Kända problem: Vanliga aviseringar och lösningar i Microsoft Entra Domain Services
Som en central del av identitet och autentisering för program har Microsoft Entra Domain Services ibland problem. Om du stöter på problem finns det några vanliga aviseringar och tillhörande felsökningssteg som hjälper dig att få igång saker igen. När som helst kan du också öppna en Azure Support begäran om mer felsökningshjälp.
Den här artikeln innehåller felsökningsinformation för vanliga aviseringar i Domain Services.
AADDS100: Katalog saknas
Aviseringsmeddelande
Microsoft Entra-katalogen som är associerad med din hanterade domän kan ha tagits bort. Den hanterade domänen finns inte längre i en konfiguration som stöds. Microsoft kan inte övervaka, hantera, korrigera och synkronisera din hanterade domän.
Åtgärd
Det här felet orsakas vanligtvis när en Azure-prenumeration flyttas till en ny Microsoft Entra-katalog och den gamla Microsoft Entra-katalogen som är associerad med Domain Services tas bort.
Det här felet går inte att återställa. Lös aviseringen genom att ta bort den befintliga hanterade domänen och återskapa den i den nya katalogen. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure Support begäran om mer felsökningshjälp.
AADDS101: Azure AD B2C körs i den här katalogen
Aviseringsmeddelande
Microsoft Entra Domain Services kan inte aktiveras i en Azure AD B2C-katalog.
Åtgärd
Domain Services synkroniseras automatiskt med en Microsoft Entra-katalog. Om Microsoft Entra-katalogen har konfigurerats för B2C kan Domain Services inte distribueras och synkroniseras.
Om du vill använda Domain Services måste du återskapa din hanterade domän i en icke-Azure AD B2C-katalog med hjälp av följande steg:
- Ta bort den hanterade domänen från din befintliga Microsoft Entra-katalog.
- Skapa en ny Microsoft Entra-katalog som inte är en Azure AD B2C-katalog.
- Skapa en ersättningshanterad domän.
Den hanterade domänens hälsotillstånd uppdateras automatiskt inom två timmar och tar bort aviseringen.
AADDS103: Adressen finns i ett offentligt IP-intervall
Aviseringsmeddelande
IP-adressintervallet för det virtuella nätverk där du har aktiverat Microsoft Entra Domain Services finns i ett offentligt IP-intervall. Microsoft Entra Domain Services måste vara aktiverat i ett virtuellt nätverk med ett privat IP-adressintervall. Den här konfigurationen påverkar Microsofts möjlighet att övervaka, hantera, korrigera och synkronisera din hanterade domän.
Åtgärd
Kontrollera att du förstår privata IP v4-adressutrymmen innan du börjar.
I ett virtuellt nätverk kan virtuella datorer göra begäranden till Azure-resurser i samma IP-adressintervall som konfigurerats för undernätet. Om du konfigurerar ett offentligt IP-adressintervall för ett undernät kanske begäranden som dirigeras inom ett virtuellt nätverk inte når de avsedda webbresurserna. Den här konfigurationen kan leda till oförutsägbara fel med Domain Services.
Kommentar
Om du äger IP-adressintervallet på Internet som har konfigurerats i ditt virtuella nätverk kan den här aviseringen ignoreras. Microsoft Entra Domain Services kan dock inte checka in till serviceavtalet med den här konfigurationen eftersom det kan leda till oförutsägbara fel.
Lös den här aviseringen genom att ta bort din befintliga hanterade domän och återskapa den i ett virtuellt nätverk med ett privat IP-adressintervall. Den här processen är störande eftersom den hanterade domänen inte är tillgänglig och alla anpassade resurser som du har skapat som organisationsenheter eller tjänstkonton går förlorade.
- Ta bort den hanterade domänen från din katalog.
- Om du vill uppdatera IP-adressintervallet för det virtuella nätverket söker du efter och väljer Virtuellt nätverk i administrationscentret för Microsoft Entra. Välj det virtuella nätverket för Domain Services som felaktigt har en uppsättning offentliga IP-adressintervall.
