Compartilhar via


Erros comuns e etapas de solução de problemas para o Microsoft Entra Domain Services

Como parte central da identidade e autenticação para aplicativos, às vezes o Microsoft Entra Domain Services apresenta problemas. Caso enfrente problemas, há algumas mensagens de erro comuns e etapas de solução de problemas associadas para ajudar a fazer as coisas funcionarem novamente. A qualquer momento, também é possível, abrir uma solicitação de suporte do Azure para obter mais ajuda na solução de problemas.

Este artigo fornece etapas para solução de problemas comuns no Domain Services.

Você não pode habilitar o Microsoft Entra Domain Services para seu diretório do Microsoft Entra

Caso tenha problemas para habilitar o Domain Services, confira os seguintes erros comuns e as etapas para resolvê-los:

Mensagem de erro de exemplo Resolução
O nome aaddscontoso.com já está em uso nesta rede. Especifique um nome que não esteja em uso. Conflito de nome de domínio na rede virtual
Não foi possível habilitar os Serviços de Domínio neste locatário do Microsoft Entra. O serviço não tem permissões adequadas no aplicativo chamado Sincronização do Microsoft Entra Domain Services. Exclua o aplicativo chamado “Sincronização do Microsoft Entra Domain Services” e tente habilitar o Domain Services para seu locatário do Microsoft Entra. Os Serviços de Domínio não têm as permissões adequadas para o aplicativo de sincronização do Microsoft Entra Domain Services
Não foi possível habilitar os Serviços de Domínio neste locatário do Microsoft Entra. O aplicativo Serviços de Domínio no seu locatário do Microsoft Entra não tem as permissões necessárias para habilitar os Serviços de Domínio. Exclua o aplicativo com o identificador d87dcbc6-a371-462e-88e3-28ad15ec4e64 e tente habilitar os Serviços de Domínio para o seu locatário do Microsoft Entra. O aplicativo Serviços de Domínio não foi configurado corretamente em seu locatário do Microsoft Entra
Não foi possível habilitar os Serviços de Domínio neste locatário do Microsoft Entra. O aplicativo do Microsoft Entra está desabilitado em seu locatário do Microsoft Entra. Habilite o aplicativo com o identificador de aplicativo 00000002-0000-0000-c000-000000000000 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. O aplicativo Microsoft Graph está desabilitado no seu locatário do Microsoft Entra

Conflito de nome de domínio

Mensagem de erro

O nome aaddscontoso.com já está em uso nesta rede. Especifique um nome que não esteja em uso.

Resolução

Verifique se não tem um ambiente de AD DS existente com o mesmo nome de domínio na mesma ou em uma rede virtual emparelhada. Por exemplo, pode haver um domínio AD DS chamado aaddscontoso.com que executa em VMs do Azure. Quando você tenta habilitar um domínio gerenciado do Domain Services com o mesmo nome de domínio do aaddscontoso.com na rede virtual, ocorre uma falha na operação solicitada.

Essa falha ocorre devido a conflitos de nome com o nome de domínio na rede virtual. Uma pesquisa DNS verifica se um ambiente de AD DS existente responde no nome de domínio solicitado. Para resolver essa falha, use um nome diferente para configurar o domínio gerenciado ou desprovisione o domínio existente do AD DS e tente habilitar o Domain Services novamente.

Permissões inadequadas

Mensagem de erro

Não foi possível habilitar os Serviços de Domínio neste locatário do Microsoft Entra. O serviço não tem permissões adequadas no aplicativo chamado Sincronização do Microsoft Entra Domain Services. Exclua o aplicativo chamado “Sincronização do Microsoft Entra Domain Services” e tente habilitar o Domain Services para seu locatário do Microsoft Entra.

Resolução

Verifique se há um aplicativo chamado Microsoft Entra Domain Services Sync no diretório do Microsoft Entra. Se esse aplicativo existir, exclua-o e tente habilitar o Domain Services novamente. Para verificar se há um aplicativo existente e excluí-lo, se necessário, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, selecione Microsoft Entra ID no menu de navegação à esquerda.
  2. Selecione Aplicativos empresariais. Selecione Todos os aplicativos no menu suspenso Tipo de aplicativo e, sem seguida, Aplicar.
  3. Na caixa de pesquisa, insira Microsoft Entra Domain Services Sync. Se o aplicativo existir, selecione-o e escolha Excluir.
  4. Depois de excluir o aplicativo, tente habilitar o Domain Services novamente.

Configuração inválida

Mensagem de erro

Não foi possível habilitar os Serviços de Domínio neste locatário do Microsoft Entra. O aplicativo Serviços de Domínio no seu locatário do Microsoft Entra não tem as permissões necessárias para habilitar os Serviços de Domínio. Exclua o aplicativo com o identificador d87dcbc6-a371-462e-88e3-28ad15ec4e64 e tente habilitar os Serviços de Domínio para o seu locatário do Microsoft Entra.

Resolução

Verifique se existe um aplicativo com o nome AzureActiveDirectoryDomainControllerServices com um identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 no diretório do Microsoft Entra. Se esse aplicativo existir, exclua-o e tente habilitar o Domain Services novamente.

Use o seguinte script do PowerShell para procurar uma instância de aplicativo existente e excluí-la, se necessário:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph desabilitado

Mensagem de erro

Não foi possível habilitar os Serviços de Domínio neste locatário do Microsoft Entra. O aplicativo do Microsoft Entra está desabilitado em seu locatário do Microsoft Entra. Habilite o aplicativo com o identificador de aplicativo 00000002-0000-0000-c000-000000000000 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.

