Vanliga fel och felsökningssteg för Microsoft Entra Domain Services
Som en central del av identitet och autentisering för program har Microsoft Entra Domain Services ibland problem. Om du stöter på problem finns det några vanliga felmeddelanden och tillhörande felsökningssteg som hjälper dig att få igång saker igen. När som helst kan du också öppna en Azure-supportbegäran för mer felsökningshjälp.
Den här artikeln innehåller felsökningssteg för vanliga problem i Domain Services.
Du kan inte aktivera Microsoft Entra Domain Services för din Microsoft Entra-katalog
Om du har problem med att aktivera Domain Services kan du läsa följande vanliga fel och steg för att lösa dem:
| Exempel på felmeddelande | Upplösning |
|---|---|
| Namnet aaddscontoso.com används redan i det här nätverket. Ange ett namn som inte används. | Domännamnskonflikt i det virtuella nätverket |
| Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Tjänsten har inte tillräcklig behörighet till programmet som kallas Microsoft Entra Domain Services Sync. Ta bort programmet med namnet "Microsoft Entra Domain Services Sync" och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation. | Domain Services har inte tillräcklig behörighet till Microsoft Entra Domain Services Sync-programmet |
| Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Domain Services-programmet i din Microsoft Entra-klientorganisation har inte de behörigheter som krävs för att aktivera Domain Services. Ta bort programmet med programidentifieraren d87dcbc6-a371-462e-88e3-28ad15ec4e64 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation. | Domain Services-programmet är inte korrekt konfigurerat i din Microsoft Entra-klientorganisation |
| Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Microsoft Entra-programmet är inaktiverat i din Microsoft Entra-klientorganisation. Aktivera programmet med programidentifieraren 00000002-0000-0000-c000-00000000000000 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation. | Microsoft Graph-programmet är inaktiverat i din Microsoft Entra-klientorganisation |
Domännamnskonflikt
Felmeddelande
Namnet aaddscontoso.com används redan i det här nätverket. Ange ett namn som inte används.
Beslut
Kontrollera att du inte har en befintlig AD DS-miljö med samma domännamn på samma eller ett peer-kopplat virtuellt nätverk. Du kan till exempel ha en AD DS-domän med namnet aaddscontoso.com som körs på virtuella Azure-datorer. När du försöker aktivera en domän som hanteras av Domain Services med samma domännamn som aaddscontoso.com i det virtuella nätverket misslyckas den begärda åtgärden.
Det här felet beror på namnkonflikter för domännamnet i det virtuella nätverket. En DNS-sökning kontrollerar om en befintlig AD DS-miljö svarar på det begärda domännamnet. Lös det här felet genom att använda ett annat namn för att konfigurera din hanterade domän eller avetablera den befintliga AD DS-domänen och sedan försöka igen för att aktivera Domain Services.
Otillräckliga behörigheter
Felmeddelande
Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Tjänsten har inte tillräcklig behörighet till programmet som kallas Microsoft Entra Domain Services Sync. Ta bort programmet med namnet "Microsoft Entra Domain Services Sync" och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation.
Upplösning
Kontrollera om det finns ett program med namnet Microsoft Entra Domain Services Sync i din Microsoft Entra-katalog. Om det här programmet finns tar du bort det och försöker sedan igen för att aktivera Domain Services. Utför följande steg för att söka efter ett befintligt program och ta bort det om det behövs:
- I Administrationscenter för Microsoft Entraväljer du Microsoft Entra-ID på den vänstra navigeringsmenyn.
- Välj Företagsprogram. Välj Alla program i listrutan Programtyp och välj sedan Använd.
- I sökrutan anger du Microsoft Entra Domain Services Sync. Om programmet finns väljer du det och väljer Ta bort.
- När du har tagit bort programmet försöker du aktivera Domain Services igen.
Ogiltig konfiguration
Felmeddelande
Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Domain Services-programmet i din Microsoft Entra-klientorganisation har inte de behörigheter som krävs för att aktivera Domain Services. Ta bort programmet med programidentifieraren d87dcbc6-a371-462e-88e3-28ad15ec4e64 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation.
Upplösning
Kontrollera om du har ett befintligt program med namnet AzureActiveDirectoryDomainControllerServices med en programidentifierare för d87dcbc6-a371-462e-88e3-28ad15ec4e64 i din Microsoft Entra-katalog. Om det här programmet finns tar du bort det och försöker sedan igen för att aktivera Domain Services.
Använd följande PowerShell-skript för att söka efter en befintlig programinstans och ta bort den om det behövs:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph har inaktiverats
Felmeddelande
Det gick inte att aktivera Domain Services i den här Microsoft Entra-klientorganisationen. Microsoft Entra-programmet är inaktiverat i din Microsoft Entra-klientorganisation. Aktivera programmet med programidentifieraren 00000002-0000-0000-c000-00000000000000 och försök sedan aktivera Domain Services för din Microsoft Entra-klientorganisation.
Upplösning
Kontrollera om du har inaktiverat ett program med identifieraren 00000002-0000-0000-c0000-000000000000. Det här programmet är Microsoft Entra-programmet och ger Graph API-åtkomst till din Microsoft Entra-klientorganisation. Om du vill synkronisera din Microsoft Entra-klientorganisation måste det här programmet vara aktiverat.
