Errori comuni e procedure di risoluzione dei problemi per Microsoft Entra Domain Services
Come parte centrale dell'identità e dell'autenticazione per le applicazioni, Microsoft Entra Domain Services talvolta presenta problemi. Se si verificano problemi, sono presenti alcuni messaggi di errore comuni e i passaggi di risoluzione dei problemi associati che consentono di eseguire di nuovo le operazioni. In qualsiasi momento, è anche possibile aprire una richiesta di supporto tecnico di Azure per ulteriori informazioni sulla risoluzione dei problemi.
Questo articolo illustra i passaggi per la risoluzione dei problemi comuni in Servizi di dominio.
Non è possibile abilitare Microsoft Entra Domain Services per la directory Microsoft Entra
Se si verificano problemi durante l'abilitazione di Servizi di dominio, esaminare i passaggi e gli errori comuni seguenti per risolverli:
| Messaggio di errore di esempio | Risoluzione |
|---|---|
| Il nome aaddscontoso.com è già in uso in questa rete. Specify a name that is not in use. (Il nome contoso100.com è già in uso nella rete. Specificare un nome non in uso). | Conflitto di nomi di dominio nella rete virtuale |
| Impossibile abilitare Servizi di dominio in questo tenant di Microsoft Entra. Il servizio non dispone di autorizzazioni adeguate per l'applicazione denominata Sincronizzazione servizi di dominio Microsoft Entra. Eliminare l'applicazione denominata "Microsoft Entra Domain Services Sync" e quindi provare ad abilitare Servizi di dominio per il tenant di Microsoft Entra. | Domain Services non dispone di autorizzazioni adeguate per l'applicazione di sincronizzazione di Servizi di dominio Microsoft Entra |
| Impossibile abilitare Servizi di dominio in questo tenant di Microsoft Entra. L'applicazione Domain Services nel tenant di Microsoft Entra non dispone delle autorizzazioni necessarie per abilitare Servizi di dominio. Eliminare l'applicazione con l'identificatore dell'applicazione d87dcbc6-a371-462e-88e3-28ad15ec4e64 e quindi provare ad abilitare Servizi di dominio per il tenant di Microsoft Entra. | L'applicazione Servizi di dominio non è configurata correttamente nel tenant di Microsoft Entra |
| Impossibile abilitare Servizi di dominio in questo tenant di Microsoft Entra. L'applicazione Microsoft Entra è disabilitata nel tenant di Microsoft Entra. Abilitare l'applicazione con l'identificatore dell'applicazione 00000002-0000-0000-c000000000000 e quindi provare ad abilitare Servizi di dominio per il tenant di Microsoft Entra. | L'applicazione Microsoft Graph è disabilitata nel tenant di Microsoft Entra |
Conflitto di nomi di dominio
Messaggio di errore
Il nome aaddscontoso.com è già in uso in questa rete. Specify a name that is not in use. (Il nome contoso100.com è già in uso nella rete. Specificare un nome non in uso).
Risoluzione
Verificare di non avere un ambiente di Active Directory Domain Services esistente con lo stesso nome di dominio nella stessa rete virtuale o con peering. Ad esempio, potrebbe essere disponibile un dominio di Active Directory Domain Services denominato aaddscontoso.com in esecuzione in macchine virtuali di Azure. Quando si tenta di abilitare un dominio gestito di Servizi di dominio con lo stesso nome di dominio di aaddscontoso.com nella rete virtuale, l'operazione richiesta ha esito negativo.
Questo errore è dovuto a conflitti di nomi per il nome di dominio nella rete virtuale. Una ricerca DNS controlla se un ambiente di Active Directory Domain Services esistente risponde al nome di dominio richiesto. Per risolvere questo errore, usare un nome diverso per configurare il dominio gestito o effettuare il deprovisioning del dominio di Active Directory Domain Services esistente e quindi riprovare ad abilitare Domain Services.
