Kända problem: Vanliga aviseringar och lösningar i Azure Active Directory Domain Services

Som en central del av identitet och autentisering för program har Azure Active Directory Domain Services (Azure AD DS) ibland problem. Om du stöter på problem finns det några vanliga aviseringar och tillhörande felsökningssteg som hjälper dig att få igång saker och ting igen. När som helst kan du också öppna en Azure Support begäran om ytterligare felsökningshjälp.

Den här artikeln innehåller felsökningsinformation för vanliga aviseringar i Azure AD DS.

AADDS100: Katalog saknas

Aviseringsmeddelande

Den Azure AD katalog som är associerad med din hanterade domän kan ha tagits bort. Den hanterade domänen finns inte längre i en konfiguration som stöds. Microsoft kan inte övervaka, hantera, korrigera och synkronisera din hanterade domän.

Lösning

Det här felet orsakas vanligtvis när en Azure-prenumeration flyttas till en ny Azure AD-katalog och den gamla Azure AD-katalogen som är associerad med Azure AD DS tas bort.

Det här felet kan inte återställas. Lös aviseringen genom att ta bort den befintliga hanterade domänen och återskapa den i den nya katalogen. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure Support begäran om ytterligare felsökningshjälp.

AADDS101: Azure AD B2C körs i den här katalogen

Aviseringsmeddelande

Azure AD Domain Services kan inte aktiveras i en Azure AD B2C-katalog.

Lösning

Azure AD DS synkroniseras automatiskt med en Azure AD katalog. Om Azure AD-katalogen har konfigurerats för B2C kan Azure AD DS inte distribueras och synkroniseras.

Om du vill använda Azure AD DS måste du återskapa den hanterade domänen i en icke-Azure AD B2C-katalog med hjälp av följande steg:

1. Ta bort den hanterade domänen från din befintliga Azure AD katalog.
2. Skapa en ny Azure AD katalog som inte är en Azure AD B2C-katalog.
3. Skapa en ersättningshanterad domän.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och tar bort aviseringen.

AADDS103: Adressen är i ett offentligt IP-intervall

Aviseringsmeddelande

IP-adressintervallet för det virtuella nätverk där du har aktiverat Azure AD Domain Services ligger i ett offentligt IP-intervall. Azure AD Domain Services måste vara aktiverat i ett virtuellt nätverk med ett privat IP-adressintervall. Den här konfigurationen påverkar Microsofts möjlighet att övervaka, hantera, korrigera och synkronisera din hanterade domän.

Lösning

Kontrollera att du förstår privata IP v4-adressutrymmen innan du börjar.

I ett virtuellt nätverk kan virtuella datorer göra begäranden till Azure-resurser i samma IP-adressintervall som konfigurerats för undernätet. Om du konfigurerar ett offentligt IP-adressintervall för ett undernät kanske begäranden som dirigeras inom ett virtuellt nätverk inte når de avsedda webbresurserna. Den här konfigurationen kan leda till oförutsägbara fel med Azure AD DS.

Anteckning

Om du äger IP-adressintervallet på Internet som har konfigurerats i ditt virtuella nätverk kan den här aviseringen ignoreras. Men Azure AD Domain Services kan inte checka in på serviceavtalet med den här konfigurationen eftersom det kan leda till oförutsägbara fel.

Lös den här aviseringen genom att ta bort din befintliga hanterade domän och återskapa den i ett virtuellt nätverk med ett privat IP-adressintervall. Den här processen är störande eftersom den hanterade domänen inte är tillgänglig och alla anpassade resurser som du har skapat som organisationsenheter eller tjänstkonton går förlorade.

1. Ta bort den hanterade domänen från din katalog.
2. Om du vill uppdatera IP-adressintervallet för det virtuella nätverket söker du efter och väljer Virtuellt nätverk i Azure Portal. Välj det virtuella nätverket för Azure AD DS som felaktigt har ett offentligt IP-adressintervall inställt.
3. Under Inställningar väljer du Adressutrymme.
4. Uppdatera adressintervallet genom att välja det befintliga adressintervallet och redigera det, eller lägga till ytterligare ett adressintervall. Kontrollera att det nya IP-adressintervallet är i ett privat IP-intervall. Spara ändringarna när du är klar.
5. Välj Undernät i det vänstra navigeringsfönstret.
6. Välj det undernät som du vill redigera eller skapa ytterligare ett undernät.
7. Uppdatera eller ange ett privat IP-adressintervall och spara sedan ändringarna.
8. Skapa en ersättningshanterad domän. Se till att du väljer det uppdaterade virtuella nätverkets undernät med ett privat IP-adressintervall.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och tar bort aviseringen.

