Memecahkan masalah masuk akun dengan domain terkelola Microsoft Entra Domain Services

  • Artikel

Alasan paling umum untuk akun pengguna yang tidak dapat masuk ke domain terkelola Microsoft Entra Domain Services mencakup skenario berikut:

Tip

Layanan Domain tidak dapat menyinkronkan dalam kredensial untuk akun yang berada di luar penyewa Microsoft Entra. Pengguna eksternal tidak dapat masuk ke domain terkelola Domain Services.

Akun belum disinkronkan ke Dalam Layanan Domain

Bergantung pada ukuran direktori Anda, mungkin perlu beberapa saat agar akun pengguna dan hash informasi masuk tersedia di domain terkelola. Untuk direktori besar, sinkronisasi satu arah awal ini dari ID Microsoft Entra dapat memakan waktu beberapa jam, dan hingga satu atau dua hari. Pastikan Anda menunggu cukup lama sebelum mencoba kembali autentikasi.

Untuk lingkungan hibrid yang Koneksi Microsoft Entra pengguna untuk menyinkronkan data direktori lokal ke id Microsoft Entra, pastikan Anda menjalankan versi terbaru Microsoft Entra Koneksi dan telah mengonfigurasi Microsoft Entra Koneksi untuk melakukan sinkronisasi penuh setelah mengaktifkan Layanan Domain. Jika Anda menonaktifkan Layanan Domain lalu mengaktifkan kembali, Anda harus mengikuti langkah-langkah ini lagi.

Jika Anda terus mengalami masalah dengan akun yang tidak disinkronkan melalui Microsoft Entra Koneksi, mulai ulang Layanan Sinkronisasi Microsoft Azure AD. Dari komputer dengan Microsoft Entra Koneksi terinstal, buka jendela prompt perintah, lalu jalankan perintah berikut:

net stop 'Microsoft Azure AD Sync'
net start 'Microsoft Azure AD Sync'

Layanan Domain tidak memiliki hash kata sandi

ID Microsoft Entra tidak menghasilkan atau menyimpan hash kata sandi dalam format yang diperlukan untuk autentikasi NTLM atau Kerberos hingga Anda mengaktifkan Layanan Domain untuk penyewa Anda. Untuk alasan keamanan, ID Microsoft Entra juga tidak menyimpan kredensial kata sandi apa pun dalam bentuk teks yang jelas. Oleh karena itu, ID Microsoft Entra tidak dapat secara otomatis menghasilkan hash kata sandi NTLM atau Kerberos ini berdasarkan kredensial pengguna yang ada.

Lingkungan hibrid dengan sinkronisasi lokal

Untuk lingkungan hibrid yang menggunakan Microsoft Entra Koneksi untuk menyinkronkan dari lingkungan AD DS lokal, Anda dapat secara lokal membuat dan menyinkronkan hash kata sandi NTLM atau Kerberos yang diperlukan ke id Microsoft Entra. Setelah Anda membuat domain terkelola, aktifkan sinkronisasi hash kata sandi ke Microsoft Entra Domain Services. Jika Anda tidak menyelesaikan langkah sinkronisasi hash kata sandi ini, Anda tidak dapat masuk ke akun menggunakan domain terkelola. Jika Anda menonaktifkan Layanan Domain lalu mengaktifkan kembali, Anda harus mengikuti langkah-langkah tersebut lagi.

Untuk informasi selengkapnya, lihat Cara kerja sinkronisasi hash kata sandi untuk Domain Services.

Lingkungan khusus cloud tanpa sinkronisasi lokal

Domain terkelola tanpa sinkronisasi lokal, hanya akun di ID Microsoft Entra, yang juga perlu menghasilkan hash kata sandi NTLM atau Kerberos yang diperlukan. Jika akun khusus cloud tidak dapat masuk, apakah proses perubahan kata sandi berhasil diselesaikan untuk akun setelah mengaktifkan Layanan Domain?

  • Tidak, kata sandi belum diubah.
    • Ubah kata sandi akun untuk membuat hash kata sandi yang diperlukan, lalu tunggu selama 15 menit sebelum Anda mencoba masuk lagi.
    • Jika Anda menonaktifkan Layanan Domain lalu mengaktifkan kembali, setiap akun harus mengikuti langkah-langkah lagi untuk mengubah kata sandi mereka dan menghasilkan hash kata sandi yang diperlukan.
  • Ya, kata sandi telah diubah.
    • Cobalah masuk menggunakan format UPN, seperti driley@aaddscontoso.com, bukan format SAMAccountName seperti AADDSCONTOSO\deeriley.
    • SAMAccountName dapat dibuat secara otomatis untuk pengguna yang awalan UPN-nya terlalu panjang atau sama dengan pengguna lain pada domain terkelola. Format UPN dijamin unik dalam penyewa Microsoft Entra.

Akun terkunci

Akun pengguna di domain terkelola dikunci ketika ambang yang ditentukan untuk upaya masuk yang gagal telah terpenuhi. Perilaku penguncian akun ini dirancang untuk melindungi Anda dari upaya masuk brute-force berulang yang mungkin mengindikasikan serangan digital otomatis.

Secara default, jika ada 5 upaya kata sandi yang buruk dalam 2 menit, akun akan dikunci selama 30 menit.

Untuk informasi selengkapnya dan cara mengatasi masalah penguncian akun, lihat Memecahkan masalah penguncian akun di Domain Services.

Langkah berikutnya

Jika Anda masih mengalami masalah saat bergabung dengan VM ke domain terkelola, temukan bantuan dan buka tiket dukungan untuk ID Microsoft Entra.