Problemi noti: avvisi e soluzioni comuni in Servizi di dominio Microsoft Entra

  • Articolo

Come parte centrale dell'identità e dell'autenticazione per le applicazioni, Microsoft Entra Domain Services talvolta presenta problemi. Se si verificano problemi, sono presenti alcuni avvisi comuni e i passaggi di risoluzione dei problemi associati che consentono di eseguire di nuovo le operazioni. In qualsiasi momento, è anche possibile aprire una richiesta di supporto tecnico di Azure per ulteriori informazioni sulla risoluzione dei problemi.

Questo articolo fornisce informazioni sulla risoluzione dei problemi per gli avvisi comuni in Servizi di dominio.

AADDS100: Directory mancante

Messaggio di avviso

È possibile che la directory Microsoft Entra associata al dominio gestito sia stata eliminata. Il dominio gestito non si trova più in una configurazione supportata. Microsoft non può monitorare, applicare patch e sincronizzare il dominio gestito.

Risoluzione

Questo errore si verifica in genere quando una sottoscrizione di Azure viene spostata in una nuova directory di Microsoft Entra e la vecchia directory di Microsoft Entra associata a Servizi di dominio viene eliminata.

Questo errore è irreversibile. Per risolvere l'avviso, eliminare il dominio gestito esistente e ricrearlo nella nuova directory. Se si verificano problemi durante l'eliminazione del dominio gestito, aprire una richiesta di supporto tecnico di Azure per altre informazioni sulla risoluzione dei problemi.

AADDS101: Azure AD B2C è in esecuzione in questa directory

Messaggio di avviso

Microsoft Entra Domain Services non può essere abilitato in una directory di Azure AD B2C.

Risoluzione

Domain Services si sincronizza automaticamente con una directory Microsoft Entra. Se la directory Microsoft Entra è configurata per B2C, Non è possibile distribuire e sincronizzare Servizi di dominio.

Per usare Servizi di dominio, è necessario ricreare il dominio gestito in una directory non Azure AD B2C seguendo questa procedura:

  1. Eliminare il dominio gestito dalla directory Microsoft Entra esistente.
  2. Creare una nuova directory di Microsoft Entra che non è una directory di Azure AD B2C.
  3. Creare un dominio gestito sostitutivo.

L'integrità del dominio gestito viene aggiornata automaticamente entro due ore e rimuove l'avviso.

AADDS103: Indirizzo incluso in un intervallo di IP pubblici

Messaggio di avviso

L'intervallo di indirizzi IP per la rete virtuale in cui è stato abilitato Microsoft Entra Domain Services si trova in un intervallo IP pubblico. Microsoft Entra Domain Services deve essere abilitato in una rete virtuale con un intervallo di indirizzi IP privati. Questa configurazione impedisce a Microsoft di monitorare, applicare patch e sincronizzare il dominio gestito.

Risoluzione

Prima di iniziare, assicurarsi di comprendere gli spazi di indirizzi IP v4 privati.

All'interno di una rete virtuale, le macchine virtuali possono effettuare richieste alle risorse di Azure nello stesso intervallo di indirizzi IP configurato per la subnet. Se si configura un intervallo di indirizzi IP pubblici per una subnet, le richieste indirizzate all'interno di una rete virtuale potrebbero non raggiungere le risorse Web desiderate. Questa configurazione può causare errori imprevedibili con Servizi di dominio.

Nota

Se il proprio intervallo di indirizzi IP Internet è configurato anche nella rete virtuale, questo avviso può essere ignorato. Tuttavia, Microsoft Entra Domain Services non può eseguire il commit del contratto di servizio con questa configurazione perché può causare errori imprevedibili.

Per risolvere questo avviso, eliminare il dominio gestito esistente e ricrearlo in una rete virtuale con un intervallo di indirizzi IP privati. Questo processo è problematico perché il dominio gestito non è disponibile e tutte le risorse personalizzate create come unità organizzative o account del servizio vengono perse.

