Sdílet prostřednictvím

Běžné chyby a postup řešení potíží se službou Microsoft Entra Domain Services

  • Článek

Jako ústřední součást identity a ověřování pro aplikace má služba Microsoft Entra Domain Services někdy problémy. Pokud narazíte na problémy, existují některé běžné chybové zprávy a související kroky pro řešení potíží, které vám pomůžou znovu spustit věci. Kdykoli můžete také otevřít žádost o podporu Azure pro další pomoc s řešením problémů.

Tento článek obsahuje postup řešení běžných problémů ve službě Domain Services.

Pro adresář Microsoft Entra nelze povolit službu Microsoft Entra Domain Services.

Pokud máte problémy s povolením služby Domain Services, projděte si následující běžné chyby a kroky k jejich řešení:

ukázková chybová zpráva řešení
Název aaddscontoso.com se už v této síti používá. Zadejte název, který se nepoužívá. konflikt názvu domény ve virtuální síti
V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Služba nemá odpovídající oprávnění k aplikaci s názvem Synchronizace služby Microsoft Entra Domain Services. Odstraňte aplikaci s názvem Microsoft Entra Domain Services Sync a pak se pokuste pro vašeho tenanta Microsoft Entra povolit službu Domain Services. Domain Services nemá odpovídající oprávnění k aplikaci Synchronizace služby Microsoft Entra Domain Services
V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Domain Services ve vašem tenantovi Microsoft Entra nemá požadovaná oprávnění k povolení služby Domain Services. Odstraňte aplikaci s identifikátorem aplikace d87dcbc6-a371-462e-88e3-28ad15ec4e64 a pak se pokuste pro svého tenanta Microsoft Entra povolit službu Domain Services. aplikace Domain Services není ve vašem tenantovi Microsoft Entra správně nakonfigurovaná
V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Microsoft Entra je ve vašem tenantovi Microsoft Entra zakázaná. Povolte aplikaci s identifikátorem aplikace 00000002-0000-0000-c000-0000000000000 a potom se pokuste povolit Domain Services pro vašeho tenanta Microsoft Entra. Aplikace Microsoft Graph je ve vašem tenantovi Microsoft Entra zakázaná

Konflikt názvů domén

Chybová zpráva

Název aaddscontoso.com se už v této síti používá. Zadejte název, který se nepoužívá.

řešení

Zkontrolujte, že nemáte existující prostředí služby AD DS se stejným názvem domény ve stejné nebo partnerské virtuální síti. Můžete mít například doménu AD DS s názvem aaddscontoso.com, která běží na virtuálních počítačích Azure. Když se pokusíte povolit spravovanou doménu služby Domain Services se stejným názvem domény aaddscontoso.com ve virtuální síti, požadovaná operace selže.

Příčinou tohoto selhání jsou konflikty názvů pro název domény ve virtuální síti. Vyhledávání DNS zkontroluje, jestli existující prostředí služby AD DS odpoví na požadovaný název domény. Pokud chcete tuto chybu vyřešit, nastavte spravovanou doménu jiným názvem nebo zrušte zřízení stávající domény služby AD DS a potom zkuste službu Domain Services povolit znovu.

Nedostatečná oprávnění

Chybová zpráva

V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Služba nemá odpovídající oprávnění k aplikaci s názvem Synchronizace služby Microsoft Entra Domain Services. Odstraňte aplikaci s názvem Microsoft Entra Domain Services Sync a pak se pokuste pro vašeho tenanta Microsoft Entra povolit službu Domain Services.

Rozlišení

Zkontrolujte, jestli ve vašem adresáři Microsoft Entra není aplikace s názvem Synchronizace služeb domény. Pokud tato aplikace existuje, odstraňte ji a zkuste znovu povolit Domain Services. Pokud chcete zkontrolovat existující aplikaci a v případě potřeby ji odstranit, proveďte následující kroky:

  1. V centru pro správu Microsoft Entravyberte ID Microsoft Entra z levé navigační nabídky.
  2. Vyberte podnikové aplikace. V rozevírací nabídce typu aplikace zvolte Všechny aplikace a pak vyberte Použít.
  3. Do vyhledávacího pole zadejte Microsoft Entra Domain Services Sync. Pokud aplikace existuje, vyberte ji a vyberte Odstranit.
  4. Po odstranění aplikace zkuste službu Domain Services znovu povolit.

