Häufige Fehler und Schritte zur Problembehandlung für Microsoft Entra Domain Services

Als zentraler Bestandteil der Identität und Authentifizierung für Anwendungen haben die Microsoft Entra Domain Services manchmal Probleme. Wenn das der Fall ist, können Sie mithilfe einiger häufiger Fehlermeldungen und zugehöriger Schritte zur Problembehandlung diese Fehler beheben. Sie können auch jederzeit eine Azure-Supportanfrage öffnen, um weitere Hilfe bei der Problembehandlung zu erhalten.

Dieser Artikel enthält Schritte zur Behandlung von häufig auftretenden Problemen in Domaindiensten.

Sie können Microsoft Entra Domain Services nicht für Ihr Microsoft Entra-Verzeichnis aktivieren

Wenn Probleme beim Aktivieren von Domaindiensten auftreten, sehen Sie sich die folgenden häufigen Fehler und die Schritte zu deren Lösung an:

Beispielfehlermeldung Lösung
Der Name „aaddscontoso.com“ wird in diesem Netzwerk bereits verwendet. Geben Sie einen Namen an, der nicht verwendet wird. Domänennamenskonflikt im virtuellen Netzwerk
Domain Services konnte in diesem Microsoft Entra-Mandanten nicht aktiviert werden. Der Dienst verfügt nicht über die erforderlichen Berechtigungen für die Anwendung „Microsoft Entra Domain Services Sync“. Löschen Sie die Anwendung „Microsoft Entra Domain Services Sync“, und versuchen Sie dann, Domain Services für Ihren Microsoft Entra-Mandanten zu aktivieren. Domain Services verfügt nicht über die erforderlichen Berechtigungen für die Anwendung „Microsoft Entra Domain Services Sync“
Domain Services konnte in diesem Microsoft Entra-Mandanten nicht aktiviert werden. Die Domain Services-Anwendung in Ihrem Microsoft Entra-Mandanten verfügt nicht über die erforderlichen Berechtigungen zum Aktivieren von Domain Services. Löschen Sie die Anwendung mit dem Anwendungsbezeichner d87dcbc6-a371-462e-88e3-28ad15ec4e64, und versuchen Sie dann, Domain Services für Ihren Microsoft Entra-Mandanten zu aktivieren. Die Domain Services-Anwendung ist in Ihrem Microsoft Entra-Mandanten nicht ordnungsgemäß konfiguriert
Domain Services konnte in diesem Microsoft Entra-Mandanten nicht aktiviert werden. Die Microsoft Entra-Anwendung ist in Ihrem Microsoft Entra-Mandanten deaktiviert. Aktivieren Sie die Anwendung mit dem Anwendungsbezeichner 00000002-0000-0000-c000-000000000000, und versuchen Sie dann, Domain Services für Ihren Microsoft Entra-Mandanten zu aktivieren. Die Microsoft Graph-Anwendung ist in Ihrem Microsoft Entra-Mandanten deaktiviert

Domänennamenskonflikt

Fehlermeldung

Der Name „aaddscontoso.com“ wird in diesem Netzwerk bereits verwendet. Geben Sie einen Namen an, der nicht verwendet wird.

Lösung

Vergewissern Sie sich, dass im virtuellen Netzwerk keine AD DS-Umgebung mit dem gleichen Domänennamen und demselben oder einem per Peering verknüpften virtuellen Netzwerk vorhanden ist. Ein Beispiel: Angenommen, Sie verfügen über eine AD DS-Domäne namens aaddscontoso.com, die auf virtuellen Azure-Computern ausgeführt wird. Wenn Sie versuchen, im virtuellen Netzwerk eine verwaltete Azure AD DS-Domäne mit dem gleichen Domänennamen (aaddscontoso.com) zu aktivieren, ist der Vorgang nicht erfolgreich.

Der Grund für diesen Fehler ist ein Namenskonflikt in Bezug auf den Domänennamen im virtuellen Netzwerk. Mit einem DNS-Lookup wird geprüft, ob eine vorhandene AD DS-Umgebung auf den angeforderten Domänennamen antwortet. Verwenden Sie zur Behebung dieses Fehlers beim Einrichten der verwalteten Domäne einen anderen Namen, oder heben Sie die Bereitstellung der vorhandenen AD DS-Domäne auf, und versuchen Sie dann noch mal, Domaindienste zu aktivieren.

