podobně jako virtuální počítače připojené k doméně. Další informace najdete v tématu Konfigurace časového mechanismu pro službu Active Directory Pro virtuální počítače s Windows v Azure.

Mám oprávnění správce domény pro spravovanou doménu poskytovanou službou Microsoft Entra Domain Services?

Ne. Nemáte udělená oprávnění správce ke spravované doméně. Oprávnění Správce domény a Podnikový správce nejsou k dispozici pro použití v rámci domény. Členové skupiny správce domény nebo podnikových správců ve vaší místní Active Directory také nemají oprávnění domény nebo podnikového správce spravované domény.

Můžu upravit členství ve skupinách pomocí PROTOKOLU LDAP nebo jiných nástrojů pro správu AD ve spravovaných doménách?

Uživatele a skupiny synchronizované z ID Microsoft Entra do služby Microsoft Entra Domain Services nelze upravit, protože jejich zdrojem původu je Microsoft Entra ID. To zahrnuje přesun uživatelů nebo skupin ze spravované organizační jednotky AADDC do vlastní organizační jednotky. Může se změnit jakýkoli uživatel nebo skupina pocházející ze spravované domény.

Můžu autorizovat server DHCP ve spravované doméně?

Ne. K autorizaci serveru DHCP, který není dostupný ve spravované doméně, se vyžaduje členství domain Admins.

Jak dlouho trvá, než se změny v adresáři Microsoft Entra zobrazí ve spravované doméně?

Změny provedené v adresáři Microsoft Entra pomocí uživatelského rozhraní Microsoft Entra nebo PowerShellu se automaticky synchronizují do vaší spravované domény. Tento proces synchronizace běží na pozadí. Pro tuto synchronizaci neexistuje žádné definované časové období pro dokončení všech změn objektu.

Můžu rozšířit schéma spravované domény poskytované službou Microsoft Entra Domain Services?

Ne. Schéma spravuje Microsoft pro spravovanou doménu. Rozšíření schématu nejsou podporována službou Microsoft Entra Domain Services.

Můžu ve spravované doméně upravit nebo přidat záznamy DNS?

Ano. Členové skupiny Microsoft Entra DC Administrators mají udělená oprávnění správce DNS k úpravě záznamů DNS ve spravované doméně. Tito uživatelé můžou ke správě DNS použít konzolu Správce DNS na počítači s Windows Serverem připojeným ke spravované doméně. Chcete-li použít konzolu Správce DNS, nainstalujte nástroje serveru DNS, které jsou součástí volitelné funkce Nástroje pro vzdálenou správu serveru na serveru. Další informace naleznete v tématu Správa DNS ve spravované doméně služby Microsoft Entra Domain Services.

Jaké jsou zásady životnosti hesla ve spravované doméně?

Výchozí životnost hesla ve spravované doméně služby Microsoft Entra Domain Services je 90 dnů. Tato životnost hesla není synchronizována s životností hesla nakonfigurovanou v Microsoft Entra ID. Proto můžete mít situaci, kdy platnost hesel uživatelů vyprší ve vaší spravované doméně, ale stále platí v Microsoft Entra ID. V takových scénářích musí uživatelé změnit heslo v Microsoft Entra ID a nové heslo se synchronizuje s vaší spravovanou doménou. Pokud chcete změnit výchozí životnost hesla ve spravované doméně, můžete vytvořit a nakonfigurovat vlastní zásady hesel.

Zásady hesel Microsoft Entra pro DisablePasswordExpiration se navíc synchronizují se spravovanou doménou. Při DisablePasswordExpiration se použije na uživatele v Microsoft Entra ID, hodnota UserAccountControl pro synchronizovaného uživatele ve spravované doméně má DONT_EXPIRE_PASSWORD použito.

Když uživatelé resetují heslo v Microsoft Entra ID, použije se forceChangePasswordNextSignIn=True atribut. Spravovaná doména synchronizuje tento atribut z ID Microsoft Entra. Když spravovaná doména zjistí forceChangePasswordNextSignIn je nastavena pro synchronizovaného uživatele z Microsoft Entra ID, atribut pwdLastSet ve spravované doméně je nastaven na 0, což zneplatňuje aktuálně nastavené heslo.

Poskytuje služba Microsoft Entra Domain Services ochranu uzamčení účtu AD?

Ano. Pět neplatných pokusů o heslo do 2 minut ve spravované doméně způsobí, že se uživatelský účet zamkne po dobu 30 minut. Po 30 minutách se uživatelský účet automaticky odemkne. Neplatné pokusy o heslo ve spravované doméně nezamknou uživatelský účet v ID Microsoft Entra. Uživatelský účet je uzamčen pouze ve vaší spravované doméně služby Microsoft Entra Domain Services. Další informace najdete v tématu Zásady uzamčení hesla a účtu ve spravovaných doménách.

Můžu v rámci služby Microsoft Entra Domain Services nakonfigurovat distribuovaný systém souborů a replikaci?

Ne. Distribuovaný systém souborů (DFS) a replikace nejsou při použití služby Microsoft Entra Domain Services k dispozici.

Jak se služba Windows Update používají ve službě Microsoft Entra Domain Services?