AADDS106: Din Azure-prenumeration hittades inte

Aviseringsmeddelande

Din Azure-prenumeration som är associerad med din hanterade domän har tagits bort. Azure AD Domain Services kräver en aktiv prenumeration för att fortsätta fungera korrekt.

Lösning

Azure AD DS kräver en aktiv prenumeration och kan inte flyttas till en annan prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med tas bort måste du återskapa en Azure-prenumeration och hanterad domän.

1. Skapa en Azure-prenumeration.
2. Ta bort den hanterade domänen från din befintliga Azure AD katalog.
3. Skapa en ersättningshanterad domän.

AADDS107: Din Azure-prenumeration är inaktiverad

Aviseringsmeddelande

Din Azure-prenumeration som är associerad med din hanterade domän är inte aktiv. Azure AD Domain Services kräver en aktiv prenumeration för att fortsätta fungera korrekt.

Lösning

Azure AD DS kräver en aktiv prenumeration. Om Den Azure-prenumeration som den hanterade domänen var associerad med inte är aktiv måste du förnya den för att återaktivera prenumerationen.

1. Förnya din Azure-prenumeration.
2. När prenumerationen har förnyats kan du med ett Azure AD DS-meddelande återaktivera den hanterade domänen.

När den hanterade domänen är aktiverad igen uppdateras den hanterade domänens hälsa automatiskt inom två timmar och tar bort aviseringen.

AADDS108: Prenumeration flyttade kataloger

Aviseringsmeddelande

Prenumerationen som används av Azure AD Domain Services har flyttats till en annan katalog. Azure AD Domain Services måste ha en aktiv prenumeration i samma katalog för att fungera korrekt.

Lösning

Azure AD DS kräver en aktiv prenumeration och kan inte flyttas till en annan prenumeration. Om Den Azure-prenumeration som den hanterade domänen var associerad med flyttas flyttar du tillbaka prenumerationen till den tidigare katalogen eller tar bort den hanterade domänen från den befintliga katalogen och skapar en ersättningshanterad domän i den valda prenumerationen.

AADDS109: Det går inte att hitta resurser för din hanterade domän

Aviseringsmeddelande

En resurs som används för din hanterade domän har tagits bort. Den här resursen krävs för att Azure AD Domain Services ska fungera korrekt.

Lösning

Azure AD DS skapar ytterligare resurser för att fungera korrekt, till exempel offentliga IP-adresser, virtuella nätverksgränssnitt och en lastbalanserare. Om någon av dessa resurser tas bort är den hanterade domänen i ett tillstånd som inte stöds och förhindrar att domänen hanteras. Mer information om dessa resurser finns i Nätverksresurser som används av Azure AD DS.

Den här aviseringen genereras när en av dessa nödvändiga resurser tas bort. Om resursen togs bort för mindre än 4 timmar sedan finns det en risk att Azure-plattformen automatiskt kan återskapa den borttagna resursen. Följande steg beskriver hur du kontrollerar hälsostatus och tidsstämpel för resursborttagning:

1. I Azure Portal söker du efter och väljer Domäntjänster. Välj din hanterade domän, till exempel aaddscontoso.com.

2. I det vänstra navigeringsfältet väljer du Hälsa.

3. På hälsosidan väljer du aviseringen med ID AADDS109.

4. Aviseringen har en tidsstämpel för när den först hittades. Om tidsstämpeln är mindre än 4 timmar sedan kan Azure-plattformen återskapa resursen automatiskt och lösa aviseringen på egen hand.

   Av olika skäl kan aviseringen vara äldre än 4 timmar. I så fall kan du ta bort den hanterade domänen och sedan skapa en ersättningshanterad domän för en omedelbar korrigering, eller så kan du öppna en supportbegäran för att åtgärda instansen. Beroende på problemets art kan supporten kräva en återställning från säkerhetskopian.

AADDS110: Undernätet som är associerat med din hanterade domän är fullt

Aviseringsmeddelande

Det undernät som valts för distribution av Azure AD Domain Services är fullt och har inte utrymme för den ytterligare domänkontrollant som behöver skapas.

Lösning

Det virtuella nätverkets undernät för Azure AD DS behöver tillräckligt med IP-adresser för de automatiskt skapade resurserna. Det här IP-adressutrymmet omfattar behovet av att skapa ersättningsresurser om det finns en underhållshändelse. För att minimera risken för att tillgängliga IP-adresser tar slut ska du inte distribuera ytterligare resurser, till exempel dina egna virtuella datorer, till samma virtuella nätverksundernät som den hanterade domänen.

