Běžné chyby a postup řešení potíží se službou Microsoft Entra Domain Services
Jako ústřední součást identity a ověřování pro aplikace má služba Microsoft Entra Domain Services někdy problémy. Pokud narazíte na problémy, existují některé běžné chybové zprávy a související kroky pro řešení potíží, které vám pomůžou znovu spustit věci. Kdykoli můžete také otevřít podpora Azure žádost o další pomoc s řešením potíží.
Tento článek obsahuje postup řešení běžných problémů ve službě Domain Services.
Pro adresář Microsoft Entra nelze povolit službu Microsoft Entra Domain Services.
Pokud máte problémy s povolením služby Domain Services, projděte si následující běžné chyby a kroky k jejich řešení:
| Ukázková chybová zpráva | Řešení |
|---|---|
| Název aaddscontoso.com se už v této síti používá. Zadejte název, který se nepoužívá. | Konflikt názvů domén ve virtuální síti |
| V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Služba nemá odpovídající oprávnění k aplikaci s názvem Synchronizace služby Microsoft Entra Domain Services. Odstraňte aplikaci s názvem Microsoft Entra Domain Services Sync a pak se pokuste pro vašeho tenanta Microsoft Entra povolit službu Domain Services. | Domain Services nemá odpovídající oprávnění k aplikaci Synchronizace služeb Microsoft Entra Domain Services |
| V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Domain Services ve vašem tenantovi Microsoft Entra nemá požadovaná oprávnění k povolení služby Domain Services. Odstraňte aplikaci s identifikátorem aplikace d87dcbc6-a371-462e-88e3-28ad15ec4e64 a pak se pokuste pro svého tenanta Microsoft Entra povolit službu Domain Services. | Aplikace Domain Services není ve vašem tenantovi Microsoft Entra správně nakonfigurovaná. |
| V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Microsoft Entra je ve vašem tenantovi Microsoft Entra zakázaná. Povolte aplikaci s identifikátorem aplikace 00000002-0000-0000-c000-0000000000000 a potom se pokuste povolit Domain Services pro vašeho tenanta Microsoft Entra. | Aplikace Microsoft Graph je ve vašem tenantovi Microsoft Entra zakázaná. |
Konflikt názvů domén
Chybová zpráva
Název aaddscontoso.com se už v této síti používá. Zadejte název, který se nepoužívá.
Řešení
Zkontrolujte, že nemáte existující prostředí služby AD DS se stejným názvem domény ve stejné nebo partnerské virtuální síti. Můžete mít například doménu AD DS s názvem aaddscontoso.com , která běží na virtuálních počítačích Azure. Když se pokusíte povolit spravovanou doménu služby Domain Services se stejným názvem domény aaddscontoso.com ve virtuální síti, požadovaná operace selže.
Příčinou tohoto selhání jsou konflikty názvů pro název domény ve virtuální síti. Vyhledávání DNS zkontroluje, jestli existující prostředí SLUŽBY AD DS odpoví na požadovaný název domény. Pokud chcete tuto chybu vyřešit, nastavte spravovanou doménu jiným názvem nebo zrušte zřízení stávající domény služby AD DS a potom zkuste službu Domain Services povolit znovu.
Nedostatečná oprávnění
Chybová zpráva
V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Služba nemá odpovídající oprávnění k aplikaci s názvem Synchronizace služby Microsoft Entra Domain Services. Odstraňte aplikaci s názvem Microsoft Entra Domain Services Sync a pak se pokuste pro vašeho tenanta Microsoft Entra povolit službu Domain Services.
Řešení
Zkontrolujte, jestli v adresáři Microsoft Entra není aplikace s názvem Microsoft Entra Domain Services Sync . Pokud tato aplikace existuje, odstraňte ji a zkuste ji znovu povolit domain Services. Pokud chcete zkontrolovat existující aplikaci a v případě potřeby ji odstranit, proveďte následující kroky:
- V Centru pro správu Microsoft Entra vyberte ID Microsoft Entra z levé navigační nabídky.
