Freigeben über

Microsoft Entra Connect Health-Warnungskatalog

  • Artikel

Vom Microsoft Entra Connect Health-Dienst gesendete Warnungen weisen darauf hin, dass die Identitätsinfrastruktur nicht fehlerfrei ist. Dieser Artikel enthält die Titel und Beschreibungen der Warnungen sowie Schritte zur Wiederherstellung für jede Warnung.
„Fehler“, „Warnung“ und „Vorwarnung“ sind drei Warnungsstufen, die vom Connect Health-Dienst generiert werden. Wir empfehlen dringend, sofortige Maßnahmen zu ergreifen, wenn Warnungen ausgelöst werden.
Microsoft Entra Connect Health-Warnungen-Warnungen werden basierend auf einer Erfolgsbedingung aufgelöst. Microsoft Entra Connect Health-Agenten erkennen und melden die Erfolgsbedingungen in regelmäßigen Abständen an den Dienst. Bei einigen Warnungen gilt eine zeitbasierte Unterdrückung. Mit anderen Worten, wenn dieselbe Fehlerbedingung nicht innerhalb von 72 Stunden nach Generierung der Warnung festgestellt wird, wird die Warnung automatisch behoben.

Allgemeine Warnungen

Name der Warnung BESCHREIBUNG Wiederherstellung
Die Daten des Integritätsdiensts sind nicht aktuell. Die Integritäts-Agents, die auf mindestens einem Server ausgeführt werden, sind nicht mit dem Integritätsdienst verbunden, und der Integritätsdienst empfängt nicht die neuesten Daten von diesem Server. Die letzten Daten, die vom Integritätsdienst verarbeitet wurden, sind älter als zwei Stunden. Stellen Sie sicher, dass die Integritäts-Agents ausgehende Verbindungen mit den erforderlichen Dienstendpunkten herstellen können. Weitere Informationen

Warnungen für Microsoft Entra Connect (Sync)

