已知問題:Microsoft Entra Domain Services 中的常見警示和解決方案
作為應用程式身分識別和驗證的核心部分,Microsoft Entra Domain Services 有時會出現問題。 如果您遇到問題,有一些常見的警示和相關聯的疑難排解步驟可協助您重新執行。 您還可以隨時開啟 Azure 支援要求以取得其他疑難排解協助。
本文提供 Domain Services 中常見警示的疑難排解資訊。
AADDS100:遺失目錄
警示訊息
與受控網域相關聯的 Microsoft Entra 目錄可能已遭刪除。 受控網域已不在支援的設定中。 Microsoft 無法監視、管理、修補及同步處理受控網域。
解決方法
當 Azure 訂用帳戶移到新的 Microsoft Entra 目錄並刪除與 Domain Services 相關聯的舊 Microsoft Entra 目錄時,通常會造成這個錯誤。
此錯誤無法復原。 若要解決警示,請刪除現有受控網域,然後在新目錄中予以重新建立。 如果您無法刪除受控網域,請開啟 Azure 支援要求以取得其他疑難排解協助。
AADDS101:Azure AD B2C 在此目錄中執行
警示訊息
無法在 Azure AD B2C 目錄中啟用 Microsoft Entra Domain Services。
解決方法
Domain Services 會自動與 Microsoft Entra 目錄同步處理。 如果已針對 B2C 設定 Microsoft Entra 目錄,則無法部署和同步處理 Domain Services。
若要使用 Domain Services,您必須使用下列步驟,在非 Azure AD B2C 目錄中重新建立受控網域:
受控網域的健康情況會在兩小時內自動更新,並移除警示。
AADDS103:位址位於公用 IP 範圍中
警示訊息
您啟用 Microsoft Entra Domain Services 所使用的虛擬網路 IP 位址範圍位於公用 IP 範圍中。 Microsoft Entra Domain Services 必須在具有私人 IP 位址範圍的虛擬網路中啟用。 此設定會影響 Microsoft 監視、管理、修補及同步處理受控網域的能力。
解決方法
開始之前,請確保您了解私人 IP v4 位址空間。
在虛擬網路內,VM 可以在為子網路設定的相同 IP 位址範圍內向 Azure 資源提出要求。 如果您設定子網路的公用 IP 位址範圍,則在虛擬網路內路由的要求可能無法達到預期的 Web 資源。 此設定可能導致 Domain Services 發生無法預測的錯誤。
注意
如果您擁有虛擬網路中所設定的網際網路 IP 位址範圍,便可以忽略此警示。 不過,在有此設定的情況下,Microsoft Entra Domain Services 無法認可 SLA,因為這會導致無法預測的錯誤。
若要解決此警示,請刪除現有受控網域,然後在具有私人 IP 位址範圍的虛擬網路中加以重新建立。 此流程會造成干擾,因為受控網域無法使用,並且您已建立的任何自訂資源如 OU 或服務帳戶皆已遺失。
- 從目錄中刪除受控網域。
- 若要更新虛擬網路 IP 位址範圍,請在 Microsoft Entra 系統管理中心搜尋並選取 [虛擬網路]。 為未正確設定公用 IP 位址範圍的 Domain Services 選取虛擬網路。
- 在 [設定] 底下,選取 [位址空間]。
- 選擇現有位址範圍並加以編輯,或是新增位址範圍,以更新位址範圍。 請確定新的 IP 位址範圍位於私人 IP 範圍中。 準備就緒時,請 [儲存] 變更。
- 在左側導覽中選取 [子網路]。
- 選擇您想要編輯的子網路,或建立其他子網路。
- 更新或指定私人 IP 位址範圍,然後 [儲存] 變更。
- 建立取代的受控網域。 請確保您挑選具有私人 IP 位址範圍的已更新虛擬網路子網路。