Neplatná konfigurace

Chybová zpráva

V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Domain Services ve vašem tenantovi Microsoft Entra nemá požadovaná oprávnění k povolení služby Domain Services. Odstraňte aplikaci s identifikátorem aplikace d87dcbc6-a371-462e-88e3-28ad15ec4e64 a pak se pokuste pro svého tenanta Microsoft Entra povolit službu Domain Services.

Řešení

Zkontrolujte, jestli máte existující aplikaci s názvem AzureActiveDirectoryDomainControllerServices s identifikátorem aplikace d87dcbc6-a371-462e-88e3-28ad15ec4e64 v adresáři Microsoft Entra. Pokud tato aplikace existuje, odstraňte ji a poté zkuste znovu povolit Domain Services.

Pomocí následujícího skriptu PowerShellu vyhledejte existující instanci aplikace a v případě potřeby ji odstraňte:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph je zakázaný

Chybová zpráva

V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Microsoft Entra je ve vašem tenantovi Microsoft Entra zakázaná. Povolte aplikaci s identifikátorem aplikace 00000002-0000-0000-c000-0000000000000 a potom se pokuste povolit Domain Services pro vašeho tenanta Microsoft Entra.

řešení

Zkontrolujte, jestli jste zakázali aplikaci s identifikátorem 00000002-0000-0000-c000-000000000000000. Tato aplikace je aplikace Microsoft Entra a poskytuje rozhraní Graph API přístup k vašemu tenantovi Microsoft Entra. Pokud chcete synchronizovat tenanta Microsoft Entra, musí být tato aplikace povolená.

Pokud chcete zkontrolovat stav této aplikace a v případě potřeby ji povolit, proveďte následující kroky:

  1. V Centru pro správu Microsoft Entravyhledejte a vyberte Podnikové aplikace.
  2. V rozevírací nabídce Typ aplikace zvolte Všechny aplikace a pak vyberte Použít.
  3. Do vyhledávacího pole zadejte 00000002-0000-0000-c000-0000000000000. Vyberte aplikaci a pak zvolte Vlastnosti.
  4. Pokud je Povoleno přihlášení uživatelů je nastaveno na Ne, nastavte hodnotu na Anoa pak vyberte Uložit.
  5. Jakmile aplikaci povolíte, zkuste službu Domain Services znovu povolit.

Uživatelé se nemůžou přihlásit ke spravované doméně služby Microsoft Entra Domain Services

Pokud se jeden nebo více uživatelů ve vašem tenantovi Microsoft Entra nemůže přihlásit ke spravované doméně, proveďte následující kroky pro řešení potíží:

  • formát přihlašovacích údajů – Zkuste použít formát hlavního názvu uživatele (UPN) k zadání přihlašovacích údajů, například dee@aaddscontoso.onmicrosoft.com. Formát hlavního názvu uživatele (UPN) je doporučený způsob, jak zadat přihlašovací údaje ve službě Domain Services. Ujistěte se, že je tento hlavní název uživatele (UPN) správně nakonfigurovaný v Microsoft Entra ID.

    SAMAccountName pro váš účet, například AADDSCONTOSO\driley, se může automaticky vygenerovat, pokud ve vašem prostředí existuje více uživatelů se stejnou předponou uživatelského jména, nebo pokud je předpona uživatelského jména příliš dlouhá. Formát SAMAccountName pro váš účet se proto může lišit od toho, co očekáváte nebo používáte v místní doméně.

