Errores comunes y pasos de solución de problemas para los Servicios de dominio de Microsoft Entra
Como parte central de la identidad y autenticación de las aplicaciones, Microsoft Entra Domain Services a veces tiene problemas. Si es el caso, hay algunos mensajes de error comunes y pasos de solución de problemas asociados que le ayudarán a poner todo de nuevo en funcionamiento. En cualquier momento también puede abrir una solicitud de Soporte técnico de Azure y obtener así más ayuda para la solución de problemas.
Este artículo proporciona pasos para la solución de problemas comunes en los Servicios de dominio.
No se puede habilitar los Servicios de dominio de Microsoft Entra para el directorio de Microsoft Entra
Si tiene problemas para habilitar los Servicios de dominio, revise los siguientes errores comunes y los pasos para resolverlos:
| Ejemplo de mensaje de error | Resolución |
|---|---|
| El nombre aaddscontoso.com ya se está usando en esta red. Especifique un nombre que no esté en uso. | Conflicto de nombres de dominio en la red virtual |
| No se pudo habilitar Servicios de dominio en este inquilino de Microsoft Entra. El servicio no tiene los permisos adecuados para la aplicación llamada "Microsoft Entra Domain Services Sync". Elimine la aplicación llamada "Microsoft Entra Domain Services Sync" y luego intente habilitar los Servicios de dominio para su arrendatario Microsoft Entra. | Servicios de dominio carece de permisos suficientes para la aplicación Sincronizar los Servicios de dominio de Microsoft Entra |
| No se pudo habilitar los Servicios de dominio en este inquilino de Microsoft Entra. La aplicación Servicios de dominio en el inquilino de Microsoft Entra carece de los permisos necesarios para habilitar Domain Services. Elimine la aplicación con el identificador d87dcbc6-a371-462e-88e3-28ad15ec4e64 e intente habilitar los Servicios de dominio para el inquilino de Microsoft Entra. | La aplicación Servicios de dominio no está configurada correctamente en el inquilino de Microsoft Entra |
| No se pudo habilitar Servicios de dominio en este inquilino de Microsoft Entra. La aplicación Microsoft Entra está deshabilitada en el inquilino de Microsoft Entra. Habilite la aplicación con el identificador 00000002-0000-0000-c000-000000000000 e intente habilitar Servicios de dominio para el inquilino de Microsoft Entra. | La aplicación Microsoft Graph está deshabilitada en el inquilino de Microsoft Entra |
Conflicto de nombres de dominio
Mensaje de error
El nombre aaddscontoso.com ya se está usando en esta red. Especifique un nombre que no esté en uso.
Resolución
Compruebe que no tenga un entorno de AD DS con el mismo nombre de dominio en la misma red virtual o una emparejada. Por ejemplo, puede tener un dominio de AD DS denominado aaddscontoso.com que se ejecute en máquinas virtuales de Azure. Al intentar habilitar un dominio administrado por Servicios de dominio con el mismo nombre de dominio de aaddscontoso.com en la red virtual, la operación solicitada falla.
que se debe a los conflictos de nombre en el nombre de dominio de la red virtual. Una búsqueda DNS comprueba si un entorno de AD DS existente responde en el nombre de dominio solicitado. Para resolver este error, utilice un nombre diferente para configurar el dominio administrado o desprovisione el dominio AD DS existente y vuelva a intentar habilitar los Servicios de dominio.
Permisos insuficientes
Mensaje de error
No se pudo habilitar Servicios de dominio en este inquilino de Microsoft Entra. El servicio no tiene los permisos adecuados para la aplicación llamada "Microsoft Entra Domain Services Sync". Elimine la aplicación llamada "Microsoft Entra Domain Services Sync" y luego intente habilitar los Servicios de dominio para su arrendatario Microsoft Entra.