Resolução

Verifique se desabilitou um aplicativo com o identificador 00000002-0000-0000-c000-000000000000. Esse aplicativo é o aplicativo do Microsoft Entra e fornece acesso à API do Graph para o locatário do Microsoft Entra. Para sincronizar o locatário do Microsoft Entra, esse aplicativo deve ser habilitado.

Para verificar o status desse aplicativo e habilitá-lo, se necessário, conclua as seguintes etapas:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Aplicativos empresariais.
  2. Selecione Todos os aplicativos no menu suspenso Tipo de aplicativo e, sem seguida, Aplicar.
  3. Na caixa de pesquisa, digite 00000002-0000-0000-c000-00000000000. Selecione o aplicativo e, em seguida, escolha Propriedades.
  4. Se Habilitado para que os usuários se conectem estiver definido como não, defina o valor como Sime, em seguida, selecione Salvar.
  5. Depois de habilitar o aplicativo, tente habilitar o Domain Services novamente.

Os usuários não conseguem entrar no domínio gerenciado pelo Microsoft Entra Domain Services

Se um ou mais usuários no locatário do Microsoft Entra não conseguirem entrar no domínio gerenciado recém-criado, execute as seguintes etapas de solução de problemas:

  • Formato das credenciais – tente usar o formato UPN para especificar as credenciais, como dee@aaddscontoso.onmicrosoft.com. O formato UPN é a maneira recomendada para especificar as credenciais no Domain Services. Verifique se o UPN está configurado corretamente no Microsoft Entra ID.

    O SAMAccountName para sua conta poderá ser gerado automaticamente, como AADDSCONTOSO\driley se houver vários usuários com o mesmo prefixo UPN no locatário ou se o prefixo UPN for muito longo. Portanto, o formato SAMAccountName para sua conta pode ser diferente do que você espera ou usa em seu domínio local.

  • Sincronização de senha – Verifique se habilitou a sincronização de senha para usuários somente de nuvem ou para ambientes híbridos usando o Microsoft Entra Connect.

    • Contas sincronizadas híbridas: se as contas de usuário afetadas forem sincronizadas de um diretório local, verifique as seguintes áreas:

      • Você implantou ou atualizou para a versão recomendada mais recente do Microsoft Entra Connect.

      • Você configurou o Microsoft Entra Connect para executar uma sincronização completa.

      • Dependendo do tamanho do diretório, pode levar algum tempo para que as contas de usuário e os hashes de credenciais fiquem disponíveis no domínio gerenciado. Certifique-se de Aguardar tempo suficiente antes de tentar autenticar no domínio gerenciado.

      • Se o problema persistir depois de verificar as etapas anteriores, experimente reiniciar o Serviços de Sincronização do Microsoft Azure Active Directory. Do servidor do Microsoft Entra Connect, abra um prompt de comando e execute os seguintes comandos:

        net stop 'Microsoft Azure AD Sync'
        net start 'Microsoft Azure AD Sync'
        
    • Contas somente em nuvem: se a conta de usuário afetado for uma conta de usuário somente em nuvem, verifique se o usuário alterou a senha depois que você habilitou o Domain Services. A redefinição de senha faz com que os hashes de credencial necessários para o domínio gerenciado sejam gerados.

  • Verifique se a conta de usuário está ativa: por padrão, cinco tentativas de senha inválida em dois minutos no domínio gerenciado fazem com que uma conta de usuário seja bloqueada por 30 minutos. O usuário não pode entrar enquanto a conta está bloqueada. Após 30 minutos, a conta de usuário será desbloqueada automaticamente.

    • Tentativas de senha inválida no domínio gerenciado não bloqueiam a conta de usuário no Microsoft Entra ID. A conta de usuário é bloqueada somente no domínio gerenciado. Verifique o status da conta de usuário no Console Administrativo do Active Directory (ADAC) usando a VM de gerenciamento, não no Microsoft Entra ID.
    • Também é possível Configurar políticas de senha refinadas para alterar o limite e a duração do bloqueio padrão.
  • Contas externas – verifique se a conta de usuário afetada não é uma conta externa no locatário do Microsoft Entra. Exemplos de contas externas incluem as contas da Microsoft como dee@live.com ou as contas de usuário de um diretório externo do Microsoft Entra. O Domain Services não armazena as credenciais de contas de usuário externas para que elas não possam entrar no domínio gerenciado.

Há um ou mais alertas no seu domínio gerenciado

Se houver alertas ativos no domínio gerenciado, isso poderá impedir que o processo de autenticação funcione corretamente.

Para ver se há alertas ativos, verifique o status de integridade de um domínio gerenciado. Se algum alerta for mostrado, solucione-o e resolva-o.

Os usuários removidos do seu locatário do Microsoft Entra não são removidos do seu domínio gerenciado

O Microsoft Entra ID protege contra exclusão acidental de objetos de usuário. Quando excluir uma conta de usuário de um locatário do Microsoft Entra, o objeto de usuário correspondente será movido para a lixeira. Quando essa operação de exclusão é sincronizada com seu domínio gerenciado, a conta de usuário correspondente é excluída porque os Domain Services não têm uma lixeira.

Se a conta de usuário for restaurada no locatário, os Domain Services buscarão todos os links para a conta quando ela sincronizar a alteração para o domínio gerenciado. A conta de usuário no domínio gerenciado obtém um novo GUID (identificador global exclusivo) e uma SID (ID de segurança).

Próximas etapas

Caso ainda tenha problemas, abra uma solicitação de suporte do Azure para obter mais ajuda para a solução de problemas.