Sdílet prostřednictvím

Katalog upozornění služby Microsoft Entra Connect Health

  • Článek

Služba Microsoft Entra Connect Health odesílá upozornění, že vaše infrastruktura identit není v pořádku. Tento článek obsahuje názvy výstrah, popisy a nápravné kroky pro každou výstrahu.
Chyba, upozornění a předběžné vytváření jsou tři fáze výstrah generovaných ze služby Connect Health. Důrazně doporučujeme provést okamžité akce s aktivovanými výstrahami.
Upozornění služby Microsoft Entra Connect Health se vyřešují v podmínce úspěchu. Agenti služby Microsoft Entra Connect Health pravidelně detekují a hlásí podmínky úspěchu služby. U několika upozornění je potlačení založené na čase. Jinými slovy, pokud se stejný chybový stav neodpozoruje do 72 hodin od generování upozornění, výstraha se automaticky vyřeší.

Obecné Upozornění

Název upozornění Popis Náprava
Data služby Health Service nejsou aktuální Jeden nebo více zdravotních agentů spuštěných na jednom nebo více serverech není připojeno ke Zdravotní službě a Zdravotní služba nepřijímá nejnovější data z těchto serverů. Poslední data zpracovávaná službou Health Service jsou starší než 2 hodiny. Ujistěte se, že agenti stavu mají odchozí připojení k požadovaným koncovým bodům služby. Další informace

Upozornění pro Microsoft Entra Connect (synchronizace)

Název upozornění Popis Náprava
Synchronizační služba Microsoft Entra Connect není spuštěná Služba Microsoft Entra ID Sync pro Windows není spuštěná nebo se nepovedlo spustit. V důsledku toho se objekty nebudou synchronizovat s ID Microsoft Entra. Spuštění synchronizačních služeb Microsoft Entra ID
  1. Vyberte Start , vyberte Spustit, zadejte Services.msca pak vyberte OK.
  2. Vyhledejte službu Synchronizace ID Microsoft Entra a zkontrolujte, jestli je služba spuštěná. Pokud služba není spuštěná, vyberte ji pravým tlačítkem a pak vyberte Spustit.
Import z Microsoft Entra ID se nezdařil Operace importu z konektoru Microsoft Entra se nezdařila. Další podrobnosti najdete v chybách operace importu v protokolu událostí.
Připojení k Microsoft Entra ID selhalo z důvodu selhání ověřování Připojení k Microsoft Entra ID selhalo z důvodu selhání ověřování. V důsledku toho se objekty nebudou synchronizovat s ID Microsoft Entra. Další podrobnosti najdete v protokolu událostí.
Export do Active Directory neproběhl úspěšně Operace exportu do konektoru služby Active Directory selhala. Další podrobnosti najdete v chybách operace exportu v protokolu událostí.
Import ze služby Active Directory se nezdařil. Import ze služby Active Directory se nezdařil. V důsledku toho se objekty z některých domén z tohoto lesního prostředí nemusí importovat.
  • Ověření připojení řadiče domény
  • Ruční spuštění importu
  • Další podrobnosti najdete v protokolu událostí operace importu.
    		•
    Export do Microsoft Entra ID se nezdařil Operace exportu do konektoru Microsoft Entra se nezdařila. V důsledku toho nemusí být některé objekty úspěšně exportovány do Microsoft Entra ID. Další podrobnosti najdete v chybách operace exportu v protokolu událostí.
    Za posledních 120 minut byl přeskočen prezenční signál synchronizace hodnot hash hesel Synchronizace hodnot hash hesel není v posledních 120 minutách připojená k ID Microsoft Entra. V důsledku toho se hesla nebudou synchronizovat s ID Microsoft Entra. Restartujte synchronizační služby Microsoft Entra ID:
    Všechny aktuálně spuštěné synchronizační operace se přeruší. Pokud neprobíhá žádná operace synchronizace, můžete provést následující kroky.
    1. Vyberte Start, vyberte Spustit, zadejte Services.msca pak vyberte OK.
    2. Vyhledejte Microsoft Entra ID Sync, klikněte na ni pravým tlačítkem myši a pak vyberte Restartovat.
    Bylo zjištěno vysoké využití procesoru Procento spotřeby procesoru překročilo doporučenou prahovou hodnotu na tomto serveru.
  • Může se jednat o dočasný nárůst spotřeby procesoru. Zkontrolujte trend využití procesoru v části Monitorování.
  • Prozkoumejte nejvyšší procesy, které spotřebovávají nejvyšší využití procesoru na serveru.
    1. Můžete použít Správce úloh nebo spustit následující příkaz PowerShellu:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Pokud dochází k neočekávaným procesům, které spotřebovávají vysoké využití procesoru, zastavte procesy pomocí následujícího příkazu PowerShellu:
      stop-process -ProcessName [název procesu]
  • Pokud jsou procesy uvedené v předchozím seznamu zamýšlené procesy spuštěné na serveru a spotřeba procesoru se nepřetržitě blíží prahové hodnotě, zvažte opětovné posouzení požadavků na nasazení tohoto serveru.
  • Jako možnost, která je bezpečná pro selhání, můžete zvážit restartování serveru.
    		•
    Byla zjištěna vysoká spotřeba paměti Procento spotřeby paměti serveru přesahuje doporučenou prahovou hodnotu na tomto serveru. Prozkoumejte nejvyšší procesy, které spotřebovávají nejvyšší paměť na serveru. Můžete použít Správce úloh nebo spustit následující příkaz PowerShellu:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Pokud dochází k neočekávaným procesům, které spotřebovávají velkou paměť, zastavte procesy pomocí následujícího příkazu PowerShellu:
    stop-process -ProcessName [název procesu]
  • Pokud jsou procesy uvedené v předchozím seznamu zamýšlené procesy spuštěné na serveru, zvažte opětovné posouzení požadavků na nasazení tohoto serveru.
  • Jako bezpečný krok můžete zvážit restartování serveru.
    		•
    Synchronizace hodnot hash hesel přestala fungovat Synchronizace hodnot hash hesel je zastavená. V důsledku toho se hesla nebudou synchronizovat s ID Microsoft Entra. Restartujte synchronizační služby Microsoft Entra ID:
    Všechny aktuálně spuštěné synchronizační operace se přeruší. Pokud neprobíhá žádná operace synchronizace, můžete provést následující kroky.
    1. Vyberte Start , vyberte Spustit, zadejte Services.msca pak vyberte OK.
    2. Vyhledejte Microsoft Entra ID Sync , vyberte ho pravým tlačítkem myši a pak vyberte Restartovat.
    Export do ID Microsoft Entra byl zastaven. Bylo dosaženo prahové hodnoty náhodného odstranění Operace exportu do Microsoft Entra ID se nezdařila. Bylo potřeba odstranit více objektů, než je nakonfigurovaná prahová hodnota. V důsledku toho nebyly exportovány žádné objekty.
  • Počet objektů je označen k odstranění větší než nastavená prahová hodnota. Ujistěte se, že je tento výsledek žádoucí.
  • Pokud chcete povolit pokračování exportu, proveďte následující kroky:
    1. Zakázat prahovou hodnotu spuštěním disable-ADSyncExportDeletionThreshold
    2. Spuštění synchronizačního portálu Service Manager
    3. Spuštění exportu u konektoru s typem = Microsoft Entra ID
    4. Po úspěšném exportu objektů povolte prahovou hodnotu spuštěním příkazu Enable-ADSyncExportDeletionThreshold.
    		•