- Vyberte Podnikové aplikace. V rozevírací nabídce Typ aplikace zvolte Všechny aplikace a pak vyberte Použít.
- Do vyhledávacího pole zadejte Synchronizaci služby Microsoft Entra Domain Services. Pokud aplikace existuje, vyberte ji a zvolte Odstranit.
- Po odstranění aplikace zkuste službu Domain Services znovu povolit.
Neplatná konfigurace
Chybová zpráva
V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Domain Services ve vašem tenantovi Microsoft Entra nemá požadovaná oprávnění k povolení služby Domain Services. Odstraňte aplikaci s identifikátorem aplikace d87dcbc6-a371-462e-88e3-28ad15ec4e64 a pak se pokuste pro svého tenanta Microsoft Entra povolit službu Domain Services.
Řešení
Zkontrolujte, jestli máte existující aplikaci s názvem AzureActiveDirectoryDomainControllerServices s identifikátorem aplikace d87dcbc6-a371-462e-88e3-28ad15ec4e64 ve vašem adresáři Microsoft Entra. Pokud tato aplikace existuje, odstraňte ji a zkuste ji znovu povolit domain Services.
Pomocí následujícího skriptu PowerShellu vyhledejte existující instanci aplikace a v případě potřeby ji odstraňte:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph je zakázaný
Chybová zpráva
V tomto tenantovi Microsoft Entra nelze povolit službu Domain Services. Aplikace Microsoft Entra je ve vašem tenantovi Microsoft Entra zakázaná. Povolte aplikaci s identifikátorem aplikace 00000002-0000-0000-c000-0000000000000 a potom se pokuste povolit Domain Services pro vašeho tenanta Microsoft Entra.
Řešení
Zkontrolujte, jestli jste zakázali aplikaci s identifikátorem 00000002-0000-0000-c000-000000000000000. Tato aplikace je aplikace Microsoft Entra a poskytuje rozhraní Graph API přístup k vašemu tenantovi Microsoft Entra. Pokud chcete synchronizovat tenanta Microsoft Entra, musí být tato aplikace povolená.
Pokud chcete zkontrolovat stav této aplikace a v případě potřeby ji povolit, proveďte následující kroky:
- V Centru pro správu Microsoft Entra vyhledejte a vyberte Podnikové aplikace.
- V rozevírací nabídce Typ aplikace zvolte Všechny aplikace a pak vyberte Použít.
- Do vyhledávacího pole zadejte 000000002-0000-0000-c000-000000000000. Vyberte aplikaci a pak zvolte Vlastnosti.
- Pokud je možnost Povolit uživatelům přihlášení nastavená na Ne, nastavte hodnotu Ano a pak vyberte Uložit.
- Jakmile aplikaci povolíte, zkuste službu Domain Services znovu povolit.
Uživatelé se nemůžou přihlásit ke spravované doméně Microsoft Entra Domain Services
Pokud se jeden nebo více uživatelů ve vašem tenantovi Microsoft Entra nemůže přihlásit ke spravované doméně, proveďte následující kroky pro řešení potíží:
Formát přihlašovacích údajů – Zkuste použít formát hlavního názvu uživatele (UPN) k zadání přihlašovacích údajů, například
dee@aaddscontoso.onmicrosoft.com. Formát hlavního názvu uživatele (UPN) je doporučený způsob, jak zadat přihlašovací údaje ve službě Domain Services. Ujistěte se, že je tento hlavní názvu uživatele (UPN) správně nakonfigurovaný v MICROSOFT Entra ID.Název SAMAccountName pro váš účet, například AADDSCONTOSO\driley , může být automaticky vygenerován, pokud ve vašem tenantovi existuje více uživatelů se stejnou předponou hlavního názvu uživatele nebo pokud je předpona hlavního názvu uživatele (UPN) příliš dlouhá. Formát SAMAccountName pro váš účet se proto může lišit od toho, co očekáváte nebo používáte ve vaší místní doméně.
