다음을 통해 공유


Microsoft Entra Domain Services의 일반적인 오류 및 문제 해결 단계

애플리케이션에 대한 ID 및 인증의 핵심 부분인 Microsoft Entra Domain Services에는 때때로 문제가 있습니다. 문제가 발생하면 몇 가지 일반적인 오류 메시지와 관련된 문제 해결 단계를 통해 다시 실행할 수 있습니다. 언제든지 더 많은 문제 해결 도움말을 위해 Azure 지원 요청 열 수도 있습니다.

이 문서에서는 Domain Services의 일반적인 문제에 대한 문제 해결 단계를 제공합니다.

Microsoft Entra 디렉터리에 대해 Microsoft Entra Domain Services를 사용하도록 설정할 수 없습니다.

Domain Services를 사용하도록 설정하는 데 문제가 있는 경우 다음과 같은 일반적인 오류 및 단계를 검토하여 해결합니다.

샘플 오류 메시지 해결
aaddscontoso.com 이름은 이 네트워크에서 이미 사용 중입니다. 사용하지 않는 이름을 지정합니다. 가상 네트워크 도메인 이름 충돌
이 Microsoft Entra 테넌트에서는 Domain Services를 사용할 수 없습니다. 서비스에 Microsoft Entra Domain Services Sync라는 애플리케이션에 대한 적절한 권한이 없습니다. 'Microsoft Entra Domain Services 동기화'라는 애플리케이션을 삭제한 다음, Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다. Domain Services에는 Microsoft Entra Domain Services 동기화 애플리케이션 대한 적절한 권한이 없습니다.
이 Microsoft Entra 테넌트에서는 Domain Services를 사용할 수 없습니다. Microsoft Entra 테넌트에 있는 Domain Services 애플리케이션에는 Domain Services를 사용하도록 설정하는 데 필요한 권한이 없습니다. 애플리케이션 식별자 d87dcbc6-a371-462e-88e3-28ad15ec4e64를 사용하여 애플리케이션을 삭제한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다. Domain Services 애플리케이션이 Microsoft Entra 테넌트 제대로 구성되지 않았습니다.
이 Microsoft Entra 테넌트에서는 Domain Services를 사용할 수 없습니다. Microsoft Entra 애플리케이션은 Microsoft Entra 테넌트에서 사용할 수 없습니다. 애플리케이션 식별자 00000002-0000-0000-c000-000000000000000으로 애플리케이션을 사용하도록 설정한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다. Microsoft Entra 테넌트에서 Microsoft Graph 애플리케이션이 사용 중지되었습니다.

도메인 이름 충돌

오류 메시지

aaddscontoso.com 이름은 이 네트워크에서 이미 사용 중입니다. 사용하지 않는 이름을 지정합니다.

해결

동일한 도메인 이름 또는 피어링된 가상 네트워크에 동일한 도메인 이름을 가진 기존 AD DS 환경이 없는지 확인합니다. 예를 들어 Azure VM에서 실행되는 aaddscontoso.com AD DS 도메인이 있을 수 있습니다. 가상 네트워크에서 aaddscontoso.com 도메인 이름이 같은 Domain Services 관리되는 도메인을 사용하도록 설정하려고 하면 요청된 작업이 실패합니다.

이 오류는 가상 네트워크의 도메인 이름에 대한 이름 충돌로 인해 발생합니다. DNS 조회는 기존 AD DS 환경이 요청된 도메인 이름에 응답하는지 확인합니다. 이 오류를 해결하려면 다른 이름을 사용하여 관리되는 도메인을 설정하거나 기존 AD DS 도메인의 프로비전을 해제한 다음 다시 시도하여 Domain Services를 사용하도록 설정합니다.

부적절한 권한

오류 메시지

이 Microsoft Entra 테넌트에서는 Domain Services를 사용할 수 없습니다. 서비스에 Microsoft Entra Domain Services Sync라는 애플리케이션에 대한 적절한 권한이 없습니다. 'Microsoft Entra Domain Services 동기화'라는 애플리케이션을 삭제한 다음, Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다.

해결

Microsoft Entra 디렉터리에 Microsoft Entra Domain Services Sync 애플리케이션이 있는지 확인합니다. 이 애플리케이션이 있는 경우 삭제한 다음 다시 시도하여 Domain Services를 사용하도록 설정합니다. 기존 애플리케이션을 확인하고 필요한 경우 삭제하려면 다음 단계를 완료합니다.