- Under Inställningar väljer du Adressutrymme.
- Uppdatera adressintervallet genom att välja det befintliga adressintervallet och redigera det, eller genom att lägga till ett adressintervall. Kontrollera att det nya IP-adressintervallet finns i ett privat IP-intervall. Spara ändringarna när du är klar.
- Välj Undernät i det vänstra navigeringsfältet.
- Välj det undernät som du vill redigera eller skapa ett annat undernät.
- Uppdatera eller ange ett privat IP-adressintervall och spara ändringarna.
- Skapa en ersättningshanterad domän. Se till att du väljer det uppdaterade undernätet för det virtuella nätverket med ett privat IP-adressintervall.
Den hanterade domänens hälsotillstånd uppdateras automatiskt inom två timmar och tar bort aviseringen.
AADDS106: Azure-prenumerationen hittades inte
Aviseringsmeddelande
Din Azure-prenumeration som är associerad med din hanterade domän har tagits bort. Microsoft Entra Domain Services kräver en aktiv prenumeration för att fortsätta fungera korrekt.
Åtgärd
Domain Services kräver en aktiv prenumeration och kan inte flyttas till en annan prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med tas bort måste du återskapa en Azure-prenumeration och en hanterad domän.
- Skapa en Azure-prenumeration.
- Ta bort den hanterade domänen från din befintliga Microsoft Entra-katalog.
- Skapa en ersättningshanterad domän.
AADDS107: Din Azure-prenumeration är inaktiverad
Aviseringsmeddelande
Din Azure-prenumeration som är associerad med din hanterade domän är inte aktiv. Microsoft Entra Domain Services kräver en aktiv prenumeration för att fortsätta fungera korrekt.
Åtgärd
Domain Services kräver en aktiv prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med inte är aktiv måste du förnya den för att återaktivera prenumerationen.
- Förnya din Azure-prenumeration.
- När prenumerationen har förnyats kan du med ett Domain Services-meddelande återaktivera den hanterade domänen.
När den hanterade domänen är aktiverad igen uppdateras den hanterade domänens hälsotillstånd automatiskt inom två timmar och tar bort aviseringen.
AADDS108: Prenumerationsflyttade kataloger
Aviseringsmeddelande
Prenumerationen som används av Microsoft Entra Domain Services har flyttats till en annan katalog. Microsoft Entra Domain Services måste ha en aktiv prenumeration i samma katalog för att fungera korrekt.
Åtgärd
Domain Services kräver en aktiv prenumeration och kan inte flyttas till en annan prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med flyttas flyttar du tillbaka prenumerationen till föregående katalog eller tar bort den hanterade domänen från den befintliga katalogen och skapar en ersättningshanterad domän i den valda prenumerationen.
AADDS109: Det går inte att hitta resurser för den hanterade domänen
Aviseringsmeddelande
En resurs som används för din hanterade domän har tagits bort. Den här resursen behövs för att Microsoft Entra Domain Services ska fungera korrekt.
Åtgärd
Domain Services skapar resurser för att fungera korrekt, till exempel offentliga IP-adresser, virtuella nätverksgränssnitt och en lastbalanserare. Om någon av dessa resurser tas bort är den hanterade domänen i ett tillstånd som inte stöds och förhindrar att domänen hanteras. Mer information om dessa resurser finns i Nätverksresurser som används av Domain Services.
Den här aviseringen genereras när en av dessa nödvändiga resurser tas bort. Om resursen togs bort för mindre än 4 timmar sedan finns det en chans att Azure-plattformen automatiskt kan återskapa den borttagna resursen. Följande steg beskriver hur du kontrollerar hälsostatusen och tidsstämpeln för resursborttagning:
I administrationscentret för Microsoft Entra söker du efter och väljer Domäntjänster. Välj din hanterade domän, till exempel aaddscontoso.com.
I det vänstra navigeringsfältet väljer du Hälsa.
