다음을 통해 공유


Microsoft Entra Domain Services와 관련된 일반적인 오류와 문제 해결 단계

애플리케이션에 대한 ID 및 인증의 핵심 부분인 Microsoft Entra Domain Services에는 경우에 따라 문제가 있습니다. 문제가 발생하는 경우 나타나는 몇 가지 일반적 에러 메시지와 다시 작동하는 데 도움이 되는 관련 문제 해결 단계가 있습니다. 언제든지 Azure 지원 요청을 통해 추가 문제 해결 도움을 받을 수도 있습니다.

이 문서에서는 Domain Services의 일반적인 문제에 대한 문제 해결 단계를 제공합니다.

Microsoft Entra 디렉터리에 대해 Microsoft Entra Domain Services를 사용하도록 설정할 수 없습니다.

Domain Services를 사용하도록 설정하는 데 문제가 있는 경우 다음과 같은 일반적인 오류와 단계를 검토하여 해결합니다.

샘플 오류 메시지 해결 방법
이 네트워크에서 이미 addscontoso.com이라는 이름을 사용하고 있습니다. 사용하지 않는 이름을 지정하세요. 가상 네트워크에서 도메인 이름 충돌
Microsoft Entra 테넌트에서는 Domain Services를 사용하도록 설정할 수 없습니다. 서비스에 Microsoft Entra Domain Services Sync라는 애플리케이션에 대한 적절한 권한이 없습니다. 'Microsoft Entra Domain Services Sync'라는 애플리케이션을 삭제한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정하세요. Domain Services에 Microsoft Entra Domain Services Sync 애플리케이션에 대한 적절한 권한이 없음
Microsoft Entra 테넌트에서는 Domain Services를 사용하도록 설정할 수 없습니다. Microsoft Entra 테넌트의 Domain Services 애플리케이션에는 Domain Services를 사용하는 데 필요한 권한이 없습니다. d87dcbc6-a371-462e-88e3-28ad15ec4e64 애플리케이션 식별자를 사용하여 애플리케이션을 삭제한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정하세요. Microsoft Entra 테넌트에서 Domain Services 애플리케이션을 제대로 구성하지 않음
Microsoft Entra 테넌트에서는 Domain Services를 사용하도록 설정할 수 없습니다. Microsoft Entra 테넌트에서 Microsoft Entra 애플리케이션을 사용할 수 없습니다. 애플리케이션 식별자 00000002-0000-0000-c000-000000000000을 사용하여 애플리케이션을 사용하도록 설정한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정해 보세요. Microsoft Entra 테넌트에서 Microsoft Graph 애플리케이션을 사용할 수 없습니다.

도메인 이름 충돌

오류 메시지

이 네트워크에서 이미 addscontoso.com이라는 이름을 사용하고 있습니다. 사용하지 않는 이름을 지정하세요.

해결 방법

동일한 또는 피어링된 가상 네트워크에 동일한 도메인 이름을 가진 기존 AD DS 환경이 없는지 확인합니다. 예를 들어 Azure VM에서 실행되는 aaddscontoso.com이라는 AD DS 도메인이 있을 수 있습니다. 가상 네트워크에서 aaddscontoso.com이라는 동일한 도메인 이름을 사용하여 Domain Services 관리되는 도메인을 사용하도록 설정하려고 하면 요청된 작업이 실패합니다.

이 오류는 해당 가상 네트워크에서 도메인 이름이 충돌하기 때문에 발생합니다. DNS 조회는 기존 AD DS 환경이 요청된 도메인 이름에 응답하는지 확인합니다. 이 오류를 해결하려면 다른 이름을 사용하여 관리되는 도메인을 설정하거나 기존 AD DS 도메인의 프로비전을 해제한 다음, Domain Services 사용 설정을 다시 시도합니다.

부적절한 권한

오류 메시지

Microsoft Entra 테넌트에서는 Domain Services를 사용하도록 설정할 수 없습니다. 서비스에 Microsoft Entra Domain Services Sync라는 애플리케이션에 대한 적절한 권한이 없습니다. 'Microsoft Entra Domain Services Sync'라는 애플리케이션을 삭제한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정하세요.

해결 방법

Microsoft Entra 디렉터리에 Microsoft Entra Domain Services Sync라는 애플리케이션이 있는지 확인합니다. 이 애플리케이션이 있는 경우 삭제한 다음, Domain Services 사용 설정을 다시 시도합니다. 다음 단계를 완료하여 기존 애플리케이션을 확인하고 필요한 경우 삭제합니다.

