既知の問題: Microsoft Entra Domain Services での一般的なアラートと解決策

アプリケーションの ID と認証の中心部分として、Microsoft Entra Domain Services では問題が発生することがあります。 問題が発生した場合、動作の再開に役立ついくつかの一般的なアラートと、関連するトラブルシューティングの手順があります。 また、追加のトラブルシューティング支援を求めて、いつでも Azure サポート リクエストを開くことができます。

この記事では、Domain Services での一般的なアラートのトラブルシューティング情報を示します。

AADDS100:不足しているディレクトリ

アラート メッセージ

マネージド ドメインに関連付けられている Microsoft Entra ディレクトリが削除されている可能性があります。 マネージド ドメインはもうサポートされる構成に含まれていません。 Microsoft は、マネージド ドメインに対する監視、管理、修正プログラムの適用、および同期を実行できません。"

解決方法

通常、このエラーは、Azure サブスクリプションを新しい Microsoft Entra ディレクトリに移動し、Domain Services に関連付けられている古い Microsoft Entra ディレクトリを削除したときに発生します。

このエラーは回復できません。 アラートを解決するには、既存のマネージド ドメインを削除し、新しいディレクトリ内に再作成します。 マネージド ドメインの削除に問題がある場合は、Azure サポート リクエストを開いて、追加のトラブルシューティングの支援を受けてください。

AADDS101:このディレクトリで Azure AD B2C が実行されている

アラート メッセージ

Azure AD B2C ディレクトリで Microsoft Entra Domain Services を有効にできません。

解決方法

Domain Services は、Microsoft Entra ディレクトリと自動的に同期します。 Microsoft Entra ディレクトリが B2C 用に構成されている場合、Domain Services をデプロイして同期することはできません。

Domain Services を使用するには、次の手順に従って、非 Azure AD B2C ディレクトリにマネージド ドメインを再作成する必要があります。

  1. 既存の Microsoft Entra ディレクトリからマネージド ドメインを削除します。
  2. Azure AD B2C ディレクトリではない新しい Microsoft Entra ディレクトリを作成します。
  3. 代替のマネージド ドメインを作成します

マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

AADDS103:アドレスがパブリック IP 範囲内である

アラート メッセージ

Microsoft Entra Domain Services を有効にしている仮想ネットワークの IP アドレス範囲がパブリック IP 範囲内にあります。 Microsoft Entra Domain Services は、プライベート IP アドレス範囲にある仮想ネットワークで有効にする必要があります。 この構成は、マネージド ドメインに対する監視、管理、修正のプログラム適用、および同期を行うための Microsoft の能力に影響します。"

解決方法

開始する前に、プライベート IP v4 アドレス空間について理解しておく必要があります。

仮想ネットワーク内では、VM は、サブネット用に構成されたのと同じ IP アドレス範囲内にある Azure リソースに対して要求を行うことができます。 サブネットのパブリック IP アドレス範囲を構成すると、仮想ネットワーク内でルーティングされた要求が、目的の Web リソースに届かない場合があります。 この構成により、Domain Services で予期しないエラーが発生する可能性があります。

Note

仮想ネットワークに構成されているインターネットの IP アドレス範囲を保有している場合は、このアラートを無視できます。 ただし、予期しないエラーが発生する可能性があるため、Microsoft Entra Domain Services は、この構成で SLA にコミットすることはできません。

このアラートを解決するには、既存のマネージド ドメインを削除し、プライベート IP アドレス範囲を持つ仮想ネットワーク内に再作成します。 このプロセスは、マネージド ドメインが使用できず、OU やサービス アカウントのような作成したカスタム リソースが失われるため、破壊的です。

  1. ディレクトリからマネージド ドメインを削除します。
  2. 仮想ネットワークの IP アドレス範囲を更新するには、Microsoft Entra 管理センターで "仮想ネットワーク" を検索して選びます。 誤ってパブリック IP アドレス範囲が設定されている Domain Services の仮想ネットワークを選択します。
  3. [設定] で、 [アドレス空間] を選択します。
  4. 既存のアドレス範囲を選択し、それを編集するかアドレス範囲を追加することでアドレス範囲を更新します。 新しい IP アドレス範囲がプライベート IP 範囲にあることを確認します。 準備ができたら、変更を保存します。
  5. 左側のナビゲーション メニューで、 [サブネット] を選択します。
  6. 編集するサブネットを選択するか、追加のサブネットを作成します。
  7. プライベート IP アドレス範囲を更新または指定してから、変更を保存します。
  8. 代替のマネージド ドメインを作成します。 必ず、プライベート IP アドレス範囲で更新された仮想ネットワーク サブネットを選択してください。

マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

AADDS106:Azure サブスクリプションが見つからない

アラート メッセージ

ご利用のマネージド ドメインに関連付けられた Azure サブスクリプションが削除されています。 Microsoft Entra Domain Services が引き続き正しく動作するには、アクティブなサブスクリプションが必要です。

解決方法

Domain Services にはアクティブなサブスクリプションが必要です。別のサブスクリプションに移動することはできません。 マネージド ドメインが関連付けられていた Azure サブスクリプションが削除されている場合は、Azure サブスクリプションとマネージド ドメインを再作成する必要があります。

  1. Azure サブスクリプションを作成します
  2. 既存の Microsoft Entra ディレクトリからマネージド ドメインを削除します。
  3. 代替のマネージド ドメインを作成します

AADDS107:Azure サブスクリプションが無効

アラート メッセージ

ご利用のマネージド ドメインに関連付けられた Azure サブスクリプションがアクティブではありません。 Microsoft Entra Domain Services が引き続き正しく動作するには、アクティブなサブスクリプションが必要です。

解決方法

Domain Services にはアクティブなサブスクリプションが必要です。 マネージド ドメインが関連付けられていた Azure サブスクリプションがアクティブでない場合は、それを更新して、サブスクリプションを再度アクティブにする必要があります。

  1. Azure サブスクリプションを更新してください
  2. サブスクリプションが更新されたら、Domain Services 通知を使用して、マネージド ドメインを再び有効にすることができます。

マネージド ドメインが再度有効にされると、マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

AADDS108:サブスクリプションのディレクトリが移動した

アラート メッセージ

The subscription used by Microsoft Entra Domain Services has been moved to another directory. (Microsoft Entra Domain Services によって使用されるサブスクリプションは、別のディレクトリに移動されました。) Microsoft Entra Domain Services needs to have an active subscription in the same directory to function properly. (Microsoft Entra Domain Services を正常に機能させるには、アクティブなサブスクリプションを同じディレクトリに配置する必要があります。)

解決方法

Domain Services にはアクティブなサブスクリプションが必要です。別のサブスクリプションに移動することはできません。 マネージド ドメインが関連付けられていた Azure サブスクリプションが移動されている場合は、サブスクリプションを前のディレクトリに戻すか、既存のディレクトリからマネージド ドメインを削除し、選択したサブスクリプションに、代替のマネージド ドメインを作成します

AADDS109:マネージド ドメインのリソースが見つからない

アラート メッセージ

ご利用のマネージド ドメインに使用されているリソースが削除されています。 このリソースは、Microsoft Entra Domain Services が正しく動作するために必要です。

解決方法

Domain Services では、パブリック IP アドレス、仮想ネットワーク インターフェイス、ロード バランサーなど、適切に機能するために追加のリソースが作成されます。 これらのリソースのいずれかが削除されると、マネージド ドメインはサポートされない状態になり、ドメインが管理されなくなります。 これらのリソースの詳細については、「Domain Services によって使用されるネットワーク リソース」を参照してください。

このアラートは、これらの必要なリソースのいずれかが削除されたときに生成されます。 リソースが削除されてから 4 時間未満の場合は、削除されたリソースが Azure プラットフォームによって自動的に再作成される可能性があります。 次の手順では、リソースの削除の正常性状態とタイムスタンプを確認する方法について説明します。

  1. Microsoft Entra 管理センターで、Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。

  2. 左側のナビゲーションで、 [正常性] を選択します。

  3. 正常性ページで、ID AADDS109 のアラートを選択します。

  4. アラートには、最初に検出されたときのタイムスタンプがあります。 そのタイムスタンプから 4 時間未満の場合、Azure プラットフォームは、リソースを自動的に再作成して、それ自体でアラートを解決できる可能性があります。

    さまざまな理由により、アラートが 4 時間を経過している場合もあります。 その場合は、マネージド ドメインを削除してから代替のマネージド ドメインを作成して直ちに修正するか、インスタンスを修正するためのサポート リクエストを開くことができます。 問題の性質によっては、サポートでバックアップからの復元を必要とする場合もあります。

AADDS110:マネージド ドメインに関連付けられているサブネットが満杯

アラート メッセージ

Microsoft Entra Domain Services のデプロイ用に選択されたサブネットがいっぱいになり、作成する必要がある追加のドメイン コントローラー用の領域がありません。

