Známé problémy: běžné výstrahy a řešení v Azure Active Directory Domain Services

  • Článek
  • 12 min ke čtení

Jako centrální součást identity a ověřování pro aplikace Azure Active Directory Domain Services (Azure služba AD DS) někdy problémy. Pokud narazíte na problémy, budete mít k dispozici několik běžných výstrah a souvisejících kroků pro řešení potíží, které vám pomohou znovu spustit. Pro další pomoc s řešením potíží můžete také otevřít žádost o podporu Azure .

Tento článek popisuje informace o řešení běžných výstrah v Azure služba AD DS.

AADDS100: chybí adresář

Zpráva výstrahy

Je možné, že se odstranil adresář služby Azure AD přidružený ke spravované doméně. Spravovaná doména již není v podporované konfiguraci. Společnost Microsoft nemůže monitorovat, spravovat, opravovat a synchronizovat vaši spravovanou doménu.

Řešení

K této chybě obvykle dochází, když se předplatné Azure přesune do nového adresáře služby Azure AD a starý adresář služby Azure AD, který je přidružený k Azure služba AD DS, se odstraní.

Tato chyba je neopravitelná. Pokud chcete tuto výstrahu vyřešit, odstraňte existující spravovanou doménu a vytvořte ji znovu v novém adresáři. Pokud máte potíže s odstraněním spravované domény, otevřete žádost o podporu pro Azure , kde najdete další pomoc při odstraňování potíží.

AADDS101: Azure AD B2C je spuštěný v tomto adresáři.

Zpráva výstrahy

Azure AD Domain Services nelze povolit v Azure AD B2Cm adresáři.

Řešení

Azure služba AD DS se automaticky synchronizuje s adresářem Azure AD. Pokud je pro B2C nakonfigurovaný adresář služby Azure AD, Azure služba AD DS nejde nasadit a synchronizovat.

Chcete-li použít Azure služba AD DS, je nutné znovu vytvořit spravovanou doménu v adresáři, který není Azure AD B2C, a to pomocí následujících kroků:

  1. Odstraňte spravovanou doménu ze stávajícího adresáře služby Azure AD.
  2. Vytvořte nový adresář služby Azure AD, který není Azure AD B2C adresářem.
  3. Vytvořte náhradní spravovanou doménu.

Stav spravované domény se automaticky aktualizuje během dvou hodin a výstraha se odstraní.

AADDS103: adresa je ve veřejném rozsahu IP adres.

Zpráva výstrahy

Rozsah IP adres pro virtuální síť, ve které jste povolili Azure AD Domain Services, je ve veřejném rozsahu IP adres. Ve virtuální síti s rozsahem privátních IP adres musí být povolená Azure AD Domain Services. Tato konfigurace má vliv na schopnost Microsoftu monitorovat, spravovat, opravovat a synchronizovat vaši spravovanou doménu.

Řešení

Než začnete, ujistěte se, že rozumíte adresním prostorům privátního protokolu IP v4.

Virtuální počítače ve virtuální síti můžou podávat požadavky na prostředky Azure ve stejném rozsahu IP adres, jaký je nakonfigurovaný pro podsíť. Pokud nakonfigurujete rozsah veřejných IP adres pro podsíť, požadavky směrované do virtuální sítě nemusí dosahovat zamýšlených webových prostředků. Tato konfigurace může vést k nepředvídatelným chybám s Azure služba AD DS.

Poznámka

Pokud vlastníte rozsah IP adres v Internetu, který je nakonfigurovaný ve vaší virtuální síti, můžete tuto výstrahu ignorovat. Azure AD Domain Services ale s touto konfigurací nejde zavázat do smlouvy SLA , protože by mohlo vést k nepředvídatelným chybám.

Pokud chcete tuto výstrahu vyřešit, odstraňte existující spravovanou doménu a znovu ji vytvořte ve virtuální síti s rozsahem privátních IP adres. Tento proces je rušivý, protože spravovaná doména není k dispozici a všechny vlastní prostředky, které jste vytvořili jako OU nebo účty služeb, se ztratí.