  1. Eliminare il dominio gestito dalla directory.
  2. Per aggiornare l'intervallo di indirizzi IP della rete virtuale, cercare e selezionare Rete virtuale nell'interfaccia di amministrazione di Microsoft Entra. Selezionare la rete virtuale per Servizi di dominio con un intervallo di indirizzi IP pubblici impostato in modo non corretto.
  3. In Impostazioni selezionare Spazio indirizzi.
  4. Aggiornare l'intervallo di indirizzi scegliendo l'intervallo di indirizzi esistente e modificandolo oppure aggiungendo un intervallo di indirizzi. Assicurarsi che il nuovo intervallo di indirizzi IP sia compreso in un intervallo IP privato. Quando si è pronti, salvare le modifiche.
  5. Selezionare Subnet nel riquadro di spostamento a sinistra.
  6. Scegliere la subnet da modificare o creare un'altra subnet.
  7. Aggiornare o specificare un intervallo di indirizzi IP privati e quindi Salvare le modifiche.
  8. Creare un dominio gestito sostitutivo. Assicurarsi di selezionare la subnet di rete virtuale aggiornata con un intervallo di indirizzi IP privati.

L'integrità del dominio gestito viene aggiornata automaticamente entro due ore e rimuove l'avviso.

AADDS106: La sottoscrizione di Azure non è stata trovata

Messaggio di avviso

La sottoscrizione di Azure associata al dominio gestito è stata eliminata. Microsoft Entra Domain Services richiede una sottoscrizione attiva per continuare a funzionare correttamente.

Risoluzione

Domain Services richiede una sottoscrizione attiva e non può essere spostata in una sottoscrizione diversa. Se la sottoscrizione di Azure a cui è stato associato il dominio gestito viene eliminata, è necessario ricreare una sottoscrizione di Azure e un dominio gestito.

  1. Creare una sottoscrizione di Azure.
  2. Eliminare il dominio gestito dalla directory Microsoft Entra esistente.
  3. Creare un dominio gestito sostitutivo.

AADDS107: La sottoscrizione di Azure è disabilitata

Messaggio di avviso

La sottoscrizione di Azure associata al dominio gestito non è attiva. Microsoft Entra Domain Services richiede una sottoscrizione attiva per continuare a funzionare correttamente.

Risoluzione

Domain Services richiede una sottoscrizione attiva. Se la sottoscrizione di Azure a cui è stato associato il dominio gestito non è attiva, è necessario rinnovarla per riattivare la sottoscrizione.

  1. Rinnovare la sottoscrizione di Azure.
  2. Una volta rinnovata la sottoscrizione, una notifica di Servizi di dominio consente di riabilitare il dominio gestito.

Quando il dominio gestito viene nuovamente abilitato, l'integrità del dominio gestito viene aggiornata automaticamente entro due ore e rimuove l'avviso.

AADDS108: Directory della sottoscrizione spostate

Messaggio di avviso

La sottoscrizione utilizzata da Microsoft Entra Domain Services è stata spostata in un'altra directory. Microsoft Entra Domain Services deve avere una sottoscrizione attiva nella stessa directory per funzionare correttamente.

Risoluzione

Domain Services richiede una sottoscrizione attiva e non può essere spostata in una sottoscrizione diversa. Se la sottoscrizione di Azure a cui è stato associato il dominio gestito viene spostata, spostare nuovamente la sottoscrizione nella directory precedente o eliminare il dominio gestito dalla directory esistente e creare un dominio gestito sostitutivo nella sottoscrizione scelta.

AADDS109: Non è possibile trovare risorse per il dominio gestito

Messaggio di avviso

Una risorsa usata per il dominio gestito è stata eliminata. Questa risorsa è necessaria per il corretto funzionamento di Microsoft Entra Domain Services.

Risoluzione

Domain Services crea risorse per funzionare correttamente, ad esempio indirizzi IP pubblici, interfacce di rete virtuale e un servizio di bilanciamento del carico. Se una di queste risorse viene eliminata, il dominio gestito si trova in uno stato non supportato e impedisce la gestione del dominio. Per altre informazioni su queste risorse, vedere Risorse di rete usate da Servizi di dominio.

