Typowe błędy i kroki rozwiązywania problemów dotyczące usług Microsoft Entra Domain Services
Usługi Microsoft Entra Domain Services, jako kluczowy element tożsamości i uwierzytelniania dla aplikacji, czasami napotykają problemy. Jeśli wystąpią problemy, istnieją niektóre typowe komunikaty o błędach i skojarzone kroki rozwiązywania problemów, które pomogą Ci ponownie uruchomić elementy. W dowolnym momencie możesz również otworzyć żądanie pomocy technicznej platformy Azure, aby uzyskać więcej pomocy dotyczącej rozwiązywania problemów.
Ten artykuł zawiera kroki rozwiązywania typowych problemów w usługach domenowych.
Nie można włączyć usług Microsoft Entra Domain Services dla katalogu Microsoft Entra
Jeśli masz problemy z włączaniem usług Domain Services, zapoznaj się z następującymi typowymi błędami i krokami, aby je rozwiązać:
| przykładowy komunikat o błędzie | Rozdzielczość |
|---|---|
| Nazwa aaddscontoso.com jest już używana w tej sieci. Określ nazwę, która nie jest używana. | konflikt nazwy domeny w sieci wirtualnej |
| Nie można włączyć usług domenowych w tej dzierżawie firmy Microsoft Entra. Usługa nie ma odpowiednich uprawnień do aplikacji o nazwie Microsoft Entra Domain Services Sync. Usuń aplikację o nazwie "Microsoft Entra Domain Services Sync", a następnie spróbuj włączyć usługi Domain Services dla dzierżawy Microsoft Entra. | Domain Services nie ma odpowiednich uprawnień do aplikacji Microsoft Entra Domain Services Sync |
| Nie można włączyć Usług Domenowych w tej dzierżawie firmy Microsoft Entra. Aplikacja Usług Domenowych w twojej dzierżawie Microsoft Entra nie ma wymaganych uprawnień do włączenia Usług Domenowych. Usuń aplikację przy użyciu identyfikatora aplikacji d87dcbc6-a371-462e-88e3-28ad15ec4e64, a następnie spróbuj włączyć Usługi Domenowe dla dzierżawy platformy Microsoft Entra. | Aplikacja Usług Domenowych nie jest poprawnie skonfigurowana w dzierżawie usługi Microsoft Entra |
| Nie można aktywować usług domenowych w tej dzierżawie Microsoft Entra. Aplikacja Microsoft Entra jest wyłączona w dzierżawie Microsoft Entra. Włącz aplikację z identyfikatorem aplikacji 00000002-0000-0000-c000-000000000000, a następnie spróbuj włączyć usługi domenowe dla dzierżawy Microsoft Entra. | aplikacja Microsoft Graph jest wyłączona w dzierżawie Microsoft Entra |
Konflikt nazw domenowych
komunikat o błędzie
Nazwa aaddscontoso.com jest już używana w tej sieci. Określ nazwę, która nie jest używana.
Rozdzielczość
Sprawdź, czy nie masz istniejącego środowiska usług AD DS o tej samej nazwie domeny na tej samej lub równorzędnej sieci wirtualnej. Na przykład możesz mieć domenę usług AD DS o nazwie aaddscontoso.com działającą na maszynach wirtualnych platformy Azure. Podczas próby włączenia domeny zarządzanej usług Domain Services o tej samej nazwie domeny aaddscontoso.com w sieci wirtualnej żądana operacja kończy się niepowodzeniem.
Ten błąd jest spowodowany konfliktami nazw domeny w sieci wirtualnej. Wyszukiwanie DNS sprawdza, czy istniejące środowisko usług AD DS odpowiada na żądaną nazwę domeny. Aby rozwiązać ten problem, użyj innej nazwy do skonfigurowania swojej zarządzanej domeny lub zdezaktywuj istniejącą domenę AD DS, a następnie spróbuj ponownie włączyć Usługi Domenowe.
Nieodpowiednie uprawnienia
komunikat o błędzie
Nie można włączyć usług Domenowych w tej dzierżawie firmy Microsoft Entra. Usługa nie ma odpowiednich uprawnień do aplikacji o nazwie "Microsoft Entra Domain Services Sync". Usuń aplikację o nazwie "Microsoft Entra Domain Services Sync", a następnie spróbuj włączyć Usługi domeny dla swojej dzierżawy Microsoft Entra.