解決方法

Domain Services の仮想ネットワーク サブネットには、自動的に作成されたリソースのための十分な IP アドレスが必要です。 この IP アドレス空間には、メンテナンス イベントがある場合に代替リソースを作成する必要性があります。 使用可能な IP アドレスが不足するリスクを最小限に抑えるために、独自の VM などの追加リソースをマネージド ドメインと同じ仮想ネットワーク サブネットにデプロイしないでください。

このエラーは回復できません。 アラートを解決するには、既存のマネージド ドメインを削除し、新たに作成します。 マネージド ドメインの削除に問題がある場合は、Azure サポート リクエストを開いて、追加のトラブルシューティングの支援を受けてください。

AADDS111:サービス プリンシパルが承認されていない

アラート メッセージ

ご使用のドメインへのサービス提供のために Microsoft Entra Domain Services によって使用されるサービス プリンシパルに、Azure サブスクリプション上のリソースを管理する権限がありません。 The service principal needs to gain permissions to service your managed domain. (このサービス プリンシパルは、マネージド ドメインにサービスを提供するためのアクセス許可を取得する必要があります。)

解決方法

自動的に生成されるサービス プリンシパルの中には、マネージド ドメインのリソースの管理と作成に使用されるものがあります。 これらのいずれかのサービス プリンシパルのアクセス許可が変更されると、ドメインではリソースを正しく管理できません。 次の手順では、サービス プリンシパルに対するアクセス許可を理解し、付与する方法について説明します。

  1. Azure ロールベースのアクセス制御と Microsoft Entra 管理センターを使ったアプリケーションへのアクセス権の付与方法に関する記事を参照してください。
  2. ID abba844e-bc0e-44b0-947a-dc74e5d09022 のサービス プリンシパルが持っているアクセス権を確認し、以前に拒否されたアクセス権を付与します。

AADDS112:マネージド ドメインに十分な数の IP アドレスがない

アラート メッセージ

このドメインの仮想ネットワークのサブネットに十分な IP アドレスがない可能性があることを確認しました。 Microsoft Entra Domain Services では、それが有効にされているサブネット内に少なくとも 2 つの使用可能な IP アドレスが必要です。 サブネット内に少なくとも 3 - 5 個のスペア IP アドレスを用意することをお勧めします。 他の仮想マシンがサブネット内にデプロイされ、使用可能な数の IP アドレスがすべて使用されたか、サブネット内の使用可能 IP アドレスの数に制限がある場合にこの状況が発生した可能性があります。

解決方法

Domain Services の仮想ネットワーク サブネットには、自動的に作成されたリソースのための十分な IP アドレスが必要です。 この IP アドレス空間には、メンテナンス イベントがある場合に代替リソースを作成する必要性があります。 使用可能な IP アドレスが不足するリスクを最小限に抑えるために、独自の VM などの追加リソースをマネージド ドメインと同じ仮想ネットワーク サブネットにデプロイしないでください。

このアラートを解決するには、既存のマネージド ドメインを削除し、十分大きい IP アドレス範囲を持つ仮想ネットワーク内に再作成します。 このプロセスは、マネージド ドメインが使用できず、OU やサービス アカウントのような作成したカスタム リソースが失われるため、破壊的です。

  1. ディレクトリからマネージド ドメインを削除します。
  2. 仮想ネットワークの IP アドレス範囲を更新するには、Microsoft Entra 管理センターで "仮想ネットワーク" を検索して選びます。 IP アドレス範囲が小さいマネージド ドメインの仮想ネットワークを選択します。
  3. [設定] で、 [アドレス空間] を選択します。
  4. 既存のアドレス範囲を選択し、それを編集するかアドレス範囲を追加することでアドレス範囲を更新します。 新しい IP アドレス範囲がマネージド ドメインのサブネット範囲にとって十分な大きさであることを確認してください。 準備ができたら、変更を保存します。
  5. 左側のナビゲーション メニューで、 [サブネット] を選択します。
  6. 編集するサブネットを選択するか、追加のサブネットを作成します。
  7. 十分大きい IP アドレス範囲を更新または指定してから、変更を保存します。
  8. 代替のマネージド ドメインを作成します。 必ず、十分な IP アドレス範囲で更新された仮想ネットワーク サブネットを選択してください。

マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

AADDS113:リソースが復旧できない

アラート メッセージ

Microsoft Entra Domain Services で使用されているリソースが、予期しない状態で検出され、復旧することができません。

解決方法

Domain Services では、パブリック IP アドレス、仮想ネットワーク インターフェイス、ロード バランサーなど、適切に機能するために追加のリソースが作成されます。 これらのリソースのいずれかが変更されると、マネージド ドメインはサポートされない状態になり、管理できなくなります。 これらのリソースの詳細については、「Domain Services によって使用されるネットワーク リソース」を参照してください。