Ungeeignete Berechtigungen

Fehlermeldung

Domain Services konnte in diesem Microsoft Entra-Mandanten nicht aktiviert werden. Der Dienst verfügt nicht über die erforderlichen Berechtigungen für die Anwendung „Microsoft Entra Domain Services Sync“. Löschen Sie die Anwendung „Microsoft Entra Domain Services Sync“, und versuchen Sie dann, Domain Services für Ihren Microsoft Entra-Mandanten zu aktivieren.

Lösung

Überprüfen Sie, ob in Ihrem Microsoft Entra Verzeichnis eine Anwendung namens Microsoft Entra Domain Services Sync vorhanden ist. Falls diese Anwendung vorhanden ist, löschen Sie sie, und versuchen Sie dann erneut, Domaindienste zu aktivieren. Führen Sie die folgenden Schritte aus, um nach einer vorhandenen Anwendung zu suchen und sie bei Bedarf zu löschen:

  1. Wählen Sie im Microsoft Entra Admin Center im linken Navigationsmenü die Option Microsoft Entra ID aus.
  2. Wählen Sie Unternehmensanwendungen. Wählen Sie im Dropdownmenü Anwendungstyp die Option Alle Anwendungen und dann Anwenden aus.
  3. Geben Sie im Suchfeld Microsoft Entra Domain Services Sync ein. Wenn die Anwendung vorhanden ist, wählen Sie die Anwendung und dann Löschen aus.
  4. Sobald Sie die Anwendung gelöscht haben, versuchen Sie erneut, Domaindienste zu aktivieren.

Ungültige Konfiguration

Fehlermeldung

Domain Services konnte in diesem Microsoft Entra-Mandanten nicht aktiviert werden. Die Domain Services-Anwendung in Ihrem Microsoft Entra-Mandanten verfügt nicht über die erforderlichen Berechtigungen zum Aktivieren von Domain Services. Löschen Sie die Anwendung mit dem Anwendungsbezeichner d87dcbc6-a371-462e-88e3-28ad15ec4e64, und versuchen Sie dann, Domain Services für Ihren Microsoft Entra-Mandanten zu aktivieren.

Lösung

Prüfen Sie, ob eine Anwendung namens AzureActiveDirectoryDomainControllerServices mit dem Anwendungsbezeichner d87dcbc6-a371-462e-88e3-28ad15ec4e64 in Ihrem Microsoft Entra-Verzeichnis vorhanden ist. Falls diese Anwendung vorhanden ist, löschen Sie sie, und versuchen Sie dann erneut, Domaindienste zu aktivieren.

Verwenden Sie das folgende PowerShell-Skript, um nach einer vorhandenen Anwendungsinstanz zu suchen und diese bei Bedarf zu löschen:

$InformationPreference = "Continue"
$WarningPreference = "Continue"

$aadDsSp = Get-MgServicePrincipal -Filter "AppId eq 'd87dcbc6-a371-462e-88e3-28ad15ec4e64'" -ErrorAction Ignore
if ($aadDsSp -ne $null)
{
    Write-Information "Found Azure AD Domain Services application. Deleting it ..."
    Remove-MgServicePrincipal -ServicePrincipalId $aadDsSp.Id
    Write-Information "Deleted the Azure AD Domain Services application."
}

$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
$appFilter = "IdentifierUris eq '" + $identifierUri + "'"
$app = Get-MgApplication -Filter $appFilter
if ($app -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync application. Deleting it ..."
    Remove-MgApplication -ApplicationId  $app.Id
    Write-Information "Deleted the Azure AD Domain Services Sync application."
}

$spFilter = "ServicePrincipalNames eq '" + $identifierUri + "'"
$sp = Get-MgServicePrincipal -Filter $spFilter
if ($sp -ne $null)
{
    Write-Information "Found Azure AD Domain Services Sync service principal. Deleting it ..."
    Remove-MgServicePrincipal -ObjectId $sp.Id
    Write-Information "Deleted the Azure AD Domain Services Sync service principal."
}

