作为应用程序的标识和身份验证的核心部分,Microsoft Entra 域服务有时会出现问题。 如果遇到问题,则会出现一些常见的错误消息和相关故障排除步骤,可帮助你再次运行内容。 你还可以随时提交 Azure 支持请求以获得更多排除故障帮助。
本文提供有关域服务中常见问题的故障排除步骤。
无法为 Microsoft Entra 目录启用 Microsoft Entra 域服务
如果在启用域服务时遇到问题,请查看以下常见错误和解决方法:
| 示例错误消息 | 解决方案 |
|---|---|
| 名称 aaddscontoso.com 已在此网络中使用。 指定未使用的名称。 | 虚拟网络中的域名冲突 |
| 无法在此Microsoft Entra 租户中启用域服务。 该服务对名为“Microsoft Entra Domain Services Sync”的应用程序没有足够的权限。删除名为“Microsoft Entra Domain Services Sync”的应用程序,然后尝试为 Microsoft Entra 租户启用域服务。 | 域服务对 Microsoft Entra 域服务同步应用程序没有足够的权限 |
| 无法在此Microsoft Entra 租户中启用域服务。 Microsoft Entra 租户中的域服务应用程序没有启用域服务所需的权限。 删除应用程序标识符为 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的应用程序,然后尝试为 Microsoft Entra 租户启用域服务。 | 域服务应用程序未在 Microsoft Entra 租户中正确配置 |
| 无法在此Microsoft Entra 租户中启用域服务。 Microsoft Entra 租户中的 Microsoft Entra 应用程序已被禁用。 使用应用程序标识符 00000002-0000-0000-c000-0000000000000 启用应用程序,然后尝试为 Microsoft Entra 租户启用域服务。 | Microsoft Entra 租户中禁用了 Microsoft Graph 应用程序 |
域名冲突
错误消息
名称 aaddscontoso.com 已在此网络中使用。 指定未使用的名称。
解决方案
确认在同一虚拟网络或对等互连的虚拟网络上没有域名相同的现有 AD DS 环境。 例如,你可能有一个名为 aaddscontoso.com 的 AD DS 域,该域在 Azure VM 上运行。 尝试在虚拟网络上启用具有相同域名 aaddscontoso.com 的域服务托管域时,请求的作将失败。
此失败是由于虚拟网络上域名的名称冲突造成的。 DNS 查找用于检查现有的 AD DS 环境是否对请求的域名做出响应。 若要解决此故障,请使用其他名称设置托管域,或取消预配现有的 AD DS 域,然后重试启用域服务。
权限不足
错误消息
无法在此Microsoft Entra 租户中启用域服务。 该服务对名为“Microsoft Entra Domain Services Sync”的应用程序没有足够的权限。删除名为“Microsoft Entra Domain Services Sync”的应用程序,然后尝试为 Microsoft Entra 租户启用域服务。
解决方案
检查Microsoft Entra 目录中是否有名为 Microsoft Entra 域服务同步 的应用程序。 如果此应用程序存在,请将其删除,然后重试以启用域服务。 若要检查现有应用程序并根据需要将其删除,请完成以下步骤:
- 在 Microsoft Entra 管理中心,从左侧导航菜单中选择 Microsoft Entra ID 。
- 选择“企业应用程序”。 在“应用程序类型”下拉菜单中,选择“所有应用程序”,然后选择“应用”。
- 在搜索框中,输入 Microsoft Entra 域服务同步。如果应用程序存在,请选择它,然后选择 “删除”。
- 删除应用程序后,请尝试再次启用域服务。
配置无效
错误消息
无法在此Microsoft Entra 租户中启用域服务。 Microsoft Entra 租户中的域服务应用程序没有启用域服务所需的权限。 删除应用程序标识符为 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的应用程序,然后尝试为 Microsoft Entra 租户启用域服务。
解决方案
检查Microsoft Entra 目录中是否有名为 AzureActiveDirectoryDomainControllerServices 的现有应用程序,其应用程序标识符为 d87dcbc6-a371-462e-88e3-28ad15ec4e64 。 如果此应用程序存在,请将其删除,然后重试启用域服务。