このアラートは、これらの必要なリソースのいずれかが変更されたとき、Domain Services によって自動的に復旧できない場合に生成されます。 アラートを解決するには、Azure サポート リクエストを開始してインスタンスを修正します。

AADDS114:サブネットが無効

アラート メッセージ

The subnet selected for deployment of Microsoft Entra Domain Services is invalid, and cannot be used. (Microsoft Entra Domain Services のデプロイ用に選択されたサブネットが無効であるため、使用できません。)

解決方法

このエラーは回復できません。 アラートを解決するには、既存のマネージド ドメインを削除し、新たに作成します。 マネージド ドメインの削除に問題がある場合は、Azure サポート リクエストを開いて、追加のトラブルシューティングの支援を受けてください。

AADDS115:リソースがロックされている

アラート メッセージ

ターゲット スコープがロックされているため、マネージド ドメインで使用されている 1 つ以上のネットワーク リソースを操作できません。

解決方法

変更や削除を防ぐために、Azure リソースにリソース ロックを適用できます。 Domain Services はマネージド サービスであるため、Azure プラットフォームは構成を変更する機能を必要とします。 リソース ロックが一部の Domain Services コンポーネントに適用されている場合、Azure プラットフォームはその管理タスクを実行できません。

Domain Services コンポーネントのリソース ロックを確認して削除するには、次の手順を実行します。

  1. リソース グループ内のマネージド ドメインのネットワーク コンポーネント (仮想ネットワーク、ネットワーク インターフェイス、パブリック IP アドレスなど) のそれぞれについて、Microsoft Entra 管理センターの操作ログを確認します。 これらの操作ログには、操作が失敗した理由とリソース ロックが適用されている場所が示されている必要があります。
  2. ロックが適用されているリソースを選択し、 [ロック] の下でロックを選択して削除します。

AADDS116:リソースが使用できない

アラート メッセージ

ポリシー制限により、マネージド ドメインで使用されている 1 つ以上のネットワーク リソースを操作できません。

解決方法

ポリシーは、許可する構成アクションを制御するために、Azure リソースとリソース グループに適用されます。 Domain Services はマネージド サービスであるため、Azure プラットフォームは構成を変更する機能を必要とします。 ポリシーが一部の Domain Services コンポーネントに適用されている場合、Azure プラットフォームはその管理タスクを実行できない可能性があります。

Domain Services コンポーネントに適用されているポリシーを確認して更新するには、次の手順を実行します。

  1. リソース グループ内のマネージド ドメインのネットワーク コンポーネント (仮想ネットワーク、NIC、パブリック IP アドレスなど) のそれぞれについて、Microsoft Entra 管理センターの操作ログを確認します。 これらの操作ログには、操作が失敗した理由と制限の厳しいポリシーが適用されている場所が示されています。
  2. ポリシーが適用されているリソースを選択し、 [ポリシー] から、制限が緩和されるように、ポリシーを選択して編集します。

AADDS120: マネージド ドメインで、1 つ以上のカスタム属性のオンボード時にエラーが発生しました

アラート メッセージ

The following Microsoft Entra extension properties have not successfully onboarded as a custom attribute for synchronization. (次の Microsoft Entra 拡張機能プロパティが、同期用のカスタム属性として正常にオンボードされていません。) This may happen if a property conflicts with the built-in schema: [extensions] (これは、プロパティが組み込みスキーマと競合する場合に発生する可能性があります: [拡張機能])

解像度

警告

カスタム属性の LDAPName は、既存の AD 組み込みスキーマ属性と競合する場合はオンボードできないため、エラーが発生します。 シナリオがブロックされている場合は、Microsoft サポートにお問い合わせください。 詳細については、カスタム属性のオンボードに関する記事を参照してください。

Domain Services の正常性アラートを調べ、正常にオンボードできなかった Microsoft Entra 拡張機能プロパティを確認します。 [カスタム属性] ページに移動して、拡張機能の想定されている Domain Services LDAPName を見つけます。 LDAPName が別の AD スキーマ属性と競合していないこと、または許可されている組み込み AD 属性の 1 つであることを確認します。

次に、これらの手順に従って、[カスタム属性] ページでカスタム属性のオンボードを再試行します。

  1. 失敗となった属性を選択し、[削除] および [保存] をクリックします。
  2. 正常性アラートが削除されるまで待つか、対応する属性がドメイン参加済みの VM の AADDSCustomAttributes OU から削除されたことを確認します。
  3. [追加] を選択し、必要な属性をもう一度選択し、[保存] をクリックします。

