Teilen über

Microsoft Entra Connect Health-Warnungskatalog

  • Artikel

Vom Microsoft Entra Connect Health-Dienst gesendete Warnungen weisen darauf hin, dass die Identitätsinfrastruktur nicht fehlerfrei ist. Dieser Artikel enthält die Titel und Beschreibungen der Warnungen sowie Schritte zur Wiederherstellung für jede Warnung.
„Fehler“, „Warnung“ und „Vorwarnung“ sind drei Warnungsstufen, die vom Connect Health-Dienst generiert werden. Wir empfehlen dringend, sofortige Maßnahmen zu ergreifen, wenn Warnungen ausgelöst werden.
Microsoft Entra Connect Health-Warnungen-Warnungen werden basierend auf einer Erfolgsbedingung aufgelöst. Microsoft Entra Connect Health-Agenten erkennen und melden die Erfolgsbedingungen in regelmäßigen Abständen an den Dienst. Bei einigen Warnungen gilt eine zeitbasierte Unterdrückung. Mit anderen Worten, wenn dieselbe Fehlerbedingung nicht innerhalb von 72 Stunden nach Generierung der Warnung festgestellt wird, wird die Warnung automatisch behoben.

Allgemeine Warnungen

Name der Warnung BESCHREIBUNG Wiederherstellung
Die Daten des Integritätsdiensts sind nicht aktuell. Mindestens ein Integritäts-Agent, der auf mindestens einem Server ausgeführt werden, ist nicht mit dem Integritätsdienst verbunden, und der Integritätsdienst empfängt nicht die neuesten Daten von diesem Server. Die letzten Daten, die vom Integritätsdienst verarbeitet wurden, sind älter als zwei Stunden. Stellen Sie sicher, dass die Integritäts-Agents ausgehende Verbindungen mit den erforderlichen Dienstendpunkten herstellen können. Weitere Informationen

Warnungen für Microsoft Entra Connect (Sync)

Name der Warnung BESCHREIBUNG Wiederherstellung
Microsoft Entra Connect Sync Service wird nicht ausgeführt Der Windows-Dienst „Microsoft Entra ID Sync“ wird nicht ausgeführt oder konnte nicht gestartet werden. Daher werden Objekte nicht mit Microsoft Entra ID synchronisiert. Starten der Microsoft Entra ID-Synchronisierungsdienste
  1. Wählen Sie Start, dann Ausführen aus. Geben Sie services.msc ein, und wählen Sie dann die OK aus.
  2. Suchen Sie nach dem Microsoft Entra ID-Synchronisierungsdienst und prüfen Sie dann, ob der Dienst gestartet wurde. Wenn der Dienst nicht gestartet wird, wählen Sie ihn mit der rechten Maustaste aus und wählen Sie dann Start aus.
Fehler beim Importieren aus Microsoft Entra ID Fehler beim Importvorgang von Microsoft Entra Connector. Prüfen Sie die Ereignisprotokolle für den Importvorgang auf zusätzliche Details.
Fehler bei der Verbindung mit Microsoft Entra ID aufgrund eines Authentifizierungsfehlers Fehler bei der Verbindung mit Microsoft Entra ID aufgrund eines Authentifizierungsfehlers. Daher werden Objekte nicht mit Microsoft Entra ID synchronisiert. Prüfen Sie die Ereignisprotokolle auf zusätzliche Details.
Fehler beim Exportieren nach Active Directory Fehler beim Exportvorgang in Active Directory Connector. Prüfen Sie die Ereignisprotokolle für den Exportvorgang auf zusätzliche Details.
Fehler beim Importieren aus Active Directory Fehler beim Importieren aus Active Directory. Daher könnten Objekte aus einigen Bereichen dieses Waldes möglicherweise nicht importiert werden.
  • Überprüfen Sie die DC-Konnektivität.
  • Führen Sie den Import erneut manuell aus.
  • Prüfen Sie die Ereignisprotokolle für den Importvorgang auf zusätzliche Details.
    		•
    Fehler beim Exportieren nach Microsoft Entra ID Fehler beim Exportvorgang in Microsoft Entra Connector. Daher werden einige Objekte möglicherweise nicht erfolgreich in die Microsoft Entra-ID exportiert. Prüfen Sie die Ereignisprotokolle für den Exportvorgang auf zusätzliche Details.
    Das Taktsignal der Kennworthashsynchronisierung wurde in den letzten 120 Minuten übersprungen. Die Kennwort-Hashsynchronisierung hat in den letzten 120 Minuten keine Verbindung mit Microsoft Entra ID hergestellt. Daher werden Kennwörter nicht mit Microsoft Entra-ID synchronisiert. Neustarten der Microsoft Entra ID-Synchronisierungsdienste:
    Alle derzeit ausgeführten Synchronisierungsvorgänge werden unterbrochen. Sie können die unten aufgeführten Schritte durchführen, wenn gerade kein Synchronisierungsvorgang ausgeführt wird.
    1. Wählen Sie Start, dann Ausführen aus. Geben Sie services.msc ein, und wählen Sie dann die OK aus.
    2. Suchen Sie nach Microsoft Entra ID Sync, wählen Sie es mit der rechten Maustaste aus und wählen Sie dann Neu starten aus.
    Es wurde eine hohe CPU-Nutzung erkannt. Der Prozentsatz der CPU-Nutzung auf diesem Server hat den empfohlenen Schwellenwert überschritten.
  • Es handelt sich möglicherweise um eine vorübergehende Spitze in der CPU-Nutzung. Bitte überprüfen Sie den CPU-Nutzungstrend im Abschnitt „Überwachung“.
  • Untersuchen Sie die Hauptprozesse, die den größten Anteil der CPU auf dem Server verbrauchen.
    1. Sie können den Task-Manager verwenden oder den folgenden PowerShell-Befehl ausführen:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Wenn unerwartete Prozesse einen großen CPU-Anteil beanspruchen, beenden Sie diese Prozesse mithilfe des folgenden PowerShell-Befehls:
      stop-process -ProcessName [Name des Prozesses]
  • Wenn die in der vorherigen Liste angezeigten Prozesse die vorgesehenen Prozesse sind, die auf dem Server ausgeführt werden und der CPU-Verbrauch kontinuierlich nahe dem Schwellenwert liegt, sollten Sie die Bereitstellungsanforderungen dieses Servers neu bewerten.
  • Als fail-safe-Option können Sie den Server neu starten.
    		•
    Es wurde eine hohe Arbeitsspeichernutzung erkannt. Der Prozentsatz der Arbeitsspeichernutzung des Servers liegt über dem empfohlenen Schwellenwert. Untersuchen Sie die Prozesse, die die größte Menge an Arbeitsspeicher auf dem Server belegen. Sie können den Task-Manager verwenden oder den folgenden PowerShell-Befehl ausführen:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Wenn unerwartete Prozesse viel Arbeitsspeicher verbrauchen, beenden Sie die Prozesse mit dem folgenden PowerShell-Befehl:
    stop-process -ProcessName [Name des Prozesses]
  • Wenn die in der vorherigen Liste angezeigten Prozesse die vorgesehenen Prozesse sind, die auf dem Server ausgeführt werden, sollten Sie die Bereitstellungsanforderungen dieses Servers neu bewerten.
  • Als failsafe-Option können Sie den Server neu starten.
    		•
    Die Kennworthashsynchronisierung wird nicht mehr ausgeführt Die Kennworthashsynchronisierung wurde beendet. Daher werden Kennwörter nicht mit Microsoft Entra-ID synchronisiert. Neustarten der Microsoft Entra ID-Synchronisierungsdienste:
    Alle derzeit ausgeführten Synchronisierungsvorgänge werden unterbrochen. Sie können die unten aufgeführten Schritte durchführen, wenn gerade kein Synchronisierungsvorgang ausgeführt wird.
    1. Wählen Sie Start, dann Ausführen aus. Geben Sie services.msc ein, und wählen Sie dann die OK aus.
    2. Suchen Sie nach Microsoft Entra ID Sync, wählen Sie es mit der rechten Maustaste aus und wählen Sie dann Neu starten aus.
    Der Export nach Microsoft Entra ID wurde beendet. Der Schwellenwert für versehentliches Löschen wurde erreicht. Fehler beim Exportvorgang an die Microsoft Entra-ID. Es wurden mehr Objekte zum Löschen angegeben, als der konfigurierte Schwellenwert zulässt. Es wurden keine Objekte exportiert. Die Anzahl der zum Löschen markierten Objekte ist größer als der festgelegte maximal festgelegte Schwellenwert. Informationen zum Auswerten der ausstehenden Objekte finden Sie unter Versehentliches Löschen verhindern.

