Problemas conhecidos: alertas comuns e resoluções no Microsoft Entra Domain Services

Como parte central da identidade e autenticação para aplicativos, às vezes o Microsoft Entra Domain Services apresenta problemas. Caso enfrente problemas, há alguns alertas comuns e etapas de solução de problemas associadas para ajudar você a fazer as coisas funcionarem novamente. A qualquer momento, também é possível, abrir uma solicitação de suporte do Azure para obter mais ajuda na solução de problemas.

Este artigo apresenta informações sobre a solução de problemas de alertas comuns do Domain Services.

AADDS100: Diretório ausente

Mensagem de alerta

O diretório do Microsoft Entra associado a seu domínio gerenciado pode ter sido excluído. O domínio gerenciado não está mais em uma configuração com suporte. A Microsoft não pode monitorar, gerenciar, aplicar patch e sincronizar seu domínio gerenciado.

Resolução

Esse erro geralmente ocorre quando uma assinatura do Azure é transferida para um novo diretório do Microsoft Entra e o diretório do Microsoft Entra antigo associado ao Domain Services é excluído.

Esse erro é irrecuperável. Para resolver o alerta, exclua seu domínio gerenciado existente e recrie-o no seu novo diretório. Caso tenha problemas ao excluir o domínio gerenciado, abra uma solicitação de suporte do Azure para obter mais ajuda para a solução de problemas.

AADDS101: O Azure AD B2C está em execução neste diretório

Mensagem de alerta

O Microsoft Entra Domain Services não podem ser habilitados em um diretório do Azure AD B2C.

Resolução

O Domain Services sincroniza automaticamente com um diretório Microsoft Entra. Se o diretório Microsoft Entra estiver configurado para B2C, o Domain Services não poderá ser implantado e sincronizado.

Para usar o Domain Services, você deve recriar seu domínio gerenciado em um diretório não Azure AD B2C usando as seguintes etapas:

1. Exclua o domínio gerenciado do seu diretório do Microsoft Entra existente.
2. Crie um novo diretório do Microsoft Entra que não seja um diretório do Azure AD B2C.
3. Crie um domínio gerenciado de substituição.

A integridade do domínio gerenciado é atualizada automaticamente dentro de duas horas e remove o alerta.

ADDS103: Endereço está em um intervalo de IP público

Mensagem de alerta

O intervalo de endereços IP para a rede virtual na qual você habilitou o Microsoft Entra Domain Services está em um intervalo de IP público. O Microsoft Entra Domain Services deve ser habilitado em uma rede virtual com um intervalo de endereços IP privados. Essa configuração afeta a capacidade da Microsoft de monitorar, gerenciar, aplicar patch e sincronizar seu domínio gerenciado.

Resolução

Antes de começar, você deve entender os espaços de endereço IP v4 privados.

Dentro de uma rede virtual, as VMs podem fazer solicitações aos recursos do Azure no mesmo intervalo de endereços IP que foi configurado para a sub-rede. Caso você configure um intervalo de endereços IP públicos para uma sub-rede, as solicitações roteadas em uma rede virtual poderão não alcançar os recursos Web pretendidos. Essa configuração pode levar a erros imprevisíveis com o Domain Services.

Observação

Se você possui o intervalo de endereços IP na internet que está configurada em sua rede virtual, esse alerta pode ser ignorado. No entanto, o Microsoft Entra Domain Services não pode confirmar o SLA com essa configuração, pois isso poderá resultar em erros imprevisíveis.

Para resolver esse alerta, exclua seu domínio gerenciado existente e recrie-o em uma rede virtual com um intervalo de endereços IP privados. Esse processo é interruptivo, pois o domínio gerenciado não está disponível, e todos os recursos personalizados criados como UOs ou contas de serviço foram perdidos.

