Распространенные ошибки и действия по устранению неполадок для доменных служб Microsoft Entra

В качестве центральной части удостоверения и проверки подлинности для приложений иногда возникают проблемы с доменными службами Microsoft Entra. В случае неполадок следует ориентироваться на сообщения об ошибках и шаги для устранения неполадок, которые помогут устранить проблему. В любое время вы также можете открыть запрос поддержка Azure для получения дополнительной справки по устранению неполадок.

В этой статье приведены действия по устранению распространенных проблем в доменных службах.

Вы не можете включить доменные службы Microsoft Entra для каталога Microsoft Entra

Если у вас возникли проблемы с включением доменных служб, ознакомьтесь со следующими распространенными ошибками и инструкциями по их устранению:

Пример сообщения об ошибке	Решение
Имя aaddscontoso.com уже используется в этой сети. Введите неиспользуемое имя.	Конфликт доменных имен в виртуальной сети
Доменные службы не удалось включить в этом клиенте Microsoft Entra. Служба не имеет достаточных разрешений для приложения, называемого синхронизацией доменных служб Microsoft Entra. Удалите приложение с именем "Синхронизация доменных служб Microsoft Entra" и попробуйте включить доменные службы для клиента Microsoft Entra.	Доменные службы не имеют достаточных разрешений для приложения синхронизации доменных служб Microsoft Entra
Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение доменных служб в клиенте Microsoft Entra не имеет необходимых разрешений для включения доменных служб. Удалите приложение с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64, а затем попробуйте включить доменные службы для клиента Microsoft Entra.	Приложение доменных служб неправильно настроено в клиенте Microsoft Entra
Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение Microsoft Entra отключено в клиенте Microsoft Entra. Включите приложение с идентификатором приложения 00000002-0000-0000-c000-000000000000, а затем попробуйте включить доменные службы для клиента Microsoft Entra.	Приложение Microsoft Graph отключено в клиенте Microsoft Entra

Конфликт доменных имен

Сообщение об ошибке

Имя aaddscontoso.com уже используется в этой сети. Введите неиспользуемое имя.

Решение

Убедитесь, что у вас нет существующей среды AD DS с тем же доменным именем в той же или одноранговой виртуальной сети. Например, у вас может быть домен AD DS с именем aaddscontoso.com, работающий на виртуальных машинах Azure. При попытке включить управляемый домен доменных служб с тем же именем домена aaddscontoso.com в виртуальной сети, запрошенная операция завершается ошибкой.

Причина заключается в конфликте доменных имен в этой виртуальной сети. Поиск DNS проверяет, отвечает ли существующая среда AD DS на запрошенное доменное имя. Чтобы устранить эту ошибку, используйте другое имя для настройки управляемого домена или отмены существующего домена AD DS, а затем повторите попытку, чтобы включить доменные службы.

Недостаточно разрешений

Сообщение об ошибке

Доменные службы не удалось включить в этом клиенте Microsoft Entra. Служба не имеет достаточных разрешений для приложения, называемого синхронизацией доменных служб Microsoft Entra. Удалите приложение с именем "Синхронизация доменных служб Microsoft Entra" и попробуйте включить доменные службы для клиента Microsoft Entra.

Решение

Проверьте, есть ли приложение с именем Microsoft Entra Domain Services Sync в каталоге Microsoft Entra. Если это приложение существует, удалите его, а затем повторите попытку, чтобы включить доменные службы. Чтобы проверить наличие приложения в каталоге и удалить его при необходимости, выполните следующие действия.

1. В Центре администрирования Microsoft Entra выберите идентификатор Microsoft Entra в меню навигации слева.
2. Выберите Корпоративные приложения. Выберите Все приложения в раскрывающемся меню Тип приложения и щелкните Применить.
3. В поле поиска введите синхронизацию доменных служб Microsoft Entra. Если приложение существует, выберите его и нажмите кнопку "Удалить".
4. После удаления приложения повторите попытку включить доменные службы.

Недопустимая конфигурация

Сообщение об ошибке

Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение доменных служб в клиенте Microsoft Entra не имеет необходимых разрешений для включения доменных служб. Удалите приложение с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64, а затем попробуйте включить доменные службы для клиента Microsoft Entra.

Решение

Проверьте наличие существующего приложения с именем AzureActiveDirectoryDomainControllerServices с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64 в каталоге Microsoft Entra. Если это приложение существует, удалите его и повторите попытку, чтобы включить доменные службы.

Используйте следующий скрипт PowerShell, чтобы найти существующий экземпляр приложения и удалить его при необходимости:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Интерфейс Microsoft Graph отключен

Сообщение об ошибке

Доменные службы не удалось включить в этом клиенте Microsoft Entra. Приложение Microsoft Entra отключено в клиенте Microsoft Entra. Включите приложение с идентификатором приложения 00000002-0000-0000-c000-000000000000, а затем попробуйте включить доменные службы для клиента Microsoft Entra.

Решение

Проверьте, отключено ли приложение с идентификатором 00000002-0000-0000-c000-000000000000. Это приложение Microsoft Entra и предоставляет API Graph доступ к клиенту Microsoft Entra. Чтобы синхронизировать клиент Microsoft Entra, это приложение должно быть включено.