  • synchronizace hesel – Ujistěte se, že jste povolili synchronizaci hesel pro výhradně cloudových uživatelů nebo pro hybridní prostředí pomocí služby Microsoft Entra Connect.

    • hybridní synchronizované účty: Pokud jsou ovlivněné uživatelské účty synchronizovány z místního adresáře, ověřte následující oblasti:

      • Nasadili jste nebo aktualizovali nejnovější doporučenou verzi Microsoft Entra Connect.

      • Nakonfigurovali jste Microsoft Entra Connect na provést úplnou synchronizaci.

      • V závislosti na velikosti adresáře může chvíli trvat, než budou uživatelské účty a hodnoty hash přihlašovacích údajů dostupné ve spravované doméně. Před pokusem o ověření ve spravované doméně se ujistěte, že čekáte dostatečně dlouho.

      • Pokud problém přetrvává i po ověření předchozích kroků, zkuste restartovat službu Azure AD Sync Service. Na serveru Microsoft Entra Connect otevřete příkazový řádek a spusťte následující příkazy:

        net stop 'Microsoft Azure AD Sync'
net start 'Microsoft Azure AD Sync'

    • účty pouze pro cloud: Pokud je ovlivněný uživatelský účet výhradně cloudový uživatelský účet, ujistěte se, že uživatel po povolení služby Domain Serviceszměnil heslo. Toto resetování hesla způsobí vygenerování požadovaných hodnot hash přihlašovacích údajů pro spravovanou doménu.

  • Ověření aktivního uživatelského účtu: Ve výchozím nastavení pět neplatných pokusů o heslo do 2 minut ve spravované doméně způsobí, že se uživatelský účet po dobu 30 minut uzamkne. Uživatel se nemůže přihlásit, když je účet uzamčený. Po 30 minutách se uživatelský účet automaticky odemkne.

    • Neplatné pokusy o heslo ve spravované doméně nezamknou uživatelský účet v ID Microsoft Entra. Uživatelský účet je uzamčen pouze v rámci spravované domény. Zkontrolujte stav uživatelského účtu v konzoly pro správu služby Active Directory (ADAC), a to pomocí virtuálního počítače pro správu, ne v Microsoft Entra ID.
    • Můžete také nakonfigurovat jemně odstupňované zásady hesel, změnit výchozí prahovou hodnotu a dobu trvání uzamčení.

  • Externí účty – Zkontrolujte, zda účet uživatele není externím účtem v tenantovi Microsoft Entra. Mezi příklady externích účtů patří účty Microsoft, jako jsou dee@live.com nebo uživatelské účty z externího adresáře Microsoft Entra. Domain Services neukládá přihlašovací údaje pro externí uživatelské účty, takže se nemůžou přihlásit ke spravované doméně.

Ve spravované doméně existuje jedna nebo více upozornění.

Pokud jsou ve spravované doméně aktivní výstrahy, může zabránit správnému fungování procesu ověřování.

Pokud chcete zjistit, jestli existují nějaké aktivní výstrahy, zkontrolujte stav spravované domény. Pokud se zobrazí nějaká upozornění, zjistit příčinu a vyřešit je.

Uživatelé odebraní z vašeho tenanta Microsoft Entra se ze spravované domény neodeberou.

Microsoft Entra ID chrání před náhodným odstraněním uživatelských objektů. Když odstraníte uživatelský účet z tenanta Microsoft Entra, příslušný objekt uživatele se přesune do koše. Když se tato operace odstranění synchronizuje s vaší spravovanou doménou, odstraní se odpovídající uživatelský účet, protože Domain Services nemá koš.

Pokud je uživatelský účet obnoven v rámci tenanta, služba Domain Services při synchronizaci změny se spravovanou doménou načte všechny odkazy tohoto účtu. Uživatelský účet ve spravované doméně získá nový globálně jedinečný identifikátor (GUID) a ID zabezpečení (SID).

Další kroky

Pokud máte dál problémy, otevřete žádost o podporu Azure pro další pomoc s řešením potíží.