Microsoft Entra 域服务的常见错误和故障排除步骤

作为应用程序的标识和身份验证的核心部分,Microsoft Entra 域服务有时会出现问题。 如果遇到问题,请查看这里列出的一些常见错误消息以及可帮助你使服务再次运行的相关故障排除步骤。 你还可以随时提交 Azure 支持请求以获得更多排除故障帮助。

本文提供了域服务中的常见问题的故障排除步骤。

无法为 Microsoft Entra 目录启用 Microsoft Entra 域服务

如果在启用域服务时遇到问题,请查看以下常见错误和解决这些错误的步骤:

示例错误消息 解决方法
名称 aaddscontoso.com 已在此网络中使用。 指定一个未使用的名称。 虚拟网络中的域名冲突
无法在此 Microsoft Entra 租户中启用域服务。 该服务对名为“Microsoft Entra 域服务同步”的应用程序没有足够的权限。请删除名为“Microsoft Entra 域服务同步”的应用程序,并尝试为 Microsoft Entra 租户启用域服务。 域服务对 Microsoft Entra 域服务同步应用程序没有足够的权限
无法在此 Microsoft Entra 租户中启用域服务。 Microsoft Entra 租户中的域服务应用程序没有所需的权限来启用域服务。 请删除标识符为 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的应用程序,并尝试为 Microsoft Entra 租户启用域服务。 未在 Microsoft Entra 租户中正确配置域服务应用程序
无法在此 Microsoft Entra 租户中启用域服务。 Microsoft Entra 应用程序在 Microsoft Entra 租户中处于禁用状态。 请启用标识符为 00000002-0000-0000-c000-000000000000 的应用程序,并尝试为 Microsoft Entra 租户启用域服务。 Microsoft Graph 应用程序在 Microsoft Entra 租户中处于禁用状态

域名冲突

错误消息

名称 aaddscontoso.com 已在此网络中使用。 指定一个未使用的名称。

解决方法

确认在同一虚拟网络或对等互连的虚拟网络上没有域名相同的现有 AD DS 环境。 例如,你可能有一个在 Azure VM 上运行的名为 aaddscontoso.com 的 AD DS 域。 尝试在虚拟网络上启用具有相同域名(即 aaddscontoso.com)的域服务托管域时,所请求的操作将失败。

发生这种失败的原因是该名称与虚拟网络上的域名冲突。 DNS 查找会检查现有 AD DS 环境是否响应所请求的域名。 若要解决此失败,请使用其他名称设置托管域,或取消预配现有 AD DS 域,然后再次尝试启用域服务。

权限不足

错误消息

无法在此 Microsoft Entra 租户中启用域服务。 该服务对名为“Microsoft Entra 域服务同步”的应用程序没有足够的权限。请删除名为“Microsoft Entra 域服务同步”的应用程序,并尝试为 Microsoft Entra 租户启用域服务。

解决方案

检查 Microsoft Entra 目录中是否存在名为 Microsoft Entra 域服务同步的应用程序。 如果此应用程序存在,请将其删除,然后再次尝试启用域服务。 若要检查是否存在现有的应用程序并根据需要将其删除,请完成以下步骤:

  1. Microsoft Entra 管理中心内,从左侧导航菜单中选择“Microsoft Entra ID”。
  2. 选择“企业应用程序”。 在“应用程序类型”下拉菜单中,选择“所有应用程序”,然后选择“应用” 。
  3. 在搜索框中输入“Microsoft Entra 域服务同步”。如果此应用程序存在,请选择它并选择“删除”。
  4. 删除此应用程序后,再次尝试启用域服务。

配置无效

错误消息

无法在此 Microsoft Entra 租户中启用域服务。 Microsoft Entra 租户中的域服务应用程序没有所需的权限来启用域服务。 请删除标识符为 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的应用程序,并尝试为 Microsoft Entra 租户启用域服务。

解决方案

检查你的 Microsoft Entra 目录中是否存在名为 AzureActiveDirectoryDomainControllerServices 且应用程序标识符为 d87dcbc6-a371-462e-88e3-28ad15ec4e64 的现有应用程序。 如果此应用程序存在,请将其删除,然后再次尝试启用域服务。

使用以下 PowerShell 脚本搜索现有的应用程序实例,并根据需要将其删除:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.azure.cn"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph 已禁用

错误消息

无法在此 Microsoft Entra 租户中启用域服务。 Microsoft Entra 应用程序在 Microsoft Entra 租户中处于禁用状态。 请启用标识符为 00000002-0000-0000-c000-000000000000 的应用程序,并尝试为 Microsoft Entra 租户启用域服务。

