Microsoft Entra Domain Services 的常見錯誤和疑難排解步驟
作為應用程式身分識別和驗證的核心部分,Microsoft Entra Domain Services 有時會發生問題。 如果您遇到問題,有一些常見的錯誤訊息和相關聯的疑難排解步驟可協助您再次執行。 您可以隨時 開啟Azure 支援要求 ,以取得更多疑難排解說明。
本文提供網域服務常見問題的疑難排解步驟。
您無法為 Microsoft Entra 目錄啟用 Microsoft Entra Domain Services
如果您在啟用 Domain Services 時遇到問題,請檢閱下列常見錯誤和解決這些錯誤的步驟:
| 範例錯誤訊息 | 解決方法 |
|---|---|
| aaddscontoso.com 的名稱已在此網路上使用。 指定未使用的名稱。 | 虛擬網路中的功能變數名稱衝突 |
| 無法在此 Microsoft Entra 租使用者中啟用 Domain Services。 此服務沒有足夠的許可權可存取稱為 Microsoft Entra Domain Services Sync 的應用程式。刪除名為 'Microsoft Entra Domain Services Sync' 的應用程式,然後嘗試為您的 Microsoft Entra 租使用者啟用 Domain Services。 | Domain Services 沒有 Microsoft Entra Domain Services 同步處理應用程式的適當許可權 |
| 無法在此 Microsoft Entra 租使用者中啟用 Domain Services。 Microsoft Entra 租使用者中的 Domain Services 應用程式沒有啟用 Domain Services 的必要許可權。 刪除應用程式識別碼為 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的應用程式,然後嘗試為您的 Microsoft Entra 租使用者啟用 Domain Services。 | 網域服務應用程式未在 Microsoft Entra 租使用者中正確設定 |
| 無法在此 Microsoft Entra 租使用者中啟用 Domain Services。 Microsoft Entra 應用程式會在您的 Microsoft Entra 租使用者中停用。 啟用應用程式識別碼為 00000002-0000-0000-c000-00000000000 的應用程式,然後嘗試為您的 Microsoft Entra 租使用者啟用 Domain Services。 | Microsoft Entra 租使用者中已停用 Microsoft Graph 應用程式 |
功能變數名稱衝突
錯誤訊息
aaddscontoso.com 的名稱已在此網路上使用。 指定未使用的名稱。
解決方法
檢查您沒有在相同或對等互連虛擬網路上具有相同功能變數名稱的現有 AD DS 環境。 例如,您可能有一 個名為 aaddscontoso.com 的 AD DS 網域,可在 Azure VM 上執行。 當您嘗試在虛擬網路上使用相同的功能變數名稱 aaddscontoso.com 啟用 Domain Services 受控網域 時,所要求的作業會失敗。
此失敗是因為虛擬網路上功能變數名稱的名稱衝突。 DNS 查閱會檢查現有 AD DS 環境是否在要求的功能變數名稱上回應。 若要解決此失敗,請使用不同的名稱來設定受控網域,或取消布建現有的 AD DS 網域,然後再試一次以啟用網域服務。
許可權不足
錯誤訊息
無法在此 Microsoft Entra 租使用者中啟用 Domain Services。 此服務沒有足夠的許可權可存取稱為 Microsoft Entra Domain Services Sync 的應用程式。刪除名為 'Microsoft Entra Domain Services Sync' 的應用程式,然後嘗試為您的 Microsoft Entra 租使用者啟用 Domain Services。
解決方法
檢查您的 Microsoft Entra 目錄中是否有名為 Microsoft Entra Domain Services Sync 的應用程式。 如果此應用程式存在,請將其刪除,然後再試一次以啟用 Domain Services。 若要檢查現有的應用程式,並視需要將其刪除,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心 中,從左側導覽功能表中選取 [Microsoft Entra 識別碼 ]。
- 選取 [企業應用程式]。 從 [應用程式類型 ] 下拉式功能表中選擇 [所有應用程式 ],然後選取 [ 套用 ]。
- 在搜尋方塊中,輸入 Microsoft Entra Domain Services Sync 。如果應用程式存在,請選取它,然後選擇 [ 刪除 ]。
- 刪除應用程式之後,請嘗試再次啟用 Domain Services。
不正確組態
錯誤訊息
無法在此 Microsoft Entra 租使用者中啟用 Domain Services。 Microsoft Entra 租使用者中的 Domain Services 應用程式沒有啟用 Domain Services 的必要許可權。 刪除應用程式識別碼為 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的應用程式,然後嘗試為您的 Microsoft Entra 租使用者啟用 Domain Services。
解決方法
檢查您的 Microsoft Entra 目錄中是否有名為 AzureActiveDirectoryDomainControllerServices 的現有應用程式,其應用程式識別碼為 d87dcbc6-a371-462e-88e3-28ad15ec4e64 。 如果此應用程式存在,請將其刪除,然後再試一次以啟用 Domain Services。