    Warnungen für Active Directory-Verbunddienste (AD FS)

    Name der Warnung BESCHREIBUNG Wiederherstellung
    Fehler der Testauthentifizierungsanforderungen (synthetischen Transaktionen) beim Abrufen eines Tokens Die von diesem Server initiierten Testauthentifizierungsanforderungen (synthetische Transaktionen) konnten nach fünf Wiederholungen ein Token nicht abrufen. Dies kann aufgrund vorübergehender Netzwerkprobleme, der Verfügbarkeit des AD DS-Domänencontrollers oder eines falsch konfigurierten AD FS-Servers verursacht werden. Daher können vom Verbunddienst verarbeitete Authentifizierungsanforderungen fehlschlagen. Beachten Sie, dass der Agent den Kontext des lokalen Computerkontos zum Abrufen eines Tokens vom Verbunddienst verwendet. Stellen Sie sicher, dass die folgenden Schritte ausgeführt werden, um die Integrität des Servers zu überprüfen.
    1. Vergewissern Sie sich, dass keine weiteren nicht aufgelösten Warnungen für diesen oder andere AD FS-Server in Ihrer Farm vorhanden sind.
    2. Überprüfen Sie, ob diese Bedingung kein vorübergehender Fehler ist, indem Sie sich mit einem Testbenutzer auf der AD FS-Anmeldeseite anmelden, die unter https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx zugänglich ist.
    3. Navigieren Sie zu https://testconnectivity.microsoft.com, und wählen Sie die Registerkarte „Office 365“ aus. Führen Sie den „Office 365-Test für einmaliges Anmelden“ aus.
    4. Stellen Sie sicher, dass Ihr AD FS-Dienstname von diesem Server aus aufgelöst werden kann, indem Sie den folgenden Befehl an einer Befehlszeile auf diesem Server ausführen. nslookup your_adfs_server_name

    Wenn der Dienstname nicht aufgelöst werden kann, lesen Sie den Abschnitt mit den häufig gestellten Fragen. Dort finden Sie Anweisungen zum Hinzufügen eines HOST-Dateieintrags für Ihren AD FS-Dienst mit der IP-Adresse dieses Servers. Dadurch kann das auf diesem Server ausgeführte synthetische Transaktionsmodul ein Token anfordern.
    Der Proxyserver kann den Verbundserver nicht erreichen. Dieser AD FS-Proxyserver kann keine Verbindung mit dem AD FS-Dienst herstellen. Daher schlagen die von diesem Server verarbeiteten Authentifizierungsanforderungen fehl. Führen Sie die folgenden Schritte aus, um die Verbindung zwischen diesem Server und dem AD FS-Dienst zu überprüfen.
    1. Stellen Sie sicher, dass die Firewall zwischen diesem Server und dem AD FS-Dienst ordnungsgemäß konfiguriert ist.
    2. Stellen Sie sicher, dass die DNS-Auflösung für den AD FS-Dienstnamen ordnungsgemäß auf den AD FS-Dienst verweist, der sich im Unternehmensnetzwerk befindet. Dies kann durch einen DNS-Server, der Anforderungen dieses Servers im Umkreisnetzwerk verarbeitet, oder durch Einträge in den HOSTS-Dateien für den AD FS-Dienstnamen erreicht werden.
    3. Überprüfen Sie die Netzwerkverbindung, indem Sie den Browser auf diesem Server öffnen und auf den Verbundmetadaten-Endpunkt unter https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml zugreifen.
    Das SSL-Zertifikat läuft bald ab. Das von den Verbundservern verwendete TLS/SSL-Zertifikat läuft innerhalb von 90 Tagen ab. Nach Ablauf einer erforderlichen gültigen TLS-Verbindung schlagen alle Anfragen fehl. Beispielsweise können sich E-Mail-Clients für Microsoft 365-Kunden nicht authentifizieren. Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.
    1. Rufen Sie das TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
      1. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
      2. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“
    2. Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.
    3. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.

    Für AD FS 2.0 in Windows Server 2008R2:

    • Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

    AD FS in Windows Server 2012 R2 und höheren Versionen:

  • Lesen Sie Verwalten von SSL-Zertifikaten in AD FS und WAP.
    • Der AD FS-Dienst wird nicht auf dem Server ausgeführt. Der Active Directory-Verbunddienst (Windows-Dienst) wird auf diesem Server nicht ausgeführt. Alle Anforderungen, die auf diesen Server abzielen, schlagen fehl. So starten Sie den Active Directory-Verbunddienst (Windows-Dienst):
    1. Melden Sie sich beim Server als Administrator an.
    2. Öffnen Sie „Services.msc“.
    3. Suchen Sie nach „Active Directory Verbunddiensten (AD FS)“
    4. Klicken Sie mit der rechten Maustaste, und wählen Sie anschließend „Starten“ aus
    DNS für den Verbunddienst ist möglicherweise falsch konfiguriert. Der DNS-Server ist möglicherweise so konfiguriert, dass er einen CNAME-Eintrag für den AD FS-Farmnamen verwendet. Es wird empfohlen, einen A- oder AAAA-Eintrag für AD FS zu verwenden, damit die integrierte Windows-Authentifizierung nahtlos in Ihrem Unternehmensnetzwerk funktioniert. Stellen Sie sicher, dass der DNS-Eintragstyp der AD FS-Farm <Farm Name> nicht CNAME ist. Konfigurieren Sie ihn als einen A- oder AAAA-Eintrag.
    AD FS-Überwachung ist deaktiviert. AD FS-Überwachung ist für diesen Server deaktiviert. Der Abschnitt „AD FS-Verwendung“ im Portal enthält keine Daten von diesem Server. Wenn AD FS-Überwachungen nicht aktiviert sind, führen Sie die folgenden Anweisungen aus:
    1. Erteilen Sie dem AD FS-Dienstkonto die Berechtigung „Generieren von Sicherheitsüberwachungen“ auf dem AD FS-Server.
    2. Öffnen Sie die lokale Sicherheitsrichtlinie „gpedit.msc“ auf dem Server.
    3. Navigieren Sie zu „Computerkonfiguration\Windows-Einstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten“.
    4. Fügen Sie das AD FS-Dienstkonto so hinzu, dass es über die Berechtigung „Generieren von Sicherheitsüberwachungen“ verfügt.
    5. Führen Sie den folgenden Befehl an der Eingabeaufforderung aus:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Aktualisieren Sie die Eigenschaften des Verbunddiensts so, dass Erfolgs- und Fehlerüberwachungen enthalten sind.
    7. Wählen Sie in der AD FS-Konsole „Verbunddiensteigenschaften bearbeiten“ aus
    8. Wählen Sie zunächst im Dialogfeld „Verbunddiensteigenschaften“ die Registerkarte „Ereignisse“ und dann „Erfolgsüberwachungen“ und „Fehlerüberwachungen“ aus

