Dela via

Lösa felmatchade katalogfel för befintliga Microsoft Entra Domain Services-hanterade domäner

  • Artikel

Om en hanterad Domän för Microsoft Entra Services visar ett felmatchat klientfel kan du inte administrera den hanterade domänen förrän den har lösts. Det här felet uppstår om det underliggande virtuella Azure-nätverket flyttas till en annan Microsoft Entra-katalog.

Den här artikeln förklarar varför felet uppstår och hur du löser det.

Vad orsakar det här felet?

Ett felmatchat katalogfel inträffar när en domän som hanteras av Domain Services och ett virtuellt nätverk tillhör två olika Microsoft Entra-klienter. Du kan till exempel ha en hanterad domän som heter aaddscontoso.com som körs i Contosos Microsoft Entra-klientorganisation. Det virtuella Azure-nätverket för hanterad domän är dock en del av Fabrikam Microsoft Entra-klientorganisationen.

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) används för att begränsa åtkomsten till resurser. När du aktiverar Domain Services i en Microsoft Entra-klient synkroniseras hashvärden för autentiseringsuppgifter till den hanterade domänen. Den här åtgärden kräver att du är klientadministratör för Microsoft Entra-katalogen, och åtkomsten till autentiseringsuppgifterna måste kontrolleras.

Om du vill distribuera resurser till ett virtuellt Azure-nätverk och styra trafiken måste du ha administratörsbehörighet för det virtuella nätverk där du distribuerar den hanterade domänen.

För att Azure RBAC ska fungera konsekvent och säkra tillgången till alla resurser som Domain Services använder, måste den hanterade domänen och det virtuella nätverket tillhöra samma Microsoft Entra-klientorganisation.

Följande regler gäller för distributioner:

  • En Microsoft Entra-katalog kan ha flera Azure-prenumerationer.
  • En Azure-prenumeration kan ha flera resurser, till exempel virtuella nätverk.
  • En enda hanterad domän är aktiverad för en Microsoft Entra-katalog.
  • En hanterad domän kan aktiveras i ett virtuellt nätverk som tillhör någon av Azure-prenumerationerna i samma Microsoft Entra-klientorganisation.

Giltig konfiguration

I följande exempel på distributionsscenario är Contosos hanterade domän aktiverad i Contoso Microsoft Entra-klientorganisationen. Den hanterade domänen distribueras i ett virtuellt nätverk som tillhör en Azure-prenumeration som ägs av Contoso Microsoft Entra-klientorganisationen.

Både den hanterade domänen och det virtuella nätverket tillhör samma Microsoft Entra-klientorganisation. Den här exempelkonfigurationen är giltig och stöds fullt ut.

Giltig hyresgästkonfiguration för domäntjänster med den hanterade domänen och det virtuella nätverket i samma Microsoft Entra-hyresgäst

Felmatchad hyresgästkonfiguration

I det här exempeldistributionsscenariot är Contosos hanterade domän aktiverad i Contoso Microsoft Entra-klientorganisationen. Den hanterade domänen distribueras dock i ett virtuellt nätverk som tillhör en Azure-prenumeration som ägs av Fabrikam Microsoft Entra-klientorganisationen.

Den hanterade domänen och det virtuella nätverket tillhör två olika Microsoft Entra-klienter. Den här konfigurationsexemplet har en klientorganisation som inte stämmer överens och stöds inte. Det virtuella nätverket måste flyttas till samma Microsoft Entra-klientorganisation som den hanterade domänen.

Felmatchad hyresgästkonfiguration

Lösa felmatchningsfel för hyresgäst

Följande två alternativ löser det felmatchade katalogfelet:

  • Först ta bort den hanterade domänen från din befintliga Microsoft Entra-katalog. Sedan skapa en ersättningshanterad domän i samma Microsoft Entra-katalog som det virtuella nätverk som du vill använda. När du är klar ansluter du alla datorer som tidigare anslutits till den borttagna domänen till den återskapade hanterade domänen.
  • Flytta Azure-prenumerationen som innehåller det virtuella nätverket till samma Microsoft Entra-katalog som den hanterade domänen.

Nästa steg

Mer information om felsökningsproblem med Domain Services finns i felsökningsguiden för .