  1. Odstraňte spravovanou doménu z adresáře.
  2. Chcete-li aktualizovat rozsah IP adres virtuální sítě, vyhledejte a vyberte možnost virtuální síť v Azure Portal. Vyberte virtuální síť pro Azure služba AD DS, která má nesprávně nastavený rozsah veřejných IP adres.
  3. V části Nastavení vyberte adresní prostor.
  4. Aktualizujte rozsah adres tak, že vyberete stávající rozsah adres, upravíte ho nebo přidáte další rozsah adres. Ujistěte se, že je nový rozsah IP adres v rozsahu privátních IP adres. Až budete připraveni, změny uložte .
  5. V levém navigačním panelu vyberte podsítě .
  6. Vyberte podsíť, kterou chcete upravit, nebo vytvořte další podsíť.
  7. Aktualizujte nebo zadejte rozsah privátních IP adres a potom změny uložte .
  8. Vytvořte náhradní spravovanou doménu. Ujistěte se, že jste si vybrali aktualizovanou podsíť virtuální sítě s rozsahem privátních IP adres.

Stav spravované domény se automaticky aktualizuje během dvou hodin a výstraha se odstraní.

AADDS106: vaše předplatné Azure se nenašlo.

Zpráva výstrahy

Vaše předplatné Azure přidružené k vaší spravované doméně se odstranilo. Azure AD Domain Services vyžaduje, aby aktivní předplatné pokračovalo ve správném fungování.

Řešení

Azure služba AD DS vyžaduje aktivní předplatné a nedá se přesunout do jiného předplatného. Pokud se odstraní předplatné Azure, ke kterému byla spravovaná doména přidružená, musíte znovu vytvořit předplatné Azure a spravovanou doménu.

  1. Vytvořte si předplatné Azure.
  2. Odstraňte spravovanou doménu ze stávajícího adresáře služby Azure AD.
  3. Vytvořte náhradní spravovanou doménu.

AADDS107: vaše předplatné Azure je zakázané.

Zpráva výstrahy

Vaše předplatné Azure přidružené k vaší spravované doméně není aktivní. Azure AD Domain Services vyžaduje, aby aktivní předplatné pokračovalo ve správném fungování.

Řešení

Azure služba AD DS vyžaduje aktivní předplatné. Pokud předplatné Azure, ke kterému je spravovaná doména přidružená, není aktivní, musíte ho obnovit, aby se předplatné znovu aktivovalo.

  1. Prodlužte si platnost předplatného Azure.
  2. Po obnovení odběru vám oznámení služby Azure služba AD DS umožní znovu povolit spravovanou doménu.

Pokud je spravovaná doména znovu povolena, stav spravované domény se automaticky aktualizuje během dvou hodin a výstraha se odstraní.

AADDS108: odběr přesunutých adresářů

Zpráva výstrahy

Předplatné používané službou Azure AD Domain Services bylo přesunuto do jiného adresáře. Azure AD Domain Services musí mít ve stejném adresáři aktivní předplatné, aby správně fungovalo.

Řešení

Azure služba AD DS vyžaduje aktivní předplatné a nedá se přesunout do jiného předplatného. Pokud je přesunuté předplatné Azure, ke kterému byla spravovaná doména přidružená, přesuňte předplatné zpátky do předchozího adresáře nebo z existujícího adresáře odstraňte spravovanou doménu a ve vybraném předplatném vytvořte náhradní spravovanou doménu.

AADDS109: prostředky pro spravovanou doménu se nenašly.

Zpráva výstrahy

Prostředek, který se používá pro spravovanou doménu, byl odstraněn. Tento prostředek je nutný, aby Azure AD Domain Services správně fungoval.

Řešení

Azure služba AD DS vytváří další prostředky pro správné fungování, jako jsou veřejné IP adresy, virtuální síťová rozhraní a nástroj pro vyrovnávání zatížení. Pokud se některý z těchto prostředků odstraní, spravovaná doména je v nepodporovaném stavu a zabraňuje správě domény. Další informace o těchto prostředcích najdete v tématu síťové prostředky používané službou Azure služba AD DS.