使用下列 PowerShell 腳本來搜尋現有的應用程式實例,並視需要將其刪除:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph 已停用
錯誤訊息
無法在此 Microsoft Entra 租使用者中啟用 Domain Services。 Microsoft Entra 應用程式會在您的 Microsoft Entra 租使用者中停用。 啟用應用程式識別碼為 00000002-0000-0000-c000-00000000000 的應用程式,然後嘗試為您的 Microsoft Entra 租使用者啟用 Domain Services。
解決方法
檢查您是否已停用識別碼 為 000000002-0000-0000-c000-0000000000000 的應用程式。 此應用程式是 Microsoft Entra 應用程式,並提供圖形 API 存取您的 Microsoft Entra 租使用者。 若要同步處理您的 Microsoft Entra 租使用者,必須啟用此應用程式。
若要檢查此應用程式的狀態,並視需要啟用它,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心 中,搜尋並選取 [企業應用程式 ]。
- 從 [應用程式類型 ] 下拉式功能表中選擇 [所有應用程式 ],然後選取 [ 套用 ]。
- 在搜尋方塊中,輸入 00000002-0000-0000-c000-00000000000。 選取應用程式,然後選擇 [ 屬性 ]。
- 如果 [為使用者啟用登入 ] 設定為 [否 ],請將值 設定為 [是 ],然後選取 [ 儲存 ]。
- 啟用應用程式之後,請嘗試再次啟用 Domain Services。
使用者無法登入至 Microsoft Entra Domain Services 受控網域
如果您的 Microsoft Entra 租使用者中的一或多個使用者無法登入受控網域,請完成下列疑難排解步驟:
認證格式 - 請嘗試使用 UPN 格式來指定認證,例如
dee@aaddscontoso.onmicrosoft.com。 UPN 格式是指定 Domain Services 中認證的建議方式。 請確定此 UPN 已在 Microsoft Entra ID 中正確設定。如果您的帳戶的 SAMAccountName ,例如 AADDSCONTOSO\driley ,如果租使用者中有多個使用者具有相同 UPN 前置詞,或 UPN 前置詞過長,則可能會自動產生。 因此, 您帳戶的 SAMAccountName 格式可能與您在內部部署網域中使用的專案不同。
密碼同步 處理 - 請確定您已使用 Microsoft Entra 連線 為 僅限雲端使用者 或 混合式環境啟用密碼同步處理。
混合式同步處理帳戶: 如果受影響的使用者帳戶是從內部部署目錄同步處理,請確認下欄區域:
您已部署或更新為 最新建議版本的 Microsoft Entra 連線 。
您已設定 Microsoft Entra 連線來執行 完整同步處理 。
視目錄的大小而定,使用者帳戶和認證雜湊可能需要一段時間才能在受控網域中使用。 請確定您等候的時間夠長,再嘗試對受控網域進行驗證。
如果問題在確認先前的步驟之後持續發生,請嘗試重新開機 Azure AD 同步服務 。 從 Microsoft Entra 連線 伺服器開啟命令提示字元,然後執行下列命令:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
僅限雲端帳戶 :如果受影響的使用者帳戶是僅限雲端的使用者帳戶,請確定 使用者在啟用 Domain Services 之後已變更其密碼。 此密碼重設會導致產生受控網域所需的認證雜湊。
確認使用者帳戶為使用中 :根據預設,受控網域 2 分鐘內有五次不正確密碼嘗試導致使用者帳戶遭到鎖定 30 分鐘。 使用者無法在帳戶遭到鎖定時登入。30 分鐘之後,使用者帳戶會自動解除鎖定。
- 受控網域上的密碼嘗試無效,不會鎖定 Microsoft Entra 識別碼中的使用者帳戶。 使用者帳戶只會在受控網域內鎖定。 使用 管理 VM 檢查 Active Directory 管理員istrative Console (ADAC) 中的 使用者帳戶狀態,而不是在 Microsoft Entra ID 中。
- 您也可以 設定更細緻的密碼原則 ,以變更預設鎖定閾值和持續時間。
外部帳戶 - 檢查受影響的使用者帳戶不是 Microsoft Entra 租使用者中的外部帳戶。 外部帳戶的範例包括來自外部 Microsoft Entra 目錄的 Microsoft 帳戶
dee@live.com或使用者帳戶。 Domain Services 不會儲存外部使用者帳戶的認證,因此無法登入受控網域。
受控網域上有一或多個警示
如果受控網域上有作用中的警示,可能會防止驗證程式正常運作。
若要查看是否有任何作用中的警示, 請檢查受控網域 的健康情況狀態。 如果顯示任何警示, 請進行疑難排解並加以解決 。
從您的 Microsoft Entra 租使用者移除的使用者不會從受控網域中移除
Microsoft Entra ID 可防止意外刪除使用者物件。 當您從 Microsoft Entra 租使用者中刪除使用者帳戶時,對應的使用者物件會移至回收站。 當此刪除作業同步處理至您的受控網域時,會刪除對應的使用者帳戶,因為 Domain Services 沒有回收站。
如果使用者帳戶在租使用者中還原,網域服務會在將變更同步至受控網域時擷取帳戶的所有連結。 受控網域中的使用者帳戶會取得新的全域唯一識別碼 (GUID) 和安全性識別碼 (SID)。
下一步
如果您繼續發生問題, 請開啟Azure 支援要求 以取得更多疑難排解說明。