Typowe błędy i kroki rozwiązywania problemów dotyczące usług Microsoft Entra Domain Services
W centralnej części tożsamości i uwierzytelniania aplikacji czasami występują problemy z usługami Microsoft Entra Domain Services. Jeśli wystąpią problemy, istnieją niektóre typowe komunikaty o błędach i skojarzone kroki rozwiązywania problemów, które pomogą Ci ponownie uruchomić elementy. W dowolnym momencie możesz również otworzyć żądanie pomoc techniczna platformy Azure, aby uzyskać pomoc dotyczącą rozwiązywania problemów.
Ten artykuł zawiera kroki rozwiązywania typowych problemów w usługach domenowych.
Nie można włączyć usług Microsoft Entra Domain Services dla katalogu Firmy Microsoft Entra
Jeśli masz problemy z włączaniem usług Domain Services, zapoznaj się z następującymi typowymi błędami i krokami, aby je rozwiązać:
| Przykładowy komunikat o błędzie | Rozwiązanie |
|---|---|
| Nazwa aaddscontoso.com jest już używana w tej sieci. Określ nazwę, która nie jest używana. | Konflikt nazwy domeny w sieci wirtualnej |
| Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Usługa nie ma odpowiednich uprawnień do aplikacji o nazwie Microsoft Entra Domain Services Sync. Usuń aplikację o nazwie "Microsoft Entra Domain Services Sync", a następnie spróbuj włączyć usługi Domain Services dla dzierżawy firmy Microsoft Entra. | Usługi Domain Services nie mają odpowiednich uprawnień do aplikacji Microsoft Entra Domain Services Sync |
| Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Aplikacja Usług domenowych w dzierżawie firmy Microsoft Entra nie ma wymaganych uprawnień do włączenia usług domenowych. Usuń aplikację przy użyciu identyfikatora aplikacji d87dcbc6-a371-462e-88e3-28ad15ec4e64, a następnie spróbuj włączyć usługi domenowe dla dzierżawy firmy Microsoft Entra. | Aplikacja usług domenowych nie jest poprawnie skonfigurowana w dzierżawie firmy Microsoft Entra |
| Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Aplikacja Microsoft Entra jest wyłączona w dzierżawie firmy Microsoft Entra. Włącz aplikację z identyfikatorem aplikacji 000000002-0000-0000-c000-000000000000000, a następnie spróbuj włączyć usługi domenowe dla dzierżawy firmy Microsoft Entra. | Aplikacja Microsoft Graph jest wyłączona w dzierżawie firmy Microsoft Entra |
Konflikt nazw domen
Komunikat o błędzie
Nazwa aaddscontoso.com jest już używana w tej sieci. Określ nazwę, która nie jest używana.
Rozwiązanie
Sprawdź, czy nie masz istniejącego środowiska usług AD DS o tej samej nazwie domeny ani równorzędnej sieci wirtualnej. Na przykład możesz mieć domenę usług AD DS o nazwie aaddscontoso.com działającą na maszynach wirtualnych platformy Azure. Podczas próby włączenia domeny zarządzanej usług Domain Services o tej samej nazwie domeny aaddscontoso.com w sieci wirtualnej żądana operacja kończy się niepowodzeniem.
Ten błąd jest spowodowany konfliktami nazw dla nazwy domeny w sieci wirtualnej. Wyszukiwanie DNS sprawdza, czy istniejące środowisko usług AD DS odpowiada na żądaną nazwę domeny. Aby rozwiązać ten problem, użyj innej nazwy do skonfigurowania domeny zarządzanej lub anulowania aprowizacji istniejącej domeny usług AD DS, a następnie spróbuj ponownie włączyć usługi Domain Services.
Nieodpowiednie uprawnienia
Komunikat o błędzie
Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Usługa nie ma odpowiednich uprawnień do aplikacji o nazwie Microsoft Entra Domain Services Sync. Usuń aplikację o nazwie "Microsoft Entra Domain Services Sync", a następnie spróbuj włączyć usługi Domain Services dla dzierżawy firmy Microsoft Entra.
Rozwiązanie
Sprawdź, czy w katalogu Microsoft Entra Domain Services jest dostępna aplikacja o nazwie Microsoft Entra Domain Services Sync . Jeśli ta aplikacja istnieje, usuń ją, a następnie spróbuj ponownie włączyć usługi Domain Services. Aby sprawdzić istniejącą aplikację i usunąć ją w razie potrzeby, wykonaj następujące kroki:
- W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Microsoft Entra ID z menu nawigacji po lewej stronie.