Microsoft Graph ist deaktiviert

Fehlermeldung

Domain Services konnte in diesem Microsoft Entra-Mandanten nicht aktiviert werden. Die Microsoft Entra-Anwendung ist in Ihrem Microsoft Entra-Mandanten deaktiviert. Aktivieren Sie die Anwendung mit dem Anwendungsbezeichner 00000002-0000-0000-c000-000000000000, und versuchen Sie dann, Domain Services für Ihren Microsoft Entra-Mandanten zu aktivieren.

Lösung

Prüfen Sie, ob Sie eine Anwendung mit dem Bezeichner 00000002-0000-0000-c000-000000000000 deaktiviert haben. Diese Anwendung ist die Microsoft Entra-Anwendung und stellt den Graph-API-Zugriff auf Ihren Microsoft Entra-Mandanten bereit. Diese Anwendung muss aktiviert sein, damit Ihr Microsoft Entra-Mandant synchronisiert werden kann.

Führen Sie die folgenden Schritte aus, um den Status dieser Anwendung zu prüfen und sie bei Bedarf zu aktivieren:

  1. Suchen Sie im Microsoft Entra Admin Center nach der Option Unternehmensanwendungen, und wählen Sie sie aus.
  2. Wählen Sie im Dropdownmenü Anwendungstyp die Option Alle Anwendungen und dann Anwenden aus.
  3. Geben Sie im Suchfeld 00000002-0000-0000-c000-00000000000 ein. Wählen Sie die Anwendung und dann Eigenschaften aus.
  4. Wenn Aktiviert für die Benutzeranmeldung? auf Nein festgelegt ist, ändern Sie den Wert in Ja, und wählen Sie dann Speichern aus.
  5. Sobald Sie die Anwendung aktiviert haben, versuchen Sie erneut, Domaindienste zu aktivieren.

Benutzer*innen können sich nicht bei der verwalteten Microsoft Entra Domain Services-Domäne anmelden

Falls Benutzer*innen in Ihrem Microsoft Entra-Mandanten sich nicht bei der verwalteten Domäne anmelden können, führen Sie die folgenden Schritte zur Problembehandlung aus:

  • Format der Anmeldeinformationen: Geben Sie die Anmeldeinformationen im UPN-Format an, z.B. als dee@aaddscontoso.onmicrosoft.com. Das UPN-Format wird zur Angabe von Anmeldeinformationen in Domaindienste empfohlen. Stellen Sie sicher, dass dieser UPN in Microsoft Entra ID ordnungsgemäß konfiguriert ist.

    Der SAM-Kontoname (SAMAccountName) für Ihr Konto (beispielsweise AADDSCONTOSO\driley) wird möglicherweise automatisch generiert, wenn mehrere Benutzer in Ihrem Mandanten das gleiche UPN-Präfix verwenden oder wenn Ihr UPN-Präfix übermäßig lang ist. Das Format SAMAccountName für Ihr Konto ist möglicherweise anders als Sie erwarten bzw. unterscheidet sich von dem, was Sie in Ihrer lokalen Domäne verwenden.

  • Kennwortsynchronisierung: Stellen Sie sicher, dass Sie die Kennwortsynchronisierung für reine Cloudbenutzer oder für Hybridumgebungen mit Microsoft Entra Connect aktiviert haben.

    • Hybride synchronisierte Konten: Falls die betroffenen Benutzerkonten über ein lokales Verzeichnis synchronisiert werden, überprüfen Sie Folgendes:

      • Sie haben das neueste empfohlene Release von Microsoft Entra Connect bereitgestellt bzw. ein Update auf dieses Release durchgeführt.

      • Sie haben Microsoft Entra Connect so konfiguriert, dass eine vollständige Synchronisierung ausgeführt wird.

      • Je nach Größe Ihres Verzeichnisses kann es einige Zeit dauern, bis die Benutzerkonten und Anmeldeinformationshashes in der verwalteten Domäne verfügbar sind. Vergewissern Sie sich, dass Sie lange genug warten, bevor Sie versuchen, sich bei der verwalteten Domäne zu authentifizieren.