    Nachdem Sie diese Schritte ausgeführt haben, sollten AD FS-Überwachungsereignisse in der Ereignisanzeige angezeigt werden. So überprüfen Sie dies:

    1. Navigieren Sie zu „Ereignisanzeige/Windows-Protokolle/Sicherheit“.
    2. Wählen Sie „Aktuelle Protokolle filtern“ und dann im Dropdownmenü „Ereignisquellen“ die Option „AD FS-Überwachung“ aus. Für einen aktiven AD FS-Server mit aktivierter AD FS-Überwachung sollten Ereignisse für die Filterung sichtbar sein.

    Wenn Sie diese Schritte zuvor bereits ausgeführt haben, die Warnung jedoch noch immer angezeigt wird, deaktiviert ein Gruppenrichtlinienobjekt möglicherweise die AD FS-Überwachung. Eine der folgenden Ursachen kann zugrunde liegen:

    1. Die Berechtigung „Generieren von Sicherheitsüberwachungen“ des AD FS-Dienstkontos wurde entfernt.
    2. Ein benutzerdefiniertes Skript im Gruppenrichtlinienobjekt deaktiviert Erfolgs- und Fehlerüberwachungen basierend auf „Anwendung wurde generiert“.
    3. Die AD FS-Konfiguration ist nicht für das Generieren von Erfolgs-/Fehlerüberwachungen aktiviert.
    Das AD FS-SSL-Zertifikat ist selbstsigniert. Sie verwenden zurzeit ein selbstsigniertes Zertifikat als das TLS/SSL-Zertifikat in Ihrer AD FS-Farm. Daher schlägt die E-Mail-Clientauthentifizierung für Microsoft 365 fehl.

    Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.

    1. Rufen Sie ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
    2. Die Zertifikatinstallationsdatei enthält den privaten Schlüssel des Zertifikats.
    3. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
    4. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“

    Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.

      Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.
      Für AD FS 2.0 in Windows Server 2008R2:
    1. Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

      2. AD FS in Windows Server 2012 R2 oder höheren Versionen:
    2. Lesen Sie Verwalten von SSL-Zertifikaten in AD FS und WAP.
    Die Vertrauensstellung zwischen dem Proxyserver und dem Verbundserver ist ungültig. Die Vertrauensstellung zwischen dem Verbundserverproxy und dem Verbunddienst konnte nicht eingerichtet oder erneuert werden. Aktualisieren Sie das vertrauenswürdige Proxyzertifikat auf dem Proxyserver. Führen Sie den Proxykonfigurations-Assistenten erneut aus.
    Extranetsperrschutz für AD FS deaktiviert Das Extranetsperrschutz-Feature ist für Ihre AD FS Farm DEAKTIVIERT. Dieses Feature schützt Ihre Benutzer vor Brute-Force-Kennwortangriffen aus dem Internet und verhindert Denial-of-Service-Angriffe gegen Ihre Benutzer, wenn die AD DS-Kontosperrungsrichtlinien in Kraft sind. Wenn diese Funktion aktiviert ist, überschreitet die Anzahl der fehlgeschlagenen Extranetanmeldungsversuche für einen Benutzer (Anmeldeversuche über WAP-Server und AD FS) die 'ExtranetLockoutThreshold', dann werden ad FS-Server keine weiteren Anmeldeversuche mehr für "ExtranetObservationWindow" verarbeiten. Wir empfehlen dringend, dieses Feature auf Ihren AD FS-Servern zu aktivieren. Führen Sie folgenden Befehl aus, um den AD FS-Extranetsperrschutz mit den Standardwerten zu aktivieren.
    Set-AdfsProperties -EnableExtranetLockout $true

    Wenn Sie AD-Sperrrichtlinien für Ihre Benutzer konfiguriert haben, stellen Sie sicher, dass die Eigenschaft ExtranetLockoutThreshold auf einen Wert festgelegt ist, der unter Ihrem AD DS-Sperrschwellenwert liegt. So wird sichergestellt, dass Anforderungen, die den Schwellenwert für AD FS überschritten haben, gelöscht und niemals anhand Ihrer AD DS Server überprüft werden.
    Ungültiger Dienstprinzipalname (Service Principal Name, SPN) für das AD FS-Dienstkonto Der Dienstprinzipalname des Verbundserverkontos ist nicht registriert oder nicht eindeutig. Daher ist die integrierte Windows-Authentifizierung von in die Domäne eingebundenen Clients möglicherweise nicht nahtlos. Verwenden Sie [SETSPN -L ServiceAccountName], um die Dienstprinzipale aufzulisten.
    Verwenden Sie [SETSPN -X], um zu überprüfen, ob Dienstprinzipalnamen doppelt vorhanden sind.

    Wenn der SPN für das AD FS-Dienstkonto doppelt vorhanden ist, entfernen Sie den SPN mit [SETSPN -d service/namehostname] aus dem doppelten Konto.

    Wenn der SPN nicht festgelegt ist, verwenden Sie [SETSPN -s {Desired-SPN} {domain_name}{service_account}], um den gewünschten SPN für das Verbunddienstkonto festzulegen.
    Das primäre AD FS-Tokenentschlüsselungszertifikat läuft bald ab. Das primäre AD FS-Tokenentschlüsselungszertifikat läuft in weniger als 90 Tagen ab. AD FS kann Token von vertrauenswürdigen Anspruchsanbietern nicht entschlüsseln. AD FS kann verschlüsselte SSO-Cookies nicht entschlüsseln. Die Endbenutzer können sich nicht für den Zugriff auf Ressourcen authentifizieren. Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat.

    Wenn Sie Ihr Zertifikat manuell verwalten, folgen Sie bitte den unten stehenden Anweisungen. Rufen Sie ein neues Tokenentschlüsselungszertifikat ab.