解决方案

检查是否已禁用标识符为 00000002-0000-0000-c000-000000000000 的应用程序。 此应用程序是一个 Microsoft Entra 应用程序,为图形 API 提供对 Microsoft Entra 租户的访问权限。 若要同步 Microsoft Entra 租户,必须启用此应用程序。

若要检查此应用程序的状态并根据需要将其启用,请完成以下步骤:

  1. Microsoft Entra 管理中心,搜索并选择“企业应用程序”。
  2. 在“应用程序类型”下拉菜单中,选择“所有应用程序”,然后选择“应用” 。
  3. 在搜索框中输入 00000002-0000-0000-c000-00000000000。 选择此应用程序,然后选择“属性”。
  4. 如果“为要登录的用户启用”设置为“否”,请将值设置为“是”,然后选择“保存”。
  5. 启用此应用程序后,再次尝试启用域服务。

用户无法登录 Microsoft Entra 域服务托管域

如果你的 Microsoft Entra 租户中有一个或多个用户无法登录到托管域,请完成以下故障排除步骤:

  • 凭据格式 - 请尝试使用 UPN 格式来指定凭据,例如 dee@aaddscontoso.partner.onmschina.cn。 UPN 格式是在域服务中指定凭据时建议使用的方法。 请确保在 Microsoft Entra ID 中正确配置了此 UPN。

    如果租户中有多个用户具有相同的 UPN 前缀,或者 UPN 前缀过长,系统可能会自动生成帐户的 SAMAccountName,例如 AADDSCONTOSO\driley。 因此,帐户的 SAMAccountName 格式可能不同于你在本地域中所需的格式或使用的格式。

  • 密码同步 - 请确保已为纯云用户使用 Microsoft Entra Connect 的混合环境启用了密码同步。

    • 混合同步帐户: 如果受影响的用户帐户是从本地目录同步而来的,请验证以下方面:

      • 是否已部署或更新到建议使用的最新版本的 Microsoft Entra Connect

      • 是否已将 Microsoft Entra Connect 配置为执行完全同步

      • 根据目录的大小,可能需要一段时间之后才可在托管域中使用用户帐户和凭据哈希。 在尝试向托管域进行身份验证之前,请确保等待足够长的时间。

      • 如果在验证上述步骤后问题仍然出现,请尝试重启“Azure AD 同步服务”。 从你的 Microsoft Entra Connect 服务器中,打开一个命令提示符,然后运行以下命令:

        net stop 'Azure AD Sync'
        net start 'Azure AD Sync'
        
    • 仅限云帐户:如果受影响的用户帐户是仅限云的用户帐户,请确保在启用域服务之后,用户已更改其密码。 此密码重置操作将生成托管域所需的凭据哈希。

  • 验证用户帐户是否处于活动状态:默认情况下,在托管域上于 2 分钟内进行五次无效密码尝试会导致用户帐户被锁定 30 分钟。 当帐户被锁定时,用户无法登录。30 分钟后用户帐户将自动解锁。

    • 在托管域上尝试无效密码不会在 Microsoft Entra ID 中锁定用户帐户, 只会在托管域中锁定用户帐户。 请使用管理 VM 检查 Active Directory 管理控制台 (ADAC) 中的用户帐户状态,而不是在 Microsoft Entra ID 中这样做。
    • 还可以配置细化密码策略来更改默认的锁定阈值和持续时间。
  • 外部帐户 - 确保受影响的用户帐户不是 Microsoft Entra 租户中的外部帐户。 外部帐户示例包括 Microsoft 帐户(例如 dee@live.com),或来自外部 Microsoft Entra 目录的用户帐户。 域服务不存储外部用户帐户的凭据,因此此类帐户无法登录到托管域。

托管域上出现一个或多个警报

如果托管域上存在处于活动状态的警报,可能会阻止身份验证过程正常运行。

若要查看是否有任何处于活动状态的警报,请检查托管域的运行状况。 如果显示了任何警报,请排查并解决它们

从 Microsoft Entra 租户中删除的用户不会从托管域中删除

Microsoft Entra 会防止意外删除用户对象。 如果从 Microsoft Entra 租户中删除某个用户帐户,相应的用户对象将移到回收站。 当此删除操作同步到托管域时,相应的用户帐户会被删除,因为域服务没有回收站。

如果用户帐户在租户中还原,则域服务会在将更改同步到托管域时获取该帐户的所有链接。 托管域中的用户帐户会获取一个新的全局唯一标识符 (GUID) 和安全 ID (SID)。

后续步骤

如果仍有问题,请提交 Azure 支持请求以获取更多的故障排除帮助。