已知问题:Microsoft Entra 域服务中的常见警报和解决方法

作为应用程序的标识和身份验证的核心部分,Microsoft Entra 域服务有时会出现问题。 如果遇到问题,这里有一些可帮助你使服务再次运行的常见警报以及相关的故障排除步骤。 你还可以随时提交 Azure 支持请求以获得更多排除故障帮助。

本文介绍有关域服务中常见警报的故障排除信息。

AADDS100:缺少目录

警报消息

与托管域关联的 Microsoft Entra 目录可能已被删除。 托管域不再处于受支持的配置中。 Microsoft 无法监视、管理、修补和同步托管域。

解决方法

出现此错误通常因为将 Azure 订阅移到新的 Microsoft Entra 目录,并删除了与域服务关联的旧 Microsoft Entra 目录。

此错误无法恢复。 若要解决此警报,请删除现有托管域,并在新目录中重新创建。 如果在删除托管域时遇到问题,请发起 Azure 支持请求以获得更多疑难解答帮助。

AADDS101:Azure AD B2C 在此目录中运行

警报消息

无法在 Azure AD B2C 目录中启用 Microsoft Entra 域服务。

解决方法

域服务会自动与 Microsoft Entra 目录同步。 如果为 B2C 配置了 Microsoft Entra 目录,则无法部署和同步域服务。

若要使用域服务,必须使用以下步骤在非 Azure AD B2C 目录中重新创建托管域:

  1. 首从现有 Microsoft Entra 目录中删除托管域
  2. 创建不是 Azure AD B2C 目录的新 Microsoft Entra 目录。
  3. 创建替换托管域

托管域的运行状况会在两小时内自动更新,并删除警报。

AADDS103:地址在公共 IP 范围内

警报消息

已启用 Microsoft Entra 域服务的虚拟网络的 IP 地址范围在公共 IP 范围内。 必须在具有专用 IP 地址范围的虚拟网络中启用 Microsoft Entra 域服务。 此配置影响 Microsoft 监视、管理、修补和同步托管域的功能。

解决方法

在开始前,请确保了解专用 IP v4 地址空间

在虚拟网络内部,VM 可以向 Azure 资源发出请求,这些资源与为子网配置的资源属于同一个 IP 地址范围。 如果为子网配置了公共 IP 地址范围,则在虚拟网络内路由的请求可能无法到达预期的 Web 资源。 此配置可能导致域服务出现不可预知的错误。

注意

如果你在 Internet 中拥有为虚拟网络配置的 IP 地址范围,则可以忽略此警报。 但是,Microsoft Entra 域服务无法通过此配置提交到 SLA,因为它可能会导致不可预知的错误。

若要解除此警报,请删除现有托管域,然后在具有专用 IP 地址范围的虚拟网络中重新创建它。 此过程具有破坏性,因为托管域不可用,且所创建的任何自定义资源(如 OU 或服务帐户)都将丢失。

  1. 从目录中删除托管域
  2. 若要更新虚拟网络 IP 地址范围,请在 Microsoft Entra 管理中心中搜索并选择“虚拟网络”。 为错误地设置了公共 IP 地址范围的域服务选择虚拟网络。
  3. 在“设置”下,选择“地址空间”。
  4. 选择并编辑现有地址范围,或添加地址范围,以更新地址范围。 请确保新的 IP 地址范围在专用 IP 范围内。 准备就绪后,请保存更改。
  5. 在左侧导航栏中,选择“子网”。
  6. 选择要编辑的子网,或创建其他子网。
  7. 更新或指定专用 IP 地址范围,然后保存更改。
  8. 创建替换托管域。 请确保选择具有专用 IP 地址范围的已更新虚拟网络子网。

