Erreurs courantes et étapes de dépannage pour Microsoft Entra Domain Services
En tant qu’élément central de l’identité et de l’authentification des applications, Microsoft Entra Domain Services rencontre parfois des problèmes. Si cela vous arrive, les messages d’erreur courants et les étapes de dépannage associées sont là pour vous aider à rétablir le service. De même, vous pouvez à tout moment faire une demande de support Azure pour obtenir de l’aide.
Cet article indique les étapes à suivre pour résoudre les problèmes courants dans Domain Services.
Vous ne pouvez pas activer Microsoft Entra Domain Services pour votre répertoire Microsoft Entra
Si vous avez des problèmes pour activer Domain Services, passez en revue les erreurs courantes suivantes et les étapes à suivre pour les résoudre :
| Exemple de message d’erreur | Résolution : |
|---|---|
| Le nom aaddscontoso.com est déjà utilisé sur ce réseau. Spécifiez un nom qui n’est pas utilisé. | Conflit de nom de domaine dans le réseau virtuel |
| Les services de domaine n’ont pas pu être activés pour ce locataire Microsoft Entra. Le service ne dispose pas des autorisations appropriées sur l’application appelée Microsoft Entra Domain Services Sync. Supprimez l’application appelée « Microsoft Entra Domain Services Sync », puis essayez d’activer Domain Services pour votre locataire Microsoft Entra. | L’application Domain Services ne dispose pas des autorisations adéquates pour l’application de synchronisation de Microsoft Entra Domain Services |
| Les services de domaine n’ont pas pu être activés pour ce locataire Microsoft Entra. L’application Domain Services dans votre locataire Microsoft Entra n’a pas les autorisations requises pour activer Domain Services. Supprimez l’application avec l’identificateur d’application d87dcbc6-a371-462e-88e3-28ad15ec4e64 et essayez ensuite d’activer Domain Services pour votre locataire Microsoft Entra. | L’application Domain Services n’est pas configurée correctement dans votre locataire Microsoft Entra |
| Les services de domaine n’ont pas pu être activés pour ce locataire Microsoft Entra. L’application Microsoft Entra est désactivée dans votre locataire Microsoft Entra. Activez l’application avec l’identificateur d’application 00000002-0000-0000-c000-000000000000 et essayez ensuite d’activer Domain Services pour votre locataire Microsoft Entra. | L’application Microsoft Graph est désactivée dans votre locataire Microsoft Entra |
Conflit de nom de domaine
Message d’erreur
Le nom aaddscontoso.com est déjà utilisé sur ce réseau. Spécifiez un nom qui n’est pas utilisé.
Résolution :
Vérifiez que vous n’avez pas d’environnement AD DS existant avec le même nom de domaine sur le même réseau virtuel ou sur un réseau virtuel appairé. Par exemple, si vous disposez d’un domaine AD DS nommé aaddscontoso.com qui s’exécute sur des machines virtuelles Azure. Quand vous essayez d’activer un domaine managé Domain Services avec le même nom de domaine aaddscontoso.com sur le réseau virtuel, l’opération demandée échoue.
Cet échec est dû à des conflits de noms pour le nom de domaine sur le réseau virtuel. Une recherche DNS vérifie si un environnement AD DS existant répond au nom de domaine demandé. Pour résoudre cet échec, utilisez un nom différent pour configurer votre domaine managé, ou déprovisionnez le domaine AD DS, puis réessayez d’activer Domain Services.
Autorisations inappropriées
Message d’erreur
Les services de domaine n’ont pas pu être activés pour ce locataire Microsoft Entra. Le service ne dispose pas des autorisations appropriées sur l’application appelée Microsoft Entra Domain Services Sync. Supprimez l’application appelée « Microsoft Entra Domain Services Sync », puis essayez d’activer Domain Services pour votre locataire Microsoft Entra.
Résolution
Vérifiez s’il existe une application nommée Synchronisation Microsoft Entra Domain Services dans votre répertoire Microsoft Entra. Si cette application existe, supprimez-la, puis réessayez d’activer Domain Services. Pour rechercher une application existante et la supprimer si nécessaire, effectuez les étapes suivantes :
- Dans le centre d'administration Microsoft Entra, sélectionnez Microsoft Entra ID dans le menu de navigation de gauche.
- Sélectionnez Applications d’entreprise. Choisissez Toutes les application dans le menu déroulant Type d’application, puis sélectionnez Appliquer.
- Dans la zone de recherche, entrez Synchronisation Microsoft Entra Domain Services. Si l’application existe, sélectionnez-la et choisissez Supprimer.
- Une fois que vous avez supprimé l’application, réessayez d’activer Domain Services.
Configuration non valide
Message d’erreur
Les services de domaine n’ont pas pu être activés pour ce locataire Microsoft Entra. L’application Domain Services dans votre locataire Microsoft Entra n’a pas les autorisations requises pour activer Domain Services. Supprimez l’application avec l’identificateur d’application d87dcbc6-a371-462e-88e3-28ad15ec4e64 et essayez ensuite d’activer Domain Services pour votre locataire Microsoft Entra.
Résolution
Vérifiez si votre répertoire Microsoft Entra contient une application nommée AzureActiveDirectoryDomainControllerServices avec l’identificateur d’application d87dcbc6-a371-462e-88e3-28ad15ec4e64. Si cette application existe, supprimez-la, puis réessayez d’activer Domain Services.
Utilisez le script PowerShell suivant pour rechercher une instance d’application existante et la supprimer si nécessaire :
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph désactivé
Message d’erreur
Les services de domaine n’ont pas pu être activés pour ce locataire Microsoft Entra. L’application Microsoft Entra est désactivée dans votre locataire Microsoft Entra. Activez l’application avec l’identificateur d’application 00000002-0000-0000-c000-000000000000 et essayez ensuite d’activer Domain Services pour votre locataire Microsoft Entra.
Résolution
Vérifiez si vous avez désactivé une application associée à l’identificateur 00000002-0000-0000-c000-000000000000. Cette application est l’application Microsoft Entra et fournit l’accès de l’API Graph à votre locataire Microsoft Entra. Pour synchroniser votre locataire Microsoft Entra, cette application doit être activée.
Pour vérifier l’état de cette application existante et l’activer si nécessaire, effectuez les étapes suivantes :
- Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Applications d'entreprise.
- Choisissez Toutes les application dans le menu déroulant Type d’application, puis sélectionnez Appliquer.
- Dans la zone de recherche, entrez 00000002-0000-0000-c000-00000000000. Sélectionnez l’application, puis choisissez Propriétés.
- Si Activé pour que les utilisateurs se connectent est défini sur Non, définissez la valeur sur Oui, puis sélectionnez Enregistrer.
- Une fois que vous avez activé l’application, réessayez d’activer Domain Services.
Les utilisateurs sont incapables de se connecter au domaine managé Microsoft Entra Domain Services
Si des utilisateurs de votre locataire Microsoft Entra Domain Services ne peuvent pas se connecter au domaine managé, effectuez les étapes de dépannage suivantes :
Format d’informations d’identification – Essayez d’utiliser le format UPN pour spécifier les informations d’identification, par exemple
dee@aaddscontoso.onmicrosoft.com. Le format UPN est la méthode recommandée pour spécifier les informations d’identification dans Domain Services. Vérifiez que cet UPN est correctement configuré dans Microsoft Entra ID.La valeur SAMAccountName de votre compte, par exemple AADDSCONTOSO\driley, peut être générée automatiquement s’il existe plusieurs utilisateurs avec le même préfixe UPN dans votre locataire ou si votre préfixe UPN est trop long. Par conséquent, le format SAMAccountName de votre compte peut être différent de ce que vous attendiez ou de celui que vous utilisez dans votre domaine local.
Synchronisation de mot de passe : veillez à activer la synchronisation de mot de passe pour les utilisateurs cloud uniquement ou pour les environnements hybrides utilisant Microsoft Entra Connect.
Comptes synchronisés hybrides : si les comptes d’utilisateurs affectés sont synchronisés à partir d’un annuaire local, vérifiez les éléments suivants :
Vous avez déployé la dernière version recommandée de Microsoft Entra Connect ou procédé à une mise à jour vers cette version.
Vous avez configuré Microsoft Entra Connect pour effectuer une synchronisation complète.
Selon la taille de votre répertoire, la mise à disposition des comptes d’utilisateurs et des hachages d’informations d’identification dans le domaine managé peut prendre un certain temps. Veillez à attendre suffisamment longtemps avant d’essayer de vous authentifier pour le domaine managé.
Si le problème persiste après la vérification des étapes précédentes, essayez de redémarrer Azure AD Sync Services. À partir de votre serveur Microsoft Entra Connect, ouvrez une invite de commandes et exécutez les commandes suivantes :
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Comptes cloud uniquement : si le compte d’utilisateur en question est un compte d’utilisateur cloud uniquement, vérifiez que l’utilisateur a changé son mot de passe après que vous avez activé Domain Services. Cette réinitialisation de mot de passe entraîne la génération des hachages d’informations d’identification nécessaires à la génération du domaine managé.
Vérifiez que le compte d’utilisateur est actif: par défaut, cinq tentatives de saisie de mot de passe non valide en 2 minutes dans le domaine managé entraînent le verrouillage d’un compte d’utilisateur pendant 30 minutes. L’utilisateur ne peut pas se connecter tant que le compte est verrouillé. Après ces 30 minutes, le compte d’utilisateur est automatiquement déverrouillé.
- Les tentatives de saisie de mot de passe non valide dans le domaine managé ne verrouillent pas le compte d’utilisateur dans Microsoft Entra ID. Le compte d’utilisateur est verrouillé uniquement dans votre domaine managé. Vérifiez l’état du compte d’utilisateur dans la console d’administration Active Directory (ADAC) en utilisant la machine virtuelle de gestion, et non dans Microsoft Entra ID.
- Vous pouvez aussi configurer des stratégies de mot de passe affinées pour modifier le seuil et la durée de verrouillage par défaut.
Comptes externes : vérifiez que le compte d’utilisateur en question n’est pas un compte externe dans le locataire Microsoft Entra. Les comptes Microsoft comme
dee@live.comou les comptes d’utilisateurs d’un répertoire Microsoft Entra externe sont des exemples de comptes externes. Domain Services ne stocke pas les informations d’identification pour les comptes d’utilisateurs externes : ils ne peuvent donc pas se connecter au domaine managé.
Il existe une ou plusieurs alertes sur votre domaine géré
La présence d’alertes actives dans le domaine managé peut empêcher le bon fonctionnement du processus d’authentification.
Pour savoir s’il existe des alertes actives, vérifiez l’état d’intégrité d’un domaine managé. Si des alertes sont présentes, résolvez les problèmes associés.
Les utilisateurs supprimés de votre locataire Microsoft Entra ne sont pas supprimés de votre domaine managé
Microsoft Entra ID protège contre la suppression accidentelle d’objets utilisateur. Quand vous supprimez un compte d’utilisateur d’un locataire Microsoft Entra, l’objet utilisateur correspondant est déplacé dans la corbeille. Lorsque cette opération de suppression est synchronisée avec votre domaine managé, le compte d’utilisateur correspondant est supprimé, car Domain Services n’a pas de corbeille.
Si le compte d’utilisateur est restauré dans le locataire, Domain Services récupère tous les liens du compte lorsqu’il synchronise la modification vers le domaine managé. Le compte d’utilisateur du domaine managé obtient un nouvel identificateur global unique (GUID) et un ID de sécurité (SID).
Étapes suivantes
Si vous rencontrez encore des problèmes, ouvrez une demande de support Azure pour obtenir de l’aide pour leur résolution.