受控網域的健康情況會在兩小時內自動更新,並移除警示。
AADDS106:找不到 Azure 訂用帳戶
警示訊息
與受控網域相關聯的 Azure 訂用帳戶已遭到刪除。 Microsoft Entra Domain Services 需要有作用中的訂用帳戶,才能繼續正常運作。
解決方法
Domain Services 需要作用中的訂用帳戶,且無法移至不同的訂用帳戶。 如果已刪除與受控網域相關聯的 Azure 訂用帳戶,則必須重新建立 Azure 訂用帳戶和受控網域。
- 建立 Azure 訂用帳戶。
- 從現有的 Microsoft Entra 目錄中刪除受控網域。
- 建立取代的受控網域。
AADDS107:Azure 訂用帳戶已停用
警示訊息
與受控網域相關聯的 Azure 訂用帳戶不在作用中。 Microsoft Entra Domain Services 需要有作用中的訂用帳戶,才能繼續正常運作。
解決方法
Domain Services 需要作用中的訂用帳戶。 如果與受控網域相關聯的 Azure 訂用帳戶未作用中,則必須更新該訂用帳戶以重新啟用訂用帳戶。
- 更新 Azure 訂用帳戶。
- 訂用帳戶更新之後,Domain Services 通知可讓您重新啟用受控網域。
再次啟用受控網域時,受控網域的健康情況會在兩小時內自動自行更新,並移除警示。
AADDS108:訂用帳戶移動目錄
警示訊息
Microsoft Entra Domain Services 所使用的訂用帳戶已移至另一個目錄。 Microsoft Entra Domain Services 必須在相同目錄中有作用中的訂用帳戶,才能正確運作。
解決方法
Domain Services 需要作用中的訂用帳戶,且無法移至不同的訂用帳戶。 如果已移動受控網域相關聯的 Azure 訂用帳戶,請將訂用帳戶移回上一個目錄,或從現有的目錄中刪除受控網域,然後在所選的訂用帳戶中建立取代的受控網域。
AADDS109:找不到您受控網域的資源
警示訊息
用於受控網域的資源已遭刪除。 Microsoft Entra Domain Services 必須有此資源才能正常運作。
解決方法
Domain Services 會建立資源以正常運作,例如公用 IP 位址、虛擬網路介面以及負載平衡器。 如果有任何資源遭刪除,則受控網域處於不支援的狀態,並阻止網域受到管理。 如需這些資源的詳細資訊,請參閱 Domain Services 使用的網路資源。
刪除其中一個所需資源時,會產生此警示。 如果資源在 4 小時內遭到刪除,則 Azure 平台可能會自動重新建立已刪除的資源。 下列步驟概述如何檢查資源刪除的健康狀態及時間戳記:
在 Microsoft Entra 系統管理中心,搜尋並選取 [Domain Services]。 選擇您的受控網域,例如 aaddscontoso.com。
在左側導覽中,選取 [健康情況]。
在健康情況頁面上,選取識別碼為 AADDS109 的警示。
該警示具有初次現身時的時間戳記。 如果該時間戳記少於 4 小時前,Azure 平台可能會自動重新建立資源,並自行解決警示。
由於不同的原因,警示可能早於 4 小時。 在此情況下,您可以刪除受控網域,然後建立取代受控網域以立即修正,或者您可以開啟支援要求來修正執行個體。 根據問題的本質,支援可能需要從備份還原。
AADDS110:與受控網域相關聯的子網路已滿
警示訊息
選取要部署 Microsoft Entra Domain Services 的子網路已滿,而且也沒有空間可供建立其他必要的網域控制站。
解決方法
Domain Services 的虛擬網路子網路需要足夠的 IP 位址供自動建立的資源使用。 如果發生維修事件,此 IP 位址空間包含建立取代資源的需求。 為了盡可能減少可用 IP 位址用盡的風險,請勿將其他資源 (例如您自己的 VM) 部署到與受控網域相同的虛擬網路子網路中。
