尝试将虚拟机(VM)加入到或将应用程序连接到 Microsoft Entra 域服务托管域时,可能会遇到无法执行此操作的错误。 若要排查域加入问题,请查看以下有问题的相应点:
- 如果未收到身份验证提示,则 VM 或应用程序无法连接到域服务托管域。
- 开始排查域加入的连接性问题。
- 如果在身份验证期间收到错误,则与托管域的连接会成功。
- 开始排查域加入期间与凭据相关的问题。
域加入的连接问题
如果 VM 找不到托管域,则通常会出现网络连接或配置问题。 查看以下故障排除步骤以查找并解决问题:
- 确保 VM 连接到与托管域相同的或对等互连的虚拟网络。 如果没有,VM 将无法找到域并连接上以加入。
- 如果 VM 未连接到同一虚拟网络,请确认虚拟网络对等互连或 VPN 连接处于活动状态或已连接,以允许流量正确流动。
- 尝试使用托管域的域名来 ping 域,例如
ping aaddscontoso.com。- 如果 ping 响应失败,请尝试 ping 托管域门户概述页中显示的域的 IP 地址,例如
ping 10.0.0.4。 - 如果可以成功 ping IP 地址,但不能 ping 域,则 DNS 可能配置不正确。 确保已 为虚拟网络配置托管域 DNS 服务器。
- 如果 ping 响应失败,请尝试 ping 托管域门户概述页中显示的域的 IP 地址,例如
- 尝试刷新虚拟机上的 DNS 解析程序缓存,例如
ipconfig /flushdns。
网络安全组 (NSG) 配置
创建托管域时,还会使用适当的规则创建网络安全组,以便成功执行域作。 如果编辑或创建其他网络安全组规则,则可能无意中阻止域服务提供连接和身份验证服务所需的端口。 这些网络安全组规则可能会导致密码同步未完成、用户无法登录或域加入问题等问题。
如果继续遇到连接问题,请查看以下故障排除步骤:
- 在 Azure 门户中检查托管域的运行状况。 如果收到 AADDS001警报,网络安全组规则将阻止访问。
- 查看 所需的端口和网络安全组规则。 请确保应用于您所连接的虚拟机或虚拟网络的网络安全组规则不会阻止这些网络端口。
- 解决任何网络安全组配置问题后, AADDS001 警报会在大约 2 小时内从运行状况页消失。 现在网络连接已恢复,请尝试再次将虚拟机加入域。
域加入期间与凭据相关的问题
如果出现要求输入凭据以加入托管域的对话框,则 VM 可以使用 Azure 虚拟网络连接到该域。 域加入流程在向域进行身份验证时失败,或在使用提供的凭据授权完成域加入流程时失败。
若要排查凭据相关问题,请查看以下故障排除步骤:
- 请尝试使用 UPN 格式指定凭据。例如
dee@contoso.onmicrosoft.com。 确保在 Microsoft Entra ID 中正确配置此 UPN。- 如果在您的租户中有多位用户的 UPN 前缀相同,或者 UPN 前缀过长,则您的帐户的 SAMAccountName 可能会被自动生成。 因此,帐户的 SAMAccountName 格式可能不同于你在本地域中所需的格式或使用的格式。
- 尝试使用属于托管域的用户帐户的凭据,将 VM 加入托管域。
- 请确保 已启用密码同步 ,并等待足够长的时间才能完成初始密码同步。
后续步骤
若要更深入地了解 Active Directory 进程作为域加入作的一部分,请参阅 “加入”和“身份验证”问题。
如果在将 VM 加入托管域时遇到问题,请获取帮助并提交 Microsoft Entra ID 的支持请求。