    Výstrahy pro Active Directory Federation Services (AD FS)

    Název upozornění Popis Náprava
    Požadavek na ověření testu (syntetická transakce) se nepodařilo získat token. Zkoušky ověřovacích požadavků (syntetické transakce) zahájené z tohoto serveru nedokázaly získat token po pěti pokusech. Příčinou můžou být přechodné problémy se sítí, dostupnost řadiče domény SLUŽBY AD DS nebo chybně nakonfigurovaný server služby AD FS. V důsledku toho můžou žádosti o ověření zpracovávané federační službou selhat. Agent používá kontext účtu místního počítače k získání tokenu ze služby FS (Federation Service). Ujistěte se, že jste provedli následující kroky k ověření stavu serveru.
    1. Ověřte, že ve vaší farmě neexistují žádná další nevyřešená upozornění na tento nebo jiné servery SLUŽBY AD FS.
    2. Ověřte, že tato podmínka není přechodná chyba. Přihlaste se pomocí testovacího uživatele na přihlašovací stránce služby AD FS, která je k dispozici na adrese https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Přejděte na https://testconnectivity.microsoft.com kartu Office 365 a zvolte ji. Proveďte test jednotného přihlašování k Office 365.
    4. Spuštěním následujícího příkazu z příkazového řádku na tomto serveru ověřte, jestli je možné název služby AD FS přeložit z tohoto serveru. nslookup your_adfs_server_name

    Pokud se název služby nedá přeložit, přečtěte si část Nejčastější dotazy s pokyny k přidání položky souboru HOSTITELE služby AD FS s IP adresou tohoto serveru. To umožňuje syntetickému transakčnímu modulu běžícímu na tomto serveru vyžádat token.
    Proxy server se nemůže spojit s federačním serverem Tento proxy server služby AD FS nemůže kontaktovat službu AD FS. V důsledku toho žádosti o ověření zpracovávané tímto serverem selžou. Pomocí následujících kroků ověřte připojení mezi tímto serverem a službou AD FS.
    1. Ujistěte se, že je správně nakonfigurovaná brána firewall mezi tímto serverem a službou AD FS.
    2. Ujistěte se, že překlad DNS pro název služby AD FS správně odkazuje na službu AD FS, která se nachází v podnikové síti. Toho lze dosáhnout prostřednictvím serveru DNS, který slouží tomuto serveru v hraniční síti nebo prostřednictvím položek v souborech HOSTS pro název služby AD FS.
    3. Ověřte síťové připojení otevřením prohlížeče na tomto serveru a přístupem ke koncovému bodu federačních metadat, který je v https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Platnost certifikátu SSL brzy vyprší. Platnost certifikátu TLS/SSL používaného federačními servery brzy vyprší do 90 dnů. Po vypršení platnosti se všechny požadavky, které vyžadují platné připojení TLS, nezdaří. Například pro zákazníky Microsoftu 365 se poštovní klienti nemůžou ověřit. Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.
    1. Získejte certifikát TLS/SSL s následujícími požadavky.
      1. Použití rozšířeného klíče je alespoň ověření serveru.
      2. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com
    2. Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.
    3. Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.

    Pro službu AD FS 2.0 v systému Windows Server 2008R2:

    • Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

    Pro službu AD FS ve Windows Serveru 2012 R2 a novějších verzích:

  • Informace o správě certifikátů SSL ve službě AD FS a WAP
    • Služba AD FS není spuštěná na serveru Na tomto serveru není spuštěná služba Active Directory Federation Service (Windows Service). Všechny požadavky cílené na tento server selžou. Spuštění služby Ad FS (Active Directory Federation Service):
    1. Přihlaste se k serveru jako správce.
    2. Otevření services.msc
    3. Najít "Active Directory Federation Services (AD FS)"
    4. Výběr pravým tlačítkem myši a výběr možnosti Start
    DNS pro službu FS může být chybně nakonfigurované. Server DNS může být nakonfigurovaný tak, aby používal záznam CNAME pro název farmy služby AD FS. Pro službu AD FS doporučujeme použít záznam A nebo AAAA, aby integrované ověřování systému Windows fungovalo bezproblémově v rámci podnikové sítě. Ujistěte se, že typ záznamu DNS farmy <Farm Name> služby AD FS není CNAME. Nakonfigurujte ho jako záznam A nebo AAAA.
    Auditování služby AD FS je zakázané. Auditování služby AD FS je pro server zakázané. Část Využití služby AD FS na portálu nebude obsahovat data z tohoto serveru. Pokud nejsou povolené audity služby AD FS, postupujte podle těchto pokynů:
    1. Udělte účtu služby AD FS právo Generovat audity zabezpečení na serveru SLUŽBY AD FS.
    2. Otevřete místní zásady zabezpečení na serveru gpedit.msc.
    3. Přejděte na Konfigurace počítače\Nastavení Systému Windows\Místní zásady\Přiřazení uživatelských práv.
    4. Přidejte účet služby AD FS, aby měl právo Generovat audity zabezpečení.
    5. Z příkazového řádku spusťte následující příkaz:
      auditpol.exe /set /subcategory:"Aplikace vygenerovaná" /failure:enable /success:enable
    6. Aktualizujte vlastnosti federační služby tak, aby zahrnovaly audity úspěšnosti a selhání.
    7. V konzole služby AD FS zvolte Upravit vlastnosti federační služby.
    8. V dialogovém okně Vlastnosti služby FS zvolte kartu Události a vyberte Audity úspěchu a Audity selhání.

