Известные проблемы: распространенные уведомления и решения в доменных службах Microsoft Entra

Доменные службы Microsoft Entra, как центральная часть идентификации и аутентификации для приложений, иногда испытывают проблемы. Если вы столкнулись с проблемами, обратите внимание на общие предупреждения и соответствующие шаги по устранению неполадок, которые помогут снова запустить систему. В любое время вы также можете открыть запрос в поддержку Azure для получения дополнительной помощи в устранении неполадок.

В этой статье содержатся сведения об устранении неполадок для распространенных оповещений в доменных службах.

AADDS100: отсутствующий каталог

Текст предупреждения

Возможно, каталог Microsoft Entra, связанный с управляемым доменом, был удален. Управляемый домен больше не является поддерживаемой конфигурацией. Корпорация Майкрософт не может отслеживать, исправлять и синхронизировать управляемый домен, а также управлять им.

Решение

При перемещении подписки Azure в новый каталог Microsoft Entra обычно возникает эта ошибка. Кроме того, удаление старого каталога Microsoft Entra, связанного с доменными службами, также приводит к этой ошибке.

Эта ошибка является неисправимой. Чтобы устранить оповещение, удалите имеющийся управляемый домен и повторно создайте его в новом каталоге. Если у вас возникли проблемы с удалением управляемого домена, откройте запрос в поддержку Azure для получения дополнительной помощи в устранении неполадок.

AADDS101: Azure AD B2C работает в этом каталоге

Текст предупреждения

Доменные службы Microsoft Entra нельзя активировать в директории Azure AD B2C.

Разрешение

Доменные службы автоматически синхронизируются с каталогом Microsoft Entra. Если каталог Microsoft Entra настроен для B2C, доменные службы не могут быть развернуты и синхронизированы.

Чтобы использовать доменные службы, необходимо повторно создать управляемый домен в каталоге, отличном от Azure AD B2C, выполнив следующие действия.

1. Удалите управляемый домен из существующего каталога Microsoft Entra.
2. Создайте каталог Microsoft Entra, который не является каталогом Azure AD B2C.
3. Создайте заменяющий управляемый домен.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

AADDS103: адрес находится в общедоступном диапазоне IP-адресов

Текст предупреждения

Диапазон IP-адресов для виртуальной сети, в которой включены доменные службы Microsoft Entra, находится в диапазоне общедоступных IP-адресов. Доменные службы Microsoft Entra должны быть включены в виртуальной сети с диапазоном частных IP-адресов. Эта конфигурация влияет на возможность корпорации Майкрософт наблюдать за управляемым доменом, управлять им, обновлять и синхронизировать его.

Решение

Прежде чем начать, убедитесь, что вы осведомлены о частных диапазонах IP-адресов версии 4.

В виртуальной сети виртуальные машины могут выполнять запросы к ресурсам Azure в том же диапазоне IP-адресов, который настроен для подсети. При настройке диапазона общедоступных IP-адресов для подсети запросы, маршрутизируемые в виртуальной сети, могут не достичь нужных веб-ресурсов. Эта конфигурация может привести к непредсказуемым ошибкам с доменными службами.

Чтобы устранить это оповещение, необходимо удалить имеющийся управляемый домен и повторно создать его в виртуальной сети с частным диапазоном IP-адресов. Этот процесс вызывает сбои, так как управляемый домен недоступен, и все созданные вами ресурсы, такие как подразделения или учетные записи служб, теряются.

1. Удалите управляемый домен из имеющегося каталога.
2. Чтобы обновить диапазон IP-адресов виртуальной сети, найдите и выберите виртуальную сеть в Центре администрирования Microsoft Entra. Выберите виртуальную сеть для доменных служб, которая имеет неправильно установленный диапазон общедоступных IP-адресов.
3. В разделе Параметры выберите Диапазон адресов.
4. Обновите диапазон адресов, выбрав существующий диапазон адресов и изменив его или добавив диапазон адресов. Убедитесь, что новый диапазон IP-адресов находится в частном диапазоне IP-адресов. Когда все будет готово, сохраните изменения.
5. В левой части панели навигации выберите Подсети.
6. Выберите подсеть, которую вы хотите изменить, или создайте другую подсеть.
7. Обновите или укажите диапазон частных IP-адресов, а затем Сохраните изменения.
8. Создайте заменяющий управляемый домен. Обязательно выберите обновленную подсеть виртуальной сети с частным диапазоном IP-адресов.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

AADDS106. Подписка Azure не найдена

Текст предупреждения

Подписка Azure, связанная с управляемым доменом, удалена. Доменные службы Microsoft Entra требуют активной подписки для правильной работы.

