Распространенные ошибки и действия по устранению неполадок для доменных служб Microsoft Entra
В качестве центрального элемента удостоверения и проверки подлинности для приложений доменные службы Microsoft Entra иногда сталкиваются с проблемами. При возникновении проблем есть некоторые распространенные сообщения об ошибках и связанные действия по устранению неполадок, которые помогут вам снова работать. В любое время вы также можете подать запрос в службу поддержки Azure для получения дополнительной помощи по устранению неполадок.
В этой статье приведены действия по устранению распространенных проблем в доменных службах.
Вы не можете включить доменные службы Microsoft Entra для каталога Microsoft Entra
Если у вас возникли проблемы с включением доменных служб, ознакомьтесь со следующими распространенными ошибками и инструкциями по их устранению:
| пример сообщения об ошибке | резолюция |
|---|---|
| Имя aaddscontoso.com уже используется в этой сети. Укажите имя, которое не используется. | конфликт доменных имен в виртуальной сети |
| Доменные службы не удалось включить в этом клиенте Microsoft Entra. Служба не имеет достаточных разрешений для приложения, называемого синхронизацией доменных служб Microsoft Entra. Удалите приложение с именем "Синхронизация доменных служб Microsoft Entra" и попробуйте включить доменные службы для клиента Microsoft Entra. | Доменные службы не имеют достаточных разрешений для приложения синхронизации доменных служб Microsoft Entra |
| Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение доменных служб в клиенте Microsoft Entra не имеет необходимых разрешений для включения доменных служб. Удалите приложение с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64, а затем попробуйте включить доменные службы для клиента Microsoft Entra. | приложение доменных служб неправильно настроено в клиенте Microsoft Entra |
| Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение Microsoft Entra отключено в клиенте Microsoft Entra. Включите приложение с идентификатором приложения 00000002-0000-0000-c000-000000000000, а затем попробуйте включить доменные службы для клиента Microsoft Entra. | Приложение Microsoft Graph отключено в клиенте Microsoft Entra |
Конфликт доменных имен
сообщение об ошибке
Имя aaddscontoso.com уже используется в этой сети. Укажите имя, которое не используется.
разрешение
Убедитесь, что у вас нет существующей среды AD DS с тем же доменным именем в той же или одноранговой виртуальной сети. Например, у вас может быть домен AD DS с именем aaddscontoso.com, который выполняется на виртуальных машинах Azure. При попытке включить управляемый домен доменных служб с тем же доменным именем aaddscontoso.com в виртуальной сети, запрошенная операция завершается ошибкой.
Эта ошибка возникает из-за конфликтов имен доменного имени в виртуальной сети. Поиск DNS проверяет, отвечает ли существующая среда AD DS на запрошенное доменное имя. Чтобы устранить эту ошибку, используйте другое имя для настройки управляемого домена или отмены существующего домена AD DS, а затем повторите попытку, чтобы включить доменные службы.
Неадекватные разрешения
сообщение об ошибке
Доменные службы не удалось включить в этом клиенте Microsoft Entra. Служба не имеет достаточных разрешений для приложения, называемого синхронизацией доменных служб Microsoft Entra. Удалите приложение с именем "Синхронизация доменных служб Microsoft Entra" и попробуйте включить доменные службы для клиента Microsoft Entra.
решения
Проверьте, есть ли приложение с именем Microsoft Entra Domain Services Sync в вашем каталоге Microsoft Entra. Если это приложение существует, удалите его, а затем повторите попытку, чтобы включить доменные службы. Чтобы проверить наличие существующего приложения и удалить его при необходимости, выполните следующие действия:
- В центре администрирования Microsoft Entra в меню навигации слева выберите Microsoft Entra ID.
- Выберите корпоративные приложения. Выберите Все приложения в раскрывающемся меню типа приложения , а затем выберите Применить.
- В поле поиска введите Microsoft Entra Domain Services Sync. Если приложение существует, выберите его и выберите Удалить.
- После удаления приложения повторите попытку включить доменные службы.
Недопустимая конфигурация
сообщение об ошибке
Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение доменных служб в клиенте Microsoft Entra не имеет необходимых разрешений для включения доменных служб. Удалите приложение с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64, а затем попробуйте включить доменные службы для клиента Microsoft Entra.
резолюция
Проверьте наличие существующего приложения с именем AzureActiveDirectoryDomainControllerServices с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64 в каталоге Microsoft Entra. Если это приложение существует, удалите его и повторите попытку, чтобы включить доменные службы.
Используйте следующий скрипт PowerShell для поиска существующего экземпляра приложения и удаления его при необходимости:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph отключен
сообщение об ошибке
Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение Microsoft Entra отключено в клиенте Microsoft Entra. Включите приложение с идентификатором приложения 00000002-0000-0000-c000-000000000000, а затем попробуйте включить доменные службы для клиента Microsoft Entra.
резолюция
Проверьте, отключили ли вы приложение с идентификатором 0000002-0000-0000-c000-0000000000000000. Это приложение Microsoft Entra и предоставляет API Graph доступ к клиенту Microsoft Entra. Чтобы синхронизировать клиент Microsoft Entra, это приложение должно быть включено.