Name der Warnung BESCHREIBUNG Wartung
Microsoft Entra Connect Sync Service wird nicht ausgeführt Der Windows-Dienst „Microsoft Entra ID Sync“ wird nicht ausgeführt oder konnte nicht gestartet werden. Daher werden Objekte nicht mit Microsoft Entra ID synchronisiert. Starten der Microsoft Entra ID-Synchronisierungsdienste
  1. Klicken Sie auf Start und dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie auf OK.
  2. Suchen Sie nach dem Microsoft Entra ID-Synchronisierungsdienst und prüfen Sie dann, ob der Dienst gestartet wurde. Wurde der Dienst nicht gestartet, klicken Sie mit der rechten Maustaste auf den Diensteintrag, und klicken Sie dann auf Starten.
Fehler beim Importieren aus Microsoft Entra ID Fehler beim Importvorgang aus Microsoft Entra Connector. Prüfen Sie die Ereignisprotokolle für den Importvorgang auf zusätzliche Details.
Fehler bei der Verbindung mit Microsoft Entra ID aufgrund eines Authentifizierungsfehlers Fehler bei der Verbindung mit Microsoft Entra ID aufgrund eines Authentifizierungsfehlers. Daher werden Objekte nicht mit Microsoft Entra ID synchronisiert. Prüfen Sie die Ereignisprotokolle auf zusätzliche Details.
Fehler beim Exportieren nach Active Directory Fehler beim Exportvorgang nach Active Directory Connector. Prüfen Sie die Ereignisprotokolle für den Exportvorgang auf zusätzliche Details.
Fehler beim Importieren aus Active Directory Fehler beim Importieren aus Active Directory. Möglicherweise werden Objekte aus einigen Domänen dieser Gesamtstruktur nicht importiert.
  • Überprüfen Sie die DC-Konnektivität.
  • Führen Sie den Import erneut manuell aus.
  • Prüfen Sie die Ereignisprotokolle für den Importvorgang auf zusätzliche Details.
    		•
    Fehler beim Exportieren nach Microsoft Entra ID Fehler beim Exportvorgang aus Microsoft Entra Connector. Einige Objekte können möglicherweise folglich nicht erfolgreich nach Microsoft Entra ID exportiert werden. Prüfen Sie die Ereignisprotokolle für den Exportvorgang auf zusätzliche Details.
    Das Taktsignal der Kennworthashsynchronisierung wurde in den letzten 120 Minuten übersprungen. Die Kennworthashsynchronisierung hat in den letzten 120 Minuten keine Verbindung mit Microsoft Entra ID hergestellt. Daher werden Kennwörter nicht mit Microsoft Entra-ID synchronisiert. Neustarten der Microsoft Entra ID-Synchronisierungsdienste:
    Beachten Sie, dass alle aktuell ausgeführten Synchronisierungsvorgänge unterbrochen werden. Sie können die unten aufgeführten Schritte durchführen, wenn gerade kein Synchronisierungsvorgang ausgeführt wird.
    1. Klicken Sie auf Start und dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie auf OK.
    2. Suchen Sie nach Microsoft Entra ID Sync, klicken Sie mit der rechten Maustaste auf den Eintrag, und dann auf Neu starten.
    Es wurde eine hohe CPU-Nutzung erkannt. Der Prozentsatz der CPU-Nutzung auf diesem Server hat den empfohlenen Schwellenwert überschritten.
  • Es handelt sich möglicherweise um eine vorübergehende Spitze in der CPU-Nutzung. Bitte überprüfen Sie den CPU-Nutzungstrend im Abschnitt „Überwachung“.
  • Untersuchen Sie die Hauptprozesse, die den größten Anteil der CPU auf dem Server verbrauchen.
    1. Sie können den Task-Manager verwenden oder den folgenden PowerShell-Befehl ausführen:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Wenn unerwartete Prozesse einen großen CPU-Anteil beanspruchen, beenden Sie diese Prozesse mithilfe des folgenden PowerShell-Befehls:
      stop-process -ProcessName [Name des Prozesses]
  • Wenn die in der obigen Liste angezeigten Prozesse die beabsichtigten Prozesse sind, die auf dem Server ausgeführt werden sollen, und die CPU-Auslastung sich fortwährend dem Schwellenwert nähert, sollten Sie eine erneute Auswertung der Bereitstellungsanforderungen dieses Servers erwägen.
  • Als Ausfallsicherheitsoption können Sie ggf. einen Neustart des Servers in Betracht ziehen.
    		•
    Es wurde eine hohe Arbeitsspeichernutzung erkannt. Der Prozentsatz der Arbeitsspeichernutzung des Servers liegt über dem empfohlenen Schwellenwert. Untersuchen Sie die Prozesse, die die größte Menge an Arbeitsspeicher auf dem Server belegen. Sie können den Task-Manager verwenden oder den folgenden PowerShell-Befehl ausführen:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Wenn unerwartete Prozesse viel Arbeitsspeicher verbrauchen, beenden Sie die Prozesse mit dem folgenden PowerShell-Befehl:
    stop-process -ProcessName [Name des Prozesses]
  • Wenn die in der obigen Liste angezeigten Prozesse die beabsichtigten Prozesse sind, die auf dem Server ausgeführt werden sollen, sollten Sie eine erneute Auswertung der Bereitstellungsanforderungen dieses Servers erwägen.
  • Als Ausfallsicherheitsoption können Sie ggf. einen Neustart des Servers in Betracht ziehen.
    		•
    Die Kennworthashsynchronisierung wird nicht mehr ausgeführt Die Kennworthashsynchronisierung wurde beendet. Daher werden Kennwörter nicht mit Microsoft Entra-ID synchronisiert. Neustarten der Microsoft Entra ID-Synchronisierungsdienste:
    Beachten Sie, dass alle aktuell ausgeführten Synchronisierungsvorgänge unterbrochen werden. Sie können die unten aufgeführten Schritte durchführen, wenn gerade kein Synchronisierungsvorgang ausgeführt wird.
    1. Klicken Sie auf Start und dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie auf OK.
    2. Suchen Sie nach Microsoft Entra ID Sync, klicken Sie mit der rechten Maustaste auf den Eintrag, und dann auf Neu starten.
    Der Export nach Microsoft Entra ID wurde beendet. Der Schwellenwert für versehentliches Löschen wurde erreicht. Der Exportvorgang für Microsoft Entra ID ist fehlgeschlagen. Es wurden mehr Objekte zum Löschen angegeben, als der konfigurierte Schwellenwert zulässt. Es wurden keine Objekte exportiert.
  • Die Anzahl von Objekten, die zum Löschen markiert wurden, überschreitet den festgelegten Schwellenwert. Stellen Sie sicher, dass dies gewünscht ist.
  • Führen Sie die folgenden Schritte aus, um den Export fortzusetzen:
    1. Deaktivieren Sie den Schwellenwert, indem Sie „Disable-ADSyncExportDeletionThreshold“ ausführen.
    2. Starten des Synchronization Service Managers
    3. Ausführen von Export on Connector mit typ = Microsoft Entra ID
    4. Aktivieren Sie nach dem erfolgreichen Export der Objekte den Schwellenwert, indem Sie den folgenden Befehl ausführen: Enable-ADSyncExportDeletionThreshold
    		•