1. Exclua o domínio gerenciado do seu diretório.
2. Para atualizar o intervalo de endereços IP da rede virtual, procure e selecione Rede virtual no centro de administração do Microsoft Entra. Selecione a rede virtual para o Domain Services que, incorretamente, tenha um conjunto de intervalos de endereços IP públicos.
3. Em Configurações, selecione Espaço de endereço.
4. Atualize o intervalo de endereços escolhendo no intervalo de endereços existente e editando-o ou adicionando um intervalo de endereços. Verifique se o novo intervalo de endereço IP está em um intervalo de IP privado. Quando terminar, Salve as alterações.
5. Selecione Sub-redes no menu de navegação esquerdo.
6. Escolha a sub-rede que deseja editar ou crie uma outra sub-rede.
7. Atualize ou especifique um intervalo de endereços IP privado e Salve as alterações.
8. Crie um domínio gerenciado de substituição. Verifique se você selecionou a sub-rede de rede virtual atualizada com um intervalo de endereços IP privado.

A integridade do domínio gerenciado é atualizada automaticamente dentro de duas horas e remove o alerta.

AADDS106: Assinatura do Azure não encontrada

Mensagem de alerta

Sua assinatura do Azure associada com seu domínio gerenciado foi excluída. O Microsoft Entra Directory Domain Services requer uma assinatura ativa para continuar funcionando corretamente.

Resolução

O Domain Services requer uma assinatura ativa e não pode ser transferido para uma assinatura diferente. Caso a assinatura do Azure à qual o domínio gerenciado foi associado tenha sido excluída, você deverá recriar uma assinatura do Azure e um domínio gerenciado.

1. Crie uma assinatura do Azure.
2. Exclua o domínio gerenciado do seu diretório do Microsoft Entra existente.
3. Crie um domínio gerenciado de substituição.

AADDS107: Sua Assinatura do Azure está desabilitada

Mensagem de alerta

Sua assinatura do Azure associada ao seu domínio gerenciado não está ativa. O Microsoft Entra Directory Domain Services requer uma assinatura ativa para continuar funcionando corretamente.

Resolução

O Domain Services exige uma assinatura ativa. Caso a assinatura do Azure à qual o domínio gerenciado estava associado não esteja ativa, você deverá renová-la para reativá-la.

1. Renovar sua assinatura do Azure.
2. Depois que a assinatura for renovada, uma notificação do Domain Services permitirá que você reabilite o domínio gerenciado.

Quando o domínio gerenciado for habilitado novamente, a integridade do domínio gerenciado será atualizada automaticamente dentro de duas horas e removerá o alerta.

AADDS108: Diretórios de assinatura movida

Mensagem de alerta

A assinatura usada pelo Microsoft Entra Domain Services foi movida para outro diretório. O Microsoft Entra Domain Services precisa ter uma assinatura ativa no mesmo diretório para funcionar corretamente.

Resolução

O Domain Services requer uma assinatura ativa e não pode ser transferido para uma assinatura diferente. Caso a assinatura do Azure à qual o domínio gerenciado foi associado tenha sido movida, transfira a assinatura de volta para o diretório anterior ou exclua o domínio gerenciado do diretório existente e crie um domínio gerenciado de substituição na assinatura escolhida.

AADDS109: Recursos para seu domínio gerenciado que não pode ser encontrado

Mensagem de alerta

Um recurso que é usado para seu domínio gerenciado foi excluído. Esse recurso é necessário para que o Microsoft Entra Domain Services funcione corretamente.

Resolução

O Domain Services cria recursos adicionais para funcionar corretamente, como endereços IP públicos, interfaces de rede virtual e um balanceador de carga. Caso algum desses recursos seja excluído, o domínio gerenciado entra em um estado sem suporte e evita que o domínio seja gerenciado. Para obter mais informações sobre esses recursos, confira Recursos de rede usados pelo Domain Services.