På sidan Hälsa väljer du aviseringen med ID :t AADDS109.
Aviseringen har en tidsstämpel för när den först hittades. Om tidsstämpeln är mindre än 4 timmar sedan kanske Azure-plattformen automatiskt kan återskapa resursen och lösa aviseringen på egen hand.
Av olika skäl kan aviseringen vara äldre än 4 timmar. I så fall kan du ta bort den hanterade domänen och sedan skapa en ersättningshanterad domän för en omedelbar korrigering, eller så kan du öppna en supportbegäran för att åtgärda instansen. Beroende på problemets art kan supporten kräva en återställning från säkerhetskopian.
AADDS110: Undernätet som är associerat med din hanterade domän är fullt
Aviseringsmeddelande
Det undernät som valts för distribution av Microsoft Entra Domain Services är fullt och har inte utrymme för den ytterligare domänkontrollant som behöver skapas.
Åtgärd
Det virtuella nätverksundernätet för Domain Services behöver tillräckligt med IP-adresser för de automatiskt skapade resurserna. Det här IP-adressutrymmet omfattar behovet av att skapa ersättningsresurser om det finns en underhållshändelse. För att minimera risken för att tillgängliga IP-adresser tar slut ska du inte distribuera andra resurser, till exempel dina egna virtuella datorer, till samma virtuella nätverksundernät som den hanterade domänen.
Det här felet går inte att återställa. Lös aviseringen genom att ta bort din befintliga hanterade domän och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure Support begäran om mer hjälp.
AADDS111: Tjänstens huvudnamn är obehörigt
Aviseringsmeddelande
Ett huvudnamn för tjänsten som Microsoft Entra Domain Services använder för att betjäna din domän har inte behörighet att hantera resurser i Azure-prenumerationen. Tjänstens huvudnamn måste få behörighet att betjäna din hanterade domän.
Åtgärd
Vissa automatiskt genererade tjänsthuvudnamn används för att hantera och skapa resurser för en hanterad domän. Om åtkomstbehörigheterna för ett av dessa tjänsthuvudnamn ändras kan domänen inte hantera resurser korrekt. Följande steg visar hur du förstår och sedan beviljar åtkomstbehörigheter till ett huvudnamn för tjänsten:
- Läs mer om rollbaserad åtkomstkontroll i Azure och hur du beviljar åtkomst till program i administrationscentret för Microsoft Entra.
- Granska åtkomsten som tjänstens huvudnamn med ID abba844e-bc0e-44b0-947a-dc74e5d09022 har och bevilja åtkomsten som nekades vid ett tidigare datum.
AADDS112: Inte tillräckligt med IP-adress i den hanterade domänen
Aviseringsmeddelande
Vi har upptäckt att undernätet för det virtuella nätverket i den här domänen kanske inte har tillräckligt med IP-adresser. Microsoft Entra Domain Services behöver minst två tillgängliga IP-adresser i det undernät som den är aktiverad i. Vi rekommenderar att du har minst 3–5 extra IP-adresser i undernätet. Detta kan ha inträffat om andra virtuella datorer distribueras i undernätet, vilket uttömmer antalet tillgängliga IP-adresser eller om det finns en begränsning av antalet tillgängliga IP-adresser i undernätet.
Åtgärd
Det virtuella nätverksundernätet för Domain Services behöver tillräckligt med IP-adresser för de automatiskt skapade resurserna. Det här IP-adressutrymmet omfattar behovet av att skapa ersättningsresurser om det finns en underhållshändelse. För att minimera risken för att tillgängliga IP-adresser tar slut ska du inte distribuera andra resurser, till exempel dina egna virtuella datorer, till samma virtuella nätverksundernät som den hanterade domänen.
Lös den här aviseringen genom att ta bort din befintliga hanterade domän och återskapa den i ett virtuellt nätverk med ett tillräckligt stort IP-adressintervall. Den här processen är störande eftersom den hanterade domänen inte är tillgänglig och alla anpassade resurser som du har skapat som organisationsenheter eller tjänstkonton går förlorade.