Det här felet kan inte återställas. Lös aviseringen genom att ta bort den befintliga hanterade domänen och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure Support begäran om ytterligare felsökningshjälp.

AADDS111: Obehörigt huvudnamn för tjänsten

Aviseringsmeddelande

Ett huvudnamn för tjänsten som Azure AD Domain Services använder för att betjäna din domän har inte behörighet att hantera resurser i Azure-prenumerationen. Tjänstens huvudnamn måste få behörighet att hantera din hanterade domän.

Lösning

Vissa automatiskt genererade tjänsthuvudnamn används för att hantera och skapa resurser för en hanterad domän. Om åtkomstbehörigheterna för ett av dessa tjänsthuvudnamn ändras kan domänen inte hantera resurser korrekt. Följande steg visar hur du förstår och sedan beviljar åtkomstbehörigheter till ett huvudnamn för tjänsten:

1. Läs mer om rollbaserad åtkomstkontroll i Azure och hur du beviljar åtkomst till program i Azure Portal.
2. Granska den åtkomst som tjänstens huvudnamn med ID abba844e-bc0e-44b0-947a-dc74e5d09022 har och bevilja åtkomsten som nekades vid ett tidigare datum.

AADDS112: Inte tillräckligt med IP-adress i den hanterade domänen

Aviseringsmeddelande

Vi har upptäckt att undernätet för det virtuella nätverket i den här domänen kanske inte har tillräckligt med IP-adresser. Azure AD Domain Services behöver minst två tillgängliga IP-adresser i det undernät som den är aktiverad i. Vi rekommenderar att du har minst 3–5 extra IP-adresser i undernätet. Detta kan ha inträffat om andra virtuella datorer distribueras i undernätet, vilket gör att antalet tillgängliga IP-adresser överskrids eller om det finns en begränsning av antalet tillgängliga IP-adresser i undernätet.

Lösning

Det virtuella nätverkets undernät för Azure AD DS behöver tillräckligt med IP-adresser för de automatiskt skapade resurserna. Det här IP-adressutrymmet omfattar behovet av att skapa ersättningsresurser om det finns en underhållshändelse. För att minimera risken för att tillgängliga IP-adresser tar slut ska du inte distribuera ytterligare resurser, till exempel dina egna virtuella datorer, till samma virtuella nätverksundernät som den hanterade domänen.

Lös den här aviseringen genom att ta bort din befintliga hanterade domän och återskapa den i ett virtuellt nätverk med ett tillräckligt stort IP-adressintervall. Den här processen är störande eftersom den hanterade domänen inte är tillgänglig och alla anpassade resurser som du har skapat som organisationsenheter eller tjänstkonton går förlorade.

1. Ta bort den hanterade domänen från din katalog.
2. Om du vill uppdatera IP-adressintervallet för det virtuella nätverket söker du efter och väljer Virtuellt nätverk i Azure Portal. Välj det virtuella nätverket för den hanterade domän som har det lilla IP-adressintervallet.
3. Under Inställningar väljer du Adressutrymme.
4. Uppdatera adressintervallet genom att välja det befintliga adressintervallet och redigera det, eller lägga till ytterligare ett adressintervall. Kontrollera att det nya IP-adressintervallet är tillräckligt stort för den hanterade domänens undernätsintervall. Spara ändringarna när du är klar.
5. Välj Undernät i det vänstra navigeringsfönstret.
6. Välj det undernät som du vill redigera eller skapa ytterligare ett undernät.
7. Uppdatera eller ange ett tillräckligt stort IP-adressintervall och spara sedan ändringarna.
8. Skapa en ersättningshanterad domän. Se till att du väljer det uppdaterade virtuella nätverkets undernät med ett tillräckligt stort IP-adressintervall.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och tar bort aviseringen.

AADDS113: Resurser kan inte återställas

Aviseringsmeddelande

De resurser som används av Azure AD Domain Services identifierades i ett oväntat tillstånd och kan inte återställas.

Lösning

Azure AD DS skapar ytterligare resurser för att fungera korrekt, till exempel offentliga IP-adresser, virtuella nätverksgränssnitt och en lastbalanserare. Om någon av dessa resurser ändras är den hanterade domänen i ett tillstånd som inte stöds och kan inte hanteras. Mer information om dessa resurser finns i Nätverksresurser som används av Azure AD DS.

