Kesalahan umum dan langkah-langkah pemecahan masalah untuk Microsoft Entra Domain Services
Sebagai bagian terpusat dari identitas dan autentikasi untuk aplikasi, Microsoft Entra Domain Services terkadang memiliki masalah. Jika Anda mengalami masalah, ada beberapa pesan kesalahan umum dan langkah-langkah pemecahan masalah terkait untuk membantu Anda menjalankannya lagi. Kapan saja, Anda juga dapat membuka permintaan dukungan Azure untuk bantuan pemecahan masalah lainnya.
Artikel ini menyediakan langkah-langkah pemecahan masalah untuk masalah umum di Domain Services.
Anda tidak dapat mengaktifkan Microsoft Entra Domain Services untuk direktori Microsoft Entra Anda
Jika Anda mengalami masalah saat mengaktifkan Layanan Domain, tinjau kesalahan umum dan langkah-langkah berikut untuk mengatasinya:
| Sampel Pesan Kesalahan | Resolusi |
|---|---|
| Nama aaddscontoso.com telah digunakan di jaringan ini. Tentukan nama yang belum digunakan. | Konflik nama domain dalam jaringan virtual |
| Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Layanan ini tidak memiliki izin yang memadai ke aplikasi yang disebut Sinkronisasi Microsoft Entra Domain Services. Hapus aplikasi yang disebut 'Sinkronisasi Microsoft Entra Domain Services' lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. | Layanan Domain tidak memiliki izin yang memadai ke aplikasi Sinkronisasi Microsoft Entra Domain Services |
| Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Layanan Domain di penyewa Microsoft Entra Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Layanan Domain. Hapus aplikasi dengan pengidentifikasi aplikasi d87dcbc6-a371-462e-88e3-28ad15ec4e64 dan kemudian coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. | Aplikasi Layanan Domain tidak dikonfigurasi dengan benar di penyewa Microsoft Entra Anda |
| Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Microsoft Entra dinonaktifkan di penyewa Microsoft Entra Anda. Aktifkan aplikasi dengan pengidentifikasi aplikasi 00000002-0000-0000-c000-0000000000000, lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. | Aplikasi Microsoft Graph dinonaktifkan di penyewa Microsoft Entra Anda |
Konflik nama domain
Pesan Kesalahan
Nama aaddscontoso.com telah digunakan di jaringan ini. Tentukan nama yang belum digunakan.
Resolusi
Pastikan Anda tidak memiliki lingkungan Direktori Aktif yang ada dengan nama domain yang sama pada jaringan virtual yang sama, atau serekan. Misalnya, Anda mungkin memiliki domain Direktori Aktif bernama aaddscontoso.com yang berjalan di komputer virtual Azure. Ketika Anda mencoba mengaktifkan domain terkelola Domain Services dengan nama domain aaddscontoso.com yang sama di jaringan virtual, operasi yang diminta gagal.
Kegagalan ini disebabkan oleh konflik nama untuk nama domain di jaringan virtual. Pencarian DNS (Domain Name System/Sistem Nama Domain) memeriksa apakah lingkungan Direktori Aktif yang ada merespons nama domain yang diminta. Untuk mengatasi kegagalan ini, gunakan nama yang berbeda untuk menyiapkan domain terkelola Anda, atau batalkan provisi domain AD DS yang ada lalu coba lagi untuk mengaktifkan Layanan Domain.
Izin yang tidak memadai
Pesan Kesalahan
Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Layanan ini tidak memiliki izin yang memadai ke aplikasi yang disebut Sinkronisasi Microsoft Entra Domain Services. Hapus aplikasi yang disebut 'Sinkronisasi Microsoft Entra Domain Services' lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda.
Resolusi
Periksa apakah ada aplikasi bernama Microsoft Entra Domain Services Sync di direktori Microsoft Entra Anda. Jika aplikasi ini ada, hapus, lalu coba lagi untuk mengaktifkan Layanan Domain. Untuk memeriksa aplikasi yang sudah ada dan menghapusnya jika diperlukan, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, pilih ID Microsoft Entra dari menu navigasi sebelah kiri.
