Guida alla risoluzione dei problemi di Servizi di dominio Azure Active DirectoryAzure AD Domain Services - Troubleshooting guide

Questo articolo offre suggerimenti per la risoluzione dei problemi che possono verificarsi quando si configura o si amministra Servizi di dominio di Azure Active Directory (AD).This article provides troubleshooting hints for issues you may encounter when setting up or administering Azure Active Directory (AD) Domain Services.

Non è possibile abilitare i Servizi di dominio Azure AD per la directory Azure ADYou cannot enable Azure AD Domain Services for your Azure AD directory

Le informazioni riportate in questa sezione consentono di risolvere gli errori che si verificano quando si tenta di abilitare Azure Active Directory Domain Services per la directory.This section helps you troubleshoot errors when you try to enable Azure AD Domain Services for your directory.

Seguire la procedura di risoluzione dei problemi corrispondente al messaggio di errore ricevuto.Pick the troubleshooting steps that correspond to the error message you encounter.

Messaggio di erroreError Message RisoluzioneResolution
The name contoso100.com is already in use on this network. Specify a name that is not in use. (Il nome contoso100.com è già in uso nella rete. Specificare un nome non in uso).The name contoso100.com is already in use on this network. Specify a name that is not in use. Conflitto di nomi di dominio nella rete virtualeDomain name conflict in the virtual network
Domain Services could not be enabled in this Azure AD tenant. The service does not have adequate permissions to the application called 'Azure AD Domain Services Sync'. Delete the application called 'Azure AD Domain Services Sync' and then try to enable Domain Services for your Azure AD tenant. (Non è possibile abilitare Domain Services in questo tenant di Azure AD. Il servizio non dispone di autorizzazioni adeguate per l'applicazione denominata "Azure AD Domain Services Sync". Eliminare l'applicazione denominata "Azure AD Domain Services Sync" e quindi tentare di abilitare Domain Services per il tenant di Azure AD).Domain Services could not be enabled in this Azure AD tenant. The service does not have adequate permissions to the application called 'Azure AD Domain Services Sync'. Delete the application called 'Azure AD Domain Services Sync' and then try to enable Domain Services for your Azure AD tenant. Domain Services non dispone di autorizzazioni adeguate per l'applicazione Azure AD Domain Services SyncDomain Services does not have adequate permissions to the Azure AD Domain Services Sync application
Domain Services could not be enabled in this Azure AD tenant. The Domain Services application in your Azure AD tenant does not have the required permissions to enable Domain Services. Delete the application with the application identifier d87dcbc6-a371-462e-88e3-28ad15ec4e64 and then try to enable Domain Services for your Azure AD tenant. (Non è possibile abilitare Domain Services in questo tenant di Azure AD. L'applicazione Domain Services presente nel tenant di Azure AD non dispone delle autorizzazioni necessarie per abilitare Domain Services. Eliminare l'applicazione con l'identificatore di applicazione d87dcbc6-a371-462e-88e3-28ad15ec4e64 e quindi tentare di abilitare Domain Services per il tenant di Azure AD).Domain Services could not be enabled in this Azure AD tenant. The Domain Services application in your Azure AD tenant does not have the required permissions to enable Domain Services. Delete the application with the application identifier d87dcbc6-a371-462e-88e3-28ad15ec4e64 and then try to enable Domain Services for your Azure AD tenant. L'applicazione Servizi di dominio non è configurata in modo appropriato per il tenantThe Domain Services application is not configured properly in your tenant
Domain Services could not be enabled in this Azure AD tenant. The Microsoft Azure AD application is disabled in your Azure AD tenant. Enable the application with the application identifier 00000002-0000-0000-c000-000000000000 and then try to enable Domain Services for your Azure AD tenant. (Non è possibile abilitare Domain Services in questo tenant di Azure AD. L'applicazione Microsoft Azure AD è disabilitata nel tenant di Azure AD. Abilitare l'applicazione con l'identificatore di applicazione 00000002-0000-0000-c000-000000000000 e quindi tentare di abilitare Domain Services per il tenant di Azure AD).Domain Services could not be enabled in this Azure AD tenant. The Microsoft Azure AD application is disabled in your Azure AD tenant. Enable the application with the application identifier 00000002-0000-0000-c000-000000000000 and then try to enable Domain Services for your Azure AD tenant. L'applicazione Microsoft Graph è disabilitata nel tenant di Azure ADThe Microsoft Graph application is disabled in your Azure AD tenant