    Warnungen für Active Directory-Verbunddienste (AD FS)

    Name der Warnung BESCHREIBUNG Wiederherstellung
    Fehler der Testauthentifizierungsanforderungen (synthetischen Transaktionen) beim Abrufen eines Tokens Mithilfe der Testauthentifizierungsanforderungen (synthetischen Transaktionen), die von diesem Server initiiert wurden, konnte auch nach fünf Wiederholungsversuchen kein Token abgerufen werden. Mögliche Ursache: vorübergehende Netzwerkprobleme, die Verfügbarkeit des AD DS-Domänencontrollers oder ein falsch konfigurierter AD FS-Server. Dies kann dazu führen, dass beim Verarbeiten von Authentifizierungsanforderungen durch den Verbunddienst möglicherweise Fehler auftreten. Beachten Sie, dass der Agent den Kontext des lokalen Computerkontos zum Abrufen eines Tokens vom Verbunddienst verwendet. Stellen Sie sicher, dass die folgenden Schritte ausgeführt werden, um die Integrität des Servers zu überprüfen.
    1. Vergewissern Sie sich, dass keine weiteren nicht aufgelösten Warnungen für diesen oder andere AD FS-Server in Ihrer Farm vorhanden sind.
    2. Vergewissern Sie sich, dass es sich nicht um einen vorübergehenden Fehler handelt, indem Sie sich als Testbenutzer über die AD FS-Anmeldeseite anmelden, die unter „https://{Ihr_ADFS_Servername}/adfs/ls/idpinitiatedsignon.aspx“ verfügbar ist.
    3. Navigieren Sie zu https://testconnectivity.microsoft.com, und wählen Sie die Registerkarte „Office 365“ aus. Führen Sie den „Office 365-Test für einmaliges Anmelden“ aus.
    4. Stellen Sie sicher, dass Ihr AD FS-Dienstname von diesem Server aus aufgelöst werden kann, indem Sie den folgenden Befehl an einer Befehlszeile auf diesem Server ausführen. nslookup your_adfs_server_name

