使用 Microsoft Entra 域服务对域加入进行故障排除

尝试将虚拟机 (VM) 加入到（或将应用程序连接到）Microsoft Entra 域服务托管域时，可能会收到错误消息，表示无法实现此操作。 若要对域加入问题进行故障排除，请查看以下有问题的相应点：

如果未收到身份验证提示，则 VM 或应用程序将无法连接到域服务托管域。

开始对域加入的连接性问题进行故障排除。

如果在身份验证过程中收到错误，则说明成功连接到了托管域。

开始对域加入期间与凭据相关的问题进行故障排除。

域加入的连接问题

如果 VM 找不到托管域，则通常存在网络连接或配置问题。 查看以下故障排除步骤，找到并解决问题：

确保将 VM 连接到托管域的同一虚拟网络或对等虚拟网络。 否则，VM 无法找到并连接到域，因此无法加入域。

如果 VM 未连接到同一虚拟网络，请确认虚拟网络对等互连或 VPN 连接处于“活动”或“已连接”状态，以允许流正确流动 。

请尝试使用托管域的域名 ping 该域，例如 ping aaddscontoso.com。

如果 ping 响应失败，请尝试 ping 托管域门户概述页中显示的域的 IP 地址，例如 ping 10.0.0.4。

如果能够 ping 通该 IP 地址，但无法 ping 通域，则表示 DNS 的配置可能不正确。 请确保已为虚拟网络配置托管域 DNS 服务器。

请尝试刷新虚拟机上的 DNS 解析程序缓存，例如 ipconfig /flushdns。

网络安全组 (NSG) 配置

创建托管域时，还会以相应的规则创建网络安全组以实现成功的域操作。 如果编辑或创建其他网络安全组规则，则可能会无意间阻止域服务提供连接和身份验证服务所需的端口。 这些网络安全组规则可能导致出现问题，例如密码同步无法完成、用户无法登录或域加入问题。

如果仍然遇到连接问题，请查看以下故障排除步骤：

在 Azure 门户中检查托管域的运行状况。 如果存在 AADDS001 警报，则表示网络安全组规则正在阻止访问。

查看所需端口和网络安全组规则。 确保未向用于连接的 VM 或虚拟网络应用会阻止这些网络端口的网络安全组规则。

解决所有网络安全组配置问题后，AADDS001 警报将在约 2 小时内从运行状况页中消失。 现在网络连接可用，请尝试再次将该 VM 加入域。

域加入期间与凭据相关的问题

如果出现要求输入凭据以加入托管域的对话框，则 VM 可以使用 Azure 虚拟网络连接到该域。 域加入流程在向域进行身份验证时失败，或在使用提供的凭据授权完成域加入流程时失败。

若要对与凭据相关的问题进行故障排除，请查看以下故障排除步骤：

请尝试使用 UPN 格式指定凭据。例如 dee@contoso.partner.onmschina.cn。 请确保在 Microsoft Entra ID 中正确配置了此 UPN。

如果租户中有多个用户具有相同的 UPN 前缀，或者 UPN 前缀过长，系统可能会自动生成帐户的 SAMAccountName。 因此，帐户的 SAMAccountName 格式可能不同于所需的格式或者在本地域中使用的格式。

尝试使用属于托管域的用户帐户的凭据将 VM 加入托管域。

请确保启用了密码同步，并确保为完成初始密码同步等待了足够长的时间。

后续步骤

若要更深入地了解域加入操作中的 Active Directory 过程，请参阅加入和身份验证问题。

如果在将 VM 加入托管域时仍有问题，请查找帮助并创建 Microsoft Entra ID 的支持票证。