- Pilih Aplikasi perusahaan. Pilih Semua aplikasi dari menu drop-down Jenis Aplikasi, lalu pilih Terapkan.
- Dalam kotak pencarian, masukkan Sinkronisasi Microsoft Entra Domain Services. Jika aplikasi ada, pilih aplikasi dan pilih Hapus.
- Setelah Anda menghapus aplikasi, coba aktifkan Layanan Domain lagi.
Konfigurasi tidak valid
Pesan Kesalahan
Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Layanan Domain di penyewa Microsoft Entra Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Layanan Domain. Hapus aplikasi dengan pengidentifikasi aplikasi d87dcbc6-a371-462e-88e3-28ad15ec4e64 dan kemudian coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda.
Resolusi
Periksa apakah Anda memiliki aplikasi yang sudah ada bernama AzureActiveDirectoryDomainControllerServices dengan pengidentifikasi aplikasi d87dcbc6-a371-462e-88e3-28ad15ec4e64 di direktori Microsoft Entra Anda. Jika aplikasi ini ada, hapus dan coba lagi untuk mengaktifkan Layanan Domain.
Gunakan skrip PowerShell berikut ini untuk mencari instans aplikasi yang sudah ada dan menghapusnya jika diperlukan:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph dinonaktifkan
Pesan Kesalahan
Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Microsoft Entra dinonaktifkan di penyewa Microsoft Entra Anda. Aktifkan aplikasi dengan pengidentifikasi aplikasi 00000002-0000-0000-c000-0000000000000, lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda.
Resolusi
Periksa apakah Anda telah menonaktifkan aplikasi dengan pengidentifikasi 00000002-0000-0000-c000-000000000000. Aplikasi ini adalah aplikasi Microsoft Entra dan menyediakan akses Graph API ke penyewa Microsoft Entra Anda. Untuk menyinkronkan penyewa Microsoft Entra Anda, aplikasi ini harus diaktifkan.
Untuk memeriksa status aplikasi ini dan mengaktifkannya jika diperlukan, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, cari dan pilih Aplikasi perusahaan.
- Pilih Semua aplikasi dari menu drop-down Jenis Aplikasi, lalu pilih Terapkan.
- Di kotak pencarian, masukkan 00000002-0000-0000-c000-00000000000. Pilih aplikasi, lalu pilih Properti.
- Jika Diaktifkan untuk pengguna untuk rincian masuk diatur ke Tidak, atur nilai ke Ya, kemudian pilih Simpan.
- Setelah Anda mengaktifkan aplikasi, coba aktifkan Layanan Domain lagi.
Pengguna tidak dapat masuk ke domain terkelola Microsoft Entra Domain Services
Jika satu atau beberapa pengguna di penyewa Microsoft Entra Anda tidak dapat masuk ke domain terkelola, selesaikan langkah-langkah pemecahan masalah berikut:
Format informasi masuk - Coba gunakan format UPN untuk menentukan informasi masuk, seperti
dee@aaddscontoso.onmicrosoft.com. Format UPN adalah cara yang disarankan untuk menentukan kredensial di Layanan Domain. Pastikan UPN ini dikonfigurasi dengan benar di MICROSOFT Entra ID.SAMAccountName untuk akun Anda, seperti AADDSCONTOSO\driley dapat dihasilkan secara otomatis jika ada beberapa pengguna dengan awalan UPN yang sama di penyewa Anda atau jika awalan UPN Anda terlalu panjang. Oleh karena itu, format SAMAccountName untuk akun Anda mungkin berbeda dari apa yang Anda harapkan atau gunakan di domain lokal Anda.
Sinkronisasi kata sandi - Pastikan Anda telah mengaktifkan sinkronisasi kata sandi untuk pengguna khusus cloud atau untuk lingkungan hibrid menggunakan Microsoft Entra Koneksi.