Решение

Доменные службы требуют активной подписки и не могут быть перемещены в другую подписку. Если подписка Azure, с которой связан управляемый домен, удалена, необходимо повторно создать подписку Azure и управляемый домен.

1. Создайте подписку Azure.
2. Удалите управляемый домен из существующего каталога Microsoft Entra.
3. Создайте заменяющий управляемый домен.

AADDS107. Подписка Azure отключена

Текст предупреждения

Подписка Azure, связанная с управляемым доменом, неактивна. Доменные службы Microsoft Entra требуют активной подписки для правильной работы.

Разрешение

Для доменных служб требуется активная подписка. Если подписка Azure, с которой связан управляемый домен, неактивна, необходимо обновить ее, чтобы повторно активировать подписку.

1. Почему подписка Azure отключена и как активировать ее повторно?
2. После продления подписки уведомление доменных служб позволяет повторно включить управляемый домен.

При повторном включении управляемого домена его работоспособность автоматически обновляется в течение двух часов, а также удаляется оповещение.

AADDS108: Подписка перемещена между каталогами

Текст предупреждения

Подписка, используемая доменными службами Microsoft Entra, была перемещена в другой каталог. Доменные службы Microsoft Entra должны иметь активную подписку в том же каталоге, чтобы правильно функционировать.

Решение

Доменные службы требуют активной подписки и не могут быть перемещены в другую подписку. Если подписка Azure, с которым связан управляемый домен, перемещена, у вас есть два варианта:

• Переместите подписку обратно в предыдущий каталог или
• Удалить управляемый домен из существующего каталога и создать управляемый домен замены в выбранной подписке.

AADDS109. Ресурсы для управляемого домена не найдены

Текст предупреждения

Ресурс, используемый для управляемого домена, удален. Этот ресурс необходим для правильной работы доменных служб Microsoft Entra.

Резолюция

Доменные службы создают ресурсы для правильной работы, таких как общедоступные IP-адреса, интерфейсы виртуальной сети и подсистема балансировки нагрузки. Если любые из вышеперечисленных ресурсов будут удалены, управляемый домен перейдет в неподдерживаемое состояние, что сделает его управление невозможным. Дополнительные сведения об этих ресурсах см. в разделе "Сетевые ресурсы", используемые доменными службами.

Это оповещение создается при удалении одного из этих необходимых ресурсов. Если ресурс был удален менее 4 часов назад, существует вероятность, что платформа Azure может автоматически воссоздать удаленный ресурс. Ниже приведены инструкции о том, как проверить состояние и временные метки для удаления ресурсов:

1. В Центре администрирования Microsoft Entra найдите и выберите доменные службы. Выберите нужный управляемый домен, например aaddscontoso.com

2. На панели навигации слева выберите Работоспособность.

3. На странице состояния выберите предупреждение с идентификатором AADDS109.

4. Предупреждение будет отмечено меткой времени, значение которой соответствует времени первого обнаружения оповещения. Если метка времени меньше 4 часов назад, платформа Azure может автоматически воссоздать ресурс и устранить уведомление самостоятельно.

   По разным причинам оповещение может быть старше 4 часов. В этом случае можно удалить управляемый домен, а затем создать заменяющий управляемый домен для немедленного исправления или открыть запрос на поддержку, чтобы исправить экземпляр. В зависимости от характера проблемы поддержка может потребовать восстановления из резервной копии.

AADDS110. Подсеть, связанная с управляемым доменом, переполнена

Текст предупреждения

Подсеть, выбранная для развертывания доменных служб Microsoft Entra, заполнена и не имеет места для дополнительного контроллера домена, который необходимо создать.

Разрешение

Подсеть виртуальной сети для доменных служб требует достаточных IP-адресов для автоматически созданных ресурсов. Этот диапазон IP-адресов предусматривает необходимость создания заменяющих ресурсов в случае события обслуживания. Чтобы свести к минимуму риск исчерпания доступных IP-адресов, не развертывайте другие ресурсы, такие как собственные виртуальные машины, в той же подсети виртуальной сети, что и управляемый домен.

