アプリケーションの ID と認証の中心部分として、Microsoft Entra Domain Services では問題が発生することがあります。 問題が発生した場合には、一般的なエラーメッセージと、それに関連したトラブルシューティング手順を利用して、問題を解決し再び正常に動作させることができます。 また、追加のトラブルシューティング支援を求めて、いつでも Azure サポート リクエストを開くことができます。
この記事では、Domain Services の一般的な問題のトラブルシューティング手順について説明します。
Microsoft Entra ディレクトリに対して Microsoft Entra Domain Services を有効にすることはできません
Domain Services の有効化で問題が発生した場合は、次の一般的なエラーと手順を確認して解決してください。
| サンプル エラー メッセージ | 解決策 |
|---|---|
| aaddscontoso.com 名は、このネットワークで既に使用されています。 使用されていない名前を指定します。 | 仮想ネットワークでのドメイン名の競合 |
| この Microsoft Entra テナントで Domain Services を有効にできませんでした。 このサービスには、Microsoft Entra Domain Services Sync というアプリケーションに対する適切なアクセス許可がありません。"Microsoft Entra Domain Services Sync" という名前のアプリケーションを削除し、Microsoft Entra テナントに対して Domain Services を有効にしてみてください。 | Domain Services に Microsoft Entra Domain Services Sync アプリケーションに対する適切なアクセス許可がありません |
| この Microsoft Entra テナントで Domain Services を有効にできませんでした。 Microsoft Entra テナントの Domain Services アプリケーションには、Domain Services を有効にするために必要なアクセス許可がありません。 アプリケーション識別子 d87dcbc6-a371-462e-88e3-28ad15ec4e64 のアプリケーションを削除し、Microsoft Entra テナントの Domain Services を有効にしてみてください。 | Domain Services アプリケーションが Microsoft Entra テナントで正しく構成されていない |
| この Microsoft Entra テナントで Domain Services を有効にできませんでした。 Microsoft Entra アプリケーションは、Microsoft Entra テナントで無効になっています。 アプリケーション識別子 00000002-0000-0000-c000-0000000000000 を使用してアプリケーションを有効にし、Microsoft Entra テナントの Domain Services を有効にしてみてください。 | Microsoft Entra テナントで Microsoft Graph アプリケーションが無効になっている |
ドメイン名の競合
エラー メッセージ
aaddscontoso.com 名は、このネットワークで既に使用されています。 使用されていない名前を指定します。
解決策
同じドメイン名またはピアリングされた仮想ネットワーク上に既存の AD DS 環境がないことを確認します。 たとえば、Azure VM 上で実行される aaddscontoso.com という名前の AD DS ドメインがあるとします。 仮想ネットワーク上で同じドメイン名 の aaddscontoso.com を持つ Domain Services マネージド ドメインを有効にしようとすると、要求された操作は失敗します。
このエラーは、仮想ネットワーク上のドメイン名の名前の競合が原因です。 DNS 参照では、要求されたドメイン名に対して既存の AD DS 環境が応答するかどうかを確認します。 このエラーを解決するには、別の名前を使用してマネージド ドメインを設定するか、既存の AD DS ドメインのプロビジョニングを解除してから、もう一度 Domain Services を有効にしてみてください。
アクセス許可が不十分
エラー メッセージ
この Microsoft Entra テナントで Domain Services を有効にできませんでした。 このサービスには、Microsoft Entra Domain Services Sync というアプリケーションに対する適切なアクセス許可がありません。"Microsoft Entra Domain Services Sync" という名前のアプリケーションを削除し、Microsoft Entra テナントに対して Domain Services を有効にしてみてください。
解決策
Microsoft Entra ディレクトリに Microsoft Entra Domain Services Sync という名前のアプリケーションがあるかどうかを確認します。 このアプリケーションが存在する場合は、そのアプリケーションを削除してから、ドメイン サービスを有効にしてください。 既存のアプリケーションを確認し、必要に応じて削除するには、次の手順を実行します。
- Microsoft Entra 管理センターで、左側のナビゲーション メニューから Microsoft Entra ID を選択します。
- [エンタープライズ アプリケーション] を選択します。 [ アプリケーションの 種類] ドロップダウン メニューから [すべての アプリケーション ] を選択し、[ 適用] を選択します。
- 検索ボックスに「 Microsoft Entra Domain Services Sync」と入力します。アプリケーションが存在する場合は、アプリケーションを選択して [削除] を選択 します。
- アプリケーションを削除したら、Domain Services をもう一度有効にしてみてください。
構成が無効です
エラー メッセージ
この Microsoft Entra テナントで Domain Services を有効にできませんでした。 Microsoft Entra テナントの Domain Services アプリケーションには、Domain Services を有効にするために必要なアクセス許可がありません。 アプリケーション識別子 d87dcbc6-a371-462e-88e3-28ad15ec4e64 のアプリケーションを削除し、Microsoft Entra テナントの Domain Services を有効にしてみてください。
解決策
Microsoft Entra ディレクトリに、アプリケーション識別子が d87dcbc6-a371-462e-88e3-28ad15ec4e64 の AzureActiveDirectoryDomainControllerServices という名前の既存のアプリケーションがあるかどうかを確認します。 このアプリケーションが存在する場合は、アプリケーションを削除してから、もう一度試して Domain Services を有効にします。
次の PowerShell スクリプトを使用して、既存のアプリケーション インスタンスを検索し、必要に応じて削除します。
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph が無効になっている
