A Microsoft Entra Domain Services gyakori hibái és hibaelhárítási lépései

Az alkalmazások identitásának és hitelesítésének központi részeként a Microsoft Entra Domain Services néha problémákat tapasztal. Ha problémákba ütközik, néhány gyakori hibaüzenet és a kapcsolódó hibaelhárítási lépések segítenek a dolgok újrafuttatásában. Bármikor nyithat egy Azure-támogatási kérelmet további hibaelhárítási segítségért.

Ez a cikk hibaelhárítási lépéseket tartalmaz a Domain Services gyakori problémáihoz.

A Microsoft Entra Domain Services nem aktiválható a Microsoft Entra-címtárhoz

Ha problémái vannak a Domain Services engedélyezésével, tekintse át az alábbi gyakori hibákat és a megoldásuk lépéseit:

Tartománynévütközés

hibaüzenet

A aaddscontoso.com név már használatban van ezen a hálózaton. Adjon meg egy olyan nevet, amely nincs használatban.

Felbontás

Ellenőrizze, hogy nincs-e létező AD DS-környezet azonos tartománynévvel ugyanazon a virtuális hálózaton vagy egy társított virtuális hálózaton. Előfordulhat például, hogy rendelkezik egy aaddscontoso.com nevű AD DS-tartománnyal, amely Azure-beli virtuális gépeken fut. Ha olyan felügyelt tartományt próbál engedélyezni, amelynek tartományneve azonos a virtuális hálózaton aaddscontoso.com, a kért művelet meghiúsul.

Ezt a hibát a virtuális hálózaton lévő tartománynév névütközései okozhatják. A DNS-keresés ellenőrzi, hogy egy meglévő AD DS-környezet válaszol-e a kért tartománynévre. A hiba megoldásához adjon meg egy másik nevet a felügyelt tartomány beállításához, vagy bontsa le a meglévő AD DS-tartományt, majd próbálkozzon újra a Tartományi szolgáltatások engedélyezésével.

Nem megfelelő engedélyek

hibaüzenet

A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A szolgáltatás nem rendelkezik megfelelő engedélyekkel a Microsoft Entra Domain Services Sync nevű alkalmazáshoz. Törölje a "Microsoft Entra Domain Services Sync" nevű alkalmazást, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára.

Felbontás

Ellenőrizze, hogy van-e Microsoft Entra Domain Services Sync nevű alkalmazás a Microsoft Entra címtárban. Ha ez az alkalmazás létezik, törölje, majd próbálkozzon újra a Domain Services engedélyezéséhez. Meglévő alkalmazás kereséséhez és szükség esetén törléséhez hajtsa végre a következő lépéseket:

1. A Microsoft Entra Felügyeleti központbal oldali navigációs menüben válassza Microsoft Entra-azonosító.
2. Válassza a Vállalati alkalmazásoklehetőséget. Válassza ki a összes alkalmazást az Alkalmazás típus legördülő menüben, majd kattintson az Alkalmazgombra.
3. A keresőmezőbe írja be Microsoft Entra Domain Services Sync. Ha az alkalmazás létezik, jelölje ki, és válassza Törléslehetőséget.
4. Miután törölte az alkalmazást, próbálja meg újból engedélyezni a Domain Services szolgáltatást.

Érvénytelen konfiguráció

hibaüzenet

A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A Tartományszolgáltatások alkalmazás a Microsoft Entra-bérlőben nem rendelkezik a tartományi szolgáltatások engedélyezéséhez szükséges engedélyekkel. Törölje az alkalmazást a d87dcbc6-a371-462e-88e3-28ad15ec4e64 alkalmazásazonosítóval, majd próbálja meg engedélyezni a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára.

Határozat

Ellenőrizze, hogy a Microsoft Entra könyvtárban van-e meglévő alkalmazása az AzureActiveDirectoryDomainControllerServices névvel és az alkalmazásazonosítóval d87dcbc6-a371-462e-88e3-28ad15ec4e64. Ha az alkalmazás létezik, törölje, majd próbálkozzon újra a Domain Services engedélyezéséhez.

