Compartir vía


Problemas conocidos: alertas y resoluciones comunes en Microsoft Entra Domain Services

Como parte central de la identidad y autenticación de las aplicaciones, Microsoft Entra Domain Services a veces tiene problemas. En caso de que se produzcan errores, hay algunas alertas habituales y pasos de solución de problemas asociados que le ayudarán a poner todo de nuevo en funcionamiento. En cualquier momento también puede abrir una solicitud de Soporte técnico de Azure y obtener así más ayuda para la solución de problemas.

Este artículo proporciona información sobre solución de problemas para alertas comunes en Domain Services.

AADDS100: Falta un directorio

Mensaje de alerta

Es posible que se haya eliminado el directorio de Microsoft Entra asociado con su dominio administrado. El dominio administrado ya no está en una configuración admitida. Microsoft no puede supervisar, administrar, revisar ni sincronizar el dominio administrado.

Solución

Este error suele producirse cuando una suscripción de Azure se mueve a un nuevo directorio de Microsoft Entra y se elimina el antiguo directorio de Microsoft Entra asociado con Domain Services.

Este error es irrecuperable. Para resolver la alerta, debe eliminar el dominio administrado existente y volver a crearlo en el directorio nuevo. Si tiene problemas para eliminar el dominio administrado, abra una solicitud de Soporte técnico de Azure para obtener más ayuda en la solución de problemas.

AADDS101: Azure AD B2C se ejecuta en este directorio

Mensaje de alerta

Microsoft Entra Domain Services no se puede habilitar en un directorio de Azure AD B2C.

Solución

Domain Services se sincroniza automáticamente con un directorio de Microsoft Entra. Si el directorio Microsoft Entra está configurado para B2C, Domain Services no se puede implementar ni sincronizar.

Para usar Domain Services, debe volver a crear su dominio administrado en un directorio que no sea de Azure AD B2C mediante los siguientes pasos:

  1. Elimine el dominio administrado de su directorio de Microsoft Entra existente.
  2. Cree un nuevo directorio de Microsoft Entra que no sea un directorio de Azure AD B2C.
  3. Cree un dominio administrado de reemplazo.

El estado del dominio administrado se actualiza automáticamente en dos horas y elimina la alerta.

AADDS103: La dirección está en un intervalo IP público

Mensaje de alerta

El rango de direcciones IP para la red virtual en la que ha habilitado Microsoft Entra Domain Services está en un rango de IP pública. Los servicios de dominio de Microsoft Entra deben estar habilitados en una red virtual con un rango de direcciones IP privadas. Esta configuración afecta a la capacidad de Microsoft para supervisar, administrar, revisar y sincronizar el dominio administrado.

Resolución

Antes de empezar, asegúrese de que comprende los espacios de direcciones IP v4 privados.

Dentro de una red virtual, las máquinas virtuales pueden realizar solicitudes a los recursos de Azure que se encuentran en el mismo intervalo de direcciones IP que los configurados para la subred. Si configura un intervalo de direcciones IP públicas para una subred, es posible que las solicitudes enrutadas dentro de una red virtual no lleguen a los recursos web deseados. Esta configuración puede provocar errores impredecibles con Domain Services.

Nota:

Si es propietario del intervalo de direcciones IP que está configurado en la red virtual, puede omitir esta alerta. Sin embargo, Microsoft Entra Domain Services no puede comprometerse con el Acuerdo de Nivel de Servicio con esta configuración, ya que puede provocar errores impredecibles.

Para resolver esta alerta, elimine el dominio administrado existente y vuelva a crearlo en una red virtual con un intervalo de direcciones IP privado. Este proceso es perjudicial porque el dominio administrado no está disponible y se pierden todos los recursos personalizados que haya creado como unidades organizativas o cuentas de servicio.