Tato výstraha se vygeneruje, když se odstraní jeden z požadovaných prostředků. Pokud se prostředek odstranil před méně než 4 hodinami, existuje možnost, že platforma Azure může automaticky znovu vytvořit odstraněný prostředek. Následující kroky popisují, jak kontrolovat stav a časové razítko odstranění prostředku:

  1. V Azure Portal vyhledejte a vyberte Domain Services. Vyberte spravovanou doménu, například aaddscontoso.com.

  2. V levém navigačním panelu vyberte stav.

  3. Na stránce stav vyberte výstrahu s ID AADDS109.

  4. Výstraha má časové razítko, které bylo poprvé nalezeno. Pokud je toto časové razítko před méně než 4 hodinami, může být platforma Azure schopna automaticky znovu vytvořit prostředek a výstrahu vyřešit sám.

    Z různých důvodů může být výstraha starší než 4 hodiny. V takovém případě můžete tuto spravovanou doménu odstranit a pak vytvořit náhradní spravovanou doménu pro okamžitou opravu, nebo můžete otevřít žádost o podporu a tuto instanci opravit. V závislosti na povaze problému může podpora vyžadovat obnovení ze zálohy.

AADDS110: podsíť přidružená ke spravované doméně je plná.

Zpráva výstrahy

Podsíť vybraná pro nasazení Azure AD Domain Services je plná a nemá místo pro další řadič domény, který je potřeba vytvořit.

Řešení

Podsíť virtuální sítě pro Azure služba AD DS potřebuje dostatek IP adres pro automaticky vytvořené prostředky. Tento adresní prostor IP adres zahrnuje nutnost vytvořit náhradní prostředky, pokud dojde k události údržby. K minimalizaci rizika vycházejícího z dostupných IP adres nesaďte do stejné podsítě virtuální sítě, jako je spravovaná doména, další prostředky, například vaše vlastní virtuální počítače.

Tato chyba je neopravitelná. Pokud chcete tuto výstrahu vyřešit, odstraňte existující spravovanou doménu a vytvořte ji znovu. Pokud máte potíže s odstraněním spravované domény, otevřete žádost o podporu pro Azure , kde najdete další pomoc při odstraňování potíží.

AADDS111: objekt služby je neautorizovaný.

Zpráva výstrahy

Instanční objekt, který Azure AD Domain Services používá ke službě vaší domény, nemá oprávnění ke správě prostředků v rámci předplatného Azure. Instanční objekt musí mít oprávnění k provozu vaší spravované domény.

Řešení

Některé automaticky generované objekty služby se používají ke správě a vytváření prostředků pro spravovanou doménu. Pokud dojde ke změně oprávnění pro přístup k některému z těchto instančních objektů, doména nemůže správně spravovat prostředky. Následující kroky ukazují, jak pochopit a pak udělit přístupová oprávnění k instančnímu objektu:

  1. Přečtěte si o řízení přístupu na základě role v Azure a o tom, jak udělit přístup k aplikacím v Azure Portal.
  2. Zkontrolujte přístup, který instanční objekt s ID abba844e-bc0e-44b0-947a-dc74e5d09022 má, a udělte přístup, který byl zamítnut v dřívější datum.

AADDS112: ve spravované doméně není dostatečná IP adresa.

Zpráva výstrahy

Zjistili jsme, že podsíť virtuální sítě v této doméně nemusí mít dost IP adres. Azure AD Domain Services potřebuje aspoň dvě dostupné IP adresy v podsíti, ve které je povolený. V rámci podsítě doporučujeme mít minimálně 3-5 náhradních IP adres. K této chybě mohlo dojít, pokud jsou v rámci podsítě nasazeny další virtuální počítače, čímž dojde k vyčerpání počtu dostupných IP adres nebo omezení počtu dostupných IP adres v podsíti.

Řešení

Podsíť virtuální sítě pro Azure služba AD DS potřebuje dostatek IP adres pro automaticky vytvořené prostředky. Tento adresní prostor IP adres zahrnuje nutnost vytvořit náhradní prostředky, pokud dojde k události údržby. K minimalizaci rizika vycházejícího z dostupných IP adres nesaďte do stejné podsítě virtuální sítě, jako je spravovaná doména, další prostředky, například vaše vlastní virtuální počítače.

