Bekende problemen: Veelvoorkomende waarschuwingen en oplossingen in Azure Active Directory Domain Services

Als een centraal onderdeel van identiteit en verificatie voor toepassingen, Azure Active Directory Domain Services (Azure AD DS) soms problemen. Als u problemen hebt, zijn er enkele veelvoorkomende waarschuwingen en bijbehorende stappen voor probleemoplossing om u te helpen de zaken opnieuw uit te voeren. U kunt ook op elk moment een aanvraag voor ondersteuning voor Azure hulp bij het oplossen van problemen.

Dit artikel bevat informatie over probleemoplossing voor veelvoorkomende waarschuwingen in Azure AD DS.

AADDS100: Ontbrekende map

Waarschuwingsbericht

De Azure AD-directory die is gekoppeld aan uw beheerde domein, is mogelijk verwijderd. Het beheerde domein maakt geen ondersteunde configuratie meer uit. Microsoft kan uw beheerde domein niet bewaken, beheren, patchen en synchroniseren.

Oplossing

Deze fout wordt meestal veroorzaakt wanneer een Azure-abonnement wordt verplaatst naar een nieuwe Azure AD-directory en de oude Azure AD-directory die is gekoppeld aan Azure AD DS wordt verwijderd.

Deze fout kan niet worden opgelost. U kunt de waarschuwing oplossen door uw bestaande beheerde domein te verwijderen en opnieuw te maken in uw nieuwe map. Als u problemen hebt met het verwijderen van het beheerde domein, opent u een ondersteuning voor Azure om aanvullende hulp bij het oplossen van problemen.

AADDS101: Azure AD B2C wordt uitgevoerd in deze map

Waarschuwingsbericht

Azure AD Domain Services kan niet worden ingeschakeld in een Azure AD B2C Directory.

Oplossing

Azure AD DS automatisch gesynchroniseerd met een Azure AD-directory. Als de Azure AD-directory is geconfigureerd voor B2C, Azure AD DS niet worden geïmplementeerd en gesynchroniseerd.

Als u Azure AD DS, moet u uw beheerde domein opnieuw maken in een niet-Azure AD B2C directory met behulp van de volgende stappen:

  1. Verwijder het beheerde domein uit uw bestaande Azure AD-directory.
  2. Maak een nieuwe Azure AD-directory die geen Azure AD B2C is.
  3. Maak een vervangend beheerd domein.

De status van het beheerde domein wordt automatisch binnen twee uur automatisch bijgewerkt en de waarschuwing wordt verwijderd.

AADDS103: Adres heeft een openbaar IP-bereik

Waarschuwingsbericht

Het IP-adresbereik voor het virtuele netwerk waarin u de Azure AD Domain Services zich in een openbaar IP-bereik. Azure AD Domain Services moeten worden ingeschakeld in een virtueel netwerk met een privé-IP-adresbereik. Deze configuratie heeft invloed op de mogelijkheid van Microsoft om uw beheerde domein te bewaken, beheren, patchen en synchroniseren.

Oplossing

Voordat u begint, moet u ervoor zorgen dat u de privé-IP v4-adresruimten begrijpt.

Binnen een virtueel netwerk kunnen VM's aanvragen indienen bij Azure-resources in hetzelfde IP-adresbereik als geconfigureerd voor het subnet. Als u een openbaar IP-adresbereik voor een subnet configureert, bereiken aanvragen die binnen een virtueel netwerk worden gerouteerd mogelijk niet de beoogde webaanbronnen. Deze configuratie kan leiden tot onvoorspelbare fouten met Azure AD DS.

Notitie

Als u eigenaar bent van het IP-adresbereik op internet dat is geconfigureerd in uw virtuele netwerk, kan deze waarschuwing worden genegeerd. De Azure AD Domain Services echter niet met deze configuratie worden verplicht tot de SLA , omdat dit kan leiden tot onvoorspelbare fouten.

U kunt deze waarschuwing oplossen door uw bestaande beheerde domein te verwijderen en opnieuw te maken in een virtueel netwerk met een privé-IP-adresbereik. Dit proces is verstorend omdat het beheerde domein niet beschikbaar is en aangepaste resources die u hebt gemaakt, zoals OE's of serviceaccounts, verloren gaan.

