Известные проблемы: распространенные оповещения и разрешения в доменных службах Microsoft Entra

В качестве центральной части удостоверения и проверки подлинности для приложений иногда возникают проблемы с доменными службами Microsoft Entra. В случае неполадок следует ориентироваться на оповещения и шаги по устранению неполадок, которые помогут решить проблему. В любое время вы также можете открыть запрос поддержка Azure для получения дополнительной справки по устранению неполадок.

В этой статье содержатся сведения об устранении неполадок для распространенных оповещений в доменных службах.

AADDS100: отсутствующий каталог

Текст предупреждения

Возможно, каталог Microsoft Entra, связанный с управляемым доменом, был удален. Управляемый домен больше не является поддерживаемой конфигурацией. Корпорация Майкрософт не может отслеживать, исправлять и синхронизировать управляемый домен, а также управлять им.

Разрешение

Эта ошибка обычно возникает, когда подписка Azure перемещается в новый каталог Microsoft Entra и старый каталог Microsoft Entra, связанный с доменными службами, удаляется.

Эта ошибка является неисправимой. Чтобы устранить оповещение, удалите имеющийся управляемый домен и повторно создайте его в новом каталоге. Если у вас возникли проблемы с удалением управляемого домена, откройте запрос поддержка Azure для получения дополнительной справки по устранению неполадок.

AADDS101: Azure AD B2C выполняется в этом каталоге

Текст предупреждения

Доменные службы Microsoft Entra нельзя включить в каталоге Azure AD B2C.

Разрешение

Доменные службы автоматически синхронизируются с каталогом Microsoft Entra. Если каталог Microsoft Entra настроен для B2C, доменные службы не могут быть развернуты и синхронизированы.

Чтобы использовать доменные службы, необходимо повторно создать управляемый домен в каталоге, отличном от Azure AD B2C, выполнив следующие действия.

1. Удалите управляемый домен из существующего каталога Microsoft Entra.
2. Создайте каталог Microsoft Entra, который не является каталогом Azure AD B2C.
3. Создайте заменяющий управляемый домен.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

AADDS103: адрес находится в общедоступном диапазоне IP-адресов

Текст предупреждения

Диапазон IP-адресов для виртуальной сети, в которой включены доменные службы Microsoft Entra, находится в диапазоне общедоступных IP-адресов. Доменные службы Microsoft Entra должны быть включены в виртуальной сети с диапазоном частных IP-адресов. Эта конфигурация влияет на возможность корпорации Майкрософт наблюдать за управляемым доменом, управлять им, обновлять и синхронизировать его.

Разрешение

Прежде чем начать, убедитесь, что вы осведомлены о частных диапазонах IP-адресов версии 4.

В виртуальной сети виртуальные машины могут выполнять запросы к ресурсам Azure в том же диапазоне IP-адресов, который настроен для подсети. При настройке диапазона общедоступных IP-адресов для подсети запросы, маршрутизируемые в виртуальной сети, могут не достичь нужных веб-ресурсов. Эта конфигурация может привести к непредсказуемым ошибкам с доменными службами.

Примечание.

Если вам принадлежит диапазон IP-адресов в Интернете, настроенный в виртуальной сети, то это оповещение можно игнорировать. Однако доменные службы Microsoft Entra не могут зафиксировать соглашение об уровне обслуживания с этой конфигурацией, так как это может привести к непредсказуемым ошибкам.

Чтобы устранить это оповещение, необходимо удалить имеющийся управляемый домен и повторно создать его в виртуальной сети с частным диапазоном IP-адресов. Этот процесс нарушает работу, так как управляемый домен недоступен и все созданные пользовательские ресурсы, например подразделения или учетные записи служб, теряются.

1. Удалите управляемый домен из имеющегося каталога.
2. Чтобы обновить диапазон IP-адресов виртуальной сети, найдите и выберите виртуальную сеть в Центре администрирования Microsoft Entra. Выберите виртуальную сеть для доменных служб, которые неправильно имеют диапазон общедоступных IP-адресов.
3. Выберите Диапазон адресов в разделе Параметры.
4. Обновите диапазон адресов, выбрав существующий диапазон адресов и изменив его или добавив диапазон адресов. Убедитесь, что новый диапазон IP-адресов находится в частном диапазоне IP-адресов. Когда все будет готово, сохраните изменения.
5. На панели навигации слева щелкните Подсети.
6. Выберите подсеть, которую вы хотите изменить, или создайте другую подсеть.
7. Обновите или укажите диапазон частных IP-адресов, а затем Сохраните изменения.
8. Создайте заменяющий управляемый домен. Обязательно выберите обновленную подсеть виртуальной сети с частным диапазоном IP-адресов.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

AADDS106. Подписка Azure не найдена

Текст предупреждения

Подписка Azure, связанная с управляемым доменом, удалена. Доменные службы Microsoft Entra требуют активной подписки для правильной работы.

