Microsoft Entra Domain Services の一般的なエラーとトラブルシューティングの手順

  • [アーティクル]

アプリケーションの ID と認証の中心部分として、Microsoft Entra Domain Services では問題が発生することがあります。 問題が発生した場合のために、動作の再開に役立つ、いくつかの一般的なエラー メッセージと、関連するトラブルシューティングの手順があります。 また、追加のトラブルシューティング支援を求めて、いつでも Azure サポート リクエストを開くことができます。

この記事では、Domain Services での一般的な問題のトラブルシューティング手順を示します。

Microsoft Entra ディレクトリに対して Microsoft Entra Domain Services を有効にすることはできません

Domain Services の有効化で問題が発生した場合は、以下の一般的なエラーと、その解決手順を確認してください:

サンプルのエラー メッセージ 解決策
aaddscontoso.com という名前はこのネットワーク上で既に使用されています。 使用されていない名前を指定してください。 仮想ネットワーク内のドメイン名の競合
この Microsoft Entra テナントではドメイン サービスを有効にできませんでした。 このサービスには、Microsoft Entra Domain Services Sync というアプリケーションに対する適切なアクセス許可がありません。アプリケーション 'Microsoft Entra Domain Services Sync' を削除してから、Microsoft Entra テナントの Domain Services を有効にしてください。 Microsoft Entra Domain Services Sync アプリケーションに対する適切な権限が Domain Services にない
この Microsoft Entra テナントではドメイン サービスを有効にできませんでした。 Domain Services を有効にするために必要なアクセス許可が Microsoft Entra テナントの Domain Services アプリケーションにありません。 アプリケーション識別子が d87dcbc6-a371-462e-88e3-28ad15ec4e64 のアプリケーションを削除してから、Microsoft Entra テナントの Domain Services を有効にしてください。 Microsoft Entra テナント内で Domain Services アプリケーションが適切に構成されていない
この Microsoft Entra テナントではドメイン サービスを有効にできませんでした。 Microsoft Entra アプリケーションは、Microsoft Entra テナントで無効になっています。 アプリケーション識別子が 00000002-0000-0000-c000-000000000000 のアプリケーションを有効にしてから、Microsoft Entra テナントの Domain Services を有効にしてください。 Microsoft Graph アプリケーションは、Microsoft Entra テナントで無効になっています

ドメイン名の競合

エラー メッセージ

aaddscontoso.com という名前はこのネットワーク上で既に使用されています。 使用されていない名前を指定してください。

解決策

同じ、またはピアリングされた仮想ネットワーク上に同じドメイン名の既存の AD DS 環境が存在しないことを確認します。 たとえば、Azure VM 上で実行されている aaddscontoso.com という名前の AD DS ドメインがあるとします。 仮想ネットワーク上で aaddscontoso.com という同じドメイン名を持つ Domain Services のマネージド ドメインを有効にしようとすると、要求した操作は失敗します。

このエラーは、仮想ネットワーク上のドメイン名での名前の競合が原因です。 DNS 参照では、既存の AD DS 環境が、要求されたドメイン名に対して応答するかどうかが確認されます。 この失敗を解決するには、別の名前を使用してマネージド ドメインを設定するか、既存の AD DS ドメインのプロビジョニングを解除してから、Domain Services の有効化を再試行してください。

不適切なアクセス許可

エラー メッセージ

この Microsoft Entra テナントではドメイン サービスを有効にできませんでした。 このサービスには、Microsoft Entra Domain Services Sync というアプリケーションに対する適切なアクセス許可がありません。アプリケーション 'Microsoft Entra Domain Services Sync' を削除してから、Microsoft Entra テナントの Domain Services を有効にしてください。

解像度

Microsoft Entra ディレクトリに Microsoft Entra Domain Services Sync という名前のアプリケーションがあるかどうかを確認します。 このアプリケーションが存在する場合は、それを削除してから、Domain Services の有効化を再試行してください。 既存のアプリケーションを確認し、必要に応じて削除するには、次の手順を実行します。