  1. Verwijder het beheerde domein uit uw directory.
  2. Als u het IP-adresbereik van het virtuele netwerk wilt bijwerken, zoekt en selecteert u Virtueel netwerk in Azure Portal. Selecteer het virtuele netwerk voor Azure AD DS die ten onrechte een openbaar IP-adresbereik heeft ingesteld.
  3. Selecteer onder Instellingenadresruimte.
  4. Werk het adresbereik bij door het bestaande adresbereik te kiezen en te bewerken of een extra adresbereik toe te voegen. Zorg ervoor dat het nieuwe IP-adresbereik zich in een privé-IP-bereik. Sla de wijzigingen op wanneer u klaar bent.
  5. Selecteer Subnetten in het linkernavigatievenster.
  6. Kies het subnet dat u wilt bewerken of maak een extra subnet.
  7. Werk een privé-IP-adresbereik bij of geef dit op en sla uw wijzigingen op.
  8. Maak een vervangend beheerd domein. Zorg ervoor dat u het bijgewerkte subnet van het virtuele netwerk met een privé-IP-adresbereik kiest.

De status van het beheerde domein wordt automatisch binnen twee uur automatisch bijgewerkt en de waarschuwing wordt verwijderd.

AADDS106: Uw Azure-abonnement is niet gevonden

Waarschuwingsbericht

Uw Azure-abonnement dat is gekoppeld aan uw beheerde domein is verwijderd. Azure AD Domain Services vereist dat een actief abonnement goed blijft functioneren.

Oplossing

Azure AD DS vereist een actief abonnement en kan niet worden verplaatst naar een ander abonnement. Als het Azure-abonnement waar het beheerde domein aan is gekoppeld, wordt verwijderd, moet u een Azure-abonnement en beheerd domein opnieuw maken.

  1. Maak een Azure-abonnement.
  2. Verwijder het beheerde domein uit uw bestaande Azure AD-directory.
  3. Maak een vervangend beheerd domein.

AADDS107: Uw Azure-abonnement is uitgeschakeld

Waarschuwingsbericht

Uw Azure-abonnement dat is gekoppeld aan uw beheerde domein is niet actief. Azure AD Domain Services vereist dat een actief abonnement goed blijft functioneren.

Oplossing

Azure AD DS is een actief abonnement vereist. Als het Azure-abonnement waar het beheerde domein aan is gekoppeld niet actief is, moet u het vernieuwen om het abonnement opnieuw te activeren.

  1. Vernieuw uw Azure-abonnement.
  2. Zodra het abonnement is vernieuwd, kunt u Azure AD DS beheerde domein opnieuw inschakelen via een melding.

Wanneer het beheerde domein opnieuw is ingeschakeld, wordt de status van het beheerde domein automatisch binnen twee uur bijgewerkt en wordt de waarschuwing verwijderd.

AADDS108: verplaatste abonnementen

Waarschuwingsbericht

Het abonnement dat door Azure AD Domain Services is verplaatst naar een andere map. Azure AD Domain Services moet een actief abonnement hebben in dezelfde map om goed te kunnen functioneren.

Oplossing

Azure AD DS vereist een actief abonnement en kan niet worden verplaatst naar een ander abonnement. Als het Azure-abonnement waar het beheerde domein aan is gekoppeld, wordt verplaatst, verplaatst u het abonnement terug naar de vorige directory of verwijdert u uw beheerde domein uit de bestaande directory en maakt u een vervangend beheerd domein in het gekozen abonnement.

AADDS109: Er kunnen geen resources voor uw beheerde domein worden gevonden

Waarschuwingsbericht

Een resource die wordt gebruikt voor uw beheerde domein is verwijderd. Deze resource is nodig om Azure AD Domain Services goed te laten functioneren.

Oplossing

Azure AD DS extra resources voor een goede werking, zoals openbare IP-adressen, virtuele netwerkinterfaces en een load balancer. Als een van deze resources wordt verwijderd, heeft het beheerde domein een niet-ondersteunde status en wordt voorkomen dat het domein wordt beheerd. Zie Netwerkresources die worden gebruikt door Azure AD DS.

Deze waarschuwing wordt gegenereerd wanneer een van deze vereiste resources wordt verwijderd. Als de resource minder dan vier uur geleden is verwijderd, bestaat de kans dat het Azure-platform de verwijderde resource automatisch opnieuw kan maken. In de volgende stappen wordt beschreven hoe u de status en tijdstempel voor het verwijderen van resources controleert:

  1. Zoek en Azure Portal domain services in de Azure Portal. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.

  2. Selecteer Health in het navigatiedeelvenster aan de linkerkant.

  3. Selecteer op de statuspagina de waarschuwing met de id AADDS109.

  4. De waarschuwing heeft een tijdstempel voor wanneer deze voor het eerst is gevonden. Als deze tijdstempel minder dan vier uur geleden is, kan het Azure-platform de resource mogelijk automatisch opnieuw maken en de waarschuwing zelf oplossen.

