Kesalahan umum dan langkah-langkah pemecahan masalah untuk Microsoft Entra Domain Services
Sebagai bagian terpusat dari identitas dan autentikasi untuk aplikasi, Microsoft Entra Domain Services terkadang memiliki masalah. Jika Anda mengalami masalah, ada beberapa pesan kesalahan umum dan langkah-langkah pemecahan masalah terkait untuk membantu Anda menjalankannya lagi. Kapan saja, Anda juga dapat membuka permintaan dukungan Azure untuk bantuan pemecahan masalah lainnya.
Artikel ini menyediakan langkah-langkah pemecahan masalah untuk masalah umum di Domain Services.
Anda tidak dapat mengaktifkan Microsoft Entra Domain Services untuk direktori Microsoft Entra Anda
Jika Anda mengalami masalah saat mengaktifkan Layanan Domain, tinjau kesalahan umum dan langkah-langkah berikut untuk mengatasinya:
| Pesan kesalahan sampel | Resolusi |
|---|---|
| Nama aaddscontoso.com sudah digunakan pada jaringan ini. Tentukan nama yang tidak sedang digunakan. | Nama domain berkonflik di jaringan virtual |
| Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Layanan ini tidak memiliki izin yang memadai ke aplikasi yang disebut Sinkronisasi Microsoft Entra Domain Services. Hapus aplikasi yang disebut 'Sinkronisasi Microsoft Entra Domain Services' lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. | Domain Services tidak memiliki izin yang memadai ke aplikasi Sinkronisasi Microsoft Entra Domain Services |
| Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Layanan Domain di penyewa Microsoft Entra Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Layanan Domain. Hapus aplikasi dengan pengidentifikasi aplikasi d87dcbc6-a371-462e-88e3-28ad15ec4e64 dan kemudian coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. | Aplikasi Layanan Domain di penyewa Microsoft Entra Anda tidak dikonfigurasi dengan benar |
| Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Microsoft Entra dinonaktifkan di penyewa Microsoft Entra Anda. Aktifkan aplikasi dengan pengidentifikasi aplikasi 00000002-0000-0000-c000-0000000000000, lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. | Aplikasi Microsoft Graph dinonaktifkan di penyewa Microsoft Entra Anda |
Konflik nama domain
pesan Kesalahan
Nama aaddscontoso.com sudah digunakan pada jaringan ini. Tentukan nama yang tidak sedang digunakan.
Resolusi
Periksa apakah Anda tidak memiliki lingkungan AD DS yang sudah ada dengan nama domain yang sama di jaringan virtual yang sama, atau yang di-peering. Misalnya, Anda mungkin memiliki domain AD DS bernama aaddscontoso.com yang berjalan di Azure VM. Ketika Anda mencoba mengaktifkan domain terkelola Domain Services dengan nama domain aaddscontoso.com yang sama di jaringan virtual, operasi yang diminta gagal.
Kegagalan ini disebabkan oleh konflik nama untuk nama domain pada jaringan virtual. Pencarian DNS memeriksa apakah lingkungan AD DS yang ada merespons nama domain yang diminta. Untuk mengatasi kegagalan ini, gunakan nama yang berbeda untuk menyiapkan domain terkelola Anda, atau batalkan provisi domain AD DS yang ada lalu coba lagi untuk mengaktifkan Layanan Domain.
Izin yang tidak memadai
pesan Kesalahan
Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Layanan ini tidak memiliki izin yang memadai ke aplikasi yang disebut Sinkronisasi Microsoft Entra Domain Services. Hapus aplikasi yang disebut 'Sinkronisasi Microsoft Entra Domain Services' lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda.
Resolusi
Periksa apakah ada aplikasi bernama Microsoft Entra Domain Services Sync di direktori Microsoft Entra Anda. Jika aplikasi ini ada, hapus, lalu coba lagi untuk mengaktifkan Layanan Domain. Untuk memeriksa aplikasi yang sudah ada dan menghapusnya jika diperlukan, selesaikan langkah-langkah berikut:
- Di Microsoft Entra pusat admin, pilih Microsoft Entra ID dari menu navigasi sebelah kiri.
