Perguntas frequentes sobre o Microsoft Entra Domain Services

Esta página responde a perguntas frequentes sobre o Microsoft Entra Domain Services.

Configuração

É possível criar vários domínios gerenciados para cada diretório do Microsoft Entra?

Não. Você só pode criar um único domínio gerenciado atendido pelo Microsoft Entra Domain Services para cada diretório Microsoft Entra.

É possível habilitar o Microsoft Entra Domain Services em uma rede virtual Clássica?

Não há suporte para redes virtuais clássicas.

Para obter mais informações, confira o aviso oficial de preterimento.

É possível habilitar o Microsoft Entra Domain Services em uma rede virtual do Azure Resource Manager?

Sim. O Microsoft Entra Domain Services pode ser habilitado em uma rede virtual do Azure Resource Manager. As redes virtuais clássicas do Azure não estão mais disponíveis quando você cria um domínio gerenciado.

É possível habilitar o Microsoft Entra Domain Services em uma assinatura do CSP do Azure (Provedor de Soluções na Nuvem)?

É possível disponibilizar o Microsoft Entra Domain Services em várias redes virtuais na minha assinatura?

O próprio serviço não oferece suporte diretamente para esse cenário. Seu domínio gerenciado está disponível somente em uma rede virtual por vez. No entanto, é possível configurar a conectividade entre várias redes virtuais para expor o Microsoft Entra Domain Services a outras redes virtuais. Para obter mais informações, confira como conectar redes virtuais no Azure usando gateways de VPN ou emparelhamento de rede virtual.

É possível adicionar controladores de domínio a um domínio gerenciado do Microsoft Entra Domain Services?

Não. O domínio fornecido pelo Microsoft Entra Domain Services é um domínio gerenciado. Você não precisa provisionar, configurar ou gerenciar controladores de domínio para esse domínio. Essas atividades de gerenciamento são fornecidas como um serviço pela Microsoft. Portanto, não é possível adicionar outros controladores de domínio (leitura-gravação ou somente leitura) ao domínio gerenciado.

É possível expandir um domínio gerenciado para diferentes regiões do Azure para recuperação de aplicativos se uma região do Azure ficar offline?

Sim. É possível criar conjuntos de réplicas que compartilham o mesmo namespace e configuração com seu domínio gerenciado. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure com suporte ao Domain Services.
Para obter mais informações, confira Conceitos e recursos de conjuntos de réplicas para o Microsoft Entra Domain Services.

É possível habilitar o Microsoft Entra Domain Services em um diretório federado do Microsoft Entra sem sincronização de hash de senha?

Não. Para autenticar usuários via NTLM ou Kerberos, o Microsoft Entra Domain Services precisa acessar os hashes de senha das contas de usuário. Em um diretório federado, os hashes de senha não ficam armazenados no diretório do Microsoft Entra. Portanto, o Microsoft Entra Domain Services não funciona com esses diretórios do Microsoft Entra.

No entanto, se você estiver usando o Microsoft Entra Connect para sincronização de hash de senha, poderá usar o Microsoft Entra Domain Services porque os valores de hash de senha são armazenados no Microsoft Entra ID.

É possível habilitar o Microsoft Entra Domain Services com o PowerShell?

Sim. Para obter mais informações, confira como habilitar o Microsoft Entra Domain Services usando o PowerShell.

É possível habilitar o Microsoft Entra Domain Services usando um modelo do Resource Manager?

Sim, é possível criar um domínio gerenciado do Microsoft Entra Domain Services usando um modelo do Resource Manager. É preciso criar uma entidade de serviço e um grupo para administração do Microsoft Entra ID usando o centro de administração do Microsoft Entra ou o PowerShell antes que o modelo seja implantado. Quando você cria um domínio gerenciado do Microsoft Entra Domain Services no centro de administração do Microsoft Entra, também existe uma opção de exportação do modelo para utilização em outras implantações. Para obter mais informações, confira Criar um domínio gerenciado do Domain Services usando um modelo do Azure Resource Manager.

Os usuários convidados para o meu diretório podem usar o Microsoft Entra Domain Services?

Não. Os usuários convidados para o diretório do Microsoft Entra pelo processo de convite Microsoft Entra B2B são sincronizados com seu domínio gerenciado do Microsoft Entra Domain Services. No entanto, as senhas desses usuários não ficam armazenadas no diretório do Microsoft Entra. Ou seja, o Microsoft Entra Domain Services não tem como sincronizar hashes Kerberos e NTLM desses usuários no domínio gerenciado. Esses usuários não podem entrar ou ingressar em computadores no domínio gerenciado.

É possível criar uma relação de confiança de floresta bidirecional entre o Microsoft Entra Domain Services e uma floresta local?