Эта ошибка является неисправимой. Чтобы устранить оповещение, удалите имеющийся управляемый домен и заново создайте его. Если у вас возникли проблемы с удалением управляемого домена, откройте запрос поддержка Azure для получения дополнительной помощи.

AADDS111: Учетная запись службы не авторизована

Текст предупреждения

Субъект-служба, использующий доменные службы Microsoft Entra для обслуживания домена, не авторизован для управления ресурсами в подписке Azure. Для обслуживания управляемого домена представитель службы должен получить права доступа.

Разрешение

Для управления и создания ресурсов в управляемом домене используются некоторые автоматически созданные служебные принципалы. При изменении прав доступа для одного из этих субъектов-служб домен не сможет правильно управлять ресурсами. Ниже перечислены шаги для понимания и предоставления прав доступа к служебному принципалу:

1. Узнайте об управлении доступом на основе ролей Azure и о предоставлении доступа к приложениям в Центре администрирования Microsoft Entra.
2. Проверьте доступ субъекта-службы с идентификатором abba844e-bc0e-44b0-947a-dc74e5d09022 и разрешите доступ, который ранее был запрещён.

AADDS112. Недостаточно IP-адресов в управляемом домене

Текст предупреждения

Определено, что подсеть виртуальной сети этого домена обладает недостаточным количеством IP-адресов. Доменные службы Microsoft Entra должны иметь по крайней мере два доступных IP-адреса в подсети, в которую она включена. Рекомендуется наличие не менее 3–5 свободных IP-адресов в подсети. Такая ситуация может происходить, если в подсети развернуты другие виртуальные машины, исчерпывающие количество доступных IP-адресов, или если наложено ограничение на количество доступных IP-адресов в подсети.

Разрешение

Подсеть виртуальной сети для доменных служб требует достаточно IP-адресов для автоматически созданных ресурсов. Этот диапазон IP-адресов предусматривает необходимость создания заменяющих ресурсов в случае события обслуживания. Чтобы избежать исчерпания доступных IP-адресов, не развертывайте другие ресурсы, такие как собственные виртуальные машины, в ту же подсеть виртуальной сети, как и управляемый домен.

Чтобы устранить это оповещение, необходимо удалить имеющийся управляемый домен и повторно создать его в виртуальной сети с достаточно большим диапазоном IP-адресов. Этот процесс нарушает работу, так как управляемый домен недоступен и все созданные пользовательские ресурсы, например подразделения или учетные записи служб, теряются.

1. Удалите управляемый домен из имеющегося каталога.
2. Чтобы обновить диапазон IP-адресов виртуальной сети, найдите и выберите виртуальную сеть в Центре администрирования Microsoft Entra. Выберите виртуальную сеть для управляемого домена с небольшим диапазоном IP-адресов.
3. В разделе Параметры выберите Диапазон адресов.
4. Обновите диапазон адресов, выбрав существующий диапазон адресов и изменив его или добавив другой диапазон адресов. Убедитесь, что новый диапазон IP-адресов достаточно большой для диапазона подсети управляемого домена. Когда все будет готово, сохраните изменения.
5. В левой панели навигации выберите Подсети.
6. Выберите подсеть, которую вы хотите изменить, или создайте другую подсеть.
7. Обновите или укажите достаточно большой диапазон IP-адресов, а затем сохраните изменения.
8. Создайте заменяющий управляемый домен. Обязательно выберите обновленную подсеть виртуальной сети с достаточно большим диапазоном IP-адресов.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

AADDS113. Ресурсы невозможно восстановить

Текст предупреждения

Ресурсы, используемые доменными службами Microsoft Entra, обнаружены в неожиданном состоянии и не могут быть восстановлены.

Резолюция

Доменные службы создают ресурсы для правильной работы, таких как общедоступные IP-адреса, интерфейсы виртуальной сети и подсистема балансировки нагрузки. Если любой из этих ресурсов изменен, управляемый домен находится в неподдерживаемом состоянии и не может управляться. Дополнительные сведения об этих ресурсах см. в разделе "Сетевые ресурсы", используемые доменными службами.

Это оповещение создается при изменении одного из этих необходимых ресурсов и не может быть автоматически восстановлено доменными службами. Чтобы устранить оповещение, откройте запрос в поддержку Azure, чтобы исправить экземпляр.