    Wenn der Dienstname nicht aufgelöst werden kann, lesen Sie den Abschnitt mit den häufig gestellten Fragen. Dort finden Sie Anweisungen zum Hinzufügen eines HOST-Dateieintrags für Ihren AD FS-Dienst mit der IP-Adresse dieses Servers. Auf diese Weise kann das synthetische Transaktionsmodul, das auf diesem Server ausgeführt wird, ein Token anfordern.
    Der Proxyserver kann den Verbundserver nicht erreichen. Dieser AD FS-Proxyserver kann keine Verbindung mit dem AD FS-Dienst herstellen. Für Authentifizierungsanforderungen, die von diesem Server verarbeitet werden, treten daher Fehler auf. Führen Sie die folgenden Schritte aus, um die Verbindung zwischen diesem Server und dem AD FS-Dienst zu überprüfen.
    1. Stellen Sie sicher, dass die Firewall zwischen diesem Server und dem AD FS-Dienst ordnungsgemäß konfiguriert ist.
    2. Stellen Sie sicher, dass die DNS-Auflösung für den AD FS-Dienstnamen ordnungsgemäß auf den AD FS-Dienst verweist, der sich im Unternehmensnetzwerk befindet. Dies kann durch einen DNS-Server, der Anforderungen dieses Servers im Umkreisnetzwerk verarbeitet, oder durch Einträge in den HOSTS-Dateien für den AD FS-Dienstnamen erreicht werden.
    3. Überprüfen Sie die Netzwerkverbindung, indem Sie den Browser auf diesem Server öffnen und auf den Verbundmetadaten-Endpunkt unter https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml zugreifen.
    Das SSL-Zertifikat läuft bald ab. Das von den Verbundservern verwendete TLS/SSL-Zertifikat läuft innerhalb von 90 Tagen ab. Nach seinem Ablauf tritt ein Fehler für alle Anforderungen auf, die eine gültige TLS-Verbindung erfordern. Bei Microsoft 365-Kunden können sich E-Mails-Clients dann z. B. nicht authentifizieren. Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.
    1. Rufen Sie das TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
      1. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
      2. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“
    2. Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.
    3. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.

    Für AD FS 2.0 in Windows Server 2008R2:

    • Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

    AD FS in Windows Server 2012 R2 und höheren Versionen:

  • Lesen Sie Verwalten von SSL-Zertifikaten in AD FS und WAP.
    • Der AD FS-Dienst wird nicht auf dem Server ausgeführt. Der Active Directory-Verbunddienst (Windows-Dienst) wird auf diesem Server nicht ausgeführt. Für alle an diesen Server gesendeten Anforderungen tritt ein Fehler auf. So starten Sie den Active Directory-Verbunddienst (Windows-Dienst):
    1. Melden Sie sich beim Server als Administrator an.
    2. Öffnen Sie „Services.msc“.
    3. Suchen Sie nach „Active Directory Verbunddiensten (AD FS)“
    4. Klicken Sie mit der rechten Maustaste, und wählen Sie Starten aus
    DNS für den Verbunddienst ist ggf. falsch konfiguriert. Der DNS-Server ist möglicherweise so konfiguriert, dass er einen CNAME-Eintrag für den AD FS-Farmnamen verwendet. Es wird empfohlen, einen A- oder AAAA-Eintrag für AD FS zu verwenden, damit die integrierte Windows-Authentifizierung nahtlos in Ihr Unternehmensnetzwerk integriert wird. Stellen Sie sicher, dass der DNS-Eintragstyp der AD FS-Farm <Farm Name> nicht CNAME ist. Konfigurieren Sie ihn als einen A- oder AAAA-Eintrag.
    AD FS-Überwachung ist deaktiviert. AD FS-Überwachung ist für diesen Server deaktiviert. Der Abschnitt „AD FS-Verwendung“ im Portal enthält keine Daten von diesem Server. Wenn AD FS-Überwachungen nicht aktiviert sind, führen Sie die folgenden Anweisungen aus:
    1. Erteilen Sie dem AD FS-Dienstkonto die Berechtigung „Generieren von Sicherheitsüberwachungen“ auf dem AD FS-Server.
    2. Öffnen Sie die lokale Sicherheitsrichtlinie „gpedit.msc“ auf dem Server.
    3. Navigieren Sie zu „Computerkonfiguration\Windows-Einstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten“.
    4. Fügen Sie das AD FS-Dienstkonto so hinzu, dass es über die Berechtigung „Generieren von Sicherheitsüberwachungen“ verfügt.
    5. Führen Sie den folgenden Befehl an der Eingabeaufforderung aus:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Aktualisieren Sie die Eigenschaften des Verbunddiensts so, dass Erfolgs- und Fehlerüberwachungen enthalten sind.
    7. Wählen Sie in der AD FS-Konsole „Verbunddiensteigenschaften bearbeiten“ aus
    8. Wählen Sie zunächst im Dialogfeld „Verbunddiensteigenschaften“ die Registerkarte „Ereignisse“ und dann „Erfolgsüberwachungen“ und „Fehlerüberwachungen“ aus