      • Wenn das Problem nach Überprüfung der vorherigen Schritte weiterhin auftritt, starten Sie den Microsoft Azure AD Sync-Dienst neu. Öffnen Sie auf dem Microsoft Entra Connect-Server eine Eingabeaufforderung, und führen Sie dann die folgenden Befehle aus:

        net stop 'Microsoft Azure AD Sync'
        net start 'Microsoft Azure AD Sync'
        
    • Reine Cloudkonten: Falls es sich bei dem betroffenen Benutzerkonto um ein reines Cloudbenutzerkonto handelt, vergewissern Sie sich, dass der Benutzer oder die Benutzerin sein/ihr Kennwort geändert hat, nachdem Sie Domaindienste aktiviert haben. Durch diese Kennwortzurücksetzung werden die erforderlichen Anmeldeinformationshashes für die verwaltete Domäne generiert.

  • Vergewissern Sie sich, dass das Benutzerkonto aktiv ist: Standardmäßig bewirken fünf erfolglose Kennworteingaben in der verwalteten Domäne innerhalb von zwei Minuten, dass das Benutzerkonto für 30 Minuten gesperrt wird. Der Benutzer kann sich nicht anmelden, während das Konto gesperrt ist. Nach 30 Minuten wird das Benutzerkonto automatisch entsperrt.

    • Ungültige Kennworteingabeversuche in der verwalteten Domäne sperren das Benutzerkonto in Microsoft Entra ID nicht. Das Benutzerkonto wird nur in der verwalteten Domäne gesperrt. Überprüfen Sie den Status des Benutzerkontos in der Active Directory-Verwaltungskonsole (Active Directory Administrative Console, ADAC) über die Verwaltungs-VM, nicht in Microsoft Entra ID.
    • Sie können auch differenzierte Kennwortrichtlinien konfigurieren, um den Standardsperrschwellenwert und die entsprechende Dauer zu ändern.
  • Externe Konten: Stellen Sie sicher, dass das betroffene Benutzerkonto kein externes Konto im Microsoft Entra-Mandanten ist. Beispiele für externe Konten sind Microsoft-Konten wie dee@live.com oder Benutzerkonten aus einem externen Microsoft Entra-Verzeichnis. Domaindienste speichert keine Anmeldeinformationen für externe Benutzerkonten, sodass sich diese nicht bei der verwalteten Domäne anmelden können.

Es gibt mindestens eine Warnung zu Ihrer verwalteten Domäne

Wenn aktive Warnungen für die verwaltete Domäne vorhanden sind, funktioniert der Authentifizierungsprozess möglicherweise nicht ordnungsgemäß.

Überprüfen Sie den Integritätsstatus einer verwalteten Domäne, um festzustellen, ob aktive Warnungen vorhanden sind. Wenn Warnungen angezeigt werden, behandeln und lösen Sie die Probleme.

Aus Ihrem Microsoft Entra-Mandanten entfernte Benutzer*innen werden nicht aus Ihrer verwalteten Domäne entfernt

Microsoft Entra ID schützt vor dem versehentlichen Löschen von Benutzerobjekten. Wenn Sie ein Benutzerkonto aus einem Microsoft Entra-Mandanten löschen, wird das zugehörige Benutzerobjekt in den Papierkorb verschoben. Wenn dieser Löschvorgang mit Ihrer verwalteten Domäne synchronisiert wird, wird das entsprechende Benutzerkonto gelöscht, da Domänendienste keinen Papierkorb besitzen.

Wenn das Benutzerkonto im Mandanten wiederhergestellt wird, ruft Domänendienste alle Links für das Konto ab, wenn sie die Änderung mit der verwalteten Domäne synchronisiert. Das Benutzerkonto in der verwalteten Domäne erhält einen neuen global eindeutigen Bezeichner (GUID) und eine Sicherheits-ID (SID).

Nächste Schritte

Falls weiterhin Probleme auftreten, öffnen Sie eine Azure-Supportanfrage, um weitere Hilfe bei der Problembehandlung zu erhalten.