Problemas conhecidos: alertas e resoluções comuns nos Serviços de Domínio do Microsoft Entra

  • Artigo

Como parte central da identidade e autenticação para aplicativos, os Serviços de Domínio Microsoft Entra às vezes têm problemas. Se você tiver problemas, há alguns alertas comuns e etapas de solução de problemas associadas para ajudá-lo a fazer as coisas funcionarem novamente. A qualquer momento, você também pode abrir uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.

Este artigo fornece informações de solução de problemas para alertas comuns nos Serviços de Domínio.

AADDS100: Diretório ausente

Mensagem de alerta

O diretório do Microsoft Entra associado ao seu domínio gerenciado pode ter sido excluído. O domínio gerenciado não está mais em uma configuração suportada. A Microsoft não pode monitorar, gerenciar, corrigir e sincronizar seu domínio gerenciado.

Resolução

Esse erro geralmente é causado quando uma assinatura do Azure é movida para um novo diretório do Microsoft Entra e o diretório antigo do Microsoft Entra associado aos Serviços de Domínio é excluído.

Este erro é irrecuperável. Para resolver o alerta, exclua o domínio gerenciado existente e recrie-o no novo diretório. Se você tiver problemas para excluir o domínio gerenciado, abra uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.

AADDS101: O Azure AD B2C está sendo executado neste diretório

Mensagem de alerta

Os Serviços de Domínio Microsoft Entra não podem ser habilitados em um diretório B2C do Azure AD.

Resolução

Os Serviços de Domínio sincronizam automaticamente com um diretório do Microsoft Entra. Se o diretório do Microsoft Entra estiver configurado para B2C, os Serviços de Domínio não poderão ser implantados e sincronizados.

Para usar os Serviços de Domínio, você deve recriar seu domínio gerenciado em um diretório B2C do AD não Azure usando as seguintes etapas:

  1. Exclua o domínio gerenciado do diretório existente do Microsoft Entra.
  2. Crie um novo diretório do Microsoft Entra que não seja um diretório B2C do Azure AD.
  3. Crie um domínio gerenciado de substituição.

A integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

AADDS103: O endereço está em um intervalo de IP público

Mensagem de alerta

O intervalo de endereços IP para a rede virtual na qual você habilitou os Serviços de Domínio Microsoft Entra está em um intervalo de IP público. Os Serviços de Domínio Microsoft Entra devem estar habilitados em uma rede virtual com um intervalo de endereços IP privados. Essa configuração afeta a capacidade da Microsoft de monitorar, gerenciar, corrigir e sincronizar seu domínio gerenciado.

Resolução

Antes de começar, certifique-se de que compreende os espaços de endereços IP privados v4.

Dentro de uma rede virtual, as VMs podem fazer solicitações aos recursos do Azure no mesmo intervalo de endereços IP configurado para a sub-rede. Se você configurar um intervalo de endereços IP públicos para uma sub-rede, as solicitações roteadas dentro de uma rede virtual podem não alcançar os recursos da Web pretendidos. Essa configuração pode levar a erros imprevisíveis com os Serviços de Domínio.

Nota

Se você possui o intervalo de endereços IP na Internet que está configurado em sua rede virtual, esse alerta pode ser ignorado. No entanto, os Serviços de Domínio Microsoft Entra não podem se comprometer com o SLA com essa configuração, pois isso pode levar a erros imprevisíveis.

Para resolver esse alerta, exclua o domínio gerenciado existente e recrie-o em uma rede virtual com um intervalo de endereços IP privados. Esse processo causa interrupções, pois o domínio gerenciado não está disponível e todos os recursos personalizados que você criou, como UOs ou contas de serviço, são perdidos.