托管域的运行状况会在两小时内自动更新,并删除警报。

AADDS106:找不到 Azure 订阅

警报消息

与托管域关联的 Azure 订阅已删除。 Microsoft Entra 域服务需要有效的订阅才能继续正常工作。

解决方法

域服务要求使用有效的订阅,且该订阅不能移动到其他订阅。 如果已删除托管域与之关联的 Azure 订阅,则必须重新创建 Azure 订阅和托管域。

  1. 创建 Azure 订阅
  2. 首从现有 Microsoft Entra 目录中删除托管域
  3. 创建替换托管域

AADDS107:Azure 订阅已禁用

警报消息

与托管域关联的 Azure 订阅处于非活动状态。 Microsoft Entra 域服务需要有效的订阅才能继续正常工作。

解决方法

域服务需要有效的订阅。 如果托管域与之关联的 Azure 订阅未处于活动状态,则必须续订以重新激活该订阅。

  1. 续订 Azure 订阅
  2. 续订订阅后,可通过域服务通知重新启用托管域。

再次启用托管域后,托管域的运行状况会在两小时内自动更新,并删除警报。

AADDS108:订阅已移至其他目录

警报消息

Microsoft Entra 域服务使用的订阅已移到另一个目录。 Microsoft Entra 域服务需在同一目录中具有活动的订阅才能正常运行。

解决方法

域服务要求使用有效的订阅,且该订阅不能移动到其他订阅。 如果已移动托管域与之关联的 Azure 订阅,则请将该订阅移回到上一个目录,或从现有目录中删除托管域,并在所选订阅中创建替换托管域

AADDS109:找不到托管域的资源

警报消息

用于托管域的资源已删除。 需要此资源才能让 Microsoft Entra 域服务正常运行。

解决方法

域服务会创建资源以供其正常运行,例如公共 IP 地址、虚拟网络接口和负载均衡器。 如果上述任一资源被删除,则托管域将处于不受支持的状态,并阻止对域进行管理。 有关这些资源的详细信息,请参阅域服务使用的网络资源

上述其中一个所需资源被删除时,将生成此警报。 如果资源的删除时间还不到 4 小时,则 Azure 平台还有机会自动重新创建已删除的资源。 以下步骤概述了如何检查运行状况和资源删除的时间戳:

  1. Microsoft Entra 管理中心,搜索并选择“域服务”。 选择你的托管域,例如 aaddscontoso.com

  2. 在左侧导航栏中,选择“运行状况”。

  3. 在运行状况页上,选择 ID 为“AADDS109”的警报。

  4. 警报包含一个时间戳,指出了首次发出该警报的时间。 如果该时间戳还不到 4 小时,则 Azure 平台也许能自动重新创建资源并解除警报。

    出于不同的原因,警报的时间可能超过 4 小时。 在这种情况下,可以删除托管域,然后创建替换托管域以立即修复,也可以提交支持请求来修复实例。 根据问题的性质,支持可能需要从备份还原。

AADDS110:与托管域关联的子网已满

警报消息

选择用于部署 Microsoft Entra 域服务的子网已满,没有空间用于保留需要创建的其他域控制器。

解决方法

域服务的虚拟网络子网需要足够的 IP 地址以供自动创建的资源使用。 此 IP 地址空间包括在出现维护事件时创建替换资源的需求。 为了最大程度地降低可用 IP 地址不足的风险,请不要将其他资源(如你自己的 VM)部署到与托管域相同的虚拟网络子网中。

此错误无法恢复。 若要解除此警报,请删除现有托管域并重新创建它。 如果在删除托管域时遇到问题,请发起 Azure 支持请求以获得更多帮助。

AADDS111:服务主体未经授权

警报消息

Microsoft Entra 域服务用来为域提供服务的服务主体无权管理 Azure 订阅中的资源。 该服务主体需要获取权限才能为托管域提供服务。

解决方法

某些自动生成的服务主体可用于管理和创建托管域的资源。 如果更改了其中一个服务主体的访问权限,则域将无法正确管理资源。 以下步骤说明如何了解服务主体并向服务主体授予访问权限:

  1. 了解基于 Azure 角色的访问控制以及如何在 Microsoft Entra 管理中心中授予对应用程序的访问权限
  2. 评审 ID 为“abba844e-bc0e-44b0-947a-dc74e5d09022”的服务主体所具有的访问权限,并授予在以前的某个日期拒绝的访问权限。

AADDS112:托管域中没有足够的 IP 地址

警报消息

我们发现,此域中虚拟网络的子网可能没有足够的 IP 地址。 Microsoft Entra 域服务在启用它的子网中至少需要两个可用的 IP 地址。 我们建议在该子网中至少提供 3-5 个备用 IP 地址。 如果在该子网中部署了其他虚拟机,从而耗尽了可用的 IP 地址,或者子网中可用 IP 地址数量有限制,则可能会发生这种情况。

解决方法

域服务的虚拟网络子网需要足够的 IP 地址以供自动创建的资源使用。 此 IP 地址空间包括在出现维护事件时创建替换资源的需求。 为了最大程度地降低可用 IP 地址不足的风险,请不要将其他资源(如你自己的 VM)部署到与托管域相同的虚拟网络子网中。

