使用 Azure Active Directory 域服務(wù)托管域?qū)τ蚣尤雴栴}進(jìn)行故障排除

嘗試將虛擬機(jī) (VM) 加入到（或?qū)?yīng)用程序連接到）Azure Active Directory 域服務(wù) (Azure AD DS) 托管域時(shí)，可能會(huì)收到錯(cuò)誤，表示無法實(shí)現(xiàn)此操作。 若要對域加入問題進(jìn)行故障排除，請查看以下有問題的相應(yīng)點(diǎn)：

• 如果未收到身份驗(yàn)證提示，則 VM 或應(yīng)用程序?qū)o法連接到 Azure AD DS 托管域。

• 開始對域加入的連接性問題進(jìn)行故障排除。

• 如果在身份驗(yàn)證過程中收到錯(cuò)誤，則說明成功連接到了托管域。

• 開始對域加入期間與憑據(jù)相關(guān)的問題進(jìn)行故障排除。

域加入的連接問題

如果 VM 找不到托管域，則通常存在網(wǎng)絡(luò)連接或配置問題。 查看以下故障排除步驟，找到并解決問題：

1. 確保將 VM 連接到托管域的同一虛擬網(wǎng)絡(luò)或?qū)Φ忍摂M網(wǎng)絡(luò)。 否則，VM 無法找到并連接到域，因此無法加入域。

• 如果 VM 未連接到同一虛擬網(wǎng)絡(luò)，請確認(rèn)虛擬網(wǎng)絡(luò)對等互連或 VPN 連接處于“活動(dòng)”或“已連接”狀態(tài)，以允許流正確流動(dòng) 。

2. 請嘗試使用托管域的域名 ping 該域，例如 ping aaddscontoso.com。

• 如果 ping 響應(yīng)失敗，請嘗試 ping 托管域門戶概述頁中顯示的域的 IP 地址，例如 ping 10.0.0.4。

• 如果能夠 ping 通該 IP 地址，但無法 ping 通域，則表示 DNS 的配置可能不正確。 請確保已為虛擬網(wǎng)絡(luò)配置托管域 DNS 服務(wù)器。

3. 請嘗試刷新虛擬機(jī)上的 DNS 解析程序緩存，例如 ipconfig /flushdns。

網(wǎng)絡(luò)安全組 (NSG) 配置

創(chuàng)建托管域時(shí)，還會(huì)以相應(yīng)的規(guī)則創(chuàng)建網(wǎng)絡(luò)安全組以實(shí)現(xiàn)成功的域操作。 如果編輯或創(chuàng)建其他網(wǎng)絡(luò)安全組規(guī)則，則可能會(huì)無意間阻止 Azure AD DS 提供連接和身份驗(yàn)證服務(wù)所需的端口。 這些網(wǎng)絡(luò)安全組規(guī)則可能導(dǎo)致出現(xiàn)問題，例如密碼同步無法完成、用戶無法登錄或域加入問題。

如果仍然遇到連接問題，請查看以下故障排除步驟：

1. 在 Azure 門戶中檢查托管域的運(yùn)行狀況。 如果存在 AADDS001 警報(bào)，則表示網(wǎng)絡(luò)安全組規(guī)則正在阻止訪問。

2. 查看所需端口和網(wǎng)絡(luò)安全組規(guī)則。 確保未向用于連接的 VM 或虛擬網(wǎng)絡(luò)應(yīng)用會(huì)阻止這些網(wǎng)絡(luò)端口的網(wǎng)絡(luò)安全組規(guī)則。

3. 解決所有網(wǎng)絡(luò)安全組配置問題后，AADDS001 警報(bào)將在約 2 小時(shí)內(nèi)從運(yùn)行狀況頁中消失。 現(xiàn)在網(wǎng)絡(luò)連接可用，請嘗試再次將該 VM 加入域。

域加入期間與憑據(jù)相關(guān)的問題

如果出現(xiàn)要求輸入憑據(jù)以加入托管域的對話框，則 VM 可以使用 Azure 虛擬網(wǎng)絡(luò)連接到該域。 域加入流程在向域進(jìn)行身份驗(yàn)證時(shí)失敗，或在使用提供的憑據(jù)授權(quán)完成域加入流程時(shí)失敗。

若要對與憑據(jù)相關(guān)的問題進(jìn)行故障排除，請查看以下故障排除步驟：

1. 請嘗試使用 UPN 格式指定憑據(jù)。例如 dee@contoso.onmicrosoft.com。 請確保在 Azure AD 中正確配置了此 UPN。

• 如果租戶中有多個(gè)用戶具有相同的 UPN 前綴，或者 UPN 前綴過長，系統(tǒng)可能會(huì)自動(dòng)生成帳戶的 SAMAccountName。 因此，帳戶的 SAMAccountName 格式可能不同于所需的格式或者在本地域中使用的格式。

2. 嘗試使用屬于托管域的用戶帳戶的憑據(jù)將 VM 加入托管域。

3. 請確保啟用了密碼同步，并確保為完成初始密碼同步等待了足夠長的時(shí)間。