  1. Exclua o domínio gerenciado do diretório.
  2. Para atualizar o intervalo de endereços IP da rede virtual, procure e selecione Rede virtual no Centro de administração do Microsoft Entra. Selecione a rede virtual para Serviços de Domínio que incorretamente tem um intervalo de endereços IP público definido.
  3. Em Configurações, selecione Espaço de Endereço.
  4. Atualize o intervalo de endereços escolhendo o intervalo de endereços existente e editando-o, ou adicionando um intervalo de endereços. Verifique se o novo intervalo de endereços IP está em um intervalo de IP privado. Quando estiver pronto, salve as alterações.
  5. Selecione Sub-redes na navegação à esquerda.
  6. Escolha a sub-rede que deseja editar ou crie outra sub-rede.
  7. Atualize ou especifique um intervalo de endereços IP privados e, em seguida, Salve as alterações.
  8. Crie um domínio gerenciado de substituição. Certifique-se de escolher a sub-rede de rede virtual atualizada com um intervalo de endereços IP privados.

A integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

AADDS106: Sua assinatura do Azure não foi encontrada

Mensagem de alerta

Sua assinatura do Azure associada ao seu domínio gerenciado foi excluída. Os Serviços de Domínio Microsoft Entra requerem uma subscrição ativa para continuarem a funcionar corretamente.

Resolução

Os Serviços de Domínio requerem uma subscrição ativa e não podem ser movidos para uma subscrição diferente. Se a assinatura do Azure à qual o domínio gerenciado foi associado for excluída, você deverá recriar uma assinatura do Azure e um domínio gerenciado.

  1. Crie uma assinatura do Azure.
  2. Exclua o domínio gerenciado do diretório existente do Microsoft Entra.
  3. Crie um domínio gerenciado de substituição.

AADDS107: Sua assinatura do Azure está desabilitada

Mensagem de alerta

Sua assinatura do Azure associada ao seu domínio gerenciado não está ativa. Os Serviços de Domínio Microsoft Entra requerem uma subscrição ativa para continuarem a funcionar corretamente.

Resolução

Os Serviços de Domínio requerem uma subscrição ativa. Se a assinatura do Azure à qual o domínio gerenciado foi associado não estiver ativa, você deverá renová-la para reativar a assinatura.

  1. Renove sua assinatura do Azure.
  2. Depois que a assinatura for renovada, uma notificação dos Serviços de Domínio permitirá reativar o domínio gerenciado.

Quando o domínio gerenciado é habilitado novamente, a integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

AADDS108: Diretórios movidos por assinatura

Mensagem de alerta

A assinatura usada pelos Serviços de Domínio Microsoft Entra foi movida para outro diretório. Os Serviços de Domínio do Microsoft Entra precisam ter uma assinatura ativa no mesmo diretório para funcionar corretamente.

Resolução

Os Serviços de Domínio requerem uma subscrição ativa e não podem ser movidos para uma subscrição diferente. Se a assinatura do Azure à qual o domínio gerenciado foi associado for movida, mova a assinatura de volta para o diretório anterior ou exclua seu domínio gerenciado do diretório existente e crie um domínio gerenciado de substituição na assinatura escolhida.

AADDS109: Não é possível encontrar recursos para o seu domínio gerido

Mensagem de alerta

Um recurso usado para seu domínio gerenciado foi excluído. Este recurso é necessário para que os Serviços de Domínio Microsoft Entra funcionem corretamente.

Resolução

Os Serviços de Domínio criam recursos para funcionar corretamente, como endereços IP públicos, interfaces de rede virtual e um balanceador de carga. Se algum desses recursos for excluído, o domínio gerenciado estará em um estado sem suporte e impedirá que o domínio seja gerenciado. Para obter mais informações sobre esses recursos, consulte Recursos de rede usados pelos Serviços de Domínio.

Esse alerta é gerado quando um desses recursos necessários é excluído. Se o recurso tiver sido excluído há menos de 4 horas, há uma chance de que a plataforma Azure possa recriar automaticamente o recurso excluído. As etapas a seguir descrevem como verificar o status de integridade e o carimbo de data/hora para exclusão de recursos:

  1. No centro de administração do Microsoft Entra, procure e selecione Serviços de Domínio. Escolha seu domínio gerenciado, como aaddscontoso.com.