使用以下 PowerShell 脚本搜索现有应用程序实例,并根据需要将其删除:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph 已禁用
错误消息
无法在此Microsoft Entra 租户中启用域服务。 Microsoft Entra 租户中的 Microsoft Entra 应用程序已被禁用。 使用应用程序标识符 00000002-0000-0000-c000-0000000000000 启用应用程序,然后尝试为 Microsoft Entra 租户启用域服务。
解决方案
检查是否已禁用标识符 为 000000002-0000-0000-c000-000000000000 的应用程序。 此应用程序是 Microsoft Entra 应用程序,提供对 Microsoft Entra 租户的图形 API 访问权限。 若要同步Microsoft Entra 租户,必须启用此应用程序。
若要检查此应用程序的状态并根据需要启用它,请完成以下步骤:
- 在 Microsoft Entra 管理中心中,搜索并选择“企业应用程序”。
- 在“应用程序类型”下拉菜单中,选择“所有应用程序”,然后选择“应用”。
- 在搜索框中,输入 00000002-0000-0000-c000-00000000000。 选择应用程序,然后选择 “属性”。
- 如果 为用户启用登录 设置为 否,请将该值设置为 是,然后选择 保存。
- 启用应用程序后,请尝试再次启用域服务。
用户无法登录 Microsoft Entra 域服务托管域
如果Microsoft Entra 租户中的一个或多个用户无法登录到托管域,请完成以下故障排除步骤:
凭据格式 - 尝试使用 UPN 格式指定凭据,例如
dee@aaddscontoso.onmicrosoft.com。 建议使用 UPN 格式在域服务中指定凭据。 请确保在 Microsoft Entra ID 中正确配置了此 UPN。如果租户中有多个具有相同 UPN 前缀的用户,或者 UPN 前缀过长,则帐户的 SAMAccountName (例如 AADDSCONTOSO\driley )可能会自动生成。 因此,帐户的 SAMAccountName 格式可能不同于你在本地域中所需的格式或使用的格式。
密码同步 - 确保已使用 Microsoft Entra Connect 为仅限云的用户或混合环境启用密码同步。
混合同步帐户: 如果受影响的用户帐户是从本地目录同步的,请验证以下区域:
已部署或更新到 最新推荐版本的 Microsoft Entra Connect。
已将 Microsoft Entra Connect 配置为 执行完全同步。
根据目录的大小,用户帐户和凭据哈希可能需要一段时间才能在托管域中使用。 请确保在尝试对托管域进行身份验证之前等待足够长的时间。
如果在验证前面的步骤后该问题仍然存在,请尝试重启 Azure AD 同步服务。 在 Microsoft Entra Connect 服务器中,打开命令提示符,然后运行以下命令:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
仅限云的帐户:如果受影响的用户帐户是仅限云的用户帐户,请确保 在启用域服务后用户已更改其密码。 此密码重置会导致生成托管域所需的凭据哈希。
验证用户帐户是否处于活动状态:默认情况下,托管域上的 2 分钟内有 5 次无效密码尝试导致用户帐户被锁定 30 分钟。 帐户被锁定时,用户无法登录。30 分钟后,会自动解锁用户帐户。
外部帐户 - 检查受影响的用户帐户是否不是 Microsoft Entra 租户中的外部帐户。 外部帐户的示例包括Microsoft帐户,例如
dee@live.com外部Microsoft Entra 目录中的用户帐户。 域服务不会存储外部用户帐户的凭据,因此无法登录到托管域。
托管域上有一个或多个警报
如果托管域上存在活动警报,则可能会阻止身份验证过程正常工作。
若要查看是否有任何活动警报, 请检查托管域的运行状况。 如果显示任何警报, 请进行故障排除并解决它们。
从 Microsoft Entra 租户中删除的用户不会从托管域中删除
Microsoft Entra ID 可防止意外删除用户对象。 从 Microsoft Entra 租户中删除用户帐户时,相应的用户对象将移动到回收站。 当此删除作同步到托管域时,将删除相应的用户帐户,因为域服务没有回收站。
如果用户帐户在租户中还原,域服务会在将更改同步到托管域时提取该帐户的所有链接。 托管域中的用户帐户获取新的全局唯一标识符(GUID)和安全 ID(SID)。
后续步骤
如果继续出现问题, 请提出 Azure 支持请求 以获取更多故障排除帮助。