Conflitto di nomi di dominioDomain Name conflict

Messaggio di errore:Error message:

The name contoso100.com is already in use on this network. Specify a name that is not in use. (Il nome contoso100.com è già in uso nella rete. Specificare un nome non in uso).The name contoso100.com is already in use on this network. Specify a name that is not in use.

Correzione:Remediation:

Assicurarsi che non sia presente un dominio esistente con lo stesso nome di dominio disponibile nella rete virtuale.Ensure that you do not have an existing domain with the same domain name available on that virtual network. Ad esempio, si supponga che un dominio denominato 'contoso.com' sia già disponibile nella rete virtuale selezionata.For instance, assume you have a domain called 'contoso.com' already available on the selected virtual network. Provare successivamente ad abilitare un dominio gestito di Servizi di dominio Azure AD con lo stesso nome di dominio, ovvero "contoso.com", alla rete virtuale.Later, you try to enable an Azure AD Domain Services managed domain with the same domain name (that is, 'contoso.com') on that virtual network. Si verifica un errore quando si prova ad abilitare Azure AD Domain Services.You encounter a failure when trying to enable Azure AD Domain Services.

L'errore è dovuto a conflitti di nomi per il nome di dominio nella rete virtuale.This failure is due to name conflicts for the domain name on that virtual network. In questa situazione è necessario usare un nome diverso per configurare il dominio gestito di Servizi di dominio Azure AD.In this situation, you must use a different name to set up your Azure AD Domain Services managed domain. In alternativa, è possibile eseguire il deprovisioning del dominio esistente e quindi abilitare Servizi di dominio Azure AD.Alternately, you can de-provision the existing domain and then proceed to enable Azure AD Domain Services.

Autorizzazioni non adeguateInadequate permissions

Messaggio di errore:Error message:

Domain Services could not be enabled in this Azure AD tenant. The service does not have adequate permissions to the application called 'Azure AD Domain Services Sync'. Delete the application called 'Azure AD Domain Services Sync' and then try to enable Domain Services for your Azure AD tenant. (Non è possibile abilitare Domain Services in questo tenant di Azure AD. Il servizio non dispone di autorizzazioni adeguate per l'applicazione denominata "Azure AD Domain Services Sync". Eliminare l'applicazione denominata "Azure AD Domain Services Sync" e quindi tentare di abilitare Domain Services per il tenant di Azure AD).Domain Services could not be enabled in this Azure AD tenant. The service does not have adequate permissions to the application called 'Azure AD Domain Services Sync'. Delete the application called 'Azure AD Domain Services Sync' and then try to enable Domain Services for your Azure AD tenant.

Correzione:Remediation:

Verificare se nella directory Azure AD è presente un'applicazione con nome "Azure AD Domain Services Sync".Check to see if there is an application with the name 'Azure AD Domain Services Sync' in your Azure AD directory. Se l'applicazione esiste, eliminarla e quindi abilitare di nuovo Active Directory Domain Services.If this application exists, delete it and then re-enable Azure AD Domain Services.