  2. Na navegação à esquerda, selecione Saúde.

  3. Na página de integridade, selecione o alerta com o ID AADDS109.

  4. O alerta tem um carimbo de data/hora de quando foi encontrado pela primeira vez. Se esse carimbo de data/hora for inferior a 4 horas atrás, a plataforma Azure poderá recriar automaticamente o recurso e resolver o alerta por si só.

    Por diferentes razões, o alerta pode ter mais de 4 horas. Nesse caso, você pode excluir o domínio gerenciado e, em seguida, criar um domínio gerenciado de substituição para uma correção imediata, ou você pode abrir uma solicitação de suporte para corrigir a instância. Dependendo da natureza do problema, o suporte pode exigir uma restauração do backup.

AADDS110: A sub-rede associada ao seu domínio gerenciado está cheia

Mensagem de alerta

A sub-rede selecionada para implantação dos Serviços de Domínio Microsoft Entra está cheia e não tem espaço para o controlador de domínio adicional que precisa ser criado.

Resolução

A sub-rede de rede virtual para Serviços de Domínio precisa de endereços IP suficientes para os recursos criados automaticamente. Esse espaço de endereço IP inclui a necessidade de criar recursos de substituição se houver um evento de manutenção. Para minimizar o risco de ficar sem endereços IP disponíveis, não implante outros recursos, como suas próprias VMs, na mesma sub-rede de rede virtual que o domínio gerenciado.

Este erro é irrecuperável. Para resolver o alerta, exclua o domínio gerenciado existente e recrie-o. Se você tiver problemas para excluir o domínio gerenciado, abra uma solicitação de suporte do Azure para obter mais ajuda.

AADDS111: Entidade de serviço não autorizada

Mensagem de alerta

Uma entidade de serviço que os Serviços de Domínio do Microsoft Entra usa para atender seu domínio não está autorizada a gerenciar recursos na assinatura do Azure. A entidade de serviço precisa obter permissões para atender seu domínio gerenciado.

Resolução

Algumas entidades de serviço geradas automaticamente são usadas para gerenciar e criar recursos para um domínio gerenciado. Se as permissões de acesso para uma dessas entidades de serviço forem alteradas, o domínio não poderá gerenciar recursos corretamente. As etapas a seguir mostram como entender e, em seguida, conceder permissões de acesso a uma entidade de serviço:

  1. Leia sobre o controle de acesso baseado em função do Azure e como conceder acesso a aplicativos no centro de administração do Microsoft Entra.
  2. Revise o acesso que a entidade de serviço com a ID abba844e-bc0e-44b0-947a-dc74e5d09022 tem e conceda o acesso que foi negado em uma data anterior.

AADDS112: Endereço IP insuficiente no domínio gerenciado

Mensagem de alerta

Identificamos que a sub-rede da rede virtual neste domínio pode não ter endereços IP suficientes. Os Serviços de Domínio Microsoft Entra precisam de pelo menos dois endereços IP disponíveis na sub-rede em que estão habilitados. Recomendamos ter pelo menos 3-5 endereços IP sobressalentes dentro da sub-rede. Isso pode ter ocorrido se outras máquinas virtuais forem implantadas na sub-rede, esgotando assim o número de endereços IP disponíveis ou se houver uma restrição no número de endereços IP disponíveis na sub-rede.

Resolução

A sub-rede de rede virtual para Serviços de Domínio precisa de endereços IP suficientes para os recursos criados automaticamente. Esse espaço de endereço IP inclui a necessidade de criar recursos de substituição se houver um evento de manutenção. Para minimizar o risco de ficar sem endereços IP disponíveis, não implante outros recursos, como suas próprias VMs, na mesma sub-rede de rede virtual que o domínio gerenciado.