    Nachdem Sie diese Schritte ausgeführt haben, sollten AD FS-Überwachungsereignisse in der Ereignisanzeige angezeigt werden. So überprüfen Sie dies:

    1. Navigieren Sie zu „Ereignisanzeige/Windows-Protokolle/Sicherheit“.
    2. Wählen Sie „Aktuelle Protokolle filtern“ und dann im Dropdownmenü „Ereignisquellen“ die Option „AD FS-Überwachung“ aus. Für einen aktiven AD FS-Server, für den AD FS-Überwachung aktiviert ist, sollten Ereignisse für den oben genannten Filter angezeigt werden.

    Wenn Sie diese Schritte zuvor bereits ausgeführt haben, die Warnung jedoch noch immer angezeigt wird, deaktiviert ein Gruppenrichtlinienobjekt möglicherweise die AD FS-Überwachung. Eine der folgenden Ursachen kann zugrunde liegen:

    1. Die Berechtigung „Generieren von Sicherheitsüberwachungen“ des AD FS-Dienstkontos wurde entfernt.
    2. Ein benutzerdefiniertes Skript im Gruppenrichtlinienobjekt deaktiviert Erfolgs- und Fehlerüberwachungen basierend auf „Anwendung wurde generiert“.
    3. Die AD FS-Konfiguration ist nicht für das Generieren von Erfolgs-/Fehlerüberwachungen aktiviert.
    Das AD FS-SSL-Zertifikat ist selbstsigniert. Sie verwenden zurzeit ein selbstsigniertes Zertifikat als das TLS/SSL-Zertifikat in Ihrer AD FS-Farm. Folglich tritt bei der E-Mail-Clientauthentifizierung für Microsoft 365 ein Fehler auf.

    Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.

    1. Rufen Sie ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
    2. Die Zertifikatinstallationsdatei enthält den privaten Schlüssel des Zertifikats.
    3. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
    4. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“

    Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.

      Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.
      Für AD FS 2.0 in Windows Server 2008R2:
    1. Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

      2. AD FS in Windows Server 2012 R2 oder höheren Versionen:
    2. Lesen Sie Verwalten von SSL-Zertifikaten in AD FS und WAP.
    Die Vertrauensstellung zwischen dem Proxyserver und dem Verbundserver ist ungültig. Die Vertrauensstellung zwischen dem Verbundserverproxy und dem Verbunddienst konnte nicht eingerichtet oder erneuert werden. Aktualisieren Sie das vertrauenswürdige Proxyzertifikat auf dem Proxyserver. Führen Sie den Proxykonfigurations-Assistenten erneut aus.
    Extranetsperrschutz für AD FS deaktiviert Das Extranetsperrschutz-Feature ist für Ihre AD FS Farm DEAKTIVIERT. Dieses Feature schützt Ihre Benutzer vor Brute-Force-Kennwortangriffen aus dem Internet und verhindert Denial-of-Service-Angriffe gegen Ihre Benutzer, wenn die AD DS-Kontosperrungsrichtlinien in Kraft sind. Wenn dieses Feature aktiviert ist und die Anzahl fehlerhafter Extranetanmeldeversuche für einen Benutzer (Anmeldeversuche über WAP-Server und AD FS) den Schwellenwert „ExtranetLockoutThreshold“ übersteigt, beenden die AD FS-Server die Verarbeitung weiterer Anmeldeversuche für das Zeitfenster „ExtranetObservationWindow“. Die Aktivierung dieses Features auf Ihren AD FS-Servern wird dringend empfohlen. Führen Sie folgenden Befehl aus, um den AD FS-Extranetsperrschutz mit den Standardwerten zu aktivieren.
    Set-AdfsProperties -EnableExtranetLockout $true

