En esta página se responden las preguntas frecuentes sobre Microsoft Entra Domain Services.
Configuración
¿Puedo crear varios dominios administrados para un único directorio de Microsoft Entra?
No. Solo puede crear un único dominio administrado atendido por Microsoft Entra Domain Services para un único directorio de Microsoft Entra.
¿Puedo habilitar Microsoft Entra Domain Services en una red virtual clásica?
No se admiten redes virtuales clásicas.
Para obtener más información, vea el aviso de desuso oficial.
¿Puedo habilitar Microsoft Entra Domain Services en una red virtual de Azure Resource Manager?
Sí. Microsoft Entra Domain Services se puede habilitar en una red virtual de Azure Resource Manager. Ya no hay redes virtuales clásicas de Azure disponibles cuando crea un dominio administrado.
¿Puedo habilitar Microsoft Entra Domain Services en una suscripción de CSP (proveedor de soluciones en la nube) de Azure?
Sí. A fin de obtener más información, vea Procedimientos para habilitar Microsoft Entra Domain Services en las suscripciones de CSP de Azure.
¿Puedo hacer que Microsoft Entra Domain Services esté disponible en varias redes virtuales dentro de mi suscripción?
El propio servicio no admite directamente este escenario. Su dominio administrado está disponible en una sola red virtual a la vez. Pero puede configurar la conectividad entre varias redes virtuales con el fin de exponer Microsoft Entra Domain Services a otras redes virtuales. Para obtener más información, vea Procedimientos para conectar redes virtuales en Azure mediante puertas de enlace VPN o Emparejamiento de redes virtuales.
¿Puedo agregar controladores de dominio a un dominio administrado de Microsoft Entra Domain Services?
No. El dominio proporcionado por Microsoft Entra Domain Services es un dominio administrado. No es necesario aprovisionar, configurar o administrar de otro modo controladores de dominio para este dominio. Microsoft proporciona estas actividades de administración como servicio. Por lo tanto, no podrá agregar controladores de dominio adicionales (ni de lectura y escritura ni de solo lectura) para el dominio administrado.
¿Puedo expandir un dominio administrado a diferentes regiones de Azure para la recuperación de aplicaciones si una región de Azure se queda sin conexión?
Sí.
Puede crear conjuntos de réplicas que compartan el mismo espacio de nombres y configuración con el dominio administrado.
Los conjuntos de réplicas pueden agregarse a cualquier red virtual emparejada en cualquier región de Azure que admita Domain Services.
Para más información, vea Conceptos y características de conjuntos de réplicas de Microsoft Entra Domain Services.
¿Puedo habilitar Microsoft Entra Domain Services en un directorio de Microsoft Entra federado sin la sincronización de hash de contraseña?
No. Para autenticar a los usuarios mediante NTLM o Kerberos, Microsoft Entra Domain Services necesita acceso a los hashes de contraseña de las cuentas de usuario. En un directorio federado, los hashes de contraseña no se almacenan en el directorio de Microsoft Entra. Por lo tanto, Microsoft Entra Domain Services no funciona con estos directorios de Microsoft Entra.
Pero si usa Microsoft Entra Connect para la sincronización de hash de contraseña, emplee Microsoft Entra Domain Services porque los valores de hash de contraseña se almacenan en Microsoft Entra ID.
¿Puedo habilitar Microsoft Entra Domain Services mediante PowerShell?
Sí. Para más información, vea Procedimientos para habilitar Microsoft Entra Domain Services mediante PowerShell.
¿Puedo habilitar Microsoft Entra Domain Services mediante una plantilla de Resource Manager?
Sí, puede crear un dominio administrado de Microsoft Entra Domain Services mediante una plantilla de Resource Manager. Antes de implementar la plantilla, se deben crear una entidad de servicio y un grupo de Microsoft Entra para la administración mediante el Centro de administración de Microsoft Entra o PowerShell. Cuando crea un dominio administrado de Microsoft Entra Domain Services en el Centro de administración de Microsoft Entra, también existe la opción de exportar la plantilla para utilizarla en otras implementaciones. Para más información, vea Creación de un dominio administrado de Domain Services mediante una plantilla de Resource Manager.
¿Pueden los usuarios invitados a mi directorio usar Microsoft Entra Domain Services?
No. Los usuarios invitados a su directorio de Microsoft Entra mediante el proceso de invitación B2B de Microsoft Entra se sincronizan en el dominio administrado de Microsoft Entra Domain Services. Pero las contraseñas para estos usuarios no se almacenan en el directorio de Microsoft Entra. Por lo tanto, Microsoft Entra Domain Services no tiene ninguna manera de sincronizar los códigos hash de Kerberos y NTLM para estos usuarios en el dominio administrado. Estos usuarios no pueden iniciar sesión o unir equipos al dominio administrado.
