Vanliga fel och felsökningssteg för Microsoft Entra Domain Services
Som en central del av identitet och autentisering för program har Microsoft Entra Domain Services ibland problem. Om du stöter på problem finns det några vanliga felmeddelanden och tillhörande felsökningssteg som hjälper dig att få igång saker igen. När som helst kan du också öppna en Azure-supportbegäran för mer felsökningshjälp.
Den här artikeln innehåller felsökningssteg för vanliga problem i Domain Services.
Du kan inte aktivera Microsoft Entra Domain Services för din Microsoft Entra-katalog
Om du har problem med att aktivera Domain Services kan du läsa följande vanliga fel och steg för att lösa dem:
| Exempelfelmeddelande | Lösning |
|---|---|
| Namnet aaddscontoso.com används redan i det här nätverket. Ange ett namn som inte används. | Domännamnskonflikt i det virtuella nätverket |
| Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Tjänsten har inte tillräcklig behörighet till programmet som kallas Microsoft Entra Domain Services Sync. Ta bort programmet med namnet "Microsoft Entra Domain Services Sync" och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation. | Domain Services har inte tillräcklig behörighet till Microsoft Entra Domain Services Sync-programmet |
| Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Domain Services-programmet i din Microsoft Entra-klientorganisation har inte de behörigheter som krävs för att aktivera Domain Services. Ta bort programmet med programidentifieraren d87dcbc6-a371-462e-88e3-28ad15ec4e64 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation. | Domain Services-programmet är inte korrekt konfigurerat i din Microsoft Entra-klientorganisation |
| Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Microsoft Entra-programmet är inaktiverat i din Microsoft Entra-klientorganisation. Aktivera programmet med programidentifieraren 00000002-0000-0000-c000-00000000000000 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation. | Microsoft Graph-programmet är inaktiverat i din Microsoft Entra-klientorganisation |
Domännamnskonflikt
Felmeddelande
Namnet aaddscontoso.com används redan i det här nätverket. Ange ett namn som inte används.
Lösning
Kontrollera att du inte har en befintlig AD DS-miljö med samma domännamn på samma eller ett peer-kopplat virtuellt nätverk. Du kan till exempel ha en AD DS-domän med namnet aaddscontoso.com som körs på virtuella Azure-datorer. När du försöker aktivera en domän som hanteras av Domain Services med samma domännamn som aaddscontoso.com i det virtuella nätverket misslyckas den begärda åtgärden.
Det här felet beror på namnkonflikter för domännamnet i det virtuella nätverket. En DNS-sökning kontrollerar om en befintlig AD DS-miljö svarar på det begärda domännamnet. Lös det här felet genom att använda ett annat namn för att konfigurera din hanterade domän eller avetablera den befintliga AD DS-domänen och sedan försöka igen för att aktivera Domain Services.
Otillräckliga behörigheter
Felmeddelande
Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Tjänsten har inte tillräcklig behörighet till programmet som kallas Microsoft Entra Domain Services Sync. Ta bort programmet med namnet "Microsoft Entra Domain Services Sync" och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation.
Lösning
Kontrollera om det finns ett program med namnet Microsoft Entra Domain Services Sync i din Microsoft Entra-katalog. Om det här programmet finns tar du bort det och försöker sedan igen för att aktivera Domain Services. Utför följande steg för att söka efter ett befintligt program och ta bort det om det behövs:
- I administrationscentret för Microsoft Entra väljer du Microsoft Entra-ID på den vänstra navigeringsmenyn.
- Välj Företagsprogram. Välj Alla program på den nedrullningsbara menyn Programtyp och välj sedan Använd.
- I sökrutan anger du Microsoft Entra Domain Services Sync. Om programmet finns väljer du det och väljer Ta bort.
- När du har tagit bort programmet försöker du aktivera Domain Services igen.
Ogiltig konfiguration
Felmeddelande
Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Domain Services-programmet i din Microsoft Entra-klientorganisation har inte de behörigheter som krävs för att aktivera Domain Services. Ta bort programmet med programidentifieraren d87dcbc6-a371-462e-88e3-28ad15ec4e64 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation.
Lösning
Kontrollera om du har ett befintligt program med namnet AzureActiveDirectoryDomainControllerServices med programidentifieraren d87dcbc6-a371-462e-88e3-28ad15ec4e64 i din Microsoft Entra-katalog. Om det här programmet finns tar du bort det och försöker sedan igen för att aktivera Domain Services.
Använd följande PowerShell-skript för att söka efter en befintlig programinstans och ta bort den om det behövs:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph har inaktiverats
Felmeddelande
Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Microsoft Entra-programmet är inaktiverat i din Microsoft Entra-klientorganisation. Aktivera programmet med programidentifieraren 00000002-0000-0000-c000-00000000000000 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation.
Lösning
Kontrollera om du har inaktiverat ett program med identifieraren 00000002-0000-0000-c000-0000000000000. Det här programmet är Microsoft Entra-programmet och ger Graph API-åtkomst till din Microsoft Entra-klientorganisation. Om du vill synkronisera din Microsoft Entra-klientorganisation måste det här programmet vara aktiverat.