  1. Microsoft Entra 管理センターで、左側のナビゲーション メニューから [Microsoft Entra ID] を選択します。
  2. [エンタープライズ アプリケーション] を選択します。 [アプリケーションの種類] ドロップダウン メニューの [すべてのアプリケーション] を選択し、 [適用] を選択します。
  3. 検索ボックスに「Microsoft Entra Domain Services Sync」と入力します。アプリケーションが存在する場合は、それを選択し、[削除] を選択します。
  4. アプリケーションの削除が完了したら、Domain Services の有効化を再試行してください。

構成が無効です

エラー メッセージ

この Microsoft Entra テナントではドメイン サービスを有効にできませんでした。 Domain Services を有効にするために必要なアクセス許可が Microsoft Entra テナントの Domain Services アプリケーションにありません。 アプリケーション識別子が d87dcbc6-a371-462e-88e3-28ad15ec4e64 のアプリケーションを削除してから、Microsoft Entra テナントの Domain Services を有効にしてください。

解像度

AzureActiveDirectoryDomainControllerServices という名前のアプリケーション (アプリケーション識別子 d87dcbc6-a371-462e-88e3-28ad15ec4e64) が Microsoft Entra ディレクトリに既にあるかどうかを確認します。 このアプリケーションが存在する場合は、それを削除してから、Domain Services の有効化を再試行してください。

次の PowerShell スクリプトを使用して、既存のアプリケーション インスタンスを検索し、必要に応じて削除します。

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph が無効

エラー メッセージ

この Microsoft Entra テナントではドメイン サービスを有効にできませんでした。 Microsoft Entra アプリケーションは、Microsoft Entra テナントで無効になっています。 アプリケーション識別子が 00000002-0000-0000-c000-000000000000 のアプリケーションを有効にしてから、Microsoft Entra テナントの Domain Services を有効にしてください。

解像度

識別子が 00000002-0000-0000-c000-000000000000 のアプリケーションが無効になっているかどうかを確認します。 これは Microsoft Entra アプリケーションで、Microsoft Entra テナントへのアクセスを Graph API に提供します。 Microsoft Entra テナントを同期するには、このアプリケーションを有効にする必要があります。

このアプリケーションの状態を確認し、必要に応じて有効にするには、次の手順を実行します。

  1. Microsoft Entra 管理センターで、[エンタープライズ アプリケーション] を検索して選択します。
  2. [アプリケーションの種類] ドロップダウン メニューの [すべてのアプリケーション] を選択し、 [適用] を選択します。
  3. 検索ボックスに「00000002-0000-0000-c000-00000000000」と入力します。 アプリケーションを選択し、 [プロパティ] を選択します。
  4. [ユーザーのサインインが有効になっていますか?][いいえ] に設定される場合は、その値を [はい] に設定し、 [保存] を選択します。
  5. アプリケーションの有効化が完了したら、Domain Services の有効化を再試行してください。

ユーザーが Microsoft Entra Domain Services のマネージド ドメインにサインインできない

Microsoft Entra テナント内の 1 人以上のユーザーがマネージド ドメインにサインインできない場合は、次のトラブルシューティング手順を実行します。

  • 資格情報の形式 - UPN 形式を使用して資格情報を指定してみます (例: dee@aaddscontoso.onmicrosoft.com)。 UPN 形式は、Domain Services で資格情報を指定するための推奨される方法です。 この UPN が Microsoft Entra ID で正しく構成されていることを確認してください。

    同じ UPN プレフィックスを使用する複数のユーザーがテナント内に存在する場合や、使用する UPN プレフィックスが長すぎる場合は、お使いのアカウントの SAMAccountName (AADDSCONTOSO\driley など) が自動生成されることがあります。 そのため、お使いのアカウントの SAMAccountName 形式が想定した形式やオンプレミス ドメインで使用する形式と異なる可能性があります。