Autorizzazioni non adeguate
Messaggio di errore
Impossibile abilitare Servizi di dominio in questo tenant di Microsoft Entra. Il servizio non dispone di autorizzazioni adeguate per l'applicazione denominata Sincronizzazione servizi di dominio Microsoft Entra. Eliminare l'applicazione denominata "Microsoft Entra Domain Services Sync" e quindi provare ad abilitare Servizi di dominio per il tenant di Microsoft Entra.
Risoluzione
Controllare se è presente un'applicazione denominata Microsoft Entra Domain Services Sync nella directory Microsoft Entra. Se l'applicazione esiste, eliminarla, quindi riprovare ad abilitare Domain Services. Per verificare la presenza di un'applicazione esistente ed eliminarla, se necessario, completare la procedura seguente:
- Nell'interfaccia di amministrazione di Microsoft Entra selezionare Microsoft Entra ID nel menu di spostamento a sinistra.
- Selezionare Applicazioni aziendali. Scegliere Tutte le applicazioni dal menu a discesa Tipo di applicazione e quindi selezionare Applica.
- Nella casella di ricerca immettere Microsoft Entra Domain Services Sync. Se l'applicazione esiste, selezionarla e scegliere Elimina.
- Dopo aver eliminato l'applicazione, provare di nuovo ad abilitare Domain Services.
Configurazione non valida.
Messaggio di errore
Impossibile abilitare Servizi di dominio in questo tenant di Microsoft Entra. L'applicazione Domain Services nel tenant di Microsoft Entra non dispone delle autorizzazioni necessarie per abilitare Servizi di dominio. Eliminare l'applicazione con l'identificatore dell'applicazione d87dcbc6-a371-462e-88e3-28ad15ec4e64 e quindi provare ad abilitare Servizi di dominio per il tenant di Microsoft Entra.
Risoluzione
Controllare se si dispone di un'applicazione esistente denominata AzureActiveDirectoryDomainControllerServices con un identificatore dell'applicazione d87dcbc6-a371-462e-88e3-28ad15ec4e64 nella directory di Microsoft Entra. Se l'applicazione esiste, eliminarla e riprovare ad abilitare Servizi di dominio.
Usare lo script di PowerShell seguente per cercare un'istanza dell'applicazione esistente ed eliminarla, se necessario:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph disabilitato
Messaggio di errore
Impossibile abilitare Servizi di dominio in questo tenant di Microsoft Entra. L'applicazione Microsoft Entra è disabilitata nel tenant di Microsoft Entra. Abilitare l'applicazione con l'identificatore dell'applicazione 00000002-0000-0000-c000000000000 e quindi provare ad abilitare Servizi di dominio per il tenant di Microsoft Entra.
Risoluzione
Controllare se un'applicazione è stata disabilitata con l'identificatore 00000002-0000-0000-c000-000000000000000. Questa applicazione è l'applicazione Microsoft Entra e fornisce all'API Graph l'accesso al tenant di Microsoft Entra. Per sincronizzare il tenant di Microsoft Entra, questa applicazione deve essere abilitata.
Per controllare lo stato dell'applicazione e abilitarlo, se necessario, completare i passaggi seguenti:
- Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Applicazioni aziendali.
- Scegliere Tutte le applicazioni dal menu a discesa Tipo di applicazione e quindi selezionare Applica.
- Nella casella di ricerca immettere 00000002-0000-0000-c000-0000000000000. Selezionare l'applicazione, quindi scegliere Proprietà.
- Se Abilitato per l'accesso degli utenti è impostato su No, impostare il valore su Sì, quindi selezionare Salva.
- Dopo aver abilitato l'applicazione, provare di nuovo ad abilitare Domain Services.
Impossibile accedere al dominio gestito di Microsoft Entra Domain Services
Se uno o più utenti nel tenant di Microsoft Entra non riescono ad accedere al dominio gestito, completare la procedura di risoluzione dei problemi seguente:
Formato credenziali: provare a usare il formato UPN per specificare le credenziali, ad esempio
dee@aaddscontoso.onmicrosoft.com. Il formato UPN è il modo consigliato per specificare le credenziali in Servizi di dominio. Assicurarsi che l'UPN sia configurato correttamente in Microsoft Entra ID.SamAccountName per l'account, ad esempio AADDSCONTOSO\driley, può essere generato automaticamente se nel tenant sono presenti più utenti con lo stesso prefisso UPN o se il prefisso UPN è troppo lungo. Di conseguenza, il formato SAMAccountName per l'account potrebbe essere diverso da quello previsto o usato nel dominio locale.