Utför följande steg för att kontrollera statusen för det här programmet och aktivera det om det behövs:
- I administrationscentret för Microsoft Entra söker du efter och väljer Företagsprogram.
- Välj Alla program på den nedrullningsbara menyn Programtyp och välj sedan Använd.
- I sökrutan anger du 000000002-0000-0000-c000-0000000000000. Välj programmet och välj sedan Egenskaper.
- Om Aktiverad för användare att logga in är inställt på Nej anger du värdet till Ja och väljer sedan Spara.
- När du har aktiverat programmet försöker du aktivera Domain Services igen.
Användarna kan inte logga in på den hanterade domänen för Microsoft Entra Domain Services
Om en eller flera användare i din Microsoft Entra-klientorganisation inte kan logga in på den hanterade domänen utför du följande felsökningssteg:
Format för autentiseringsuppgifter – Prova att använda UPN-formatet för att ange autentiseringsuppgifter, till exempel
dee@aaddscontoso.onmicrosoft.com. UPN-formatet är det rekommenderade sättet att ange autentiseringsuppgifter i Domain Services. Kontrollera att upn är korrekt konfigurerat i Microsoft Entra-ID.SAMAccountName för ditt konto, till exempel AADDSCONTOSO\driley, kan genereras automatiskt om det finns flera användare med samma UPN-prefix i klientorganisationen eller om UPN-prefixet är för långt. Därför kan SAMAccountName-formatet för ditt konto skilja sig från vad du förväntar dig eller använder i din lokala domän.
Lösenordssynkronisering – Kontrollera att du har aktiverat lösenordssynkronisering för endast molnanvändare eller för hybridmiljöer med Microsoft Entra Anslut.
Hybridsynkronerade konton: Om de berörda användarkontona synkroniseras från en lokal katalog kontrollerar du följande områden:
Du har distribuerat eller uppdaterat till den senaste rekommenderade versionen av Microsoft Entra Anslut.
Du har konfigurerat Microsoft Entra Anslut att utföra en fullständig synkronisering.
Beroende på katalogens storlek kan det ta en stund innan användarkonton och hashvärden för autentiseringsuppgifter är tillgängliga i den hanterade domänen. Se till att du väntar tillräckligt länge innan du försöker autentisera mot den hanterade domänen.
Om problemet kvarstår när du har verifierat föregående steg kan du prova att starta om Azure AD Sync Service. Öppna en kommandotolk från Microsoft Entra Anslut-servern och kör sedan följande kommandon:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Endast molnbaserade konton: Om det berörda användarkontot är ett molnbaserat användarkonto kontrollerar du att användaren har ändrat sitt lösenord när du har aktiverat Domain Services. Den här lösenordsåterställningen gör att nödvändiga hashvärden för autentiseringsuppgifter för den hanterade domänen genereras.
Kontrollera att användarkontot är aktivt: Fem ogiltiga lösenordsförsök inom 2 minuter på den hanterade domänen gör att ett användarkonto blir utelåst i 30 minuter. Användaren kan inte logga in när kontot är utelåst. Efter 30 minuter låss användarkontot upp automatiskt.
- Ogiltiga lösenordsförsök på den hanterade domänen låser inte användarkontot i Microsoft Entra-ID. Användarkontot är endast utelåst i den hanterade domänen. Kontrollera användarkontostatusen i Active Directory Administrationskonsolen (ADAC) med hjälp av den virtuella hanteringsdatorn, inte i Microsoft Entra-ID.
- Du kan också konfigurera detaljerade lösenordsprinciper för att ändra standardtröskeln och varaktigheten för utelåsning.
Externa konton – Kontrollera att det berörda användarkontot inte är ett externt konto i Microsoft Entra-klientorganisationen. Exempel på externa konton är Microsoft-konton som
dee@live.comeller användarkonton från en extern Microsoft Entra-katalog. Domain Services lagrar inte autentiseringsuppgifter för externa användarkonton så de kan inte logga in på den hanterade domänen.
Det finns en eller flera aviseringar på din hanterade domän
Om det finns aktiva aviseringar på den hanterade domänen kan det hindra autentiseringsprocessen från att fungera korrekt.
Om du vill se om det finns några aktiva aviseringar kontrollerar du hälsostatusen för en hanterad domän. Om några aviseringar visas kan du felsöka och lösa dem.
Användare som tagits bort från din Microsoft Entra-klient tas inte bort från din hanterade domän
Microsoft Entra-ID skyddar mot oavsiktlig borttagning av användarobjekt. När du tar bort ett användarkonto från en Microsoft Entra-klient flyttas motsvarande användarobjekt till papperskorgen. När den här borttagningsåtgärden synkroniseras med din hanterade domän tas motsvarande användarkonto bort eftersom Domain Services inte har någon papperskorg.
Om användarkontot återställs i klientorganisationen hämtar Domain Services alla länkar för kontot när det synkroniserar ändringen till den hanterade domänen. Användarkontot i den hanterade domänen hämtar en ny globalt unik identifierare (GUID) och säkerhets-ID (SID).
Nästa steg
Om du fortfarande har problem öppnar du en Azure-supportbegäran för mer felsökningshjälp.