Esse alerta é gerado quando um dos recursos necessários é excluído. Caso o recurso tenha sido excluído há menos de 4 horas, há uma chance de que a plataforma do Azure consiga recriá-lo automaticamente. As etapas a seguir descrevem como verificar o status da integridade e o carimbo de data/hora da exclusão de recursos:

1. No centro de administração do Microsoft Entra, pesquise e selecione Serviços de domínio. Escolha o domínio gerenciado, como aaddscontoso.com.

2. No painel de navegação esquerdo, selecione Integridade.

3. Na página de integridade, selecione o alerta com a ID AADDS109.

4. O alerta tem um carimbo de hora de quando foi encontrado pela primeira vez. Caso esse carimbo de data/hora seja inferior a 4 horas, pode ser que a própria plataforma do Azure seja capaz de recriar automaticamente o recurso e resolver o alerta.

   Por diferentes motivos, o alerta pode ter mais de 4 horas. Nesse caso, você pode excluir o domínio gerenciado e depois criar um domínio gerenciado substituto para uma correção imediata ou abrir uma solicitação de suporte para corrigir a instância. Dependendo da natureza do problema, o suporte pode exigir uma restauração do backup.

AADDS110: A sub-rede associada ao seu domínio gerenciado está cheia

Mensagem de alerta

A sub-rede selecionada para a implantação do Microsoft Entra Domain Services está cheio e não tem espaço para o controlador de domínio adicional precisa ser criado.

Resolução

A sub-rede da rede virtual para o Domain Services precisa de endereços IP suficientes para os recursos criados automaticamente. Esse espaço de endereço IP tem a necessidade de criar recursos de substituição se houver um evento de manutenção. Para minimizar o risco de ficar sem endereços IP disponíveis, não implante outros recursos – por exemplo, suas próprias VMs – na mesma sub-rede de rede virtual que o domínio gerenciado.

Esse erro é irrecuperável. Para resolver o alerta, exclua seu domínio gerenciado existente e recrie-o. Caso tenha problemas ao excluir o domínio gerenciado, abra uma solicitação de suporte do Azure para obter mais ajuda.

AADDS111: entidade de serviço não autorizada

Mensagem de alerta

Uma entidade de serviço que usa o Microsoft Entra Domain Services para atender seu domínio não está autorizada a gerenciar recursos na assinatura do Azure. A entidade de serviço precisa obter permissões para atender seu domínio gerenciado.

Resolução

Algumas entidades de serviço geradas automaticamente são usadas para gerenciar e criar recursos para um domínio gerenciado. Caso as permissões de acesso para uma dessas entidades de serviço sejam alteradas, o domínio não poderá gerenciar os recursos corretamente. As etapas a seguir mostram como entender e conceder permissões de acesso a uma entidade de serviço:

1. Leia sobre Controle de acesso baseado em função e como conceder acesso a aplicativos no centro de administração do Microsoft Entra.
2. Examine o acesso da entidade de serviço com a ID abba844e-bc0e-44b0-947a-dc74e5d09022 e conceda o acesso que foi negado em uma data anterior.

AADDS112: Não há endereços IP suficientes disponíveis no domínio gerenciado

Mensagem de alerta

Identificamos que a sub-rede da rede virtual neste domínio pode não ter endereços IP suficientes. O Microsoft Entra Domain Services precisa de pelo menos dois endereços IP disponíveis dentro da sub-rede que ele está habilitado. É recomendável ter pelo menos 3 a 5 endereços IP sobressalentes dentro da sub-rede. Isso pode ter ocorrido se outras máquinas virtuais são implantadas dentro da sub-rede, esgotar, portanto, o número de endereços IP disponíveis ou se há uma restrição no número de endereços IP disponíveis na sub-rede.

Resolução

A sub-rede da rede virtual para o Domain Services precisa de endereços IP suficientes para os recursos criados automaticamente. Esse espaço de endereço IP tem a necessidade de criar recursos de substituição se houver um evento de manutenção. Para minimizar o risco de ficar sem endereços IP disponíveis, não implante outros recursos – por exemplo, suas próprias VMs – na mesma sub-rede de rede virtual que o domínio gerenciado.

