Kända problem: Vanliga aviseringar och lösningar i Azure Active Directory Domain Services

Som en central del av identitet och autentisering för program har Azure Active Directory Domain Services (Azure AD DS) ibland problem. Om du får problem finns det några vanliga aviseringar och tillhörande felsökningssteg som hjälper dig att komma igång igen. Du kan när som helst även öppna en Azure-supportbegäran för ytterligare felsökningshjälp.

Den här artikeln innehåller felsökningsinformation för vanliga aviseringar i Azure AD DS.

AADDS100: Katalog saknas

Aviseringsmeddelande

Azure AD-katalogen som är associerad med din hanterade domän kan ha tagits bort. Den hanterade domänen finns inte längre i en konfiguration som stöds. Microsoft kan inte övervaka, hantera, korrigera och synkronisera din hanterade domän.

Lösning

Det här felet uppstår vanligtvis när en Azure-prenumeration flyttas till en ny Azure AD-katalog och den gamla Azure AD-katalogen som är associerad Azure AD DS tas bort.

Det här felet kan inte återställas. Lös aviseringen genom att ta bort din befintliga hanterade domän och återskapa den i den nya katalogen. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure-supportbegäran för ytterligare felsökningshjälp.

AADDS101: Azure AD B2C körs i den här katalogen

Aviseringsmeddelande

Azure AD Domain Services kan inte aktiveras i en Azure AD B2C Directory.

Lösning

Azure AD DS synkroniseras automatiskt med en Azure AD-katalog. Om Azure AD-katalogen är konfigurerad för B2C Azure AD DS inte distribueras och synkroniseras.

Om du Azure AD DS måste du återskapa din hanterade domän i en icke-Azure AD B2C-katalog med hjälp av följande steg:

1. Ta bort den hanterade domänen från din befintliga Azure AD-katalog.
2. Skapa en ny Azure AD-katalog som inte är en Azure AD B2C katalog.
3. Skapa en ersättnings-hanterad domän.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och tar bort aviseringen.

AADDS103: Adressen finns i ett offentligt IP-intervall

Aviseringsmeddelande

IP-adressintervallet för det virtuella nätverk där du har aktiverat Azure AD Domain Services är i ett offentligt IP-intervall. Azure AD Domain Services måste vara aktiverat i ett virtuellt nätverk med ett privat IP-adressintervall. Den här konfigurationen påverkar Microsofts möjlighet att övervaka, hantera, korrigera och synkronisera din hanterade domän.

Lösning

Innan du börjar bör du se till att du förstår de privata IP v4-adressutrymmena.

I ett virtuellt nätverk kan virtuella datorer göra begäranden till Azure-resurser i samma IP-adressintervall som konfigurerats för undernätet. Om du konfigurerar ett offentligt IP-adressintervall för ett undernät kanske begäranden som dirigeras inom ett virtuellt nätverk inte når de avsedda webbresurserna. Den här konfigurationen kan leda till oförutsägbara fel med Azure AD DS.

Lös den här aviseringen genom att ta bort din befintliga hanterade domän och återskapa den i ett virtuellt nätverk med ett privat IP-adressintervall. Den här processen är störande eftersom den hanterade domänen inte är tillgänglig och eventuella anpassade resurser som du har skapat, till exempel OUs eller tjänstkonton, går förlorade.

1. Ta bort den hanterade domänen från din katalog.
2. Om du vill uppdatera IP-adressintervallet för det virtuella nätverket söker du efter och väljer Virtuellt nätverk i Azure Portal. Välj det virtuella nätverket för Azure AD DS som felaktigt har ett anställt offentligt IP-adressintervall.
3. Under Inställningar väljer du Adressutrymme.
4. Uppdatera adressintervallet genom att välja det befintliga adressintervallet och redigera det, eller genom att lägga till ytterligare ett adressintervall. Kontrollera att det nya IP-adressintervallet är inom ett privat IP-intervall. När du är klar sparar du ändringarna.
5. Välj Undernät i det vänstra navigeringsfönstret.
6. Välj det undernät som du vill redigera eller skapa ytterligare ett undernät.
7. Uppdatera eller ange ett intervall för privat IP-adress och spara sedan ändringarna.
8. Skapa en ersättnings-hanterad domän. Se till att du väljer det uppdaterade virtuella nätverkets undernät med ett privat IP-adressintervall.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och tar bort aviseringen.

AADDS106: Din Azure-prenumeration hittades inte

Aviseringsmeddelande

Din Azure-prenumeration som är kopplad till din hanterade domän har tagits bort. Azure AD Domain Services kräver en aktiv prenumeration för att fortsätta att fungera korrekt.

