Fouten met niet-overeenkomende directory's voor bestaande beheerde domeinen van Microsoft Entra Domain Services oplossen

Als in een door Microsoft Entra Domain Services beheerd domein een niet-overeenkomende tenantfout wordt weergegeven, kunt u het beheerde domein pas beheren als het is opgelost. Deze fout treedt op als het onderliggende virtuele Azure-netwerk wordt verplaatst naar een andere Microsoft Entra-map.

In dit artikel wordt uitgelegd waarom de fout optreedt en hoe u deze kunt oplossen.

Wat veroorzaakt deze fout?

Er treedt een niet-overeenkomende mapfout op wanneer een door Domain Services beheerd domein en virtueel netwerk deel uitmaakt van twee verschillende Microsoft Entra-tenants. U hebt bijvoorbeeld een beheerd domein met de naam aaddscontoso.com dat wordt uitgevoerd in de Microsoft Entra-tenant van Contoso. Het virtuele Azure-netwerk voor het beheerde domein maakt echter deel uit van de Fabrikam Microsoft Entra-tenant.

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) wordt gebruikt om de toegang tot resources te beperken. Wanneer u Domain Services inschakelt in een Microsoft Entra-tenant, worden referentie-hashes gesynchroniseerd met het beheerde domein. Voor deze bewerking moet u een tenantbeheerder zijn van de Microsoft Entra-directory, en de toegang tot de inloggegevens moet worden beheerst.

Als u resources wilt implementeren in een virtueel Azure-netwerk en verkeer wilt beheren, moet u beheerdersbevoegdheden hebben voor het virtuele netwerk waarin u het beheerde domein implementeert.

Om ervoor te zorgen dat Azure RBAC consistent werkt en veilige toegang tot alle resources die Domain Services gebruikt, moeten het beheerde domein en het virtuele netwerk deel uitmaken van dezelfde Microsoft Entra-tenant.

De volgende regels zijn van toepassing op implementaties:

• Een Microsoft Entra-directory kan meerdere Azure-abonnementen hebben.
• Een Azure-abonnement kan meerdere resources hebben, zoals virtuele netwerken.
• Eén beheerd domein is ingeschakeld voor een Microsoft Entra-directory.
• Een beheerd domein kan worden ingeschakeld op een virtueel netwerk dat deel uitmaakt van een van de Azure-abonnementen binnen dezelfde Microsoft Entra-tenant.

Geldige configuratie

In het volgende voorbeeldimplementatiescenario is het door Contoso beheerde domein ingeschakeld in de Microsoft Entra-tenant van Contoso. Het beheerde domein wordt geïmplementeerd in een virtueel netwerk dat deel uitmaakt van een Azure-abonnement dat eigendom is van de Contoso Microsoft Entra-tenant.

Zowel het beheerde domein als het virtuele netwerk behoren tot dezelfde Microsoft Entra-tenant. Deze voorbeeldconfiguratie is geldig en volledig ondersteund.

Niet-overeenkomende tenantconfiguratie

In dit voorbeeldimplementatiescenario is het door Contoso beheerde domein ingeschakeld in de Microsoft Entra-tenant van Contoso. Het beheerde domein wordt echter geïmplementeerd in een virtueel netwerk dat deel uitmaakt van een Azure-abonnement dat eigendom is van de Fabrikam Microsoft Entra-tenant.

Het beheerde domein en het virtuele netwerk behoren tot twee verschillende Microsoft Entra-tenants. Deze voorbeeldconfiguratie is een niet-overeenkomende tenant en wordt niet ondersteund. Het virtuele netwerk moet worden verplaatst naar dezelfde Microsoft Entra-tenant als het beheerde domein.

Het oplossen van de fout met een niet-overeenkomende tenant

Met de volgende twee opties wordt de niet-overeenkomende mapfout opgelost:

• Verwijder eerst het beheerde domein uit uw bestaande Microsoft Entra-directory. Vervolgens maakt een vervangend beheerd domein in dezelfde Microsoft Entra-map als het virtuele netwerk dat u wilt gebruiken. Wanneer u klaar bent, sluit u alle eerder aan het verwijderde domein toegevoegde machines aan op het opnieuw gemaakte beheerde domein.
• Verplaats het Azure-abonnement met het virtuele netwerk naar dezelfde Microsoft Entra-map als het beheerde domein.

Volgende stappen

Zie de gids voor probleemoplossingvoor meer informatie over het oplossen van problemen met Domain Services.