A Microsoft Entra Domain Services gyakori hibái és hibaelhárítási lépései
Az alkalmazások identitásának és hitelesítésének központi részeként a Microsoft Entra Domain Services néha problémákat tapasztal. Ha problémákba ütközik, néhány gyakori hibaüzenet és a kapcsolódó hibaelhárítási lépések segítenek a dolgok újrafuttatásában. Bármikor megnyithat egy Azure-támogatás kérést is, amely további hibaelhárítási segítséget kér.
Ez a cikk hibaelhárítási lépéseket tartalmaz a Domain Services gyakori problémáihoz.
A Microsoft Entra Domain Services nem engedélyezhető a Microsoft Entra-címtárhoz
Ha problémái vannak a Domain Services engedélyezésével, tekintse át az alábbi gyakori hibákat és a megoldásuk lépéseit:
| Minta hibaüzenet | Resolution (Osztás) |
|---|---|
| A aaddscontoso.com név már használatban van ezen a hálózaton. Adjon meg olyan nevet, amely még nincs használatban. | Tartománynévütközés a virtuális hálózaton |
| A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A szolgáltatás nem rendelkezik megfelelő engedélyekkel a Microsoft Entra Domain Services Sync nevű alkalmazáshoz. Törölje a "Microsoft Entra Domain Services Sync" nevű alkalmazást, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára. | A Domain Services nem rendelkezik megfelelő engedélyekkel a Microsoft Entra Domain Services Szinkronizálási alkalmazáshoz |
| A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A Tartományszolgáltatások alkalmazás a Microsoft Entra-bérlőben nem rendelkezik a tartományi szolgáltatások engedélyezéséhez szükséges engedélyekkel. Törölje az alkalmazást a d87dcbc6-a371-462e-88e3-28ad15ec4e64 alkalmazásazonosítóval, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára. | A Domain Services-alkalmazás nincs megfelelően konfigurálva a Microsoft Entra-bérlőben |
| A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A Microsoft Entra alkalmazás le van tiltva a Microsoft Entra-bérlőben. Engedélyezze az alkalmazást a 00000002-0000-0000-c000-0000000000 alkalmazásazonosítóval, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára. | A Microsoft Graph alkalmazás le van tiltva a Microsoft Entra-bérlőben |
Tartománynévütközés
Hibaüzenet
A aaddscontoso.com név már használatban van ezen a hálózaton. Adjon meg olyan nevet, amely még nincs használatban.
Resolution (Osztás)
Ellenőrizze, hogy nincs-e ugyanazon a tartománynévvel rendelkező meglévő AD DS-környezet vagy társhálózat. Előfordulhat például, hogy aaddscontoso.com nevű AD DS-tartománya Azure-beli virtuális gépeken fut. Ha egy tartományi szolgáltatások által felügyelt tartományt próbál engedélyezni a virtuális hálózaton aaddscontoso.com azonos tartománynévvel, a kért művelet meghiúsul.
Ezt a hibát a virtuális hálózaton lévő tartománynév névütközései okozhatják. A DNS-keresés ellenőrzi, hogy egy meglévő AD DS-környezet válaszol-e a kért tartománynévre. A hiba megoldásához adjon meg egy másik nevet a felügyelt tartomány beállításához, vagy bontsa le a meglévő AD DS-tartományt, majd próbálkozzon újra a Tartományi szolgáltatások engedélyezésével.
Nem megfelelő engedélyek
Hibaüzenet
A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A szolgáltatás nem rendelkezik megfelelő engedélyekkel a Microsoft Entra Domain Services Sync nevű alkalmazáshoz. Törölje a "Microsoft Entra Domain Services Sync" nevű alkalmazást, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára.
Resolution (Osztás)
Ellenőrizze, hogy van-e Microsoft Entra Domain Services Sync nevű alkalmazás a Microsoft Entra címtárban. Ha ez az alkalmazás létezik, törölje, majd próbálkozzon újra a Domain Services engedélyezéséhez. Meglévő alkalmazás kereséséhez és szükség esetén törléséhez hajtsa végre a következő lépéseket:
- A Microsoft Entra Felügyeleti központban válassza a Microsoft Entra-azonosítót a bal oldali navigációs menüből.
