Microsoft Entra Domain Services 的常見錯誤和疑難排解步驟
作為應用程式身分識別和驗證的核心部分,Microsoft Entra Domain Services 有時會出現問題。 如果您遇到問題,有一些常見的錯誤訊息和相關聯的疑難排解步驟可協助您重新執行。 您還可以隨時開啟 Azure 支援要求以取得其他疑難排解協助。
本文提供 Domain Services 中常見問題的疑難排解步驟。
您無法針對 Microsoft Entra 目錄啟用 Microsoft Entra Domain Services
如果您在啟用 Domain Services 時遇到問題,請檢閱下列常見錯誤,以及用來解決這些錯誤的步驟:
| 範例錯誤訊息 | 解決方法 |
|---|---|
| 名稱 aaddscontoso.com 使用於此網路上。 指定不在使用中的名稱。 | 虛擬網路中的網域名稱衝突 |
| 無法在此 Microsoft Entra 租用戶中啟用 Domain Services。 對於稱為 Microsoft Entra Domain Services Sync 的應用程式,此服務沒有足夠的權限。刪除稱為 Microsoft Entra Domain Services Sync 的應用程式,然後嘗試針對您的 Microsoft Entra 租用戶啟用 Domain Services。 | 對於 Microsoft Entra Domain Services Sync 應用程式,Domain Services 没有足夠的權限 |
| 無法在此 Microsoft Entra 租用戶中啟用 Domain Services。 Microsoft Entra 租用戶中的 Domain Services 應用程式沒有啟用 Domain Services 所需的權限。 刪除應用程式識別碼為 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的應用程式,然後嘗試針對您的 Microsoft Entra 租用戶啟用 Domain Services。 | 未在您的 Microsoft Entra 租用戶中正確設定 Domain Services 應用程式 |
| 無法在此 Microsoft Entra 租用戶中啟用 Domain Services。 Microsoft Entra 應用程式在您的 Microsoft Entra 租用戶中已停用。 啟用應用程式識別碼為 00000002-0000-0000-c000-000000000000 的應用程式,然後嘗試針對您的 Microsoft Entra 租用戶啟用 Domain Services。 | Microsoft Graph 應用程式在您的 Microsoft Entra 租用戶中已停用 |
網域名稱衝突
錯誤訊息
名稱 aaddscontoso.com 使用於此網路上。 指定不在使用中的名稱。
解決方法
檢查您沒有在相同或對等互連虛擬網路上具有相同功能變數名稱的現有 AD DS 環境。 例如,您可能有名稱為 aaddscontoso.com 的 AD DS 網域,該網域會在 Azure VM 上執行。 當您嘗試在虛擬網路上啟用具有相同網域名稱 aaddscontoso.com 的 Domain Services 受控網域時,要求的作業會失敗。
這個錯誤是因為名稱與虛擬網路上的網域名稱衝突。 DNS 查閱會檢查現有 AD DS 環境是否在要求的功能變數名稱上回應。 若要解決此失敗,請使用不同的名稱來設定受控網域,或取消佈建現有的 AD DS 網域,然後再試一次以啟用 Domain Services。
權限不足
錯誤訊息
無法在此 Microsoft Entra 租用戶中啟用 Domain Services。 對於稱為 Microsoft Entra Domain Services Sync 的應用程式,此服務沒有足夠的權限。刪除稱為 Microsoft Entra Domain Services Sync 的應用程式,然後嘗試針對您的 Microsoft Entra 租用戶啟用 Domain Services。
解決方法
檢查 Microsoft Entra 目錄中是否有名為 Microsoft Entra Domain Services Sync 的應用程式。 如果此應用程式存在,請將其刪除,然後再試一次以啟用 Domain Services。 若要檢查現有的應用程式並視需要加以刪除,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心,從左側導覽功能表中選取 [Microsoft Entra ID]。
- 選取 [企業應用程式]。 從 [應用程式類型] 下拉式功能表選取 [所有應用程式],然後選取 [套用]。
- 在搜尋方塊中,輸入 Microsoft Entra Domain Services Sync。如果應用程式存在,請加以選取,然後選擇 [刪除]。
- 一旦刪除了此應用程式,請嘗試再次啟用 Domain Services。
無效的組態
錯誤訊息
無法在此 Microsoft Entra 租用戶中啟用 Domain Services。 Microsoft Entra 租用戶中的 Domain Services 應用程式沒有啟用 Domain Services 所需的權限。 刪除應用程式識別碼為 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的應用程式,然後嘗試針對您的 Microsoft Entra 租用戶啟用 Domain Services。
解決方法
請檢查 Microsoft Entra 目錄中是否有名為 AzureActiveDirectoryDomainControllerServices 的現有應用程式,應用程式識別碼為 d87dcbc6-a371-462e-88e3-28ad15ec4e64。 如果此應用程式存在,請將其刪除,然後再試一次以啟用 Domain Services。
使用下列 PowerShell 指令碼來搜尋現有的應用程式執行個體,並視需要加以刪除:
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
Write-Information "Found Azure AD Domain Services application. Deleting it ..."
Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
Write-Information "Deleted the Azure AD Domain Services application."