  1. Elimine el dominio administrado del directorio.
  2. Para actualizar el intervalo de direcciones IP de la red virtual, busque Red virtual en el centro de administración de Microsoft Entra y selecciónelo. Seleccione la red virtual para Domain Services que tiene configurado incorrectamente un rango de direcciones IP públicas.
  3. En Configuración, seleccione Espacio de direcciones.
  4. Actualice el rango de direcciones eligiendo el rango de direcciones existente y editándolo, o agregando un rango de direcciones. Asegúrese de que el intervalo de direcciones IP nuevo esté en un intervalo IP privado. Cuando esté preparado, guarde los cambios.
  5. En el menú de navegación de la izquierda, seleccione Subredes.
  6. Elija la subred que desea editar o cree otra subred.
  7. Actualice o especifique un intervalo de direcciones IP privadas y, a continuación, Guarde los cambios.
  8. Cree un dominio administrado de reemplazo. Asegúrese de elegir una subred de red virtual actualizada con un intervalo de direcciones IP privadas.

El estado del dominio administrado se actualiza automáticamente en dos horas y elimina la alerta.

AADDS106: Su suscripción de Azure no se encuentra

Mensaje de alerta

Se ha eliminado la suscripción de Azure asociada a su dominio administrado. Microsoft Entra Domain Services requiere una suscripción activa para seguir funcionando correctamente.

Solución

Domain Services requiere una suscripción activa y no se puede pasar a otra suscripción. Si se elimina la suscripción de Azure a la que estaba asociado el dominio administrado, debe volver a crear una suscripción de Azure y un dominio administrado.

  1. Cree una suscripción a Azure.
  2. Elimine el dominio administrado de su directorio de Microsoft Entra existente.
  3. Cree un dominio administrado de reemplazo.

AADDS107: Su suscripción de Azure está deshabilitada

Mensaje de alerta

La suscripción de Azure asociada a su dominio administrado no está activa. Microsoft Entra Domain Services requiere una suscripción activa para seguir funcionando correctamente.

Solución

Domain Services requiere una suscripción activa. Si la suscripción de Azure a la que está asociado el dominio administrado no está activa, debe renovarla para reactivar la suscripción.

  1. Renueve su suscripción de Azure.
  2. Una vez que se renueva la suscripción, una notificación de Domain Services le permite volver a habilitar el dominio administrado.

Cuando el dominio administrado se habilita de nuevo, el estado del dominio administrado se actualiza automáticamente en dos horas y elimina la alerta.

AADDS108: La suscripción ha movido los directorios

Mensaje de alerta

La suscripción utilizada por Microsoft Entra Domain Services se ha movido a otro directorio. Domain Services necesita tener una suscripción activa en el mismo directorio para que funcione correctamente.

Solución

Domain Services requiere una suscripción activa y no se puede pasar a otra suscripción. Si se ha movido la suscripción de Azure a la que está asociado el dominio administrado, vuelva a colocarla en el directorio anterior o bien elimine el dominio administrado del directorio existente y cree un dominio administrado de reemplazo en la suscripción elegida.

AADDS109: No se encuentran recursos del dominio administrado

Mensaje de alerta

Se ha eliminado un recurso que se usa con el dominio administrado. Este recurso es necesario para que Microsoft Entra Domain Services funcione correctamente.

Solución

Domain Services crea recursos para funcionar correctamente, como direcciones IP públicas, interfaces de red virtuales y un equilibrador de carga. Si se elimina alguno de estos recursos designados, el dominio administrado está en un estado incompatible e impide que se administre el dominio. Para obtener más información sobre estos recursos, consulte Recursos de red utilizados por Domain Services.

Esta alerta se genera cuando se elimina uno de estos recursos necesarios. Si el recurso se eliminó hace menos de 4 horas, existe la posibilidad de que la plataforma de Azure pueda volver a crear automáticamente el recurso eliminado. En los pasos siguientes se describe cómo comprobar el estado de mantenimiento y la marca de tiempo para la eliminación de recursos:

  1. En el centro de administración de Microsoft Entra, busque y seleccione Servicios de dominio. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.