Чтобы проверить состояние этого приложения и включить его при необходимости, выполните следующие действия.

1. В Центре администрирования Microsoft Entra найдите и выберите корпоративные приложения.
2. Выберите Все приложения в раскрывающемся меню Тип приложения и щелкните Применить.
3. В поле поиска введите 00000002-0000-0000-c000-00000000000. Выберите приложение, а затем щелкните Свойства.
4. Ели для параметра Вход для пользователей включен задано значение Нет, измените значение на Да, а затем выберите Сохранить.
5. После включения приложения повторите попытку включить доменные службы.

Пользователи не могут войти в домен, находящийся под управлением доменных служб Microsoft Entra

Если один или несколько пользователей в клиенте Microsoft Entra не могут войти в управляемый домен, выполните следующие действия по устранению неполадок:

• Формат учетных данных. Для указания учетных данных рекомендуется использовать формат имени участника-пользователя, например dee@aaddscontoso.onmicrosoft.com. Формат имени участника-пользователя — это рекомендуемый способ указать учетные данные в доменных службах. Убедитесь, что имя участника-пользователя настроено правильно в идентификаторе Microsoft Entra.

  Имя для входа в формате SAMAccountName для вашей учетной записи, например AADDSCONTOSO\driley, может создаваться автоматически, если в клиенте зарегистрировано несколько пользователей с одинаковым префиксом имени участника-пользователя или если этот префикс слишком длинный. Таким образом, имя для входа в формате SAMAccountName для вашей учетной записи может отличаться от ожидаемого или используемого в локальном домене.

• Синхронизация паролей. Убедитесь, что вы включили синхронизацию паролей только для облачных пользователей или гибридных сред с помощью Microsoft Entra Подключение.

  • Синхронизированные гибридные учетные записи. Если учетные записи пользователей синхронизируются из локального каталога, убедитесь в следующем.

    • Вы развернули или обновили последнюю рекомендуемую версию Microsoft Entra Подключение.

    • Вы настроили Microsoft Entra Подключение для выполнения полной синхронизации.

    • В зависимости от размера каталога на доступность учетных записей пользователей и хэшей учетных данных в управляемых доменах может потребоваться некоторое время. Подождите необходимое время, прежде чем пытаться пройти проверку подлинности в управляемом домене.

    • Если проблема сохраняется после проверки предыдущих шагов, попробуйте перезапустить службу синхронизации Azure AD. На сервере Microsoft Entra Подключение откройте командную строку, а затем выполните следующие команды:

      net stop 'Microsoft Azure AD Sync'
      net start 'Microsoft Azure AD Sync'
      

  • Облачные учетные записи. Если затронутая учетная запись пользователя является облачной учетной записью, убедитесь, что пользователь изменил пароль после включения доменных служб. При сбросе пароля генерируется хэш учетных данных для управляемого домена.

• Проверьте, что учетная запись активна. По умолчанию при пяти недействительных попытках ввода пароля в течение 2 минут в управляемом домене происходит блокировка учетной записи пользователя на 30 минут. Пользователь не может войти в систему, пока учетная запись заблокирована. Через 30 минут учетная запись пользователя разблокируется автоматически.

  • Недопустимые попытки пароля в управляемом домене не блокируют учетную запись пользователя в идентификаторе Microsoft Entra. Учетная запись пользователя блокируется только в управляемом домене. Проверьте состояние учетной записи пользователя в консоли Active Directory Администратор istrative Console (ADAC) с помощью виртуальной машины управления, а не в идентификаторе Microsoft Entra.
  • Можно также настроить детальные политики паролей, чтобы изменить порог и длительность блокировки по умолчанию.

• Внешние учетные записи. Убедитесь, что затронутая учетная запись не является внешней учетной записью в клиенте Microsoft Entra. Примеры внешних учетных записей включают такие учетные записи Майкрософт, как dee@live.com или учетные записи пользователей из внешнего каталога Microsoft Entra. Доменные службы не хранят учетные данные для внешних учетных записей пользователей, чтобы они не могли войти в управляемый домен.

Имеется одно или несколько оповещений для управляемого домена

Если в управляемом домене есть активные предупреждения, это может препятствовать правильной работе процесса проверки подлинности.

Чтобы проверить наличие активных предупреждений, проверьте состояние работоспособности управляемого домена. Если отображаются предупреждения, устраните неполадки.

Пользователи, удаленные из клиента Microsoft Entra, не удаляются из управляемого домена.

Идентификатор Microsoft Entra защищает от случайного удаления объектов пользователей. При удалении учетной записи пользователя из клиента Microsoft Entra соответствующий объект пользователя перемещается в корзину. При синхронизации этой операции удаления с управляемым доменом соответствующая учетная запись пользователя удаляется, так как доменные службы не имеют корзины.

Если учетная запись пользователя восстановлена в клиенте, доменные службы извлекает все ссылки для учетной записи при синхронизации изменения с управляемым доменом. Учетная запись пользователя в управляемом домене получает новый глобальный уникальный идентификатор (GUID) и идентификатор безопасности (SID).

Следующие шаги

Если у вас по-прежнему возникли проблемы, откройте запрос поддержка Azure для получения дополнительной справки по устранению неполадок.