- Select Enterprise applications. Válassza az Összes alkalmazás lehetőséget az Alkalmazástípus legördülő menüben, majd válassza az Alkalmaz lehetőséget.
- A keresőmezőbe írja be a Microsoft Entra Domain Services Sync kifejezést. Ha az alkalmazás létezik, jelölje ki, és válassza a Törlés lehetőséget.
- Miután törölte az alkalmazást, próbálja meg újból engedélyezni a Domain Services szolgáltatást.
Érvénytelen konfiguráció
Hibaüzenet
A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A Tartományszolgáltatások alkalmazás a Microsoft Entra-bérlőben nem rendelkezik a tartományi szolgáltatások engedélyezéséhez szükséges engedélyekkel. Törölje az alkalmazást a d87dcbc6-a371-462e-88e3-28ad15ec4e64 alkalmazásazonosítóval, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára.
Resolution (Osztás)
Ellenőrizze, hogy rendelkezik-e már AzureActiveDirectoryDomainControllerServices nevű alkalmazással a Microsoft Entra-címtárban a d87dcbc6-a371-462e-88e3-28ad15ec4e64 alkalmazásazonosítóval. Ha az alkalmazás létezik, törölje, majd próbálkozzon újra a Domain Services engedélyezéséhez.
A következő PowerShell-szkripttel keressen egy meglévő alkalmazáspéldányt, és szükség esetén törölje azt:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
A Microsoft Graph le van tiltva
Hibaüzenet
A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A Microsoft Entra alkalmazás le van tiltva a Microsoft Entra-bérlőben. Engedélyezze az alkalmazást a 00000002-0000-0000-c000-0000000000 alkalmazásazonosítóval, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára.
Resolution (Osztás)
Ellenőrizze, hogy letiltott-e egy 000000002-0000-0000-c000-00000000000 azonosítójú alkalmazást. Ez az alkalmazás a Microsoft Entra alkalmazás, és Graph API-hozzáférést biztosít a Microsoft Entra-bérlőhöz. A Microsoft Entra-bérlő szinkronizálásához engedélyezni kell ezt az alkalmazást.
Az alkalmazás állapotának ellenőrzéséhez és szükség esetén engedélyezéséhez hajtsa végre az alábbi lépéseket:
- A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a Nagyvállalati alkalmazásokat.
- Válassza az Összes alkalmazás lehetőséget az Alkalmazástípus legördülő menüben, majd válassza az Alkalmaz lehetőséget.
- A keresőmezőbe írja be a 00000002-0000-0000-c000-0000000000 értéket. Jelölje ki az alkalmazást, majd válassza a Tulajdonságok lehetőséget.
- Ha a felhasználók számára engedélyezve van a bejelentkezés, állítsa a Nem értéket Igen értékre, majd válassza a Mentés lehetőséget.
- Miután engedélyezte az alkalmazást, próbálja meg újra engedélyezni a Domain Servicest.
A felhasználók nem tudnak bejelentkezni a Microsoft Entra Domain Services által felügyelt tartományba
Ha a Microsoft Entra-bérlő egy vagy több felhasználója nem tud bejelentkezni a felügyelt tartományba, végezze el az alábbi hibaelhárítási lépéseket:
Hitelesítő adatok formátuma – Próbálja meg az UPN formátumot használni a hitelesítő adatok megadásához, például
dee@aaddscontoso.onmicrosoft.com. Az UPN formátum az ajánlott módja a hitelesítő adatok megadásának a Domain Servicesben. Győződjön meg arról, hogy az UPN megfelelően van konfigurálva a Microsoft Entra-azonosítóban.Előfordulhat , hogy a fiók SAMAccountName-neve , például az AADDSCONTOSO\driley automatikusan létrejön, ha több felhasználó rendelkezik ugyanazzal az UPN-előtaggal a bérlőben, vagy ha az UPN-előtag túl hosszú. Ezért előfordulhat, hogy a fiók SAMAccountName formátuma eltér a helyszíni tartományban elvárttól vagy használattól.
Jelszó-szinkronizálás – Győződjön meg arról, hogy engedélyezte a jelszó-szinkronizálást csak felhőalapú felhasználók vagy hibrid környezetek számára a Microsoft Entra Csatlakozás használatával.