    1. Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) „Schlüsselverschlüsselung“ enthält
    2. Für den Antragsteller oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
    3. Bitte denken Sie daran, dass Ihre Verbundserver und Anspruchsanbieterpartner in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokenentschlüsselungszertifikat überprüfen.
    Entscheiden Sie, wie Ihre Anspruchsanbieterpartner dem neuen Tokenentschlüsselungszertifikat vertrauen.
    1. Bitten Sie die Partner, die Verbundmetadaten nach dem Aktualisieren des Zertifikats mithilfe von Pull zu übertragen.
    2. Geben Sie den öffentlichen Schlüssel des neuen Zertifikats (CER-Datei) für die Partner frei. Starten Sie auf dem AD FS-Server des Anspruchsanbieterpartners die AD FS-Verwaltung über das Menü „Verwaltung“. Wählen Sie unter „Vertrauensstellungen/Vertrauensstellungen der vertrauenden Seite“ die Vertrauensstellung aus, die für Sie erstellt wurde. Wählen Sie unter „Eigenschaften/Verschlüsselung“ „Durchsuchen“, um das neue Tokenentschlüsselungszertifikat auszuwählen, und wählen Sie dann „OK“.
    Installieren Sie das Zertifikat im lokalen Zertifikatspeicher auf jedem Verbundserver.
    • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat.Fügen Sie das neue Zertifikat AD FS hinzu.
    1. Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
    2. Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
    3. Wählen Sie im Aktionsbereich „Tokenentschlüsselungszertifikat hinzufügen“
    4. Es wird eine Liste der Zertifikate angezeigt, die für die Tokenentschlüsselung gültig sind. Wenn Sie feststellen, dass Ihr neues Zertifikat nicht in der Liste enthalten ist, müssen Sie zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers mit einem privaten Schlüssel befindet und das Zertifikat über die Schlüssel-Enzipherment als erweiterte Schlüsselverwendung verfügt.
    5. Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, und wählen Sie dann „OK“.
    Legen Sie das neue Tokenentschlüsselungszertifikat als primäres Zertifikat fest.
    1. Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokenentschlüsselung“ aufgelistet werden: das vorhandene und das neue Zertifikat.
    2. Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus.
    3. Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für das Einrollen benötigt wird, oder wenn das Zertifikat abgelaufen ist.
    The Primary AD FS Token Signing certificate is about to expire (Das primäre AD FS-Tokensignaturzertifikat läuft bald ab.) Das AD FS-Tokensignaturzertifikat läuft innerhalb von 90 Tagen ab. AD FS kann keine signierten Token ausstellen, wenn dieses Zertifikat nicht gültig ist. Rufen Sie ein neues Tokensignaturzertifikat ab.
    1. Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (EKU) „Digitale Signatur“ enthält
    2. Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
    3. Bitte denken Sie daran, dass Ihre Verbundserver, Ihre Ressourcenpartner-Verbundserver und die Anwendungsserver der vertrauenden Seite in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokensignaturzertifikat überprüfen.
    Installieren Sie das Zertifikat im lokalen Zertifikatspeicher jedes Verbundservers.
    • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat.Fügen Sie das neue Zertifikat AD FS hinzu.
    1. Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
    2. Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
    3. Wählen Sie im Aktionen-Bereich "Zertifikat Token-Signing hinzufügen..."
    4. Es wird eine Liste der Zertifikate angezeigt, die für die Tokensignatur gültig sind. Wenn Sie feststellen, dass Ihr neues Zertifikat nicht in der Liste enthalten ist, müssen Sie zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers mit privatem Schlüssel befindet und das Zertifikat über die digitale Signatur KU verfügt.
    5. Wählen Sie Ihr neues Tokensignaturzertifikat aus, und wählen Sie dann „OK“
    Informieren Sie alle vertrauenden Seiten über die Änderung im Tokensignaturzertifikat.
    1. Vertrauende Seiten, die AD FS-Verbundmetadaten nutzen, müssen mithilfe von Pull die neuen Verbundmetadaten übertragen, um das neue Zertifikat verwenden zu können.
    2. Vertrauende Seiten, die KEINE AD FS-Verbundmetadaten nutzen, müssen den öffentlichen Schlüssel des neuen Tokensignaturzertifikats manuell aktualisieren. Geben Sie die CER-Datei für die vertrauenden Seiten frei.
      3. Legen Sie das neue Tokensignaturzertifikat als primäres Zertifikat fest.
      1. Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokensignatur“ aufgelistet werden: das vorhandene und das neue Zertifikat.
      2. Wählen Sie Ihr neues Tokensignaturzertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus
      3. Behalten Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat bei. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es für den Rollover nicht mehr benötigt wird oder wenn das Zertifikat abgelaufen ist. Bitte denken Sie daran, dass die SSO-Sitzungen aktueller Benutzer signiert sind. Aktuelle AD FS-Proxyvertrauensstellungen verwenden Token, die mithilfe des alten Zertifikats signiert und verschlüsselt wurden.
    Das AD FS-SSL-Zertifikat wurde im lokalen Zertifikatspeicher nicht gefunden. Das Zertifikat mit dem Fingerabdruck, der als TLS/SSL-Zertifikat in der AD FS-Datenbank konfiguriert ist, wurde im lokalen Zertifikatspeicher nicht gefunden. Daher schlägt jede Authentifizierungsanforderung über tls fehl. Die E-Mail-Clientauthentifizierung für Microsoft 365 schlägt z. B. fehl. Installieren Sie das Zertifikat mit dem konfigurierten Fingerabdruck im lokalen Zertifikatspeicher.
    Das SSL-Zertifikat ist abgelaufen. Das TLS/SSL-Zertifikat für den AD FS-Dienst ist abgelaufen. Daher tritt bei allen Authentifizierungsanforderungen, die eine gültige TLS-Verbindung erfordern, ein Fehler auf. Beispiel: Die E-Mail-Clientauthentifizierung kann sich nicht für Microsoft 365 authentifizieren. Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.
    1. Rufen Sie das TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
    2. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
    3. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“
    4. Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.
    5. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.