- Wybierz pozycję Aplikacje dla przedsiębiorstw. Wybierz pozycję Wszystkie aplikacje z menu rozwijanego Typ aplikacji, a następnie wybierz pozycję Zastosuj.
- W polu wyszukiwania wprowadź Microsoft Entra Domain Services Sync. Jeśli aplikacja istnieje, wybierz ją i wybierz pozycję Usuń.
- Po usunięciu aplikacji spróbuj ponownie włączyć usługi Domain Services.
Nieprawidłowa konfiguracja
Komunikat o błędzie
Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Aplikacja Usług domenowych w dzierżawie firmy Microsoft Entra nie ma wymaganych uprawnień do włączenia usług domenowych. Usuń aplikację przy użyciu identyfikatora aplikacji d87dcbc6-a371-462e-88e3-28ad15ec4e64, a następnie spróbuj włączyć usługi domenowe dla dzierżawy firmy Microsoft Entra.
Rozwiązanie
Sprawdź, czy masz istniejącą aplikację o nazwie AzureActiveDirectoryDomainControllerServices z identyfikatorem aplikacji d87dcbc6-a371-462e-88e3-28ad15ec4e64 w katalogu Microsoft Entra. Jeśli ta aplikacja istnieje, usuń ją, a następnie spróbuj ponownie włączyć usługi Domain Services.
Użyj następującego skryptu programu PowerShell, aby wyszukać istniejące wystąpienie aplikacji i usunąć je w razie potrzeby:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Program Microsoft Graph jest wyłączony
Komunikat o błędzie
Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Aplikacja Microsoft Entra jest wyłączona w dzierżawie firmy Microsoft Entra. Włącz aplikację z identyfikatorem aplikacji 000000002-0000-0000-c000-000000000000000, a następnie spróbuj włączyć usługi domenowe dla dzierżawy firmy Microsoft Entra.
Rozwiązanie
Sprawdź, czy aplikacja została wyłączona z identyfikatorem 00000002-0000-0000-c000-00000000000000000. Ta aplikacja jest aplikacją Firmy Microsoft Entra i zapewnia dostęp interfejsu API programu Graph do dzierżawy firmy Microsoft Entra. Aby zsynchronizować dzierżawę firmy Microsoft Entra, należy włączyć tę aplikację.
Aby sprawdzić stan tej aplikacji i włączyć ją w razie potrzeby, wykonaj następujące kroki:
- W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Aplikacje dla przedsiębiorstw.
- Wybierz pozycję Wszystkie aplikacje z menu rozwijanego Typ aplikacji, a następnie wybierz pozycję Zastosuj.
- W polu wyszukiwania wprowadź 000000002-0000-0000-c000-00000000000000. Wybierz aplikację, a następnie wybierz pozycję Właściwości.
- Jeśli dla użytkowników włączono logowanie ma wartość Nie, ustaw wartość Tak, a następnie wybierz pozycję Zapisz.
- Po włączeniu aplikacji spróbuj ponownie włączyć usługi Domain Services.
Użytkownicy nie mogą zalogować się do domeny zarządzanej usług Microsoft Entra Domain Services
Jeśli co najmniej jeden użytkownik w dzierżawie firmy Microsoft Entra nie może zalogować się do domeny zarządzanej, wykonaj następujące kroki rozwiązywania problemów:
Format poświadczeń — spróbuj użyć formatu nazwy UPN, aby określić poświadczenia, takie jak
dee@aaddscontoso.onmicrosoft.com. Format nazwy UPN jest zalecanym sposobem określania poświadczeń w usługach domenowych. Upewnij się, że ta nazwa UPN jest poprawnie skonfigurowana w identyfikatorze Entra firmy Microsoft.Parametr SAMAccountName dla twojego konta, taki jak AADDSCONTOSO\driley , może zostać wygenerowany automatycznie, jeśli istnieje wiele użytkowników z tym samym prefiksem nazwy UPN w dzierżawie lub jeśli prefiks nazwy UPN jest nadmiernie długi. W związku z tym format SAMAccountName dla twojego konta może być inny niż oczekiwany lub używany w domenie lokalnej.