    Wenn Sie AD-Sperrrichtlinien für Ihre Benutzer konfiguriert haben, stellen Sie sicher, dass die Eigenschaft ExtranetLockoutThreshold auf einen Wert festgelegt ist, der unter Ihrem AD DS-Sperrschwellenwert liegt. So wird sichergestellt, dass Anforderungen, die den Schwellenwert für AD FS überschritten haben, gelöscht und niemals anhand Ihrer AD DS Server überprüft werden.
    Ungültiger Dienstprinzipalname (Service Principal Name, SPN) für das AD FS-Dienstkonto Der Dienstprinzipalname des Verbundserverkontos ist nicht registriert oder nicht eindeutig. Die integrierte Windows-Authentifizierung von in die Domäne eingebundenen Clients erfolgt daher möglicherweise nicht nahtlos. Verwenden Sie [SETSPN -L ServiceAccountName], um die Dienstprinzipale aufzulisten.
    Verwenden Sie [SETSPN -X], um zu überprüfen, ob Dienstprinzipalnamen doppelt vorhanden sind.

    Wenn der SPN für das AD FS-Dienstkonto doppelt vorhanden ist, entfernen Sie den SPN mit [SETSPN -d service/namehostname] aus dem doppelten Konto.

    Wenn der SPN nicht festgelegt ist, verwenden Sie [SETSPN -s {Desired-SPN} {domain_name}{service_account}], um den gewünschten SPN für das Verbunddienstkonto festzulegen.
    Das primäre AD FS-Tokenentschlüsselungszertifikat läuft bald ab. Das primäre AD FS-Tokenentschlüsselungszertifikat läuft in weniger als 90 Tagen ab. AD FS kann Token von vertrauenswürdigen Anspruchsanbietern nicht entschlüsseln. AD FS kann verschlüsselte SSO-Cookies nicht entschlüsseln. Die Endbenutzer sind nicht in der Lage, sich zu authentifizieren, um auf Ressourcen zuzugreifen. Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat.

    Wenn Sie Ihr Zertifikat manuell verwalten, folgen Sie bitte den unten stehenden Anweisungen. Rufen Sie ein neues Tokenentschlüsselungszertifikat ab.