¿Se puede crear una confianza de bosque de dos vías entre Domain Services y un bosque local?
Sí, puede crear una confianza bidireccional. También puede crear una confianza saliente unidireccional o una confianza entrante unidireccional a fin de admitir escenarios diferentes para la autenticación y el acceso de los usuarios. Para obtener más información, vea Creación de una relación de confianza de bosque.
¿Admite Domain Services la creación de confianza externa con dominios secundarios locales?
Actualmente, Domain Services solo admite la confianza de bosque y no admite la confianza de dominio externo.
¿Puedo mover un dominio administrado?
Después de crear un dominio administrado de Domain Services, no puede trasladarlo a otra suscripción, grupo de recursos o región. Para cambiar la región, una posible solución alternativa sería implementar un nuevo conjunto de réplicas en la región a la que quiere migrar. Una vez que se complete, elimine el conjunto de réplicas en la región que no quiera más. Como solución alternativa para el resto de configuración, puede eliminar el dominio administrado mediante PowerShell o el centro de administración de Microsoft Entra y volver a crearlo con la configuración que quiera. No se puede proporcionar ninguna operación de restauración mientras se vuelve a crear el dominio administrado.
¿Puedo cambiar el nombre de un dominio de Microsoft Entra Domain Services existente?
No. Después de crear un dominio administrado de Microsoft Entra Domain Services, no puede cambiar el nombre de dominio DNS. Elija concienzudamente el nombre de dominio DNS al crear el dominio administrado. A fin de ver las consideraciones que se deben tener al elegir el nombre de dominio DNS, vea el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
¿Microsoft Entra Domain Services incluye opciones de alta disponibilidad?
Sí. Cada dominio administrado de Microsoft Entra Domain Services contiene dos controladores de dominio. No necesita administrar estos controladores de dominio ni conectarse a ellos; forman parte del servicio administrado. Si implementa Microsoft Entra Domain Services en una región que admite Availability Zones, los controladores de dominio se distribuirán por diferentes zonas. En las regiones que no admitan Availability Zones, los controladores de dominio se distribuirán por diferentes conjuntos de disponibilidad. No tiene ninguna opción de configuración ni ningún control que le permita administrar esta distribución. Para más información, vea Opciones de disponibilidad para máquinas virtuales de Azure.
Administración y operaciones
¿Puedo conectarme al controlador de dominio para mi dominio administrado mediante Escritorio remoto?
No. Los administradores de inquilinos no tienen privilegios para conectarse a controladores de dominio en el dominio administrado con el Escritorio remoto. Los miembros del grupo Administradores de controlador de dominio de Microsoft Entra pueden administrar el dominio administrado usando las herramientas de administración de AD, como el Centro de administración de Active Directory (ADAC) o AD PowerShell. Estas herramientas se instalan mediante la característica Herramientas de administración de servidor remoto en un servidor de Windows unido al dominio administrado. Para obtener más información, vea Creación de una máquina virtual de administración para configurar y administrar un dominio administrado de Microsoft Entra Domain Services.
He habilitado Microsoft Entra Domain Services. ¿Qué cuenta de usuario utilizo para unir máquinas a este dominio?
Cualquier cuenta de usuario que forme parte del dominio administrado puede unirse a una VM. A los miembros del grupo Administradores de controlador de dominio de Microsoft Entra se les concede acceso de escritorio remoto a las máquinas que se han unido al dominio administrado.
¿Hay alguna cuota para el número de máquinas que puedo unir al dominio?
No hay cuota en Domain Services para máquinas unidas a un dominio.
¿Cómo se sincroniza la hora de las máquinas virtuales que están unidas a un dominio administrado?
Las máquinas virtuales que se ejecutan en Azure se sincronizan con los hosts de Azure para un tiempo muy preciso. Las máquinas virtuales que no son de Azure que se ejecutan en el entorno local deben tener configurados los servicios de hora de Windows para la sincronización con un origen de hora NTP externo, de forma similar a las máquinas virtuales unidas a un dominio. Para obtener más información, vea Configuración del mecanismo de tiempo para Windows Virtual Machines de Active Directory.
¿Puedo tener privilegios de administrador de dominio para el dominio administrado proporcionado por Microsoft Entra Domain Services?
No. No se le conceden privilegios administrativos en el dominio administrado. Los privilegios Administrador de dominio y Administrador de organización no estarán disponibles dentro del dominio. A los miembros de los grupos de administradores de dominio o administradores de organización dentro del directorio local de Active Directory tampoco se les concederán privilegios de administrador de dominio o de organización en el dominio administrado.
¿Puedo modificar pertenencias a grupos mediante LDAP u otras herramientas administrativas de AD en dominios administrados?