若要解除此警报,请删除现有托管域,然后在具有足够大 IP 地址范围的虚拟网络中重新创建它。 此过程具有破坏性,因为托管域不可用,且所创建的任何自定义资源(如 OU 或服务帐户)都将丢失。

  1. 从目录中删除托管域
  2. 若要更新虚拟网络 IP 地址范围,请在 Microsoft Entra 管理中心中搜索并选择“虚拟网络”。 为具有较小 IP 地址范围的托管域选择虚拟网络。
  3. 在“设置”下,选择“地址空间”。
  4. 选择并编辑现有地址范围,或添加其他地址范围,以更新地址范围。 请确保新的 IP 地址范围足够大,可满足托管域子网范围的需求。 准备就绪后,请保存更改。
  5. 在左侧导航栏中,选择“子网”。
  6. 选择要编辑的子网,或创建其他子网。
  7. 更新或指定足够大的 IP 地址范围,然后保存更改。
  8. 创建替换托管域。 请确保选择具有足够大 IP 地址范围的已更新虚拟网络子网。

托管域的运行状况会在两小时内自动更新,并删除警报。

AADDS113:资源不可恢复

警报消息

检测到 Microsoft Entra 域服务使用的资源处于意外状态,且无法恢复。

解决方法

域服务会创建资源以供其正常运行,例如公共 IP 地址、虚拟网络接口和负载均衡器。 如果上述任一资源被修改,则托管域将处于不受支持的状态,且无法进行管理。 有关这些资源的详细信息,请参阅域服务使用的网络资源

当这些必需资源之一进行了修改并且无法由域服务自动恢复时,便会生成此警报。 若要解决警报,请打开 Azure 支持请求来修复实例。

AADDS114:子网无效

警报消息

为 Microsoft Entra 域服务部署选择的子网无效,且不可用。

解决方法

此错误无法恢复。 若要解除此警报,请删除现有托管域并重新创建它。 如果在删除托管域时遇到问题,请发起 Azure 支持请求以获得更多帮助。

AADDS115:资源已锁定

警报消息

由于目标范围已锁定,托管域使用的一个或多个网络资源无法运行。

解决方法

可以将资源锁应用于 Azure 资源以防止更改或删除。 由于域服务是一种托管服务,因此 Azure 平台需要具有进行配置更改的能力。 如果对某些域服务组件应用了资源锁,则 Azure 平台将无法执行其管理任务。

若要检查域服务组件上的资源锁并将其删除,请完成以下步骤:

  1. 对于资源组中的每个托管域网络组件,如虚拟网络、网络接口或公共 IP 地址,请检查 Microsoft Entra 管理中心中的操作日志。 这些操作日志应指示操作失败的原因以及应用资源锁的位置。
  2. 选择应用有锁的资源,然后在“锁”下,选择并删除锁。

AADDS116:资源不可用

警报消息

由于策略限制,托管域使用的一个或多个网络资源无法运行。

解决方法

对可控制配置操作范围的 Azure 资源和资源组应用策略。 由于域服务是一种托管服务,因此 Azure 平台需要具有进行配置更改的能力。 如果对某些域服务组件应用了策略,则 Azure 平台可能无法执行其管理任务。

若要检查应用于域服务组件的政策并更新,请完成以下步骤:

  1. 对于资源组中的每个托管域网络组件,如虚拟网络、NIC 或公共 IP 地址,请检查 Microsoft Entra 管理中心中的操作日志。 这些操作日志应指示操作失败的原因以及应用限制性策略的位置。
  2. 选择应用了某个策略的资源,然后在“策略”下选择并编辑该策略,以降低其限制性。

AADDS120:托管域在载入一个或多个自定义属性时遇到错误

警报消息

以下 Microsoft Entra 扩展属性尚未成功载入为用于同步的自定义属性。 如果属性与内置架构冲突,则可能会发生这种情况:[extensions]

解决方法

警告

如果自定义属性的 LDAPName 与现有的 AD 内置架构属性冲突,则无法载入并会导致错误。 如果你的方案被阻止,请联系 Microsoft 支持部门。 有关详细信息,请参阅载入自定义属性

