Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I motivi più comuni per un account utente che non riesce ad accedere a un dominio gestito di Microsoft Entra Domain Services includono gli scenari seguenti:
- L'account non è ancora sincronizzato in Servizi di dominio.
- Domain Services non dispone degli hash delle password per consentire all'account di accedere.
- L'account è bloccato.
Suggerimento
I servizi di dominio non sono in grado di sincronizzare le credenziali per gli account esterni al tenant di Microsoft Entra. Gli utenti esterni non possono accedere al dominio gestito di Servizi di dominio.
L'account non è ancora sincronizzato in Domain Services
A seconda delle dimensioni della directory, potrebbero essere necessari alcuni minuti prima che gli account utente e gli hash delle credenziali siano disponibili in un dominio gestito. Per le directory di grandi dimensioni, questa sincronizzazione unidirezionale iniziale da Microsoft Entra ID può richiedere alcune ore e fino a un giorno o due. Assicurarsi di attendere abbastanza tempo prima di ripetere l'autenticazione.
Per gli ambienti ibridi in cui l'utente Microsoft Entra Connect sincronizza i dati della directory locale in Microsoft Entra ID, assicurarsi di eseguire la versione più recente di Microsoft Entra Connect e di avere configurato Microsoft Entra Connect per eseguire una sincronizzazione completa dopo aver abilitato Domain Services. Se si disabilita Servizi di dominio e quindi si riabilita, è necessario seguire di nuovo questi passaggi.
Se si continuano a verificarsi problemi con gli account che non vengono sincronizzati tramite Microsoft Entra Connect, riavviare il servizio Azure AD Sync. Dal computer in cui è installato Microsoft Entra Connect aprire una finestra del prompt dei comandi, quindi eseguire i comandi seguenti:
net stop 'Microsoft Azure AD Sync'
net start 'Microsoft Azure AD Sync'
Domain Services non ha gli hash delle password
Microsoft Entra ID non genera o archivia gli hash delle password nel formato necessario per l'autenticazione NTLM o Kerberos fino a quando non si abilita Servizi di dominio per il tenant. Per motivi di sicurezza, Anche Microsoft Entra ID non archivia credenziali password in formato non crittografato. Pertanto, Microsoft Entra ID non può generare automaticamente questi hash delle password NTLM o Kerberos in base alle credenziali esistenti degli utenti.
Ambienti ibridi con sincronizzazione locale
Per gli ambienti ibridi che usano Microsoft Entra Connect per eseguire la sincronizzazione da un ambiente di Active Directory Domain Services locale, è possibile generare e sincronizzare gli hash delle password NTLM o Kerberos necessari in Microsoft Entra ID. Dopo aver creato il dominio gestito, abilitare la sincronizzazione dell'hash delle password in Microsoft Entra Domain Services. Senza completare questo passaggio di sincronizzazione dell'hash delle password, non è possibile accedere a un account usando il dominio gestito. Se si disabilita Servizi di dominio e quindi si riabilita, è necessario seguire di nuovo questi passaggi.
Per altre informazioni, vedere Funzionamento della sincronizzazione dell'hash delle password per Domain Services.
Ambienti solo cloud senza sincronizzazione locale
I domini gestiti senza sincronizzazione locale, solo gli account in Microsoft Entra ID, devono anche generare gli hash delle password NTLM o Kerberos necessari. Se un account solo cloud non riesce ad accedere, il processo di modifica della password è stato completato correttamente per l'account dopo l'abilitazione di Servizi di dominio?
-
No, la password non è stata modificata.
- Modificare la password per l'account per generare gli hash delle password necessari, quindi attendere 15 minuti prima di provare di nuovo ad accedere.
- Se si disabilita Servizi di dominio e quindi si riabilita, ogni account deve seguire di nuovo la procedura per modificare la password e generare gli hash delle password necessari.
-
Sì, la password è stata modificata.
- Provare ad accedere usando il formato di UPN, ad esempio
driley@aaddscontoso.com, anziché il formato SAMAccountName comeAADDSCONTOSO\deeriley. - Il SAMAccountName può essere generato automaticamente per gli utenti il cui prefisso UPN è eccessivamente lungo o è uguale a un altro utente nel dominio gestito. Il formato UPN è garantito essere univoco all'interno di un tenant di Microsoft Entra.
- Provare ad accedere usando il formato di UPN, ad esempio
L'account è bloccato
Un account utente in un dominio gestito viene bloccato quando viene raggiunta una soglia definita per i tentativi di accesso non riusciti. Questo comportamento di blocco dell'account è progettato per proteggere l'utente da tentativi di accesso di forza bruta ripetuti che possono indicare un attacco digitale automatizzato.
Per impostazione predefinita, se sono presenti 5 tentativi di password non valida in 2 minuti, l'account viene bloccato per 30 minuti.
Per altre informazioni e come risolvere i problemi di blocco dell'account, vedere Risolvere i problemi di blocco dell'account in Domain Services.
Passaggi successivi
Se hai ancora problemi durante l'aggiunta della macchina virtuale al dominio gestito, puoi trovare assistenza e aprire un ticket di supporto per Microsoft Entra ID.