已知問題:Microsoft Entra Domain Services 中的常見警示和解決方式

作為應用程式身分識別和驗證的核心部分,Microsoft Entra Domain Services 有時會發生問題。 如果您遇到問題,有一些常見的警示和相關聯的疑難排解步驟可協助您再次執行。 您可以隨時 開啟Azure 支援要求 ,以取得更多疑難排解說明。

本文提供 Domain Services 中常見警示的疑難排解資訊。

AADDS100:遺漏目錄

警示訊息

與您的受控網域相關聯的 Microsoft Entra 目錄可能已刪除。 受控網域已不再處於支援的設定中。 Microsoft 無法監視、管理、修補及同步您的受控網域。

解決方法

當 Azure 訂用帳戶移至新的 Microsoft Entra 目錄,且刪除與 Domain Services 相關聯的舊 Microsoft Entra 目錄時,通常會造成此錯誤。

無法復原此錯誤。 若要解決警示, 請刪除現有的受控網域 ,然後在新的目錄中重新建立它。 如果您無法刪除受控網域, 請開啟Azure 支援要求 以取得更多疑難排解說明。

AADDS101:Azure AD B2C 正在此目錄中執行

警示訊息

無法在 Azure AD B2C 目錄中啟用 Microsoft Entra Domain Services。

解決方法

Domain Services 會自動與 Microsoft Entra 目錄同步處理。 如果 Microsoft Entra 目錄已設定為 B2C,則無法部署及同步網域服務。

若要使用 Domain Services,您必須使用下列步驟,在非 Azure AD B2C 目錄中重新建立受控網域:

  1. 從現有的 Microsoft Entra 目錄中刪除受控網域
  2. 建立不是 Azure AD B2C 目錄的新 Microsoft Entra 目錄。
  3. 建立取代的受控網域

受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

AADDS103:位址位於公用 IP 範圍內

警示訊息

已啟用 Microsoft Entra Domain Services 之虛擬網路的 IP 位址範圍位於公用 IP 範圍中。 Microsoft Entra Domain Services 必須在具有私人 IP 位址範圍的虛擬網路中啟用。 此設定會影響 Microsoft 監視、管理、修補及同步處理受控網域的能力。

解決方法

開始之前,請確定您瞭解 私人 IP v4 位址空間

在虛擬網路內,VM 可以在為子網設定的相同 IP 位址範圍中對 Azure 資源提出要求。 如果您設定子網的公用 IP 位址範圍,虛擬網路內路由的要求可能無法連線到預期的 Web 資源。 此設定可能會導致網域服務發生無法預測的錯誤。

注意

如果您在虛擬網路中設定的網際網路中擁有 IP 位址範圍,則可以忽略此警示。 不過,Microsoft Entra Domain Services 無法認可此設定的 SLA ,因為它可能會導致無法預測的錯誤。

若要解決此警示,請刪除現有的受控網域,並在具有私人 IP 位址範圍的虛擬網路中重新建立它。 此程式會造成干擾,因為受控網域無法使用,而且您建立的任何自訂資源,例如 OU 或服務帳戶會遺失。

  1. 從您的目錄中刪除受控網域
  2. 若要更新虛擬網路 IP 位址範圍,請在 Microsoft Entra 系統管理中心搜尋並選取 [虛擬網路 ]。 針對未正確設定公用 IP 位址範圍的網域服務,選取虛擬網路。
  3. 在 [設定] 下 ,選取 [ 位址空間 ]。
  4. 選擇現有的位址範圍並加以編輯,或新增位址範圍,以更新位址範圍。 請確定新的 IP 位址範圍位於私人 IP 範圍中。 準備就緒時, 請儲存 變更。
  5. 選取 左側導覽中的 [子網 ]。
  6. 選擇您想要編輯的子網,或建立另一個子網。
  7. 更新或指定私人 IP 位址範圍,然後 儲存 您的變更。
  8. 建立取代的受控網域 。 請確定您挑選具有私人 IP 位址範圍的更新虛擬網路子網。

受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

AADDS106:找不到您的 Azure 訂用帳戶

警示訊息

已刪除與受控網域相關聯的 Azure 訂用帳戶。 Microsoft Entra Domain Services 需要作用中的訂用帳戶才能繼續正常運作。

解決方法

Domain Services 需要作用中的訂用帳戶,且無法移至不同的訂用帳戶。 如果已刪除與受控網域相關聯的 Azure 訂用帳戶,您必須重新建立 Azure 訂用帳戶和受控網域。