    1. Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) „Schlüsselverschlüsselung“ enthält
    2. Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
    3. Bitte denken Sie daran, dass Ihre Verbundserver und Anspruchsanbieterpartner in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokenentschlüsselungszertifikat überprüfen.
    Entscheiden Sie, wie Ihre Anspruchsanbieterpartner dem neuen Tokenentschlüsselungszertifikat vertrauen.
    1. Bitten Sie die Partner, die Verbundmetadaten nach dem Aktualisieren des Zertifikats mithilfe von Pull zu übertragen.
    2. Geben Sie den öffentlichen Schlüssel des neuen Zertifikats (CER-Datei) für die Partner frei. Starten Sie auf dem AD FS-Server des Anspruchsanbieterpartners die AD FS-Verwaltung über das Menü „Verwaltung“. Wählen Sie unter „Vertrauensstellungen/Vertrauensstellungen der vertrauenden Seite“ die Vertrauensstellung aus, die für Sie erstellt wurde. Klicken Sie unter „Eigenschaften/Verschlüsselung“ auf „Durchsuchen“, um das neue Tokenentschlüsselungszertifikat auszuwählen, und klicken Sie dann auf „OK“.
    Installieren Sie das Zertifikat im lokalen Zertifikatspeicher auf jedem Verbundserver.
    • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat. Fügen Sie das neue Zertifikat AD FS hinzu.
    1. Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
    2. Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
    3. Klicken Sie im Aktionsbereich auf „Tokenentschlüsselungszertifikat hinzufügen“.
    4. Es wird eine Liste der Zertifikate angezeigt, die für die Tokenentschlüsselung gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, ihm ein privater Schlüssel zugeordnet ist und es für die erweiterte Schlüsselverwendung Schlüsselchiffrierung verwendet.
    5. Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, und klicken Sie dann auf „OK“.
    Legen Sie das neue Tokenentschlüsselungszertifikat als primäres Zertifikat fest.
    1. Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokenentschlüsselung“ aufgelistet werden: das vorhandene und das neue Zertifikat.
    2. Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus.
    3. Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist.
    The Primary AD FS Token Signing certificate is about to expire (Das primäre AD FS-Tokensignaturzertifikat läuft bald ab.) Das AD FS-Tokensignaturzertifikat läuft innerhalb von 90 Tagen ab. AD FS kann keine signierten Token ausstellen, wenn dieses Zertifikat nicht gültig ist. Rufen Sie ein neues Tokensignaturzertifikat ab.
    1. Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (EKU) „Digitale Signatur“ enthält
    2. Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
    3. Bitte denken Sie daran, dass Ihre Verbundserver, Ihre Ressourcenpartner-Verbundserver und die Anwendungsserver der vertrauenden Seite in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokensignaturzertifikat überprüfen.
    Installieren Sie das Zertifikat im lokalen Zertifikatspeicher jedes Verbundservers.
    • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat. Fügen Sie das neue Zertifikat AD FS hinzu.
    1. Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
    2. Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
    3. Klicken Sie im Aktionsbereich auf „Tokensignaturschlüssel hinzufügen“.
    4. Es wird eine Liste der Zertifikate angezeigt, die für die Tokensignatur gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, ihm ein privater Schlüssel zugeordnet ist und es die erweiterte Schlüsselverwendung für die digitale Signatur verwendet.
    5. Wählen Sie Ihr neues Tokensignaturzertifikat aus, und klicken Sie dann auf „OK“.
    Informieren Sie alle vertrauenden Seiten über die Änderung im Tokensignaturzertifikat.
    1. Vertrauende Seiten, die AD FS-Verbundmetadaten nutzen, müssen mithilfe von Pull die neuen Verbundmetadaten übertragen, um das neue Zertifikat verwenden zu können.
    2. Vertrauende Seiten, die KEINE AD FS-Verbundmetadaten nutzen, müssen den öffentlichen Schlüssel des neuen Tokensignaturzertifikats manuell aktualisieren. Geben Sie die CER-Datei für die vertrauenden Seiten frei.
      3. Legen Sie das neue Tokensignaturzertifikat als primäres Zertifikat fest.
      1. Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokensignatur“ aufgelistet werden: das vorhandene und das neue Zertifikat.
      2. Wählen Sie Ihr neues Tokensignaturzertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus.
      3. Behalten Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat bei. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist. Bitte denken Sie daran, dass die SSO-Sitzungen aktueller Benutzer signiert sind. Aktuelle AD FS-Proxyvertrauensstellungen verwenden Token, die mithilfe des alten Zertifikats signiert und verschlüsselt wurden.
    Das AD FS-SSL-Zertifikat wurde im lokalen Zertifikatspeicher nicht gefunden. Das Zertifikat mit dem Fingerabdruck, das als TLS/SSL-Zertifikat in der AD FS-Datenbank konfiguriert ist, wurde im lokalen Zertifikatspeicher nicht gefunden. Daher tritt bei allen Authentifizierungsanforderungen über TLS ein Fehler auf. Es tritt z. B. ein Fehler bei der E-Mail-Clientauthentifizierung für Microsoft 365 auf. Installieren Sie das Zertifikat mit dem konfigurierten Fingerabdruck im lokalen Zertifikatspeicher.
    Das SSL-Zertifikat ist abgelaufen. Das TLS/SSL-Zertifikat für den AD FS-Dienst ist abgelaufen. Daher tritt bei allen Authentifizierungsanforderungen, die eine gültige TLS-Verbindung erfordern, ein Fehler auf. Beispiel: Die E-Mail-Clientauthentifizierung kann keine Authentifizierung für Microsoft 365 ausführen. Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.
    1. Rufen Sie das TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
    2. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
    3. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“
    4. Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.
    5. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.