Questo avviso viene generato quando una di queste risorse necessarie viene eliminata. Se la risorsa è stata eliminata meno di 4 ore fa, è possibile che la piattaforma Azure possa ricreare automaticamente la risorsa eliminata. I passaggi seguenti illustrano come controllare lo stato di integrità e il timestamp per l'eliminazione delle risorse:

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Servizi di dominio. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

  2. Nel riquadro di spostamento a sinistra selezionare Integrità.

  3. Nella pagina integrità selezionare l'avviso con l'ID AADDS109.

  4. L'avviso ha un timestamp per il momento in cui è stato trovato per la prima volta. Se il timestamp è inferiore a 4 ore fa, la piattaforma Azure potrebbe essere in grado di ricreare automaticamente la risorsa e risolvere l'avviso da solo.

    Per motivi diversi, l'avviso potrebbe avere una lunghezza superiore a 4 ore. In tal caso, è possibile eliminare il dominio gestito e quindi creare un dominio gestito sostitutivo per una correzione immediata oppure aprire una richiesta di supporto per correggere l'istanza. A seconda della natura del problema, il supporto potrebbe richiedere un ripristino dal backup.

AADDS110: La subnet associata al dominio gestito è piena

Messaggio di avviso

La subnet selezionata per la distribuzione di Microsoft Entra Domain Services è piena e non ha spazio per il controller di dominio aggiuntivo che deve essere creato.

Risoluzione

La subnet di rete virtuale per Servizi di dominio necessita di indirizzi IP sufficienti per le risorse create automaticamente. Questo spazio di indirizzi IP include la necessità di creare risorse sostitutive se si verifica un evento di manutenzione. Per ridurre al minimo il rischio di esaurimento degli indirizzi IP disponibili, non distribuire altre risorse, ad esempio le macchine virtuali, nella stessa subnet di rete virtuale del dominio gestito.

Questo errore è irreversibile. Per risolvere l'avviso, eliminare il dominio gestito esistente e ricrearlo. Se si verificano problemi durante l'eliminazione del dominio gestito, aprire un supporto tecnico di Azure richiesta di assistenza.

AADDS111: entità servizio non autorizzata

Messaggio di avviso

Un'entità servizio usata da Microsoft Entra Domain Services per gestire il dominio non è autorizzata a gestire le risorse nella sottoscrizione di Azure. L'entità servizio deve ottenere le autorizzazioni per gestire il dominio gestito.

Risoluzione

Alcune entità servizio generate automaticamente vengono usate per gestire e creare risorse per un dominio gestito. Se le autorizzazioni di accesso per una di queste entità servizio vengono modificate, il dominio non è in grado di gestire correttamente le risorse. I passaggi seguenti illustrano come comprendere e quindi concedere le autorizzazioni di accesso a un'entità servizio:

  1. Informazioni sul controllo degli accessi in base al ruolo di Azure e su come concedere l'accesso alle applicazioni nell'interfaccia di amministrazione di Microsoft Entra.
  2. Esaminare l'accesso dell'entità servizio con ID abba844e-bc0e-44b0-947a-dc74e5d09022 e concedere l'accesso negato in una data precedente.

AADDS112: Gli indirizzi IP disponibili nel dominio gestito non sono sufficienti

Messaggio di avviso

È stato rilevato che la subnet della rete virtuale in questo dominio potrebbe non avere indirizzi IP sufficienti. Microsoft Entra Domain Services richiede almeno due indirizzi IP disponibili all'interno della subnet in cui è abilitato. È consigliabile avere almeno da 3 a 5 indirizzi IP disponibili entro la subnet. È possibile che questo problema si verifichi se altre macchine virtuali sono distribuite nella subnet, esaurendo il numero di indirizzi IP, o se è presente una limitazione sul numero di indirizzi IP disponibili nella subnet.

Risoluzione

La subnet di rete virtuale per Servizi di dominio necessita di indirizzi IP sufficienti per le risorse create automaticamente. Questo spazio di indirizzi IP include la necessità di creare risorse sostitutive se si verifica un evento di manutenzione. Per ridurre al minimo il rischio di esaurimento degli indirizzi IP disponibili, non distribuire altre risorse, ad esempio le macchine virtuali, nella stessa subnet di rete virtuale del dominio gestito.

Per risolvere questo avviso, eliminare il dominio gestito esistente e ricrearlo in una rete virtuale con un intervallo di indirizzi IP sufficiente. Questo processo è problematico perché il dominio gestito non è disponibile e tutte le risorse personalizzate create come unità organizzative o account del servizio vengono perse.