Sincronizzazione delle password: assicurarsi di aver abilitato la sincronizzazione delle password per gli utenti solo cloud o per gli ambienti ibridi usando Microsoft Entra Connessione.
Account sincronizzati ibridi: se gli account utente interessati vengono sincronizzati da una directory locale, verificare le aree seguenti:
È stata distribuita o aggiornata la versione consigliata più recente di Microsoft Entra Connessione.
È stato configurato Microsoft Entra Connessione per eseguire una sincronizzazione completa.
A seconda delle dimensioni della directory, potrebbero essere necessari alcuni minuti prima che gli account utente e gli hash delle credenziali siano disponibili nel dominio gestito. Assicurarsi di attendere abbastanza tempo prima di provare a eseguire l'autenticazione nel dominio gestito.
Se il problema persiste dopo aver verificato i passaggi precedenti, provare a riavviare il servizio Azure AD Sync. Dal server Microsoft Entra Connessione aprire un prompt dei comandi e quindi eseguire i comandi seguenti:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Account solo cloud: se l'account utente interessato è un account utente solo cloud, assicurarsi che l'utente abbia modificato la password dopo aver abilitato Servizi di dominio. Questa reimpostazione della password determina la generazione degli hash delle credenziali necessari per il dominio gestito.
Verificare che l'account utente sia attivo: per impostazione predefinita, cinque tentativi di password non validi entro 2 minuti nel dominio gestito causano il blocco di un account utente per 30 minuti. L'utente non può accedere mentre l'account è bloccato. Dopo 30 minuti, l'account utente viene sbloccato automaticamente.
- I tentativi di password non validi nel dominio gestito non bloccano l'account utente in Microsoft Entra ID. L'account utente è bloccato solo all'interno del dominio gestito. Controllare lo stato dell'account utente in Active Directory Amministrazione istrative Console (ADAC) usando la macchina virtuale di gestione, non in Microsoft Entra ID.
- È anche possibile configurare criteri password con granularità fine per modificare la soglia di blocco predefinita e la durata.
Account esterni: verificare che l'account utente interessato non sia un account esterno nel tenant di Microsoft Entra. Esempi di account esterni includono account Microsoft come
dee@live.como account utente da una directory esterna di Microsoft Entra. Domain Services non archivia le credenziali per gli account utente esterni in modo che non possano accedere al dominio gestito.
Sono presenti uno o più avvisi nel dominio gestito
Se sono presenti avvisi attivi nel dominio gestito, è possibile che il processo di autenticazione funzioni correttamente.
Per verificare se sono presenti avvisi attivi, controllare lo stato di integrità di un dominio gestito. Se vengono visualizzati avvisi, risolvere i problemi e risolverli.
Gli utenti rimossi dal tenant di Microsoft Entra non vengono rimossi dal dominio gestito
Microsoft Entra ID protegge dall'eliminazione accidentale di oggetti utente. Quando si elimina un account utente da un tenant di Microsoft Entra, l'oggetto utente corrispondente viene spostato nel Cestino. Quando questa operazione di eliminazione viene sincronizzata con il dominio gestito, l'account utente corrispondente viene eliminato perché Domain Services non dispone di un Cestino.
Se l'account utente viene ripristinato nel tenant, Domain Services recupera tutti i collegamenti per l'account quando sincronizza la modifica al dominio gestito. L'account utente nel dominio gestito ottiene un nuovo identificatore univoco globale (GUID) e un ID di sicurezza (SID).
Passaggi successivi
Se si continuano a verificarsi problemi, aprire una richiesta di supporto tecnico di Azure per altre informazioni sulla risoluzione dei problemi.