    Po provedení těchto kroků by se události auditu služby AD FS měly zobrazit z Prohlížeč událostí. Postup ověření:

    1. Přejděte na Prohlížeč událostí/ Protokoly Windows /Security.
    2. V rozevírací nabídce Zdroje událostí vyberte Filtrovat aktuální protokoly a v rozevírací nabídce Zdroje událostí vyberte Auditování služby AD FS. U aktivního serveru SLUŽBY AD FS s povoleným auditováním služby AD FS by měly být události viditelné pro filtrování.

    Pokud jste postupovali podle těchto pokynů dříve, ale přesto se tato výstraha zobrazuje, je možné, že objekt zásad skupiny zakazuje auditování služby AD FS. Původní příčinou může být jedna z následujících příčin:

    1. Účet služby AD FS se odebírá z práva generovat audity zabezpečení.
    2. Vlastní skript v objektu zásad skupiny zakazuje úspěšné a neúspěšné audity na základě "Vygenerované aplikace".
    3. Konfigurace služby AD FS není povolená pro generování auditů úspěšnosti nebo selhání.
    Certifikát SSL služby AD FS je podepsaný svým držitelem Aktuálně používáte certifikát podepsaný svým držitelem jako certifikát TLS/SSL ve farmě služby AD FS. V důsledku toho se ověření poštovního klienta pro Microsoft 365 nezdaří.

    Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.

    1. Získejte veřejně důvěryhodný certifikát TLS/SSL s následujícími požadavky.
    2. Instalační soubor certifikátu obsahuje jeho privátní klíč.
    3. Použití rozšířeného klíče je alespoň ověření serveru.
    4. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com

    Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.

      Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.
      Pro službu AD FS 2.0 v systému Windows Server 2008R2:
    1. Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

      2. Pro službu AD FS ve Windows Serveru 2012 R2 nebo novějších verzích:
    2. Informace o správě certifikátů SSL ve službě AD FS a WAP
    Vztah důvěryhodnosti mezi proxy serverem a federačním serverem není platný. Vztah důvěryhodnosti mezi proxy federačního serveru a federační službou se nepodařilo navázat ani obnovit. Aktualizujte certifikát důvěryhodnosti proxy serveru na proxy serveru. Znovu spusťte Průvodce konfigurací proxy serveru.
    Ochrana uzamčení extranetu zakázaná pro službu AD FS Funkce Ochrana uzamčení extranetu je ve farmě služby AD FS zakázaná. Tato funkce chrání uživatele před útoky hrubou silou na hesla z internetu a brání útokům na dostupnost služby vůči vašim uživatelům, když jsou zásady uzamčení účtu SLUŽBY AD DS platné. Pokud je tato funkce povolená, počet neúspěšných pokusů o přihlášení extranetu pro uživatele (pokusy o přihlášení provedené prostřednictvím serveru WAP a služby AD FS) překročí hodnotu ExtranetLockoutThreshold, servery AD FS přestanou zpracovávat další pokusy o přihlášení pro ExtranetObservationWindow, důrazně doporučujeme povolit tuto funkci na serverech AD FS. Spuštěním následujícího příkazu povolte ochranu extranetového uzamčení služby AD FS s výchozími hodnotami.
    Set-AdfsProperties -EnableExtranetLockout $true

    Pokud jste pro uživatele nakonfigurovali zásady uzamčení AD, ujistěte se, že je vlastnost ExtranetLockoutThreshold nastavená na hodnotu pod prahovou hodnotou uzamčení služby AD DS. Tím se zajistí, že požadavky, které překročily prahovou hodnotu služby AD FS, se zahodí a nikdy se neověřují na serverech služby AD DS.
    Neplatný hlavní název služby (SPN) pro účet služby AD FS Hlavní název služby účtu služby FS není zaregistrovaný nebo není jedinečný. V důsledku toho nemusí být integrované ověřování systému Windows z klientů připojených k doméně bezproblémové. Pomocí příkazu [SETSPN -L ServiceAccountName] vypíšete instanční objekty.
    Pomocí příkazu [SETSPN -X] zkontrolujte duplicitní názvy instančních objektů.

    Pokud je hlavní název služby duplicitní pro účet služby AD FS, odeberte hlavní název služby (SPN) z duplicitního účtu pomocí služby [SETSPN -d service/namehostname]

    Pokud hlavní název služby není nastavený, nastavte požadovaný hlavní název služby (SPN) pro účet federační služby pomocí parametru [SETSPN -s {Desired-SPN} {domain_name}{service_account}].
    Platnost primárního certifikátu dešifrování tokenu služby AD FS brzy vyprší. Platnost primárního certifikátu dešifrování tokenu služby AD FS brzy vyprší za méně než 90 dnů. Služba AD FS nemůže dešifrovat tokeny od důvěryhodných zprostředkovatelů deklarací identity. Služba AD FS nemůže dešifrovat šifrované soubory cookie jednotného přihlašování. Koncoví uživatelé se nemůžou ověřit pro přístup k prostředkům. Pokud je povolené vrácení automatického certifikátu, služba AD FS spravuje dešifrovací certifikát tokenu.

    Pokud certifikát spravujete ručně, postupujte podle následujících pokynů. Získejte nový certifikát dešifrování tokenu.