  1. Eliminare il dominio gestito dalla directory.
  2. Per aggiornare l'intervallo di indirizzi IP della rete virtuale, cercare e selezionare Rete virtuale nell'interfaccia di amministrazione di Microsoft Entra. Selezionare la rete virtuale per il dominio gestito con l'intervallo di indirizzi IP di piccole dimensioni.
  3. In Impostazioni selezionare Spazio indirizzi.
  4. Aggiornare l'intervallo di indirizzi scegliendo l'intervallo di indirizzi esistente e modificandolo oppure aggiungendo un altro intervallo di indirizzi. Assicurarsi che il nuovo intervallo di indirizzi IP sia sufficientemente grande per l'intervallo di subnet del dominio gestito. Quando si è pronti, salvare le modifiche.
  5. Selezionare Subnet nel riquadro di spostamento a sinistra.
  6. Scegliere la subnet da modificare o creare un'altra subnet.
  7. Aggiornare o specificare un intervallo di indirizzi IP sufficiente e quindi salvare le modifiche.
  8. Creare un dominio gestito sostitutivo. Assicurarsi di selezionare la subnet di rete virtuale aggiornata con un intervallo di indirizzi IP sufficiente.

L'integrità del dominio gestito viene aggiornata automaticamente entro due ore e rimuove l'avviso.

AADDS113: Le risorse non sono recuperabili

Messaggio di avviso

Le risorse usate da Microsoft Entra Domain Services sono state rilevate in uno stato imprevisto e non possono essere recuperate.

Risoluzione

Domain Services crea risorse per funzionare correttamente, ad esempio indirizzi IP pubblici, interfacce di rete virtuale e un servizio di bilanciamento del carico. Se una di queste risorse viene modificata, il dominio gestito si trova in uno stato non supportato e non può essere gestito. Per altre informazioni su queste risorse, vedere Risorse di rete usate da Servizi di dominio.

Questo avviso viene generato quando una di queste risorse necessarie viene modificata e non può essere ripristinata automaticamente da Servizi di dominio. Per risolvere l'avviso, aprire una richiesta di supporto tecnico di Azure per correggere l'istanza.

AADDS114: Subnet non valida

Messaggio di avviso

La subnet selezionata per la distribuzione di Servizi di dominio Microsoft Entra non è valida e non può essere usata.

Risoluzione

Questo errore è irreversibile. Per risolvere l'avviso, eliminare il dominio gestito esistente e ricrearlo. Se si verificano problemi durante l'eliminazione del dominio gestito, aprire un supporto tecnico di Azure richiesta di assistenza.

AADDS115: Le risorse sono bloccate

Messaggio di avviso

Non è possibile eseguire operazioni in una o più risorse di rete usate dal dominio gestito perché l'ambito di destinazione è stato bloccato.

Risoluzione

I blocchi delle risorse possono essere applicati alle risorse di Azure per impedire modifiche o eliminazioni. Poiché Domain Services è un servizio gestito, la piattaforma Azure deve poter apportare modifiche alla configurazione. Se un blocco delle risorse viene applicato ad alcuni componenti di Servizi di dominio, la piattaforma Azure non può eseguire le attività di gestione.

Per verificare la presenza di blocchi delle risorse nei componenti di Servizi di dominio e rimuoverli, completare la procedura seguente:

  1. Per ognuno dei componenti di rete del dominio gestito nel gruppo di risorse, ad esempio rete virtuale, interfaccia di rete o indirizzo IP pubblico, controllare i log delle operazioni nell'interfaccia di amministrazione di Microsoft Entra. Questi log operazioni devono indicare il motivo per cui un'operazione ha esito negativo e dove viene applicato un blocco della risorsa.
  2. Selezionare la risorsa in cui viene applicato un blocco, quindi in Blocchi selezionare e rimuovere i blocchi.

AADDS116: Le risorse non sono utilizzabili

Messaggio di avviso

Non è possibile eseguire operazioni in una o più risorse di rete usate dal dominio gestito a causa di restrizioni dei criteri.