此錯誤無法復原。 若要解決警示,請刪除現有受控網域並重新建立。 如果您無法刪除受控網域,請開啟 Azure 支援要求以取得其他協助。
AADDS111:服務主體未獲授權
警示訊息
Microsoft Entra Domain Services 用來為您的網域提供服務的服務主體未獲授權,無法管理 Azure 訂用帳戶的資源。 服務主體必須取得權限,才能為您的受控網域提供服務。
解決方法
某些自動產生的服務主體可用於管理和建立受控網域的資源。 如果其中一個服務主體的存取權限已變更,則網域無法正確管理資源。 下列步驟說明如何了解,然後將存取權限授與服務主體:
- 請參閱 Azure 角色型存取控制,以及如何將存取權授與 Microsoft Entra 系統管理中心中的應用程式。
- 透過識別碼 abba844e-bc0e-44b0-947a-dc74e5d09022 檢閱服務主體的存取權,並授與在較早之前的日期遭到拒絕的存取權。
AADDS112:受控網域中沒有足夠的 IP 位址
警示訊息
我們發現此網域中的虛擬網路子網路可能沒有足夠的 IP 位址。 在啟用 Microsoft Entra Domain Services 的子網路內,需要至少有兩個可用的 IP 位址。 我們建議在該子網路內至少要有 3-5 個備用 IP 位址。 如果在子網路內部署其他虛擬機器,因而耗盡可用的 IP 位址數目,或子網路中的可用 IP 位址數目有限時,就可能會發生這種情況。
解決方法
Domain Services 的虛擬網路子網路需要足夠的 IP 位址供自動建立的資源使用。 如果發生維修事件,此 IP 位址空間包含建立取代資源的需求。 為了盡可能減少可用 IP 位址用盡的風險,請勿將其他資源 (例如您自己的 VM) 部署到與受控網域相同的虛擬網路子網路中。
若要解決此警示,請刪除現有受控網域,然後在具有足夠大型 IP 位址範圍的虛擬網路中加以重新建立。 此流程會造成干擾,因為受控網域無法使用,並且您已建立的任何自訂資源如 OU 或服務帳戶皆已遺失。
- 從目錄中刪除受控網域。
- 若要更新虛擬網路 IP 位址範圍,請在 Microsoft Entra 系統管理中心搜尋並選取 [虛擬網路]。 針對具有小型 IP 位址範圍的受控網域選取虛擬網路。
- 在 [設定] 底下,選取 [位址空間]。
- 選擇現有位址範圍並加以編輯,或是新增其他位址範圍,以更新位址範圍。 請確保新的 IP 位址範圍足以容納受控網域的子網路範圍。 準備就緒時,請 [儲存] 變更。
- 在左側導覽中選取 [子網路]。
- 選擇您想要編輯的子網路,或建立其他子網路。
- 更新或指定足夠大型 IP 位址範圍,然後 [儲存] 變更。
- 建立取代的受控網域。 請確保您挑選具有足夠大型 IP 位址範圍的已更新虛擬網路子網路。
受控網域的健康情況會在兩小時內自動更新,並移除警示。
AADDS113:無法復原資源
警示訊息
偵測到 Microsoft Entra Domain Services 使用的資源處於非預期狀態且無法復原。
解決方法
Domain Services 會建立資源以正常運作,例如公用 IP 位址、虛擬網路介面以及負載平衡器。 如果已修改任何這些資源,受控網域處於不支援的狀態,且無法進行管理。 如需這些資源的其他相關資訊,請參閱 Domain Services 使用的網路資源。
當其中一個必要資源遭到修改,且無法由 Domain Services 自動復原時,就會產生此警示。 若要解決警示,請開啟 Azure 支援要求來修正執行個體。
AADDS114:子網路無效
警示訊息
選取用於部署 Microsoft Entra Domain Services 的子網路無效,因此無法使用。
解決方法
此錯誤無法復原。 若要解決警示,請刪除現有受控網域並重新建立。 如果您無法刪除受控網域,請開啟 Azure 支援要求以取得其他協助。