    1. Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje "Šifrování klíče"
    2. Subjekt nebo Alternativní název subjektu (SAN) nemají žádná omezení.
    3. Mějte na paměti, že při ověřování certifikátu dešifrování tokenu musí být partneři federačních serverů a zprostředkovatelů deklarací identity schopní řetězit důvěryhodné kořenové certifikační autority.
    Rozhodněte se, jak budou partneři zprostředkovatele deklarací identity důvěřovat novému certifikátu pro dešifrování tokenů.
    1. Po aktualizaci certifikátu požádejte partnery, aby si stáhli federační metadata.
    2. Sdílejte veřejný klíč nového certifikátu. (.cer soubor) s partnery. Na serveru AD FS partnera poskytujícího deklarace identity spusťte správu služby AD FS z nabídky Nástroje pro správu. V části Vztahy důvěryhodnosti nebo vztahy důvěryhodnosti předávající strany vyberte vztah důvěryhodnosti, který jste vytvořili za vás. V části Vlastnosti/šifrování vyberte Procházet a vyberte nový certifikát Token-Decrypting a vyberte OK.
    Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
    • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    Ujistěte se, že má účet federační služby přístup k privátnímu klíči nového certifikátu.Přidejte nový certifikát do služby AD FS.
    1. Spuštění správy služby AD FS z nabídky Nástroje pro správu
    2. Rozbalte službu a vyberte Certifikáty.
    3. V podokně Akce vyberte Přidat "Token-Decrypting" Certifikát.
    4. Zobrazí se seznam certifikátů, které jsou platné pro dešifrování tokenů. Pokud zjistíte, že váš nový certifikát není v seznamu, musíte se vrátit a ujistit se, že je certifikát v osobním úložišti místního počítače s přidruženým privátním klíčem a že certifikát obsahuje šifrování klíče jako rozšířené použití klíče.
    5. Vyberte nový certifikát Token-Decrypting a vyberte OK.
    Nastavte nový certifikát pro dešifrování tokenu jako primární.
    1. Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Dešifrování tokenů: existující a nový certifikát.
    2. Vyberte nový Token-Decrypting certifikát, vyberte ho pravým tlačítkem a vyberte Nastavit jako primární.
    3. Pro účely vrácení původního certifikátu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile si budete jistí, že už ho nepotřebujete k vrácení zpět nebo když vypršela platnost certifikátu.
    Platnost primárního podpisového certifikátu tokenu služby AD FS brzy vyprší. Podpisový certifikát tokenu služby AD FS brzy vyprší do 90 dnů. Služba AD FS nemůže vydávat podepsané tokeny, pokud tento certifikát není platný. Získejte nový podpisový certifikát tokenu.
    1. Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje digitální podpis.
    2. Alternativní název subjektu nebo subjektu (SAN) nemá žádná omezení.
    3. Všimněte si, že vaše federační servery, federační servery partnera poskytujících prostředky a aplikační servery předávající strany musí být při ověřování certifikátu podpisového tokenu schopné řetězit důvěryhodné kořenové certifikační autority.
    Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
    • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    Ujistěte se, že účet služby FS má přístup k privátnímu klíči nového certifikátu.Přidejte nový certifikát do služby AD FS.
    1. Spusťte správu služby AD FS z nabídky Nástroje pro správu.
    2. Rozbalte službu a vyberte Certifikáty.
    3. V podokně Akce vyberte Přidat certifikát typu Token-Signing...
    4. Zobrazí se seznam certifikátů, které jsou platné pro podepisování tokenů. Pokud zjistíte, že váš nový certifikát není v seznamu, musíte se vrátit a ujistit se, že je certifikát v osobním úložišti místního počítače s přidruženým privátním klíčem a certifikát má KU digitálního podpisu.
    5. Vyberte nový certifikát Token-Signing a vyberte OK.
    Informujte všechny předávající strany o změně v podpisovém certifikátu tokenu.
    1. Předávající strany, které využívají federační metadata služby AD FS, musí vyžádat nová federační metadata, aby mohli začít používat nový certifikát.
    2. Předávající strany, které nespotřebovávají federační metadata služby AD FS, musí ručně aktualizovat veřejný klíč nového podpisového certifikátu tokenu. Nasdílejte .cer soubor s předávajícími stranami.
      3. Nastavte nový podpisový certifikát tokenu jako primární.
      1. Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Podepisování tokenů: existující a nový certifikát.
      2. Vyberte nový certifikát Token-Signing, klikněte na něj pravým tlačítkem a zvolte Nastavit jako primární
      3. Pro účely přechodu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile budete mít jistotu, že už není potřeba k přechodu nebo když vypršela platnost certifikátu. Všimněte si, že jsou podepsané relace jednotného přihlašování aktuálních uživatelů. Aktuální vztahy důvěryhodnosti proxy serveru služby AD FS využívají tokeny podepsané a šifrované pomocí starého certifikátu.
    V místním úložišti certifikátů se nenašel certifikát SSL služby AD FS. Certifikát s kryptografickým otiskem nakonfigurovaným jako certifikát TLS/SSL v databázi služby AD FS nebyl v místním úložišti certifikátů nalezen. V důsledku toho všechny žádosti o ověření přes protokol TLS selžou. Například ověření poštovního klienta pro Microsoft 365 selže. Nainstalujte certifikát s nakonfigurovaným kryptografickým otiskem v místním úložišti certifikátů.
    Platnost certifikátu SSL vypršela. Platnost certifikátu TLS/SSL pro službu AD FS vypršela. V důsledku toho všechny požadavky na ověření, které vyžadují platné připojení TLS, selžou. Například: Ověřování poštovního klienta se nemůže ověřit pro Microsoft 365. Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.
    1. Získejte certifikát TLS/SSL s následujícími požadavky.
    2. Použití rozšířeného klíče je alespoň ověření serveru.
    3. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com
    4. Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.
    5. Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.