  1. Microsoft Entra 관리 센터 에서, 왼쪽 탐색 메뉴에서 Microsoft Entra ID 를 선택합니다.
  2. Enterprise 애플리케이션을 선택합니다. 애플리케이션 유형 드롭다운 메뉴에서 모든 애플리케이션을 선택한 다음, 적용선택합니다.
  3. 검색 상자에 Microsoft Entra Domain Services 동기화을 입력하고, 애플리케이션이 있으면 선택하여 삭제를 선택합니다.
  4. 애플리케이션을 삭제한 후 Domain Services를 다시 사용하도록 설정합니다.

잘못된 구성

오류 메시지

이 Microsoft Entra 테넌트에서는 Domain Services를 사용할 수 없습니다. Microsoft Entra 테넌트에 있는 Domain Services 애플리케이션에는 Domain Services를 사용하도록 설정하는 데 필요한 권한이 없습니다. 애플리케이션 식별자 d87dcbc6-a371-462e-88e3-28ad15ec4e64를 사용하여 애플리케이션을 삭제한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다.

해결

기존 애플리케이션 AzureActiveDirectoryDomainControllerServices가 Microsoft Entra 디렉터리에 d87dcbc6-a371-462e-88e3-28ad15ec4e64 애플리케이션 식별자로 존재하는지 확인하십시오. 이 애플리케이션이 있는 경우 해당 애플리케이션을 삭제한 다음 다시 시도하여 Domain Services를 사용하도록 설정합니다.

다음 PowerShell 스크립트를 사용하여 기존 애플리케이션 인스턴스를 검색하고 필요한 경우 삭제합니다.

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph 사용 안 함

오류 메시지

이 Microsoft Entra 테넌트에서는 Domain Services를 사용할 수 없습니다. Microsoft Entra 애플리케이션은 Microsoft Entra 테넌트에서 사용할 수 없습니다. 애플리케이션 식별자 00000002-0000-0000-c000-000000000000000으로 애플리케이션을 사용하도록 설정한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정합니다.

해결

식별자 00000002-0000-0000-c000-000000000000애플리케이션을 비활성화했는지 확인하십시오. 이 애플리케이션은 Microsoft Entra 애플리케이션이며 Microsoft Entra 테넌트에 대한 Graph API 액세스를 제공합니다. Microsoft Entra 테넌트 동기화를 수행하려면 이 애플리케이션을 사용하도록 설정해야 합니다.

이 애플리케이션의 상태를 확인하고 필요한 경우 사용하도록 설정하려면 다음 단계를 완료합니다.

  1. Microsoft Entra 관리 센터 에서 검색하여 엔터프라이즈 애플리케이션을 선택합니다.
  2. 애플리케이션 유형 드롭다운 메뉴에서 모든 애플리케이션을 선택한 다음, 적용선택합니다.
  3. 검색 상자에 00000002-0000-0000-c000-0000000000000000입력합니다. 애플리케이션을 선택한 다음 속성선택합니다.
  4. 사용자가 로그인하기 위한 설정이 아니요로 되어 있는 경우, 값을 로 설정한 후, 저장을 선택합니다.
  5. 애플리케이션을 사용하도록 설정한 이후에 도메인 서비스를 다시 사용하도록 설정하십시오.

사용자가 Microsoft Entra Domain Services 관리되는 도메인에 로그인할 수 없습니다.

Microsoft Entra 테넌트의 한 명 이상의 사용자가 관리되는 도메인에 로그인할 수 없는 경우 다음 문제 해결 단계를 완료합니다.

  • 자격 증명 형식 - UPN 형식을 사용하여 dee@aaddscontoso.onmicrosoft.com같은 자격 증명을 지정합니다. UPN 형식은 Domain Services에서 자격 증명을 지정하는 권장 방법입니다. 이 UPN이 Microsoft Entra ID에서 올바르게 구성되었는지 확인합니다.

    AADDSCONTOSO\driley 같은 계정에 대한 SAMAccountName 테넌트에 동일한 UPN 접두사를 가진 여러 사용자가 있거나 UPN 접두사 길이가 지나치게 긴 경우 자동으로 생성될 수 있습니다. 따라서 계정에 대한 SAMAccountName 형식은 온-프레미스 도메인에서 예상하거나 사용하는 형식과 다를 수 있습니다.

