Bekannte Probleme: Warnungen im Zusammenhang mit Domain Services in Microsoft Entra Domain Services
Dienstprinzipale sind Anwendungen, die von der Azure-Plattform zum Verwalten, Aktualisieren und Warten einer verwalteten Microsoft Entra Domain Services-Domäne verwendet werden. Wenn ein Dienstprinzipal gelöscht wird, wirkt sich dies auf die Funktionalität in der verwalteten Domäne aus.
Dieser Artikel hilft Ihnen bei der Problembehandlung und dem Auflösen von Warnungen im Zusammenhang mit der Konfiguration des Dienstprinzipals.
Warnung AADDS102: Dienstprinzipal nicht gefunden
Warnmeldung
Ein für den ordnungsgemäßen Betrieb von Microsoft Entra Domain Services erforderlicher Dienstprinzipal wurde aus Ihrem Microsoft Entra-Verzeichnis gelöscht. Diese Konfiguration wirkt sich darauf aus, wie Microsoft Ihre verwaltete Domäne überwachen, verwalten, patchen und synchronisieren kann.
Wenn ein erforderlicher Dienstprinzipal gelöscht wird, kann die Azure-Plattform keine automatischen Verwaltungsaufgaben mehr ausführen. Die verwaltete Domäne kann möglicherweise Updates nicht ordnungsgemäß anwenden oder Sicherungen durchführen.
Überprüfen fehlender Dienstprinzipale
Führen Sie die folgenden Schritte aus, um zu überprüfen, welcher Dienstprinzipal fehlt und neu erstellt werden muss:
Suchen Sie im Microsoft Entra Admin Center nach der Option Unternehmensanwendungen, und wählen Sie sie aus. Wählen Sie im Dropdownmenü Anwendungstyp die Option Alle Anwendungen und dann Anwenden aus.
Suchen Sie nach den folgenden Anwendungs-IDs. Suchen Sie für Azure Global nach dem AppId-Wert
2565bd9d-da50-47d4-8b85-4c97f669dc36
. Suchen Sie für andere Azure-Clouds nach AppId-Wert6ba9a5d4-8456-4118-b521-9c5ca10cdf84
. Wenn keine vorhandene Anwendung gefunden wird, führen Sie die Lösungsschritte aus, um den Dienstprinzipal zu erstellen oder den Namespace erneut zu registrieren.Anwendungs-ID Lösung 2565bd9d-da50-47d4-8b85-4c97f669dc36 Fehlenden Dienstprinzipal neu erstellen 443155a6-77f3-45e3-882b-22b3a8d431fb Neuregistrieren des Microsoft.AAD
-Namespaceabba844e-bc0e-44b0-947a-dc74e5d09022 Neuregistrieren des Microsoft.AAD
-Namespaced87dcbc6-a371-462e-88e3-28ad15ec4e64 Neuregistrieren des Microsoft.AAD
-Namespace
Neuerstellen eines fehlenden Dienstprinzipals
Wenn die Anwendungs-ID 2565bd9d-da50-47d4-8b85-4c97f669dc36 in Ihrem Microsoft Entra-Verzeichnis in Azure Global fehlt, verwenden Sie Microsoft Graph PowerShell, um die folgenden Schritte auszuführen. Verwenden Sie für andere Azure-Clouds den AppId-Wert 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.
Installieren Sie bei Bedarf das Microsoft Graph PowerShell-Modul, und importieren Sie es wie folgt:
Install-Module Microsoft.Graph -Scope CurrentUser
Erstellen Sie nun den Dienstprinzipal mithilfe des Cmdlets [New-MgServicePrincipal][/powershell/module/microsoft.graph.applications/new-mgserviceprincipal] neu:
New-MgServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.
Neuregistrieren des Microsoft Entra-Namespace
Wenn die Anwendungs-ID 443155a6-77f3-45e3-882b-22b3a8d431fb
oder d87dcbc6-a371-462e-88e3-28ad15ec4e64
abba844e-bc0e-44b0-947a-dc74e5d09022
ihr Microsoft Entra-Verzeichnis fehlt, führen Sie die folgenden Schritte aus, um den Microsoft.AAD
Ressourcenanbieter für Ihr Azure-Abonnement neu zu registrieren:
- Suchen Sie im Azure-Portal nach dem Eintrag Abonnements, und wählen Sie ihn aus.
- Wählen Sie das Abonnement aus, das Ihrer verwalteten Domäne zugeordnet ist.
- Erweitern Sie in der linken Navigationsleiste "Einstellungen", und wählen Sie dann "Ressourcenanbieter" aus.
- Suchen Sie nach
Microsoft.AAD
, und wählen Sie dann Erneut registrieren aus.
Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.
Warnung AADDS105: Kennwortsynchronisierungsanwendung ist veraltet
Warnmeldung
Der Dienstprinzipal mit der Anwendungs-ID „d87dcbc6-a371-462e-88e3-28ad15ec4e64“ wurde gelöscht und dann neu erstellt. Die Wiederherstellung hinterlässt inkonsistente Berechtigungen für Microsoft Entra Domain Services-Ressourcen, die für Ihre verwaltete Domäne benötigt werden. Die Synchronisierung von Kennwörtern in Ihrer verwalteten Domäne kann beeinträchtigt werden.
Domain Services synchronisiert Benutzerkonten und Anmeldeinformationen automatisch aus Microsoft Entra ID. Wenn ein Problem mit der für diesen Prozess verwendeten Microsoft Entra Anwendung auftritt, schlägt die Synchronisierung von Anmeldeinformationen zwischen Domänendiensten und Microsoft Entra ID fehl.
Lösung
Zum erneuten Erstellen der Microsoft Entra-Anwendung, die für die Synchronisierung von Anmeldeinformationen verwendet wird, führen Sie mithilfe von Microsoft Graph PowerShell die folgenden Schritte aus. Weitere Informationen finden Sie unter Installieren des Microsoft Graph PowerShell SDK.
Installieren Sie bei Bedarf das Microsoft Graph PowerShell-Modul, und importieren Sie es wie folgt:
Install-Module Microsoft.Graph -Scope CurrentUser
Löschen Sie jetzt die alte Anwendung und das Objekt mit den folgenden PowerShell-Cmdlets:
$app = Get-MgApplication | Where-Object { $_.IdentifierUris -eq 'https://sync.aaddc.activedirectory.windowsazure.com' } Remove-MgApplication -ApplicationId $app.Id $sp = Get-MgServicePrincipal -Filter "DisplayName eq 'Azure AD Domain Services Sync'" Remove-MgServicePrincipal -ServicePrincipalId $sp.Id
Nachdem Sie beide Anwendungen gelöscht haben, erstellt die Azure-Plattform diese automatisch neu und versucht, die Kennwortsynchronisierung fortzusetzen. Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.
Nächste Schritte
Falls weiterhin Probleme auftreten, öffnen Sie eine Azure-Supportanfrage, um weitere Hilfe bei der Problembehandlung zu erhalten.