Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Como parte central da identidade e autenticação para aplicativos, às vezes o Microsoft Entra Domain Services apresenta problemas. Se você tiver problemas, haverá algumas mensagens de erro comuns e etapas de solução de problemas associadas para ajudá-lo a executar as coisas novamente. A qualquer momento, também é possível, abrir uma solicitação de suporte do Azure para obter mais ajuda na solução de problemas.
Este artigo fornece etapas de solução de problemas comuns nos Serviços de Domínio.
Você não pode habilitar o Microsoft Entra Domain Services para seu diretório do Microsoft Entra
Se você tiver problemas para habilitar os Serviços de Domínio, examine os seguintes erros comuns e etapas para resolvê-los:
| Mensagem de erro de exemplo | Resolução |
|---|---|
| O nome aaddscontoso.com já está em uso nesta rede. Especifique um nome que não esteja em uso. | Conflito de nome de domínio na rede virtual |
| Os Serviços de Domínio não puderam ser habilitados neste tenant do Microsoft Entra. O serviço não tem permissões adequadas para o aplicativo chamado Microsoft Entra Domain Services Sync. Exclua o aplicativo chamado "Sincronização do Microsoft Entra Domain Services" e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. | Os Serviços de Domínio não têm permissões adequadas para o aplicativo Microsoft Entra Domain Services Sync |
| Os Serviços de Domínio não puderam ser habilitados neste tenant do Microsoft Entra. O aplicativo Serviços de Domínio em seu locatário do Microsoft Entra não tem as permissões necessárias para habilitar os Serviços de Domínio. Exclua o aplicativo com o identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. | O aplicativo de Serviços de Domínio não está configurado corretamente em seu locatário do Microsoft Entra |
| Os Serviços de Domínio não puderam ser habilitados neste tenant do Microsoft Entra. O aplicativo Microsoft Entra está desabilitado em seu locatário do Microsoft Entra. Habilite o aplicativo com o identificador de aplicativo 00000002-0000-0000-c0000-0000000000000 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. | O aplicativo Microsoft Graph está desabilitado em seu locatário do Microsoft Entra |
Conflito de nome de domínio
Mensagem de erro
O nome aaddscontoso.com já está em uso nesta rede. Especifique um nome que não esteja em uso.
Resolução
Verifique se você não tem um ambiente AD DS existente com o mesmo nome de domínio na mesma rede virtual ou em uma rede virtual emparelhada. Por exemplo, você pode ter um domínio do AD DS chamado aaddscontoso.com que é executado em VMs do Azure. Quando você tenta habilitar um domínio gerenciado dos Serviços de Domínio com o mesmo nome de domínio de aaddscontoso.com na rede virtual, a operação solicitada falha.
Essa falha ocorre devido a conflitos de nome para o nome de domínio na rede virtual. Uma pesquisa de DNS verifica se um ambiente de AD DS já existente responde no nome de domínio solicitado. Para resolver essa falha, use um nome diferente para configurar seu domínio gerenciado ou desprovisione o domínio existente do AD DS e tente novamente habilitar os Serviços de Domínio.
Permissões inadequadas
Mensagem de erro
Os Serviços de Domínio não puderam ser habilitados neste tenant do Microsoft Entra. O serviço não tem permissões adequadas para o aplicativo chamado Microsoft Entra Domain Services Sync. Exclua o aplicativo chamado "Sincronização do Microsoft Entra Domain Services" e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.
Resolução
Verifique se há um aplicativo chamado Microsoft Entra Domain Services Sync no diretório do Microsoft Entra. Se esse aplicativo existir, exclua-o e tente novamente habilitar os Serviços de Domínio. Para verificar se há um aplicativo existente e excluí-lo, se necessário, conclua as seguintes etapas:
- No centro de administração do Microsoft Entra, selecione a ID do Microsoft Entra no menu de navegação à esquerda.
- Selecione Aplicativos empresariais. Escolha Todos os aplicativos no menu suspenso Tipo de Aplicativo e selecione Aplicar.
- Na caixa de pesquisa, insira a Sincronização do Microsoft Entra Domain Services. Se o aplicativo existir, selecione-o e escolha Excluir.
- Depois de excluir o aplicativo, tente habilitar os Serviços de Domínio novamente.
Configuração inválida
Mensagem de erro
Os Serviços de Domínio não puderam ser habilitados neste tenant do Microsoft Entra. O aplicativo Serviços de Domínio em seu locatário do Microsoft Entra não tem as permissões necessárias para habilitar os Serviços de Domínio. Exclua o aplicativo com o identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.
Resolução
Verifique se você tem um aplicativo existente chamado AzureActiveDirectoryDomainControllerServices com um identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 no diretório do Microsoft Entra. Se esse aplicativo existir, exclua-o e tente novamente habilitar os Serviços de Domínio.
Use o seguinte script do PowerShell para pesquisar uma instância de aplicativo existente e excluí-la, se necessário:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph desabilitado
Mensagem de erro
Os Serviços de Domínio não puderam ser habilitados neste tenant do Microsoft Entra. O aplicativo Microsoft Entra está desabilitado em seu locatário do Microsoft Entra. Habilite o aplicativo com o identificador de aplicativo 00000002-0000-0000-c0000-0000000000000 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.