Para resolver esse alerta, exclua seu domínio gerenciado existente e recrie-o em uma rede virtual com um intervalo de endereços IP grande o suficiente. Esse processo é interruptivo, pois o domínio gerenciado não está disponível, e todos os recursos personalizados criados como UOs ou contas de serviço foram perdidos.

1. Exclua o domínio gerenciado do seu diretório.
2. Para atualizar o intervalo de endereços IP da rede virtual, procure e selecione Rede virtual no centro de administração do Microsoft Entra. Selecione a rede virtual para o domínio gerenciado que tem o pequeno intervalo de endereços IP.
3. Em Configurações, selecione Espaço de endereço.
4. Atualize o intervalo de endereços escolhendo no intervalo de endereços existente e editando-o ou adicionando um outro intervalo de endereços. Verifique se o novo intervalo de endereços IP é grande o suficiente para o intervalo da sub-rede do domínio gerenciado. Quando terminar, Salve as alterações.
5. Selecione Sub-redes no menu de navegação esquerdo.
6. Escolha a sub-rede que deseja editar ou crie uma outra sub-rede.
7. Atualize ou especifique um intervalo de endereços IP grande o suficiente e Salve as alterações.
8. Crie um domínio gerenciado de substituição. Verifique se você selecionou a sub-rede de rede virtual atualizada com um intervalo de endereços IP grande o suficiente.

A integridade do domínio gerenciado é atualizada automaticamente dentro de duas horas e remove o alerta.

AADDS113: Recursos são irrecuperáveis

Mensagem de alerta

Os recursos usados pelo Microsoft Entra Domain Services foram detectados em um estado inesperado e não podem ser recuperados.

Resolução

O Domain Services cria recursos adicionais para funcionar corretamente, como endereços IP públicos, interfaces de rede virtual e um balanceador de carga. Se algum desses recursos for modificado, o domínio gerenciado entrará em um estado sem suporte e não poderá ser gerenciado. Para obter mais informações sobre esses recursos, confira Recursos de rede usados pelo Domain Services.

Esse alerta é gerado quando um desses recursos necessários é modificado e não pode ser recuperado automaticamente pelo Domain Services. Para resolver o alerta, abra uma solicitação ao Suporte do Azure para corrigir a instância.

AADDS114: Sub-rede inválida

Mensagem de alerta

A sub-rede selecionada para a implantação do Microsoft Entra Domain Services é inválida e não pode ser usada.

Resolução

Esse erro é irrecuperável. Para resolver o alerta, exclua seu domínio gerenciado existente e recrie-o. Caso tenha problemas ao excluir o domínio gerenciado, abra uma solicitação de suporte do Azure para obter mais ajuda.

AADDS115: Os recursos estão bloqueados

Mensagem de alerta

Um ou mais dos recursos de rede usados pelo domínio gerenciado não podem ser operados uma vez que o escopo de destino foi bloqueado.

Resolução

Bloqueios de recursos podem ser aplicados aos recursos do Azure para evitar alterações ou exclusões. Como o Domain Services é um serviço gerenciado, a plataforma do Azure precisa ter a capacidade de fazer alterações de configuração. Caso um bloqueio de recurso seja aplicado em alguns dos componentes do Domain Services, a plataforma do Azure não poderá executar suas tarefas de gerenciamento.

Para verificar se há bloqueios de recursos nos componentes do Domain Services e removê-los, conclua as seguintes etapas:

1. Para cada um dos componentes de rede do domínio gerido no seu grupo de recursos, como rede virtual, interface de rede ou endereço IP público, verifique os registos de operação no centro de administração do Microsoft Entra. Esses logs de operação devem indicar por que uma operação está falhando e onde um bloqueio de recurso está aplicado.
2. Selecione o recurso em que há um bloqueio aplicado e, em Bloqueios, selecione e remova os bloqueios.