Pokud chcete tuto výstrahu vyřešit, odstraňte existující spravovanou doménu a znovu ji vytvořte ve virtuální síti s velkým množstvím rozsahu IP adres. Tento proces je rušivý, protože spravovaná doména není k dispozici a všechny vlastní prostředky, které jste vytvořili jako OU nebo účty služeb, se ztratí.

  1. Odstraňte spravovanou doménu z adresáře.
  2. Chcete-li aktualizovat rozsah IP adres virtuální sítě, vyhledejte a vyberte možnost virtuální síť v Azure Portal. Vyberte virtuální síť pro spravovanou doménu, která má malý rozsah IP adres.
  3. V části Nastavení vyberte adresní prostor.
  4. Aktualizujte rozsah adres tak, že vyberete stávající rozsah adres, upravíte ho nebo přidáte další rozsah adres. Zajistěte, aby byl nový rozsah IP adres dostatečně velký pro rozsah podsítí spravované domény. Až budete připraveni, změny uložte .
  5. V levém navigačním panelu vyberte podsítě .
  6. Vyberte podsíť, kterou chcete upravit, nebo vytvořte další podsíť.
  7. Aktualizujte nebo zadejte velký rozsah IP adres a potom změny uložte .
  8. Vytvořte náhradní spravovanou doménu. Ujistěte se, že jste si vybrali aktualizovanou podsíť virtuální sítě s velkým množstvím rozsahu IP adres.

Stav spravované domény se automaticky aktualizuje během dvou hodin a výstraha se odstraní.

AADDS113: prostředky jsou neobnovitelné.

Zpráva výstrahy

Prostředky používané Azure AD Domain Services byly zjištěny v neočekávaném stavu a nelze je obnovit.

Řešení

Tato chyba je neopravitelná. Pokud chcete tuto výstrahu vyřešit, odstraňte existující spravovanou doménu a vytvořte ji znovu. Pokud máte potíže s odstraněním spravované domény, otevřete žádost o podporu pro Azure , kde najdete další pomoc při odstraňování potíží.

AADDS114: Neplatná podsíť

Zpráva výstrahy

Podsíť vybraná pro nasazení Azure AD Domain Services není platná a nedá se použít.

Řešení

Tato chyba je neopravitelná. Pokud chcete tuto výstrahu vyřešit, odstraňte existující spravovanou doménu a vytvořte ji znovu. Pokud máte potíže s odstraněním spravované domény, otevřete žádost o podporu pro Azure , kde najdete další pomoc při odstraňování potíží.

AADDS115: prostředky jsou uzamčené.

Zpráva výstrahy

Jeden nebo více síťových prostředků používaných spravovanou doménou nelze provozovat, protože cílový obor byl uzamčen.

Řešení

K tomu, aby se zabránilo změně nebo odstranění, se můžou použít zámky prostředků na prostředky Azure. Protože Azure služba AD DS je spravovaná služba, platforma Azure potřebuje možnost provádět změny konfigurace. Pokud se pro některé součásti Azure služba AD DS používá zámek prostředků, platforma Azure nemůže provádět úlohy správy.

Pokud chcete vyhledat zámky prostředků na součástech Azure služba AD DS a odebrat je, proveďte následující kroky:

  1. U každé síťové součásti spravované domény, jako je třeba virtuální síť, síťové rozhraní nebo veřejná IP adresa, se podívejte na protokoly operací v Azure Portal. Tyto protokoly operací by měly ukazovat, proč selže operace a kde se používá zámek prostředku.
  2. Vyberte prostředek, na kterém je zámek použit, a pak v části zámky vyberte a odeberte zámky.

AADDS116: prostředky jsou nepoužitelné.

Zpráva výstrahy

Jeden nebo více síťových prostředků používaných spravovanou doménou nelze provozovat v důsledku omezení zásad.

Řešení

Zásady se používají u prostředků Azure a skupin prostředků, které určují, jaké akce konfigurace jsou povolené. Protože Azure služba AD DS je spravovaná služba, platforma Azure potřebuje možnost provádět změny konfigurace. Pokud se na některých součástech Azure služba AD DS aplikuje zásada, platforma Azure nemusí být schopná provádět úlohy správy.