    Für AD FS 2.0 in Windows Server 2008R2:

    • Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

    AD FS in Windows Server 2012 R2 oder höheren Versionen: Weitere Informationen finden Sie unter: Verwalten von SSL-Zertifikaten in AD FS und WAP

    Die erforderlichen Endpunkte für Microsoft Entra ID (für Microsoft 365) sind nicht aktiviert Die folgenden für Exchange Online Services, Microsoft Entra ID und Microsoft 365 erforderlichen Endpunkte sind für den Verbunddienst nicht aktiviert:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Aktivieren Sie die Endpunkte für die Microsoft Cloud Services für Ihren Verbunddienst.
    AD FS in Windows Server 2012 R2 oder höheren Versionen
  • Weitere Informationen finden Sie unter: Verwalten von SSL-Zertifikaten in AD FS und WAP

    • Der Verbundserver konnte keine Verbindung mit der AD FS-Konfigurationsdatenbank herstellen. Probleme des AD FS-Dienstkontos beim Herstellen einer Verbindung mit der AD FS-Konfigurationsdatenbank. Daher funktioniert der AD FS-Dienst auf diesem Computer möglicherweise nicht wie erwartet.
  • Stellen Sie sicher, dass das AD FS-Dienstkonto Zugriff auf die Konfigurationsdatenbank hat.
  • Stellen Sie sicher, dass der AD FS-Konfigurationsdatenbankdienst verfügbar und erreichbar ist.
    • Erforderliche SSL-Bindungen fehlen oder sind nicht konfiguriert. Die TLS-Bindungen, die erforderlich sind, damit dieser Verbundserver die Authentifizierung erfolgreich ausführen kann, sind falsch konfiguriert. AD FS kann keine eingehenden Anforderungen verarbeiten. Für Windows Server 2012 R2
    Öffnen Sie eine Administratoreingabeaufforderung mit erhöhten Rechten, und führen Sie dann die folgenden Befehle aus:
    1. So zeigen Sie die aktuelle TLS-Bindung an Get-AdfsSslCertificate
    2. So fügen Sie neue Bindungen hinzu: netsh http add sslcert hostnameport=<Partnerverbunddienstname>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Das primäre AD FS-Tokensignaturzertifikat ist abgelaufen. Das AD FS-Tokensignaturzertifikat ist abgelaufen. AD FS kann keine signierten Token ausstellen, wenn dieses Zertifikat nicht gültig ist. Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS die Aktualisierung des Tokensignaturzertifikats.

    Wenn Sie Ihr Zertifikat manuell verwalten, folgen Sie bitte den unten stehenden Anweisungen.

    1. Rufen Sie ein neues Tokensignaturzertifikat ab.
      1. Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (EKU) „Digitale Signatur“ enthält
      2. Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
      3. Bitte denken Sie daran, dass Ihre Verbundserver, Ihre Ressourcenpartner-Verbundserver und die Anwendungsserver der vertrauenden Seite in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokensignaturzertifikat überprüfen.
    2. Installieren Sie das Zertifikat im lokalen Zertifikatspeicher jedes Verbundservers.
      • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    3. Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat.
    4. Fügen Sie das neue Zertifikat AD FS hinzu.
      1. Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
      2. Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
      3. Wählen Sie im Aktionen-Bereich "Zertifikat Token-Signing hinzufügen..."
      4. Es wird eine Liste der Zertifikate angezeigt, die für die Tokensignatur gültig sind. Wenn Sie feststellen, dass Ihr neues Zertifikat nicht in der Liste enthalten ist, müssen Sie zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers mit privatem Schlüssel befindet und das Zertifikat über die digitale Signatur KU verfügt.
      5. Wählen Sie Ihr neues Tokensignaturzertifikat aus, und wählen Sie dann „OK“
    5. Informieren Sie alle vertrauenden Seiten über die Änderung im Tokensignaturzertifikat.
      1. Vertrauende Seiten, die AD FS-Verbundmetadaten nutzen, müssen mithilfe von Pull die neuen Verbundmetadaten übertragen, um das neue Zertifikat verwenden zu können.
      2. Vertrauende Seiten, die KEINE AD FS-Verbundmetadaten nutzen, müssen den öffentlichen Schlüssel des neuen Tokensignaturzertifikats manuell aktualisieren. Geben Sie die CER-Datei für die vertrauenden Seiten frei.
    6. Legen Sie das neue Tokensignaturzertifikat als primäres Zertifikat fest.
      1. Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokensignatur“ aufgelistet werden: das vorhandene und das neue Zertifikat.
      2. Wählen Sie Ihr neues Tokensignaturzertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus
      3. Behalten Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat bei. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es für den Rollover nicht mehr benötigt wird oder wenn das Zertifikat abgelaufen ist. Bitte denken Sie daran, dass die SSO-Sitzungen aktueller Benutzer signiert sind. Aktuelle AD FS-Proxyvertrauensstellungen verwenden Token, die mithilfe des alten Zertifikats signiert und verschlüsselt wurden.
    Der Proxyserver löscht Anforderungen für die Überlastungssteuerung. Dieser Proxyserver löscht zurzeit Anforderungen aus dem Extranet aufgrund einer Latenz zwischen diesem Proxyserver und dem Verbundserver, die höher als normal ist. Für einen bestimmten Teil der Authentifizierungsanforderungen, die vom AD FS-Proxyserver verarbeitet werden, kann ein Fehler auftreten.
  • Überprüfen Sie, ob die Netzwerklatenz zwischen dem Verbundproxyserver und den Verbundservern im akzeptablen Bereich liegt. Trendwerte für die „Tokenanforderungslatenz“ finden Sie im Abschnitt „Überwachung“. Eine Wartezeit von mehr als 1.500 ms sollte als hohe Latenz betrachtet werden. Wenn eine hohe Latenz beobachtet wird, stellen Sie sicher, dass für das Netzwerk zwischen AD FS und AD FS-Proxyservern keine Verbindungsprobleme vorliegen.
  • Stellen Sie sicher, dass die Verbundserver nicht durch Authentifizierungsanforderungen überlastet werden. Im Abschnitt „Überwachung“ finden Sie Trendansichten für die Tokenanforderungen pro Sekunde, die CPU-Nutzung und die Arbeitsspeichernutzung.
  • Wenn die oben genannten Punkte überprüft wurden und das Problem weiterhin besteht, passen Sie die Einstellung zur Vermeidung von Überlastungen auf jedem der Verbundproxyserver gemäß den Richtlinien unter den entsprechenden Links an.
    		•
    Dem AD FS-Dienstkonto wird der Zugriff auf einen der privaten Schlüssel des Zertifikats verweigert. Das AD FS-Dienstkonto hat keinen Zugriff auf den privaten Schlüssel eines der AD FS-Zertifikate auf diesem Computer. Stellen Sie sicher, dass das AD FS-Dienstkonto Zugriff auf die TLS-, Tokensignatur- und Tokenentschlüsselungszertifikate hat, die im Zertifikatspeicher des lokalen Computers gespeichert sind.
    1. Geben Sie in der Befehlszeile „MMC“ ein.
    2. Navigieren Sie zu „Datei -> Snap-In hinzufügen/entfernen“.
    3. Wählen Sie „Zertifikate“ und dann „Hinzufügen“ aus. -> Computerkonto auswählen und auf "Weiter" klicken. –> Wählen Sie „Lokaler Computer“ und „Fertig stellen“ aus. Wählen Sie „OK“ aus.