  1. 建立 Azure 訂用帳戶
  2. 從現有的 Microsoft Entra 目錄中刪除受控網域
  3. 建立取代的受控網域

AADDS107:您的 Azure 訂用帳戶已停用

警示訊息

與受控網域相關聯的 Azure 訂用帳戶不是作用中。 Microsoft Entra Domain Services 需要作用中的訂用帳戶才能繼續正常運作。

解決方法

網域服務需要作用中的訂用帳戶。 如果與受控網域相關聯的 Azure 訂用帳戶不是使用中,您必須更新它,才能重新啟用訂用帳戶。

  1. 更新您的 Azure 訂用帳戶
  2. 訂閱更新之後,Domain Services 通知可讓您重新啟用受控網域。

再次啟用受控網域時,受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

AADDS108:訂用帳戶移動的目錄

警示訊息

Microsoft Entra Domain Services 所使用的訂用帳戶已移至另一個目錄。 Microsoft Entra Domain Services 必須有相同目錄中的作用中訂用帳戶才能正常運作。

解決方法

Domain Services 需要作用中的訂用帳戶,且無法移至不同的訂用帳戶。 如果已移動與受控網域相關聯的 Azure 訂用帳戶,請將訂用帳戶移回上一個目錄,或 從現有目錄刪除受控網域 ,並在 所選 訂用帳戶中建立替代受控網域。

AADDS109:找不到受控網域的資源

警示訊息

已刪除用於受控網域的資源。 Microsoft Entra Domain Services 需要此資源才能正常運作。

解決方法

Domain Services 會建立資源以正常運作,例如公用 IP 位址、虛擬網路介面和負載平衡器。 如果刪除上述任何資源,受控網域處於不支援的狀態,並防止網域受到管理。 如需這些資源的詳細資訊,請參閱 Domain Services 所使用的網路資源。

刪除其中一個必要資源時,會產生此警示。 如果資源在 4 小時前刪除,Azure 平臺可能會自動重新建立已刪除的資源。 下列步驟概述如何檢查資源刪除的健康情況狀態和時間戳記:

  1. Microsoft Entra 系統管理中心 中,搜尋並選取 [ 網域服務 ]。 選擇您的受控網域,例如 aaddscontoso.com

  2. 在左側導覽中,選取 [ 健康情況 ]。

  3. 在健康情況頁面中,選取識別碼為AADDS109 警示。

  4. 警示具有第一次找到警示時的時間戳記。 如果該時間戳記小於 4 小時前,Azure 平臺就可能能夠自動重新建立資源並自行解決警示。

    基於不同原因,警示可能早于 4 小時。 在此情況下,您可以 刪除受控網域,然後 建立取代受控網域 以進行立即修正,或者您可以開啟支援要求來修正實例。 視問題的性質而定,支援可能需要從備份還原。

AADDS110:與您的受控網域相關聯的子網已滿

警示訊息

為部署 Microsoft Entra Domain Services 所選取的子網已滿,而且不需要為需要建立的其他網域控制站提供空間。

解決方法

Domain Services 的虛擬網路子網需要足夠的 IP 位址,供自動建立的資源使用。 如果發生維護事件,此 IP 位址空間會包含建立取代資源的需求。 若要將用盡可用 IP 位址的風險降到最低,請勿將其他資源,例如您自己的 VM 部署到與受控網域相同的虛擬網路子網中。

無法復原此錯誤。 若要解決警示, 請刪除現有的受控網域 ,然後重新建立它。 如果您無法刪除受控網域, 請開啟Azure 支援要求 以取得更多協助。

AADDS111:服務主體未經授權

警示訊息

Microsoft Entra Domain Services 用來服務網域的服務主體未獲授權來管理 Azure 訂用帳戶上的資源。 服務主體必須取得服務受控網域的許可權。

解決方法

某些自動產生的服務主體可用來管理和建立受控網域的資源。 如果變更其中一個服務主體的存取權限,網域就無法正確管理資源。 下列步驟說明如何瞭解,然後將存取權限授與服務主體:

  1. 閱讀 Azure 角色型存取控制,以及如何在 Microsoft Entra 系統管理中心 授與應用程式的存取權。
  2. 檢閱識別碼 為 abba844e-bc0e-44b0-947a-dc74e5d09022 的服務主體具有的存取權,並授與先前日期拒絕的存取權。

AADDS112:受控網域中的 IP 位址不足

警示訊息

我們發現此網域中的虛擬網路子網可能沒有足夠的 IP 位址。 Microsoft Entra Domain Services 在啟用子網內至少需要兩個可用的 IP 位址。 建議您在子網內至少有 3-5 個備用 IP 位址。 如果在子網內部署其他虛擬機器,因而耗盡可用的 IP 位址數目,或子網中可用的 IP 位址數目有限制,就可能發生此情況。