Pokud chcete vyhledat použité zásady v součástech Azure služba AD DS a aktualizovat je, proveďte následující kroky:

  1. U každé síťové součásti spravované domény, jako je například virtuální síť, síťová karta nebo veřejná IP adresa, se podívejte na protokoly operací v Azure Portal. Tyto protokoly operací by měly ukazovat, proč selže operace a kde se uplatní omezující zásada.
  2. Vyberte prostředek, u kterého se zásada používá, a pak v části zásady vyberte a upravte zásadu tak, aby byla méně omezující.

AADDS500: synchronizace se ještě nedokončila.

Zpráva výstrahy

Tato spravovaná doména byla naposledy synchronizována se službou Azure AD dne [Date]. Uživatelé se nemusí přihlašovat ve spravované doméně nebo členství ve skupině se nemusí synchronizovat se službou Azure AD.

Řešení

Podívejte se na stav služby Azure služba AD DS pro všechny výstrahy, které indikují problémy v konfiguraci spravované domény. Problémy se síťovou konfigurací můžou synchronizaci z Azure AD zablokovat. Pokud můžete vyřešit výstrahy indikující problém s konfigurací, počkejte dvě hodiny a vraťte se zpátky, abyste viděli, jestli se synchronizace úspěšně dokončila.

Následující běžné důvody způsobují zastavení synchronizace ve spravované doméně:

AADDS501: záloha se neuskutečnila během chvilky.

Zpráva výstrahy

Tato spravovaná doména byla naposledy zálohována [Date].

Řešení

Podívejte se na stav služby Azure služba AD DS pro výstrahy, které indikují problémy v konfiguraci spravované domény. Problémy se síťovou konfigurací můžou na platformě Azure zablokovat úspěšné pořízení záloh. Pokud můžete vyřešit výstrahy indikující problém s konfigurací, počkejte dvě hodiny a vraťte se zpátky, abyste viděli, jestli se synchronizace úspěšně dokončila.

AADDS503: pozastavení z důvodu zakázaného předplatného

Zpráva výstrahy

Spravovaná doména je pozastavená, protože předplatné Azure přidružené k doméně není aktivní.

Řešení

Upozornění

Pokud je spravovaná doména pozastavena po delší dobu, dojde k jejímu nebezpečnému odstranění. Vyřešte důvod pro pozastavení co nejrychleji. Další informace najdete v tématu pochopení stavů pozastavených pro Azure služba AD DS.

Azure služba AD DS vyžaduje aktivní předplatné. Pokud předplatné Azure, ke kterému je spravovaná doména přidružená, není aktivní, musíte ho obnovit, aby se předplatné znovu aktivovalo.

  1. Prodlužte si platnost předplatného Azure.
  2. Po prodloužení platnosti předplatného Azure AD DS oznámení umožňuje znovu povolit spravovanou doménu.

Když je spravovaná doména znovu povolená, stav spravované domény se během dvou hodin automaticky aktualizuje a výstrahu odebere.

AADDS504: Pozastavení kvůli neplatné konfiguraci

Zpráva upozornění

Spravovaná doména je pozastavená kvůli neplatné konfiguraci. Služba už dlouho nemohla spravovat, opravovat ani aktualizovat řadiče domény pro vaši spravovanou doménu.

Řešení

Upozornění

Pokud je spravovaná doména po delší dobu pozastavená, hrozí nebezpečí, že se odstraní. Co nejrychleji vyřešte důvod pozastavení. Další informace najdete v tématu Principy pozastavených stavů pro Azure AD DS.

Zkontrolujte stav Azure AD DS výstrahy, které indikují problémy v konfiguraci spravované domény. Pokud se vám podařilo vyřešit výstrahy, které indikují problém s konfigurací, počkejte dvě hodiny a zkontrolujte, jestli se synchronizace dokončila. Až budete připravení, podpora Azure žádost o opětovné povolení spravované domény.

Další kroky

Pokud stále máte problémy, otevřete žádost podpora Azure o další pomoc při řešení potíží.