}
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
Remove-MgApplication -ApplicationId $app.Id
Write-Information "Deleted the Azure AD Domain Services Sync application."
}
$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
Remove-MgServicePrincipal -ObjectId $sp.Id
Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}
Microsoft Graph 已停用
錯誤訊息
無法在此 Microsoft Entra 租用戶中啟用 Domain Services。 Microsoft Entra 應用程式在您的 Microsoft Entra 租用戶中已停用。 啟用應用程式識別碼為 00000002-0000-0000-c000-000000000000 的應用程式,然後嘗試針對您的 Microsoft Entra 租用戶啟用 Domain Services。
解決方法
請查看您是否已停用識別碼為 00000002-0000-0000-c000-000000000000 的應用程式。 此應用程式是 Microsoft Entra 應用程式,並提供 Microsoft Entra 租用戶的圖形 API 存取權。 若要同步您的 Microsoft Entra 租用戶,必須啟用此應用程式。
若要檢查此應用程式的狀態,並視需要加以啟用,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心,搜尋並選取 [企業應用程式]。
- 從 [應用程式類型] 下拉式功能表選取 [所有應用程式],然後選取 [套用]。
- 在搜尋方塊中輸入 00000002-0000-0000-c000-00000000000。 選取應用程式,然後選擇 [屬性]。
- 如果 [為使用者啟用登入] 設定為 [否],請將值設定為 [是],然後選取 [儲存]。
- 一旦啟用了此應用程式,請嘗試再次啟用 Domain Services。
使用者無法登入至 Microsoft Entra Domain Services 受控網域
如果 Microsoft Entra 租用戶中有一個或多個使用者無法登入受控網域,請完成下列疑難排解步驟:
認證格式 - 嘗試使用 UPN 格式來指定認證,例如
dee@aaddscontoso.onmicrosoft.com。 UPN 格式是指定 Domain Services 中認證的建議方式。 確定已在 Microsoft Entra ID 中正確設定此 UPN。如果您的租用戶中有多個使用者使用相同的 UPN 前置詞,或 UPN 前置詞太長,帳戶可能自動產生 SAMAccountName,例如 AADDSCONTOSO\driley。 因此,您帳戶的 SAMAccountName 格式可能會與您在內部部署網域中預期或使用的格式不同。
密碼同步化 - 請確定您已針對僅限雲端使用者或使用 Microsoft Entra Connect 的混合式環境啟用密碼同步化。
混合同步處理的帳戶: 如果受影響的使用者帳戶會從內部部署目錄同步處理,請確認下列區域:
您已部署或更新為 Microsoft Entra Connect 的最新版本。
您已設定 Microsoft Entra Connect 以執行完整同步。
根據您的目錄大小,可能需要一些時間,使用者帳戶和認證雜湊才可在受控網域中使用。 請確定您等候的時間夠長,再嘗試對受控網域進行驗證。
如果在您驗證上述步驟之後問題仍持續發生,請嘗試重新啟動 Azure AD 同步服務。 從您的 Microsoft Entra Connect 伺服器中,開啟命令提示字元,然後執行下列命令:
net stop 'Microsoft Azure AD Sync' net start 'Microsoft Azure AD Sync'
僅限雲端帳戶:如果受影響的使用者帳戶是僅限雲端使用者帳戶,請確定使用者已在您啟用 Domain Services 之後變更其密碼。 此密碼重設會導致產生受控網域所需的認證雜湊。
驗證使用者帳戶是否已啟動:依預設,2 分鐘內在受控網域中輸入不正確的密碼五次,即會導致使用者帳戶鎖定 30 分鐘。 使用者無法在帳戶遭到鎖定時登入。30 分鐘後,使用者帳戶會自動解除鎖定。
外部帳戶 - 檢查受影響的使用者帳戶不是 Microsoft Entra 租用戶中的外部帳戶。 外部帳戶的範例包括 Microsoft 帳戶 (例如
dee@live.com) 或來自外部 Microsoft Entra 目錄的使用者帳戶。 Domain Services 不會儲存外部使用者帳戶的認證,因此無法登入受控網域。
受控網域有一或多個警示
如果受控網域上有作用中的警示,可能會防止驗證程式正常運作。
若要查看是否有任何作用中的警示,請檢查受控網域的健全狀態。 如果顯示任何警示,請進行疑難排解並加以解決。
從 Microsoft Entra 租用戶移除的使用者不會從受控網域中移除
Microsoft Entra ID 會防範意外刪除使用者物件。 您從 Microsoft Entra 租用戶刪除使用者帳戶時,對應的使用者物件會移至資源回收筒。 此刪除作業同步至受控網域時,對應的使用者帳戶會遭到刪除,因為 Domain Services 沒有資源回收筒。
如果使用者帳戶在租用戶中還原,Domain Services 會在將變更同步至受控網域時擷取帳戶的所有連結。 受控網域中的使用者帳戶會取得新的全域唯一識別碼 (GUID) 和安全性識別碼 (SID)。
下一步
如果繼續出現問題,請開啟 Azure 支援要求,以取得更多疑難排解協助。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應