- Pilih aplikasi perusahaan . Pilih Semua aplikasi dari menu drop-down Jenis Aplikasi, lalu pilih Terapkan.
- Dalam kotak pencarian, masukkan Microsoft Entra Domain Services Sync. Jika aplikasi ada, pilih dan pilih Hapus.
- Setelah Anda menghapus aplikasi, coba aktifkan Layanan Domain lagi.
Konfigurasi tidak valid
pesan Kesalahan
Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Layanan Domain di penyewa Microsoft Entra Anda tidak memiliki izin yang diperlukan untuk mengaktifkan Layanan Domain. Hapus aplikasi dengan pengidentifikasi aplikasi d87dcbc6-a371-462e-88e3-28ad15ec4e64 dan kemudian coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda.
Resolusi
Periksa apakah Anda memiliki aplikasi yang sudah ada bernama AzureActiveDirectoryDomainControllerServices dengan pengidentifikasi aplikasi d87dcbc6-a371-462e-88e3-28ad15ec4e64 di direktori Microsoft Entra Anda. Jika aplikasi ini ada, hapus dan coba lagi untuk mengaktifkan Layanan Domain.
Gunakan skrip PowerShell berikut untuk mencari instans aplikasi yang sudah ada dan menghapusnya jika diperlukan:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph dinonaktifkan
pesan Kesalahan
Layanan Domain tidak dapat diaktifkan di penyewa Microsoft Entra ini. Aplikasi Microsoft Entra dinonaktifkan di penyewa Microsoft Entra Anda. Aktifkan aplikasi dengan pengidentifikasi aplikasi 00000002-0000-0000-c000-0000000000000, lalu coba aktifkan Layanan Domain untuk penyewa Microsoft Entra Anda.
Resolusi
Periksa apakah Anda telah menonaktifkan aplikasi dengan pengidentifikasi 00000002-0000-0000-c000-0000000000000. Aplikasi ini adalah aplikasi Microsoft Entra dan menyediakan akses Graph API ke penyewa Microsoft Entra Anda. Untuk menyinkronkan penyewa Microsoft Entra Anda, aplikasi ini harus diaktifkan.
Untuk memeriksa status aplikasi ini dan mengaktifkannya jika diperlukan, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, cari dan pilih aplikasi Enterprise.
- Pilih Semua aplikasi dari menu drop-down Jenis Aplikasi, lalu pilih Terapkan.
- Dalam kotak pencarian, masukkan 00000002-0000-0000-c000-000000000000. Pilih aplikasi, lalu pilih properti .
- Jika Diaktifkan bagi pengguna untuk masuk diatur ke Tidak ada, atur nilai ke Ya, lalu pilih Simpan.
- Setelah Anda mengaktifkan aplikasi, coba aktifkan Layanan Domain lagi.
Pengguna tidak dapat masuk ke domain terkelola Microsoft Entra Domain Services
Jika satu atau beberapa pengguna di penyewa Microsoft Entra Anda tidak dapat masuk ke domain terkelola, selesaikan langkah-langkah pemecahan masalah berikut:
format Kredensial - Coba gunakan format UPN untuk menentukan kredensial, seperti
dee@aaddscontoso.onmicrosoft.com. Format UPN adalah cara yang disarankan untuk menentukan kredensial di Layanan Domain. Pastikan UPN ini dikonfigurasi dengan benar di MICROSOFT Entra ID.SAMAccountName untuk akun Anda, seperti AADDSCONTOSO\driley dapat dibuat secara otomatis jika ada beberapa pengguna dengan awalan UPN yang sama di tenant Anda atau jika awalan UPN Anda terlalu panjang. Oleh karena itu, format SAMAccountName untuk akun Anda mungkin berbeda dari yang Anda harapkan atau gunakan di domain lokal Anda.
Sinkronisasi kata sandi - Pastikan Anda telah mengaktifkan sinkronisasi kata sandi untuk pengguna khusus cloud atau untuk lingkungan hibrid menggunakan Microsoft Entra Connect.
