Veelvoorkomende fouten en stappen voor probleemoplossing voor Microsoft Entra Domain Services
Als centraal onderdeel van identiteit en verificatie voor toepassingen heeft Microsoft Entra Domain Services soms problemen. Als u problemen ondervindt, zijn er enkele veelvoorkomende foutberichten en bijbehorende stappen voor probleemoplossing om u te helpen weer aan de slag te gaan. U kunt op elk gewenst moment ook een ondersteuning voor Azure aanvraag openen voor meer hulp bij het oplossen van problemen.
Dit artikel bevat stappen voor het oplossen van veelvoorkomende problemen in Domain Services.
U kunt Microsoft Entra Domain Services niet inschakelen voor uw Microsoft Entra-directory
Als u problemen ondervindt met het inschakelen van Domain Services, raadpleegt u de volgende veelvoorkomende fouten en stappen om deze op te lossen:
| Voorbeeldfoutbericht | Oplossing |
|---|---|
| De naam aaddscontoso.com is al in gebruik op dit netwerk. Geef een naam op die niet in gebruik is. | Domeinnaamconflict in het virtuele netwerk |
| Domain Services kan niet worden ingeschakeld in deze Microsoft Entra-tenant. De service beschikt niet over voldoende machtigingen voor de toepassing met de naam Microsoft Entra Domain Services Sync. Verwijder de toepassing 'Microsoft Entra Domain Services Sync' en probeer vervolgens Domain Services in te schakelen voor uw Microsoft Entra-tenant. | Domain Services beschikt niet over voldoende machtigingen voor de Microsoft Entra Domain Services Sync-toepassing |
| Domain Services kan niet worden ingeschakeld in deze Microsoft Entra-tenant. De Domain Services-toepassing in uw Microsoft Entra-tenant beschikt niet over de vereiste machtigingen om Domain Services in te schakelen. Verwijder de toepassing met de toepassings-id d87dcbc6-a371-462e-88e3-28ad15ec4e64 en probeer vervolgens Domain Services in te schakelen voor uw Microsoft Entra-tenant. | De Domain Services-toepassing is niet juist geconfigureerd in uw Microsoft Entra-tenant |
| Domain Services kan niet worden ingeschakeld in deze Microsoft Entra-tenant. De Microsoft Entra-toepassing is uitgeschakeld in uw Microsoft Entra-tenant. Schakel de toepassing in met de toepassings-id 00000002-0000-0000-c0000-00000000000000 en probeer vervolgens Domain Services in te schakelen voor uw Microsoft Entra-tenant. | De Microsoft Graph-toepassing is uitgeschakeld in uw Microsoft Entra-tenant |
Domeinnaamconflict
Foutbericht
De naam aaddscontoso.com is al in gebruik op dit netwerk. Geef een naam op die niet in gebruik is.
Oplossing
Controleer of u geen bestaande AD DS-omgeving met dezelfde domeinnaam op hetzelfde of een gekoppeld virtueel netwerk hebt. U hebt bijvoorbeeld een AD DS-domein met de naam aaddscontoso.com dat wordt uitgevoerd op virtuele Azure-machines. Wanneer u probeert een door Domain Services beheerd domein in te schakelen met dezelfde domeinnaam van aaddscontoso.com in het virtuele netwerk, mislukt de aangevraagde bewerking.
Deze fout wordt veroorzaakt door naamconflicten voor de domeinnaam in het virtuele netwerk. Een DNS-zoekopdracht controleert of een bestaande AD DS-omgeving reageert op de aangevraagde domeinnaam. U kunt deze fout oplossen door een andere naam te gebruiken om uw beheerde domein in te stellen of de inrichting van het bestaande AD DS-domein ongedaan te maken en probeer het vervolgens opnieuw om Domain Services in te schakelen.
Onvoldoende machtigingen
Foutbericht
Domain Services kan niet worden ingeschakeld in deze Microsoft Entra-tenant. De service beschikt niet over voldoende machtigingen voor de toepassing met de naam Microsoft Entra Domain Services Sync. Verwijder de toepassing 'Microsoft Entra Domain Services Sync' en probeer vervolgens Domain Services in te schakelen voor uw Microsoft Entra-tenant.
