Поделиться через


Известные проблемы: оповещения субъекта-службы в доменных службах Microsoft Entra

Субъекты-службы — это приложения, которые платформа Azure использует для управления, обновления и обслуживания управляемого домена доменных служб Microsoft Entra. При удалении субъекта-службы изменяется функциональность управляемого домена.

Эта статья поможет вам устранить неполадки и ошибки конфигурации субъекта-службы, которые приводят к появлению оповещений.

Оповещение AADDS102: субъект-служба не найден

Текст предупреждения

Субъект-служба, необходимый для правильной работы доменных служб Microsoft Entra, был удален из каталога Microsoft Entra. Эта конфигурация влияет на возможность корпорации Майкрософт наблюдать за управляемым доменом, управлять им, обновлять и синхронизировать его.

При удалении обязательного субъекта-службы платформа Azure не сможет выполнять автоматизированные задачи управления. Возможно, управляемый домен будет неправильно применять обновления или создавать резервные копии.

Проверка отсутствующих субъектов-служб

Чтобы узнать, какие субъекты-службы отсутствуют и требуют повторного создания, выполните указанные ниже действия.

  1. В Центре администрирования Microsoft Entra найдите и выберите корпоративные приложения. Выберите Все приложения в раскрывающемся меню Тип приложения и щелкните Применить.

  2. Выполните поиск по указанным ниже идентификатором приложений. Для Azure Global найдите значение 2565bd9d-da50-47d4-8b85-4c97f669dc36AppId. Для других облаков Azure найдите значение 6ba9a5d4-8456-4118-b521-9c5ca10cdf84AppId. Если существующее приложение не найдено, выполните инструкции из раздела Решение, чтобы создать субъект-службу или повторно зарегистрировать пространство имен.

    Application ID Разрешение
    2565bd9d-da50-47d4-8b85-4c97f669dc36 Восстановление отсутствующего субъекта-службы
    443155a6-77f3-45e3-882b-22b3a8d431fb Повторно зарегистрируйте Microsoft.AAD пространство имен
    abba844e-bc0e-44b0-947a-dc74e5d09022 Повторно зарегистрируйте Microsoft.AAD пространство имен
    d87dcbc6-a371-462e-88e3-28ad15ec4e64 Повторно зарегистрируйте Microsoft.AAD пространство имен

Восстановление отсутствующего субъекта-службы

Если идентификатор приложения 2565bd9d-da50-47d4-8b85-4c97f669dc36 отсутствует в каталоге Microsoft Entra в Azure Global, используйте Microsoft Graph PowerShell, чтобы выполнить следующие действия. Для других облаков Azure используйте значение AppId 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Дополнительные сведения см. в статье Установка Microsoft Graph PowerShell SDK.

  1. При необходимости установите модуль Microsoft Graph PowerShell и импортируйте его следующим образом:

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. Теперь повторно создайте субъект-службу с помощью командлета [New-MgServicePrincipal][/powershell/module/microsoft.graph.applications/new-mgserviceprincipal]:

    New-MgServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
    

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

Повторно зарегистрируйте пространство имен Microsoft Entra

Если идентификатор 443155a6-77f3-45e3-882b-22b3a8d431fbприложения или abba844e-bc0e-44b0-947a-dc74e5d09022d87dcbc6-a371-462e-88e3-28ad15ec4e64 отсутствует в каталоге Microsoft Entra, выполните следующие действия, чтобы повторно зарегистрировать Microsoft.AAD поставщика ресурсов:

  1. В Центре администрирования Microsoft Entra найдите и выберите подписки.
  2. Выберите подписку, связанную с управляемым доменом.
  3. На панели навигации слева выберите Поставщики ресурсов.
  4. Microsoft.AADВыполните поиск, а затем нажмите кнопку "Повторно зарегистрировать".

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

Предупреждение AADDS105: приложение синхронизации пароля устарело

Текст предупреждения

Субъект-служба с идентификатором приложения d87dcbc6-a371-462e-88e3-28ad15ec4e64 был удален и создан снова. Отдых оставляет за несогласованными разрешениями на ресурсы доменных служб Microsoft Entra, необходимые для обслуживания управляемого домена. Это может повлиять на синхронизацию паролей для управляемого домена.

Доменные службы автоматически синхронизируют учетные записи пользователей и учетные данные из идентификатора Microsoft Entra. Если возникла проблема с приложением Microsoft Entra, используемого для этого процесса, синхронизация учетных данных между доменными службами и идентификатором Microsoft Entra ID завершается ошибкой.

Разрешение

Чтобы повторно создать приложение Microsoft Entra, используемое для синхронизации учетных данных, используйте Microsoft Graph PowerShell, чтобы выполнить следующие действия. Дополнительные сведения см. в статье Установка Microsoft Graph PowerShell SDK.

  1. При необходимости установите модуль Microsoft Graph PowerShell и импортируйте его следующим образом:

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. Теперь удалите старое приложение и объект с помощью следующих командлетов PowerShell:

    $app = Get-MgApplication | Where-Object { $_.IdentifierUris -eq 'https://sync.aaddc.activedirectory.windowsazure.com' }
    Remove-MgApplication -ApplicationId $app.Id
    $sp = Get-MgServicePrincipal -Filter "DisplayName eq 'Azure AD Domain Services Sync'"
    Remove-MgServicePrincipal -ServicePrincipalId $sp.Id
    

После удаления обоих приложений платформа Azure автоматически восстановит их и попытается возобновить синхронизацию паролей. Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

Следующие шаги

Если проблемы сохраняются, откройте запрос на поддержку в Azure для получения дополнительной помощи в устранении неполадок.