  1. Microsoft Entra 관리 센터의 왼쪽 탐색 메뉴에서 Microsoft Entra ID를 선택합니다.
  2. Enterprise 애플리케이션을 선택합니다. 애플리케이션 종류 드롭다운 메뉴에서 모든 애플리케이션을 선택한 다음, 적용을 선택합니다.
  3. 검색 상자에 Microsoft Entra Domain Services Sync를 입력합니다. 애플리케이션이 있는 경우 해당 애플리케이션을 선택하고 삭제를 선택합니다.
  4. 애플리케이션을 삭제한 후에 Domain Services 사용 설정을 다시 시도합니다.

유효하지 않은 구성

오류 메시지

Microsoft Entra 테넌트에서는 Domain Services를 사용하도록 설정할 수 없습니다. Microsoft Entra 테넌트의 Domain Services 애플리케이션에는 Domain Services를 사용하는 데 필요한 권한이 없습니다. d87dcbc6-a371-462e-88e3-28ad15ec4e64 애플리케이션 식별자를 사용하여 애플리케이션을 삭제한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정하세요.

해결 방법

Microsoft Entra 디렉터리에 애플리케이션 식별자가 d87dcbc6-a371-462e-88e3-28ad15ec4e64AzureActiveDirectoryDomainControllerServices라는 기존 애플리케이션이 있는지 확인하세요. 이 애플리케이션이 있는 경우 삭제한 다음, Domain Services 사용 설정을 다시 시도합니다.

다음 PowerShell 스크립트를 사용하여 기존 애플리케이션 인스턴스를 검색하고 필요한 경우 삭제합니다.

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph 사용 안 함

오류 메시지

Microsoft Entra 테넌트에서는 Domain Services를 사용하도록 설정할 수 없습니다. Microsoft Entra 테넌트에서 Microsoft Entra 애플리케이션을 사용할 수 없습니다. 애플리케이션 식별자 00000002-0000-0000-c000-000000000000을 사용하여 애플리케이션을 사용하도록 설정한 다음 Microsoft Entra 테넌트에 대해 Domain Services를 사용하도록 설정해 보세요.

해결 방법

00000002-0000-0000-c000-000000000000 식별자를 사용하는 애플리케이션을 사용하지 않도록 설정했는지 확인합니다. 이 애플리케이션은 Microsoft Entra 애플리케이션이며 Microsoft Entra 테넌트에 Graph API 액세스를 제공합니다. Microsoft Entra 테넌트를 동기화하려면 이 애플리케이션을 사용하도록 설정해야 합니다.

다음 단계를 완료하여 이 애플리케이션의 상태를 확인하고 필요한 경우 사용하도록 설정합니다.

  1. Microsoft Entra 관리 센터에서 엔터프라이즈 애플리케이션을 검색하여 선택합니다.
  2. 애플리케이션 종류 드롭다운 메뉴에서 모든 애플리케이션을 선택한 다음, 적용을 선택합니다.
  3. 검색 상자에 00000002-0000-0000-c000-00000000000을 입력합니다. 애플리케이션을 선택한 다음, 속성을 선택합니다.
  4. 사용자가 로그인할 수 있도록 설정이 ‘아니요’로 설정되어 있으면 값을 ‘예’로 설정하고 저장을 선택합니다.
  5. 애플리케이션을 사용하도록 설정한 후에 Domain Services 사용 설정을 다시 시도합니다.

사용자는 Microsoft Entra Domain Services 관리되는 도메인에 로그인할 수 없습니다.

Microsoft Entra 테넌트에서 한 명 이상의 사용자가 관리되는 도메인에 로그인할 수 없는 경우 다음 문제 해결 단계를 완료합니다.

  • 자격 증명의 형식 - UPN 형식을 사용하여 자격 증명을 지정합니다(예: dee@aaddscontoso.onmicrosoft.com). UPN 형식은 Domain Services에서 자격 증명을 지정하는 데 권장되는 방식입니다. 이 UPN이 Microsoft Entra ID에서 올바르게 구성되어 있는지 확인합니다.

    테넌트에서 동일한 UPN 접두사를 사용하는 사용자가 여럿이거나 UPN 접두사가 지나치게 긴 경우 사용자 계정에 대한 SAMAccountName(예: AADDSCONTOSO\driley)이 자동으로 생성될 수 있습니다. 따라서 사용자 계정에 대한 SAMAccountName 형식이 온-프레미스 도메인에서 예상하거나 사용한 것과 다를 수 있습니다.