Resolución
Compruebe si hay una aplicación denominada Sincronizar los Servicios de dominio de Microsoft Entra en el directorio de Microsoft Entra. Si esta aplicación existe, elimínela y vuelva a intentar activar los Servicios de dominio. Para buscar una aplicación existente y eliminarla si es necesario, complete los pasos siguientes:
- En el Centro de administración de Microsoft Entra, seleccione Microsoft Entra ID en el menú de navegación izquierdo.
- Seleccione Aplicaciones empresariales. En el menú desplegable Tipo de aplicación, seleccione Todas las aplicaciones y Aplicar.
- En el cuadro de búsqueda, escriba Sincronizar los Servicios de dominio de Microsoft Entra. Si la aplicación existe, selecciónela y elija Eliminar.
- Una vez que haya eliminado la aplicación, intente habilitar de nuevo los Servicios de dominio.
Configuración no válida
Mensaje de error
No se pudo habilitar Servicios de dominio en este inquilino de Microsoft Entra. La aplicación Servicios de dominio en el inquilino de Microsoft Entra carece de los permisos necesarios para habilitar Domain Services. Elimine la aplicación con el identificador d87dcbc6-a371-462e-88e3-28ad15ec4e64 e intente habilitar los Servicios de dominio para el inquilino de Microsoft Entra.
Resolución
Compruebe si hay una aplicación con el nombre AzureActiveDirectoryDomainControllerServices con el identificador de aplicación d87dcbc6-a371-462e-88e3-28ad15ec4e64 en el directorio de Microsoft Entra. Si esta aplicación existe, elimínela y vuelva a intentar activar los Servicios de dominio.
Use el siguiente script de PowerShell para buscar una instancia de aplicación existente y eliminarla si es necesario:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph deshabilitado
Mensaje de error
No se pudo habilitar Servicios de dominio en este inquilino de Microsoft Entra. La aplicación Microsoft Entra está deshabilitada en el inquilino de Microsoft Entra. Habilite la aplicación con el identificador 00000002-0000-0000-c000-000000000000 e intente habilitar Servicios de dominio para el inquilino de Microsoft Entra.
Resolución
Compruebe si ha deshabilitado una aplicación con el identificador 00000002-0000-0000-c000-000000000000. Se trata de la aplicación de Microsoft Entra, que proporciona acceso al inquilino de Microsoft Entra a Graph API. Para sincronizar el inquilino de Microsoft Entra, esta aplicación debe estar habilitada.
Para comprobar el estado de esta aplicación y habilitarla si es necesario, complete los pasos siguientes:
- En el centro de administración de Microsoft Entra, busque y seleccione Aplicaciones empresariales.
- En el menú desplegable Tipo de aplicación, seleccione Todas las aplicaciones y Aplicar.
- En el cuadro de búsqueda, escriba 00000002-0000-0000-c000-00000000000. Seleccione la aplicación y elija Propiedades.
- Si la opción ¿Habilitado para que los usuarios inicien sesión? está establecida en No, cambie el valor a Sí y seleccione Guardar.
- Una vez que haya habilitado la aplicación, intente habilitar de nuevo los Servicios de dominio.
Los usuarios no pueden iniciar sesión en el dominio administrado de los Servicios de dominio de Microsoft Entra
Si uno o más usuarios de su inquilino de Microsoft Entra no pueden iniciar sesión en el dominio administrado, complete los siguientes pasos de solución de problemas:
Formato de las credenciales: pruebe a usar el formato UPN para especificar las credenciales, por ejemplo,
dee@aaddscontoso.onmicrosoft.com. El formato UPN es la forma recomendada de especificar credenciales en los Servicios de dominio. Asegúrese de que este UPN está configurado correctamente en Microsoft Entra ID.El atributo SAMAccountName de su cuenta, como AADDSCONTOSO\driley, se puede generar automáticamente si hay varios usuarios con el mismo prefijo UPN en el inquilino o si el prefijo UPN es demasiado largo. Por lo tanto, el formato del atributo SAMAccountName de su cuenta puede que no sea el que espera o el que usa en su dominio local.