  • 암호 동기화 - 클라우드 전용 사용자 또는 Microsoft Entra Connect 사용하여하이브리드 환경에 대해 암호 동기화를 사용하도록 설정했는지 확인합니다.

    • 하이브리드 동기화된 계정: 영향을 받는 사용자 계정이 온-프레미스 디렉터리에서 동기화되는 경우 다음 영역을 확인합니다.

      • Microsoft Entra Connect 최신 권장 릴리스를 배포하거나 업데이트했습니다.

      • 전체 동기화 수행하기Microsoft Entra Connect를 구성했습니다.

      • 디렉터리의 크기에 따라 관리되는 도메인에서 사용자 계정 및 자격 증명 해시를 사용할 수 있는 데 시간이 걸릴 수 있습니다. 관리되는 도메인에 대해 인증을 시도하기 전에 충분히 오래 기다려야 합니다.

      • 이전 단계를 확인한 후에도 문제가 지속되면 Azure AD Sync Service다시 시작해 보세요. Microsoft Entra Connect 서버에서 명령 프롬프트를 열고 다음 명령을 실행합니다.

        net stop 'Microsoft Azure AD Sync'
        net start 'Microsoft Azure AD Sync'
        
    • 클라우드 전용 계정: 영향을 받는 사용자 계정이 클라우드 전용 사용자 계정인 경우 Domain Services 사용하도록 설정한 후사용자가 암호를 변경했는지 확인합니다. 이 암호 재설정으로 인해 관리되는 도메인에 필요한 자격 증명 해시가 생성됩니다.

  • 사용자 계정이 활성확인: 기본적으로 관리되는 도메인에서 2분 이내에 5번의 잘못된 암호 시도로 인해 사용자 계정이 30분 동안 잠깁니다. 계정이 잠겨 있는 동안에는 사용자가 로그인할 수 없습니다. 30분 후에 사용자 계정이 자동으로 잠금 해제됩니다.

    • 관리되는 도메인에서 잘못된 암호 시도가 Microsoft Entra ID의 사용자 계정을 잠그지 않습니다. 사용자 계정은 관리되는 도메인 내에서만 잠깁니다. Microsoft Entra ID가 아닌 관리 VM사용하여 ADAC(Active Directory 관리 콘솔) 사용자 계정 상태를 확인합니다.
    • 기본 잠금 임계값 및 기간을 변경하도록 세분화된 암호 정책을 구성할 수도 있습니다.
  • 외부 계정 - 영향을 받는 사용자 계정이 Microsoft Entra 테넌트의 외부 계정이 아닌지 확인합니다. 외부 계정의 예로는 dee@live.com과 같은 Microsoft 계정이나 외부 Microsoft Entra 디렉터리의 사용자 계정을 포함합니다. Domain Services는 외부 사용자 계정에 대한 자격 증명을 저장하지 않으므로 관리되는 도메인에 로그인할 수 없습니다.

관리되는 도메인에 하나 이상의 경고가 있습니다.

관리되는 도메인에 활성 경고가 있는 경우 인증 프로세스가 제대로 작동하지 않을 수 있습니다.

활성 경고가 있는지 확인하려면 관리되는 도메인 의 상태를확인하세요. 경고가 표시되면 문제를 해결하세요.

Microsoft Entra 테넌트에서 제거된 사용자는 관리되는 도메인에서 제거되지 않습니다.

Microsoft Entra ID는 실수로 사용자 개체를 삭제하지 않도록 보호합니다. Microsoft Entra 테넌트에서 사용자 계정을 삭제하면 해당 사용자 개체가 휴지통으로 이동됩니다. 이 삭제 작업이 관리되는 도메인에 동기화되면 Domain Services에 휴지통이 없으므로 해당 사용자 계정이 삭제됩니다.

사용자 계정이 테넌트에서 복원되면 Domain Services는 변경 내용이 관리되는 도메인에 동기화될 때 계정에 대한 모든 링크를 가져옵니다. 관리되는 도메인의 사용자 계정은 새로운 GUID(Globally Unique Identifier) 및 SID(보안 ID)를 가져옵니다.

다음 단계

계속 문제가 발생하는 경우, 추가적인 문제 해결 도움을 위해 Azure 지원 요청을(를) 여세요.