尝试将虚拟机 (VM) 加入到（或将应用程序连接到）Azure Active Directory 域服务 (Azure AD DS) 托管域时，可能会收到错误，表示无法实现此操作。 若要对域加入问题进行故障排除，请查看以下有问题的相应点：

• 如果未收到身份验证提示，则 VM 或应用程序将无法连接到 Azure AD DS 托管域。

• 开始对域加入的连接性问题进行故障排除。

• 如果在身份验证过程中收到错误，则说明成功连接到了托管域。

• 开始对域加入期间与凭据相关的问题进行故障排除。

域加入的连接问题

如果 VM 找不到托管域，则通常存在网络连接或配置问题。 查看以下故障排除步骤，找到并解决问题：

1. 确保将 VM 连接到托管域的同一虚拟网络或对等虚拟网络。 否则，VM 无法找到并连接到域，因此无法加入域。

• 如果 VM 未连接到同一虚拟网络，请确认虚拟网络对等互连或 VPN 连接处于“活动”或“已连接”状态，以允许流正确流动 。

请尝试使用托管域的域名 ping 该域，例如 ping aaddscontoso.com。

• 如果 ping 响应失败，请尝试 ping 托管域门户概述页中显示的域的 IP 地址，例如 ping 10.0.0.4。

• 如果能够 ping 通该 IP 地址，但无法 ping 通域，则表示 DNS 的配置可能不正确。 请确保已为虚拟网络配置托管域 DNS 服务器。

请尝试刷新虚拟机上的 DNS 解析程序缓存，例如 ipconfig /flushdns。

网络安全组 (NSG) 配置

创建托管域时，还会以相应的规则创建网络安全组以实现成功的域操作。 如果编辑或创建其他网络安全组规则，则可能会无意间阻止 Azure AD DS 提供连接和身份验证服务所需的端口。 这些网络安全组规则可能导致出现问题，例如密码同步无法完成、用户无法登录或域加入问题。

如果仍然遇到连接问题，请查看以下故障排除步骤：

1. 在 Azure 门户中检查托管域的运行状况。 如果存在 AADDS001 警报，则表示网络安全组规则正在阻止访问。

2. 查看所需端口和网络安全组规则。 确保未向用于连接的 VM 或虚拟网络应用会阻止这些网络端口的网络安全组规则。

3. 解决所有网络安全组配置问题后，AADDS001 警报将在约 2 小时内从运行状况页中消失。 现在网络连接可用，请尝试再次将该 VM 加入域。

域加入期间与凭据相关的问题

如果出现要求输入凭据以加入托管域的对话框，则 VM 可以使用 Azure 虚拟网络连接到该域。 域加入流程在向域进行身份验证时失败，或在使用提供的凭据授权完成域加入流程时失败。

若要对与凭据相关的问题进行故障排除，请查看以下故障排除步骤：

1. 请尝试使用 UPN 格式指定凭据。例如 dee@contoso.onmicrosoft.com。 请确保在 Azure AD 中正确配置了此 UPN。

• 如果租户中有多个用户具有相同的 UPN 前缀，或者 UPN 前缀过长，系统可能会自动生成帐户的 SAMAccountName。 因此，帐户的 SAMAccountName 格式可能不同于所需的格式或者在本地域中使用的格式。

尝试使用属于托管域的用户帐户的凭据将 VM 加入托管域。

请确保启用了密码同步，并确保为完成初始密码同步等待了足够长的时间。