Synchronizacja haseł — upewnij się, że włączono synchronizację haseł dla użytkowników korzystających tylko z chmury lub w środowiskach hybrydowych korzystających z usługi Microsoft Entra Połączenie.
Konta zsynchronizowane hybrydowo: jeśli konta użytkowników, których dotyczy problem, są synchronizowane z katalogu lokalnego, sprawdź następujące obszary:
Wdrożono lub zaktualizowano najnowszą zalecaną wersję usługi Microsoft Entra Połączenie.
Skonfigurowano Połączenie firmy Microsoft w celu przeprowadzenia pełnej synchronizacji.
W zależności od rozmiaru katalogu może upłynąć trochę czasu, aby konta użytkowników i skróty poświadczeń mogły być dostępne w domenie zarządzanej. Przed próbą uwierzytelnienia w domenie zarządzanej upewnij się, że czekasz wystarczająco długo.
Jeśli problem będzie się powtarzać po zweryfikowaniu poprzednich kroków, spróbuj ponownie uruchomić usługę synchronizacji usługi Azure AD. Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia, a następnie uruchom następujące polecenia:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Konta tylko w chmurze: jeśli konto użytkownika, którego dotyczy problem, jest kontem użytkownika tylko w chmurze, upewnij się, że użytkownik zmienił swoje hasło po włączeniu usług Domenowych. To resetowanie hasła powoduje wygenerowanie wymaganych skrótów poświadczeń dla domeny zarządzanej.
Sprawdź, czy konto użytkownika jest aktywne: domyślnie pięć nieprawidłowych prób hasła w ciągu 2 minut w domenie zarządzanej powoduje zablokowanie konta użytkownika przez 30 minut. Użytkownik nie może się zalogować, gdy konto jest zablokowane. Po upływie 30 minut konto użytkownika zostanie automatycznie odblokowane.
- Nieprawidłowe próby hasła w domenie zarządzanej nie blokują konta użytkownika w identyfikatorze Microsoft Entra. Konto użytkownika jest zablokowane tylko w domenie zarządzanej. Sprawdź stan konta użytkownika w konsoli usługi Active Directory Administracja istrative Console (ADAC) przy użyciu maszyny wirtualnej zarządzania, a nie w identyfikatorze Entra firmy Microsoft.
- Możesz również skonfigurować szczegółowe zasady haseł, aby zmienić domyślny próg blokady i czas trwania.
Konta zewnętrzne — sprawdź, czy konto użytkownika, którego dotyczy problem, nie jest kontem zewnętrznym w dzierżawie firmy Microsoft Entra. Przykłady kont zewnętrznych obejmują konta Microsoft, takie jak
dee@live.comlub konta użytkowników z zewnętrznego katalogu Microsoft Entra. Usługi Domain Services nie przechowują poświadczeń dla kont użytkowników zewnętrznych, więc nie mogą zalogować się do domeny zarządzanej.
W domenie zarządzanej istnieje co najmniej jeden alert
Jeśli istnieją aktywne alerty w domenie zarządzanej, może to uniemożliwić prawidłowe działanie procesu uwierzytelniania.
Aby sprawdzić, czy istnieją jakieś aktywne alerty, sprawdź stan kondycji domeny zarządzanej. Jeśli zostaną wyświetlone jakiekolwiek alerty, rozwiąż problemy i rozwiąż je.
Użytkownicy usunięci z dzierżawy usługi Microsoft Entra nie są usuwani z domeny zarządzanej
Identyfikator Entra firmy Microsoft chroni przed przypadkowym usunięciem obiektów użytkownika. Po usunięciu konta użytkownika z dzierżawy firmy Microsoft Entra odpowiedni obiekt użytkownika zostanie przeniesiony do kosza. Po zsynchronizowaniu tej operacji usuwania z domeną zarządzaną odpowiednie konto użytkownika zostanie usunięte, ponieważ usługi Domain Services nie mają kosza.
Jeśli konto użytkownika zostanie przywrócone w dzierżawie, usługi Domain Services pobiera wszystkie linki dla konta, gdy synchronizuje zmianę z domeną zarządzaną. Konto użytkownika w domenie zarządzanej pobiera nowy unikatowy identyfikator globalny (GUID) i identyfikator zabezpieczeń (SID).
Następne kroki
Jeśli nadal występują problemy, otwórz żądanie pomoc techniczna platformy Azure, aby uzyskać pomoc dotyczącą rozwiązywania problemów.