Partilhar via


Erros comuns e etapas de solução de problemas para os Serviços de Domínio Microsoft Entra

Como parte central da identidade e autenticação para aplicativos, os Serviços de Domínio Microsoft Entra às vezes têm problemas. Se você tiver problemas, há algumas mensagens de erro comuns e etapas de solução de problemas associadas para ajudá-lo a executar as coisas novamente. A qualquer momento, você também pode abrir uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.

Este artigo fornece etapas de solução de problemas para problemas comuns nos Serviços de Domínio.

Não é possível ativar os Serviços de Domínio do Microsoft Entra para o diretório do Microsoft Entra

Se você tiver problemas para habilitar os Serviços de Domínio, revise os seguintes erros comuns e as etapas para resolvê-los:

Mensagem de erro de exemplo Resolução
O nome aaddscontoso.com já está em uso nesta rede. Especifique um nome que não esteja a ser utilizado. Conflito de nome de domínio na rede virtual
Os Serviços de Domínio não puderam ser habilitados neste locatário do Microsoft Entra. O serviço não tem permissões adequadas para o aplicativo chamado Microsoft Entra Domain Services Sync. Exclua o aplicativo chamado 'Microsoft Entra Domain Services Sync' e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. Os Serviços de Domínio não têm permissões adequadas para o aplicativo Microsoft Entra Domain Services Sync
Os Serviços de Domínio não puderam ser habilitados neste locatário do Microsoft Entra. O aplicativo Serviços de Domínio em seu locatário do Microsoft Entra não tem as permissões necessárias para habilitar os Serviços de Domínio. Exclua o aplicativo com o identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. O aplicativo Serviços de Domínio não está configurado corretamente em seu locatário do Microsoft Entra
Os Serviços de Domínio não puderam ser habilitados neste locatário do Microsoft Entra. O aplicativo Microsoft Entra está desabilitado em seu locatário do Microsoft Entra. Habilite o aplicativo com o identificador de aplicativo 00000002-0000-0000-c000-000000000000 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra. O aplicativo Microsoft Graph está desabilitado em seu locatário do Microsoft Entra

Conflito de nomes de domínio

Mensagem de Erro

O nome aaddscontoso.com já está em uso nesta rede. Especifique um nome que não esteja a ser utilizado.

Resolução

Verifique se você não tem um ambiente AD DS existente com o mesmo nome de domínio na mesma rede virtual ou emparelhada. Por exemplo, você pode ter um domínio do AD DS chamado aaddscontoso.com que é executado em VMs do Azure. Quando você tenta habilitar um domínio gerenciado de serviços de domínio com o mesmo nome de domínio de aaddscontoso.com na rede virtual, a operação solicitada falha.

Esta falha deve-se a conflitos de nomes para o nome de domínio na rede virtual. Uma pesquisa de DNS verifica se um ambiente AD DS existente responde no nome de domínio solicitado. Para resolver essa falha, use um nome diferente para configurar seu domínio gerenciado ou desprovisione o domínio AD DS existente e tente habilitar novamente os Serviços de Domínio.

Permissões inadequadas

Mensagem de Erro

Os Serviços de Domínio não puderam ser habilitados neste locatário do Microsoft Entra. O serviço não tem permissões adequadas para o aplicativo chamado Microsoft Entra Domain Services Sync. Exclua o aplicativo chamado 'Microsoft Entra Domain Services Sync' e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.

Resolução

Verifique se há um aplicativo chamado Microsoft Entra Domain Services Sync no diretório do Microsoft Entra. Se esta aplicação existir, elimine-a e, em seguida, tente novamente ativar os Serviços de Domínio. Para verificar se há um aplicativo existente e excluí-lo, se necessário, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, selecione ID do Microsoft Entra no menu de navegação à esquerda.
  2. Selecione Aplicações empresariais. Escolha Todos os aplicativos no menu suspenso Tipo de aplicativo e selecione Aplicar.
  3. Na caixa de pesquisa, digite Microsoft Entra Domain Services Sync. Se o aplicativo existir, selecione-o e escolha Excluir.
  4. Depois de excluir o aplicativo, tente ativar os Serviços de Domínio novamente.

Configuração inválida

Mensagem de Erro

Os Serviços de Domínio não puderam ser habilitados neste locatário do Microsoft Entra. O aplicativo Serviços de Domínio em seu locatário do Microsoft Entra não tem as permissões necessárias para habilitar os Serviços de Domínio. Exclua o aplicativo com o identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.

Resolução

Verifique se você tem um aplicativo existente chamado AzureActiveDirectoryDomainControllerServices com um identificador de aplicativo d87dcbc6-a371-462e-88e3-28ad15ec4e64 no diretório do Microsoft Entra. Se esta aplicação existir, elimine-a e, em seguida, tente novamente ativar os Serviços de Domínio.

Use o seguinte script do PowerShell para procurar uma instância de aplicativo existente e excluí-la, se necessário:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph desativado

Mensagem de Erro

Os Serviços de Domínio não puderam ser habilitados neste locatário do Microsoft Entra. O aplicativo Microsoft Entra está desabilitado em seu locatário do Microsoft Entra. Habilite o aplicativo com o identificador de aplicativo 00000002-0000-0000-c000-000000000000 e tente habilitar os Serviços de Domínio para seu locatário do Microsoft Entra.