Oplossing
Controleer of er een toepassing met de naam Microsoft Entra Domain Services Sync in uw Microsoft Entra-directory staat. Als deze toepassing bestaat, verwijdert u deze en probeert u het opnieuw om Domain Services in te schakelen. Voer de volgende stappen uit om te controleren op een bestaande toepassing en deze indien nodig te verwijderen:
- Selecteer in het Microsoft Entra-beheercentrum Microsoft Entra ID in het navigatiemenu aan de linkerkant.
- Selecteer Enterprise-toepassingen. Kies Alle toepassingen in de vervolgkeuzelijst Toepassingstype en selecteer Vervolgens Toepassen.
- Voer In het zoekvak Microsoft Entra Domain Services Sync in. Als de toepassing bestaat, selecteert u deze en kiest u Verwijderen.
- Nadat u de toepassing hebt verwijderd, probeert u Domain Services opnieuw in te schakelen.
Ongeldige configuratie
Foutbericht
Domain Services kan niet worden ingeschakeld in deze Microsoft Entra-tenant. De Domain Services-toepassing in uw Microsoft Entra-tenant beschikt niet over de vereiste machtigingen om Domain Services in te schakelen. Verwijder de toepassing met de toepassings-id d87dcbc6-a371-462e-88e3-28ad15ec4e64 en probeer vervolgens Domain Services in te schakelen voor uw Microsoft Entra-tenant.
Oplossing
Controleer of u een bestaande toepassing hebt met de naam AzureActiveDirectoryDomainControllerServices met een toepassings-id van d87dcbc6-a371-462e-88e3-28ad15ec4e64 in uw Microsoft Entra-map. Als deze toepassing bestaat, verwijdert u deze en probeert u het opnieuw om Domain Services in te schakelen.
Gebruik het volgende PowerShell-script om te zoeken naar een bestaand toepassingsexemplaren en deze indien nodig te verwijderen:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph uitgeschakeld
Foutbericht
Domain Services kan niet worden ingeschakeld in deze Microsoft Entra-tenant. De Microsoft Entra-toepassing is uitgeschakeld in uw Microsoft Entra-tenant. Schakel de toepassing in met de toepassings-id 00000002-0000-0000-c0000-00000000000000 en probeer vervolgens Domain Services in te schakelen voor uw Microsoft Entra-tenant.
Oplossing
Controleer of u een toepassing met de id 000000002-0000-0000-c000-0000000000000 hebt uitgeschakeld. Deze toepassing is de Microsoft Entra-toepassing en biedt Graph API-toegang tot uw Microsoft Entra-tenant. Als u uw Microsoft Entra-tenant wilt synchroniseren, moet deze toepassing zijn ingeschakeld.
Voer de volgende stappen uit om de status van deze toepassing te controleren en deze indien nodig in te schakelen:
- Zoek en selecteer bedrijfstoepassingen in het Microsoft Entra-beheercentrum.
- Kies Alle toepassingen in de vervolgkeuzelijst Toepassingstype en selecteer Vervolgens Toepassen.
- Voer in het zoekvak 000000002-0000-0000-c000-000000000000 in. Selecteer de toepassing en kies Vervolgens Eigenschappen.
- Als Ingeschakeld voor gebruikers om zich aan te melden is ingesteld op Nee, stelt u de waarde in op Ja en selecteert u Opslaan.
- Nadat u de toepassing hebt ingeschakeld, probeert u Domain Services opnieuw in te schakelen.
Gebruikers kunnen zich niet aanmelden bij het in Microsoft Entra Domain Services beheerde domein
Als een of meer gebruikers in uw Microsoft Entra-tenant zich niet kunnen aanmelden bij het beheerde domein, voert u de volgende stappen voor probleemoplossing uit:
Indeling van referenties: gebruik de UPN-indeling om referenties op te geven, zoals
dee@aaddscontoso.onmicrosoft.com. De UPN-indeling is de aanbevolen manier om referenties op te geven in Domain Services. Zorg ervoor dat deze UPN correct is geconfigureerd in Microsoft Entra ID.De SAMAccountName voor uw account, zoals AADDSCONTOSO\driley , kan automatisch worden gegenereerd als er meerdere gebruikers zijn met hetzelfde UPN-voorvoegsel in uw tenant of als uw UPN-voorvoegsel te lang is. Daarom kan de SAMAccountName-indeling voor uw account afwijken van wat u verwacht of gebruikt in uw on-premises domein.