Разрешение

Доменные службы требуют активной подписки и не могут быть перемещены в другую подписку. Если подписка Azure, с которой связан управляемый домен, удалена, необходимо повторно создать подписку Azure и управляемый домен.

1. Создайте подписку Azure.
2. Удалите управляемый домен из существующего каталога Microsoft Entra.
3. Создайте заменяющий управляемый домен.

AADDS107. Подписка Azure отключена

Текст предупреждения

Подписка Azure, связанная с управляемым доменом, неактивна. Доменные службы Microsoft Entra требуют активной подписки для правильной работы.

Разрешение

Для доменных служб требуется активная подписка. Если подписка Azure, с которой связан управляемый домен, неактивна, необходимо обновить ее, чтобы повторно активировать подписку.

1. Почему подписка Azure отключена и как активировать ее повторно?
2. После продления подписки уведомление доменных служб позволяет повторно включить управляемый домен.

При повторном включении управляемого домена его работоспособность автоматически обновляется в течение двух часов, а также удаляется оповещение.

AADDS108. Подписка перемещенная в каталоги

Текст предупреждения

Подписка, используемая доменными службами Microsoft Entra, была перемещена в другой каталог. Доменные службы Microsoft Entra должны иметь активную подписку в том же каталоге, чтобы правильно функционировать.

Разрешение

Доменные службы требуют активной подписки и не могут быть перемещены в другую подписку. Если подписка Azure, с которой связан управляемый домен, была перемещена, переместите ее обратно в предыдущий каталог или удалите управляемый домен из существующего каталога и создайте в выбранной подписке заменяющий управляемый домен.

AADDS109. Ресурсы для управляемого домена не найдены

Текст предупреждения

Ресурс, используемый для управляемого домена, удален. Этот ресурс необходим для правильной работы доменных служб Microsoft Entra.

Разрешение

Доменные службы создают ресурсы для правильной работы, таких как общедоступные IP-адреса, интерфейсы виртуальной сети и подсистема балансировки нагрузки. Если любые из вышеперечисленных ресурсов будут удалены, управляемый домен перейдет в неподдерживаемое состояние, что сделает его управление невозможным. Дополнительные сведения об этих ресурсах см. в разделе "Сетевые ресурсы", используемые доменными службами.

Это оповещение создается при удалении одного из этих необходимых ресурсов. Если ресурс был удален менее 4 часов назад, существует вероятность, что платформа Azure может автоматически воссоздать удаленный ресурс. Ниже приведены инструкции по проверке состояния работоспособности и меток времени для удаления ресурсов:

1. В Центре администрирования Microsoft Entra найдите и выберите доменные службы. Выберите нужный управляемый домен, например aaddscontoso.com

2. На панели навигации слева выберите Работоспособность.

3. На странице работоспособности щелкните предупреждение с идентификатором AADDS109.

4. Предупреждение будет отмечено меткой времени, значение которой соответствует времени первого обнаружения оповещения. Если метка времени является значением времени меньше 4 часов назад, платформа Azure может автоматически воссоздать ресурс и разрешить оповещение самостоятельно.

   Существуют разные причины, по каким оповещение может быть обнаружено позже чем 4 часа назад. В этом случае можно удалить управляемый домен, а затем создать заменяющий управляемый домен для немедленного исправления или открыть запрос на поддержку, чтобы исправить экземпляр. В зависимости от характера проблемы поддержка может потребовать восстановления из резервной копии.

AADDS110. Подсеть, связанная с управляемым доменом, переполнена

Текст предупреждения

Подсеть, выбранная для развертывания доменных служб Microsoft Entra, заполнена и не имеет места для дополнительного контроллера домена, который необходимо создать.

Разрешение

Подсеть виртуальной сети для доменных служб требует достаточных IP-адресов для автоматически созданных ресурсов. Этот диапазон IP-адресов предусматривает необходимость создания заменяющих ресурсов в случае события обслуживания. Чтобы свести к минимуму риск выхода из доступных IP-адресов, не развертывайте другие ресурсы, такие как собственные виртуальные машины, в той же подсети виртуальной сети, что и управляемый домен.