AADDS115:資源遭鎖定
警示訊息
因為目標範圍已鎖定,而無法操作一或多個使用受控網域的網路資源。
解決方法
資源鎖定可以套用至 Azure 資源,以防止變更或刪除。 由於 Domain Services 是受管理的服務,因此 Azure 平台需要進行設定變更的能力。 如果某些 Domain Services 元件上已套用資源鎖定,Azure 平台就無法執行其管理工作。
若要檢查 Domain Services 元件上的資源鎖定並加以移除,請完成下列步驟:
- 針對資源群組中每個受控網域的網路元件,例如虛擬網路、網路介面或公用 IP 位址,請檢查 Microsoft Entra 系統管理中心中的作業記錄。 這些作業記錄應指出作業失敗的原因,以及套用資源鎖定的位置。
- 選取套用鎖定的資源,然後在 [鎖定] 底下選取並移除鎖定。
AADDS116:無法使用資源
警示訊息
由於原則限制,而無法操作一或多個使用受控網域的網路資源。
解決方法
原則會套用至 Azure 資源和資源群組,用於控制允許的設定動作。 由於 Domain Services 是受管理的服務,因此 Azure 平台需要進行設定變更的能力。 如果某些 Domain Services 元件上已套用原則,Azure 平台可能無法執行其管理工作。
若要檢查 Domain Services 元件上已套用的原則並加以更新,請完成下列步驟:
- 針對資源群組中每個受控網域的網路元件,例如虛擬網路、NIC 或公用 IP 位址,請檢查 Microsoft Entra 系統管理中心中的作業記錄。 這些作業記錄應指出作業失敗的原因,以及套用限制原則的位置。
- 選取套用原則的資源,然後在 [原則] 下選取並編輯原則以降低其限制性。
AADDS120:受控網域在上線一或多個自訂屬性時發生錯誤
警示訊息
下列 Microsoft Entra 延伸模組屬性未成功上線用於同步處理的自訂屬性。 如果屬性與內建結構描述衝突,可能會發生這種情況:[延伸模組]
解決方法
警告
如果自訂屬性的 LDAPName 與現有的 AD 內建結構描述屬性衝突,則無法上線且會產生錯誤。 如果您的案例遭到封鎖,請連絡 Microsoft 支持服務。 如需詳細資訊,請參閱上線自訂屬性。
檢閱 Domain Services 健康情況警示,並查看哪些 Microsoft Entra 延伸模組屬性無法順利上線。 瀏覽至 [自訂屬性] 頁面,以尋找該延伸模組預期的 Domain Services LDAPName。 請確定 LDAPName 不會與另一個 AD 結構描述屬性衝突,或它是其中一個允許的內建 AD 屬性。
然後遵循下列步驟,在 [自訂屬性] 頁面中重試上線自訂屬性:
- 選取失敗的屬性,然後按一下 [移除] 和 [儲存]。
- 等候移除健康情況警示,或確認已從 AADDSCustomAttributes 或已加入網域的 VM 中移除對應的屬性。
- 注意: 如果未在一天內從 AADDSCustomAttributes OU 中移除對應的屬性:
- 檢查 Azure AD Domain Services 同步指令清單的 addIns 區段是否不包含對應的屬性。
- 依入口>網站 應用程式註冊 > 按兩下[所有應用程式] > [Azure AD 網域服務同步] > 左側刀鋒視窗>指令清單
- 如果 addIns 區段不包含對應的屬性,AADDS DC 系統管理員可以從 AADDSCustomAttributes OU 手動移除對應的屬性。 應在手動刪除的兩小時內清除警示。
- 檢查 Azure AD Domain Services 同步指令清單的 addIns 區段是否不包含對應的屬性。
- 注意: 如果未在一天內從 AADDSCustomAttributes OU 中移除對應的屬性:
- 選取 [新增],然後再次選擇所需的屬性,然後按一下 [儲存]。