Resolução

Verifique se você desativou um aplicativo com o identificador 00000002-0000-0000-c000-000000000000. Este aplicativo é o aplicativo Microsoft Entra e fornece acesso à API do Graph para seu locatário do Microsoft Entra. Para sincronizar seu locatário do Microsoft Entra, este aplicativo deve estar habilitado.

Para verificar o status deste aplicativo e habilitá-lo, se necessário, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, procure e selecione Aplicações empresariais.
  2. Escolha Todos os aplicativos no menu suspenso Tipo de aplicativo e selecione Aplicar.
  3. Na caixa de pesquisa, digite 00000002-0000-0000-c000-00000000000. Selecione o aplicativo e, em seguida, escolha Propriedades.
  4. Se Habilitado para os usuários entrarem estiver definido como Não, defina o valor como Sim e selecione Salvar.
  5. Depois de habilitar o aplicativo, tente habilitar os Serviços de Domínio novamente.

Os utilizadores não conseguem iniciar sessão no domínio gerido pelo Microsoft Entra Domain Services

Se um ou mais usuários em seu locatário do Microsoft Entra não puderem entrar no domínio gerenciado, conclua as seguintes etapas de solução de problemas:

  • Formato de credenciais - Tente usar o formato UPN para especificar credenciais, como dee@aaddscontoso.onmicrosoft.com. O formato UPN é a maneira recomendada de especificar credenciais nos Serviços de Domínio. Certifique-se de que este UPN está configurado corretamente no Microsoft Entra ID.

    O SAMAccountName da sua conta, como AADDSCONTOSO\driley , pode ser gerado automaticamente se houver vários usuários com o mesmo prefixo UPN no locatário ou se o prefixo UPN for muito longo. Portanto, o formato SAMAccountName para sua conta pode ser diferente do que você espera ou usa em seu domínio local.

  • Sincronização de palavra-passe - Certifique-se de que ativou a sincronização de palavra-passe para utilizadores apenas na nuvem ou para ambientes híbridos que utilizem o Microsoft Entra Connect.

    • Contas sincronizadas híbridas: se as contas de usuário afetadas forem sincronizadas a partir de um diretório local, verifique as seguintes áreas:

      • Você implantou ou atualizou para a versão recomendada mais recente do Microsoft Entra Connect.

      • Você configurou o Microsoft Entra Connect para executar uma sincronização completa.

      • Dependendo do tamanho do diretório, pode demorar um pouco para que as contas de usuário e hashes de credenciais estejam disponíveis no domínio gerenciado. Certifique-se de esperar tempo suficiente antes de tentar autenticar no domínio gerenciado.

      • Se o problema persistir depois de verificar as etapas anteriores, tente reiniciar o Serviço de Sincronização do Azure AD. No servidor Microsoft Entra Connect, abra um prompt de comando e execute os seguintes comandos:

        net stop 'Microsoft Azure AD Sync'
        net start 'Microsoft Azure AD Sync'
        
    • Contas apenas na nuvem: se a conta de utilizador afetada for uma conta de utilizador apenas na nuvem, certifique-se de que o utilizador alterou a respetiva palavra-passe depois de ativar os Serviços de Domínio. Essa redefinição de senha faz com que os hashes de credenciais necessários para o domínio gerenciado sejam gerados.

  • Verifique se a conta de usuário está ativa: por padrão, cinco tentativas de senha inválidas em 2 minutos no domínio gerenciado fazem com que uma conta de usuário seja bloqueada por 30 minutos. O utilizador não consegue iniciar sessão enquanto a conta está bloqueada. Após 30 minutos, a conta de utilizador é automaticamente desbloqueada.

    • Tentativas de senha inválidas no domínio gerenciado não bloqueiam a conta de usuário no Microsoft Entra ID. A conta de usuário é bloqueada somente dentro do domínio gerenciado. Verifique o status da conta de usuário no Console Administrativo do Ative Directory (ADAC) usando a VM de gerenciamento, não na ID do Microsoft Entra.
    • Você também pode configurar políticas de senha refinadas para alterar o limite e a duração do bloqueio padrão.
  • Contas externas - Verifique se a conta de usuário afetada não é uma conta externa no locatário do Microsoft Entra. Exemplos de contas externas incluem contas da Microsoft como dee@live.com ou contas de usuário de um diretório externo do Microsoft Entra. Os Serviços de Domínio não armazenam credenciais para contas de utilizadores externos, pelo que não podem iniciar sessão no domínio gerido.

Há um ou mais alertas no seu domínio gerenciado

Se houver alertas ativos no domínio gerenciado, isso pode impedir que o processo de autenticação funcione corretamente.

Para ver se há alertas ativos, verifique o status de integridade de um domínio gerenciado. Se algum alerta for mostrado, solucione-o e resolva-o.

Os usuários removidos do locatário do Microsoft Entra não são removidos do domínio gerenciado

O Microsoft Entra ID protege contra a exclusão acidental de objetos do usuário. Quando você exclui uma conta de usuário de um locatário do Microsoft Entra, o objeto de usuário correspondente é movido para a lixeira. Quando essa operação de exclusão é sincronizada com seu domínio gerenciado, a conta de usuário correspondente é excluída porque os Serviços de Domínio não têm uma lixeira.

Se a conta de usuário for restaurada no locatário, os Serviços de Domínio buscarão todos os links para a conta quando sincronizarem a alteração para o domínio gerenciado. A conta de usuário no domínio gerenciado recebe um novo identificador global exclusivo (GUID) e ID de segurança (SID).

Próximos passos

Se continuar a ter problemas, abra um pedido de suporte do Azure para obter mais ajuda para a resolução de problemas.