Risoluzione

I criteri vengono applicati alle risorse di Azure e ai gruppi di risorse che controllano le azioni di configurazione consentite. Poiché Domain Services è un servizio gestito, la piattaforma Azure deve poter apportare modifiche alla configurazione. Se un criterio viene applicato ad alcuni componenti di Servizi di dominio, la piattaforma Azure potrebbe non essere in grado di eseguire le attività di gestione.

Per verificare la presenza di criteri applicati nei componenti di Servizi di dominio e aggiornarli, completare la procedura seguente:

  1. Per ognuno dei componenti di rete del dominio gestito nel gruppo di risorse, ad esempio rete virtuale, scheda di interfaccia di rete o indirizzo IP pubblico, controllare i log delle operazioni nell'interfaccia di amministrazione di Microsoft Entra. Questi log operazioni devono indicare il motivo per cui un'operazione ha esito negativo e dove viene applicato un criterio restrittivo.
  2. Selezionare la risorsa in cui viene applicato un criterio, quindi in Criteri selezionare e modificare i criteri in modo che sia meno restrittivo.

AADDS120: il dominio gestito ha rilevato un errore durante l'onboarding di uno o più attributi personalizzati

Messaggio di avviso

Le proprietà dell'estensione Microsoft Entra seguenti non sono state caricate correttamente come attributo personalizzato per la sincronizzazione. Ciò può verificarsi se una proprietà è in conflitto con lo schema predefinito: [estensioni]

Risoluzione

Avviso

Se ldapName di un attributo personalizzato è in conflitto con un attributo dello schema predefinito di ACTIVE Active Directory esistente, non può essere eseguito l'onboarding e genera un errore. Contattare supporto tecnico Microsoft se lo scenario è bloccato. Per altre informazioni, vedere Onboarding di attributi personalizzati.

Esaminare l'avviso integrità dei servizi di dominio e verificare quali proprietà dell'estensione Microsoft Entra non sono riuscite a eseguire correttamente l'onboarding. Passare alla pagina Attributi personalizzati per trovare il nome LDAPName di Servizi di dominio previsto dell'estensione. Assicurarsi che LDAPName non sia in conflitto con un altro attributo dello schema di ACTIVE Directory o che sia uno degli attributi predefiniti consentiti di ACTIVE Directory.

Seguire quindi questa procedura per ritentare l'onboarding dell'attributo personalizzato nella pagina Attributi personalizzati:

  1. Selezionare gli attributi non riusciti, quindi fare clic su Rimuovi e salva.
  2. Attendere che l'avviso di integrità venga rimosso o verificare che gli attributi corrispondenti siano stati rimossi dall'unità organizzativa AADDSCustomAttributes da una macchina virtuale aggiunta a un dominio.
  3. Selezionare Aggiungi e scegliere di nuovo gli attributi desiderati, quindi fare clic su Salva.

Al termine dell'onboarding, Domain Services riempie di nuovo gli utenti e i gruppi sincronizzati con i valori di attributo personalizzati di cui è stato eseguito l'onboarding. I valori degli attributi personalizzati vengono visualizzati gradualmente, a seconda delle dimensioni del tenant. Per controllare lo stato del riempimento, passare a Integrità dei servizi di dominio e verificare che il timestamp di monitoraggio sincronizzazione con Microsoft Entra ID sia stato aggiornato nell'ultima ora.

AADDS500: Sincronizzazione non eseguita da qualche tempo

Messaggio di avviso

L'ultimo dominio gestito è stato sincronizzato con l'ID Microsoft Entra in [data]. È possibile che gli utenti non riescano ad accedere al dominio gestito o che le appartenenze a gruppi non siano sincronizzate con Azure AD.

Risoluzione

Controllare l'integrità di Domain Services per eventuali avvisi che indicano problemi nella configurazione del dominio gestito. Problemi relativi alla configurazione di rete possono bloccare la sincronizzazione in Microsoft Entra ID. Se si è in grado di risolvere gli avvisi che indicano un problema di configurazione, attendere due ore e verificare se la sincronizzazione è stata completata correttamente.