Para resolver esse alerta, exclua seu domínio gerenciado existente e recrie-o em uma rede virtual com um intervalo de endereços IP grande o suficiente. Esse processo causa interrupções, pois o domínio gerenciado não está disponível e todos os recursos personalizados que você criou, como UOs ou contas de serviço, são perdidos.

  1. Exclua o domínio gerenciado do diretório.
  2. Para atualizar o intervalo de endereços IP da rede virtual, procure e selecione Rede virtual no Centro de administração do Microsoft Entra. Selecione a rede virtual para o domínio gerenciado que tem o pequeno intervalo de endereços IP.
  3. Em Configurações, selecione Espaço de Endereço.
  4. Atualize o intervalo de endereços escolhendo o intervalo de endereços existente e editando-o, ou adicionando outro intervalo de endereços. Verifique se o novo intervalo de endereços IP é grande o suficiente para o intervalo de sub-redes do domínio gerenciado. Quando estiver pronto, salve as alterações.
  5. Selecione Sub-redes na navegação à esquerda.
  6. Escolha a sub-rede que deseja editar ou crie outra sub-rede.
  7. Atualize ou especifique um intervalo de endereços IP grande o suficiente e, em seguida, salve as alterações.
  8. Crie um domínio gerenciado de substituição. Certifique-se de escolher a sub-rede de rede virtual atualizada com um intervalo de endereços IP grande o suficiente.

A integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

AADDS113: Os recursos são irrecuperáveis

Mensagem de alerta

Os recursos usados pelos Serviços de Domínio Microsoft Entra foram detetados em um estado inesperado e não podem ser recuperados.

Resolução

Os Serviços de Domínio criam recursos para funcionar corretamente, como endereços IP públicos, interfaces de rede virtual e um balanceador de carga. Se algum desses recursos for modificado, o domínio gerenciado estará em um estado sem suporte e não poderá ser gerenciado. Para obter mais informações sobre esses recursos, consulte Recursos de rede usados pelos Serviços de Domínio.

Esse alerta é gerado quando um desses recursos necessários é modificado e não pode ser recuperado automaticamente pelos Serviços de Domínio. Para resolver o alerta, abra uma solicitação de suporte do Azure para corrigir a instância.

AADDS114: Sub-rede inválida

Mensagem de alerta

A sub-rede selecionada para implantação dos Serviços de Domínio Microsoft Entra é inválida e não pode ser usada.

Resolução

Este erro é irrecuperável. Para resolver o alerta, exclua o domínio gerenciado existente e recrie-o. Se você tiver problemas para excluir o domínio gerenciado, abra uma solicitação de suporte do Azure para obter mais ajuda.

AADDS115: Os recursos estão bloqueados

Mensagem de alerta

Um ou mais dos recursos de rede usados pelo domínio gerenciado não podem ser operados, pois o escopo de destino foi bloqueado.

Resolução

Os bloqueios de recursos podem ser aplicados aos recursos do Azure para impedir alterações ou exclusões. Como os Serviços de Domínio são um serviço gerenciado, a plataforma Azure precisa da capacidade de fazer alterações de configuração. Se um bloqueio de recursos for aplicado em alguns dos componentes dos Serviços de Domínio, a plataforma Azure não poderá executar suas tarefas de gerenciamento.

Para verificar se há bloqueios de recursos nos componentes dos Serviços de Domínio e removê-los, conclua as seguintes etapas:

  1. Para cada um dos componentes de rede do domínio gerenciado em seu grupo de recursos, como rede virtual, interface de rede ou endereço IP público, verifique os logs de operação no centro de administração do Microsoft Entra. Esses logs de operação devem indicar por que uma operação está falhando e onde um bloqueio de recurso é aplicado.
  2. Selecione o recurso onde um bloqueio é aplicado e, em seguida, em Bloqueios, selecione e remova o(s) bloqueio(s).