  • パスワード同期 - クラウド専用ユーザーまたは Microsoft Entra Connect を使用するハイブリッド環境のパスワード同期が有効になっていることを確認します。

    • ハイブリッド同期済みアカウント: 影響を受けているユーザー アカウントがオンプレミスのディレクトリから同期されている場合は、以下の領域を確認します。

      • Microsoft Entra Connect の最新の推奨リリースをデプロイまたは更新している。

      • 完全同期を実行するように Microsoft Entra Connect を構成している。

      • ディレクトリのサイズによっては、ユーザー アカウントと資格情報ハッシュがマネージド ドメインで使用できるようになるまでに時間がかかる場合があります。 十分に時間を空けてから、マネージド ドメインに対して認証を試行してください。

      • 前の手順を確認しても問題が解決しない場合は、Azure AD Sync サービスを再起動してみてください。 Microsoft Entra Connect サーバーから、コマンド プロンプトを開き、次のコマンドを実行します。

        net stop 'Microsoft Azure AD Sync'
net start 'Microsoft Azure AD Sync'

    • クラウド専用アカウント: 影響を受けているユーザー アカウントがクラウド専用のユーザー アカウントである場合は、Domain Services を有効にした後でユーザーが自分のパスワードを変更したことを確認します。 このパスワードのリセットによって、生成されるマネージド ドメインに必要な資格情報ハッシュが生成されます。

  • ユーザー アカウントがアクティブであることを確認する:既定では、マネージド ドメインで 2 分以内に無効なパスワードの試行が 5 回行われると、ユーザーのアカウントは、30 分間ロックアウトされます。 アカウントがロックアウトされている間、ユーザーはサインインできません。30 分後、ユーザー アカウントは、自動的にロック解除されます。

    • マネージド ドメインで無効なパスワードが試されても、Microsoft Entra ID のユーザー アカウントはロックアウトされません。 このユーザー アカウントは、マネージド ドメイン内だけでロックアウトされます。 マネージド VM を使用して、Microsoft Entra ID ではなく Active Directory 管理コンソール (ADAC) で、ユーザー アカウントの状態を確認します。
    • 既定のロックアウトのしきい値と期間を変更するために細かい設定が可能なパスワード ポリシーを構成することもできます。

  • 外部アカウント: 影響を受けているユーザー アカウントが Microsoft Entra テナントの外部アカウントでないことを確認します。 外部アカウントの例として、dee@live.com のような Microsoft アカウントや、外部の Microsoft Entra ディレクトリのユーザー アカウントなどがあります。 Domain Services は外部ユーザー アカウントの資格情報を保存しないため、それらのアカウントはマネージド ドメインにサインインできません。

マネージド ドメインに 1 つまたは複数のアラートがある

マネージド ドメイン上にアクティブなアラートがある場合は、認証プロセスが正常に機能しなくなる可能性があります。

アクティブなアラートがあるかどうかを調べるには、マネージド ドメインの正常性状態を確認します。 アラートが表示されている場合は、それらをトラブルシューティングして解決します。

Microsoft Entra テナントから削除されたユーザーがマネージド ドメインから削除されない

Microsoft Entra ID では、ユーザー オブジェクトが誤って削除されないように保護されています。 Microsoft Entra テナントからユーザー アカウントを削除すると、対応するユーザー オブジェクトはごみ箱に移動されます。 この削除操作がマネージド ドメインに同期されると、Domain Services にはごみ箱がないため、対応するユーザー アカウントが削除されます。

ユーザー アカウントがテナントで復元された場合、変更をマネージド ドメインに同期するときに、Domain Services でアカウントのすべてのリンクがフェッチされます。 マネージド ドメインのユーザー アカウントは、新しいグローバル一意識別子 (GUID) とセキュリティ ID (SID) を取得します。

次のステップ

問題が発生し続ける場合は、さらなるトラブルシューティングの支援のために、Azure サポート リクエストを開いてください。