  • 암호 동기화 - 클라우드 전용 사용자 또는 하이브리드 환경에 대해 Microsoft Entra Connect를 사용하여 암호 동기화를 사용하도록 설정했는지 확인합니다.

    • 하이브리드 동기화된 계정: 영향을 받는 사용자 계정이 온-프레미스 디렉터리에서 동기화되는 경우 다음 영역을 확인합니다.

      • Microsoft Entra Connect의 최신 권장 릴리스를 배포하거나 업데이트했습니다.

      • 전체 동기화를 수행하도록 Microsoft Entra Connect를 구성했습니다.

      • 디렉터리의 크기에 따라 사용자 계정과 자격 증명 해시가 관리되는 도메인에서 사용 가능해지는 데 시간이 걸릴 수 있습니다. 관리되는 도메인에 인증을 시도하기 전에 충분한 시간 동안 기다려야 합니다.

      • 앞에서 설명한 단계를 확인한 후에도 문제가 지속되면 Azure AD Sync 서비스를 다시 시작해 봅니다. Microsoft Entra Connect 서버에서 명령 프롬프트를 열고 다음 명령을 실행합니다.

        net stop 'Microsoft Azure AD Sync'
        net start 'Microsoft Azure AD Sync'
        
    • 클라우드 전용 계정: 영향을 받는 사용자 계정이 클라우드 전용 사용자 계정인 경우 Domain Services를 사용하도록 설정한 후에 사용자가 자신의 암호를 변경하도록 합니다. 이 암호 재설정을 수행하면 관리되는 도메인에 필요한 자격 증명 해시가 생성됩니다.

  • 사용자 계정이 활성화되어 있는지 확인: 관리되는 도메인에서 2분 안에 5차례 암호를 잘못 입력하면 사용자 계정이 30분 동안 잠깁니다. 계정이 잠겨 있는 동안에는 사용자가 로그인할 수 없습니다. 30분 후에 사용자 계정이 자동으로 잠금 해제됩니다.

    • 관리되는 도메인에 대해 암호를 잘못 입력해도 Microsoft Entra ID의 사용자 계정이 잠기지 않습니다. 사용자 계정은 관리되는 도메인 안에서만 잠깁니다. Microsoft Entra ID가 아니라 ADAC(Active Directory 관리 콘솔)에서 관리 VM을 사용하여 사용자 계정 상태를 확인합니다.
    • 세분화된 암호 정책을 구성하여 기본 잠금 임계값과 기간을 변경할 수도 있습니다.
  • 외부 계정 - 영향을 받는 사용자 계정이 Microsoft Entra 테넌트에서 외부 계정이 아닌지 확인합니다. 외부 계정의 예로는 dee@live.com과 같은 Microsoft 계정 또는 외부 Microsoft Entra 디렉터리의 사용자 계정이 있습니다. Domain Services는 외부 사용자가 관리되는 도메인에 로그인할 수 없도록 외부 사용자 계정에 대한 자격 증명을 저장하지 않습니다.

관리되는 도메인에서 하나 이상의 경고 발생

관리되는 도메인에 활성 경고가 있으면 인증 프로세스가 제대로 작동하지 않을 수 있습니다.

활성 경고가 있는지 확인하려면 관리되는 도메인의 상태를 확인합니다. 경고가 표시되면 경고를 확인하고 문제를 해결합니다.

Microsoft Entra 테넌트에서는 제거되지만 관리되는 도메인에서는 제거되지 않는 사용자

Microsoft Entra ID에서는 사용자 개체를 실수로 삭제하지 못하도록 보호합니다. Microsoft Entra 테넌트에서 사용자 계정을 삭제하면 해당 사용자 개체가 휴지통으로 이동합니다. 이 삭제 작업이 관리되는 도메인과 동기화되면 도메인 서비스에는 휴지통이 없으므로 해당 사용자 계정이 삭제됩니다.

테넌트에서 사용자 계정이 복원된 경우 도메인 서비스에서 관리 도메인으로 변경 사항을 동기화할 때 계정에 대한 모든 링크를 가져옵니다. 관리되는 도메인의 사용자 계정은 새로운 GUID(Globally Unique Identifier) 및 SID(보안 ID)를 얻습니다.

다음 단계

문제가 계속되면 Azure 지원 요청을 제출하여 추가 문제 해결 도움을 받으세요.