AADDS114: Подсеть недопустима

Текст предупреждения

Подсеть, выбранная для развертывания доменных служб Microsoft Entra, является недопустимой и не может использоваться.

Резолюция

Эта ошибка является неисправимой. Чтобы устранить оповещение, удалите имеющийся управляемый домен и заново создайте его. Если у вас возникли проблемы с удалением управляемого домена, откройте запрос поддержка Azure для получения дополнительной помощи.

AADDS115. Ресурсы заблокированы

Текст предупреждения

Один или несколько сетевых ресурсов, используемых в управляемом домене, не могут быть использованы, так как целевая область была заблокирована.

Резолюция

Блокировки ресурсов можно применять к ресурсам Azure, чтобы предотвратить изменение или удаление. Так как доменные службы — это управляемая служба, платформа Azure должна вносить изменения в конфигурацию. Если блокировка ресурсов применяется к некоторым компонентам доменных служб, платформа Azure не может выполнять свои задачи управления.

Чтобы проверить блокировки ресурсов на компонентах доменных служб и удалить их, выполните следующие действия.

1. Для каждого сетевого компонента управляемого домена в группе ресурсов, например виртуальной сети, сетевого интерфейса или общедоступного IP-адреса, проверьте журналы операций в Центре администрирования Microsoft Entra. В этих журналах операций должно быть указано, почему операция завершается сбоем и к какому ресурсу применяется блокировка.
2. Выберите ресурс, к которому применяется блокировка, а затем в разделе Блокировки выберите и удалите блокировку.

AADDS116. Ресурсы недоступны для использования

Текст предупреждения

Один или несколько сетевых ресурсов, используемых в управляемом домене, не могут быть использованы из-за ограничений политики.

Разрешение

Политики применяются к ресурсам и группам ресурсов Azure, которые определяют, какие действия по настройке разрешены. Так как доменные службы — это управляемая служба, платформа Azure должна вносить изменения в конфигурацию. Если политика применяется к некоторым компонентам доменных служб, платформа Azure может не выполнять свои задачи управления.

Чтобы проверить применение политик для компонентов доменных служб и обновить их, выполните следующие действия.

1. Для каждого сетевого компонента управляемого домена в группе ресурсов, таких как виртуальная сеть, сетевой адаптер или общедоступный IP-адрес, проверьте журналы операций в Центре администрирования Microsoft Entra. В этих журналах операций должно быть указано, почему операция завершается сбоем и где применяется ограничительная политика.
2. Выберите ресурс, к которому применяется политика, а затем в разделе Политики выберите и измените политику, чтобы она содержала меньше ограничений.

AADDS120. Управляемый домен столкнулся с ошибкой подключения одного или нескольких пользовательских атрибутов.

Текст предупреждения

Следующие свойства расширения Microsoft Entra не успешно подключены в качестве настраиваемого атрибута для синхронизации. Это может произойти, если свойство конфликтует с встроенной схемой: [расширения]

Разрешение

Просмотрите оповещение о состоянии доменных служб и определите, какие свойства расширения Microsoft Entra не удалось успешно подключить. Перейдите на страницу настраиваемых атрибутов, чтобы найти ожидаемое LDAP-имя доменных служб расширения. Убедитесь, что LDAPName не конфликтует с другим атрибутом схемы AD или что это один из разрешенных встроенных атрибутов AD.

Затем выполните следующие действия, чтобы повторить подключение настраиваемого атрибута на странице настраиваемых атрибутов :

1. Выберите атрибуты, которые были неудачными, а затем выберите Удалить и Сохранить.
2. Дождитесь удаления оповещения о работоспособности или убедитесь, что соответствующие атрибуты удалены из OU AADDSCustomAttributes присоединенной к домену виртуальной машины.
   • Примечание: Если соответствующие атрибуты не удалены из ОЕ AADDSCustomAttributes в течение дня:
     1. Убедитесь, что в разделе манифеста службы доменных служб Azure AD нет соответствующих атрибутов.
        • На портале в разделе > регистрации приложений > выберите «Все приложения» > и «Синхронизация доменных служб Azure AD» >, затем в левом разделе > «Манифест»
     2. Администратор контроллера домена AADDS может вручную удалить соответствующие атрибуты из AADDSCustomAttributes ОЕ , если раздел addIns не содержит соответствующие атрибуты. Оповещение должно быть снято в течение двух часов после удаления вручную.
3. Выберите Добавить и снова выберите нужные атрибуты, а затем нажмите Сохранить.