Эта ошибка является неисправимой. Чтобы устранить оповещение, удалите имеющийся управляемый домен и заново создайте его. Если у вас возникли проблемы с удалением управляемого домена, откройте запрос поддержка Azure для получения дополнительной помощи.

AADDS111. Субъект-службу не авторизовано

Текст предупреждения

Субъект-служба, использующий доменные службы Microsoft Entra для обслуживания домена, не авторизован для управления ресурсами в подписке Azure. Для обслуживания управляемого домена субъект-службе необходимо получить разрешения.

Разрешение

Для управления и создания ресурсов для управляемого домена используются некоторые автоматически созданные субъекты-службы. При изменении прав доступа для одного из этих субъектов-служб домен не сможет правильно управлять ресурсами. Ниже перечислены шаги, которые помогут в изучении и предоставлении прав доступа к субъекту-службе:

1. Узнайте об управлении доступом на основе ролей Azure и о предоставлении доступа к приложениям в Центре администрирования Microsoft Entra.
2. Проверьте доступ субъекта-службы с идентификатором abba844e-bc0e-44b0-947a-dc74e5d09022 и предоставьте доступ, который был запрещен ранее.

AADDS112. Недостаточно IP-адресов в управляемом домене

Текст предупреждения

Определено, что подсеть виртуальной сети этого домена обладает недостаточным количеством IP-адресов. Доменные службы Microsoft Entra должны иметь по крайней мере два доступных IP-адреса в подсети, в которую она включена. Рекомендуется наличие не менее 3–5 свободных IP-адресов в подсети. Такая ситуация может возникать, если в подсети развернуты другие виртуальные машины, использующие доступные IP-адреса, или ограничено количество доступных IP-адресов в подсети.

Разрешение

Подсеть виртуальной сети для доменных служб требует достаточно IP-адресов для автоматически созданных ресурсов. Этот диапазон IP-адресов предусматривает необходимость создания заменяющих ресурсов в случае события обслуживания. Чтобы свести к минимуму риск выхода из доступных IP-адресов, не развертывайте другие ресурсы, такие как собственные виртуальные машины, в той же подсети виртуальной сети, что и управляемый домен.

Чтобы устранить это оповещение, необходимо удалить имеющийся управляемый домен и повторно создать его в виртуальной сети с достаточно большим диапазоном IP-адресов. Этот процесс нарушает работу, так как управляемый домен недоступен и все созданные пользовательские ресурсы, например подразделения или учетные записи служб, теряются.

1. Удалите управляемый домен из имеющегося каталога.
2. Чтобы обновить диапазон IP-адресов виртуальной сети, найдите и выберите виртуальную сеть в Центре администрирования Microsoft Entra. Выберите виртуальную сеть для управляемого домена с небольшим диапазоном IP-адресов.
3. Выберите Диапазон адресов в разделе Параметры.
4. Обновите диапазон адресов, выбрав существующий диапазон адресов и изменив его или добавив другой диапазон адресов. Убедитесь, что новый диапазон IP-адресов достаточно большой для диапазона подсети управляемого домена. Когда все будет готово, сохраните изменения.
5. На панели навигации слева щелкните Подсети.
6. Выберите подсеть, которую вы хотите изменить, или создайте другую подсеть.
7. Обновите или укажите достаточно большой диапазон IP-адресов, а затем сохраните изменения.
8. Создайте заменяющий управляемый домен. Обязательно выберите обновленную подсеть виртуальной сети с достаточно большим диапазоном IP-адресов.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

AADDS113. Ресурсы невозможно восстановить

Текст предупреждения

Ресурсы, используемые доменными службами Microsoft Entra, обнаружены в неожиданном состоянии и не могут быть восстановлены.

Разрешение

Доменные службы создают ресурсы для правильной работы, таких как общедоступные IP-адреса, интерфейсы виртуальной сети и подсистема балансировки нагрузки. Если любой из этих ресурсов изменен, управляемый домен находится в неподдерживаемом состоянии и не может управляться. Дополнительные сведения об этих ресурсах см. в разделе "Сетевые ресурсы", используемые доменными службами.

Это оповещение создается при изменении одного из этих необходимых ресурсов и не может быть автоматически восстановлено доменными службами. Чтобы устранить оповещение, откройте запрос поддержка Azure для исправления экземпляра.

AADDS114. Подсеть недопустимая

Текст предупреждения

Подсеть, выбранная для развертывания доменных служб Microsoft Entra, является недопустимой и не может использоваться.

Разрешение

Эта ошибка является неисправимой. Чтобы устранить оповещение, удалите имеющийся управляемый домен и заново создайте его. Если у вас возникли проблемы с удалением управляемого домена, откройте запрос поддержка Azure для получения дополнительной помощи.