    De waarschuwing kan om verschillende redenen ouder zijn dan vier uur. In dat geval kunt u het beheerde domein verwijderen en vervolgens een vervangend beheerd domein maken voor een onmiddellijke oplossing, of u kunt een ondersteuningsaanvraag openen om het exemplaar te herstellen. Afhankelijk van de aard van het probleem kan ondersteuning een herstel vanuit een back-up vereisen.

AADDS110: het subnet dat is gekoppeld aan uw beheerde domein is vol

Waarschuwingsbericht

Het subnet dat is geselecteerd voor Azure AD Domain Services is vol en heeft geen ruimte voor de extra domeincontroller die moet worden gemaakt.

Oplossing

Het subnet van het virtuele netwerk Azure AD DS voldoende IP-adressen nodig voor de automatisch gemaakte resources. Deze IP-adresruimte omvat de noodzaak om vervangende resources te maken als er een onderhoudsgebeurtenis is. Implementeer geen extra resources, zoals uw eigen VM's, in hetzelfde subnet van het virtuele netwerk als het beheerde domein om het risico te beperken dat er geen beschikbare IP-adressen meer beschikbaar zijn.

Deze fout kan niet worden opgelost. U kunt de waarschuwing oplossen door uw bestaande beheerde domein te verwijderen en opnieuw te maken. Als u problemen hebt met het verwijderen van het beheerde domein, opent u een ondersteuning voor Azure om aanvullende hulp bij het oplossen van problemen op te vragen.

AADDS111: Service-principal niet geautoriseerd

Waarschuwingsbericht

Een service-principal die Azure AD Domain Services gebruikt om uw domein te beheren, is niet gemachtigd om resources in het Azure-abonnement te beheren. De service-principal moet machtigingen krijgen voor het beheren van uw beheerde domein.

Oplossing

Sommige automatisch gegenereerde service-principals worden gebruikt voor het beheren en maken van resources voor een beheerd domein. Als de toegangsmachtigingen voor een van deze service-principals worden gewijzigd, kan het domein resources niet correct beheren. In de volgende stappen ziet u hoe u toegangsmachtigingen voor een service-principal begrijpt en vervolgens verleent:

  1. Meer informatie over op rollen gebaseerd toegangsbeheer van Azure en het verlenen van toegang tot toepassingen in de Azure Portal.
  2. Controleer de toegang die de service-principal met de id 844e-bc0e-44b0-947a-dc74e5d09022 heeft en verleen de toegang die eerder is geweigerd.

AADDS112: Onvoldoende IP-adres in het beheerde domein

Waarschuwingsbericht

We hebben vastgesteld dat het subnet van het virtuele netwerk in dit domein mogelijk niet voldoende IP-adressen heeft. Azure AD Domain Services moeten ten minste twee beschikbare IP-adressen binnen het subnet waarin het is ingeschakeld. We raden u aan ten minste 3-5 reserve-IP-adressen in het subnet te hebben. Dit kan zijn opgetreden als er andere virtuele machines in het subnet zijn geïmplementeerd, waardoor het aantal beschikbare IP-adressen wordt uitgeput of als er een beperking is voor het aantal beschikbare IP-adressen in het subnet.

Oplossing

Het subnet van het virtuele netwerk Azure AD DS voldoende IP-adressen nodig voor de automatisch gemaakte resources. Deze IP-adresruimte omvat de noodzaak om vervangende resources te maken als er een onderhoudsgebeurtenis is. Implementeer geen extra resources, zoals uw eigen VM's, in hetzelfde subnet van het virtuele netwerk als het beheerde domein om het risico te beperken dat er geen beschikbare IP-adressen meer beschikbaar zijn.

Als u deze waarschuwing wilt oplossen, verwijdert u uw bestaande beheerde domein en maakt u het opnieuw in een virtueel netwerk met een groot ip-adresbereik. Dit proces is verstorend omdat het beheerde domein niet beschikbaar is en aangepaste resources die u hebt gemaakt, zoals OE's of serviceaccounts, verloren gaan.