Lösning

Azure AD DS kräver en aktiv prenumeration och kan inte flyttas till en annan prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med tas bort måste du återskapa en Azure-prenumeration och en hanterad domän.

1. Skapa en Azure-prenumeration.
2. Ta bort den hanterade domänen från din befintliga Azure AD-katalog.
3. Skapa en ersättnings-hanterad domän.

AADDS107: Din Azure-prenumeration är inaktiverad

Aviseringsmeddelande

Den Azure-prenumeration som är associerad med din hanterade domän är inte aktiv. Azure AD Domain Services kräver en aktiv prenumeration för att fortsätta att fungera korrekt.

Lösning

Azure AD DS kräver en aktiv prenumeration. Om Azure-prenumerationen som den hanterade domänen var associerad med inte är aktiv måste du förnya den för att återaktivera prenumerationen.

1. Förnya din Azure-prenumeration.
2. När prenumerationen har förnyats kan Azure AD DS-meddelande återaktivera den hanterade domänen.

När den hanterade domänen aktiveras igen uppdateras den hanterade domänens hälsa automatiskt inom två timmar och aviseringen tas bort.

AADDS108: Prenumerationen flyttade kataloger

Aviseringsmeddelande

Prenumerationen som används av Azure AD Domain Services har flyttats till en annan katalog. Azure AD Domain Services måste ha en aktiv prenumeration i samma katalog för att fungera korrekt.

Lösning

Azure AD DS kräver en aktiv prenumeration och kan inte flyttas till en annan prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med flyttas, flyttar du prenumerationen tillbaka till den tidigare katalogen eller tar bort den hanterade domänen från den befintliga katalogen och skapar en ersättnings-hanterad domän i den valda prenumerationen.

AADDS109: Det går inte att hitta resurser för din hanterade domän

Aviseringsmeddelande

En resurs som används för din hanterade domän har tagits bort. Den här resursen behövs för Azure AD Domain Services ska fungera korrekt.

Lösning

Azure AD DS ytterligare resurser för att fungera korrekt, till exempel offentliga IP-adresser, virtuella nätverksgränssnitt och en lastbalanserare. Om någon av dessa resurser tas bort är den hanterade domänen i ett tillstånd som inte stöds och förhindrar att domänen hanteras. Mer information om dessa resurser finns i Nätverksresurser som används av Azure AD DS.

Den här aviseringen genereras när någon av dessa nödvändiga resurser tas bort. Om resursen togs bort för mindre än 4 timmar sedan finns det en risk att Azure-plattformen automatiskt kan återskapa den borttagna resursen. Följande steg beskriver hur du kontrollerar hälsostatus och tidsstämpel för resursborttagning:

1. I Azure Portal du efter och väljer Domain Services. Välj din hanterade domän, till exempel aaddscontoso.com.

2. I det vänstra navigeringsfönstret väljer du Hälsa.

3. På hälsosidan väljer du aviseringen med ID:t AADDS109.

4. Aviseringen har en tidsstämpel för när den först hittades. Om tidsstämpeln är mindre än 4 timmar sedan kan Azure-plattformen automatiskt återskapa resursen och lösa aviseringen på egen hand.

   Av olika skäl kan aviseringen vara äldre än 4 timmar. I så fall kan du ta bort den hanterade domänen och sedan skapa en ersättande hanterad domän för en omedelbar korrigering, eller så kan du öppna en supportbegäran för att åtgärda instansen. Beroende på problemets typ kan supporten kräva en återställning från en säkerhetskopia.

AADDS110: Det undernät som är associerat med din hanterade domän är fullt

Aviseringsmeddelande

Det undernät som valts för distribution Azure AD Domain Services är fullt och har inte utrymme för den ytterligare domänkontrollant som behöver skapas.

Lösning

Undernätet för det virtuella nätverket för Azure AD DS tillräckligt med IP-adresser för de automatiskt skapade resurserna. Det här IP-adressutrymmet omfattar behovet av att skapa ersättningsresurser om det finns en underhållshändelse. För att minimera risken för att tillgängliga IP-adresser tar slut ska du inte distribuera ytterligare resurser, till exempel dina egna virtuella datorer, till samma virtuella nätverksundernät som den hanterade domänen.

Det här felet kan inte återställas. Lös aviseringen genom att ta bort din befintliga hanterade domän och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure-supportbegäran för ytterligare felsökningshjälp.