- Ta bort den hanterade domänen från din katalog.
- Om du vill uppdatera IP-adressintervallet för det virtuella nätverket söker du efter och väljer Virtuellt nätverk i administrationscentret för Microsoft Entra. Välj det virtuella nätverket för den hanterade domän som har det lilla IP-adressintervallet.
- Under Inställningar väljer du Adressutrymme.
- Uppdatera adressintervallet genom att välja det befintliga adressintervallet och redigera det, eller genom att lägga till ett annat adressintervall. Kontrollera att det nya IP-adressintervallet är tillräckligt stort för den hanterade domänens undernätsintervall. Spara ändringarna när du är klar.
- Välj Undernät i det vänstra navigeringsfältet.
- Välj det undernät som du vill redigera eller skapa ett annat undernät.
- Uppdatera eller ange ett tillräckligt stort IP-adressintervall och spara ändringarna.
- Skapa en ersättningshanterad domän. Se till att du väljer det uppdaterade undernätet för det virtuella nätverket med ett tillräckligt stort IP-adressintervall.
Den hanterade domänens hälsotillstånd uppdateras automatiskt inom två timmar och tar bort aviseringen.
AADDS113: Resurser går inte att återställa
Aviseringsmeddelande
De resurser som används av Microsoft Entra Domain Services identifierades i ett oväntat tillstånd och kan inte återställas.
Åtgärd
Domain Services skapar resurser för att fungera korrekt, till exempel offentliga IP-adresser, virtuella nätverksgränssnitt och en lastbalanserare. Om någon av dessa resurser ändras är den hanterade domänen i ett tillstånd som inte stöds och kan inte hanteras. Mer information om dessa resurser finns i Nätverksresurser som används av Domain Services.
Den här aviseringen genereras när en av dessa nödvändiga resurser ändras och inte kan återställas automatiskt av Domain Services. Lös aviseringen genom att öppna en Azure Support begäran för att åtgärda instansen.
AADDS114: Undernätet är ogiltigt
Aviseringsmeddelande
Det undernät som valts för distribution av Microsoft Entra Domain Services är ogiltigt och kan inte användas.
Åtgärd
Det här felet går inte att återställa. Lös aviseringen genom att ta bort din befintliga hanterade domän och återskapa den. Om du har problem med att ta bort den hanterade domänen öppnar du en Azure Support begäran om mer hjälp.
AADDS115: Resurser är låsta
Aviseringsmeddelande
En eller flera av de nätverksresurser som används av den hanterade domänen kan inte användas eftersom målomfånget har låsts.
Åtgärd
Resurslås kan tillämpas på Azure-resurser för att förhindra ändringar eller borttagning. Eftersom Domain Services är en hanterad tjänst behöver Azure-plattformen möjlighet att göra konfigurationsändringar. Om ett resurslås tillämpas på några av Domain Services-komponenterna kan Azure-plattformen inte utföra sina hanteringsuppgifter.
Utför följande steg för att söka efter resurslås på Domain Services-komponenterna och ta bort dem:
- För var och en av den hanterade domänens nätverkskomponenter i resursgruppen, till exempel virtuellt nätverk, nätverksgränssnitt eller offentlig IP-adress, kontrollerar du åtgärdsloggarna i administrationscentret för Microsoft Entra. Dessa åtgärdsloggar bör ange varför en åtgärd misslyckas och var ett resurslås tillämpas.
- Välj den resurs där ett lås används och välj sedan och ta bort låsen under Lås.
AADDS116: Resurser är oanvändbara
Aviseringsmeddelande
En eller flera av de nätverksresurser som används av den hanterade domänen kan inte användas på grund av principbegränsningar.
Åtgärd
Principer tillämpas på Azure-resurser och resursgrupper som styr vilka konfigurationsåtgärder som tillåts. Eftersom Domain Services är en hanterad tjänst behöver Azure-plattformen möjlighet att göra konfigurationsändringar. Om en princip tillämpas på några av Domain Services-komponenterna kanske Azure-plattformen inte kan utföra sina hanteringsuppgifter.