Los usuarios y grupos que se sincronizan entre Microsoft Entra ID y Microsoft Entra Domain Services no se pueden modificar porque su origen es Microsoft Entra ID. Esto incluye mover usuarios o grupos de la unidad organizativa administrada Usuarios AADDC a una unidad organizativa personalizada. Cualquier grupo o usuario que se origine en el dominio administrado se puede modificar.
¿Puedo autorizar un servidor DHCP en un dominio administrado?
No. La pertenencia de los Administradores de dominio es necesaria para autorizar un servidor DHCP, que no está disponible en un dominio administrado.
¿Cuánto tardan los cambios realizados en el directorio de Microsoft Entra en estar visibles en mi dominio administrado?
Los cambios realizados en el directorio de Microsoft Entra mediante la interfaz de usuario de Microsoft Entra o PowerShell se sincronizan automáticamente con el dominio administrado. Este proceso de sincronización se ejecuta en segundo plano. No hay ningún periodo de tiempo definido para que esta sincronización complete todos los cambios en el objeto.
¿Puedo extender el esquema del dominio administrado proporcionado por Microsoft Entra Domain Services?
No. Microsoft administra el esquema del dominio administrado. No se admiten extensiones de esquema en Microsoft Entra Domain Services.
¿Puedo modificar o agregar registros DNS en mi dominio administrado?
Sí. Los miembros del grupo Administradores de controlador de dominio de Microsoft Entra reciben privilegios de Administrador de DNS con el fin de modificar los registros DNS en el dominio administrado. Estos usuarios pueden utilizar la consola de administrador de DNS en una máquina que ejecuta Windows Server unido al dominio administrado para administrar DNS. A fin de usar la consola de administrador de DNS, instale las Herramientas del servidor DNS, que forman parte de la característica opcional Herramientas de administración remota del servidor en el servidor. Para más información, vea Administración de DNS en un dominio administrado de Microsoft Entra Domain Services.
¿Qué es la directiva de duración de la contraseña en un dominio administrado?
La duración predeterminada de la contraseña en un dominio administrado de Microsoft Entra Domain Services es de 90 días. Esta duración de la contraseña no se sincroniza con la duración de la contraseña configurada en Microsoft Entra ID. Por lo tanto, podría darse una situación donde las contraseñas de los usuarios hayan expirado en el dominio administrado, pero sigan siendo válidas en Microsoft Entra ID. En tales escenarios, los usuarios deben cambiar sus contraseñas en Microsoft Entra ID y la nueva contraseña se sincronizará con el dominio administrado. Si quiere cambiar la duración predeterminada de la contraseña en un dominio administrado, puede crear y configurar directivas de contraseñas personalizadas.
Además, la directiva de contraseñas de Microsoft Entra para DisablePasswordExpiration se sincroniza con un dominio administrado. Cuando DisablePasswordExpiration se aplica a un usuario en Microsoft Entra ID, el valor de UserAccountControl para el usuario sincronizado en el dominio administrado tiene DONT_EXPIRE_PASSWORD aplicado.
Cuando los usuarios restablecen su contraseña en Microsoft Entra ID, se aplica el atributo forceChangePasswordNextSignIn=True. Un dominio administrado sincroniza este atributo a partir de Microsoft Entra ID. Cuando el dominio administrado detecta que forceChangePasswordNextSignIn se ha establecido para un usuario sincronizado en Microsoft Entra ID, el atributo pwdLastSet del dominio administrado se establece en 0, lo que invalida la contraseña establecida actualmente.
¿Microsoft Entra Domain Services proporciona protección de bloqueo de cuentas de AD?
Sí. Tras escribir una contraseña incorrecta del dominio administrado cinco veces en un lapso de dos minutos, la cuenta de usuario quedará bloqueada durante 30 minutos. Pasados los 30 minutos, la cuenta de usuario se desbloqueará automáticamente. Los intentos no válidos de escribir la contraseña en el dominio administrado no provocarán el bloqueo de la cuenta de usuario en Microsoft Entra ID. La cuenta de usuario solo se bloqueará en el dominio administrado de Microsoft Entra Domain Services. Para obtener más información, vea Directivas de bloqueo de cuenta y contraseña en dominios administrados.
¿Puedo configurar el Sistema de archivos distribuido y la replicación en Microsoft Entra Domain Services?
No. El Sistema de archivos distribuido (DFS) y la replicación no están disponibles cuando se usa Microsoft Entra Domain Services.
¿Cómo se aplican las actualizaciones de Windows en Microsoft Entra Domain Services?
Los controladores de dominio de un dominio administrado aplican automáticamente las actualizaciones de Windows necesarias. No es necesario configurar ni administrar nada. Asegúrese de no crear reglas de grupo de seguridad de red que bloqueen el tráfico saliente hacia las actualizaciones de Windows. En el caso de las máquinas virtuales unidas al dominio administrado, el usuario es responsable de configurar y aplicar las actualizaciones necesarias del sistema operativo y de la aplicación.