    Pro službu AD FS 2.0 v systému Windows Server 2008R2:

    • Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

    Informace o službě AD FS ve Windows Serveru 2012 R2 nebo novějších verzích: Přečtěte si článek: Správa certifikátů SSL ve službě AD FS a WAP

    Požadované koncové body pro ID Microsoft Entra (pro Microsoft 365) nejsou povolené. Následující sada koncových bodů vyžadovaných službami Exchange Online Services, MICROSOFT Entra ID a Microsoft 365 nejsou povoleny pro federační službu:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Povolte požadované koncové body pro cloudové služby Microsoftu ve vaší federační službě.
    Pro službu AD FS ve Windows Serveru 2012R2 nebo novějších verzích
  • Přečtěte si: Správa certifikátů SSL ve službě AD FS a WAP

    • Federační server se nemohl připojit ke konfigurační databázi služby AD FS. U účtu služby AD FS dochází k problémům při připojování ke konfigurační databázi služby AD FS. V důsledku toho nemusí služba AD FS v tomto počítači fungovat podle očekávání.
  • Ujistěte se, že účet služby AD FS má přístup ke konfigurační databázi.
  • Ujistěte se, že je služba konfigurační databáze služby AD FS dostupná a dostupná.
    • Požadované vazby SSL chybí nebo nejsou nakonfigurované Chybně nakonfigurované jsou vazby TLS potřebné k úspěšnému provedení ověřování tohoto federačního serveru. Služba AD FS proto nemůže zpracovat žádné příchozí požadavky. Pro Windows Server 2012 R2
    Otevřete příkazový řádek správce se zvýšenými oprávněními a spusťte následující příkazy:
    1. Zobrazení aktuální vazby TLS: Get-AdfsSslCertificate
    2. Přidání nových vazeb: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc444} certstorename=MY
    Platnost primárního podpisového certifikátu tokenu služby AD FS vypršela. Platnost podpisového certifikátu tokenu služby AD FS vypršela. Služba AD FS nemůže vydávat podepsané tokeny, pokud tento certifikát není platný. Pokud je povolená změna automatického certifikátu, služba AD FS bude spravovat aktualizaci podpisového certifikátu tokenu.

    Pokud certifikát spravujete ručně, postupujte podle následujících pokynů.

    1. Získejte nový podpisový certifikát tokenu.
      1. Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje digitální podpis.
      2. Alternativní název subjektu nebo subjektu (SAN) nemá žádná omezení.
      3. Nezapomeňte, že vaše federační servery, federační servery partnera poskytující prostředky a aplikační servery předávající strany musí být při ověřování certifikátu podpisového tokenu schopné řetězit důvěryhodné kořenové certifikační autority.
    2. Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
      • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    3. Ujistěte se, že účet služby FS má přístup k privátnímu klíči nového certifikátu.
    4. Přidejte nový certifikát do služby AD FS.
      1. Spusťte správu služby AD FS z nabídky Nástroje pro správu.
      2. Rozbalte službu a vyberte Certifikáty.
      3. V podokně Akce vyberte Přidat certifikát typu Token-Signing...
      4. Zobrazí se seznam certifikátů, které jsou platné pro podepisování tokenů. Pokud zjistíte, že váš nový certifikát není v seznamu, musíte se vrátit a ujistit se, že je certifikát v osobním úložišti místního počítače s přidruženým privátním klíčem a certifikát má KU digitálního podpisu.
      5. Vyberte nový certifikát Token-Signing a vyberte OK.
    5. Informujte všechny předávající strany o změně v podpisovém certifikátu tokenu.
      1. Předávající strany, které využívají federační metadata služby AD FS, musí vyžádat nová federační metadata, aby mohli začít používat nový certifikát.
      2. Předávající strany, které nespotřebovávají federační metadata služby AD FS, musí ručně aktualizovat veřejný klíč nového podpisového certifikátu tokenu. Nasdílejte .cer soubor s předávajícími stranami.
    6. Nastavte nový podpisový certifikát tokenu jako primární.
      1. Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Podepisování tokenů: existující a nový certifikát.
      2. Vyberte nový certifikát Token-Signing, klikněte na něj pravým tlačítkem a zvolte Nastavit jako primární
      3. Pro účely přechodu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile budete mít jistotu, že už není potřeba k přechodu nebo když vypršela platnost certifikátu. Mějte na paměti, že jsou podepsané relace jednotného přihlašování aktuálních uživatelů. Aktuální vztahy důvěryhodnosti proxy serveru služby AD FS využívají tokeny podepsané a šifrované pomocí starého certifikátu.
    Proxy server zahazuje požadavky na řízení zahlcení Tento proxy server v současné době zahazuje požadavky z extranetu kvůli vyšší než normální latenci mezi tímto proxy serverem a federačním serverem. V důsledku toho může selhat určitá část žádostí o ověření zpracovávaných proxy serverem služby AD FS.
  • Ověřte, jestli latence sítě mezi federačním proxy serverem a federačními servery spadá do přijatelného rozsahu. Informace o trendových hodnotách žádosti o token najdete v části Monitorování. Latence větší než [1500 ms] by se měla považovat za vysokou latenci. Pokud se zjistí vysoká latence, ujistěte se, že síť mezi službami AD FS a proxy servery služby AD FS nemá žádné problémy s připojením.
  • Ujistěte se, že federační servery nejsou přetížené požadavky na ověřování. Oddíl monitorování poskytuje populární zobrazení žádostí o tokeny za sekundu, využití procesoru a využití paměti.
  • Pokud byly výše uvedené položky ověřeny a tento problém se stále zobrazuje, upravte nastavení zahlcení na všech federačních proxy serverech podle pokynů souvisejících odkazů.
    		•
    Účet služby AD FS je odepřen přístup k některému z privátních klíčů certifikátu. Účet služby AD FS nemá přístup k privátnímu klíči jednoho z certifikátů služby AD FS na tomto počítači. Ujistěte se, že má účet služby AD FS přístup k certifikátům TLS, podepisování tokenů a dešifrování tokenů uloženým v úložišti certifikátů místního počítače.
    1. Z příkazového řádku zadejte konzolu MMC.
    2. Přechod na doplněk k souboru> nebo odebrání modulu snap-in
    3. Vyberte Certifikáty a vyberte Přidat. –> Vyberte účet počítače a vyberte Další. -> Vyberte místní počítač a vyberte Dokončit. Vyberte OK.