    Öffnen Sie „Certificates(Local Computer)/Personal/Certificates“. Gehen Sie für alle von AD FS verwendeten Zertifikate folgendermaßen vor:
    1. Wählen Sie das Zertifikat mit der rechten Maustaste aus.
    2. Wählen Sie „Alle Aufgaben -> Private Schlüssel verwalten“ aus.
    3. Stellen Sie auf der Registerkarte „Sicherheit“ unter „Gruppen- oder Benutzernamen“ sicher, dass das AD FS-Dienstkonto vorhanden ist. Ist dies nicht der Fall, wählen Sie „Hinzufügen“ aus, und fügen Sie dann das AD FS-Dienstkonto hinzu.
    4. Wählen Sie das AD FS-Dienstkonto aus, und stellen Sie dann unter „Berechtigungen für <Name des AD FS-Dienstkontos>“ sicher, dass „Leseberechtigung“ aktiviert ist (Häkchen).
    Das AD FS-SSL-Zertifikat besitzt keinen privaten Schlüssel. Das AD FS-TLS/SSL-Zertifikat wurde ohne einen privaten Schlüssel installiert. Daher schlägt jede Authentifizierungsanforderung über ssl fehl. Beispielsweise schlägt die E-Mail-Clientauthentifizierung für Microsoft 365 fehl. Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.
    1. Rufen Sie ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
      1. Die Zertifikatinstallationsdatei enthält den privaten Schlüssel des Zertifikats.
      2. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
      3. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“
    2. Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.
    3. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.

    Für AD FS 2.0 in Windows Server 2008R2:

    • Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

    AD FS in Windows Server 2012 R2 oder höheren Versionen:

  • Weitere Informationen finden Sie unter: Verwalten von SSL-Zertifikaten in AD FS und WAP
    • Das primäre AD FS-Token-Entschlüsselungszertifikat ist abgelaufen. Das primäre AD FS-Token-Entschlüsselungszertifikat ist abgelaufen. AD FS kann Token von vertrauenswürdigen Anspruchsanbietern nicht entschlüsseln. AD FS kann verschlüsselte SSO-Cookies nicht entschlüsseln. Die Endbenutzer können sich nicht für den Zugriff auf Ressourcen authentifizieren.

    Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat.

    Wenn Sie Ihr Zertifikat manuell verwalten, folgen Sie bitte den unten stehenden Anweisungen.

    1. Rufen Sie ein neues Tokenentschlüsselungszertifikat ab.
      • Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) „Schlüsselchiffrierung“ enthält.
      • Für den Antragsteller oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
      • Bitte denken Sie daran, dass Ihre Verbundserver und Anspruchsanbieterpartner in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokenentschlüsselungszertifikat überprüfen.
    2. Entscheiden Sie, wie Ihre Anspruchsanbieterpartner dem neuen Tokenentschlüsselungszertifikat vertrauen.
      • Bitten Sie die Partner, die Verbundmetadaten nach dem Aktualisieren des Zertifikats mithilfe von Pull zu übertragen.
      • Geben Sie den öffentlichen Schlüssel des neuen Zertifikats (CER-Datei) für die Partner frei. Starten Sie auf dem AD FS-Server des Anspruchsanbieterpartners die AD FS-Verwaltung über das Menü „Verwaltung“. Wählen Sie unter „Vertrauensstellungen/Vertrauensstellungen der vertrauenden Seite“ die Vertrauensstellung aus, die für Sie erstellt wurde. Wählen Sie unter „Eigenschaften/Verschlüsselung“ „Durchsuchen“, um das neue Tokenentschlüsselungszertifikat auszuwählen, und wählen Sie dann „OK“.
    3. Installieren Sie das Zertifikat im lokalen Zertifikatspeicher auf jedem Verbundserver.
      • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    4. Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat.
    5. Fügen Sie das neue Zertifikat AD FS hinzu.
      • Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
      • Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
      • Wählen Sie im Aktionsbereich „Tokenentschlüsselungszertifikat hinzufügen“
      • Es wird eine Liste der Zertifikate angezeigt, die für die Tokenentschlüsselung gültig sind. Wenn Sie feststellen, dass Ihr neues Zertifikat nicht in der Liste enthalten ist, müssen Sie zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers mit einem privaten Schlüssel befindet und das Zertifikat über die Schlüssel-Enzipherment als erweiterte Schlüsselverwendung verfügt.
      • Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, und wählen Sie dann „OK“.
    6. Legen Sie das neue Tokenentschlüsselungszertifikat als primäres Zertifikat fest.
      • Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokenentschlüsselung“ aufgelistet werden: das vorhandene und das neue Zertifikat.
    7. Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus.
    8. Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten das alte Zertifikat entfernen, sobald Sie sicher sind, dass es nicht mehr für den Übergang benötigt wird, oder wenn das Zertifikat abgelaufen ist.