Synchronizace hesel – Ujistěte se, že jste povolili synchronizaci hesel jenom pro uživatele cloudu nebo pro hybridní prostředí pomocí microsoft Entra Připojení.
Hybridní synchronizované účty: Pokud jsou ovlivněné uživatelské účty synchronizovány z místního adresáře, ověřte následující oblasti:
Nasadili jste nebo aktualizovali nejnovější doporučenou verzi Microsoft Entra Připojení.
Nakonfigurovali jste microsoft Entra Připojení k provedení úplné synchronizace.
V závislosti na velikosti adresáře může chvíli trvat, než budou uživatelské účty a hodnoty hash přihlašovacích údajů dostupné ve spravované doméně. Před pokusem o ověření ve spravované doméně se ujistěte, že čekáte dostatečně dlouho.
Pokud problém přetrvává i po ověření předchozích kroků, zkuste službu Synchronizace Azure AD restartovat. Na serveru Microsoft Entra Připojení otevřete příkazový řádek a spusťte následující příkazy:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Účty pouze v cloudu: Pokud je ovlivněný uživatelský účet výhradně cloudový, ujistěte se, že uživatel po povolení služby Domain Services změnil heslo. Toto resetování hesla způsobí vygenerování požadovaných hodnot hash přihlašovacích údajů pro spravovanou doménu.
Ověřte, že je uživatelský účet aktivní: Ve výchozím nastavení pět neplatných pokusů o heslo do 2 minut ve spravované doméně způsobí, že se uživatelský účet po dobu 30 minut zamkne. Uživatel se nemůže přihlásit, když je účet uzamčený. Po 30 minutách se uživatelský účet automaticky odemkne.
- Neplatné pokusy o heslo ve spravované doméně nezamknou uživatelský účet v ID Microsoft Entra. Uživatelský účet je uzamčen pouze v rámci spravované domény. Zkontrolujte stav uživatelského účtu v konzole Active Directory Správa istrative Console (ADAC) pomocí virtuálního počítače pro správu, ne v Microsoft Entra ID.
- Můžete také nakonfigurovat jemně odstupňované zásady hesel a změnit výchozí prahovou hodnotu a dobu trvání uzamčení.
Externí účty – Zkontrolujte, jestli ovlivněný uživatelský účet není externím účtem v tenantovi Microsoft Entra. Mezi příklady externích účtů patří účty Microsoft, jako
dee@live.comjsou účty Microsoft nebo uživatelské účty z externího adresáře Microsoft Entra. Domain Services neukládá přihlašovací údaje pro externí uživatelské účty, takže se nemůžou přihlásit ke spravované doméně.
Ve spravované doméně existuje jedna nebo více upozornění.
Pokud jsou ve spravované doméně aktivní výstrahy, může zabránit správnému fungování procesu ověřování.
Pokud chcete zjistit, jestli existují nějaká aktivní upozornění, zkontrolujte stav spravované domény. Pokud se zobrazí nějaká upozornění, vyřešte je a vyřešte je.
Uživatelé odebraní z vašeho tenanta Microsoft Entra se ze spravované domény neodeberou.
Microsoft Entra ID chrání před náhodným odstraněním uživatelských objektů. Když odstraníte uživatelský účet z tenanta Microsoft Entra, příslušný objekt uživatele se přesune do koše. Když se tato operace odstranění synchronizuje s vaší spravovanou doménou, odstraní se odpovídající uživatelský účet, protože Domain Services nemá koš.
Pokud se uživatelský účet obnoví v tenantovi, služba Domain Services při synchronizaci změny se spravovanou doménou načte všechny odkazy pro tento účet. Uživatelský účet ve spravované doméně získá nový globálně jedinečný identifikátor (GUID) a ID zabezpečení (SID).
Další kroky
Pokud máte i nadále problémy, otevřete podpora Azure žádost o další pomoc při řešení potíží.