Rezolucja
Sprawdź, czy w katalogu Microsoft Entra znajduje się aplikacja o nazwie Microsoft Entra Domain Services Sync. Jeśli ta aplikacja istnieje, usuń ją, a następnie spróbuj ponownie włączyć usługi Domain Services. Aby sprawdzić istniejącą aplikację i usunąć ją w razie potrzeby, wykonaj następujące kroki:
- W centrum administracyjnym Microsoft Entrawybierz pozycję Microsoft Entra ID z lewego menu nawigacyjnego.
- Wybierz pozycję Aplikacje dla przedsiębiorstw. Wybierz Wszystkie aplikacje z rozwijanego menu Typ aplikacji , a następnie kliknij Zastosuj.
- W polu wyszukiwania wprowadź Microsoft Entra Domain Services Sync. Jeśli aplikacja istnieje, wybierz ją i wybierz pozycję Usuń.
- Po usunięciu aplikacji spróbuj ponownie włączyć usługi Domain Services.
Nieprawidłowa konfiguracja
komunikat o błędzie
Nie można włączyć usług domenowych w tej dzierżawie Microsoft Entra. Aplikacja Usług domenowych w dzierżawie firmy Microsoft Entra nie ma wymaganych uprawnień do włączenia usług domenowych. Usuń aplikację, używając identyfikatora aplikacji d87dcbc6-a371-462e-88e3-28ad15ec4e64, a następnie spróbuj włączyć usługi domenowe dla dzierżawcy Microsoft Entra.
Rezolucja
Sprawdź, czy masz istniejącą aplikację o nazwie AzureActiveDirectoryDomainControllerServices z identyfikatorem aplikacji d87dcbc6-a371-462e-88e3-28ad15ec4e64 w katalogu Microsoft Entra. Jeśli ta aplikacja istnieje, usuń ją, a następnie spróbuj ponownie włączyć usługi Domain Services.
Użyj następującego skryptu programu PowerShell, aby wyszukać istniejące wystąpienie aplikacji i usunąć je w razie potrzeby:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Program Microsoft Graph jest wyłączony
komunikat o błędzie
Nie można włączyć Usług Domenowych w tej dzierżawie firmy Microsoft Entra. Aplikacja Microsoft Entra jest wyłączona w obszarze dzierżawy Microsoft Entra. Włącz aplikację z identyfikatorem aplikacji 00000002-0000-0000-c000-000000000000, a następnie spróbuj włączyć usługi domenowe dla dzierżawy Microsoft Entra.
Rezolucja
Sprawdź, czy aplikacja została wyłączona z identyfikatorem 00000002-0000-0000-c000-000000000000. Ta aplikacja to aplikacja Microsoft Entra i zapewnia dostęp do interfejsu API Graph dla dzierżawcy Microsoft Entra. Aby zsynchronizować dzierżawę firmy Microsoft Entra, należy włączyć tę aplikację.
Aby sprawdzić stan tej aplikacji i włączyć ją w razie potrzeby, wykonaj następujące kroki:
- W centrum administracyjnym Microsoft Entrawyszukaj i wybierz pozycję Aplikacje dla przedsiębiorstw.
- Wybierz pozycję Wszystkie aplikacje z menu rozwijanego Typ aplikacji , a następnie wybierz pozycję Zastosuj.
- W polu wyszukiwania wprowadź 000000002-0000-0000-c000-0000000000000. Wybierz aplikację, a następnie wybierz Właściwości .
- Jeśli ustawienie umożliwiające użytkownikom logowanie jest ustawione na Nie, zmień wartość na Tak, następnie wybierz Zapisz.
- Po włączeniu aplikacji spróbuj ponownie włączyć usługi Domain Services.
Użytkownicy nie mogą zalogować się do domeny zarządzanej usług Microsoft Entra Domain Services
Jeśli co najmniej jeden użytkownik w dzierżawie firmy Microsoft Entra nie może zalogować się do domeny zarządzanej, wykonaj następujące kroki rozwiązywania problemów:
Format poświadczeń — spróbować użyć formatu UPN do określania poświadczeń, takich jak
dee@aaddscontoso.onmicrosoft.com. Format nazwy UPN jest zalecanym sposobem określania poświadczeń w Usługach Domenowych. Upewnij się, że ta nazwa UPN jest poprawnie skonfigurowana w identyfikatorze Entra firmy Microsoft.SAMAccountName dla twojego konta, na przykład AADDSCONTOSO\driley, może być generowane automatycznie, jeśli istnieje wielu użytkowników z tym samym prefiksem nazwy UPN w dzierżawie lub gdy prefiks UPN jest wyjątkowo długi. W związku z tym format SAMAccountName dla twojego konta może być inny niż oczekiwany lub używany w domenie lokalnej.
synchronizacji haseł — upewnij się, że włączono synchronizację haseł dla użytkowników korzystających tylko z chmury lub w środowiskach hybrydowych przy użyciu programu Microsoft Entra Connect.