Řadiče domény ve spravované doméně automaticky používají požadované aktualizace Windows. Tady není nic, co byste mohli nakonfigurovat nebo spravovat. Ujistěte se, že nevytvoříte pravidla skupiny zabezpečení sítě, která blokují odchozí provoz do služba Windows Update. Pro vlastní virtuální počítače připojené ke spravované doméně zodpovídáte za konfiguraci a použití všech požadovaných aktualizací operačního systému a aplikací.

Mám odebrat značky AzureUpdateDelivery a AzureFrontDoor.FirstParty ve skupině zabezpečení odchozí sítě (NSG)?

S vyřazením značek AzureUpdateDelivery a AzureFrontDoor.FirstParty už Microsoft Entra Domain Services nedoporučuje přidávat tyto značky do odchozího internetového provozu. Pokud použijete výchozí pravidlo AllowInternetOutBound (priorita 65001), není potřeba žádná změna (se značkami AzureUpdateDelivery a AzureFrontDoor.FirstParty). Pokud odeberete výchozí pravidlo AllowInternetOutBound (priorita 65001) nebo ho předcházíte odepřeným pravidlem InternetOutBound, použijte bránu firewall k filtrování odchozích služba Windows Update přenosů pomocí plně kvalifikovaného názvu domény WindowsUpdate místo omezení InternetOutBound. Tento krok je zásadní pro službu Microsoft Entra Domain Services, aby nadále přijímal aktualizace systému Windows. Další informace najdete v tématu Změny přicházející do značky služby AzureUpdateDelivery.

Kde Microsoft Entra Domain Services ukládá zákaznická data?

Microsoft Entra Domain Services ukládá zákaznická data. Ve výchozím nastavení zůstávají zákaznická data v oblasti, ve které je instance služby nasazená. Zákazníci můžou použít sady replik k ukládání dat v jiných oblastech.

Jak se provádí opravy na řadičích domény, které jsou součástí spravované domény?

Opravy se nainstalují hned po jejich zpřístupnění (každé druhé úterý). Instalují se ve fázích v týdnu, které jsou k dispozici, počínaje úterými.

Proč řadiče domény mění názvy?

Je možné, že během údržby řadičů domény dojde ke změně jejich názvů. Abyste se vyhnuli problémům s tímto typem změny, doporučujeme nepoužívat názvy řadičů domény pevně zakódované v aplikacích nebo jiných prostředcích domény, ale plně kvalifikovaný název domény domény. To znamená, že bez ohledu na názvy řadičů domény nebudete muset po změně názvu nic překonfigurovat.

Je heslo účtu KRBTGT ve spravované doméně pravidelně zaváděné? Pokud ano, jaká je frekvence?

Heslo účtu KRBTGT ve spravované doméně se vrátí každých sedm (7) dnů.

Fakturace a dostupnost

Je microsoft Entra Domain Services placenou službou?

Ano. Další informace najdete na stránce s cenami.

Je pro službu k dispozici bezplatná zkušební verze?

Služba Microsoft Entra Domain Services je součástí bezplatné zkušební verze pro Azure. Můžete si zaregistrovat bezplatnou měsíční zkušební verzi Azure.

Můžu pozastavit spravovanou doménu služby Microsoft Entra Domain Services?

Ne. Jakmile povolíte spravovanou doménu služby Microsoft Entra Domain Services, bude služba dostupná ve vybrané virtuální síti, dokud spravovanou doménu neodstraníte. Neexistuje způsob, jak službu pozastavit. Fakturace pokračuje po hodinách, dokud spravovanou doménu neodstraníte.

Můžu převzít služby při selhání služby Microsoft Entra Domain Services do jiné oblasti pro událost zotavení po havárii?

Ano, pokud chcete zajistit geografickou odolnost pro spravovanou doménu, můžete vytvořit jinou repliku nastavenou na partnerský virtuální síť v jakékoli oblasti Azure, která podporuje službu Domain Services. Sady replik sdílejí stejný obor názvů a konfiguraci se spravovanou doménou.

Můžu microsoft Entra Domain Services získat jako součást sady Enterprise Mobility Suite (EMS)? Potřebuji k používání služeb Microsoft Entra Domain Services Microsoft Entra ID P1 nebo P2?

Ne. Microsoft Entra Domain Services je služba Azure s průběžným platbami a není součástí EMS. Microsoft Entra Domain Services lze použít se všemi edicemi Microsoft Entra ID (Free a Premium). Fakturujete se po hodinách v závislosti na využití.

Můžu ve spravované doméně vytvořit podřízenou doménu?

Ne. Služba Microsoft Entra Domain Services má návrh s jednou doménou, jednou doménovou strukturou a nemůžete vytvářet podřízené domény.

Které oblasti Azure mají službu k dispozici?

Na stránce Služby Azure podle oblastí najdete seznam oblastí Azure, ve kterých je dostupná služba Microsoft Entra Domain Services.

Řešení problémů

Informace o řešení běžných problémů s konfigurací nebo správou služby Azure AD Domain Services najdete v průvodci odstraňováním potíží.

Další kroky

Další informace o službě Microsoft Entra Domain Services najdete v tématu Co je Microsoft Entra Domain Services?.

Pokud chcete začít, přečtěte si téma Vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services.