エラー メッセージ
この Microsoft Entra テナントで Domain Services を有効にできませんでした。 Microsoft Entra アプリケーションは、Microsoft Entra テナントで無効になっています。 アプリケーション識別子 00000002-0000-0000-c000-0000000000000 を使用してアプリケーションを有効にし、Microsoft Entra テナントの Domain Services を有効にしてみてください。
解決策
識別子 00000002-0000-0000-c000-0000000000000 を持つアプリケーションを無効にしたかどうかを確認します。 このアプリケーションは Microsoft Entra アプリケーションであり、Microsoft Entra テナントへの Graph API アクセスを提供します。 Microsoft Entra テナントを同期するには、このアプリケーションを有効にする必要があります。
このアプリケーションの状態を確認し、必要に応じて有効にするには、次の手順を実行します。
- Microsoft Entra 管理センターで、エンタープライズ アプリケーションを検索して選択します。
- [ アプリケーションの 種類] ドロップダウン メニューから [すべての アプリケーション ] を選択し、[ 適用] を選択します。
- 検索ボックスに、「 000000002-0000-0000-c000-0000000000000」と入力します。 アプリケーションを選択し、[プロパティ] を選択 します。
- [ユーザーのサインインを有効にする] が [いいえ] に設定されている場合は、値を [はい] に設定し、[保存] を選択します。
- アプリケーションを有効にしたら、Domain Services をもう一度有効にしてみてください。
ユーザーが Microsoft Entra Domain Services のマネージド ドメインにサインインできない
Microsoft Entra テナント内の 1 人以上のユーザーがマネージド ドメインにサインインできない場合は、次のトラブルシューティング手順を実行します。
資格情報の形式 - UPN 形式を使用して、
dee@aaddscontoso.onmicrosoft.comなどの資格情報を指定してみてください。 ドメイン サービスで資格情報を指定するには、UPN 形式をお勧めします。 この UPN が Microsoft Entra ID で正しく構成されていることを確認します。AADDSCONTOSO\driley などのアカウントの SAMAccountName は、テナントに同じ UPN プレフィックスを持つ複数のユーザーがいる場合、または UPN プレフィックスが過度に長い場合に自動生成される可能性があります。 そのため、アカウントの SAMAccountName 形式は、オンプレミス ドメインで想定される形式や使用する形式とは異なる場合があります。
パスワード同期 - Microsoft Entra Connect を使用して、クラウド専用ユーザーまたはハイブリッド環境に対してパスワード同期を有効にしていることを確認します。
ハイブリッド同期アカウント: 影響を受けるユーザー アカウントがオンプレミスのディレクトリから同期されている場合は、次の領域を確認します。
Microsoft Entra Connect の最新の推奨リリースをデプロイまたは更新しました。
完全同期を実行するように Microsoft Entra Connect を構成しました。
ディレクトリのサイズによっては、ユーザー アカウントと資格情報ハッシュがマネージド ドメインで使用できるようになるまで時間がかかる場合があります。 マネージド ドメインに対して認証を試みる前に、十分な時間待機してください。
前の手順を確認した後も問題が解決しない場合は、 Azure AD 同期サービスを再起動してみてください。 Microsoft Entra Connect サーバーからコマンド プロンプトを開き、次のコマンドを実行します。
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
クラウド専用アカウント: 影響を受けるユーザー アカウントがクラウド専用ユーザー アカウントの場合 は、Domain Services を有効にした後にユーザーがパスワードを変更したことを確認します。 このパスワード リセットにより、マネージド ドメインに必要な資格情報ハッシュが生成されます。
ユーザー アカウントがアクティブであることを確認します。既定では、マネージド ドメインで 2 分以内に無効なパスワードが 5 回試行されると、ユーザー アカウントが 30 分間ロックアウトされます。 アカウントがロックアウトされている間、ユーザーはサインインできません。30 分後、ユーザー アカウントは自動的にロック解除されます。
- マネージド ドメインで無効なパスワードが試されても、Microsoft Entra ID のユーザー アカウントはロックアウトされません。 ユーザー アカウントは、マネージド ドメイン内でのみロックアウトされます。 Microsoft Entra ID ではなく、管理 VM を使用して、Active Directory 管理コンソール (ADAC) のユーザー アカウントの状態を確認します。
- また、きめ 細かいパスワード ポリシーを構成して、既定の ロックアウトのしきい値と期間を変更することもできます。
外部アカウント - 影響を受けるユーザー アカウントが Microsoft Entra テナントの外部アカウントではないことを確認します。 外部アカウントの例としては、
dee@live.comなどの Microsoft アカウントや、外部の Microsoft Entra ディレクトリのユーザー アカウントなどがあります。 Domain Services は外部ユーザー アカウントの資格情報を格納しないため、マネージド ドメインにサインインできません。
マネージド ドメインに 1 つ以上のアラートがある
マネージド ドメインにアクティブなアラートがある場合、認証プロセスが正常に動作しなくなる可能性があります。
アクティブなアラートがあるかどうかを確認するには、 マネージド ドメインの正常性状態を確認します。 アラートが表示された場合は、 トラブルシューティングを行って解決します。
Microsoft Entra テナントから削除されたユーザーは、マネージド ドメインから削除されません
Microsoft Entra ID は、ユーザー オブジェクトが誤って削除されないように保護します。 Microsoft Entra テナントからユーザー アカウントを削除すると、対応するユーザー オブジェクトがごみ箱に移動されます。 この削除操作がマネージド ドメインに同期されると、Domain Services にごみ箱がないため、対応するユーザー アカウントが削除されます。
ユーザー アカウントがテナントで復元された場合、Domain Services は、変更をマネージド ドメインに同期するときに、アカウントのすべてのリンクをフェッチします。 マネージド ドメインのユーザー アカウントは、新しいグローバル一意識別子 (GUID) とセキュリティ ID (SID) を取得します。
次のステップ
問題が引き続き発生する場合は、 Azure サポートリクエストを開いて トラブルシューティングのヘルプを参照してください。