Per verificare se l'applicazione è presente e per eliminarla, se esiste, seguire questa procedura:Perform the following steps to check for the presence of the application and to delete it, if the application exists:

  1. Passare al portale di Azure classico (https://manage.windowsazure.com).Navigate to the Azure classic portal (https://manage.windowsazure.com).
  2. Selezionare il nodo Active Directory nel riquadro sinistro.Select the Active Directory node on the left pane.
  3. Selezionare il tenant di Azure AD (directory) per il quale si desidera abilitare Servizi di dominio Azure AD.Select the Azure AD tenant (directory) for which you would like to enable Azure AD Domain Services.
  4. Passare alla scheda Applicazioni .Navigate to the Applications tab.
  5. Selezionare l'opzione Applicazioni di proprietà dell'azienda nell'elenco a discesa.Select the Applications my company owns option in the dropdown.
  6. Cercare un'applicazione denominata Azure AD Domain Services Sync. Se l'applicazione esiste, eliminarla.Check for an application called Azure AD Domain Services Sync. If the application exists, proceed to delete it.
  7. Dopo avere eliminato l'applicazione, provare ad abilitare di nuovo Servizi di dominio Azure AD.Once you have deleted the application, try to enable Azure AD Domain Services once again.

Configurazione non valida.Invalid configuration

Messaggio di errore:Error message:

Domain Services could not be enabled in this Azure AD tenant. The Domain Services application in your Azure AD tenant does not have the required permissions to enable Domain Services. Delete the application with the application identifier d87dcbc6-a371-462e-88e3-28ad15ec4e64 and then try to enable Domain Services for your Azure AD tenant. (Non è possibile abilitare Domain Services in questo tenant di Azure AD. L'applicazione Domain Services presente nel tenant di Azure AD non dispone delle autorizzazioni necessarie per abilitare Domain Services. Eliminare l'applicazione con l'identificatore di applicazione d87dcbc6-a371-462e-88e3-28ad15ec4e64 e quindi tentare di abilitare Domain Services per il tenant di Azure AD).Domain Services could not be enabled in this Azure AD tenant. The Domain Services application in your Azure AD tenant does not have the required permissions to enable Domain Services. Delete the application with the application identifier d87dcbc6-a371-462e-88e3-28ad15ec4e64 and then try to enable Domain Services for your Azure AD tenant.

Correzione:Remediation:

Verificare se nella directory di Azure AD è presente un'applicazione denominata "AzureActiveDirectoryDomainControllerServices" (con identificatore di applicazione d87dcbc6-a371-462e-88e3-28ad15ec4e64).Check to see if you have an application with the name 'AzureActiveDirectoryDomainControllerServices' (with an application identifier of d87dcbc6-a371-462e-88e3-28ad15ec4e64) in your Azure AD directory. Se l'applicazione esiste, sarà necessario eliminarla e quindi abilitare di nuovo Servizi di dominio Azure AD.If this application exists, you need to delete it and then re-enable Azure AD Domain Services.

Usare lo script di PowerShell seguente per trovare l'applicazione ed eliminarla.Use the following PowerShell script to find the application and delete it.

Nota

Questo script usa i cmdlet di Azure AD PowerShell versione 2.This script uses Azure AD PowerShell version 2 cmdlets. Per l'elenco completo di tutti i cmdlet disponibili e per indicazioni su come scaricare il modulo, leggere la documentazione di riferimento di Azure AD PowerShell.For a full list of all available cmdlets and to download the module, read the AzureAD PowerShell reference documentation.

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-AzureADServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-AzureADServicePrincipal -ObjectId $aadDsSp.ObjectId
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-AzureADApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-AzureADApplication -ObjectId $app.ObjectId
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-AzureADServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-AzureADServicePrincipal -ObjectId $sp.ObjectId
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}


Microsoft Graph disabilitatoMicrosoft Graph disabled

Messaggio di errore:Error message:

Domain Services could not be enabled in this Azure AD tenant.Domain Services could not be enabled in this Azure AD tenant. The Microsoft Azure AD application is disabled in your Azure AD tenant.The Microsoft Azure AD application is disabled in your Azure AD tenant. Enable the application with the application identifier 00000002-0000-0000-c000-000000000000 and then try to enable Domain Services for your Azure AD tenant. (Non è possibile abilitare Domain Services in questo tenant di Azure AD. L'applicazione Microsoft Azure AD è disabilitata nel tenant di Azure AD. Abilitare l'applicazione con l'identificatore di applicazione 00000002-0000-0000-c000-000000000000 e quindi tentare di abilitare Domain Services per il tenant di Azure AD).Enable the application with the application identifier 00000002-0000-0000-c000-000000000000 and then try to enable Domain Services for your Azure AD tenant.