    Warnungen für Azure Active Directory Domain Services

    Name der Warnung BESCHREIBUNG Wiederherstellung
    Der Domänencontroller ist nicht über LDAP-Ping erreichbar. Der Domänencontroller ist nicht über LDAP-Ping erreichbar. Dies kann auf Netzwerk- oder Computerprobleme zurückzuführen sein. Daher schlägt LDAP-Pings fehl.
  • Überprüfen Sie die Liste der Warnungen auf verwandte Warnungen. Beispiel: Der Domänencontroller sendet keine Ankündigungen.
  • Stellen Sie sicher, dass auf dem Domänencontroller genügend Speicherplatz vorhanden ist. Wenn der Speicherplatz nahezu erschöpft ist, kündigt der Domänencontroller sich selbst nicht mehr als LDAP-Server an.
  • Versuchen Sie, den PDC zu ermitteln: Führen Sie
    netdom query fsmo
    auf dem betroffenen Domänencontroller aus.
  • Stellen Sie sicher, dass das physische Netzwerk ordnungsgemäß konfiguriert/verbunden ist.
    • Fehler bei der Active Directory-Replikation ermittelt Auf diesem Domänencontroller liegen Replikationsprobleme vor. Sie können die Probleme im Dashboard „Replikationsstatus“ anzeigen. Replikationsfehler können auf fehlerhafte Konfiguration oder andere verwandte Probleme zurückzuführen sein. Nicht behandelte Replikationsfehler können zu Dateninkonsistenzen führen. Stellen Sie mithilfe der zusätzlichen Details die Namen der betroffenen Quell- und Zieldomänencontroller fest. Navigieren Sie zum Dashboard „Replikationsstatus“, und suchen Sie nach den aktiven Fehlern auf den betroffenen Domänencontrollern. Klicken Sie auf den Fehler aus, um ein Blatt mit Details zur Behandlung des jeweiligen Fehlers zu öffnen.
    Der Domänencontroller kann keinen PDC ermitteln. Von diesem Domänencontroller aus kann kein PDC erreicht werden. Dies führt zu beeinträchtigten Benutzeranmeldungen, nicht angewendeten Gruppenrichtlinienänderungen und zu Fehlern bei der Systemzeitsynchronisierung.
  • Überprüfen Sie die Liste der Warnungen auf verwandte Warnungen, die sich auf Ihren PDC auswirken könnten. Beispiel: Der Domänencontroller sendet keine Ankündigungen.
  • Versuchen Sie, den PDC zu ermitteln: Führen Sie
    netdom query fsmo
    auf dem betroffenen Domänencontroller aus.
  • Stellen Sie sicher, dass das Netzwerk ordnungsgemäß funktioniert.
    • Der Domänencontroller kann keinen globalen Katalogserver ermitteln. Von diesem Domänencontroller aus kann kein globaler Katalogserver erreicht werden. Dies führt zu Fehlern bei Authentifizierungsversuchen über diesen Domänencontroller. Überprüfen Sie die Liste der Warnungen auf Meldungen des Typs Der Domänencontroller sendet keine Ankündigungen, bei denen der betroffene Server möglicherweise ein globaler Katalog ist. Wenn keine Warnungen zu Ankündigungen vorhanden sind, überprüfen Sie die SRV-Einträge für die globalen Kataloge. Sie können zur Überprüfung folgenden Befehl ausführen:
    nltest /dnsgetdc: [ForestName] /gc
    Durch diesen Befehl werden die Domänencontroller aufgelistet, die als globale Kataloge ankündigen. Wenn die Liste leer ist, überprüfen Sie die DNS-Konfiguration, um sicherzustellen, dass die GC die SRV-Einträge registriert hat. Der Domänencontroller findet die Einträge im DNS.
    Informationen zur Problembehandlung globaler Kataloge finden Sie unter Advertising as a Global Catalog Server (Ankündigung als globaler Katalogserver).
    Der Domänencontroller kann die lokale SYSVOL-Freigabe nicht erreichen. SYSVOL enthält wichtige Elemente aus Gruppenrichtlinienobjekten und Skripts, die auf die DCs einer Domäne verteilt werden. Der DC kündigt sich nicht selbst als DC an, und Gruppenrichtlinien werden nicht angewendet. Siehe Problembehandlung bei fehlenden SYSVOL- und Netlogon-Freigaben.
    Die Zeit auf dem Domänencontroller ist nicht synchron. Die Zeit auf diesem Domänencontroller liegt außerhalb der normalen Zeitabweichung. Daher schlägt die Kerberos-Authentifizierung fehl.
  • Starten Sie den Windows-Zeitdienst neu: Führen Sie
    net stop w32time
    und dann
    net start w32time
    auf dem betroffenen Domänencontroller aus.
  • Führen Sie eine erneute Zeitsynchronisierung durch: Führen Sie
    w32tm /resync
    auf dem betroffenen Domänencontroller aus.
    		•
    Der Domänencontroller sendet keine Ankündigungen. Dieser Domänencontroller kündigt die Rollen, die er ausführen kann, nicht ordnungsgemäß an. Dies kann auf Probleme mit der Replikation, eine DNS-Fehlkonfiguration, nicht ausgeführte wichtige Dienste oder darauf zurückzuführen sein, dass der Server nicht vollständig initialisiert wurde. Daher können Domänencontroller, Domänenmitglieder und andere Geräte diesen Domänencontroller nicht finden. Darüber hinaus sind andere Domänencontroller möglicherweise nicht in der Lage, von diesem Domänencontroller aus eine Replikation durchzuführen. Überprüfen Sie die Liste der Warnungen auf verwandte Warnungen. Beispiel: Replikation ist nicht funktionsfähig. Die Zeit auf dem Domänencontroller ist nicht synchron. Der Netlogon-Dienst wird nicht ausgeführt. Der DFSR- und/oder der NTFRS-Dienst wird nicht ausgeführt. Identifizieren und beheben Sie zugehörige DNS-Probleme: Melden Sie sich beim betroffenen Domänencontroller an. Öffnen Sie das Systemereignisprotokoll. Wenn die Ereignisse 5774, 5775 oder 5781 vorhanden sind, finden Sie unter Problembehandlung bei Registrierungsfehlern für Domänencontrollerlocator-DNS-Einträge weitere Informationen. Identifizieren und beheben Sie zugehörige Probleme mit dem Windows-Zeitdienst: Stellen Sie sicher, dass der Windows-Zeitdienst ausgeführt wird: Führen Sie net start w32time auf dem betroffenen Domänencontroller aus. Starten Sie den Windows-Zeitdienst neu: Führen Sie net stop w32time und anschließend net start w32time auf dem betroffenen Domänencontroller aus.
    DER GPSVC-Dienst wird nicht ausgeführt. Wenn der Dienst beendet oder deaktiviert wird, werden die vom Administrator konfigurierten Einstellungen nicht angewendet, und Anwendungen und Komponenten können nicht über die Gruppenrichtlinie verwaltet werden. Komponenten oder Anwendungen, die von der Gruppenrichtlinienkomponente abhängig sind, sind nach dem Deaktivieren des Diensts möglicherweise nicht mehr funktionsfähig. Ausführen von
    net start gpsvc
    auf dem betroffenen Domänencontroller aus.
    Der DFSR- und/oder der NTFRS-Dienst wird nicht ausgeführt. Wenn sowohl DFSR- als auch NTFRS-Dienste beendet werden, können Domänencontroller keine Sysvol-Daten replizieren. Die SYSVOL-Daten sind dadurch nicht mehr konsistent.
  • Bei Verwendung von DFSR:
      Führen Sie net start dfsr auf dem betroffenen Domänencontroller aus.
    1. Bei Verwendung von NTFRS:
        Führen Sie net start ntfrs auf dem betroffenen Domänencontroller aus.
    • Der Netlogon-Dienst wird nicht ausgeführt. Anmeldeanforderungen, Registrierung, Authentifizierung und das Ermitteln von Domänencontrollern sind auf diesem DC nicht möglich. Führen Sie net start netlogon auf dem betroffenen Domänencontroller aus.
    Der W32Time-Dienst wird nicht ausgeführt. Wenn der Windows-Zeitdienst beendet wird, steht die Synchronisierung von Datum und Uhrzeit nicht zur Verfügung. Wenn dieser Dienst deaktiviert ist, werden alle Dienste, die explizit davon abhängen, nicht gestartet. Führen Sie net start win32Time auf dem betroffenen Domänencontroller aus.
    Der ADWS-Dienst wird nicht ausgeführt. Wenn der Active Directory-Webdienstdienst beendet oder deaktiviert ist, können Clientanwendungen wie Active Directory PowerShell nicht auf Verzeichnisdienstinstanzen zugreifen oder diese verwalten, die lokal auf diesem Server ausgeführt werden. Führen Sie net start adws auf dem betroffenen Domänencontroller aus.
    Der Stamm-PDC führt keine Synchronisierung mit dem NTP-Server durch. Wenn Sie den primären Domänencontroller nicht zur Uhrzeitsynchronisierung mit einer externen oder internen Zeitquelle konfigurieren, verwendet der PDC-Emulator seine interne Uhr und ist selbst die zuverlässige Zeitquelle für die Gesamtstruktur. Wenn die Uhrzeit auf dem PDC nicht genau ist, weisen alle Computer falsche Uhrzeiteinstellungen auf. Öffnen Sie auf dem betroffenen Domänencontroller eine Eingabeaufforderung. Beenden Sie den Zeitdienst: net stop w32time
  • Konfigurieren Sie die externen Zeitquelle:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Hinweis: Ersetzen Sie „time.windows.com“ durch die Adresse der gewünschten externen Zeitquelle. Starten Sie den Zeitdienst:
    net start w32time
    • Der Domänencontroller steht unter Quarantäne. Dieser Domänencontroller ist mit keinem der weiteren betriebsbereiten Domänencontroller verbunden. Dies kann aufgrund einer unsachgemäßen Konfiguration verursacht werden. Dadurch wird dieser DC nicht verwendet und führt keine Replikation durch. Aktivieren Sie die eingehende und ausgehende Replikation: Führen Sie repadmin /options ServerName -DISABLE_INBOUND_REPL auf dem betroffenen Domänencontroller aus. Führen Sie repadmin /options ServerName -DISABLE_OUTBOUND_REPL auf dem betroffenen Domänencontroller aus. Erstellen Sie eine neue Replikationsverbindung mit einem anderen Domänencontroller:
    1. Öffnen Sie „Active Directory Sites and Services“ (Active Directory-Standorte und -Dienste): Klicken Sie auf „Start“, zeigen Sie auf „Verwaltung“, und wählen Sie „Active Directory Sites and Services“ (Active Directory-Standorte und -Dienste).
    2. Erweitern Sie in der Konsolenstruktur den Knoten für die Standorte, und erweitern Sie dann den Standort, dem dieser Domänencontroller angehört.
    3. Erweitern Sie den Container „Server“, um die Liste der Server anzuzeigen.
    4. Erweitern Sie das Serverobjekt für diesen DC.
    5. Klicken Sie mit der rechten Maustaste auf das NTDS-Einstellungsobjekt und wählen Sie Neue Active Directory-Domänendienste-Verbindung...
    6. Wählen Sie einen Server in der Liste aus, und wählen Sie „OK“.
    How to remove orphaned domains from Active Directory (Entfernen von verwaisten Domänen aus Active Directory)
    Die ausgehende Replikation ist deaktiviert. DCs mit deaktivierter ausgehender Replikation können keine Änderungen verteilen, die von ihnen selbst stammen. Führen Sie die folgenden Schritte aus, um die ausgehende Replikation auf dem betroffenen Domänencontroller zu aktivieren: Wählen Sie "Start" aus, wählen Sie "Ausführen" aus, geben Sie "cmd" ein, und wählen Sie dann "OK" aus. Geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Die eingehende Replikation ist deaktiviert. DCs mit deaktivierter eingehender Replikation verfügen nicht über die aktuellsten Informationen. Diese Situation kann zu Anmeldefehlern führen. Führen Sie die folgenden Schritte aus, um die eingehende Replikation auf dem betroffenen Domänencontroller zu aktivieren: Wählen Sie „Start“ und dann „Ausführen“ aus, geben Sie „cmd“ ein, und wählen Sie „OK“ aus. Geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
    repadmin /options -DISABLE_INBOUND_REPL
    Der LanmanServer-Dienst wird nicht ausgeführt. Wenn dieser Dienst deaktiviert ist, werden alle Dienste, die explizit davon abhängen, nicht gestartet. Führen Sie net start LanManServer auf dem betroffenen Domänencontroller aus.
    Der Dienst des Kerberos-Schlüsselverteilungscenters (KDC) wird nicht ausgeführt. Wenn der KDC-Dienst beendet wird, können Benutzer die Authentifizierung über diesen DC nicht mithilfe des Kerberos v5-Authentifizierungsprotokolls durchführen. Führen Sie net start kdc auf dem betroffenen Domänencontroller aus.
    Der DNS-Dienst wird nicht ausgeführt. Wenn der DNS-Dienst beendet wird, können Computer und Benutzer, die diesen Server für DNS-Zwecke verwenden, ressourcen nicht finden. Führen Sie net start dns auf dem betroffenen Domänencontroller aus.
    Für den DC wurde ein USN-Rollback durchgeführt. Bei USN-Rollbacks werden Änderungen an Objekten und Attributen bei der eingehenden Replikation nicht von Zieldomänencontrollern repliziert, auf denen die USN zuvor vorhanden war. Da diese Zieldomänencontroller glauben, dass sie auf dem neuesten Stand sind, werden keine Replikationsfehler in Verzeichnisdienst-Ereignisprotokollen oder durch Überwachung und Diagnosetools gemeldet. USN-Rollback kann sich auf die Replikation eines Objekts oder Attributs in einer beliebigen Partition auswirken. Der am häufigsten beobachtete Nebeneffekt ist, dass Benutzerkonten und Computerkonten, die auf dem Rollbackdomänencontroller erstellt werden, bei einem oder mehreren Replikationspartnern nicht vorhanden sind. Es kommt auch vor, dass Kennwortänderungen, die ursprünglich auf dem Rollback-Domänencontroller durchgeführt wurden, nicht auf den Replikationspartnern übernommen werden. Es gibt zwei Ansätze für eine Wiederherstellung nach einem USN-Rollback:

    Entfernen Sie den Domänencontroller aus der Domäne, und führen Sie die folgenden Schritte aus:

    1. Entfernen Sie Active Directory aus dem Domänencontroller, um ihn als eigenständigen Server zu erzwingen. Wählen Sie die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      332199 Domänencontroller werden nicht ordnungsgemäß tiefer gestuft, wenn Sie mit dem Active Directory-Installations-Assistenten eine Herabstufung in Windows Server 2003 und Windows 2000 Server erzwingen.
    2. Fahren Sie den tiefer gestuften Server herunter.
    3. Bereinigen Sie die Metadaten des herabgestuften Domänencontrollers über einen fehlerfreien Domänencontroller. Wählen Sie die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      216498 Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
    4. Wenn auf dem falsch wiederhergestellten Domänencontroller Betriebsmasterfunktionen gehostet werden, übertragen Sie diese auf einen fehlerfreien Domänencontroller. Wählen Sie die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      255504 Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms „Ntdsutil.exe“
    5. Starten Sie den tiefer gestuften Server neu.
    6. Falls erforderlich, installieren Sie Active Directory erneut auf dem eigenständigen Server.
    7. Wenn der Domänencontroller zuvor als globaler Katalog eingesetzt wurde, konfigurieren Sie den Domänencontroller als globalen Katalog. Wählen Sie die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      313994 Erstellen oder Verschieben eines globalen Katalogs in Windows 2000
    8. Wenn auf dem Domänencontroller zuvor Betriebsmasterfunktionen gehostet wurden, übertragen Sie die Betriebsmasterfunktionen wieder auf den Domänencontroller. Wählen Sie die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      255504 Übertragen von FSMO-Rollen auf einen Domänencontroller mithilfe des Programms „Ntdsutil.exe“. Stellen Sie den Systemstatus mithilfe einer fehlerfreien Sicherung wieder her.

    Überprüfen Sie, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn vor der fehlerhaften Wiederherstellung des Rollback-Domänencontrollers eine Sicherung mit gültigem Systemstatus erstellt wurde, stellen Sie den Systemstatus aus der neuesten Sicherung wieder her.

    Sie können auch eine Momentaufnahme als Sicherungsquelle verwenden. Alternativ können Sie die Datenbank so konfigurieren, dass sie sich selbst eine neue Aufruf-ID zuweist. Informationen zur Vorgehensweise finden Sie im Abschnitt zum Wiederherstellen einer vorherigen Version einer virtuellen Domänencontroller-VHD ohne Sicherung der Systemstatusdaten in diesem Artikel.

    Nächste Schritte