查看域服务运行状况警报,并查看哪些 Microsoft Entra 扩展属性未能成功载入。 导航到“自定义属性”页,查找扩展的预期域服务 LDAPName。 请确保 LDAPName 不与其他 AD 架构属性冲突,或者它是允许的内置 AD 属性之一。

然后按照以下步骤在“自定义属性”页中重试自定义属性载入:

  1. 选择不成功的属性,然后单击“删除”和“保存”。
  2. 等待运行状况警报被删除,或验证是否已从已加入域的 VM 的 AADDSCustomAttributes OU 中删除相应的属性。
    • 注意:如果未在一天内从 AADDSCustomAttributes OU 中移除相应的属性:
      1. 检查 Azure AD 域服务同步清单的 addIns 部分是否不包含相应的属性。
        • 通过门户 > 应用注册 > 单击“所有应用程序”>“Azure AD 域服务同步”> 左侧边栏选项卡 > 清单
      2. 如果 addIns 部分不包含相应的属性,AADDS DC 管理员可以手动从 AADDSCustomAttributes OU 中移除相应的属性。 应在手动删除后的两小时内清除警报。
  3. 选择“添加”,然后再次选择所需的属性,然后单击“保存”。

成功载入后,域服务会使用载入的自定义属性值回填同步的用户和组。 自定义属性值会逐渐显示,具体取决于租户的大小。 若要检查回填状态,请转到“域服务运行状况”,并验证“与 Microsoft Entra ID 同步”监视器时间戳是否在过去一小时内进行了更新。

AADDS500:同步在一段时间内未完成

警报消息

托管域上次于 [date] 与 Microsoft Entra ID 进行同步。 用户可能无法登录到托管域,或者组成员身份可能未与 Azure AD 同步。

解决方法

检查域服务运行状况,看看是否有任何警报指示托管域的配置存在问题。 网络配置问题可能会阻止与 Microsoft Entra ID 的同步。 如果你能够解除指示配置问题的警报,则请等待两个小时,然后返回查看同步是否已成功完成。

以下常见原因可导致同步在托管域中停止:

AADDS501:已在一段时间内未执行备份

警报消息

托管域上次于 [date] 进行备份。

解决方法

检查域服务运行状况,看看是否有警报指示托管域的配置存在问题。 网络配置问题可能会阻止 Azure 平台成功进行备份。 如果你能够解除指示配置问题的警报,则请等待两个小时,然后返回查看同步是否已成功完成。

AADDS503:由于订阅禁用而暂停

警报消息

由于与域关联的 Azure 订阅未处于活动状态,托管域已暂停。

解决方法

警告

如果托管域挂起很长一段时间,则存在其被删除的危险。 请尽快查明挂起的原因。 有关详细信息,请参阅了解域服务的挂起状态

域服务需要有效的订阅。 如果托管域与之关联的 Azure 订阅未处于活动状态,则必须续订以重新激活该订阅。

  1. 续订 Azure 订阅
  2. 续订订阅后,可通过域服务通知重新启用托管域。

再次启用托管域后,托管域的运行状况会在两小时内自动更新,并删除警报。

AADDS504:由于配置无效而暂停

警报消息

由于配置无效,托管域已暂停。 服务已很长时间无法为托管域管理、修补或更新域控制器。

解决方法

警告

如果托管域挂起很长一段时间,则存在其被删除的危险。 请尽快查明挂起的原因。 有关详细信息,请参阅了解域服务的挂起状态

检查域服务运行状况,看看是否有警报指示托管域的配置存在问题。 如果你能够解除指示配置问题的警报,则请等待两个小时,然后返回查看同步是否已完成。 准备就绪后,请发起 Azure 支持请求以重新启用托管域。

AADDS600:30 天未解决的运行状况警报

警报消息

由于未解决的运行状况警报 [ID],Microsoft 无法管理此托管域的域控制器。 这会阻止这些域控制器的关键安全更新。 按照警报中的步骤解决问题。 未能在 30 天内解决此问题将导致托管域挂起。

解决方法

警告

如果托管域挂起很长一段时间,则存在其被删除的危险。 请尽快查明挂起的原因。 有关详细信息,请参阅了解域服务的挂起状态

检查域服务运行状况,看看是否有警报指示托管域的配置存在问题。 如果你能够解决指示配置问题的警报,请等待六个小时,然后返回查看该警报是否已删除。 如需帮助,请创建 Azure 支持请求

后续步骤

如果仍有问题,请发起 Azure 支持请求以获得更多疑难解答帮助。