オンボードが成功すると、Domain Services では、オンボードされたカスタム属性値を同期されたユーザーとグループに戻します。 カスタム属性値は、テナントのサイズに応じて、徐々に表示されていきます。 バックフィルの状態を確認するには、Domain Services の正常性に関する記事に移動し、Microsoft Entra ID との同期の監視のタイムスタンプが過去 1 時間以内に更新されたことを確認します。

AADDS500:同期がしばらく行われていない

アラート メッセージ

マネージド ドメインが Microsoft Entra ID と最後に同期されたのは [date] です。 ユーザーがマネージド ドメインでサインインできない、またはグループ メンバーシップが Azure AD と同期されていない可能性があります。"

解決方法

Domain Services の正常性をチェックして、マネージド ドメインの構成の問題を示しているアラートがないか確認します。 ネットワーク構成に問題があると、Microsoft Entra ID からの同期がブロックされる可能性があります。 構成の問題を示しているアラートを解決できる場合は、2 時間待機してから、同期が正常に完了したかどうかを再度確認してください。

一般的に、次のような理由により、マネージド ドメインで同期が停止します。

AADDS501:バックアップがしばらく行われていない

アラート メッセージ

"マネージド ドメインが最後にバックアップされたのは [date] です。 "

解決方法

Domain Services の正常性をチェックして、マネージド ドメインの構成の問題を示しているアラートがないか確認します。 ネットワーク構成に問題があると、Azure プラットフォームが正常にバックアップを取れない場合があります。 構成の問題を示しているアラートを解決できる場合は、2 時間待機してから、同期が正常に完了したかどうかを再度確認してください。

AADDS503:無効にしたサブスクリプションが原因の中断

アラート メッセージ

"マネージド ドメインは、ドメインに関連付けられている Azure サブスクリプションがアクティブでないため中断されます。 "

解決方法

警告

マネージド ドメインは長時間中断されると、削除される危険性があります。 中断の理由をできるだけ早く解決してください。 詳細については、Domain Services の中断状態の理解に関する記事を参照してください。

Domain Services にはアクティブなサブスクリプションが必要です。 マネージド ドメインが関連付けられていた Azure サブスクリプションがアクティブでない場合は、それを更新して、サブスクリプションを再度アクティブにする必要があります。

  1. Azure サブスクリプションを更新してください
  2. サブスクリプションが更新されたら、Domain Services 通知を使用して、マネージド ドメインを再び有効にすることができます。

マネージド ドメインが再度有効にされると、マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

AADDS504:無効な構成が原因の中断

アラート メッセージ

"マネージド ドメインは、無効な構成により中断されます。 サービスは、マネージド ドメインのドメイン コントローラーの管理、パッチ適用、または更新を長い間行うことができませんでした。"

解像度

警告

マネージド ドメインは長時間中断されると、削除される危険性があります。 中断の理由をできるだけ早く解決してください。 詳細については、Domain Services の中断状態の理解に関する記事を参照してください。

Domain Services の正常性をチェックして、マネージド ドメインの構成の問題を示しているアラートがないか確認します。 構成の問題を示しているアラートを解決できる場合は、2 時間待機してから、同期が完了したかどうかを再度確認してください。 準備ができたら、マネージド ドメインを再度有効にするために、Azure サポート リクエストを開きます

AADDS600: 30 日間未解決の正常性アラート

警告メッセージ

Microsoft では、未解決の正常性アラート [ID] があるため、このマネージド ドメインのドメイン コントローラーを管理できません。 これにより、重要なセキュリティ更新プログラムと、これらのドメイン コントローラーに対する Windows Server 2019 への計画的な移行がブロックされます。 アラートの手順に従って問題を解決してください。 30 日以内にこの問題を解決できなかった場合、マネージド ドメインが中断されます。

解決方法

警告

マネージド ドメインは長時間中断されると、削除される危険性があります。 中断の理由をできるだけ早く解決してください。 詳細については、Domain Services の中断状態の理解に関する記事を参照してください。

Domain Services の正常性をチェックして、マネージド ドメインの構成の問題を示しているアラートがないか確認します。 構成の問題を示しているアラートを解決できる場合は、6 時間待機してから、アラートが解決したかどうかを再度確認してください。 サポートが必要な場合は、Azure サポート リクエストを開きます

次のステップ

まだ問題が解決しない場合は、さらなるトラブルシューティングの支援を求めて、Azure サポート リクエストを開いてください。