Correzione:Remediation:

Verificare se è stata disabilitata un'applicazione con identificatore di applicazione 00000002-0000-0000-c000-000000000000.Check to see if you have disabled an application with the identifier 00000002-0000-0000-c000-000000000000. Questa applicazione è Microsoft Azure AD e fornisce accesso al tenant di Azure AD mediante l'API Graph.This application is the Microsoft Azure AD application and provides Graph API access to your Azure AD tenant. Azure Active Directory Domain Services richiede questa applicazione per essere in grado di sincronizzare il tenant di Azure AD con il dominio gestito.Azure AD Domain Services needs this application to be enabled to synchronize your Azure AD tenant to your managed domain.

Per risolvere questo errore, abilitare l'applicazione e quindi tentare di abilitare Domain Services per il tenant di Azure AD.To resolve this error, enable this application and then try to enable Domain Services for your Azure AD tenant.

Impossibile accedere al dominio gestito di Servizi di dominio di Azure ADUsers are unable to sign in to the Azure AD Domain Services managed domain

Se uno o più utenti nel tenant di Azure AD non sono in grado di accedere al dominio gestito appena creato, seguire questa procedura di risoluzione dei problemi:If one or more users in your Azure AD tenant are unable to sign in to the newly created managed domain, perform the following troubleshooting steps:

  • Accedere usando il formato UPN: provare ad accedere usando il formato UPN (ad esempio "joeuser@contoso.com") anziché il formato SAMAccountName ("CONTOSO\joeuser").Sign-in using UPN format: Try to sign in using the UPN format (for example, 'joeuser@contoso.com') instead of the SAMAccountName format ('CONTOSO\joeuser'). L'attributo SAMAccountName può essere generato automaticamente per gli utenti il cui prefisso UPN è troppo lungo o è identico a un altro utente nel dominio gestito.The SAMAccountName may be automatically generated for users whose UPN prefix is overly long or is the same as another user on the managed domain. Il formato UPN è garantito come univoco all'interno di un tenant di Azure AD.The UPN format is guaranteed to be unique within an Azure AD tenant.

Nota

Si consiglia di usare il formato UPN per accedere al dominio gestito di Servizi di dominio Azure AD.We recommend using the UPN format to sign in to the Azure AD Domain Services managed domain.

  • Assicurarsi di avere abilitato la sincronizzazione delle password secondo i passaggi descritti nella Guida introduttiva.Ensure that you have enabled password synchronization in accordance with the steps outlined in the Getting Started guide.
  • Account esterni : assicurarsi che l'account utente interessato non sia un account esterno nel tenant di Azure AD.External accounts: Ensure that the affected user account is not an external account in the Azure AD tenant. Esempi di account esterni sono gli account Microsoft (ad esempio "joe@live.com") o gli account utente di una directory esterna di Azure AD.Examples of external accounts include Microsoft accounts (for example, 'joe@live.com') or user accounts from an external Azure AD directory. Servizi di dominio di Azure AD non dispone di credenziali per questo tipo di account utente, pertanto questi utenti non sono in grado di accedere al dominio gestito.Since Azure AD Domain Services does not have credentials for such user accounts, these users cannot sign in to the managed domain.
  • Account sincronizzati: : se gli account utente interessati sono sincronizzati da una directory locale, verificare quanto segue:Synced accounts: If the affected user accounts are synchronized from an on-premises directory, verify that:

    • È stata eseguita la distribuzione o l'aggiornamento all' ultima versione consigliata di Azure AD Connect.You have deployed or updated to the latest recommended release of Azure AD Connect.
    • Azure AD Connect è stato configurato per eseguire una sincronizzazione completa.You have configured Azure AD Connect to perform a full synchronization.
    • A seconda delle dimensioni della directory, potrebbero essere necessari alcuni minuti prima che gli account utente e gli hash delle credenziali siano disponibili in Servizi di dominio di Azure AD.Depending on the size of your directory, it may take a while for user accounts and credential hashes to be available in Azure AD Domain Services. Assicurarsi di attendere un periodo sufficiente prima di ritentare l'autenticazione.Ensure you wait long enough before retrying authentication.
    • Se il problema persiste dopo la verifica dei passaggi precedenti, provare a riavviare il servizio Microsoft Azure AD Sync.If the issue persists after verifying the preceding steps, try restarting the Microsoft Azure AD Sync Service. Dal computer di sincronizzazione avviare un prompt dei comandi ed eseguire i comandi seguenti:From your sync machine, launch a command prompt and execute the following commands:

      1. net stop 'Microsoft Azure AD Sync'net stop 'Microsoft Azure AD Sync'
      2. net start 'Microsoft Azure AD Sync'net start 'Microsoft Azure AD Sync'
  • Account solo cloud: se l'account utente interessato è un account utente solo cloud, assicurarsi che l'utente abbia modificato la password dopo l'abilitazione di Servizi di dominio di Azure AD.Cloud-only accounts: If the affected user account is a cloud-only user account, ensure that the user has changed their password after you enabled Azure AD Domain Services. Questa operazione comporta la generazione degli hash delle credenziali necessari per Servizi di dominio di Azure AD.This step causes the credential hashes required for Azure AD Domain Services to be generated.

Gli utenti rimossi dal tenant di Azure AD non vengono rimossi dal dominio gestitoUsers removed from your Azure AD tenant are not removed from your managed domain

Azure AD impedisce l'eliminazione accidentale di oggetti utente.Azure AD protects you from accidental deletion of user objects. Quando si elimina un account utente dal tenant di Azure AD, il corrispondente oggetto utente viene spostato nel Cestino.When you delete a user account from your Azure AD tenant, the corresponding user object is moved to the Recycle Bin. Quando questa operazione di eliminazione viene sincronizzata con il dominio gestito, il corrispondente account utente viene contrassegnato come disabilitato.When this delete operation is synchronized to your managed domain, it causes the corresponding user account to be marked disabled. Questa funzionalità consente di ripristinare o annullare l'eliminazione dell'account utente in un secondo tempo.This feature helps you recover or undelete the user account later.

L'account utente rimane nello stato disabilitato nel dominio gestito, anche se si crea nuovamente un account utente con lo stesso UPN nella directory di Azure AD.The user account remains in the disabled state in your managed domain, even if you re-create a user account with the same UPN in your Azure AD directory. Per rimuovere l'account utente dal dominio gestito, occorre forzarne l'eliminazione dal tenant di Azure AD.To remove the user account from your managed domain, you need to forcibly delete it from your Azure AD tenant.

Per rimuovere completamente l'account utente dal dominio gestito, eliminare in modo permanente l'utente dal tenant di Azure AD.To remove the user account fully from your managed domain, delete the user permanently from your Azure AD tenant. Usare il cmdlet Remove-MsolUser PowerShell con l'opzione "-RemoveFromRecycleBin", come descritto in questo articolo di MSDN.Use the Remove-MsolUser PowerShell cmdlet with the '-RemoveFromRecycleBin' option, as described in this MSDN article.

ContattaciContact Us

Contattare il team di prodotto di Servizi di dominio Azure AD per condividere commenti e suggerimenti o per chiedere supporto tecnico.Contact the Azure Active Directory Domain Services product team to share feedback or for support.