解決方法

Domain Services 的虛擬網路子網需要足夠的 IP 位址,供自動建立的資源使用。 如果發生維護事件,此 IP 位址空間會包含建立取代資源的需求。 若要將用盡可用 IP 位址的風險降到最低,請勿將其他資源,例如您自己的 VM 部署到與受控網域相同的虛擬網路子網中。

若要解決此警示,請刪除您現有的受控網域,並在具有足夠大 IP 位址範圍的虛擬網路中重新建立它。 此程式會造成干擾,因為受控網域無法使用,而且您建立的任何自訂資源,例如 OU 或服務帳戶會遺失。

  1. 從您的目錄中刪除受控網域
  2. 若要更新虛擬網路 IP 位址範圍,請在 Microsoft Entra 系統管理中心搜尋並選取 [虛擬網路 ]。 針對具有小型 IP 位址範圍的受控網域選取虛擬網路。
  3. 在 [設定] 下 ,選取 [ 位址空間 ]。
  4. 選擇現有的位址範圍並加以編輯,或新增另一個位址範圍,以更新位址範圍。 請確定新的 IP 位址範圍足以容納受控網域的子網範圍。 準備就緒時, 請儲存 變更。
  5. 選取 左側導覽中的 [子網 ]。
  6. 選擇您想要編輯的子網,或建立另一個子網。
  7. 更新或指定足夠大的 IP 位址範圍,然後 儲存 您的變更。
  8. 建立取代的受控網域 。 請確定您挑選具有足夠大 IP 位址範圍的更新虛擬網路子網。

受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

AADDS113:無法復原資源

警示訊息

Microsoft Entra Domain Services 所使用的資源偵測到處于非預期狀態且無法復原。

解決方法

Domain Services 會建立資源以正常運作,例如公用 IP 位址、虛擬網路介面和負載平衡器。 如果修改這些資源中的任何一項,受控網域處於不支援的狀態,且無法管理。 如需這些資源的詳細資訊,請參閱 Domain Services 所使用的網路資源。

當其中一個必要資源遭到修改,且網域服務無法自動復原時,就會產生此警示。 若要解決警示, 請開啟Azure 支援要求 來修正實例。

AADDS114:子網無效

警示訊息

為部署 Microsoft Entra Domain Services 所選取的子網無效,且無法使用。

解決方法

無法復原此錯誤。 若要解決警示, 請刪除現有的受控網域 ,然後重新建立它。 如果您無法刪除受控網域, 請開啟Azure 支援要求 以取得更多協助。

AADDS115:資源已鎖定

警示訊息

受控網域所使用的一或多個網路資源無法運作,因為目標範圍已鎖定。

解決方法

資源鎖定可以套用至 Azure 資源,以防止變更或刪除。 由於 Domain Services 是受控服務,Azure 平臺需要進行設定變更的能力。 如果某些 Domain Services 元件套用資源鎖定,Azure 平臺就無法執行其管理工作。

若要檢查 Domain Services 元件上的資源鎖定,並加以移除,請完成下列步驟:

  1. 針對資源群組中每個受控網域的網路元件,例如虛擬網路、網路介面或公用 IP 位址,檢查 Microsoft Entra 系統管理中心中的作業記錄。 這些作業記錄應該指出作業失敗的原因,以及套用資源鎖定的位置。
  2. 選取套用鎖定的資源,然後在 [鎖定 ] 下 選取並移除鎖定。

AADDS116:資源無法使用

警示訊息

由於原則限制,受控網域所使用的一或多個網路資源無法運作。

解決方法

原則會套用至 Azure 資源和資源群組,以控制允許的設定動作。 由於 Domain Services 是受控服務,Azure 平臺需要進行設定變更的能力。 如果原則套用至某些 Domain Services 元件,Azure 平臺可能無法執行其管理工作。

若要檢查 Domain Services 元件上套用的原則並加以更新,請完成下列步驟:

  1. 針對資源群組中的每個受控網域網路元件,例如虛擬網路、NIC 或公用 IP 位址,檢查 Microsoft Entra 系統管理中心中的作業記錄。 這些作業記錄應該指出作業失敗的原因,以及套用限制性原則的位置。
  2. 選取套用原則的資源,然後在 [原則] 下 選取並編輯原則,使其較不嚴格。

AADDS120:受控網域上線一或多個自訂屬性時發生錯誤

警示訊息

下列 Microsoft Entra 延伸模組屬性未成功上線為同步處理的自訂屬性。 如果屬性與內建架構衝突,可能會發生這種情況:[extensions]