Den här aviseringen genereras när en av dessa nödvändiga resurser ändras och inte kan återställas automatiskt av Azure AD DS. Lös aviseringen genom att öppna en Azure Support begäran för att åtgärda instansen.

AADDS114: Undernätet är ogiltigt

Aviseringsmeddelande

Det undernät som valts för distribution av Azure AD Domain Services är ogiltigt och kan inte användas.

Lösning

Det här felet kan inte återställas. Lös aviseringen genom att ta bort den befintliga hanterade domänen och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure Support begäran om ytterligare felsökningshjälp.

AADDS115: Resurser är låsta

Aviseringsmeddelande

En eller flera av de nätverksresurser som används av den hanterade domänen kan inte användas eftersom målomfånget har låsts.

Lösning

Resurslås kan tillämpas på Azure-resurser för att förhindra ändringar eller borttagning. Eftersom Azure AD DS är en hanterad tjänst behöver Azure-plattformen kunna göra konfigurationsändringar. Om ett resurslås tillämpas på några av de Azure AD DS-komponenterna kan Azure-plattformen inte utföra sina hanteringsuppgifter.

Om du vill söka efter resurslås på Azure AD DS-komponenter och ta bort dem utför du följande steg:

1. För var och en av den hanterade domänens nätverkskomponenter i resursgruppen, till exempel virtuellt nätverk, nätverksgränssnitt eller offentlig IP-adress, kontrollerar du åtgärdsloggarna i Azure Portal. Dessa åtgärdsloggar bör ange varför en åtgärd misslyckas och var ett resurslås används.
2. Välj den resurs där ett lås används och välj sedan och ta bort låsen under Lås.

AADDS116: Resurser kan inte användas

Aviseringsmeddelande

En eller flera av de nätverksresurser som används av den hanterade domänen kan inte användas på grund av principbegränsningar.

Lösning

Principer tillämpas på Azure-resurser och resursgrupper som styr vilka konfigurationsåtgärder som tillåts. Eftersom Azure AD DS är en hanterad tjänst behöver Azure-plattformen kunna göra konfigurationsändringar. Om en princip tillämpas på några av de Azure AD DS-komponenterna kanske Azure-plattformen inte kan utföra sina hanteringsuppgifter.

Om du vill söka efter tillämpade principer för Azure AD DS-komponenter och uppdatera dem utför du följande steg:

1. För var och en av den hanterade domänens nätverkskomponenter i resursgruppen, till exempel virtuellt nätverk, nätverkskort eller offentlig IP-adress, kontrollerar du åtgärdsloggarna i Azure Portal. Dessa åtgärdsloggar bör ange varför en åtgärd misslyckas och var en begränsande princip tillämpas.
2. Välj den resurs där en princip tillämpas. Under Principer väljer du och redigerar sedan principen så att den blir mindre restriktiv.

AADDS120: Den hanterade domänen har påträffat ett fel vid registrering av ett eller flera anpassade attribut

Aviseringsmeddelande

Följande Azure AD tilläggsegenskaper har inte registrerats som ett anpassat attribut för synkronisering. Detta kan inträffa om en egenskap står i konflikt med det inbyggda schemat: [extensions]

Lösning

Varning

Om ett anpassat attributs LDAPName står i konflikt med ett befintligt inbyggt AD-schemaattribut kan det inte registreras och resulterar i ett fel. Kontakta Microsoft Support om ditt scenario är blockerat. Mer information finns i Registrera anpassade attribut.

Granska Azure AD DS Health-aviseringen och se vilka Azure AD tilläggsegenskaper som inte kunde registreras korrekt. Gå till sidan Anpassade attribut för att hitta den förväntade Azure AD DS LDAPName för tillägget. Kontrollera att LDAPName inte står i konflikt med ett annat AD-schemaattribut eller att det är ett av de tillåtna inbyggda AD-attributen.

Följ sedan de här stegen för att försöka registrera det anpassade attributet igen på sidan Anpassade attribut :

1. Välj de attribut som misslyckades och klicka sedan på Ta bort och spara.
2. Vänta tills hälsoaviseringen har tagits bort eller kontrollera att motsvarande attribut har tagits bort från organisationsenheten AADDSCustomAttributes från en domänansluten virtuell dator.
3. Välj Lägg till och välj önskade attribut igen och klicka sedan på Spara.

