解决现有 Microsoft Entra 域服务托管域的“目录不匹配”错误

如果 Microsoft Entra 域服务托管域显示“租户不匹配”错误，则解决此错误才能管理该托管域。 如果将基础 Azure 虚拟网络移动到其他 Microsoft Entra 目录，会发生此错误。

本文介绍错误发生的原因以及其解决方法。

导致此错误的原因是什么？

当托管域和虚拟网络属于两个不同的 Microsoft Entra 租户时，会发生目录不匹配错误。 例如，你可能有一个名为 aaddscontoso.com 的托管域，该域在 Contoso 的 Microsoft Entra 租户中运行。 但是，托管域的 Azure 虚拟网络是 Fabrikam Microsoft Entra 租户的一部分。

Azure 基于角色的访问控制 (Azure RBAC) 用于限制对资源的访问权限。 在 Microsoft Entra 租户中启用域服务时，凭据哈希将同步到托管域。 此操作要求你是 Microsoft Entra 目录的租户管理员，并且必须控制对凭据的访问。

要将资源部署到 Azure 虚拟网络并控制流量，必须对你将托管域部署到的虚拟网络具有管理权限。

若要使 Azure RBAC 一致地工作并安全访问域服务使用的所有资源，托管域和虚拟网络必须属于同一 Microsoft Entra 租户。

以下规则适用于部署：

• 一个 Microsoft Entra 目录可以包含多个 Azure 订阅。
• 一个 Azure 订阅可以包含虚拟网络等多个资源。
• 会为 Microsoft Entra 目录启用单个托管域。
• 可以在属于同一 Microsoft Entra 租户中任意 Azure 订阅的虚拟网络上启用托管域。

有效配置

在以下示例部署场景中，将在 Contoso Microsoft Entra 租户中启用 Contoso 托管域。 托管域部署在属于 Contoso Microsoft Entra 租户拥有的 Azure 订阅的虚拟网络中。

托管域和虚拟网络都属于同一 Microsoft Entra 租户。 此示例配置有效，且完全受支持。

不匹配的租户配置

在此示例部署场景中，将在 Contoso Microsoft Entra 租户中启用 Contoso 托管域。 但是，托管域部署在属于 Fabrikam Microsoft Entra 租户拥有的 Azure 订阅的虚拟网络中。

托管域和虚拟网络属于两个不同的 Microsoft Entra 租户。 此示例配置显示的是不匹配的租户，所以配置不受支持。 必须将虚拟网络移到与托管域相同的 Microsoft Entra 租户中。

解决“不匹配的租户”错误

以下两个选项可解决不匹配的目录错误：

• 首先，从现有 Microsoft Entra 目录中删除托管域。 然后，在与想要使用的虚拟网络相同的 Microsoft Entra 目录中创建替换托管域。 准备就绪后，将以前加入已删除域的所有计算机加入重新创建的托管域。
• 将包含虚拟网络的 Azure 订阅移动到与托管域相同的 Microsoft Entra 目录。

后续步骤

有关域服务问题故障排除的详细信息，请参阅故障排除指南。