  2. En el panel de navegación izquierdo, seleccione Estado.

  3. En la página de estado, seleccione la alerta con el identificador AADDS109.

  4. La alerta tendrá una marca de tiempo del momento en que se encontró por primera vez. Si esa marca de tiempo es de hace menos de 4 horas, es posible que la plataforma Azure pueda volver a crear automáticamente el recurso y resolver la alerta por sí sola.

    Por diferentes motivos, la alerta puede tener más de 4 horas. En ese caso, puede eliminar el dominio administrado y, a continuación, crear un dominio administrado de reemplazo para una corrección inmediata, o puede abrir una solicitud de soporte técnico para corregir la instancia. Dependiendo de la naturaleza del problema, el soporte técnico puede requerir una restauración a partir de la copia de seguridad.

AADDS110: La subred asociada al dominio administrado está completa

Mensaje de alerta

La subred seleccionada para la implementación de Microsoft Entra Domain Services está llena y no tiene espacio para el controlador de dominio adicional que se debe crear.

Solución

La subred de la red virtual para Domain Services necesita direcciones IP suficientes para los recursos creados automáticamente. Este espacio de direcciones IP incluye la necesidad de crear recursos de reemplazo si hay un evento de mantenimiento. Para minimizar el riesgo de quedarse sin direcciones IP disponibles, no implemente otros recursos, como sus propias máquinas virtuales, en la misma subred de red virtual que el dominio administrado.

Este error es irrecuperable. Para resolver la alerta, elimine el dominio administrado existente y vuelva a crearlo. Si tiene problemas para eliminar el dominio administrado, abra una solicitud de Soporte técnico de Azure para obtener más ayuda.

AADDS111: Entidad de servicio no autorizada

Mensaje de alerta

Una entidad de servicio que Microsoft Entra Domain Services utiliza para atender a su dominio no está autorizada para administrar recursos en la suscripción de Azure. La entidad de servicio debe tener permisos para atender al dominio administrado.

Resolución

Algunas entidades de servicio generadas automáticamente se utilizan para administrar y crear recursos para un dominio administrado. Si se modifican los permisos de acceso para una de estas entidades de servicio, el dominio no podrá administrar correctamente los recursos. En los pasos siguientes se muestra cómo comprender los permisos de acceso a una entidad de servicio para poder concederlos:

  1. Lea sobre el control de acceso basado en rol de Azure y cómo conceder acceso a las aplicaciones en el centro de administración de Microsoft Entra.
  2. Revise el acceso que la entidad de servicio con identificador abba844e-bc0e-44b0-947a-dc74e5d09022 tiene y conceda el acceso que se ha denegado en una fecha anterior.

AADDS112: No hay suficientes direcciones IP en el dominio administrado

Mensaje de alerta

Hemos identificado que la subred de la red virtual de este dominio no tiene suficientes direcciones IP. Microsoft Entra Domain Services necesita al menos dos direcciones IP disponibles dentro de la subred en la que está habilitado. Se recomienda tener al menos de tres a cinco direcciones IP de reserva en la subred. Esto puede deberse a que se hayan implementado otras máquinas virtuales dentro de la subred, agotando así el número de direcciones IP disponibles, o a que haya una restricción en el número de direcciones IP disponibles en la subred.

Solución

La subred de la red virtual para Domain Services necesita suficientes direcciones IP para los recursos creados automáticamente. Este espacio de direcciones IP incluye la necesidad de crear recursos de reemplazo si hay un evento de mantenimiento. Para minimizar el riesgo de quedarse sin direcciones IP disponibles, no implemente otros recursos, como sus propias máquinas virtuales, en la misma subred de red virtual que el dominio administrado.