AADDS115. Ресурсы заблокированы

Текст предупреждения

Один или несколько сетевых ресурсов, используемых в управляемом домене, не могут быть использованы, так как целевая область была заблокирована.

Разрешение

Блокировки ресурсов можно применять к ресурсам Azure, чтобы предотвратить изменение или удаление. Так как доменные службы — это управляемая служба, платформа Azure должна вносить изменения в конфигурацию. Если блокировка ресурсов применяется к некоторым компонентам доменных служб, платформа Azure не может выполнять свои задачи управления.

Чтобы проверка блокировки ресурсов для компонентов доменных служб и удалить их, выполните следующие действия.

1. Для каждого из сетевых компонентов управляемого домена в группе ресурсов, таких как виртуальная сеть, сетевой интерфейс или общедоступный IP-адрес, проверка журналы операций в Центре администрирования Microsoft Entra. В этих журналах операций должно быть указано, почему операция завершается сбоем и к какому ресурсу применяется блокировка.
2. Выберите ресурс, к которому применяется блокировка, а затем в разделе Блокировки выберите и удалите блокировку.

AADDS116. Ресурсы недоступны для использования

Текст предупреждения

Один или несколько сетевых ресурсов, используемых в управляемом домене, не могут быть использованы из-за ограничений политики.

Разрешение

Политики применяются к ресурсам и группам ресурсов Azure, которые определяют, какие действия по настройке разрешены. Так как доменные службы — это управляемая служба, платформа Azure должна вносить изменения в конфигурацию. Если политика применяется к некоторым компонентам доменных служб, платформа Azure может не выполнять свои задачи управления.

Чтобы проверка примененных политик к компонентам доменных служб и обновить их, выполните следующие действия.

1. Для каждого сетевого компонента управляемого домена в группе ресурсов, таких как виртуальная сеть, сетевой адаптер или общедоступный IP-адрес, проверка журналы операций в Центре администрирования Microsoft Entra. В этих журналах операций должно быть указано, почему операция завершается сбоем и к какому ресурсу применяется ограничительная политика.
2. Выберите ресурс, к которому применяется политика, а затем в разделе Политики выберите и измените политику, чтобы она содержала меньше ограничений.

AADDS120. Управляемый домен столкнулся с ошибкой подключения одного или нескольких пользовательских атрибутов.

Текст предупреждения

Следующие свойства расширения Microsoft Entra не успешно подключены в качестве настраиваемого атрибута для синхронизации. Это может произойти, если свойство конфликтует со встроенной схемой: [расширения]

Разрешение

Предупреждение

Если имя LDAPName пользовательского атрибута конфликтует с существующим встроенным атрибутом схемы AD, оно не может быть подключено и приводит к ошибке. Обратитесь к служба поддержки Майкрософт, если ваш сценарий заблокирован. Дополнительные сведения см. в разделе "Подключение настраиваемых атрибутов".

Просмотрите оповещение о работоспособности доменных служб и просмотрите, какие свойства расширения Microsoft Entra не удалось подключить. Перейдите на страницу настраиваемых атрибутов, чтобы найти ожидаемое имя LDAPName доменных служб расширения. Убедитесь, что LDAPName не конфликтует с другим атрибутом схемы AD или что это один из разрешенных встроенных атрибутов AD.

Затем выполните следующие действия, чтобы повторить подключение настраиваемого атрибута на странице настраиваемых атрибутов :

1. Выберите атрибуты, которые были неудачными, а затем нажмите кнопку "Удалить " и "Сохранить".
2. Дождитесь удаления оповещения о работоспособности или убедитесь, что соответствующие атрибуты удалены из подразделения AADDSCustomAttributes из присоединенной к домену виртуальной машины.
3. Нажмите кнопку "Добавить " и снова выберите нужные атрибуты, а затем нажмите кнопку "Сохранить".

После успешного подключения доменные службы будут возвращать синхронизированные пользователи и группы с подключенными значениями настраиваемых атрибутов. Значения настраиваемых атрибутов появляются постепенно в зависимости от размера клиента. Чтобы проверка состояние обратной заполнения, перейдите в службу "Работоспособность доменных служб" и проверьте, обновлена ли метка времени мониторинга идентификатора Microsoft Entra в течение последнего часа.

AADDS500: синхронизация не выполнена спустя некоторое время

Текст предупреждения

Управляемый домен был в последний раз синхронизирован с идентификатором Microsoft Entra в [дата]. Возможно, пользователям не удастся выполнить вход на управляемый домен или членства в группах могут быть не синхронизированы с Azure AD.