Resolução
Verifique se você desabilitou um aplicativo com o identificador 00000002-0000-0000-c0000-0000000000000000. Este aplicativo é o Microsoft Entra e fornece acesso à API Graph para o seu locatário do Microsoft Entra. Para sincronizar seu locatário do Microsoft Entra, este aplicativo deve estar habilitado.
Para verificar o status deste aplicativo e habilitá-lo, se necessário, conclua as seguintes etapas:
- No centro de administração do Microsoft Entra, pesquise e selecione Aplicativos empresariais.
- Escolha Todos os aplicativos no menu suspenso Tipo de Aplicativo e selecione Aplicar.
- Na caixa de pesquisa, insira 00000002-0000-0000-c000-00000000000000. Selecione o aplicativo e escolha Propriedades.
- Se habilitado para os usuários entrarem for definido como Não, defina o valor como Sim e selecione Salvar.
- Depois de habilitar o aplicativo, tente habilitar os Serviços de Domínio novamente.
Os usuários não conseguem entrar no domínio gerenciado pelo Microsoft Entra Domain Services
Se um ou mais usuários em seu locatário do Microsoft Entra não puderem entrar no domínio gerenciado, conclua as seguintes etapas de solução de problemas:
Formato de credenciais – tente usar o formato UPN para especificar credenciais, como
dee@aaddscontoso.onmicrosoft.com. O formato UPN é a maneira recomendada de especificar credenciais nos Serviços de Domínio. Verifique se esse UPN está configurado corretamente na ID do Microsoft Entra.O SAMAccountName para sua conta, como AADDSCONTOSO\driley , poderá ser gerado automaticamente se houver vários usuários com o mesmo prefixo UPN em seu locatário ou se o prefixo UPN for excessivamente longo. Portanto, o formato SAMAccountName para sua conta pode ser diferente do que você espera ou usa em seu domínio local.
Sincronização de senha – verifique se você habilitou a sincronização de senha para usuários somente na nuvem ou para ambientes híbridos usando o Microsoft Entra Connect.
Contas sincronizadas híbridas: Se as contas de usuário afetadas forem sincronizadas de um diretório local, verifique as seguintes áreas:
Você implantou ou atualizou a versão mais recente recomendada do Microsoft Entra Connect.
Você configurou o Microsoft Entra Connect para executar uma sincronização completa.
Dependendo do tamanho do diretório, pode demorar um pouco para que contas de usuário e hashes de credencial estejam disponíveis no domínio gerenciado. Aguarde tempo suficiente antes de tentar se autenticar no domínio gerenciado.
Se o problema persistir depois de verificar as etapas anteriores, tente reiniciar o Serviço de Sincronização do Azure AD. No servidor do Microsoft Entra Connect, abra um prompt de comando e execute os seguintes comandos:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
Contas somente na nuvem: se a conta de usuário afetada for uma conta de usuário somente na nuvem, verifique se o usuário alterou a senha depois que você habilitou os Serviços de Domínio. Essa redefinição de senha faz com que os hashes de credencial necessários para o domínio gerenciado sejam gerados.
Verifique se a conta de usuário está ativa: por padrão, cinco tentativas de senha inválidas em 2 minutos no domínio gerenciado fazem com que uma conta de usuário seja bloqueada por 30 minutos. O usuário não pode entrar enquanto a conta está bloqueada. Após 30 minutos, a conta de usuário é desbloqueada automaticamente.
- Tentativas de senha inválida no domínio gerenciado não bloqueiam a conta de usuário no Microsoft Entra ID. A conta de usuário é bloqueada somente dentro do domínio gerenciado. Verifique o status da conta de usuário no ADAC (Console Administrativo do Active Directory) usando a VM de gerenciamento, não na ID do Microsoft Entra.
- Você também pode configurar políticas de senha refinadas para alterar o limite e a duração do bloqueio padrão.
Contas externas – Verifique se a conta de usuário afetada não é uma conta externa no locatário do Microsoft Entra. Exemplos de contas externas incluem contas da Microsoft como
dee@live.comou contas de usuário de um diretório externo do Microsoft Entra. Os Serviços de Domínio não armazenam credenciais para contas de usuário externas, portanto, eles não podem entrar no domínio gerenciado.
Há um ou mais alertas em seu domínio gerenciado
Se houver alertas ativos no domínio gerenciado, isso poderá impedir que o processo de autenticação funcione corretamente.
Para ver se há alertas ativos, verifique o status de integridade de um domínio gerenciado. Se algum alerta for mostrado, solucione-o e resolva-o.
Usuários removidos do seu locatário do Microsoft Entra não são removidos do domínio gerenciado.
A ID do Microsoft Entra protege contra exclusão acidental de objetos de usuário. Quando você exclui uma conta de usuário de um locatário do Microsoft Entra, o objeto de usuário correspondente é movido para a lixeira. Quando essa operação de exclusão é sincronizada com seu domínio gerenciado, a conta de usuário correspondente é excluída porque os Serviços de Domínio não têm uma lixeira.
Se a conta de usuário for restaurada no locatário, os Domain Services buscarão todos os links para a conta quando ela sincronizar a alteração para o domínio gerenciado. A conta de usuário no domínio gerenciado obtém um novo GUID (identificador global exclusivo) e uma SID (ID de segurança).
Próximas etapas
Se você continuar tendo problemas, abra uma solicitação de suporte do Azure para obter mais ajuda de solução de problemas.