После успешной адаптации доменные службы ретроспективно заполняют синхронизированных пользователей и группы значениями пользовательских атрибутов, прошедших предварительную настройку. Значения настраиваемых атрибутов появляются постепенно в зависимости от размера клиента. Чтобы проверить состояние пополнения, перейдите в Состояние доменных служб и проверьте, обновлена ли метка времени монитора Синхронизация с Microsoft Entra ИД за последний час.

AADDS500: синхронизация не завершалась в течение длительного времени

Текст предупреждения

Управляемый домен был в последний раз синхронизирован с идентификатором Microsoft Entra в [дата]. Возможно, пользователям не удастся выполнить вход на управляемый домен или членства в группах могут быть не синхронизированы с Azure AD.

Резолюция

Проверьте работоспособность доменных служб для любых оповещений, указывающих на проблемы в конфигурации управляемого домена. Проблемы с конфигурацией сети могут блокировать синхронизацию из Microsoft Entra ID. Если вы можете устранить оповещения, указывающие на проблему с конфигурацией, подождите два часа и проверьте, успешно ли завершилась синхронизация.

К остановке синхронизации в управляемом домене приводят следующие распространенные причины:

• Необходимое сетевое подключение заблокировано. Дополнительные сведения о том, как проверить виртуальную сеть Azure на наличие проблем и что требуется, см. в статье устранение неполадок групп безопасности сети и требования к сети для доменных служб.
• Синхронизация паролей не была настроена и не была успешно завершена при развертывании управляемого домена. Можно настроить синхронизацию паролей для только облачных пользователей или гибридных пользователей из локальной среды.

AADDS501: резервная копия не создавалась уже некоторое время

Текст предупреждения

Последняя резервная копия управляемого домена создана [дата].

Разрешение

Проверьте работоспособность доменных служб для оповещений, указывающих на проблемы в конфигурации управляемого домена. Проблемы с конфигурацией сети могут препятствовать успешному выполнению резервного копирования на платформе Azure. Если вы можете устранить оповещения, указывающие на проблему с конфигурацией, подождите два часа и проверьте, успешно ли завершилась синхронизация.

AADDS503: блокировка из-за неактивной подписки

Текст предупреждения

Управляемый домен блокируется, так как подписка Azure, связанная с доменом, неактивна.

Разрешение

Для доменных служб требуется активная подписка. Если подписка Azure, с которой связан управляемый домен, неактивна, необходимо обновить ее, чтобы повторно активировать подписку.

1. Почему подписка Azure отключена и как активировать ее повторно?
2. После продления подписки уведомление доменных служб позволяет повторно включить управляемый домен.

При повторном включении управляемого домена его работоспособность автоматически обновляется в течение двух часов, а также удаляется оповещение.

AADDS504: блокировка из-за неправильной конфигурации

Текст предупреждения

Управляемый домен блокируется из-за неправильной конфигурации. Служба не могла исправлять и обновлять контроллеры управляемого домена, а также управлять ими в течение долгого времени.

Решение

Проверьте работоспособность доменных служб для оповещений, указывающих на проблемы в конфигурации управляемого домена. Если вы можете устранить оповещения, указывающие на проблему с конфигурацией, подождите два часа и проверьте, завершилась ли синхронизация. Когда все будет готово, откройте запрос на поддержку в Azure, чтобы повторно включить управляемый домен.

AADDS600: нерешенные оповещения о состоянии здоровья в течение 30 дней

Оповещение

Microsoft не может управлять контроллерами домена для этого контролируемого домена из-за неустранённых предупреждений о состоянии [идентификаторы]. Это блокирует критические обновления системы безопасности для этих контроллеров домена. Выполните действия, описанные в оповещении, чтобы устранить проблему. Сбой в решении этой проблемы в течение 30 дней приведет к приостановке управляемого домена.

Резолюция

Проверьте работоспособность доменных служб для оповещений, указывающих на проблемы в конфигурации управляемого домена. Если вы можете устранить оповещения, указывающие на проблему конфигурации, подождите шесть часов и проверьте, удаляется ли оповещение. Если вам нужна помощь, откройте запрос в поддержку Azure.

Следующие шаги

Если у вас по-прежнему возникают проблемы, откройте запрос в поддержку Azure для получения дополнительной помощи в устранении неполадок.