Utför följande steg för att söka efter tillämpade principer för Domain Services-komponenterna och uppdatera dem:
- För var och en av den hanterade domänens nätverkskomponenter i resursgruppen, till exempel virtuellt nätverk, nätverkskort eller offentlig IP-adress, kontrollerar du åtgärdsloggarna i administrationscentret för Microsoft Entra. Dessa åtgärdsloggar bör ange varför en åtgärd misslyckas och var en begränsande princip tillämpas.
- Välj resursen där en princip tillämpas. Under Principer väljer du och redigerar principen så att den är mindre restriktiv.
AADDS120: Den hanterade domänen har påträffat ett fel vid registrering av ett eller flera anpassade attribut
Aviseringsmeddelande
Följande Microsoft Entra-tilläggsegenskaper har inte registrerats som ett anpassat attribut för synkronisering. Detta kan inträffa om en egenskap står i konflikt med det inbyggda schemat: [tillägg]
Åtgärd
Varning
Om ett anpassat attributs LDAPName står i konflikt med ett befintligt inbyggt AD-schemaattribut kan det inte registreras och resulterar i ett fel. Kontakta Microsoft Support om ditt scenario är blockerat. Mer information finns i Registrera anpassade attribut.
Granska aviseringen Domain Services Health och se vilka microsoft Entra-tilläggsegenskaper som inte kunde registreras korrekt. Gå till sidan Anpassade attribut för att hitta det förväntade Domain Services LDAPName för tillägget. Kontrollera att LDAPName inte står i konflikt med ett annat AD-schemaattribut eller att det är ett av de tillåtna inbyggda AD-attributen.
Följ sedan de här stegen för att försöka registrera det anpassade attributet igen på sidan Anpassade attribut :
- Välj de attribut som misslyckades och klicka sedan på Ta bort och Spara.
- Vänta tills hälsoaviseringen har tagits bort eller kontrollera att motsvarande attribut har tagits bort från organisationsenheten AADDSCustomAttributes från en domänansluten virtuell dator.
- Obs! Om motsvarande attribut inte tas bort från organisationsenheten AADDSCustomAttributes inom en dag:
- Kontrollera att Azure AD Domain Services Sync-manifestets addIns-avsnitt inte innehåller motsvarande attribut.
- Efter portalen > Appregistreringar > klicka på manifestet "Alla program" > "Azure AD Domain Services Sync" > vänster >
- AADDS DC-administratören kan manuellt ta bort motsvarande attribut från OU:et AADDSCustomAttributes om avsnittet addIns inte innehåller motsvarande attribut. Aviseringen bör rensas inom två timmar efter manuell borttagning.
- Kontrollera att Azure AD Domain Services Sync-manifestets addIns-avsnitt inte innehåller motsvarande attribut.
- Obs! Om motsvarande attribut inte tas bort från organisationsenheten AADDSCustomAttributes inom en dag:
- Välj Lägg till och välj önskade attribut igen och klicka sedan på Spara.
När registreringen har slutförts kommer Domain Services att fylla synkroniserade användare och grupper med de registrerade anpassade attributvärdena. De anpassade attributvärdena visas gradvis, beroende på klientorganisationens storlek. Om du vill kontrollera återfyllnadsstatusen går du till Domain Services Health och kontrollerar att tidsstämpeln för synkronisering med Microsoft Entra-ID-övervakning har uppdaterats under den senaste timmen.
AADDS500: Synkronisering har inte utförts på ett tag
Aviseringsmeddelande
Den hanterade domänen synkroniserades senast med Microsoft Entra-ID på [datum]. Användare kanske inte kan logga in på den hanterade domänen eller så kanske gruppmedlemskap inte är synkroniserade med Azure AD.