Para resolver esta alerta, elimine el dominio administrado existente y vuelva a crearlo en una red virtual con un intervalo de direcciones IP suficientemente grande. Este proceso es perjudicial porque el dominio administrado no está disponible y se pierden todos los recursos personalizados que haya creado como unidades organizativas o cuentas de servicio.

  1. Elimine el dominio administrado del directorio.
  2. Para actualizar el intervalo de direcciones IP de la red virtual, busque Red virtual en el centro de administración de Microsoft Entra y selecciónelo. Seleccione la red virtual para el dominio administrado que tenga el intervalo de direcciones IP pequeño.
  3. En Configuración, seleccione Espacio de direcciones.
  4. Actualice el rango de direcciones eligiendo el rango de direcciones existente y editándolo, o agregando otro rango de direcciones. Asegúrese de que el nuevo intervalo de direcciones IP sea lo suficientemente grande para el intervalo de subred del dominio administrado. Cuando esté preparado, guarde los cambios.
  5. En el menú de navegación de la izquierda, seleccione Subredes.
  6. Elija la subred que desea editar o cree otra subred.
  7. Actualice o especifique un intervalo de direcciones IP suficientemente grande y, a continuación, guarde los cambios.
  8. Cree un dominio administrado de reemplazo. Asegúrese de elegir una subred de red virtual actualizada con un intervalo de direcciones IP suficientemente grande.

El estado del dominio administrado se actualiza automáticamente en dos horas y elimina la alerta.

AADDS113: Los recursos son irrecuperables

Mensaje de alerta

Los recursos utilizados por Microsoft Entra Domain Services se detectaron en un estado inesperado y no se pueden recuperar.

Solución

Domain Services crea recursos para funcionar correctamente, como direcciones IP públicas, interfaces de red virtuales y un equilibrador de carga. Si se modifica alguno de estos recursos, el dominio administrado se encuentra en un estado no compatible y no se puede administrar. Para obtener más información sobre estos recursos, consulte Recursos de red utilizados por los Domain Services.

Esta alerta se genera cuando se modifica uno de estos recursos necesarios y Domain Services no puede recuperarse automáticamente. Para resolver la alerta, abra una solicitud de soporte técnico de Azure para corregir la instancia.

AADDS114: Subred no válida

Mensaje de alerta

La subred seleccionada para la implementación de Microsoft Entra Domain Services no es válida y no se puede utilizar.

Solución

Este error es irrecuperable. Para resolver la alerta, elimine el dominio administrado existente y vuelva a crearlo. Si tiene problemas para eliminar el dominio administrado, abra una solicitud de Soporte técnico de Azure para obtener más ayuda.

AADDS115: Los recursos están bloqueados

Mensaje de alerta

Uno o varios de los recursos de red que se utilizan en el dominio administrado no pueden ejecutarse porque el ámbito de destino se ha bloqueado.

Resolución

Los bloqueos de recursos se pueden aplicar a recursos de Azure para impedir el cambio o la eliminación. Dado que Domain Services es un servicio administrado, la plataforma Azure necesita la capacidad de realizar cambios en la configuración. Si se aplica un bloqueo de recursos en algunos de los componentes de Domain Services, la plataforma Azure no puede realizar sus tareas de administración.

Para comprobar los bloqueos de recursos en los componentes de Domain Services y quitarlos, siga estos pasos:

  1. Para cada uno de los componentes de red del dominio gestionado en su grupo de recursos, como la red virtual, la interfaz de red o la dirección IP pública, compruebe los registros de operaciones en el centro de administración de Microsoft Entra. Estos registros de operaciones deben indicar por qué se produce un error en una operación y dónde se aplica un bloqueo de recursos.
  2. Seleccione el recurso en el que se aplica un bloqueo y, en Bloqueos, seleccione los bloqueos y quítelos.

AADDS116: Los recursos no son utilizables

Mensaje de alerta

Uno o varios de los recursos de red que se utilizan en el dominio administrado no pueden ejecutarse debido a restricciones de directiva.

