Risolvere gli errori di directory senza corrispondenza per i domini gestiti esistenti di Azure AD Domain ServicesResolve mismatched directory errors for existing Azure AD Domain Services managed domains

Si dispone di un dominio gestito di servizi di dominio Active Directory di Azure esistente.You have an existing Azure AD Domain Services managed domain. Quando si passa al portale di Azure e visualizza il dominio gestito, è visualizzato il messaggio di errore seguente:When you navigate to the Azure portal and view the managed domain, you see the following error message:

Errore della directory senza corrispondenza

Non è possibile gestire il dominio gestito fino a quando l'errore non viene risolto.You cannot administer this managed domain until the error is resolved.

Causa dell'erroreWhat's causing this error?

Questo errore si verifica quando il dominio gestito e la rete virtuale in cui è abilitato appartengono a due diversi tenant di Azure AD.This error is caused when your managed domain and the virtual network it is enabled in belong to two different Azure AD tenants. Ad esempio, si dispone di un dominio gestito denominato "contoso.com" abilitato per il tenant di Azure AD di Contoso.For example, you have a managed domain called 'contoso.com' and it was enabled for Contoso's Azure AD tenant. Tuttavia, la rete virtuale di Azure in cui è stato abilitato il dominio gestito appartiene a Fabrikam, un altro tenant di Azure AD.However, the Azure virtual network in which the managed domain was enabled belongs to Fabrikam - a different Azure AD tenant.

Il nuovo portale di Azure, e in particolare l'estensione Azure AD Domain Services, si basa su Azure Resource Manager.The new Azure portal (and specifically the Azure AD Domain Services extension) is built on Azure Resource Manager. Nell'ambiente di Azure Resource Manager moderno, vengono applicate alcune restrizioni per offrire maggiore sicurezza e per il controllo dell'accesso basato sui ruoli sulle risorse.In the modern Azure Resource Manager environment, certain restrictions are enforced to deliver greater security and for roles-based access control (RBAC) to resources. L'abilitazione di Azure AD Domain Services per un tenant di Azure AD è un'operazione delicata perché causa la sincronizzazione degli hash delle credenziali con il dominio gestito.Enabling Azure AD Domain Services for an Azure AD tenant is a sensitive operation since it causes credential hashes to be synchronized to the managed domain. Per eseguire questa operazione è necessario essere amministratore del tenant per la directory.This operation requires you to be a tenant admin for the directory. È anche necessario disporre dei privilegi di amministratore nella rete virtuale in cui si abilita il dominio gestito.Additionally, you must have administrative privileges over the virtual network in which you enable the managed domain. Affinché il controllo degli accesi i base al ruolo funzioni in modo coerente, il dominio gestito e la rete virtuale devono appartenere allo stesso tenant di Azure AD.For the RBAC checks to work consistently, the managed domain and the virtual network should belong to the same Azure AD tenant.

In breve, non è possibile abilitare un dominio gestito per un tenant di Azure AD "contoso.com" in una rete virtuale che appartiene a una sottoscrizione di Azure di proprietà di un altro tenant di Azure AD "fabrikam.com".In short, you cannot enable a managed domain for an Azure AD tenant 'contoso.com' in a virtual network belonging to an Azure subscription owned by another Azure AD tenant 'fabrikam.com'.

Configurazione valida: in questo scenario di distribuzione, il dominio gestito Contoso è abilitato per il tenant di Azure AD di Contoso.Valid configuration: In this deployment scenario, the Contoso managed domain is enabled for the Contoso Azure AD tenant. Il dominio gestito viene esposto in una rete virtuale che appartiene a una sottoscrizione di Azure di proprietà del tenant di Azure AD di Contoso.The managed domain is exposed in a virtual network belonging to an Azure subscription owned by the Contoso Azure AD tenant. Pertanto, sia il dominio gestito che la rete virtuale appartengono allo stesso tenant di Azure AD.Therefore, both the managed domain as well as the virtual network belong to the same Azure AD tenant. Questa configurazione è valida e completamente supportata.This configuration is valid and fully supported.

Configurazione tenant valida

Configurazione tenant senza corrispondenza: in questo scenario di distribuzione, il dominio gestito Contoso è abilitato per il tenant di Azure AD di Contoso.Mismatched tenant configuration: In this deployment scenario, the Contoso managed domain is enabled for the Contoso Azure AD tenant. Tuttavia, il dominio gestito è esposto in una rete virtuale che appartiene a una sottoscrizione di Azure di proprietà del tenant Fabrikam di Azure AD.However, the managed domain is exposed in a virtual network that belongs to an Azure subscription owned by the Fabrikam Azure AD tenant. Pertanto, sia il dominio gestito che la rete virtuale appartengono a due diversi tenant di Azure AD.Therefore, the managed domain and the virtual network belong to two different Azure AD tenants. Questa configurazione è la configurazione del tenant senza corrispondenza e non è supportata.This configuration is the mismatched tenant configuration and is not supported. La rete virtuale deve essere spostata nello stesso tenant di Azure AD, ovvero in Contoso, come dominio gestito.The virtual network must be moved to the same Azure AD tenant (that is, Contoso) as the managed domain. Per informazioni dettagliate, vedere la sezione Risoluzione.See the Resolution section for details.

Configurazione tenant senza corrispondenza

Questo errore si verifica quando il dominio gestito e la rete virtuale in cui è abilitato appartengono a due diversi tenant di Azure AD.Therefore, when the managed domain and the virtual network it is enabled in belong to two different Azure AD tenants you see this error.

Le regole seguenti si applicano nell'ambiente di Resource Manager:The following rules apply in the Resource Manager environment:

  • Una directory di Azure AD può avere più sottoscrizioni di Azure.An Azure AD directory may have multiple Azure subscriptions.
  • Una sottoscrizione di Azure potrebbe avere più risorse, ad esempio le reti virtuali.An Azure subscription may have multiple resources such as virtual networks.
  • Un singolo dominio gestito di Azure AD Domain Services è abilitato per una directory di Azure AD.A single Azure AD Domain Services managed domain is enabled for an Azure AD directory.
  • Un dominio gestito di Azure AD Domain Services può essere abilitato in una rete virtuale che appartiene a una delle sottoscrizioni di Azure all'interno dello stesso tenant di Azure AD.An Azure AD Domain Services managed domain can be enabled on a virtual network belonging to any of the Azure subscriptions within the same Azure AD tenant.

RisoluzioneResolution

Per risolvere l'errore di directory senza corrispondenza ci sono due possibilità.You have two options to resolve the mismatched directory error. L'utente può:You may:

  • Fare clic sul pulsante Elimina per eliminare il dominio gestito esistente.Click the Delete button to delete the existing managed domain. Effettuare una nuova creazione tramite il portale di Azure, in modo che il dominio gestito e la rete virtuale in cui si trova appartengano alla directory di Azure AD.Re-create using the Azure portal, so that the managed domain and virtual network it is available in belong to the Azure AD directory. Aggiungere al dominio gestito appena creato tutti i computer precedentemente aggiunti al dominio eliminato.Join all machines previously joined to the deleted domain to the newly created managed domain.

  • Spostare la sottoscrizione di Azure contenente la rete virtuale nella directory di Azure AD a cui appartiene il dominio gestito.Move the Azure subscription containing the virtual network to the Azure AD directory, to which your managed domain belongs. Seguire la procedura descritta nell'articolo Trasferire la proprietà di una sottoscrizione di Azure a un altro account.Follow the steps in the transfer ownership of an Azure subscription to another account article.