Чтобы проверить состояние этого приложения и включить его при необходимости, выполните следующие действия:
- В Центре администрирования Microsoft Entraнайдите и выберите корпоративные приложения.
- Выберите Все приложения из раскрывающегося меню типа приложения, затем выберите Применить.
- В поле поиска введите 0000002-0000-0000-c000-0000000000000. Выберите приложение, а затем выберите Свойства.
- Если Включено для входа пользователей задано значение No, задайте для параметра значение Да, а затем выберите Сохранить.
- После включения приложения повторите попытку включить доменные службы.
Пользователи не могут войти в управляемый домен доменных служб Microsoft Entra
Если один или несколько пользователей в клиенте Microsoft Entra не могут войти в управляемый домен, выполните следующие действия по устранению неполадок:
формат учетных данных. Попробуйте использовать формат имени пользователя (UPN) для указания учетных данных, например
dee@aaddscontoso.onmicrosoft.com. Формат UPN является рекомендуемым способом указания учетных данных в доменных службах. Убедитесь, что UPN настроен правильно в Microsoft Entra ID.SAMAccountName для вашей учетной записи, например, AADDSCONTOSO\driley, может быть сгенерирован автоматически, если в клиенте есть несколько пользователей с одинаковым префиксом основного имени пользователя или если ваш префикс основного имени пользователя слишком длинный. Поэтому формат SAMAccountName вашей учетной записи может отличаться от ожидаемого или используемого в локальном домене.
Синхронизация паролей - убедитесь, что вы включили синхронизацию паролей для пользователей только облака или для гибридных сред с помощью Microsoft Entra Connect.
гибридные синхронизированные учетные записи: Если затронутые учетные записи пользователей синхронизируются из локального каталога, проверьте следующие области:
Вы развернули или обновили последний рекомендуемый выпуск Microsoft Entra Connect.
Вы настроили Microsoft Entra Connect для выполнения полной синхронизации.
В зависимости от размера каталога может потребоваться некоторое время, чтобы учетные записи пользователей и хэши учетных данных были доступны в управляемом домене. Убедитесь, что вы ждете достаточно долго, прежде чем пытаться авторизоваться в домене под управлением.
Если проблема сохраняется после проверки предыдущих шагов, попробуйте перезапустить службу синхронизации Azure AD. На сервере Microsoft Entra Connect откройте командную строку, а затем выполните следующие команды:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
облачные учетные записи. Если затронутая учетная запись пользователя является облачной учетной записью, убедитесь, что пользователь изменил свой пароль после включения доменных служб. Этот сброс пароля приводит к созданию необходимых хэшей учетных данных для управляемого домена.
Убедитесь, что учетная запись пользователя активна. По умолчанию пять недопустимых попыток пароля в течение 2 минут в управляемом домене вызывают блокировку учетной записи пользователя в течение 30 минут. Пользователь не может войти, пока учетная запись заблокирована. Через 30 минут учетная запись пользователя автоматически разблокируется.
- Недопустимые попытки пароля в управляемом домене не блокируют учетную запись пользователя в идентификаторе Microsoft Entra. Учетная запись пользователя заблокирована только в управляемом домене. Проверьте состояние учетной записи пользователя в консоли администрирования Active Directory (ADAC), используя виртуальную машину управления , а не в Microsoft Entra ID.
- Кроме того, можно настроить точные паролные политики, чтобы изменить порог блокировки по умолчанию и его продолжительность.
Внешние учетные записи: Убедитесь, что затронутая учетная запись пользователя не является внешней учетной записью в клиенте Microsoft Entra. Примеры внешних учетных записей включают учетные записи Майкрософт, такие как
dee@live.comили учетные записи пользователей из внешнего каталога Microsoft Entra. Доменные службы не хранят учетные данные для внешних учетных записей пользователей, чтобы они не могли войти в управляемый домен.
В управляемом домене есть одно или несколько оповещений.
Если в управляемом домене есть активные оповещения, процесс проверки подлинности может не работать правильно.
Чтобы узнать, есть ли активные оповещения, проверьте состояние работоспособности управляемого домена. Если отображаются оповещения, устранить неполадки и их разрешение.
Пользователи, удаленные из клиента Microsoft Entra, не удаляются из управляемого домена.
Идентификатор Microsoft Entra защищает от случайного удаления объектов пользователей. При удалении учетной записи пользователя из клиента Microsoft Entra соответствующий объект пользователя перемещается в корзину. При синхронизации этой операции удаления с управляемым доменом соответствующая учетная запись пользователя удаляется, так как доменные службы не имеют корзины.
Если учетная запись пользователя восстановлена в клиенте, Доменные службы извлекают все ссылки для учетной записи при синхронизации изменения с управляемым доменом. Учетная запись пользователя в управляемом домене получает новый глобальный уникальный идентификатор (GUID) и идентификатор безопасности (SID).
Дальнейшие действия
Если у вас продолжаются проблемы, откройте заявку в службу поддержки Azure для получения справки по дополнительному решению проблем.