AADDS116: Os recursos estão inutilizáveis

Mensagem de alerta

Um ou mais dos recursos de rede usados pelo domínio gerenciado não podem ser operados devido a restrições de política.

Resolução

As políticas são aplicadas aos recursos e grupos de recursos do Azure que controlam quais ações de configuração são permitidas. Como os Serviços de Domínio são um serviço gerenciado, a plataforma Azure precisa da capacidade de fazer alterações de configuração. Se uma política for aplicada em alguns dos componentes dos Serviços de Domínio, a plataforma Azure poderá não conseguir executar as suas tarefas de gestão.

Para verificar se há políticas aplicadas nos componentes dos Serviços de Domínio e atualizá-las, conclua as seguintes etapas:

  1. Para cada um dos componentes de rede do domínio gerenciado em seu grupo de recursos, como rede virtual, NIC ou endereço IP público, verifique os logs de operação no centro de administração do Microsoft Entra. Esses logs de operação devem indicar por que uma operação está falhando e onde uma política restritiva é aplicada.
  2. Selecione o recurso onde uma política é aplicada e, em Políticas, selecione e edite a política para que seja menos restritiva.

AADDS120: O domínio gerenciado encontrou um erro ao integrar um ou mais atributos personalizados

Mensagem de alerta

As seguintes propriedades de extensão do Microsoft Entra não foram integradas com êxito como um atributo personalizado para sincronização. Isso pode acontecer se uma propriedade entrar em conflito com o esquema interno: [extensões]

Resolução

Aviso

Se o LDAPName de um atributo personalizado entrar em conflito com um atributo de esquema interno do AD existente, ele não poderá ser integrado e resultará em um erro. Entre em contato com o Suporte da Microsoft se o cenário estiver bloqueado. Para obter mais informações, consulte Integração de atributos personalizados.

Revise o alerta de Integridade dos Serviços de Domínio e veja quais propriedades de extensão do Microsoft Entra não foram integradas com êxito. Navegue até a página Atributos Personalizados para localizar o LDAPName de Serviços de Domínio esperado da extensão. Verifique se o LDAPName não entra em conflito com outro atributo de esquema do AD ou se é um dos atributos internos permitidos do AD.

Em seguida, siga estas etapas para tentar integrar novamente o atributo personalizado na página Atributos personalizados :

  1. Selecione os atributos que não foram bem-sucedidos e clique em Remover e Salvar.
  2. Aguarde até que o alerta de integridade seja removido ou verifique se os atributos correspondentes foram removidos da UO AADDSCustomAttributes de uma VM associada a um domínio.
  3. Selecione Adicionar e escolha os atributos desejados novamente e clique em Salvar.

Após a integração bem-sucedida, os Serviços de Domínio voltarão a preencher os usuários e grupos sincronizados com os valores de atributos personalizados integrados. Os valores de atributos personalizados aparecem gradualmente, dependendo do tamanho do locatário. Para verificar o status de preenchimento, vá para Integridade dos Serviços de Domínio e verifique se o carimbo de data/hora do monitor de Sincronização com ID do Microsoft Entra foi atualizado na última hora.

AADDS500: A sincronização não é concluída

Mensagem de alerta

O domínio gerenciado foi sincronizado pela última vez com o Microsoft Entra ID em [date]. Os utilizadores podem não conseguir iniciar sessão no domínio gerido ou as associações de grupo podem não estar sincronizadas com o Azure Active Directory.

Resolução

Verifique a integridade dos Serviços de Domínio para verificar se há alertas que indiquem problemas na configuração do domínio gerenciado. Os problemas com a configuração da rede podem bloquear a sincronização a partir do Microsoft Entra ID. Se conseguir resolver os alertas que indicam um problema de configuração, aguarde duas horas e volte a verificar para ver se a sincronização foi concluída com sucesso.