Vid lyckad registrering fyller Azure AD DS tillbaka synkroniserade användare och grupper med de registrerade anpassade attributvärdena. De anpassade attributvärdena visas gradvis, beroende på klientorganisationens storlek. Om du vill kontrollera återfyllnadsstatusen går du till Azure AD DS Health och kontrollerar att synkroniseringen med Azure AD övervakarens tidsstämpel har uppdaterats under den senaste timmen.

AADDS500: Synkronisering har inte utförts på ett tag

Aviseringsmeddelande

Den hanterade domänen synkroniserades senast med Azure AD [datum]. Användare kanske inte kan logga in på den hanterade domänen eller så kanske gruppmedlemskap inte är synkroniserade med Azure AD.

Lösning

Kontrollera Azure AD DS-hälsotillståndet för eventuella aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Problem med nätverkskonfigurationen kan blockera synkroniseringen från Azure AD. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts.

Följande är vanliga orsaker som gör att synkroniseringen stoppas i en hanterad domän:

• En nödvändig nätverksanslutning blockeras. Mer information om hur du kontrollerar problem i det virtuella Azure-nätverket och vad som krävs finns i Felsöka nätverkssäkerhetsgrupper och nätverkskrav för Azure AD DS.
• Lösenordssynkroniseringen var inte konfigurerad eller slutfördes inte när den hanterade domänen distribuerades. Du kan konfigurera lösenordssynkronisering för endast molnbaserade användare eller hybridanvändare från en lokal plats.

AADDS501: En säkerhetskopia har inte gjorts på ett tag

Aviseringsmeddelande

Den hanterade domänen säkerhetskopierades senast [date].

Lösning

Kontrollera Azure AD DS-hälsotillståndet för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Problem med nätverkskonfigurationen kan hindra Azure-plattformen från att utföra säkerhetskopieringar. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts.

AADDS503: Avstängning på grund av inaktiverad prenumeration

Aviseringsmeddelande

Den hanterade domänen är inaktiverad eftersom Azure-prenumerationen som är associerad med domänen inte är aktiv.

Lösning

Varning

Om en hanterad domän pausas under en längre tid finns det risk för att den tas bort. Lös orsaken till avstängningen så snabbt som möjligt. Mer information finns i Förstå inaktiverade tillstånd för Azure AD DS.

Azure AD DS kräver en aktiv prenumeration. Om Den Azure-prenumeration som den hanterade domänen var associerad med inte är aktiv måste du förnya den för att återaktivera prenumerationen.

1. Förnya din Azure-prenumeration.
2. När prenumerationen har förnyats kan du med ett Azure AD DS-meddelande återaktivera den hanterade domänen.

När den hanterade domänen är aktiverad igen uppdateras den hanterade domänens hälsa automatiskt inom två timmar och tar bort aviseringen.

AADDS504: Avstängning på grund av en ogiltig konfiguration

Aviseringsmeddelande

Den hanterade domänen har inaktiverats på grund av en ogiltig konfiguration. Tjänsten har inte kunnat hantera, korrigera eller uppdatera domänkontrollanterna för din hanterade domän under en längre tid.

Lösning

Varning

Om en hanterad domän pausas under en längre tid finns det risk för att den tas bort. Lös orsaken till avstängningen så snabbt som möjligt. Mer information finns i Förstå inaktiverade tillstånd för Azure AD DS.

Kontrollera Azure AD DS-hälsotillståndet för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kommer tillbaka för att se om synkroniseringen har slutförts. När du är klar öppnar du en Azure Support begäran om att återaktivera den hanterade domänen.

AADDS600: Olösta hälsoaviseringar i 30 dagar

Aviseringsmeddelande

Microsoft kan inte hantera domänkontrollanterna för den här hanterade domänen på grund av olösta hälsoaviseringar [ID:n]. Detta blockerar viktiga säkerhetsuppdateringar samt en planerad migrering till Windows Server 2019 för dessa domänkontrollanter. Följ stegen i aviseringen för att lösa problemet. Om du inte löser det här problemet inom 30 dagar kommer den hanterade domänen att avbrytas.

Lösning

Varning

Om en hanterad domän pausas under en längre tid finns det risk för att den tas bort. Lös orsaken till avstängningen så snabbt som möjligt. Mer information finns i Förstå inaktiverade tillstånd för Azure AD DS.

Kontrollera Azure AD DS-hälsotillståndet för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du sex timmar och kommer tillbaka för att se om aviseringen har tagits bort. Öppna en Azure Support begäran om du behöver hjälp.

Nästa steg

Om du fortfarande har problem öppnar du en Azure Support begäran om ytterligare felsökningshjälp.