Sim, é possível criar uma relação de confiança bidirecional. Também é possível criar uma relação de confiança unidirecional de saída ou uma relação de confiança unidirecional de entrada para dar suporte a diferentes cenários de autenticação e acesso de usuários. Para obter mais informações, confira Criar uma relação de confiança na floresta.

O Domain Services dá suporte à criação de confiança externa com domínios filho locais?

Atualmente, o Domain Services dá suporte apenas à confiança da floresta e não dão suporte a relações de confiança de domínio externas.

É possível mover um domínio gerenciado?

Após criar um domínio gerenciado do Domain Services, não será possível movê-lo para uma assinatura, grupo de recursos ou uma região diferente. Para alterar a região, uma possível solução alternativa seria implantar um novo conjunto de réplicas na região para a qual você deseja migrar. Depois que isso for concluído, exclua o conjunto de réplicas na região que você não deseja mais. Como uma solução alternativa para o restante das configurações, é possível excluir o domínio gerenciado usando o PowerShell ou o Centro de administração do Microsoft Entra e recriá-lo com a configuração desejada. Nenhuma operação de restauração pode ser fornecida enquanto o domínio gerenciado é recriado.

É possível renomear um nome de domínio existente do Microsoft Entra Domain Services?

Não. Após criar um domínio gerenciado do Microsoft Entra Domain Services, não será possível alterar o nome de domínio DNS. Escolha o nome de domínio DNS com cuidado ao criar o domínio gerenciado. Para ver as considerações necessárias na escolha do nome de domínio DNS, confira o tutorial para criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.

O Microsoft Entra Domain Services inclui opções de alta disponibilidade?

Sim. Cada domínio gerenciado do Microsoft Entra Domain Services inclui dois controladores de domínio. Você não gerencia ou se conecta a esses controladores de domínio, eles fazem parte do serviço gerenciado. Se você implantar o Microsoft Entra Domain Services em uma região que dá suporte a Zonas de Disponibilidade, os controladores de domínio serão distribuídos entre as zonas. Em regiões que não dão suporte a Zonas de Disponibilidade, os controladores de domínio são distribuídos entre Conjuntos de Disponibilidade. Você não tem opções de configuração ou controle de gerenciamento sobre esta distribuição. Para obter mais informações, confira Opções de disponibilidade para máquinas virtuais no Azure.

Administração e operações

É possível conectar ao controlador de domínio para meu domínio gerenciado usando a Área de Trabalho Remota?

Não. Você não tem permissões para se conectar aos controladores de domínio do domínio gerenciado usando a Área de Trabalho Remota. Os membros do grupo Administradores de controladores de domínio do Microsoft Entra podem administrar o domínio gerenciado com as ferramentas de administração do AD, por exemplo, o ADAC (Centro de Administração do Active Directory) ou o AD PowerShell. Essas ferramentas são instaladas usando o recurso Ferramentas de Administração de Servidor Remoto em um servidor Windows ingressado no domínio gerenciado. Para obter mais informações, confira Criar uma VM de gerenciamento para configurar e administrar um domínio gerenciado do Microsoft Entra Domain Services.

Habilitei o Microsoft Entra Domain Services. Qual conta de usuário eu posso usar para ingressar em computadores conectados ao domínio para este domínio?

Qualquer conta de usuário que faça parte do domínio gerenciado pode ingressar em uma VM. Os membros do grupo Administradores de controladores de domínio do Microsoft Entra recebem acesso à área de trabalho remota de computadores que ingressaram no domínio.

Há alguma cota para o número de computadores que posso ingressar no domínio?

Não existe cota no Domain Services de computadores ingressados no domínio.

Como o tempo é sincronizado em máquinas virtuais (VMs) conectadas a um domínio gerenciado?

As VMs que são executadas no Azure são sincronizadas com hosts do Azure por obter um tempo altamente preciso. As VMs não pertencentes ao Azure que são executadas localmente precisam ter os Serviços de Tempo do Windows configurados para sincronização com uma fonte de tempo NTP externa, da mesma forma que as VMs conectadas ao domínio. Para obter mais informações, confira Configurar o mecanismo de tempo para Máquinas Virtuais do Windows do Active Directory no Azure.

Tenho privilégios de administrador de domínio no domínio gerenciado fornecido pelo Microsoft Entra Domain Services?

Não. Você não recebe privilégios administrativos no domínio gerenciado. Os privilégios de Administrador de Domínio e Administrador Corporativo não estão disponíveis para você usar no domínio. Membros do administrador de domínio ou os grupos de administradores corporativos no seu Active Directory local também não receberão privilégios de administrador do domínio/administrador corporativo para o domínio gerenciado.

É possível modificar associações de grupo usando o LDAP ou outras ferramentas administrativas do AD em domínios gerenciados?