As seguintes razões comuns fazem com que a sincronização pare num domínio gerido:

  • A conectividade de rede necessária está bloqueada. Para saber mais sobre como verificar se há problemas na rede virtual do Azure e o que é necessário, consulte Solucionar problemas de grupos de segurança de rede e os requisitos de rede para Serviços de Domínio.
  • A sincronização de palavras-passe não foi configurada ou concluída com sucesso quando o domínio gerido foi implementado. Pode configurar a sincronização de palavras-passe para utilizadores apenas na cloud ou utilizadores híbridos a partir do local.

AADDS501: Um backup não foi feito há algum tempo

Mensagem de alerta

O último backup do domínio gerenciado foi feito em [data].

Resolução

Verifique a integridade dos Serviços de Domínio para alertas que indiquem problemas na configuração do domínio gerenciado. Problemas com a configuração de rede podem impedir que a plataforma Azure faça backups com êxito. Se conseguir resolver os alertas que indicam um problema de configuração, aguarde duas horas e volte a verificar para ver se a sincronização foi concluída com sucesso.

AADDS503: Suspensão devido a subscrição desativada

Mensagem de alerta

O domínio gerenciado é suspenso porque a assinatura do Azure associada ao domínio não está ativa.

Resolução

Aviso

Se um domínio gerenciado for suspenso por um longo período de tempo, há o perigo de ele ser excluído. Resolva o motivo da suspensão o mais rapidamente possível. Para obter mais informações, consulte Compreender os estados suspensos dos Serviços de Domínio.

Os Serviços de Domínio requerem uma subscrição ativa. Se a assinatura do Azure à qual o domínio gerenciado foi associado não estiver ativa, você deverá renová-la para reativar a assinatura.

  1. Renove sua assinatura do Azure.
  2. Depois que a assinatura for renovada, uma notificação dos Serviços de Domínio permitirá reativar o domínio gerenciado.

Quando o domínio gerenciado é habilitado novamente, a integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

AADDS504: Suspensão devido a uma configuração inválida

Mensagem de alerta

O domínio gerenciado é suspenso devido a uma configuração inválida. O serviço não consegue gerenciar, corrigir ou atualizar os controladores de domínio para seu domínio gerenciado há muito tempo.

Resolução

Aviso

Se um domínio gerenciado for suspenso por um longo período de tempo, há o perigo de ele ser excluído. Resolva o motivo da suspensão o mais rapidamente possível. Para obter mais informações, consulte Compreender os estados suspensos dos Serviços de Domínio.

Verifique a integridade dos Serviços de Domínio para alertas que indiquem problemas na configuração do domínio gerenciado. Se conseguir resolver alertas que indiquem um problema de configuração, aguarde duas horas e verifique novamente se a sincronização foi concluída. Quando estiver pronto, abra uma solicitação de suporte do Azure para reativar o domínio gerenciado.

AADDS600: Alertas de saúde não resolvidos por 30 dias

Mensagem de alerta

A Microsoft não consegue gerir os controladores de domínio para este domínio gerido devido a alertas de saúde [IDs] não resolvidos. Isso está bloqueando atualizações de segurança críticas, bem como uma migração planejada para o Windows Server 2019 para esses controladores de domínio. Siga as etapas no alerta para resolver o problema. A não resolução desse problema dentro de 30 dias resultará na suspensão do domínio gerenciado.

Resolução

Aviso

Se um domínio gerenciado for suspenso por um longo período de tempo, há o perigo de ele ser excluído. Resolva o motivo da suspensão o mais rapidamente possível. Para obter mais informações, consulte Compreender os estados suspensos dos Serviços de Domínio.

Verifique a integridade dos Serviços de Domínio para alertas que indiquem problemas na configuração do domínio gerenciado. Se conseguir resolver alertas que indiquem um problema de configuração, aguarde seis horas e volte para ver se o alerta foi removido. Abra uma solicitação de suporte do Azure se precisar de assistência.

Próximos passos

Se você ainda tiver problemas, abra uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.