AADDS111: Tjänstens huvudnamn ej auktoriserad

Aviseringsmeddelande

Ett huvudnamn för tjänsten Azure AD Domain Services använder för att hantera din domän har inte behörighet att hantera resurser i Azure-prenumerationen. Tjänstens huvudnamn måste få behörighet att hantera din hanterade domän.

Lösning

Vissa automatiskt genererade tjänsthuvudnamn används för att hantera och skapa resurser för en hanterad domän. Om åtkomstbehörigheterna för något av dessa tjänsthuvudnamn ändras kan domänen inte hantera resurser korrekt. Följande steg visar hur du förstår och sedan beviljar åtkomstbehörigheter till ett huvudnamn för tjänsten:

1. Läs mer om rollbaserad åtkomstkontroll i Azure och hur du beviljar åtkomst till program i Azure Portal.
2. Granska den åtkomst som tjänstens huvudnamn med ID:t abba844e-bc0e-44b0-947a-dc74e5d09022 har och bevilja den åtkomst som nekades vid ett tidigare datum.

AADDS112: Det finns inte tillräckligt med IP-adress i den hanterade domänen

Aviseringsmeddelande

Vi har upptäckt att undernätet i det virtuella nätverket i den här domänen kanske inte har tillräckligt med IP-adresser. Azure AD Domain Services behöver minst två tillgängliga IP-adresser i det undernät som den är aktiverad i. Vi rekommenderar att du har minst 3–5 extra IP-adresser i undernätet. Detta kan ha inträffat om andra virtuella datorer distribueras i undernätet, vilket gör att antalet tillgängliga IP-adresser tar slut eller om det finns en begränsning för antalet tillgängliga IP-adresser i undernätet.

Lösning

Undernätet för det virtuella nätverket för Azure AD DS tillräckligt med IP-adresser för de automatiskt skapade resurserna. Det här IP-adressutrymmet omfattar behovet av att skapa ersättningsresurser om det finns en underhållshändelse. För att minimera risken för att tillgängliga IP-adresser tar slut ska du inte distribuera ytterligare resurser, till exempel dina egna virtuella datorer, till samma virtuella nätverksundernät som den hanterade domänen.

Lös den här aviseringen genom att ta bort din befintliga hanterade domän och skapa den på nytt i ett virtuellt nätverk med ett tillräckligt stort IP-adressintervall. Den här processen är störande eftersom den hanterade domänen inte är tillgänglig och eventuella anpassade resurser som du har skapat, t.ex. OUS eller tjänstkonton, går förlorade.

1. Ta bort den hanterade domänen från din katalog.
2. Om du vill uppdatera IP-adressintervallet för det virtuella nätverket söker du efter och väljer Virtuellt nätverk i Azure Portal. Välj det virtuella nätverket för den hanterade domänen som har det lilla IP-adressintervallet.
3. Under Inställningar väljer du Adressutrymme.
4. Uppdatera adressintervallet genom att välja det befintliga adressintervallet och redigera det, eller genom att lägga till ytterligare ett adressintervall. Kontrollera att det nya IP-adressintervallet är tillräckligt stort för den hanterade domänens undernätsintervall. Spara ändringarna när du är klar.
5. Välj Undernät i det vänstra navigeringsfönstret.
6. Välj det undernät som du vill redigera eller skapa ytterligare ett undernät.
7. Uppdatera eller ange ett tillräckligt stort IP-adressintervall och spara sedan ändringarna.
8. Skapa en hanterad ersättningsdomän. Se till att du väljer det uppdaterade virtuella nätverkets undernät med ett tillräckligt stort IP-adressintervall.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och tar bort aviseringen.

AADDS113: Resurser kan inte återställas

Aviseringsmeddelande

Resurserna som används av Azure AD Domain Services identifierades i ett oväntat tillstånd och kan inte återställas.

Lösning

Det här felet kan inte återställas. Lös aviseringen genom att ta bort din befintliga hanterade domän och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure-supportbegäran för ytterligare felsökningshjälp.

AADDS114: Ogiltigt undernät

Aviseringsmeddelande

Det undernät som valts för distribution av Azure AD Domain Services är ogiltigt och kan inte användas.

Lösning

Det här felet kan inte återställas. Lös aviseringen genom att ta bort din befintliga hanterade domän och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure-supportbegäran för ytterligare felsökningshjälp.

AADDS115: Resurser är låsta

Aviseringsmeddelande

En eller flera av nätverksresurserna som används av den hanterade domänen kan inte användas eftersom målomfånget har låsts.

Lösning

Resurslås kan tillämpas på Azure-resurser för att förhindra ändring eller borttagning. Eftersom Azure AD DS är en hanterad tjänst behöver Azure-plattformen kunna göra konfigurationsändringar. Om ett resurslås tillämpas på vissa av Azure AD DS-komponenterna kan Azure-plattformen inte utföra sina hanteringsuppgifter.