Wachtwoordsynchronisatie: zorg ervoor dat u wachtwoordsynchronisatie hebt ingeschakeld voor gebruikers in de cloud of voor hybride omgevingen met behulp van Microsoft Entra Verbinding maken.
Hybride gesynchroniseerde accounts: Als de betrokken gebruikersaccounts vanuit een on-premises directory worden gesynchroniseerd, controleert u de volgende gebieden:
U hebt de meest recente aanbevolen versie van Microsoft Entra Verbinding maken geïmplementeerd of bijgewerkt naar.
U hebt Microsoft Entra Verbinding maken geconfigureerd om een volledige synchronisatie uit te voeren.
Afhankelijk van de grootte van uw directory kan het even duren voordat gebruikersaccounts en referentie-hashes beschikbaar zijn in het beheerde domein. Zorg ervoor dat u lang genoeg wacht voordat u probeert te verifiëren bij het beheerde domein.
Als het probleem zich blijft voordoen nadat u de vorige stappen hebt gecontroleerd, start u de Azure AD Sync-service opnieuw op. Open vanaf uw Microsoft Entra Verbinding maken-server een opdrachtprompt en voer vervolgens de volgende opdrachten uit:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Cloudaccounts: Als het betrokken gebruikersaccount een gebruikersaccount in de cloud is, moet u ervoor zorgen dat de gebruiker het wachtwoord heeft gewijzigd nadat u Domain Services hebt ingeschakeld. Deze wachtwoordherstel zorgt ervoor dat de vereiste referentiehashes voor het beheerde domein worden gegenereerd.
Controleer of het gebruikersaccount actief is: vijf ongeldige wachtwoordpogingen binnen 2 minuten in het beheerde domein zorgen ervoor dat een gebruikersaccount 30 minuten wordt vergrendeld. De gebruiker kan zich niet aanmelden terwijl het account is vergrendeld. Na 30 minuten wordt het gebruikersaccount automatisch ontgrendeld.
- Ongeldige wachtwoordpogingen in het beheerde domein vergrendelen het gebruikersaccount niet in Microsoft Entra-id. Het gebruikersaccount is alleen vergrendeld binnen het beheerde domein. Controleer de gebruikersaccountstatus in de Active Directory Beheer istrative Console (ADAC) met behulp van de beheer-VM, niet in Microsoft Entra-id.
- U kunt ook fijnmazige wachtwoordbeleidsregels configureren om de standaardvergrendelingsdrempel en -duur te wijzigen.
Externe accounts : controleer of het betrokken gebruikersaccount geen extern account is in de Microsoft Entra-tenant. Voorbeelden van externe accounts zijn Microsoft-accounts zoals
dee@live.comof gebruikersaccounts uit een externe Microsoft Entra-directory. Domain Services slaat geen referenties op voor externe gebruikersaccounts, zodat ze zich niet kunnen aanmelden bij het beheerde domein.
Er zijn een of meer waarschuwingen voor uw beheerde domein
Als er actieve waarschuwingen zijn voor het beheerde domein, kan dit voorkomen dat het verificatieproces correct werkt.
Als u wilt zien of er actieve waarschuwingen zijn, controleert u de status van een beheerd domein. Als er waarschuwingen worden weergegeven, kunt u problemen oplossen en oplossen.
Gebruikers die zijn verwijderd uit uw Microsoft Entra-tenant, worden niet verwijderd uit uw beheerde domein
Microsoft Entra ID beschermt tegen onbedoeld verwijderen van gebruikersobjecten. Wanneer u een gebruikersaccount verwijdert uit een Microsoft Entra-tenant, wordt het bijbehorende gebruikersobject verplaatst naar de Prullenbak. Wanneer deze verwijderbewerking wordt gesynchroniseerd met uw beheerde domein, wordt het bijbehorende gebruikersaccount verwijderd omdat Domain Services geen prullenbak heeft.
Als het gebruikersaccount wordt hersteld in de tenant, haalt Domain Services alle koppelingen voor het account op wanneer de wijziging wordt gesynchroniseerd met het beheerde domein. Het gebruikersaccount in het beheerde domein krijgt een nieuwe GUID (Globally Unique Identifier) en beveiligings-id (SID).
Volgende stappen
Als u problemen blijft ondervinden, opent u een ondersteuning voor Azure aanvraag voor meer hulp bij het oplossen van problemen.