  1. Verwijder het beheerde domein uit uw directory.
  2. Als u het IP-adresbereik van het virtuele netwerk wilt bijwerken, zoekt en selecteert u Virtueel netwerk in de Azure Portal. Selecteer het virtuele netwerk voor het beheerde domein met het kleine IP-adresbereik.
  3. Selecteer onder Instellingenadresruimte.
  4. Werk het adresbereik bij door het bestaande adresbereik te kiezen en te bewerken of een extra adresbereik toe te voegen. Zorg ervoor dat het nieuwe IP-adresbereik groot genoeg is voor het subnetbereik van het beheerde domein. Sla de wijzigingen op wanneer u klaar bent.
  5. Selecteer Subnetten in het linkernavigatievenster.
  6. Kies het subnet dat u wilt bewerken of maak een extra subnet.
  7. Werk het IP-adresbereik bij of geef dit op en sla vervolgens uw wijzigingen op.
  8. Maak een vervangend beheerd domein. Zorg ervoor dat u het bijgewerkte subnet van het virtuele netwerk met een groot ip-adresbereik kiest.

De status van het beheerde domein wordt automatisch binnen twee uur automatisch bijgewerkt en de waarschuwing wordt verwijderd.

AADDS113: Resources kunnen niet worden teruggeslagen

Waarschuwingsbericht

De resources die door Azure AD Domain Services zijn gedetecteerd in een onverwachte status en kunnen niet worden hersteld.

Oplossing

Deze fout kan niet worden opgelost. U kunt de waarschuwing oplossen door uw bestaande beheerde domein te verwijderen en opnieuw te maken. Als u problemen hebt met het verwijderen van het beheerde domein, opent u een ondersteuning voor Azure om aanvullende hulp bij het oplossen van problemen op te vragen.

AADDS114: Subnet ongeldig

Waarschuwingsbericht

Het subnet dat is geselecteerd voor de Azure AD Domain Services is ongeldig en kan niet worden gebruikt.

Oplossing

Deze fout kan niet worden opgelost. U kunt de waarschuwing oplossen door uw bestaande beheerde domein te verwijderen en opnieuw te maken. Als u problemen hebt met het verwijderen van het beheerde domein, opent u een ondersteuning voor Azure om aanvullende hulp bij het oplossen van problemen op te vragen.

AADDS115: Resources zijn vergrendeld

Waarschuwingsbericht

Een of meer van de netwerkresources die door het beheerde domein worden gebruikt, kunnen niet worden uitgevoerd omdat het doelbereik is vergrendeld.

Oplossing

Resourcevergrendelingen kunnen worden toegepast op Azure-resources om wijziging of verwijdering te voorkomen. Omdat Azure AD DS een beheerde service is, moet het Azure-platform configuratiewijzigingen kunnen aanbrengen. Als een resourcevergrendeling wordt toegepast op een aantal Azure AD DS onderdelen, kan het Azure-platform de beheertaken niet uitvoeren.

Als u wilt controleren op resourcevergrendelingen op Azure AD DS onderdelen en deze wilt verwijderen, moet u de volgende stappen voltooien:

  1. Controleer voor elk van de netwerkonderdelen van het beheerde domein in uw resourcegroep, zoals het virtuele netwerk, de netwerkinterface of het openbare IP-adres, de bewerkingslogboeken in de Azure Portal. Deze bewerkingslogboeken moeten aangeven waarom een bewerking mislukt en waar een resourcevergrendeling wordt toegepast.
  2. Selecteer de resource waarop een vergrendeling wordt toegepast en selecteer vervolgens onder Vergrendelingen de vergrendelingen en verwijder deze.

AADDS116: Resources zijn onbruikbaar

Waarschuwingsbericht

Een of meer van de netwerkresources die door het beheerde domein worden gebruikt, kunnen niet worden uitgevoerd vanwege beleidsbeperkingen.

Oplossing

Beleidsregels worden toegepast op Azure-resources en resourcegroepen die bepalen welke configuratieacties zijn toegestaan. Omdat Azure AD DS een beheerde service is, moet het Azure-platform configuratiewijzigingen kunnen aanbrengen. Als een beleid wordt toegepast op sommige van Azure AD DS onderdelen, kan het Azure-platform de beheertaken mogelijk niet uitvoeren.

Als u wilt controleren op toegepaste beleidsregels op Azure AD DS onderdelen en deze wilt bijwerken, moet u de volgende stappen voltooien:

  1. Controleer voor elk van de netwerkonderdelen van het beheerde domein in uw resourcegroep, zoals een virtueel netwerk, een NIC of een openbaar IP-adres, de bewerkingslogboeken in de Azure Portal. Deze bewerkingslogboeken moeten aangeven waarom een bewerking mislukt en waar een beperkend beleid wordt toegepast.
  2. Selecteer de resource waarop een beleid wordt toegepast en selecteer en bewerk het beleid onder Beleid, zodat het minder beperkend is.