Usuários e grupos que são sincronizados do Microsoft Entra ID para o Microsoft Entra Domain Services não podem ser modificados porque sua fonte de origem é o Microsoft Entra ID. Isso inclui a movimentação de usuários ou grupos da unidade organizacional gerenciada Usuários do AADDC para uma unidade organizacional personalizada. Qualquer usuário ou grupo originado no domínio gerenciado pode ser modificado.

É possível autorizar um servidor DHCP em um domínio gerenciado?

Não. A associação de Administração de domínio é necessária para autorizar um servidor DHCP, que não está disponível em um domínio gerenciado.

Quanto tempo demora para que as alterações que fiz no diretório do Microsoft Entra fiquem visíveis no meu domínio gerenciado?

As alterações feitas no diretório do Microsoft Entra com a interface do usuário do Microsoft Entra ou do PowerShell são sincronizadas automaticamente com o domínio gerenciado. Esse processo de sincronização ocorre em segundo plano. Não há nenhum período de tempo definido para que essa sincronização conclua todas as alterações de objeto.

É possível estender o esquema do domínio gerenciado fornecido pelo Microsoft Entra Domain Services?

Não. O esquema é administrado pela Microsoft para o domínio gerenciado. O Microsoft Entra Domain Services não dá suporte a extensões de esquema.

É possível modificar ou adicionar registros DNS em meu domínio gerenciado?

Sim. Os membros do grupo Administradores de controladores de domínio do Microsoft Entra recebem privilégios de Administrador de DNS para modificar os registros DNS no domínio gerenciado. Esses usuários podem usar o console do Gerenciador de DNS em um computador que executa o Windows Server ingressado no domínio gerenciado para gerenciar o DNS. Para usar o console do Gerenciador DNS, instale Ferramentas de Servidor DNS, que fazem parte do recurso opcional de Ferramentas de Administração de Servidor Remoto no servidor. Para obter mais informações, confira Administrar DNS em um domínio gerenciado do Microsoft Entra Domain Services.

Qual é a política de vida útil da senha em um domínio gerenciado?

A vida útil da senha padrão em um domínio gerenciado do Microsoft Entra Domain Services é de 90 dias. Essa vida útil da senha não está sincronizada à vida útil da senha configurada no Microsoft Entra ID. Portanto, é possível que as senhas dos usuários venham a expirar no domínio gerenciado, mas ainda sejam válidas no Microsoft Entra ID. Em tais situações, os usuários precisarão alterar a senha no Microsoft Entra ID para que ela seja sincronizada com o domínio gerenciado. Se desejar alterar a vida útil da senha padrão em um domínio gerenciado, você poderá criar e configurar políticas de senha personalizadas.

Além disso, a política de senha do Microsoft Entra para DisablePasswordExpiration é sincronizada com um domínio gerenciado. Quando DisablePasswordExpiration é aplicado a um usuário no Microsoft Entra ID, o valor UserAccountControl aplica DONT_EXPIRE_PASSWORD ao usuário sincronizado no domínio gerenciado.

Quando os usuários redefinem sua senha no Microsoft Entra ID, o atributo forceChangePasswordNextSignIn=True é aplicado. Um domínio gerenciado sincroniza esse atributo com base no Microsoft Entra ID. Quando o domínio gerenciado detecta que forceChangePasswordNextSignIn está definido para um usuário sincronizado do Microsoft Entra ID, o atributo pwdLastSet no domínio gerenciado é definido como 0, o que invalida a senha definida no momento.

O Microsoft Entra Domain Services fornece proteção de bloqueio de conta ao AD?

Sim. Cinco tentativas de senha inválida em dois minutos no domínio gerenciado fazem com que uma conta de usuário seja bloqueada por 30 minutos. Depois de 30 minutos, a conta de usuário será desbloqueada automaticamente. Tentativas de senha inválida no domínio gerenciado não bloqueiam a conta de usuário no Microsoft Entra ID. A conta de usuário é bloqueada somente no domínio gerenciado do Microsoft Entra Domain Services. Para obter mais informações, confira Políticas de bloqueio de senha e conta em domínios gerenciados.

É possível configurar o sistema de arquivos distribuído e a duplicação no Microsoft Entra Domain Services?

Não. O DFS (Sistema de Arquivos Distribuído) e a replicação não ficam disponíveis durante o uso do Microsoft Entra Domain Services.

Como o Windows Update é aplicado ao Microsoft Entra Domain Services?

Os controladores de domínio em um domínio gerenciado aplicam automaticamente as atualizações necessárias do Windows. Não há nada para você configurar ou administrar aqui. Verifique se você não criou regras de grupo de segurança de rede que bloqueiem o tráfego de saída para o Windows Update. Para suas próprias VMs ingressadas no domínio gerenciado, você é responsável por configurar e aplicar todas as atualizações necessárias do sistema operacional e do aplicativo.

