Freigeben über


Bekannte Probleme: Warnungen im Zusammenhang mit Domain Services in Microsoft Entra Domain Services

Dienstprinzipale sind Anwendungen, die von der Azure-Plattform zum Verwalten, Aktualisieren und Warten einer verwalteten Microsoft Entra Domain Services-Domäne verwendet werden. Wenn ein Dienstprinzipal gelöscht wird, wirkt sich dies auf die Funktionalität in der verwalteten Domäne aus.

Dieser Artikel hilft Ihnen bei der Problembehandlung und dem Auflösen von Warnungen im Zusammenhang mit der Konfiguration des Dienstprinzipals.

Warnung AADDS102: Dienstprinzipal nicht gefunden

Warnmeldung

Ein für den ordnungsgemäßen Betrieb von Microsoft Entra Domain Services erforderlicher Dienstprinzipal wurde aus Ihrem Microsoft Entra-Verzeichnis gelöscht. Diese Konfiguration wirkt sich darauf aus, wie Microsoft Ihre verwaltete Domäne überwachen, verwalten, patchen und synchronisieren kann.

Wenn ein erforderlicher Dienstprinzipal gelöscht wird, kann die Azure-Plattform keine automatischen Verwaltungsaufgaben mehr ausführen. Die verwaltete Domäne kann möglicherweise Updates nicht ordnungsgemäß anwenden oder Sicherungen durchführen.

Überprüfen fehlender Dienstprinzipale

Führen Sie die folgenden Schritte aus, um zu überprüfen, welcher Dienstprinzipal fehlt und neu erstellt werden muss:

  1. Suchen Sie im Microsoft Entra Admin Center nach der Option Unternehmensanwendungen, und wählen Sie sie aus. Wählen Sie im Dropdownmenü Anwendungstyp die Option Alle Anwendungen und dann Anwenden aus.

  2. Suchen Sie nach den folgenden Anwendungs-IDs. Suchen Sie für Azure Global nach dem AppId-Wert 2565bd9d-da50-47d4-8b85-4c97f669dc36. Suchen Sie für andere Azure-Clouds nach AppId-Wert 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Wenn keine vorhandene Anwendung gefunden wird, führen Sie die Lösungsschritte aus, um den Dienstprinzipal zu erstellen oder den Namespace erneut zu registrieren.

    Anwendungs-ID Lösung
    2565bd9d-da50-47d4-8b85-4c97f669dc36 Fehlenden Dienstprinzipal neu erstellen
    443155a6-77f3-45e3-882b-22b3a8d431fb Neuregistrieren des Microsoft.AAD-Namespace
    abba844e-bc0e-44b0-947a-dc74e5d09022 Neuregistrieren des Microsoft.AAD-Namespace
    d87dcbc6-a371-462e-88e3-28ad15ec4e64 Neuregistrieren des Microsoft.AAD-Namespace

Neuerstellen eines fehlenden Dienstprinzipals

Wenn die Anwendungs-ID 2565bd9d-da50-47d4-8b85-4c97f669dc36 in Ihrem Microsoft Entra-Verzeichnis in Azure Global fehlt, verwenden Sie Microsoft Graph PowerShell, um die folgenden Schritte auszuführen. Verwenden Sie für andere Azure-Clouds den AppId-Wert 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

  1. Installieren Sie bei Bedarf das Microsoft Graph PowerShell-Modul, und importieren Sie es wie folgt:

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. Erstellen Sie nun den Dienstprinzipal mithilfe des Cmdlets [New-MgServicePrincipal][/powershell/module/microsoft.graph.applications/new-mgserviceprincipal] neu:

    New-MgServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
    

Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.

Neuregistrieren des Microsoft Entra-Namespace

Wenn die Anwendungs-ID 443155a6-77f3-45e3-882b-22b3a8d431fboder d87dcbc6-a371-462e-88e3-28ad15ec4e64 abba844e-bc0e-44b0-947a-dc74e5d09022ihr Microsoft Entra-Verzeichnis fehlt, führen Sie die folgenden Schritte aus, um den Microsoft.AAD Ressourcenanbieter für Ihr Azure-Abonnement neu zu registrieren:

  1. Suchen Sie im Azure-Portal nach dem Eintrag Abonnements, und wählen Sie ihn aus.
  2. Wählen Sie das Abonnement aus, das Ihrer verwalteten Domäne zugeordnet ist.
  3. Erweitern Sie in der linken Navigationsleiste "Einstellungen", und wählen Sie dann "Ressourcenanbieter" aus.
  4. Suchen Sie nach Microsoft.AAD, und wählen Sie dann Erneut registrieren aus.

Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.

Warnung AADDS105: Kennwortsynchronisierungsanwendung ist veraltet

Warnmeldung

Der Dienstprinzipal mit der Anwendungs-ID „d87dcbc6-a371-462e-88e3-28ad15ec4e64“ wurde gelöscht und dann neu erstellt. Die Wiederherstellung hinterlässt inkonsistente Berechtigungen für Microsoft Entra Domain Services-Ressourcen, die für Ihre verwaltete Domäne benötigt werden. Die Synchronisierung von Kennwörtern in Ihrer verwalteten Domäne kann beeinträchtigt werden.

Domain Services synchronisiert Benutzerkonten und Anmeldeinformationen automatisch aus Microsoft Entra ID. Wenn ein Problem mit der für diesen Prozess verwendeten Microsoft Entra Anwendung auftritt, schlägt die Synchronisierung von Anmeldeinformationen zwischen Domänendiensten und Microsoft Entra ID fehl.

Lösung

Zum erneuten Erstellen der Microsoft Entra-Anwendung, die für die Synchronisierung von Anmeldeinformationen verwendet wird, führen Sie mithilfe von Microsoft Graph PowerShell die folgenden Schritte aus. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.

  1. Installieren Sie bei Bedarf das Microsoft Graph PowerShell-Modul, und importieren Sie es wie folgt:

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. Löschen Sie jetzt die alte Anwendung und das Objekt mit den folgenden PowerShell-Cmdlets:

    $app = Get-MgApplication | Where-Object { $_.IdentifierUris -eq 'https://sync.aaddc.activedirectory.windowsazure.com' }
    Remove-MgApplication -ApplicationId $app.Id
    $sp = Get-MgServicePrincipal -Filter "DisplayName eq 'Azure AD Domain Services Sync'"
    Remove-MgServicePrincipal -ServicePrincipalId $sp.Id
    

Nachdem Sie beide Anwendungen gelöscht haben, erstellt die Azure-Plattform diese automatisch neu und versucht, die Kennwortsynchronisierung fortzusetzen. Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.

Nächste Schritte

Falls weiterhin Probleme auftreten, öffnen Sie eine Azure-Supportanfrage, um weitere Hilfe bei der Problembehandlung zu erhalten.