排查 Microsoft Entra 域服务托管域的帐户登录问题
用户帐户无法登录到 Microsoft Entra 域服务托管域的最常见原因包括以下情形:
提示
域服务无法在 Microsoft Entra 租户外部帐户的凭据中同步。 外部用户无法登录到域服务托管域。
帐户尚未同步到域服务
根据目录的大小,可能需要一段时间之后才可在托管域中使用用户帐户和凭据哈希。 对于大型目录,从 Microsoft Entra ID 进行这样一次初始单向同步可能需要几个小时,最多可能会需要一两天时间。 请确保重试身份验证之前等待足够长的时间。
对于使用 Microsoft Entra Connect 将本地目录数据同步到 Microsoft Entra ID 的混合环境,请确保运行最新版本的 Microsoft Entra Connect,并将 Microsoft Entra Connect 配置为在启用后执行完全同步域服务。 如果禁用域服务后再重新启用,则必须再次执行这些步骤。
如果未通过 Microsoft Entra Connect 同步的帐户仍然存在问题,请重启 Azure AD Sync 服务。 在安装了 Microsoft Entra Connect 的计算机上,打开命令提示符窗口,然后运行以下命令:
net stop 'Azure AD Sync'
net start 'Azure AD Sync'
域服务没有密码哈希
除非为租户启用了域服务,否则 Microsoft Entra ID 不会以 NTLM 或 Kerberos 身份验证所需的格式生成或存储密码哈希。 出于安全考虑,Microsoft Entra ID 也不以明文形式存储任何密码凭据。 因此,Microsoft Entra ID 无法基于用户的现有凭据自动生成这些 NTLM 或 Kerberos 密码哈希。
使用本地同步的混合环境
对于使用 Microsoft Entra Connect 从本地 AD DS 环境同步的混合环境,可以在本地生成所需 NTLM 或 Kerberos 密码哈希并将其同步到 Microsoft Entra ID 中。 在创建托管域后,针对 Microsoft Entra 域服务启用密码哈希同步。 如果没有完成此密码哈希同步步骤,则无法使用托管域登录到帐户。 如果禁用域服务后再重新启用,必须再次执行那些步骤。
有关详细信息,请参阅如何针对域服务进行密码哈希同步。
不使用本地同步的“仅限云”环境
不使用本地同步的托管域(仅限 Microsoft Entra ID 中的帐户)也需要生成所需的 NTLM 或 Kerberos 密码哈希。 如果“仅限云”帐户无法登录,是否在启用域服务后成功完成了该帐户的密码更改过程?
- 否,尚未更改密码。
- 请更改该帐户的密码以生成所需密码哈希,然后等待 15 分钟后再次尝试登录。
- 如果禁用域服务后重新启用,每个帐户都必须再次执行这些步骤,以更改其密码并生成所需密码哈希。
- 是,已更改了密码。
- 请尝试使用
driley@aaddscontoso.com等 UPN 格式(而不是AADDSCONTOSO\deeriley等 SAMAccountName 格式 )登录。 - 对于其 UPN 前缀过长或与托管域上另一用户相同的用户,系统可能会自动生成 SAMAccountName。 UPN 格式可保证在 Microsoft Entra 租户中唯一。
- 请尝试使用
该帐户已被锁定
达到为登录尝试失败定义的阈值时,会锁定托管域中的用户帐户。 此帐户锁定行为的设计意图是为了防止反复尝试暴力登录,而反复尝试暴力登录可能表示存在自动化数字攻击。
默认情况下,如果 2 分钟内有 5 次错误的密码尝试,该帐户就会被锁定 30 分钟。
有关详细信息以及如何解决帐户锁定问题,请参阅排查域服务中的帐户锁定问题。
后续步骤
如果在将 VM 加入托管域时仍有问题,请查找帮助并创建 Microsoft Entra ID 的支持票证。