Devo remover as marcas AzureUpdateDelivery e AzureFrontDoor.FirstParty no NSG (grupo de segurança de rede) de saída?

Como as tags AzureUpdateDelivery e AzureFrontDoor.FirstParty foram preteridas, o Microsoft Entra Domain Services não recomenda mais adicionar essas tags ao tráfego de saída da Internet. Se você usar a regra AllowInternetOutBound padrão (prioridade 65001), nenhuma alteração será necessária (com ou sem rótulos AzureUpdateDelivery e AzureFrontDoor.FirstParty). Se você remover a regra AllowInternetOutBound padrão (prioridade 65001) ou precedê-la com uma regra InternetOutBound negada, use um firewall para filtrar o tráfego de saída do Windows Update usando o FQDN do WindowsUpdate em vez de restringir o InternetOutBound. Essa etapa é crucial para que o Microsoft Entra Domain Services continue recebendo atualizações do Windows. Para obter mais informações, confira Alterações na marca de serviço AzureUpdateDelivery.

Onde o Microsoft Entra Domain Services armazena dados do cliente?

O Microsoft Entra Domain Services armazena dados do cliente. Por padrão, os dados do cliente permanecem dentro da região em que a instância de serviço é implantada. Os clientes podem usar conjuntos de réplicas para armazenar dados em outras regiões.

Como a aplicação de patch é feita em controladores de domínio que fazem parte de um domínio gerenciado?

Os patches são instalados assim que ficam disponíveis (a cada duas terças-feiras). Eles são instalados em fases durante a semana em que ficam disponíveis, a partir das terças-feiras.

Por que meus controladores de domínio alteram nomes?

É possível que os nomes dos controladores de domínio sejam alterados durante sua manutenção. Para evitar problemas com esse tipo de alteração, é recomendável não usar os nomes dos controladores de domínio inseridos no código de aplicativos e/ou em outros recursos de domínio, somente o FQDN do domínio. Dessa forma, independentemente dos nomes dos controladores de domínio, você não precisará reconfigurar nada após uma alteração de nome.

A senha da conta KRBTGT em um domínio gerenciado é renovada periodicamente? Em caso afirmativo, qual é a frequência?

A senha da conta KRBTGT em um domínio gerenciado é renovada a cada sete (7) dias.

Disponibilidade e cobrança

O Microsoft Entra Domain Services é um serviço pago?

Sim. Para obter mais informações, confira a página de preço.

Há uma avaliação gratuita para o serviço?

O Microsoft Entra Domain Services está incluído na avaliação gratuita do Azure. É possível criar conta para uma avaliação gratuita de um mês do Azure.

É possível pausar um domínio gerenciado do Microsoft Entra Domain Services?

Não. Depois que um domínio gerenciado do Microsoft Entra Domain Services é habilitado, o serviço fica disponível na rede virtual selecionada até que o domínio gerenciado seja excluído. Não é possível pausar o serviço. A cobrança continuará por hora até que você exclua o domínio gerenciado.

É possível fazer failover do Microsoft Entra Domain Services para outra região em caso de recuperação de desastre?

Sim, para fornecer resiliência geográfica a um domínio gerenciado, você poderá criar outro conjunto de réplicas para uma rede virtual emparelhada em qualquer região do Azure que dê suporte ao Microsoft Entra Domain Services. Os conjuntos de réplicas compartilham o mesmo namespace e configuração com o domínio gerenciado.

É possível obter o Microsoft Entra Domain Services como parte do EMS (Enterprise Mobility Suite)? Preciso da licença Microsoft Entra ID P1 ou P2 para usar o Microsoft Entra Domain Services?

Não. O Microsoft Entra Domain Services é um serviço do Azure de pagamento conforme o uso e não faz parte do EMS. O Microsoft Entra Domain Services pode ser usado com todas as edições do Microsoft Entra ID (Gratuito e Premium). Você será cobrado por hora, dependendo do uso.

É possível criar um domínio filho em um domínio gerenciado?

Não. O Microsoft Entra Domain Services tem um design de domínio único e floresta única, ou seja, não é possível criar domínios filho.

Quais regiões do Azure têm o serviço disponível?

Confira a página Serviços do Azure por região para conhecer as regiões do Azure nas quais o Microsoft Entra Domain Services está disponível.

Solução de problemas

Confira o Guia de solução de problemas a fim de obter soluções para os problemas comuns encontrados ao configurar ou administrar os Azure AD Domain Services.

Próximas etapas

Para saber mais sobre o Microsoft Entra Domain Services, consulte O que é o Microsoft Entra Domain Services?.

Para começar, confira Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.