Akun yang disinkronkan Hibrid: Jika akun pengguna yang terpengaruh disinkronkan dari direktori lokal, verifikasi area berikut:
Anda telah menyebarkan, atau memperbarui ke, rilis terbaru yang direkomendasikan dari Microsoft Entra Connect .
Anda telah mengonfigurasi Microsoft Entra Connect untuk melakukan sinkronisasi penuh.
Bergantung pada ukuran direktori Anda, mungkin perlu beberapa saat agar akun pengguna dan hash kredensial tersedia di domain terkelola. Pastikan Anda menunggu cukup lama sebelum mencoba mengautentikasi terhadap domain terkelola.
Jika masalah berlanjut setelah memverifikasi langkah-langkah sebelumnya, coba mulai ulang Azure AD Sync Service. Dari server Microsoft Entra Connect Anda, buka prompt perintah, lalu jalankan perintah berikut:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Akun khusus Cloud: Jika akun pengguna yang terpengaruh adalah akun pengguna khusus cloud, pastikan bahwa pengguna telah mengubah kata sandi mereka setelah Anda mengaktifkan Domain Services. Pengaturan ulang kata sandi ini menyebabkan hash kredensial yang diperlukan untuk domain terkelola dibuat.
Verifikasi bahwa akun pengguna aktif: Secara default, lima upaya kata sandi yang tidak valid dalam waktu 2 menit pada domain terkelola menyebabkan akun pengguna dikunci selama 30 menit. Pengguna tidak dapat masuk saat akunnya terkunci keluar. Setelah 30 menit, akun pengguna dibuka secara otomatis.
- Upaya kata sandi yang tidak valid pada domain terkelola tidak mengunci akun pengguna di ID Microsoft Entra. Akun pengguna dikunci hanya dalam domain terkelola. Periksa status akun pengguna di Active Directory Administrative Console (ADAC) menggunakan VM manajemen, bukan di Microsoft Entra ID.
- Anda juga dapat mengonfigurasi kebijakan kata sandi terperinci yang halus untuk mengubah ambang batas dan durasi penguncian default.
Akun eksternal - Periksa apakah akun pengguna yang terpengaruh bukan akun eksternal di penyewa Microsoft Entra. Contoh akun eksternal termasuk akun Microsoft seperti
dee@live.comatau akun pengguna dari direktori Microsoft Entra eksternal. Domain Services tidak menyimpan kredensial untuk akun pengguna eksternal sehingga mereka tidak dapat masuk ke domain terkelola.
Ada satu atau beberapa pemberitahuan di domain terkelola Anda
Jika ada pemberitahuan aktif pada domain terkelola, itu dapat mencegah proses autentikasi bekerja dengan benar.
Untuk melihat apakah ada pemberitahuan aktif, memeriksa status kesehatan domain terkelola. Jika ada pemberitahuan yang ditampilkan, memecahkan masalah dan mengatasinya.
Pengguna yang dihapus dari penyewa Microsoft Entra Anda tidak dihapus dari domain yang dikelola Anda.
MICROSOFT Entra ID melindungi dari penghapusan objek pengguna yang tidak disengaja. Saat Anda menghapus akun pengguna dari penyewa Microsoft Entra, objek pengguna terkait dipindahkan ke keranjang sampah. Saat operasi penghapusan ini disinkronkan ke domain terkelola Anda, akun pengguna terkait dihapus karena Domain Services tidak memiliki keranjang sampah.
Jika akun pengguna dipulihkan dalam instansi penyewa, Domain Services mengambil kembali semua tautan untuk akun ketika menyinkronkan perubahan tersebut ke domain terkelola. Akun pengguna di domain terkelola mendapatkan pengidentifikasi unik global (GUID) dan ID keamanan (SID) baru.
Langkah berikutnya
Jika Anda terus mengalami masalah, membuka permintaan dukungan Azure untuk bantuan pemecahan masalah lainnya.