Resolución

Las directivas se aplican a los recursos y los grupos de recursos de Azure que controlan las acciones de configuración que se permiten. Dado que Domain Services es un servicio administrado, la plataforma Azure necesita la capacidad de realizar cambios en la configuración. Si se aplica una directiva en algunos de los componentes de Domain Services, la plataforma Azure no puede realizar sus tareas de administración.

Para comprobar las directivas aplicadas en los componentes de Domain Services y quitarlas, siga estos pasos:

  1. Para cada uno de los componentes de red del dominio gestionado en su grupo de recursos, como red virtual, NIC o dirección IP pública, compruebe los registros de operaciones en el centro de administración de Microsoft Entra. Estos registros de operaciones deben indicar por qué se produce un error en una operación y dónde se aplica una directiva restrictiva.
  2. Seleccione el recurso al que se aplica una directiva y, en Directivas, seleccione y edite la directiva para que sea menos restrictiva.

AADDS120: el dominio administrado ha encontrado un error al incorporar uno o varios atributos personalizados

Mensaje de alerta

Las siguientes propiedades de extensión de Domain Services no se han incorporado correctamente como un atributo personalizado para la sincronización. Esto puede ocurrir si una propiedad entra en conflicto con el esquema integrado: [extensiones]

Solución

Advertencia

Si el LDAPName de un atributo personalizado entra en conflicto con un atributo de esquema integrado de AD existente, no se puede incorporar y produce un error. Póngase en contacto con Soporte técnico de Microsoft si el escenario está bloqueado. Para más información, consulte Incorporación de atributos personalizados.

Revise la alerta Estado de Domain Services y compruebe qué propiedades de extensión de Domain Services no se pudieron incorporar correctamente. Vaya a la página Atributos personalizados para encontrar el nombre LDAP de Domain Services esperado de la extensión. Asegúrese de que el LDAPName no entra en conflicto con otro atributo de esquema de AD o de que es uno de los atributos de AD integrados permitidos.

A continuación, siga estos pasos para reintentar la incorporación del atributo personalizado en la página Atributos personalizados:

  1. Seleccione los atributos que no se realizaron correctamente y, a continuación, haga clic en Quitar y Guardar.
  2. Espere a que se quite la alerta de estado o compruebe que los atributos correspondientes se han quitado de la unidad organizativa AADDSCustomAttributes de una máquina virtual unida a un dominio.
    • Nota: Si los atributos correspondientes no se quitan de la unidad organizativa AADDSCustomAttributes en un día:
      1. Compruebe que la sección addIns del manifiesto de sincronización de Azure AD Domain Services no incluye los atributos correspondientes.
        • Por portal > Registros de aplicaciones > haga clic en "Todas las aplicaciones" > "Sincronización de Azure AD Domain Services" > Manifiesto de la hoja > izquierda
      2. El administrador de controlador de dominio de AADDS puede quitar manualmente los atributos correspondientes de la unidad organizativa AADDSCustomAttributes si la sección addIns no incluye los atributos correspondientes. La alerta debe borrarse en un plazo de dos horas después de la eliminación manual.
  3. Seleccione Agregar y elija los atributos deseados de nuevo y, a continuación, haga clic en Guardar.

Tras la incorporación correcta, Domain Services volverá a rellenar los usuarios y grupos sincronizados con los valores de atributo personalizado incorporados. Los valores de atributo personalizados aparecen gradualmente, en función del tamaño del inquilino. Para comprobar el estado de reposición, vaya a Estado de Domain Services y compruebe que la marca de tiempo del monitor Sincronización con Domain Services se ha actualizado en la última hora.

AADDS500: Hace un tiempo que no se realiza una sincronización

Mensaje de alerta

El dominio administrado se sincronizó por última vez con Microsoft Entra ID el [fecha]. Los usuarios no pueden iniciar sesión en el dominio o puede que las pertenencias a grupos no estén sincronizadas con Azure AD.