Akun yang disinkronkan hybrid: Jika akun pengguna yang terpengaruh disinkronkan dari direktori lokal, verifikasi area berikut:
Anda telah menyebarkan, atau memperbarui ke, rilis terbaru yang direkomendasikan dari Microsoft Entra Koneksi.
Anda telah mengonfigurasi Microsoft Entra Koneksi untuk melakukan sinkronisasi penuh.
Bergantung pada ukuran direktori Anda, mungkin perlu beberapa saat agar akun pengguna dan hash informasi masuk tersedia di domain terkelola. Pastikan Anda menunggu cukup lama sebelum mencoba mengautentikasi terhadap domain terkelola.
Jika masalah berlanjut setelah memverifikasi langkah-langkah sebelumnya, coba mulai ulang Azure AD Sync Service. Dari server Microsoft Entra Koneksi Anda, buka perintah, lalu jalankan perintah berikut:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Akun khusus cloud: Jika akun pengguna yang terpengaruh adalah akun pengguna khusus cloud, pastikan bahwa pengguna telah mengubah kata sandi mereka setelah Anda mengaktifkan Layanan Domain. Reset kata sandi ini menyebabkan hash informasi masuk yang diperlukan untuk domain terkelola dihasilkan.
Verifikasi bahwa akun pengguna aktif: Secara default, lima upaya kata sandi tidak valid dalam 2 menit di domain terkelola menyebabkan akun pengguna terkunci selama 30 menit. Pengguna tidak dapat masuk saat akun dikunci. Setelah 30 menit, akun pengguna secara otomatis dibuka kuncinya.
- Upaya kata sandi yang tidak valid pada domain terkelola tidak mengunci akun pengguna di ID Microsoft Entra. Akun pengguna dikunci hanya dalam domain terkelola. Periksa status akun pengguna di Konsol Administratif Direktori Aktif (ADAC) menggunakan VM manajemen, bukan di ID Microsoft Entra.
- Anda juga dapat mengonfigurasi kebijakan kata sandi terperinci untuk mengubah ambang dan durasi penguncian default.
Akun eksternal - Periksa apakah akun pengguna yang terpengaruh bukan akun eksternal di penyewa Microsoft Entra. Contoh akun eksternal termasuk akun Microsoft seperti
dee@live.comatau akun pengguna dari direktori Microsoft Entra eksternal. Domain Services tidak menyimpan kredensial untuk akun pengguna eksternal sehingga mereka tidak dapat masuk ke domain terkelola.
Ada satu atau beberapa pemberitahuan di domain terkelola Anda
Jika ada pemberitahuan aktif pada domain terkelola, itu dapat mencegah proses autentikasi bekerja dengan benar.
Untuk melihat apakah ada pemberitahuan aktif, periksa status kesehatan domain terkelola. Jika ada pemberitahuan yang ditampilkan, lakukan pemecahan masalah dan selesaikan.
Pengguna yang dihapus dari penyewa Microsoft Entra Anda tidak dihapus dari domain terkelola Anda
MICROSOFT Entra ID melindungi dari penghapusan objek pengguna yang tidak disengaja. Saat Anda menghapus akun pengguna dari penyewa Microsoft Entra, objek pengguna terkait dipindahkan ke keranjang sampah. Saat operasi penghapusan ini disinkronkan ke domain terkelola Anda, akun pengguna terkait dihapus karena Domain Services tidak memiliki keranjang sampah.
Jika akun pengguna dipulihkan di penyewa, Domain Services mengambil semua tautan untuk akun saat menyinkronkan perubahan ke domain terkelola. Akun pengguna di domain terkelola mendapatkan pengidentifikasi unik global (GUID) dan ID keamanan (SID) baru.
Langkah berikutnya
Jika Anda terus mengalami masalah, buka permintaan dukungan Azure untuk bantuan pemecahan masalah lainnya.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk