Problèmes connus : alertes et résolutions courantes dans Microsoft Entra Domain Services

En tant qu’élément central de l’identité et de l’authentification des applications, Microsoft Entra Domain Services rencontre parfois des problèmes. Si vous rencontrez des problèmes, les alertes courantes et les étapes de dépannage associées sont là pour vous aider à rétablir le service. De même, vous pouvez à tout moment faire une demande de support Azure pour obtenir de l’aide.

Cet article fournit des informations de résolution des problèmes pour les alertes courantes dans Domain Services.

AADDS100 : Annuaire manquant

Message d’alerte

Le répertoire Microsoft Entra associé à votre domaine managé a peut-être été supprimé. Le domaine géré n’est plus dans une configuration prise en charge. Microsoft ne peut pas surveiller, gérer, mettre à jour et synchroniser votre domaine géré.

Résolution

Cette erreur est généralement provoquée lorsqu’un abonnement Azure est déplacé vers un nouveau répertoire Microsoft Entra et que l’ancien répertoire Microsoft Entra associé à Domain Services est supprimé.

Cette erreur est irrécupérable. Pour résoudre l’alerte, supprimez votre domaine managé, puis recréez-le dans votre nouveau répertoire. Si vous ne parvenez pas à supprimer le domaine managé, ouvrez une demande de support Azure pour obtenir de l’aide supplémentaire sur la résolution des problèmes.

AADDS101 : Azure AD B2C est en cours d’exécution dans cet annuaire

Message d’alerte

Microsoft Entra Domain Services ne peut pas être activé dans un répertoire Azure AD B2C.

Résolution

Domain Services se synchronise automatiquement avec un répertoire Microsoft Entra. Si le répertoire Microsoft Entra est configuré pour B2C, Domain Services ne peut pas être déployé et synchronisé.

Pour utiliser Domain Services, vous devez recréer votre domaine managé dans un répertoire non-Azure AD B2C en procédant comme suit :

1. Supprimez le domaine managé de votre répertoire Microsoft Entra existant.
2. Créez un répertoire Microsoft Entra qui n’est pas un répertoire Azure AD B2C.
3. Créez un domaine managé de remplacement.

L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

AADDS103 : L’adresse est dans une plage d’adresses IP publiques

Message d’alerte

La plage d’adresses IP du réseau virtuel dans laquelle vous avez activé Microsoft Entra Domain Services se trouve dans une plage d’adresses IP publiques. Microsoft Entra Domain Services doit être activé dans un réseau virtuel avec une plage d’adresses IP privées. Cette configuration affecte la capacité de Microsoft à surveiller, gérer, mettre à jour et synchroniser votre domaine managé.

Résolution

Avant de commencer, assurez-vous de bien comprendre les espaces d’adressage privé IP v4.

À l’intérieur d’un réseau virtuel, les machines virtuelles peuvent effectuer des requêtes sur les ressources Azure qui se trouvent dans la même plage d’adresses IP que celles configurées pour le sous-réseau. Si vous configurez une plage d’adresses IP publiques pour un sous-réseau, les demandes routées au sein d’un réseau virtuel peuvent ne pas atteindre les ressources web prévues. Cette configuration peut entraîner des erreurs imprévisibles avec Domain Services.

Remarque

Si vous êtes propriétaire de la plage d’adresses IP dans l’Internet configuré sur votre réseau virtuel, vous pouvez ignorer cette alerte. Toutefois, Microsoft Entra Domain Services ne peut pas s’engager sur le contrat SLA avec cette configuration, car il peut entraîner des erreurs imprévisibles.

Pour résoudre cette alerte, supprimez votre domaine managé existant et recréez-le sur un réseau virtuel avec une plage d’adresses IP privées. Ce processus entraîne des perturbations, car le domaine managé est indisponible, et toutes les ressources personnalisées que vous avez créées, comme les unités d’organisation ou les comptes de service, sont perdues.

1. Supprimez le domaine managé de votre annuaire.
2. Pour mettre à jour la plage d’adresses IP du réseau virtuel, recherchez et sélectionnez Réseau virtuel dans le centre d’administration Microsoft Entra. Sélectionnez le réseau virtuel pour Domain Services dont la plage d’adresses IP publique est incorrectement définie.
3. Sous Paramètres, sélectionnez Espace d’adressage.
4. Mettez à jour la plage d’adresses en sélectionnant la plage d’adresses existante et en la modifiant, ou en ajoutant une plage d’adresses. Vérifiez que la nouvelle plage d’adresses est dans une plage d’adresses IP privées. Quand vous êtes prêt, Enregistrez les modifications.
5. Sélectionnez Sous-réseaux dans la navigation de gauche.
6. Choisissez le sous-réseau que vous souhaitez modifier ou créez un autre sous-réseau.
7. Mettez à jour ou spécifiez une plage d’adresses IP privées, puis Enregistrez vos modifications.
8. Créez un domaine managé de remplacement. Veillez à sélectionner le sous-réseau de réseau virtuel mis à jour avec une plage d’adresses IP privées.

L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

AADDS106 : Votre abonnement Azure est introuvable

Message d’alerte

Votre abonnement Azure associé à votre domaine managé a été supprimé. Microsoft Entra Domain Services nécessite un abonnement actif pour continuer à fonctionner correctement.

Résolution

Domain Services nécessite un abonnement actif et ne peut pas être déplacé vers un autre abonnement. Si l’abonnement Azure auquel le domaine managé a été associé est supprimé, vous devez recréer un abonnement Azure et un domaine managé.

1. Créez un abonnement Azure.
2. Supprimez le domaine managé de votre répertoire Microsoft Entra existant.
3. Créez un domaine managé de remplacement.

AADDS107 : Votre abonnement Azure est désactivé

Message d’alerte

Votre abonnement Azure associé à votre domaine managé n’est pas actif. Microsoft Entra Domain Services nécessite un abonnement actif pour continuer à fonctionner correctement.

Résolution

Domain Services nécessite un abonnement actif. Si l’abonnement Azure auquel le domaine managé était associé n’est pas actif, vous devez le renouveler pour réactiver l’abonnement.

1. Renouvelez votre abonnement Azure.
2. Une fois l’abonnement renouvelé, une notification Domain Services vous permet de réactiver le domaine managé.

Quand le domaine managé est réactivé, l’intégrité du domaine managé se met automatiquement à jour dans les deux heures et l’alerte est supprimée.

AADDS108 : Annuaires déplacés d’abonnements

Message d’alerte

L’abonnement utilisé par Microsoft Entra Domain Services a été déplacé vers un autre répertoire. Microsoft Entra Domain Services doit disposer d’un abonnement actif dans le même annuaire pour fonctionner correctement.

Résolution

Domain Services nécessite un abonnement actif et ne peut pas être déplacé vers un autre abonnement. Si l’abonnement Azure auquel le domaine managé était associé est déplacé, replacez l’abonnement dans l’annuaire précédent, ou supprimez votre domaine managé de l’annuaire existant et créez un domaine managé de remplacement dans l’abonnement choisi.

AADDS109 : Les ressources pour votre domaine managé sont introuvables

Message d’alerte

Une ressource utilisée pour votre domaine managé a été supprimée. Cette ressource est nécessaire pour que Microsoft Entra Domain Services fonctionne correctement.

Résolution

Domain Services crée des ressources pour fonctionner correctement, telles que les adresses IP publiques, les interfaces réseau virtuelles et un Load Balancer. Si l’une de ces ressources est supprimée, le domaine managé est dans un état non pris en charge et il ne peut pas être géré. Pour plus d’informations sur ces ressources, consultez Ressources réseau utilisées par Domain Services.

Cette alerte est générée quand l’une de ces ressources requises est supprimée. Si la ressource a été supprimée il y a moins de quatre heures, il est possible que la plateforme Azure puisse la recréer automatiquement. Les étapes suivantes décrivent comment vérifier l’état d’intégrité et l’horodatage pour la suppression des ressources :

1. Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Services de domaine. Choisissez votre domaine managé, par exemple aaddscontoso.com.

2. Dans le volet de navigation gauche, sélectionnez Intégrité.

3. Dans la page d’intégrité, sélectionnez l’alerte avec l’ID AADDS109.

4. L’alerte a un horodatage correspondant au moment où elle a été initialement détectée. Si cet horodatage est inférieur à quatre heures, la plateforme Azure peut être en mesure de recréer automatiquement la ressource et de résoudre l’alerte par elle-même.

   Il peut arriver, pour différentes raisons, que l’alerte date de plus de quatre heures. Si c’est le cas, vous pouvez supprimer le domaine managé, puis créer un domaine managé de remplacement afin d’appliquer une correction immédiate, ou vous pouvez ouvrir une demande de support pour corriger l’instance. Selon la nature du problème, le support peut avoir besoin de faire une restauration à partir d’une sauvegarde.

AADDS110 : Le sous-réseau associé à votre domaine managé est plein

Message d’alerte

Le sous-réseau sélectionné pour le déploiement de Microsoft Entra Domain Services est plein et n’a pas d’espace pour le contrôleur de domaine supplémentaire qui doit être créé.

Résolution

Le sous-réseau de réseau virtuel pour Domain Services a besoin d’adresses IP suffisantes pour les ressources créées automatiquement. Cet espace d’adressage IP inclut la nécessité de créer des ressources de remplacement en cas d’événement de maintenance. Pour réduire le risque d’épuisement des adresses IP disponibles, ne déployez pas d’autres ressources, telles que vos propres machines virtuelles, dans le même sous-réseau de réseau virtuel que le domaine managé.

Cette erreur est irrécupérable. Pour résoudre l’alerte, supprimez votre domaine managé existant, puis recréez-le. Si vous ne parvenez pas à supprimer le domaine managé, ouvrez une demande de support Azure pour obtenir de l’aide supplémentaire.

AADDS111 : Principal du service non autorisé

Message d’alerte

Un principal de service utilisé par Microsoft Entra Domain Services pour traiter votre domaine n’est pas autorisé à gérer les ressources sur l’abonnement Azure. Le principal du service doit obtenir les autorisations nécessaires pour gérer votre domaine managé.

Résolution

Certains principaux de service générés automatiquement sont utilisés afin de gérer et de créer des ressources pour un domaine managé. Si les autorisations d’accès pour l’un de ces principaux de service sont modifiées, le domaine ne pourra pas gérer correctement les ressources. Les étapes suivantes montrent comment comprendre et accorder des autorisations d’accès à un principal de service :

1. Apprenez-en davantage sur le contrôle d’accès en fonction du rôle Azure et sur la façon d’accorder un accès aux applications dans le centre d’administration Microsoft Entra.
2. Passez en revue l’accès dont dispose le principal de service avec l’ID abba844e-bc0e-44b0-947a-dc74e5d09022 et accordez l’accès qui a été refusé précédemment.

AADDS112 : Nombre insuffisant d’adresses IP dans le domaine managé

Message d’alerte

Nous avons détecté que le sous-réseau du réseau virtuel dans ce domaine n’a peut-être pas suffisamment d’adresses IP. Microsoft Entra Domain Services a besoin d’au moins deux adresses IP disponibles dans le sous-réseau dans lequel il est activé. Nous vous recommandons d’avoir au moins 3 à 5 adresses IP auxiliaires au sein de ce sous-réseau. Cela peut se produire si d’autres machines virtuelles sont déployées au sein du sous-réseau, épuisant ainsi le nombre d’adresses IP disponibles, ou s’il existe une restriction sur le nombre d’adresses IP disponibles dans le sous-réseau.

Résolution

Le sous-réseau de réseau virtuel pour Domain Services a besoin d’adresses IP suffisantes pour les ressources créées automatiquement. Cet espace d’adressage IP inclut la nécessité de créer des ressources de remplacement en cas d’événement de maintenance. Pour réduire le risque d’épuisement des adresses IP disponibles, ne déployez pas d’autres ressources, telles que vos propres machines virtuelles, dans le même sous-réseau de réseau virtuel que le domaine managé.

Pour résoudre cette alerte, supprimez votre domaine managé existant et recréez-le sur un réseau virtuel avec une plage d’adresses IP suffisamment grande. Ce processus entraîne des perturbations, car le domaine managé est indisponible, et toutes les ressources personnalisées que vous avez créées, comme les unités d’organisation ou les comptes de service, sont perdues.

1. Supprimez le domaine managé de votre annuaire.
2. Pour mettre à jour la plage d’adresses IP du réseau virtuel, recherchez et sélectionnez Réseau virtuel dans le centre d’administration Microsoft Entra. Sélectionnez le réseau virtuel du domaine managé qui a la petite plage d’adresses IP.
3. Sous Paramètres, sélectionnez Espace d’adressage.
4. Mettez à jour la plage d’adresses en choisissant la plage d’adresses existante et en la modifiant, ou en ajoutant une autre plage d’adresses. Vérifiez que la nouvelle plage d’adresses IP est suffisamment grande pour la plage de sous-réseau du domaine managé. Quand vous êtes prêt, Enregistrez les modifications.
5. Sélectionnez Sous-réseaux dans la navigation de gauche.
6. Choisissez le sous-réseau que vous souhaitez modifier ou créez un autre sous-réseau.
7. Mettez à jour ou spécifiez une plage d’adresses IP suffisamment grande, puis Enregistrez vos modifications.
8. Créez un domaine managé de remplacement. Veillez à sélectionner le sous-réseau de réseau virtuel mis à jour avec une plage d’adresses IP suffisamment importante.

L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

AADDS113 : Des ressources sont irrécupérables

Message d’alerte

Les ressources utilisées par Microsoft Entra Domain Services ont été détectées dans un état inattendu et ne peuvent pas être récupérées.

Résolution

Domain Services crée des ressources pour fonctionner correctement, telles que les adresses IP publiques, les interfaces réseau virtuelles et un Load Balancer. Si l’une de ces ressources est modifiée, le domaine managé est dans un état non pris en charge et il ne peut pas être géré. Pour plus d’informations sur ces ressources, consultez Ressources réseau utilisées par Domain Services.

Cette alerte est générée lorsque l’une de ces ressources requises est modifiée et ne peut pas être récupérée automatiquement par Domain Services. Pour résoudre l’alerte, ouvrez une demande de support Azure pour corriger l’instance.

AADDS114 : Sous-réseau non valide

Message d’alerte

Le sous-réseau sélectionné pour le déploiement de Microsoft Entra Domain Services n’est pas valide et ne peut pas être utilisé.

Résolution

Cette erreur est irrécupérable. Pour résoudre l’alerte, supprimez votre domaine managé existant, puis recréez-le. Si vous ne parvenez pas à supprimer le domaine managé, ouvrez une demande de support Azure pour obtenir de l’aide supplémentaire.

AADDS115 : Des ressources sont verrouillées

Message d’alerte

Il est impossible d’opérer sur une ou plusieurs des ressources réseau utilisées par le domaine managé, car l’étendue cible a été verrouillée.

Résolution

Les verrous de ressources peuvent être appliqués aux ressources Azure pour en empêcher la modification ou la suppression. Comme Domain Services est un service managé, la plateforme Azure a besoin de la possibilité d’apporter des modifications de configuration. Si un verrou de ressource est appliqué à certains des composants Domain Services, la plateforme Azure ne peut pas effectuer ses tâches de gestion.

Pour rechercher les verrous de ressources sur les composants Domain Services et les supprimer, procédez comme suit :

1. Pour chacun des composants réseau du domaine managé de votre groupe de ressources (par exemple, réseau virtuel, carte réseau ou adresse IP publique), consultez les journaux des opérations sur le centre d’administration Microsoft Entra. Ces journaux des opérations doivent indiquer la raison pour laquelle une opération échoue et où un verrou de ressource est appliqué.
2. Sélectionnez la ressource où un verrou est appliqué puis, sous Verrous, sélectionnez et supprimez le ou les verrous.

AADDS116 : Des ressources sont inutilisables

Message d’alerte

En raison d’une ou de plusieurs restrictions de stratégie, il est impossible d’opérer sur une ou plusieurs des ressources réseau utilisées par le domaine managé.

Résolution

Les stratégies sont appliquées aux ressources et aux groupes de ressources Azure qui contrôlent les actions de configuration autorisées. Comme Domain Services est un service managé, la plateforme Azure a besoin de la possibilité d’apporter des modifications de configuration. Si une stratégie est appliquée à certains des composants Domain Services, la plateforme Azure peut ne pas être en mesure d’effectuer ses tâches de gestion.

Pour rechercher les stratégies appliquées sur les composants Domain Services et les mettre à jour, procédez comme suit :

1. Pour chacun des composants réseau du domaine managé de votre groupe de ressources (par exemple, réseau virtuel, carte NIC ou adresse IP publique), consultez les journaux des opérations sur le centre d’administration Microsoft Entra. Ces journaux des opérations doivent indiquer la raison pour laquelle une opération échoue et où une stratégie restrictive est appliquée.
2. Sélectionnez la ressource où une stratégie est appliquée puis, sous Stratégies, sélectionnez et modifiez la stratégie pour qu’elle soit moins restrictive.

AADDS120 : le domaine managé a rencontré une erreur lors de l’intégration d’un ou plusieurs attributs personnalisés

Message d’alerte

Les propriétés d’extension Microsoft Entra suivantes n’ont pas été correctement intégrées en tant qu’attribut personnalisé pour la synchronisation. Cela peut se produire si une propriété est en conflit avec le schéma intégré : [extensions]

Résolution

Avertissement

Si le LDAPName d’un attribut personnalisé est en conflit avec un attribut de schéma intégré AD existant, il ne peut pas être intégré et entraîne une erreur. Contactez le Support Microsoft si votre scénario est bloqué. Pour plus d’informations, consultez Intégration d’attributs personnalisés.

Passez en revue l’alerte Domain Service Health et consultez les propriétés d’extension Microsoft Entra qui n’ont pas pu être intégrées correctement. Accédez à la page Attributs personnalisés pour rechercher le nom LDAP Domain Services attendu de l’extension. Veillez à ce que LDAPName ne soit pas en conflit avec un autre attribut de schéma AD ou qu’il s’agit de l’un des attributs AD intégrés autorisés.

Suivez ensuite cette procédure pour réessayer d’intégrer l’attribut personnalisé dans la page Attributs personnalisés :

1. Sélectionnez les attributs ayant échoué, puis cliquez sur Supprimer et Enregistrer.
2. Attendez la suppression de l’alerte d’intégrité ou vérifiez que les attributs correspondants ont été supprimés de l’unité d’organisation AADDSCustomAttributes d’une machine virtuelle jointe à un domaine.
3. Sélectionnez Ajouter, puis choisissez à nouveau les attributs souhaités, puis cliquez sur Enregistrer.

Une fois l’intégration réussie, Domain Services renvoie les utilisateurs et les groupes synchronisés avec les valeurs d’attribut personnalisées intégrées. Les valeurs d’attribut personnalisées s’affichent progressivement, en fonction de la taille du locataire. Pour vérifier l’état de renvoi, accédez à Domain Services Health et vérifiez que l’horodatage de surveillance Synchronisation avec Microsoft Entra ID a été mis à jour au cours de la dernière heure.

AADDS500 : La synchronisation ne parvient pas à se terminer depuis un certain temps

Message d’alerte

Le domaine managé a été synchronisé pour la dernière fois avec Microsoft Entra ID le [date]. Les utilisateurs sont peut-être dans l’impossibilité de se connecter au domaine managé, ou les appartenances aux groupes ne sont peut-être pas synchronisées avec Azure AD.

Résolution

Vérifiez l’intégrité de Domain Services pour toutes les alertes qui indiquent des problèmes dans la configuration du domaine managé. Les problèmes de configuration réseau peuvent bloquer la synchronisation à partir de Microsoft Entra ID. Si vous êtes en mesure de résoudre les alertes qui indiquent un problème de configuration, attendez deux heures, puis vérifiez à nouveau si la synchronisation s’est terminée avec succès.

Voici quelques raisons courantes qui provoquent l’arrêt de la synchronisation dans un domaine managé :

• La connectivité réseau requise est bloquée. Pour en savoir plus sur la façon de vérifier le réseau virtuel Azure pour les problèmes et ce qui est nécessaire, consultez Résoudre les problèmes de groupes de sécurité réseau et Configuration réseau requise pour Domain Services.
• La synchronisation de mot de passe n’a pas été configurée ou ne s’est pas terminée avec succès quand le domaine managé a été déployé. Vous pouvez configurer la synchronisation de mot de passe pour les utilisateurs du cloud uniquement ou pour les utilisateurs hybrides locaux.

AADDS501 : Il n’y a pas eu de sauvegarde depuis un certain temps

Message d’alerte

La dernière sauvegarde du domaine managé a eu lieu le [date].

Résolution

Vérifiez l’intégrité de Domain Services pour les alertes qui indiquent des problèmes dans la configuration du domaine managé. Les problèmes liés à la configuration réseau peuvent empêcher la plateforme Azure d’effectuer des sauvegardes. Si vous êtes en mesure de résoudre les alertes qui indiquent un problème de configuration, attendez deux heures, puis vérifiez à nouveau si la synchronisation s’est terminée avec succès.

AADDS503 : Suspension en raison de l’abonnement désactivé

Message d’alerte

Le domaine managé est suspendu, car l’abonnement Azure associé au domaine n’est pas actif.

Résolution

Avertissement

Si un domaine managé est suspendu pendant une période prolongée, il y a un risque qu’il soit supprimé. Résolvez le motif de suspension le plus rapidement possible. Pour plus d’informations, consultez Comprendre les états suspendus pour Domain Services.

Domain Services nécessite un abonnement actif. Si l’abonnement Azure auquel le domaine managé était associé n’est pas actif, vous devez le renouveler pour réactiver l’abonnement.

1. Renouvelez votre abonnement Azure.
2. Une fois l’abonnement renouvelé, une notification Domain Services vous permet de réactiver le domaine managé.

Quand le domaine managé est réactivé, l’intégrité du domaine managé se met automatiquement à jour dans les deux heures et l’alerte est supprimée.

AADDS504 : Suspension en raison d’une configuration non valide

Message d’alerte

Le domaine managé est suspendu en raison d’une configuration non valide. Le service n’a pas pu gérer, corriger ou mettre à jour les contrôleurs du domaine managé depuis un certain temps.

Résolution

Avertissement

Si un domaine managé est suspendu pendant une période prolongée, il y a un risque qu’il soit supprimé. Résolvez le motif de suspension le plus rapidement possible. Pour plus d’informations, consultez Comprendre les états suspendus pour Domain Services.

Vérifiez l’intégrité de Domain Services pour les alertes qui indiquent des problèmes dans la configuration du domaine managé. Si vous êtes en mesure de résoudre les alertes qui indiquent un problème de configuration, attendez deux heures, puis vérifiez de nouveau que la synchronisation est terminée. Quand vous êtes prêt, créez une demande de support Azure pour réactiver le domaine managé.

AADDS600 : alertes d’intégrité non résolues pendant 30 jours

Message de l'alerte

Microsoft ne peut pas gérer les contrôleurs de domaine de ce domaine géré en raison d’alertes d’intégrité non résolues [ID]. Cela bloque les mises à jour de sécurité critiques ainsi qu’une migration planifiée vers Windows Server 2019 pour ces contrôleurs de domaine. Suivez les étapes de l’alerte pour résoudre le problème. L’échec de la résolution de ce problème dans les 30 jours entraînera la suspension du domaine managé.

Résolution

Avertissement

Si un domaine managé est suspendu pendant une période prolongée, il y a un risque qu’il soit supprimé. Résolvez le motif de suspension le plus rapidement possible. Pour plus d’informations, consultez Comprendre les états suspendus pour Domain Services.

Vérifiez l’intégrité de Domain Services pour les alertes qui indiquent des problèmes dans la configuration du domaine managé. Si vous parvenez à résoudre les alertes indiquant un problème de configuration, attendez six heures et vérifiez à nouveau si l’alerte a été supprimée. Ouvrez une demande de support Azure si vous avez besoin d’aide.

Étapes suivantes

Si vous rencontrez encore des problèmes, ouvrez une demande de support Azure pour avoir de l’aide supplémentaire.