    Otevřít certifikáty(místní počítač)/Osobní/Certifikáty.Pro všechny certifikáty používané službou AD FS:
    1. Vyberte certifikát pravým tlačítkem myši.
    2. Vyberte Všechny úkoly –> Správa privátních klíčů.
    3. Na kartě Zabezpečení v části Skupina nebo uživatelská jména se ujistěte, že je k dispozici účet služby AD FS. Pokud ne, vyberte Přidat a přidat účet služby AD FS.
    4. Vyberte účet služby AD FS a v části Oprávnění pro <název> účtu služby AD FS se ujistěte, že je povolené oprávnění ke čtení (značka zaškrtnutí).
    Certifikát SSL služby AD FS nemá privátní klíč. Certifikát TLS/SSL služby AD FS byl nainstalován bez privátního klíče. V důsledku toho všechny požadavky na ověření přes SSL selžou. Například ověřování poštovního klienta pro Microsoft 365 selže. Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.
    1. Získejte veřejně důvěryhodný certifikát TLS/SSL s následujícími požadavky.
      1. Instalační soubor certifikátu obsahuje jeho privátní klíč.
      2. Použití rozšířeného klíče je alespoň ověření serveru.
      3. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com
    2. Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.
    3. Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.

    Pro službu AD FS 2.0 v systému Windows Server 2008R2:

    • Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

    Pro službu AD FS ve Windows Serveru 2012 R2 nebo novějších verzích:

  • Přečtěte si: Správa certifikátů SSL ve službě AD FS a WAP
    • Platnost primárního dešifrovacího certifikátu tokenu SLUŽBY AD FS vypršela. Platnost primárního certifikátu pro dešifrování tokenu služby AD FS vypršela. Služba AD FS nemůže dešifrovat tokeny od důvěryhodných zprostředkovatelů deklarací identity. Služba AD FS nemůže dešifrovat šifrované soubory cookie jednotného přihlašování. Koncoví uživatelé se nemůžou ověřit pro přístup k prostředkům.

    Pokud je povolené vrácení automatického certifikátu, služba AD FS spravuje dešifrovací certifikát tokenu.

    Pokud certifikát spravujete ručně, postupujte podle následujících pokynů.

    1. Získejte nový certifikát dešifrování tokenu.
      • Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje "Šifrování klíče".
      • Subjekt nebo Alternativní název subjektu (SAN) nemají žádná omezení.
      • Mějte na paměti, že při ověřování certifikátu dešifrování tokenu musí být partneři federačních serverů a zprostředkovatelů deklarací identity schopní řetězit důvěryhodné kořenové certifikační autority.
    2. Rozhodněte se, jak budou partneři zprostředkovatele deklarací identity důvěřovat novému certifikátu pro dešifrování tokenů.
      • Po aktualizaci certifikátu požádejte partnery, aby si stáhli federační metadata.
      • Sdílejte veřejný klíč nového certifikátu. (.cer soubor) s partnery. Na serveru AD FS partnera poskytujícího deklarace identity spusťte správu služby AD FS z nabídky Nástroje pro správu. V části Vztahy důvěryhodnosti nebo vztahy důvěryhodnosti předávající strany vyberte vztah důvěryhodnosti, který jste vytvořili za vás. V části Vlastnosti/šifrování vyberte Procházet a vyberte nový certifikát Token-Decrypting a vyberte OK.
    3. Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
      • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    4. Ujistěte se, že má účet federační služby přístup k privátnímu klíči nového certifikátu.
    5. Přidejte nový certifikát do služby AD FS.
      • Spuštění správy služby AD FS z nabídky Nástroje pro správu
      • Rozbalte službu a vyberte Certifikáty.
      • V podokně Akce vyberte Přidat "Token-Decrypting" Certifikát.
      • Zobrazí se seznam certifikátů, které jsou platné pro dešifrování tokenů. Pokud zjistíte, že váš nový certifikát není v seznamu, musíte se vrátit a ujistit se, že je certifikát v osobním úložišti místního počítače s přidruženým privátním klíčem a že certifikát obsahuje šifrování klíče jako rozšířené použití klíče.
      • Vyberte nový certifikát Token-Decrypting a vyberte OK.
    6. Nastavte nový certifikát pro dešifrování tokenu jako primární.
      • Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Dešifrování tokenů: existující a nový certifikát.
    7. Vyberte nový certifikát Token-Decrypting, vyberte ho pravým tlačítkem a vyberte Nastavit jako primární.
    8. Pro účely vrácení původního certifikátu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile si budete jistí, že už ho nepotřebujete k vrácení zpět nebo když vypršela platnost certifikátu.