Hibrid szinkronizált fiókok: Ha az érintett felhasználói fiókok szinkronizálva vannak egy helyszíni címtárból, ellenőrizze a következő területeket:
Telepítette vagy frissítette a Microsoft Entra Csatlakozás legújabb ajánlott kiadását.
Konfigurálta a Microsoft Entra Csatlakozás teljes szinkronizálásra.
A címtár méretétől függően eltarthat egy ideig, amíg a felhasználói fiókok és a hitelesítő adatok kivonatai elérhetők lesznek a felügyelt tartományban. Győződjön meg arról, hogy elég sokáig vár, mielőtt megpróbál hitelesítést végezni a felügyelt tartományon.
Ha a probléma az előző lépések ellenőrzése után is fennáll, indítsa újra a Azure AD-szinkronizáló szolgáltatást. A Microsoft Entra Csatlakozás kiszolgálóról nyisson meg egy parancssort, majd futtassa a következő parancsokat:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Csak felhőalapú fiókok: Ha az érintett felhasználói fiók csak felhőalapú felhasználói fiók, győződjön meg arról, hogy a felhasználó a Tartományi szolgáltatások engedélyezése után módosította a jelszavát. Ez a jelszó-visszaállítás a felügyelt tartományhoz szükséges hitelesítőadat-kivonatok létrehozásához vezet.
Ellenőrizze, hogy a felhasználói fiók aktív-e: Alapértelmezés szerint a felügyelt tartományon 2 percen belül öt érvénytelen jelszókísérlet miatt a felhasználói fiók 30 percre zárolva lesz. A felhasználó nem tud bejelentkezni, amíg a fiók zárolva van. 30 perc elteltével a felhasználói fiók automatikusan feloldva lesz.
- A felügyelt tartomány érvénytelen jelszavas kísérletei nem zárják ki a felhasználói fiókot a Microsoft Entra-azonosítóban. A felhasználói fiók zárolása csak a felügyelt tartományon belül történik. Ellenőrizze a felhasználói fiók állapotát az Active Directory Rendszergazda istrative Console (ADAC) szolgáltatásban a felügyeleti virtuális gép használatával, nem a Microsoft Entra-azonosítóban.
- Részletes jelszóházirendeket is konfigurálhat az alapértelmezett zárolási küszöbérték és időtartam módosításához.
Külső fiókok – Ellenőrizze, hogy az érintett felhasználói fiók nem külső fiók-e a Microsoft Entra-bérlőben. A külső fiókok közé tartoznak például a Microsoft-fiókok, például
dee@live.coma külső Microsoft Entra-címtárból származó felhasználói fiókok. A Domain Services nem tárolja a külső felhasználói fiókok hitelesítő adatait, így nem tudnak bejelentkezni a felügyelt tartományba.
Egy vagy több riasztás van a felügyelt tartományon
Ha aktív riasztások vannak a felügyelt tartományon, az megakadályozhatja, hogy a hitelesítési folyamat megfelelően működjön.
Ha ellenőrizni szeretné, hogy vannak-e aktív riasztások, ellenőrizze egy felügyelt tartomány állapotát. Ha megjelennek riasztások, hárítsa el és oldja fel őket.
A Microsoft Entra-bérlőről eltávolított felhasználók nem lesznek eltávolítva a felügyelt tartományból
A Microsoft Entra ID védelmet nyújt a felhasználói objektumok véletlen törlése ellen. Amikor töröl egy felhasználói fiókot egy Microsoft Entra-bérlőből, a rendszer áthelyezi a megfelelő felhasználói objektumot a lomtárba. Ha ez a törlési művelet szinkronizálva van a felügyelt tartománnyal, a megfelelő felhasználói fiók törlődik, mert a Domain Services nem rendelkezik lomtárkal.
Ha a felhasználói fiók visszaállítva van a bérlőben, a Domain Services lekéri a fiók összes hivatkozását, amikor szinkronizálja a módosítást a felügyelt tartománnyal. A felügyelt tartomány felhasználói fiókja új globálisan egyedi azonosítót (GUID) és biztonsági azonosítót (SID) kap.
További lépések
Ha továbbra is problémákat tapasztal, nyisson meg egy Azure-támogatás további hibaelhárítási segítséget.