Utför följande steg för att kontrollera statusen för det här programmet och aktivera det om det behövs:
- Gå till Administrationscenter för Microsoft Entra, sök efter och välj Företagsapplikationer.
- Välj Alla program i listrutan Programtyp och välj sedan Använd.
- I sökrutan anger du 00000002-0000-0000-c000-0000000000000. Välj programmet och välj sedan Egenskaper.
- Om Aktiverat för användare att logga in har angetts till Nejanger du värdet till Jaoch väljer sedan Spara.
- När du har aktiverat programmet försöker du aktivera Domain Services igen.
Användare kan inte logga in på den hanterade domänen Microsoft Entra Domain Services
Om en eller flera användare i din Microsoft Entra-klientorganisation inte kan logga in på den hanterade domänen utför du följande felsökningssteg:
Format för autentiseringsuppgifter – Prova att använda UPN-formatet för att ange autentiseringsuppgifter, till exempel
dee@aaddscontoso.onmicrosoft.com. UPN-formatet är det rekommenderade sättet att ange autentiseringsuppgifter i Domain Services. Kontrollera att upn är korrekt konfigurerat i Microsoft Entra-ID.SAMAccountName- för ditt konto, till exempel AADDSCONTOSO\driley kan genereras automatiskt om det finns flera användare med ett likadant UPN-prefix i din klientorganisation eller om UPN-prefixet är alltför långt. Därför kan SAMAccountName- format för ditt konto skilja sig från vad du förväntar dig eller använder i din lokala domän.
Lösenordssynkronisering – Kontrollera att du har aktiverat lösenordssynkronisering för molnbaserade användare eller för hybridmiljöer med Microsoft Entra Connect.
Hybrid-synkroniserade konton: Om de berörda användarkontona synkroniseras från en lokal katalog kontrollerar du följande områden:
Du har distribuerat eller uppdaterat till den senaste rekommenderade versionen av Microsoft Entra Connect.
Du har konfigurerat Microsoft Entra Connect för att utföra en fullständig synkronisering.
Beroende på katalogens storlek kan det ta en stund innan användarkonton och hashvärden för autentiseringsuppgifter är tillgängliga i den hanterade domänen. Se till att du väntar tillräckligt länge innan du försöker autentisera mot den hanterade domänen.
Om problemet kvarstår när du har verifierat föregående steg kan du prova att starta om Azure AD Sync Service. Öppna en kommandotolk från Microsoft Entra Connect-servern och kör sedan följande kommandon:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
endast molnkonton: Om det berörda användarkontot är ett användarkonto endast i molnet kontrollerar du att användaren har ändrat sitt lösenord när du har aktiverat Domain Services. Den här lösenordsåterställningen gör att nödvändiga hashvärden för autentiseringsuppgifter för den hanterade domänen genereras.
Kontrollera att användarkontot är aktivt: Som standard gör fem ogiltiga lösenordsförsök inom 2 minuter på den hanterade domänen att ett användarkonto blir utelåst i 30 minuter. Användaren kan inte logga in när kontot är utelåst. Efter 30 minuter låss användarkontot upp automatiskt.
- Ogiltiga lösenordsförsök på den hanterade domänen låser inte användarkontot i Microsoft Entra-ID. Användarkontot är endast utelåst i den hanterade domänen. Kontrollera användarkontostatusen i Active Directory Administrationskonsol (ADAC) med hjälp av den virtuella -hanteringsdatorn, inte i Microsoft Entra-ID.
- Du kan också konfigurera detaljerade lösenordsprinciper för att ändra standardtröskeln och varaktigheten för utelåsning.
Externa Konton – Kontrollera att det berörda användarkontot inte är ett externt konto i Microsoft Entra-klienten. Exempel på externa konton är Microsoft-konton som
dee@live.comeller användarkonton från en extern Microsoft Entra-katalog. Domain Services lagrar inte autentiseringsuppgifter för externa användarkonton så de kan inte logga in på den hanterade domänen.
Det finns en eller flera aviseringar på din hanterade domän
Om det finns aktiva aviseringar på den hanterade domänen kan det hindra autentiseringsprocessen från att fungera korrekt.
Om du vill se om det finns några aktiva aviseringar kontrollera hälsostatusen för en hanterad domän. Om några aviseringar visas felsöka och lösa dem.
Användare som tagits bort från din Microsoft Entra-klient tas inte bort från din hanterade domän
Microsoft Entra-ID skyddar mot oavsiktlig borttagning av användarobjekt. När du tar bort ett användarkonto från en Microsoft Entra-klient flyttas motsvarande användarobjekt till papperskorgen. När den här borttagningsåtgärden synkroniseras med din hanterade domän tas motsvarande användarkonto bort eftersom Domain Services inte har någon papperskorg.
Om användarkontot återställs i klientorganisationen hämtar Domain Services alla länkar för kontot när det synkroniserar ändringen till den hanterade domänen. Användarkontot i den hanterade domänen hämtar en ny globalt unik identifierare (GUID) och säkerhets-ID (SID).
Nästa steg
Om du fortfarande har problem, öppna en Azure-supportbegäran för mer felsökningshjälp.