解決方法

警告

如果自訂屬性的 LDAPName 與現有的 AD 內建架構屬性衝突,則無法上線並產生錯誤。 如果您的案例遭到封鎖,請連絡Microsoft 支援服務。 如需詳細資訊,請參閱 將自訂屬性 上線。

檢閱 Domain Services 健全狀況 警示,並查看哪些 Microsoft Entra 擴充功能屬性無法順利上線。 流覽至 [ 自訂屬性] 頁面,以尋找擴充功能的預期網域服務 LDAPName。 請確定 LDAPName 不會與另一個 AD 架構屬性衝突,或它是其中一個允許的內建 AD 屬性。

然後遵循下列步驟,在 [自訂屬性] 頁面中重試上線自訂屬性

  1. 選取失敗的屬性,然後按一下 [移除] 和 [ 儲存 ]。
  2. 等候移除健康情況警示,或確認已從已加入網域的 VM 的 AADDSCustomAttributes OU 中移除對應的屬性。
  3. 選取 [ 新增 ],然後再次選擇所需的屬性,然後按一下 [ 儲存 ]。

成功上線時,Domain Services 會以已上線的自訂屬性值,重新填入同步處理的使用者和群組。 根據租使用者的大小,自訂屬性值會逐漸出現。 若要檢查回填狀態,請移至 [ 網域服務健康 情況],並確認 [與 Microsoft Entra ID 監視同步處理] 時間戳記已在最後一小時內更新。

AADDS500:同步處理有一陣子未完成

警示訊息

受控網域上次與 [日期] 上的 Microsoft Entra ID 同步處理。 使用者可能無法登入受控網域,或者群組成員資格可能無法與 Azure AD 同步。

解決方法

檢查 Domain Services 健康 情況,以取得任何指出受控網域設定問題警示。 網路設定的問題會封鎖來自 Microsoft Entra ID 的同步處理。 如果您能夠解決指出設定問題的警示,請等候兩個小時再回來查看是否已順利完成同步處理。

下列常見原因會導致同步處理在受控網域中停止:

AADDS501:備份尚未在一段時間內進行

警示訊息

受控網域上次備份于 [日期]。

解決方法

檢查網域服務健康 情況,以取得指出受控網域設定中發生問題的警示。 網路設定的問題可能會阻止 Azure 平臺成功進行備份。 如果您能夠解決指出設定問題的警示,請等候兩個小時再回來查看是否已順利完成同步處理。

AADDS503:因停用訂用帳戶而暫停

警示訊息

受控網域已暫停,因為與網域相關聯的 Azure 訂用帳戶不在作用中。

解決方法

警告

如果受控網域暫停一段時間,就會有刪除它的危險。 儘快解決暫停的原因。 如需詳細資訊,請參閱 瞭解網域服務的 暫停狀態。

網域服務需要作用中的訂用帳戶。 如果與受控網域相關聯的 Azure 訂用帳戶不是使用中,您必須更新它,才能重新啟用訂用帳戶。

  1. 更新您的 Azure 訂用帳戶
  2. 訂閱更新之後,Domain Services 通知可讓您重新啟用受控網域。

再次啟用受控網域時,受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

AADDS504:因設定無效而暫停

警示訊息

受控網域因設定無效而暫停。 服務長時間無法管理、修補或更新受控網域的網域控制站。

解決方法

警告

如果受控網域暫停一段時間,就會有刪除它的危險。 儘快解決暫停的原因。 如需詳細資訊,請參閱 瞭解網域服務的 暫停狀態。

檢查網域服務健康 情況,以取得指出受控網域設定中發生問題的警示。 如果您能夠解決指出設定問題的警示,請等候兩個小時,然後返回查看同步處理是否已完成。 準備好時, 請開啟Azure 支援要求 ,以重新啟用受控網域。

AADDS600:未解決的健全狀況警示 30 天

警示訊息

Microsoft 無法管理此受控網域的網域控制站,因為未解決的健康情況警示 [識別碼]。 這會封鎖這些網域控制站的重要安全性更新,以及計畫移轉至 Windows Server 2019。 請遵循警示中的步驟來解決問題。 在 30 天內無法解決此問題會導致受控網域暫停。

解決方法

警告

如果受控網域暫停一段時間,就會有刪除它的危險。 儘快解決暫停的原因。 如需詳細資訊,請參閱 瞭解網域服務的 暫停狀態。

檢查網域服務健康 情況,以取得指出受控網域設定中發生問題的警示。 如果您能夠解決指出設定問題的警示,請等候六個小時,然後返回查看警示是否已移除。 如果您需要協助,請開啟Azure 支援要求

下一步

如果您仍有問題, 請開啟Azure 支援要求 以取得更多疑難排解說明。