AADDS116: Os recursos são inutilizáveis

Mensagem de alerta

Um ou mais dos recursos de rede usados pelo domínio gerenciado não podem ser operados devido às restrições de política.

Resolução

As políticas são aplicadas a recursos e grupos de recursos do Azure que controlam quais ações de configuração são permitidas. Como o Domain Services é um serviço gerenciado, a plataforma do Azure precisa ter a capacidade de fazer alterações de configuração. Caso uma política seja aplicada em alguns dos componentes do Domain Services, pode ser que a plataforma do Azure não consiga executar suas tarefas de gerenciamento.

Para verificar as políticas aplicadas nos componentes do Domain Services e atualizá-las, conclua as seguintes etapas:

1. Para cada um dos componentes de rede do domínio gerido no seu grupo de recursos, como rede virtual, NIC ou endereço IP público, verifique os registos de operação no centro de administração do Microsoft Entra. Esses logs de operação devem indicar por que uma operação está falhando e onde uma política restritiva está aplicada.
2. Selecione o recurso no qual uma política é aplicada e, em Políticas, selecione e edite a política para que ela seja menos restritiva.

AADDS120: o domínio gerenciado encontrou um erro ao integrar um ou mais atributos personalizados

Mensagem de alerta

As seguintes propriedades de extensão do Microsoft Entra não foram integradas com êxito como um atributo personalizado para sincronização. Isso pode acontecer se uma propriedade entrar em conflito com o esquema interno: [extensões]

Resolução

Aviso

Se o LDAPName de um atributo personalizado entrar em conflito com um atributo de esquema interno do AD existente, ele não poderá ser integrado e resultará em um erro. Entre em contato com Suporte da Microsoft se o cenário estiver bloqueado. Para obter mais informações, confira Integração de Atributos Personalizados.

Examine o alerta Integridade do Domain Services e veja quais propriedades de extensão do Azure AD falharam ao serem integradas com êxito. Navegue até a página Atributos Personalizados para encontrar o LDAPName do Domain Services esperado da extensão. Verifique se o LDAPName não está em conflito com outro atributo de esquema do AD ou se é um dos atributos internos permitidos do AD.

Em seguida, siga estas etapas para tentar integrar novamente o atributo personalizado na página Atributos Personalizados :

1. Selecione os atributos que não tiveram êxito e clique em Remover e Salvar.
2. Aguarde até que o alerta de integridade seja removido ou verifique se os atributos correspondentes foram removidos da UO AADDSCustomAttributes de uma VM conectada ao domínio.
3. Selecione Adicionar e escolha os atributos desejados novamente e clique em Salvar.

Após a integração bem-sucedida, o Domain Services retornará o preenchimento de usuários e grupos sincronizados com os valores do atributo personalizado integrados. Os valores do atributo personalizado aparecem gradualmente, dependendo do tamanho do locatário. Para verificar o status de provisionamento, vá para Integridade do Domain Services e verifique se o monitor do Microsoft Entra ID foi atualizado na última hora.

AADDS500: A sincronização não é realizada há um tempo

Mensagem de alerta

O domínio gerenciado foi sincronizado pela última vez com o Microsoft Entra ID em [data]. Os usuários poderão não conseguir entrar no domínio gerenciado ou as associações de grupo poderão não ser sincronizadas com o Microsoft Azure Active Directory.

Resolução

Verifique a integridade do Domain Services em busca de quaisquer alertas que indiquem problemas na configuração do domínio gerenciado. Problemas com a configuração de rede podem bloquear a sincronização do Microsoft Entra ID. Caso você consiga resolver alertas que indicam um problema de configuração, espere duas horas e verifique novamente para ver se a sincronização foi concluída com êxito.