A következő PowerShell-szkripttel keressen egy meglévő alkalmazáspéldányt, és szükség esetén törölje azt:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

A Microsoft Graph letiltva van

hibaüzenet

A Domain Services nem engedélyezhető ebben a Microsoft Entra-bérlőben. A Microsoft Entra alkalmazás le van tiltva a Microsoft Entra-bérlőben. Engedélyezze az alkalmazást a 00000002-0000-0000-c000-0000000000 alkalmazásazonosítóval, majd próbálja meg engedélyezni a Domain Services szolgáltatásokat a Microsoft Entra bérlője számára.

Felbontás

Ellenőrizze, hogy letiltott-e egy alkalmazást a 00000002-0000-0000-c000-000000000000 azonosítóval. Ez az alkalmazás a Microsoft Entra alkalmazás, és Graph API-hozzáférést biztosít a Microsoft Entra-bérlőhöz. A Microsoft Entra-bérlő szinkronizálásához engedélyezni kell ezt az alkalmazást.

Az alkalmazás állapotának ellenőrzéséhez és szükség esetén engedélyezéséhez hajtsa végre az alábbi lépéseket:

1. A Microsoft Entra felügyeleti központban keresse meg és válassza ki a Vállalati alkalmazásokat.
2. Válassza a(z) Az összes alkalmazás elemet az Alkalmazástípus legördülő menüből, majd válassza az Alkalmazelemet.
3. A keresőmezőbe írja be a 00000002-0000-0000-c000-000000000000. Jelölje ki az alkalmazást, majd válassza a Tulajdonságoklehetőséget.
4. Ha Engedélyezve van a felhasználók számára a bejelentkezéshezNemértékre van állítva, állítsa az értéket Igenértékre, majd válassza a Mentéslehetőséget.
5. Miután engedélyezte az alkalmazást, próbálja meg újra engedélyezni a Domain Servicest.

A felhasználók nem tudnak bejelentkezni a Microsoft Entra Domain Services által felügyelt tartományba

Ha a Microsoft Entra-bérlő egy vagy több felhasználója nem tud bejelentkezni a felügyelt tartományba, végezze el az alábbi hibaelhárítási lépéseket:

• hitelesítő adatok formátuma – Próbálja meg az UPN formátumot használni a hitelesítő adatok megadásához, például dee@aaddscontoso.onmicrosoft.com. Az UPN formátum az ajánlott módja a hitelesítő adatok megadásának a Domain Servicesben. Győződjön meg arról, hogy az UPN megfelelően van konfigurálva a Microsoft Entra-azonosítóban.

  Előfordulhat, hogy a fiókhoz tartozó SAMAccountName, például AADDSCONTOSO\driley automatikusan generálódik, ha több felhasználó is rendelkezik ugyanazzal az UPN-előtaggal a bérlői környezetben, vagy ha az UPN-előtag túl hosszú. Ezért a fiók SAMAccountName formátuma eltérhet attól, amit a helyszíni tartományban elvár vagy használ.

• Jelszószinkronizálás: Győződjön meg arról, hogy engedélyezte a jelszószinkronizálást a csak felhőalapú felhasználókra vagy hibrid környezetekben a Microsoft Entra Connecthasználatával.

  • hibrid szinkronizált fiókok: Ha az érintett felhasználói fiókok szinkronizálva vannak egy helyszíni címtárból, ellenőrizze a következő területeket:

    • Telepítette vagy frissítette a Microsoft Entra Connect legújabb ajánlott kiadását.

    • A Microsoft Entra Connectet úgy konfigurálta, hogy teljes szinkronizálást hajtson végre.