成功上線時,Domain Services 會以上線的自訂屬性值來重新填入同步的使用者和群組。 根據租用戶的大小,自訂屬性值會逐漸出現。 若要檢查回填狀態,請移至 Domain Services 健康情況,並確認同步處理 Microsoft Entra ID 監視器時間戳記已在前一小時內更新。
AADDS500:同步處理有一陣子未完成
警示訊息
受控網域前次於 [日期] 與 Microsoft Entra ID 同步。 使用者可能無法登入受控網域,或者群組成員資格可能無法與 Azure AD 同步。
解決方法
檢查 Domain Services 健康情況,了解是否有任何警示指出受控網域的設定發生問題。 網路設定的問題會封鎖來自 Microsoft Entra ID 的同步處理。 如果您能夠解決指出設定問題的警示,請等候兩個小時再回來查看是否已順利完成同步處理。
下列常見原因會導致同步處理在受控網域中停止:
- 需要的網路連線遭到封鎖。 若要深入了解如何檢查 Azure 虛擬網路是否有問題和所需的內容,請參閱針對網路安全性群組進行疑難排解和 Domain Services 的網路需求。
- 部署受控網域時,未設定或成功完成密碼同步處理。 您可以針對僅限雲端使用者或內部部署的混合式使用者,設定密碼同步處理。
AADDS501:有一陣子未進行備份
警示訊息
受控網域前次是在 [date] 進行備份。
解決方法
檢查 Domain Services 健康情況,了解是否有警示指出受控網域的設定發生問題。 網路設定的問題可能會封鎖 Azure 平台成功進行備份。 如果您能夠解決指出設定問題的警示,請等候兩個小時再回來查看是否已順利完成同步處理。
AADDS503:因為停用的訂用帳戶而造成擱置
警示訊息
受控網域已擱置,因為與此網域相關聯的 Azure 訂用帳戶不在作用中。
解決方法
警告
如果受控網域已暫止一段時間,則有遭到刪除的危險。 盡快解決暫止的原因。 如需詳細資訊,請參閱了解 Domain Services 的暫停狀態。
Domain Services 需要作用中的訂用帳戶。 如果與受控網域相關聯的 Azure 訂用帳戶未作用中,則必須更新該訂用帳戶以重新啟用訂用帳戶。
- 更新 Azure 訂用帳戶。
- 訂用帳戶更新之後,Domain Services 通知可讓您重新啟用受控網域。
再次啟用受控網域時,受控網域的健康情況會在兩小時內自動自行更新,並移除警示。
AADDS504:因為無效的組態而造成擱置
警示訊息
受控網域因為無效的設定而造成擱置。 此服務已經有很長一段時間無法管理、修補或更新受控網域的網域控制站。
解決方法
警告
如果受控網域已暫止一段時間,則有遭到刪除的危險。 盡快解決暫止的原因。 如需詳細資訊,請參閱了解 Domain Services 的暫停狀態。
檢查 Domain Services 健康情況,了解是否有警示指出受控網域的設定發生問題。 如果您能夠解決指出設定問題的警示,請等候兩個小時再回來查看是否已完成同步處理。 準備就緒時,請開啟 Azure 支援要求以重新啟用受控網域。
AADDS600:30 天未解決健康情況警示
警示訊息
Microsoft 無法管理此受控網域的網域控制站,因為有未解決的健康情況警示 [識別碼]。 這會封鎖這些域控制器的重要安全性更新。 請遵循警示中的步驟來解決問題。 無法在 30 天解決此問題會導致受控網域暫停。
解決方法
警告
如果受控網域已暫止一段時間,則有遭到刪除的危險。 盡快解決暫止的原因。 如需詳細資訊,請參閱了解 Domain Services 的暫停狀態。
檢查 Domain Services 健康情況,了解是否有警示指出受控網域的設定發生問題。 如果您能夠解決指出設定問題的警示,請等候六個小時再回來查看是否已移除警示。 如需協助,請開啟 Azure 支援要求。
下一步
如果仍有問題,請開啟 Azure 支援要求,以取得更多疑難排解協助。