I motivi comuni seguenti causano l'arresto della sincronizzazione in un dominio gestito:

  • La connettività di rete richiesta è bloccata. Per altre informazioni su come controllare la rete virtuale di Azure per individuare i problemi e gli elementi necessari, vedere Risolvere i problemi relativi ai gruppi di sicurezza di rete e ai requisiti di rete per Servizi di dominio.
  • La sincronizzazione delle password non è stata impostata o completata correttamente al momento della distribuzione del dominio gestito. È possibile configurare la sincronizzazione delle password per gli utenti solo cloud o gli utenti ibridi locali.

AADDS501: Backup non eseguito da qualche tempo

Messaggio di avviso

L'ultimo backup del dominio gestito è stato eseguito in data [data].

Risoluzione

Controllare l'integrità di Domain Services per gli avvisi che indicano problemi nella configurazione del dominio gestito. I problemi relativi alla configurazione di rete possono impedire alla piattaforma Azure di eseguire correttamente i backup. Se si è in grado di risolvere gli avvisi che indicano un problema di configurazione, attendere due ore e verificare se la sincronizzazione è stata completata correttamente.

AADDS503: Sospensione per sottoscrizione disabilitata

Messaggio di avviso

Il dominio gestito è stato sospeso perché la sottoscrizione di Azure associata al dominio non è attiva.

Risoluzione

Avviso

Se un dominio gestito viene sospeso per un lungo periodo di tempo, è possibile eliminarlo. Risolvere il motivo della sospensione il più rapidamente possibile. Per altre informazioni, vedere Informazioni sugli stati sospesi per Servizi di dominio.

Domain Services richiede una sottoscrizione attiva. Se la sottoscrizione di Azure a cui è stato associato il dominio gestito non è attiva, è necessario rinnovarla per riattivare la sottoscrizione.

  1. Rinnovare la sottoscrizione di Azure.
  2. Una volta rinnovata la sottoscrizione, una notifica di Servizi di dominio consente di riabilitare il dominio gestito.

Quando il dominio gestito viene nuovamente abilitato, l'integrità del dominio gestito viene aggiornata automaticamente entro due ore e rimuove l'avviso.

AADDS504: Sospensione per configurazione non valida

Messaggio di avviso

Il dominio gestito è stato sospeso a causa di una configurazione non valida. Il servizio non è riuscito a gestire, applicare patch o aggiornare i controller di dominio per il dominio gestito per molto tempo.

Risoluzione

Avviso

Se un dominio gestito viene sospeso per un lungo periodo di tempo, è possibile eliminarlo. Risolvere il motivo della sospensione il più rapidamente possibile. Per altre informazioni, vedere Informazioni sugli stati sospesi per Servizi di dominio.

Controllare l'integrità di Domain Services per gli avvisi che indicano problemi nella configurazione del dominio gestito. Se è possibile risolvere gli avvisi che indicano un problema di configurazione, attendere due ore e verificare se la sincronizzazione è stata completata. Quando si è pronti, aprire una richiesta di supporto tecnico di Azure per riabilitare il dominio gestito.

AADDS600: avvisi di integrità non risolti per 30 giorni

Messaggio di avviso

Microsoft non è in grado di gestire i controller di dominio per questo dominio gestito a causa di avvisi di integrità non risolti [ID]. Questo blocca gli aggiornamenti della sicurezza critici e una migrazione pianificata a Windows Server 2019 per questi controller di dominio. Seguire i passaggi nell'avviso per risolvere il problema. Se non si risolve questo problema entro 30 giorni, si verifica la sospensione del dominio gestito.

Risoluzione

Avviso

Se un dominio gestito viene sospeso per un lungo periodo di tempo, è possibile eliminarlo. Risolvere il motivo della sospensione il più rapidamente possibile. Per altre informazioni, vedere Informazioni sugli stati sospesi per Servizi di dominio.

Controllare l'integrità di Domain Services per gli avvisi che indicano problemi nella configurazione del dominio gestito. Se è possibile risolvere gli avvisi che indicano un problema di configurazione, attendere sei ore e verificare se l'avviso viene rimosso. Se è necessaria assistenza, aprire una richiesta di supporto tecnico di Azure.

Passaggi successivi

Se si verificano ancora problemi, aprire una richiesta di supporto tecnico di Azure per altre informazioni sulla risoluzione dei problemi.