Os motivos comuns a seguir fazem com que a sincronização pare em um domínio gerenciado:

• A conectividade de rede necessária está bloqueada. Para saber mais sobre como verificar se há problemas na rede virtual do Azure e o que é necessário, confira solucionar problemas de grupos de segurança de rede e os requisitos de rede do Domain Services.
• A sincronização de senha não foi configurada nem concluída com êxito quando o domínio gerenciado foi implantado. Você pode configurar a sincronização de senha para usuários somente nuvem ou usuários híbridos no local.

AADDS501: O backup não é realizado há algum tempo

Mensagem de alerta

O backup do domínio gerenciado foi feito pela última vez em [data].

Resolução

Verifique a integridade do Domain Services em busca de alertas que indiquem problemas na configuração do domínio gerenciado. Problemas com a configuração de rede podem bloquear a plataforma do Azure e impedir que ela faça backups com êxito. Caso você consiga resolver alertas que indicam um problema de configuração, espere duas horas e verifique novamente para ver se a sincronização foi concluída com êxito.

AADDS503: Suspensão devido a uma assinatura desativada

Mensagem de alerta

O domínio gerenciado está suspenso porque a assinatura do Azure associada ao domínio não está ativa.

Resolução

Aviso

Caso seu domínio gerenciado fique suspenso por um longo período de tempo, há o risco de que ele seja excluído. Resolva o motivo da suspensão o mais rápido possível. Para obter mais informações, confira Entender os estados suspensos do Domain Services.

O Domain Services exige uma assinatura ativa. Caso a assinatura do Azure à qual o domínio gerenciado estava associado não esteja ativa, você deverá renová-la para reativá-la.

1. Renovar sua assinatura do Azure.
2. Depois que a assinatura for renovada, uma notificação do Domain Services permitirá que você reabilite o domínio gerenciado.

Quando o domínio gerenciado for habilitado novamente, a integridade do domínio gerenciado será atualizada automaticamente dentro de duas horas e removerá o alerta.

AADDS504: Suspensão devido a uma configuração inválida

Mensagem de alerta

O domínio gerenciado está suspenso devido a uma configuração inválida. O serviço foi não tem conseguido gerenciar, aplicar patches ou atualizar os controladores de domínio para seu domínio gerenciado há muito tempo.

Resolução

Aviso

Caso seu domínio gerenciado fique suspenso por um longo período de tempo, há o risco de que ele seja excluído. Resolva o motivo da suspensão o mais rápido possível. Para obter mais informações, confira Entender os estados suspensos do Domain Services.

Verifique a integridade do Domain Services em busca de alertas que indiquem problemas na configuração do domínio gerenciado. Caso você consiga resolver alertas que indicam um problema de configuração, espere duas horas e verifique novamente para ver se a sincronização foi concluída. Quando estiver pronto, abra uma solicitação de suporte do Azure para reabilitar o domínio gerenciado.

AADDS600: alertas de integridade não resolvidos por 30 dias

Mensagem de Alerta

A Microsoft não pode gerenciar os controladores de domínio desse domínio gerenciado devido a alertas de integridade não resolvidos [IDs]. Isso está bloqueando atualizações de segurança críticas, bem como uma migração planejada para o Windows Server 2019 nesses controladores de domínio. Siga as etapas no alerta para resolver o problema. Se esse problema não for resolvido em 30 dias, o domínio gerenciado ficará suspenso.

Resolução

Aviso

Caso seu domínio gerenciado fique suspenso por um longo período de tempo, há o risco de que ele seja excluído. Resolva o motivo da suspensão o mais rápido possível. Para obter mais informações, confira Entender os estados suspensos do Domain Services.

Verifique a integridade do Domain Services em busca de alertas que indiquem problemas na configuração do domínio gerenciado. Caso você consiga resolver os alertas que indicam um problema de configuração, espere seis horas e verifique se o alerta foi removido. Abra uma solicitação de suporte do Azure se precisar de assistência.

Próximas etapas

Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter mais ajuda de solução de problemas.