Разрешение

Проверьте работоспособность доменных служб для любых оповещений, указывающих на проблемы в конфигурации управляемого домена. Проблемы с конфигурацией сети могут блокировать синхронизацию из Microsoft Entra ID. Если вы можете устранить оповещения, указывающие на проблему с конфигурацией, подождите два часа и проверьте, успешно ли завершилась синхронизация.

К остановке синхронизации в управляемом домене приводят следующие распространенные причины:

• Необходимое сетевое подключение заблокировано. Дополнительные сведения о том, как проверка виртуальной сети Azure для проблем и необходимых параметров, см. в статье об устранении неполадок групп безопасности сети и требования к сети для доменных служб.
• Синхронизация паролей не была настроена либо была успешно завершена при развертывании управляемого домена. Синхронизацию паролей можно настроить для пользователей только в облаке или пользователей гибридной среды из локальной среды.

AADDS501: резервная копия не создана спустя некоторое время

Текст предупреждения

Последняя резервная копия управляемого домена создана [дата].

Разрешение

Проверьте работоспособность доменных служб для оповещений, указывающих на проблемы в конфигурации управляемого домена. Проблемы с конфигурацией сети могут препятствовать успешному выполнению резервного копирования на платформе Azure. Если вы можете устранить оповещения, указывающие на проблему с конфигурацией, подождите два часа и проверьте, успешно ли завершилась синхронизация.

AADDS503: блокировка из-за неактивной подписки

Текст предупреждения

Управляемый домен блокируется, так как подписка Azure, связанная с доменом, неактивна.

Разрешение

Предупреждение

Если управляемый домен является приостановленным в течение продолжительного времени, существует риск того, что он будет удален. Устраните причину приостановки как можно быстрее. Дополнительные сведения см. в разделе "Сведения о приостановленных состояниях для доменных служб".

Для доменных служб требуется активная подписка. Если подписка Azure, с которой связан управляемый домен, неактивна, необходимо обновить ее, чтобы повторно активировать подписку.

1. Почему подписка Azure отключена и как активировать ее повторно?
2. После продления подписки уведомление доменных служб позволяет повторно включить управляемый домен.

При повторном включении управляемого домена его работоспособность автоматически обновляется в течение двух часов, а также удаляется оповещение.

AADDS504: блокировка из-за неправильной конфигурации

Текст предупреждения

Управляемый домен блокируется из-за неправильной конфигурации. Служба не могла исправлять и обновлять контроллеры управляемого домена, а также управлять ими в течение долгого времени.

Разрешение

Предупреждение

Если управляемый домен является приостановленным в течение продолжительного времени, существует риск того, что он будет удален. Устраните причину приостановки как можно быстрее. Дополнительные сведения см. в разделе "Сведения о приостановленных состояниях для доменных служб".

Проверьте работоспособность доменных служб для оповещений, указывающих на проблемы в конфигурации управляемого домена. Если вы можете устранить оповещения, указывающие на проблему с конфигурацией, подождите два часа и проверьте, завершилась ли синхронизация. Когда все будет готово, откройте запрос на поддержку в Azure, чтобы повторно включить управляемый домен.

AADDS600: неразрешенные оповещения о работоспособности в течение 30 дней

Оповещение

Корпорация Майкрософт не может управлять контроллерами домена для этого управляемого домена из-за неразрешенных оповещений о работоспособности [идентификаторы]. Это блокирует критически важные обновления безопасности, а также плановую миграцию на Windows Server 2019 для этих контроллеров домена. Выполните действия, описанные в оповещении, чтобы устранить проблему. Сбой в решении этой проблемы в течение 30 дней приведет к приостановке управляемого домена.

Разрешение

Предупреждение

Если управляемый домен является приостановленным в течение продолжительного времени, существует риск того, что он будет удален. Устраните причину приостановки как можно быстрее. Дополнительные сведения см. в разделе "Сведения о приостановленных состояниях для доменных служб".

Проверьте работоспособность доменных служб для оповещений, указывающих на проблемы в конфигурации управляемого домена. Если вы можете устранить оповещения, указывающие на проблему конфигурации, подождите шесть часов и проверка обратно, чтобы узнать, удаляется ли оповещение. Если вам нужна помощь, откройте поддержка Azure запрос.

Следующие шаги

Если у вас по-прежнему возникли проблемы, откройте запрос поддержка Azure для получения дополнительной справки по устранению неполадок.