Hybrydowe zsynchronizowane konta: Jeśli konta użytkowników, których dotyczy problem, są synchronizowane z domeny lokalnej, sprawdź następujące obszary:
Wdrożono lub zaktualizowano najnowszą zalecaną wersję programu Microsoft Entra Connect .
Skonfigurowano program Microsoft Entra Connect do wykonać pełną synchronizację.
W zależności od rozmiaru katalogu może upłynąć trochę czasu, aby konta użytkowników i skróty poświadczeń mogły być dostępne w domenie zarządzanej. Przed próbą uwierzytelnienia w domenie zarządzanej upewnij się, że czekasz wystarczająco długo.
Jeśli problem będzie się powtarzać po zweryfikowaniu poprzednich kroków, spróbuj ponownie uruchomić usługę synchronizacji usługi Azure AD. Na serwerze Microsoft Entra Connect otwórz wiersz polecenia, a następnie uruchom następujące polecenia:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
konta tylko w chmurze: jeśli konto użytkownika, którego dotyczy problem, jest kontem użytkownika tylko w chmurze, upewnij się, że użytkownik zmienił swoje hasło po włączeniu usługi Domain Services. To resetowanie hasła powoduje wygenerowanie wymaganych skrótów poświadczeń dla domeny zarządzanej.
Sprawdź, czy konto użytkownika jest aktywne: domyślnie pięć nieprawidłowych prób hasła w ciągu 2 minut w domenie zarządzanej powoduje zablokowanie konta użytkownika przez 30 minut. Użytkownik nie może się zalogować, gdy konto jest zablokowane. Po upływie 30 minut konto użytkownika zostanie automatycznie odblokowane.
- Nieprawidłowe próby hasła w domenie zarządzanej nie blokują konta użytkownika w identyfikatorze Microsoft Entra. Konto użytkownika jest zablokowane tylko w domenie zarządzanej. Sprawdź stan konta użytkownika w konsoli administracyjnej usługi Active Directory (ADAC) przy użyciu maszyny wirtualnej, a nie w Microsoft Entra ID.
- Można również skonfigurować szczegółowe zasady dotyczące haseł, aby zmienić domyślny próg blokady i czas trwania.
pl-PL: Konta zewnętrzne — Sprawdź, czy konto użytkownika, którego dotyczy, nie jest kontem zewnętrznym w tenantcie Microsoft Entra. Przykłady kont zewnętrznych obejmują konta Microsoft, takie jak
dee@live.comlub konta użytkowników z zewnętrznego katalogu Microsoft Entra. Usługi Domain Services nie przechowują poświadczeń dla kont użytkowników zewnętrznych, więc nie mogą zalogować się do domeny zarządzanej.
W domenie zarządzanej istnieje co najmniej jeden alert
Jeśli istnieją aktywne alerty w domenie zarządzanej, może to uniemożliwić prawidłowe działanie procesu uwierzytelniania.
Aby sprawdzić, czy istnieją jakiekolwiek aktywne alerty, sprawdzić stan kondycji domeny zarządzanej. Jeśli zostaną wyświetlone jakiekolwiek alerty, zdiagnozuj i rozwiąż je.
Użytkownicy usunięci z dzierżawy usługi Microsoft Entra nie są usuwani z domeny zarządzanej
Identyfikator Entra firmy Microsoft chroni przed przypadkowym usunięciem obiektów użytkownika. Po usunięciu konta użytkownika z dzierżawy Microsoft Entra, obiekt z nim związany zostanie przeniesiony do kosza. Po zsynchronizowaniu tej operacji usuwania z domeną zarządzaną odpowiednie konto użytkownika zostanie usunięte, ponieważ usługi Domain Services nie mają kosza.
Jeśli konto użytkownika zostanie przywrócone w dzierżawie, Domain Services pobiera wszystkie linki dla konta podczas synchronizacji zmiany z domeną zarządzaną. Konto użytkownika w domenie zarządzanej pobiera nowy unikatowy identyfikator globalny (GUID) i identyfikator zabezpieczeń (SID).
Następne kroki
Jeśli nadal występują problemy, utwórz zgłoszenie do pomocy technicznej Azure w celu uzyskania dodatkowej pomocy w rozwiązywaniu problemów.