Om du vill söka efter resurslås på Azure AD DS-komponenterna och ta bort dem utför du följande steg:

1. För var och en av den hanterade domänens nätverkskomponenter i resursgruppen, till exempel virtuellt nätverk, nätverksgränssnitt eller offentlig IP-adress, kontrollerar du åtgärdsloggarna i Azure Portal. Dessa åtgärdsloggar bör indikera varför en åtgärd misslyckas och var ett resurslås tillämpas.
2. Välj den resurs där ett lås tillämpas. Under Lås väljer du och tar sedan bort låsen.

AADDS116: Resurser är oanvändbara

Aviseringsmeddelande

En eller flera av nätverksresurserna som används av den hanterade domänen kan inte användas på grund av principbegränsningar.

Lösning

Principer tillämpas på Azure-resurser och resursgrupper som styr vilka konfigurationsåtgärder som tillåts. Eftersom Azure AD DS är en hanterad tjänst behöver Azure-plattformen kunna göra konfigurationsändringar. Om en princip tillämpas på vissa av Azure AD DS-komponenterna kan Det hända att Azure-plattformen inte kan utföra sina hanteringsuppgifter.

Utför följande steg för att söka efter tillämpade principer Azure AD DS komponenter och uppdatera dem:

1. För var och en av den hanterade domänens nätverkskomponenter i resursgruppen, till exempel virtuellt nätverk, nätverkskort eller offentlig IP-adress, kontrollerar du åtgärdsloggarna i Azure Portal. Dessa åtgärdsloggar bör visa varför en åtgärd misslyckas och var en begränsande princip tillämpas.
2. Välj den resurs där en princip tillämpas. Under Principer väljer du och redigerar sedan principen så att den är mindre restriktiv.

AADDS500: Synkroniseringen har inte slutförts på ett tag

Aviseringsmeddelande

Den hanterade domänen synkroniserades senast med Azure AD [datum]. Användare kanske inte kan logga in på den hanterade domänen eller gruppmedlemskap kanske inte är synkroniserade med Azure AD.

Lösning

Kontrollera Azure AD DS hälsotillståndet för eventuella aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Problem med nätverkskonfigurationen kan blockera synkroniseringen från Azure AD. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts.

Följande vanliga orsaker gör att synkroniseringen stoppas i en hanterad domän:

• Nödvändig nätverksanslutning blockeras. Mer information om hur du kontrollerar problem i det virtuella Azure-nätverket och vad som krävs finns i Felsöka nätverkssäkerhetsgrupper och nätverkskraven för Azure AD DS.
• Lösenordssynkroniseringen konfigurerades inte eller slutfördes inte när den hanterade domänen distribuerades. Du kan konfigurera lösenordssynkronisering för endast molnbaserade användare eller hybridanvändare från den molnbaserade .

AADDS501: En säkerhetskopia har inte tagits på ett tag

Aviseringsmeddelande

Den hanterade domänen säkerhetskopierades senast [date].

Lösning

Kontrollera Azure AD DS hälsotillståndet för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Problem med nätverkskonfigurationen kan hindra Azure-plattformen från att göra säkerhetskopior. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts.

AADDS503: Instängning på grund av inaktiverad prenumeration

Aviseringsmeddelande

Den hanterade domänen pausas eftersom Azure-prenumerationen som är associerad med domänen inte är aktiv.

Lösning

Azure AD DS kräver en aktiv prenumeration. Om Den Azure-prenumeration som den hanterade domänen var associerad med inte är aktiv måste du förnya den för att återaktivera prenumerationen.

1. Förnya din Azure-prenumeration.
2. När prenumerationen har förnyats kan Azure AD DS aktivera den hanterade domänen igen.

När den hanterade domänen aktiveras igen uppdateras den hanterade domänens hälsa automatiskt inom två timmar och aviseringen tas bort.

AADDS504: Instängning på grund av en ogiltig konfiguration

Aviseringsmeddelande

Den hanterade domänen pausas på grund av en ogiltig konfiguration. Tjänsten har inte kunnat hantera, korrigera eller uppdatera domänkontrollanterna för din hanterade domän under en längre tid.

Lösning

Kontrollera Azure AD DS hälsotillståndet för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts. När du är klar öppnar du en Azure-supportbegäran för att återaktivera den hanterade domänen.

Nästa steg

Om du fortfarande har problem kan du öppna en Azure-supportbegäran för ytterligare felsökningshjälp.