¿Debo quitar las etiquetas AzureUpdateDelivery y AzureFrontDoor.FirstParty en el grupo de seguridad de red saliente (NSG)?
Con las etiquetas AzureUpdateDelivery y AzureFrontDoor.FirstParty en desuso, Microsoft Entra Domain Services ya no recomienda agregar estas etiquetas al tráfico saliente de Internet. Si usa la regla AllowInternetOutBound predeterminada (prioridad 65001), no se necesita ningún cambio (con o sin etiquetas AzureUpdateDelivery y AzureFrontDoor.FirstParty). Si quita la regla AllowInternetOutBound predeterminada (prioridad 65001) o precedida de una regla InternetOutBound denegada, use un firewall para filtrar el tráfico saliente de Windows Update mediante el FQDN de WindowsUpdate en lugar de restringir InternetOutBound. Este paso es fundamental para que Microsoft Entra Domain Services siga recibiendo actualizaciones de Windows. Para más información, vea Cambios en la etiqueta de servicio AzureUpdateDelivery.
¿Dónde almacena Microsoft Entra Domain Services los datos de los clientes?
Microsoft Entra Domain Services almacena los datos de los clientes. De manera predeterminada, los datos de los clientes permanecen dentro de la región donde se implementa la instancia de servicio. Los clientes pueden usar conjuntos de réplicas para almacenar datos en otras regiones.
¿Cómo se realiza la aplicación de revisión en controladores de dominio que forman parte de un dominio administrado?
Las revisiones se instalan tan pronto como estén disponibles (cada segundo martes). Se instalan por fases durante la semana en que están disponibles, empezando los martes.
¿Por qué mis controladores de dominio cambian de nombre?
Es posible que durante el mantenimiento de los controladores de dominio haya un cambio en sus nombres. Para evitar problemas con este tipo de cambio, se recomienda no usar los nombres de los controladores de dominio codificados de forma rígida en aplicaciones u otros recursos de dominio, sino el FQDN del dominio. De este modo, independientemente de cuáles sean los nombres de los controladores de dominio, no tendrá que volver a configurar nada después de un cambio de nombre.
¿Se ha sustituido periódicamente la contraseña de la cuenta KRBTGT en un dominio administrado? Si es así, ¿con qué la frecuencia?
La contraseña de la cuenta KRBTGT en un dominio administrado se sustituye cada siete (7) días.
Facturación y disponibilidad
¿Microsoft Entra Domain Services es un servicio de pago?
Sí. Vea la página de precios para obtener más información.
¿Hay una versión de evaluación gratuita para el servicio?
Microsoft Entra Domain Services se incluye en la evaluación gratuita de Azure. Puede suscribirse a un mes de evaluación gratuita de Azure.
¿Puedo pausar un dominio administrado de Microsoft Entra Domain Services?
No. Después de habilitar un dominio administrado de Microsoft Entra Domain Services, el servicio está disponible en la red virtual seleccionada hasta que se elimina el dominio administrado. No hay manera de pausar el servicio. La facturación continúa cada hora hasta que se elimine el dominio administrado.
¿Puedo conmutar por error Microsoft Entra Domain Services a otra región en un evento de recuperación ante desastres?
Sí, para proporcionar resistencia geográfica a un dominio administrado, puede crear otro conjunto de réplicas en una red virtual emparejada en cualquier región de Azure que admita Domain Services. Los conjuntos de réplicas comparten el mismo espacio de nombres y la misma configuración con el dominio administrado.
¿Puedo obtener Microsoft Entra Domain Services como parte de Enterprise Mobility Suite (EMS)? ¿Necesito Microsoft Entra ID P1 o P2 para usar Microsoft Entra Domain Services?
No. Microsoft Entra Domain Services es un servicio de pago por uso de Azure y no forma parte de EMS. Microsoft Entra Domain Services se puede usar con todas las ediciones de Microsoft Entra ID (Gratis y Premium). Se le facturará por cada hora en función del uso.
¿Puedo crear un dominio secundario en un dominio administrado?
No. Microsoft Entra Domain Services tiene un solo dominio, un diseño de bosque único y no se pueden crear dominios secundarios.
¿Qué regiones de Azure tienen el servicio disponible?
Consulte la página Servicios de Azure por región para ver una lista de las regiones de Azure donde está disponible Microsoft Entra Domain Services.
Solución de problemas
Consulte nuestra Guía de solución de problemas para obtener soluciones a los problemas más habituales al configurar o administrar Azure AD Domain Services.
Pasos siguientes
Para obtener más información sobre Microsoft Entra Domain Services, vea ¿Qué es Microsoft Entra Domain Services?.
Para empezar, vea Creación y configuración de dominios administrados de Microsoft Entra Domain Services.