    Výstrahy pro služby Doména služby Active Directory

    Název upozornění Popis Náprava
    Řadič domény je nedostupný přes příkaz ping protokolu LDAP. Řadič domény není dostupný přes příkaz Ping protokolu LDAP. Příčinou můžou být problémy se sítí nebo počítače. V důsledku toho příkazy Ping protokolu LDAP selžou.
  • Zkontrolujte seznam výstrah, ve které najdete související výstrahy, například: Řadič domény není inzerovaný.
  • Ujistěte se, že ovlivněný řadič domény má dostatek místa na disku. Nedostatek místa zastaví, aby řadič domény inzerovala jako server LDAP.
  • Pokus o vyhledání primárního řadiče domény: Spuštění
    netdom query fsmo
    na ovlivněném řadiči domény.
  • Ujistěte se, že je fyzická síť správně nakonfigurovaná nebo připojená.
    • Došlo k chybě replikace služby Active Directory U tohoto řadiče domény dochází k problémům s replikací, které najdete na řídicím panelu stavu replikace. Příčinou chyb replikace může být nesprávná konfigurace nebo jiné související problémy. Neléčené chyby replikace můžou vést k nekonzistence dat. Další podrobnosti o názvech ovlivněných zdrojových a cílových řadičů domény Přejděte na řídicí panel Stavu replikace a vyhledejte aktivní chyby na ovlivněných řadičích domény. Výběrem chyby otevřete panel s podrobnostmi o tom, jak ji napravit.
    Řadič domény nemůže najít primární řadič domény Primární řadič domény není dostupný prostřednictvím tohoto řadiče domény. To povede k ovlivněným přihlášením uživatelů, změnám zásad skupiny bez použití a selhání synchronizace systémového času.
  • Projděte si seznam upozornění, kde najdete související výstrahy, které můžou mít vliv na primární řadič domény, například: Řadič domény není inzerovaný.
  • Pokus o vyhledání primárního řadiče domény: Spuštění
    netdom query fsmo
    na ovlivněném řadiči domény.
  • Ujistěte se, že síť funguje správně.
    • Řadič domény nemůže najít server globálního katalogu Server globálního katalogu není dostupný z tohoto řadiče domény. Výsledkem bude neúspěšné ověření, které se prostřednictvím tohoto řadiče domény pokusilo. Projděte si seznam upozornění pro jakýkoli řadič domény, který nezervuje výstrahy, kde ovlivněný server může být GC. Pokud neexistují žádná reklamní upozornění, zkontrolujte záznamy SRV pro GCS. Můžete je zkontrolovat spuštěním příkazu:
    nltest /dnsgetdc: [ForestName] /gc
    By měl vypsat řadiče domény inzerované jako GCS. Pokud je seznam prázdný, zkontrolujte konfiguraci DNS a ujistěte se, že GC zaregistroval záznamy SRV. Řadič domény je schopen najít v DNS.
    Informace o řešení potíží s globálními katalogy najdete v tématu Reklama jako server globálního katalogu.
    Řadič domény se nemůže spojit s místní sdílenou složkou sysvol Sysvol obsahuje důležité prvky z objektů zásad skupiny a skriptů, které se mají distribuovat v řadičích domény. Řadič domény se nebude inzerovat jako řadič domény a zásady skupiny nebudou použity. Informace o řešení potíží s chybějícími sdílenými složkami sysvol a Netlogon
    Čas řadiče domény je mimo synchronizaci Čas na tomto řadiči domény je mimo normální rozsah nerovnoměrné distribuce času. V důsledku toho ověřování Kerberos selže.
  • Restartování služby Windows Time Service: Spusťte
    net stop w32time
    then
    net start w32time
    na ovlivněném řadiči domény.
  • Čas opětovné synchronizace: Spuštění
    w32tm /resync
    na ovlivněném řadiči domény.
    		•
    Řadič domény není inzerce Tento řadič domény není správně inzerovat role, které dokáže provádět. Příčinou můžou být problémy s replikací, chybnou konfigurací DNS, nespusenými důležitými službami nebo kvůli tomu, že server není plně inicializován. V důsledku toho řadiče domény, členy domény a další zařízení nemůžou tento řadič domény najít. Další řadiče domény navíc nemusí být schopny replikovat z tohoto řadiče domény. Zkontrolujte seznam výstrah pro další související výstrahy, například: Replikace je přerušená. Čas řadiče domény není synchronizovaný. Služba Netlogon není spuštěná. Služby DFSR a/nebo NTFRS nejsou spuštěné. Identifikace a řešení souvisejících problémů s DNS: Přihlaste se k ovlivněném řadiči domény. Otevřete protokol událostí systému. Pokud jsou k dispozici události 5774, 5775 nebo 5781, přečtěte si téma Řešení potíží se selháním registrace záznamů DNS lokátoru řadiče domény a řešením souvisejících problémů se službou Windows Time Service: Ujistěte se, že je spuštěná služba Windows Time: Spusťte na ovlivněném řadiči domény příkaz net start w32time. Restartujte službu Windows Time Service: Spusťte příkaz net stop w32time a pak na ovlivněném řadiči domény spusťte příkaz net start w32time.
    Služba GPSVC není spuštěná Pokud je služba zastavená nebo zakázaná, nastavení nakonfigurovaná správcem se nepoužijí a aplikace a komponenty se nedají spravovat prostřednictvím zásad skupiny. Pokud je služba zakázaná, nemusí být všechny komponenty nebo aplikace závislé na komponentě Zásad skupiny funkční. Spusťte příkaz .
    net start gpsvc
    na ovlivněném řadiči domény.
    Služby DFSR nebo NTFRS nejsou spuštěné Pokud jsou zastaveny služby DFSR i NTFRS, řadiče domény nemůžou replikovat data sysvol. Data sysvol nebudou konzistentní.
  • Pokud používáte DFSR:
      Na ovlivněném řadiči domény spusťte příkaz net start dfsr.
    1. Pokud používáte protokol NTFRS:
        Na ovlivněném řadiči domény spusťte příkaz net start ntfrs.
    • Služba Netlogon není spuštěná Žádosti o přihlášení, registrace, ověřování a vyhledání řadičů domény nebudou v tomto řadiči domény k dispozici. Na ovlivněném řadiči domény spusťte netlogon.
    Služba W32Time není spuštěná Pokud je služba Windows Time Service zastavena, synchronizace data a času nebude k dispozici. Pokud je tato služba zakázaná, všechny služby, které na ní explicitně závisí, se nespustí. Na ovlivněném řadiči domény spusťte příkaz net start win32Time.
    Služba ADWS není spuštěná Pokud je služba Active Directory Web Services zastavená nebo zakázaná, klientské aplikace, jako je například Active Directory PowerShell, nemají přístup k žádným instancím adresářové služby, které jsou spuštěné místně na tomto serveru. Na ovlivněném řadiči domény spusťte příkaz net start adws.
    Kořenový primární řadič domény se nesynchronizuje ze serveru NTP Pokud PDC nenakonfigurujete tak, aby synchronizoval čas z externího nebo interního zdroje času, emulátor PDC používá své interní hodiny a je sám spolehlivým zdrojem času pro forest. Pokud čas na samotném primárním řadiči domény není přesný, budou mít všechny počítače nesprávné nastavení času. Na ovlivněném řadiči domény otevřete příkazový řádek. Zastavení služby Time: net stop w32time
  • Konfigurace externího zdroje času:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Poznámka: Nahraďte time.windows.com adresou požadovaného externího zdroje času. Spusťte službu Time ( Čas):
    net start w32time
    • Řadič domény je v karanténě Tento řadič domény není připojený k žádnému z ostatních funkčních řadičů domény. Příčinou může být nesprávná konfigurace. V důsledku toho se tento řadič domény nepoužívá a nereplikuje se z/do někoho. Povolte příchozí a odchozí replikaci: Na ovlivněném řadiči domény spusťte příkaz repadmin /options ServerName -DISABLE_INBOUND_REPL. Na ovlivněném řadiči domény spusťte příkaz repadmin /options ServerName -DISABLE_OUTBOUND_REPL. Vytvořte nové připojení replikace k jinému řadiči domény:
    1. Otevřete Weby a služby služby Active Directory: V nabídce Start přejděte na Nástroje pro správu a pak vyberte Weby a služby služby Active Directory.
    2. Ve stromu konzoly rozbalte weby a potom rozbalte lokalitu, do které tento řadič domény patří.
    3. Rozbalte kontejner Servery a zobrazte seznam serverů.
    4. Rozbalte objekt serveru pro tento řadič domény.
    5. Pravým tlačítkem myši vyberte objekt Nastavení NTDS a vyberte možnost Nové připojení služby Active Directory Domain Services...
    6. Ze seznamu vyberte Server a vyberte OK.
    Odebrání osamocených domén ze služby Active Directory
    Odchozí replikace je zakázaná. Řadiče domény se zakázanou odchozí replikací nemůžou distribuovat žádné změny pocházející z něj. Pokud chcete povolit odchozí replikaci na ovlivněném řadiči domény, postupujte takto: Vyberte Start, vyberte Spustit, zadejte příkaz cmd a pak vyberte OK. Zadejte následující text a stiskněte klávesu ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Příchozí replikace je zakázaná. Řadiče domény se zakázaným příchozí replikací nebudou mít nejnovější informace. Tato podmínka může vést k chybám přihlášení. Chcete-li povolit příchozí replikaci na ovlivněném řadiči domény, postupujte takto: Vyberte Spustit, vyberte Spustit, zadejte příkaz cmd a pak vyberte OK. Zadejte následující text a stiskněte klávesu ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    Služba LanmanServer není spuštěná Pokud je tato služba zakázaná, všechny služby, které na ní explicitně závisí, se nespustí. Na ovlivněném řadiči domény spusťte příkaz net start LanManServer.
    Služba Kerberos Key Distribution Center není spuštěná Pokud je služba KDC zastavená, nemůžou se uživatelé prostřednictvím tohoto řadiče domény ověřit pomocí ověřovacího protokolu Kerberos v5. Na ovlivněném řadiči domény spusťte příkaz net start kdc.
    Služba DNS není spuštěná Pokud je služba DNS zastavena, počítače a uživatelé používající tento server pro funkci DNS nemohou najít prostředky. Na ovlivněném řadiči domény spusťte příkaz net start dns.
    Řadič domény měl vrácení USN zpět Když dojde ke zpětnému vrácení hodnoty USN, změny objektů a atributů se nereplikují cílovými řadiči domény, které dříve viděly hlavní název uživatele (USN). Vzhledem k tomu, že se tyto cílové řadiče domény domnívají, že jsou aktuální, nejsou v protokolech událostí adresářové služby ani pomocí monitorovacích a diagnostických nástrojů hlášeny žádné chyby replikace. Vrácení USN může ovlivnit replikaci jakýkoli objekt nebo atribut v libovolném oddílu. Nejčastěji pozorovaným vedlejším účinkem je, že uživatelské účty a účty počítačů vytvořené na řadiči domény vrácení zpět neexistují u jednoho nebo více partnerů replikace. Nebo aktualizace hesel, které pocházejí ze zpětného řadiče domény, neexistují u partnerů replikace. Existují dva přístupy k zotavení ze zpětného vrácení USN:

    Odeberte řadič domény z domény následujícím postupem:

    1. Odeberte službu Active Directory z řadiče domény, aby se vynutil, aby byla samostatným serverem. Další informace získáte tak, že vyberete následující číslo článku znalostní báze Microsoft Knowledge Base:
      332199 řadiče domény se při použití Průvodce instalací služby Active Directory k vynucení degradace v systémech Windows Server 2003 a Windows 2000 Server nedegradují plynule.
    2. Ukončete degradovaný server.
    3. Na řadiči domény, který je v pořádku, vyčistěte metadata degradovaného řadiče domény. Další informace získáte tak, že vyberete následující číslo článku znalostní báze Microsoft Knowledge Base:
      216498 Odebrání dat ve službě Active Directory po neúspěšném snížení úrovně řadiče domény
    4. Pokud nesprávně obnovený řadič domény hostuje role hlavního operačního serveru, přeneste tyto role do řadiče domény, který je v pořádku. Další informace získáte tak, že vyberete následující číslo článku znalostní báze Microsoft Knowledge Base:
      255504 použití Ntdsutil.exe k přenosu nebo odebrání rolí FSMO na řadič domény
    5. Restartujte degradovaný server.
    6. Pokud je to potřeba, nainstalujte službu Active Directory na samostatný server znovu.
    7. Pokud byl řadič domény dříve globálním katalogem, nakonfigurujte řadič domény tak, aby byl globálním katalogem. Další informace získáte tak, že vyberete následující číslo článku znalostní báze Microsoft Knowledge Base:
      313994 Vytvoření nebo přesunutí globálního katalogu v systému Windows 2000
    8. Pokud dříve hostovaný řadič domény role hlavního operačního serveru přeneste role hlavního operačního serveru zpět do řadiče domény. Další informace získáte tak, že vyberete následující číslo článku znalostní báze Microsoft Knowledge Base:
      255504 Použití Ntdsutil.exe k přenosu nebo zahodování rolí FSMO do řadiče domény Obnovit stav systému dobré zálohy.

    Vyhodnoťte, jestli pro tento řadič domény existují platné zálohy stavu systému. Pokud byla provedena platná záloha stavu systému před nesprávným obnovením řadiče domény vrácenou zpět a záloha obsahuje nedávné změny provedené na řadiči domény, obnovte stav systému z nejnovější zálohy.

    Snímek můžete použít také jako zdroj zálohy. Nebo můžete databázi nastavit tak, aby se pomocí postupu v části "Obnovení předchozí verze virtuálního pevného disku virtuálního řadiče domény bez zálohování dat o stavu systému" v tomto článku použilo nové ID vyvolání.

    Další kroky