Sincronización de contraseña: Asegúrese de que la ha habilitado para los usuarios exclusivos de la nube o para entornos híbridos mediante Microsoft Entra Connect.
Cuentas sincronizadas híbridas: Si las cuentas de usuario afectadas se sincronizan desde un directorio local, compruebe que ha hecho lo siguiente:
Implementar la versión más reciente recomendada de Microsoft Entra Connect o actualizar a esta versión.
Configurar Microsoft Entra Connect para realizar una sincronización completa.
En función del tamaño de su directorio, las cuentas de usuario y los hash de credenciales pueden tardar unos minutos en estar disponibles en el dominio administrado. Espere el tiempo necesario antes de intentar autenticarse en el dominio administrado.
Si el problema persiste tras verificar los pasos anteriores, pruebe a reiniciar el servicio de Sincronización de Azure AD. En el servidor de Microsoft Entra Connect, abra un símbolo del sistema y luego, ejecute los siguientes comandos:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Cuentas solo en la nube: Si la cuenta de usuario afectada es una cuenta de usuario solo en la nube, asegúrese de que el usuario ha cambiado su contraseña después de habilitar los Servicios de dominio. Este restablecimiento de contraseña hace que se generen los hash de credenciales necesarios para el dominio administrado.
Verifique que la cuenta de usuario está activa: De manera predeterminada, si se escribe una contraseña incorrecta en el dominio administrado cinco veces en un lapso de dos minutos, la cuenta de usuario quedará bloqueada durante 30 minutos. El usuario no podrá iniciar sesión mientras la cuenta esté bloqueada. Pasados los 30 minutos, la cuenta de usuario se desbloqueará automáticamente.
- Los intentos no válidos de escribir la contraseña en el dominio administrado no provocarán el bloqueo de la cuenta de usuario en Microsoft Entra ID. La cuenta de usuario solo se bloquea en el dominio administrado. Compruebe el estado de la cuenta de usuario en la consola de administración de Active Directory (ADAC) desde la máquina virtual de administración, no en Microsoft Entra ID.
- También puede configurar directivas de contraseña específica para cambiar el umbral y la duración de bloqueo predeterminados.
Cuentas externas: asegúrese de que la cuenta de usuario afectada no es una cuenta externa del inquilino de Microsoft Entra. Entre los ejemplos de las cuentas externas se incluyen las cuentas de Microsoft como
dee@live.como las cuentas de usuario de un directorio de Microsoft Entra externo. Los Servicios de dominio no almacenan las credenciales de las cuentas de usuarios externos, por lo que no pueden iniciar sesión en el dominio administrado.
Hay una o varias alertas en el dominio administrado
Si hay alertas activas en el dominio administrado, puede impedir que el proceso de autenticación funcione correctamente.
Para ver si hay alguna alerta activa, compruebe el estado de mantenimiento de un de dominio administrado. Si se muestra alguna alerta, solucione los problemas.
Los usuarios que se eliminan de su inquilino de Microsoft Entra no se quitan de su dominio administrado
Microsoft Entra ID protege contra la eliminación accidental de objetos de usuario. Al eliminar una cuenta de usuario de un inquilino de Microsoft Entra, se mueve el objeto de usuario correspondiente a la papelera de reciclaje. Cuando esta operación de eliminación se sincroniza con el dominio administrado, se elimina la cuenta de usuario correspondiente porque Domain Services no tiene una Papelera de reciclaje.
Si la cuenta de usuario se restaura en el inquilino, Domain Services captura todos los vínculos de la cuenta cuando sincroniza el cambio con el dominio administrado. La cuenta de usuario del dominio administrado obtiene un identificador único global (GUID) y un identificador de seguridad (SID) nuevos.
Pasos siguientes
Si sigue teniendo problemas, abra una solicitud de Soporte técnico de Azure para obtener más ayuda sobre la solución de problemas.