Solución

Compruebe el estado de Domain Services para ver las alertas que podrían indicar problemas en la configuración del dominio administrado. Los problemas con la configuración de red pueden bloquear la sincronización desde Microsoft Entra ID. Si puede resolver las alertas que indican un problema de configuración, espere dos horas y compruebe de nuevo para ver si se ha completado la sincronización correctamente.

Los siguientes motivos comunes provocan que la sincronización se detenga en un dominio administrado:

AADDS501: Hace un tiempo que no se realiza una copia de seguridad

Mensaje de alerta

Se hizo copia de seguridad del dominio administrado por última vez el [fecha].

Solución

Compruebe el mantenimiento de Azure AD DS para las alertas que podrían indicar problemas en la configuración del dominio administrado. Los problemas con la configuración de red pueden impedir que la plataforma Azure realice las copias de seguridad correctamente. Si puede resolver las alertas que indican un problema de configuración, espere dos horas y compruebe de nuevo para ver si se ha completado la sincronización correctamente.

AADDS503: Suspensión debida a una suscripción deshabilitada

Mensaje de alerta

El dominio administrado se suspende debido a que la suscripción de Azure asociada al dominio no está activa.

Resolución

Advertencia

Si un dominio administrado se suspende durante un largo período, se expone a ser eliminado. Resuelva el motivo de la suspensión lo más rápido posible. Para más información, consulte Descripción de los estados suspendidos para Domain Services.

Domain Services requiere una suscripción activa. Si la suscripción de Azure a la que está asociado el dominio administrado no está activa, debe renovarla para reactivar la suscripción.

  1. Renueve su suscripción de Azure.
  2. Una vez que se renueva la suscripción, una notificación de Domain Services le permite volver a habilitar el dominio administrado.

Cuando el dominio administrado se habilita de nuevo, el estado del dominio administrado se actualiza automáticamente en dos horas y elimina la alerta.

AADDS504: Suspensión debida a una configuración no válida

Mensaje de alerta

El dominio administrado se suspende debido a una configuración no válida. El servicio lleva mucho tiempo sin poder administrar, actualizar o aplicar revisiones a los controladores de dominio en el dominio administrado.

Solución

Advertencia

Si un dominio administrado se suspende durante un largo período, se expone a ser eliminado. Resuelva el motivo de la suspensión lo más rápido posible. Para más información, consulte Descripción de los estados suspendidos para Domain Services.

Compruebe el mantenimiento de Azure AD DS para las alertas que podrían indicar problemas en la configuración del dominio administrado. Si puede resolver las alertas que indican un problema de configuración, espere dos horas y compruebe de nuevo para ver si se ha completado la sincronización. Cuando esté listo, abra una solicitud de soporte técnico de Azure para volver a habilitar el dominio administrado.

AADDS600: Alertas de estado sin resolver durante 30 días

Mensaje de alerta

Microsoft no puede administrar los controladores de dominio de este dominio administrado debido a alertas de estado no resueltas [identificadores]. Esto bloquea las actualizaciones de seguridad críticas para estos controladores de dominio. Siga los pasos de la alerta para resolver el problema. Si no se resuelve este problema en un plazo de 30 días, se suspenderá el dominio administrado.

Solución

Advertencia

Si un dominio administrado se suspende durante un largo período, se expone a ser eliminado. Resuelva el motivo de la suspensión lo más rápido posible. Para más información, consulte Descripción de los estados suspendidos para Domain Services.

Compruebe el mantenimiento de Azure AD DS para las alertas que podrían indicar problemas en la configuración del dominio administrado. Si no puede resolver las alertas que indican un problema de configuración, espere seis horas y compruebe de nuevo para ver si se ha eliminado la alerta. Abra una solicitud de soporte técnico de Azure si necesita ayuda.

Pasos siguientes

Si los problemas persisten, abra una solicitud de Soporte técnico de Azure para obtener ayuda adicional de solución de problemas.