已知问题:Microsoft Entra 域服务中的服务主体警报
服务主体是 Azure 平台用于管理、更新和维护 Microsoft Entra 域服务托管域的应用程序。 如果删除了服务主体,托管域中的功能会受到影响。
本文帮助你发现和解除与服务主体相关的配置警报。
警报 AADDS102:找不到服务主体
警报消息
已从 Microsoft Entra 目录中删除 Microsoft Entra 域服务正常运行所需的服务主体。 此配置影响 Microsoft 监视、管理、修补和同步托管域的功能。
如果需要的服务主体遭删除,Azure 平台无法执行自动化的管理任务。 托管域可能无法正确地应用更新或执行备份。
检查是否缺少服务主体
若要检查缺失的或必须重新创建的服务主体,请完成以下步骤:
在 Microsoft Entra 管理中心,搜索并选择“企业应用程序”。 在“应用程序类型”下拉菜单中,选择“所有应用程序”,然后选择“应用” 。
搜索以下各个应用程序 ID。 对于 Azure 全球,搜索 AppId 值
2565bd9d-da50-47d4-8b85-4c97f669dc36。 对于其他 Azure 云,搜索 AppId 值6ba9a5d4-8456-4118-b521-9c5ca10cdf84。 如果找不到现有的应用程序,请按照解决步骤创建服务主体或重新注册命名空间。应用程序 ID 解决方法 2565bd9d-da50-47d4-8b85-4c97f669dc36 重新创建缺失的服务主体 443155a6-77f3-45e3-882b-22b3a8d431fb 重新注册 Microsoft.AAD命名空间abba844e-bc0e-44b0-947a-dc74e5d09022 重新注册 Microsoft.AAD命名空间d87dcbc6-a371-462e-88e3-28ad15ec4e64 重新注册 Microsoft.AAD命名空间
重新创建缺失的服务主体
如果 Azure 全球的 Microsoft Entra 目录中缺少应用程序 ID 2565bd9d-da50-47d4-8b85-4c97f669dc36,请使用 Microsoft Graph PowerShell 完成以下步骤。 对于其他 Azure 云,请使用 AppId 值 6ba9a5d4-8456-4118-b521-9c5ca10cdf84。 有关详细信息,请参阅安装 Microsoft Graph PowerShell SDK。
如果需要,请安装 Microsoft Graph PowerShell 模块并将其导入,如下所示:
Install-Module Microsoft.Graph -Scope CurrentUser现在,使用 [New-MgServicePrincipal][https://learn.microsoft.com/powershell/module/microsoft.graph.applications/new-mgserviceprincipal] cmdlet 重新创建服务主体:
New-MgServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
托管域的运行状况会在两小时内自动更新,并删除警报。
重新注册 Microsoft Entra 命名空间
如果 Microsoft Entra 目录中缺少应用程序 ID 443155a6-77f3-45e3-882b-22b3a8d431fb、abba844e-bc0e-44b0-947a-dc74e5d09022 或 d87dcbc6-a371-462e-88e3-28ad15ec4e64,请完成以下步骤以重新注册 Azure 订阅的 Microsoft.AAD 资源提供程序:
- 在 Azure 门户中,搜索并选择 订阅。
- 选择与托管域关联的订阅。
- 从左侧导航中,展开“设置”,然后选择“资源提供程序”。
- 搜索
Microsoft.AAD,然后选择“重新注册”。
托管域的运行状况会在两小时内自动更新,并删除警报。
警报 AADDS105:密码同步应用程序已过期
警报消息
应用程序 ID 为“d87dcbc6-a371-462e-88e3-28ad15ec4e64”的服务主体已删除并重新创建。 重新创建会导致在为托管域提供服务所需的 Microsoft Entra 域服务资源上出现不一致的权限。 托管域上的密码同步可能会受影响。
域服务自动从 Microsoft Entra ID 同步用户帐户和凭据。 如果用于此过程的 Microsoft Entra 应用程序有问题,域服务和 Microsoft Entra ID 之间的凭据同步就会失败。
解决方法
若要重新创建用于凭据同步的 Microsoft Entra 应用程序,请使用 Microsoft Graph PowerShell 完成以下步骤。 有关详细信息,请参阅安装 Microsoft Graph PowerShell SDK。
如果需要,请安装 Microsoft Graph PowerShell 模块并将其导入,如下所示:
Install-Module Microsoft.Graph -Scope CurrentUser现在使用以下 PowerShell cmdlet 删除旧的应用程序和对象:
$app = Get-MgApplication | Where-Object { $_.IdentifierUris -eq 'https://sync.aaddc.activedirectory.azure.cn' } Remove-MgApplication -ApplicationId $app.Id $sp = Get-MgServicePrincipal -Filter "DisplayName eq 'Azure AD Domain Services Sync'" Remove-MgServicePrincipal -ServicePrincipalId $sp.Id
删除这两个应用程序后,Azure 平台自动重新创建它们,并尝试恢复密码同步。 托管域的运行状况会在两小时内自动更新,并删除警报。
后续步骤
如果仍有问题,请发起 Azure 支持请求以获得额外的疑难解答帮助。