Åtgärd
Kontrollera Domäntjänsters hälsotillstånd för eventuella aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Problem med nätverkskonfigurationen kan blockera synkroniseringen från Microsoft Entra ID. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts.
Följande är vanliga orsaker som gör att synkroniseringen stoppas i en hanterad domän:
- En nödvändig nätverksanslutning blockeras. Mer information om hur du kontrollerar om det virtuella Azure-nätverket har problem och vad som krävs finns i Felsöka nätverkssäkerhetsgrupper och nätverkskraven för Domain Services.
- Lösenordssynkroniseringen var inte konfigurerad eller slutfördes inte när den hanterade domänen distribuerades. Du kan konfigurera lösenordssynkronisering för endast molnbaserade användare eller hybridanvändare från en lokal plats.
AADDS501: En säkerhetskopia har inte gjorts på ett tag
Aviseringsmeddelande
Den hanterade domänen säkerhetskopierades senast [date].
Åtgärd
Kontrollera domäntjänsternas hälsotillstånd för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Problem med nätverkskonfigurationen kan hindra Azure-plattformen från att utföra säkerhetskopieringar. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts.
AADDS503: Avstängning på grund av inaktiverad prenumeration
Aviseringsmeddelande
Den hanterade domänen pausas eftersom Azure-prenumerationen som är associerad med domänen inte är aktiv.
Åtgärd
Varning
Om en hanterad domän pausas under en längre tid finns det en risk att den tas bort. Lös orsaken till avstängningen så snabbt som möjligt. Mer information finns i Förstå inaktiverade tillstånd för Domain Services.
Domain Services kräver en aktiv prenumeration. Om den Azure-prenumeration som den hanterade domänen var associerad med inte är aktiv måste du förnya den för att återaktivera prenumerationen.
- Förnya din Azure-prenumeration.
- När prenumerationen har förnyats kan du med ett Domain Services-meddelande återaktivera den hanterade domänen.
När den hanterade domänen är aktiverad igen uppdateras den hanterade domänens hälsotillstånd automatiskt inom två timmar och tar bort aviseringen.
AADDS504: Avstängning på grund av en ogiltig konfiguration
Aviseringsmeddelande
Den hanterade domänen pausas på grund av en ogiltig konfiguration. Tjänsten har inte kunnat hantera, korrigera eller uppdatera domänkontrollanterna för din hanterade domän under en längre tid.
Åtgärd
Varning
Om en hanterad domän pausas under en längre tid finns det en risk att den tas bort. Lös orsaken till avstängningen så snabbt som möjligt. Mer information finns i Förstå inaktiverade tillstånd för Domain Services.
Kontrollera domäntjänsternas hälsotillstånd för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du två timmar och kontrollerar om synkroniseringen har slutförts. När du är klar öppnar du en Azure Support begäran om att återaktivera den hanterade domänen.
AADDS600: Olösta hälsoaviseringar i 30 dagar
Aviseringsmeddelande
Microsoft kan inte hantera domänkontrollanterna för den här hanterade domänen på grund av olösta hälsoaviseringar [ID:n]. Detta blockerar kritiska säkerhetsuppdateringar för dessa domänkontrollanter. Följ stegen i aviseringen för att lösa problemet. Om det inte går att lösa problemet inom 30 dagar kommer den hanterade domänen att avbrytas.
Åtgärd
Varning
Om en hanterad domän pausas under en längre tid finns det en risk att den tas bort. Lös orsaken till avstängningen så snabbt som möjligt. Mer information finns i Förstå inaktiverade tillstånd för Domain Services.
Kontrollera domäntjänsternas hälsotillstånd för aviseringar som indikerar problem i konfigurationen av den hanterade domänen. Om du kan lösa aviseringar som indikerar ett konfigurationsproblem väntar du sex timmar och kontrollerar om aviseringen har tagits bort. Öppna en Azure Support begäran om du behöver hjälp.
Nästa steg
Om du fortfarande har problem öppnar du en Azure Support begäran om mer felsökningshjälp.