AADDS500: Synchronisatie is al een tijdje niet voltooid

Waarschuwingsbericht

Het beheerde domein is op [datum] voor het laatst gesynchroniseerd met Azure AD. Gebruikers kunnen zich mogelijk niet aanmelden bij het beheerde domein of groepslidmaatschap is mogelijk niet gesynchroniseerd met Azure AD.

Oplossing

Controleer de Azure AD DS op waarschuwingen die duiden op problemen in de configuratie van het beheerde domein. Problemen met de netwerkconfiguratie kunnen de synchronisatie vanuit Azure AD blokkeren. Als u waarschuwingen kunt oplossen die wijzen op een configuratieprobleem, wacht u twee uur en controleert u of de synchronisatie is voltooid.

De volgende veelvoorkomende redenen veroorzaken dat de synchronisatie stopt in een beheerd domein:

  • Vereiste netwerkconnectiviteit wordt geblokkeerd. Zie Problemen met netwerkbeveiligingsgroepen en de netwerkvereisten voor netwerkbeveiligingsgroepen oplossen voor meer informatie over het controleren van het virtuele Azure-netwerk op Azure AD DS.
  • Wachtwoordsynchronisatie is niet ingesteld of is voltooid toen het beheerde domein werd geïmplementeerd. U kunt wachtwoordsynchronisatie instellen voor cloudgebruikers of hybride gebruikers van on-prem.

AADDS501: Er is al een tijdje geen back-up gemaakt

Waarschuwingsbericht

Er is voor het laatst een back-up van het beheerde domein gemaakt op [date].

Oplossing

Controleer de Azure AD DS op waarschuwingen die problemen in de configuratie van het beheerde domein aangeven. Problemen met de netwerkconfiguratie kunnen het maken van back-ups door het Azure-platform blokkeren. Als u waarschuwingen kunt oplossen die wijzen op een configuratieprobleem, wacht u twee uur en controleert u of de synchronisatie is voltooid.

AADDS503: opschorten vanwege uitgeschakeld abonnement

Waarschuwingsbericht

Het beheerde domein is tijdelijk niet actief omdat het Azure-abonnement dat aan het domein is gekoppeld, niet actief is.

Oplossing

Waarschuwing

Als een beheerd domein voor langere tijd wordt opgeschort, bestaat het gevaar dat het wordt verwijderd. Los de reden voor opzegging zo snel mogelijk op. Zie Understand the suspended states for Azure AD DS (Informatie over de opgeschorte staten voor Azure AD DS.

Azure AD DS is een actief abonnement vereist. Als het Azure-abonnement waar het beheerde domein aan is gekoppeld niet actief is, moet u het verlengen om het abonnement opnieuw te activeren.

  1. Uw Azure-abonnement verlengen.
  2. Nadat het abonnement is vernieuwd, kunt u Azure AD DS beheerde domein opnieuw inschakelen met een melding.

Wanneer het beheerde domein opnieuw is ingeschakeld, wordt de status van het beheerde domein automatisch binnen twee uur bijgewerkt en wordt de waarschuwing verwijderd.

AADDS504: opschorten vanwege een ongeldige configuratie

Waarschuwingsbericht

Het beheerde domein is tijdelijk niet actief vanwege een ongeldige configuratie. De service kan de domeincontrollers voor uw beheerde domein al lange tijd niet beheren, patchen of bijwerken.

Oplossing

Waarschuwing

Als een beheerd domein voor langere tijd wordt opgeschort, bestaat het gevaar dat het wordt verwijderd. Los de reden voor opzegging zo snel mogelijk op. Zie Understand the suspended states for Azure AD DS (Informatie over de opgeschorte staten voor Azure AD DS.

Controleer de Azure AD DS op waarschuwingen die problemen in de configuratie van het beheerde domein aangeven. Als u waarschuwingen kunt oplossen die wijzen op een configuratieprobleem, wacht u twee uur en controleert u of de synchronisatie is voltooid. Wanneer u klaar bent, opent u een ondersteuning voor Azure om het beheerde domein opnieuw in te stellen.

Volgende stappen

Als u nog steeds problemen hebt, opent u een ondersteuning voor Azure voor aanvullende hulp bij het oplossen van problemen.