    • A címtár méretétől függően eltarthat egy ideig, amíg a felhasználói fiókok és a hitelesítő adatok kivonatai elérhetők lesznek a felügyelt tartományban. Győződjön meg arról, hogy elég sokáig vár, mielőtt megpróbál hitelesítést végezni a felügyelt tartományon.

    • Ha a probléma az előző lépések ellenőrzése után is fennáll, indítsa újra az Azure AD Sync Service . A Microsoft Entra Connect-kiszolgálón nyisson meg egy parancssort, majd futtassa a következő parancsokat:

      net stop 'Microsoft Azure AD Sync'
      net start 'Microsoft Azure AD Sync'
      

  • csak felhőalapú fiókok: Ha az érintett felhasználói fiók csak felhőalapú felhasználói fiók, győződjön meg arról, hogy a felhasználó módosította a jelszavát a Tartományi szolgáltatásokengedélyezése után. Ez a jelszó-visszaállítás a felügyelt tartományhoz szükséges hitelesítőadat-kivonatok létrehozásához vezet.

• Ellenőrizze, hogy a felhasználói fiók aktív-e: Alapértelmezés szerint a felügyelt tartományon 2 percen belül öt érvénytelen jelszókísérlet miatt a felhasználói fiók 30 percre zárolva lesz. A felhasználó nem tud bejelentkezni, amíg a fiók zárolva van. 30 perc elteltével a felhasználói fiók automatikusan feloldva lesz.

  • A felügyelt tartomány érvénytelen jelszavas kísérletei nem zárják ki a felhasználói fiókot a Microsoft Entra-azonosítóban. A felhasználói fiók zárolása csak a felügyelt tartományon belül történik. Ellenőrizze a felhasználói fiók állapotát az Active Directory felügyeleti konzol (ADAC) a felügyeleti virtuális géphasználatával, nem a Microsoft Entra-azonosítóban.
  • Emellett is konfigurálhat részletes jelszóházirendeket az alapértelmezett zárolási küszöbérték és időtartam módosításához.

• Külső fiókok – Ellenőrizze, hogy az érintett felhasználói fiók nem külső fiók-e a Microsoft Entra-bérlőben. A külső fiókok közé tartoznak például a Microsoft-fiókok, például a dee@live.com vagy egy külső Microsoft Entra-címtárból származó felhasználói fiókok. A Domain Services nem tárolja a külső felhasználói fiókok hitelesítő adatait, így nem tudnak bejelentkezni a felügyelt tartományba.

Egy vagy több riasztás van a felügyelt tartományon

Ha aktív riasztások vannak a felügyelt tartományon, az megakadályozhatja, hogy a hitelesítési folyamat megfelelően működjön.

Ha ellenőrizni szeretné, hogy vannak-e aktív riasztások, ellenőrizze egy felügyelt tartomány állapotát. Ha bármilyen riasztás megjelenik, hibaelhárítással megoldani őket.

A Microsoft Entra-bérlőről eltávolított felhasználók nem lesznek eltávolítva a felügyelt tartományból

A Microsoft Entra ID védelmet nyújt a felhasználói objektumok véletlen törlése ellen. Amikor töröl egy felhasználói fiókot egy Microsoft Entra-bérlőből, a rendszer áthelyezi a megfelelő felhasználói objektumot a lomtárba. Ha ez a törlési művelet szinkronizálva van a felügyelt tartománnyal, a megfelelő felhasználói fiók törlődik, mert a Domain Services nem rendelkezik lomtárkal.

Ha a felhasználói fiók visszaállításra kerül a bérlőnél, a Domain Services lekéri az összes hivatkozást a fiókhoz, amikor a változást szinkronizálja a felügyelt tartománnyal. A felügyelt tartomány felhasználói fiókja új globálisan egyedi azonosítót (GUID) és biztonsági azonosítót (SID) kap.

Következő lépések

Ha továbbra is problémákat tapasztal, nyisson meg egy Azure-támogatási kérést további hibaelhárítási segítségért.