    Für AD FS 2.0 in Windows Server 2008R2:

    • Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

    AD FS in Windows Server 2012 R2 oder höheren Versionen: Weitere Informationen finden Sie unter: Verwalten von SSL-Zertifikaten in AD FS und WAP

    Die erforderlichen Endpunkte für Microsoft Entra ID (für Microsoft 365) sind nicht aktiviert Die folgenden für Exchange Online Services, Microsoft Entra ID und Microsoft 365 erforderlichen Endpunkte sind für den Verbunddienst nicht aktiviert:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Aktivieren Sie die Endpunkte für die Microsoft Cloud Services für Ihren Verbunddienst.
    AD FS in Windows Server 2012 R2 oder höheren Versionen
  • Weitere Informationen finden Sie unter: Verwalten von SSL-Zertifikaten in AD FS und WAP

    • Der Verbundserver konnte keine Verbindung mit der AD FS-Konfigurationsdatenbank herstellen. Probleme des AD FS-Dienstkontos beim Herstellen einer Verbindung mit der AD FS-Konfigurationsdatenbank. Der AD FS-Dienst auf diesem Computer funktioniert daher möglicherweise nicht wie erwartet.
  • Stellen Sie sicher, dass das AD FS-Dienstkonto Zugriff auf die Konfigurationsdatenbank hat.
  • Stellen Sie sicher, dass der AD FS-Konfigurationsdatenbankdienst verfügbar und erreichbar ist.
    • Erforderliche SSL-Bindungen fehlen oder sind nicht konfiguriert. Die TLS-Bindungen, die erforderlich sind, damit dieser Verbundserver die Authentifizierung erfolgreich ausführen kann, sind falsch konfiguriert. AD FS kann keine eingehenden Anforderungen verarbeiten. Für Windows Server 2012 R2
    Öffnen Sie eine Administratoreingabeaufforderung mit erhöhten Rechten, und führen Sie dann die folgenden Befehle aus:
    1. So zeigen Sie die aktuelle TLS-Bindung an Get-AdfsSslCertificate
    2. So fügen Sie neue Bindungen hinzu: netsh http add sslcert hostnameport=<Partnerverbunddienstname>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Das primäre AD FS-Tokensignaturzertifikat ist abgelaufen. Das AD FS-Tokensignaturzertifikat ist abgelaufen. AD FS kann keine signierten Token ausstellen, wenn dieses Zertifikat nicht gültig ist. Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS die Aktualisierung des Tokensignaturzertifikats.

    Wenn Sie Ihr Zertifikat manuell verwalten, folgen Sie bitte den unten stehenden Anweisungen.

    1. Rufen Sie ein neues Tokensignaturzertifikat ab.
      1. Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (EKU) „Digitale Signatur“ enthält
      2. Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
      3. Bitte denken Sie daran, dass Ihre Verbundserver, Ihre Ressourcenpartner-Verbundserver und die Anwendungsserver der vertrauenden Seite in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokensignaturzertifikat überprüfen.
    2. Installieren Sie das Zertifikat im lokalen Zertifikatspeicher jedes Verbundservers.
      • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    3. Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat.
    4. Fügen Sie das neue Zertifikat AD FS hinzu.
      1. Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
      2. Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
      3. Klicken Sie im Aktionsbereich auf „Tokensignaturschlüssel hinzufügen“.
      4. Es wird eine Liste der Zertifikate angezeigt, die für die Tokensignatur gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, ihm ein privater Schlüssel zugeordnet ist und es die erweiterte Schlüsselverwendung für die digitale Signatur verwendet.
      5. Wählen Sie Ihr neues Tokensignaturzertifikat aus, und klicken Sie dann auf „OK“.
    5. Informieren Sie alle vertrauenden Seiten über die Änderung im Tokensignaturzertifikat.
      1. Vertrauende Seiten, die AD FS-Verbundmetadaten nutzen, müssen mithilfe von Pull die neuen Verbundmetadaten übertragen, um das neue Zertifikat verwenden zu können.
      2. Vertrauende Seiten, die KEINE AD FS-Verbundmetadaten nutzen, müssen den öffentlichen Schlüssel des neuen Tokensignaturzertifikats manuell aktualisieren. Geben Sie die CER-Datei für die vertrauenden Seiten frei.
    6. Legen Sie das neue Tokensignaturzertifikat als primäres Zertifikat fest.
      1. Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokensignatur“ aufgelistet werden: das vorhandene und das neue Zertifikat.
      2. Wählen Sie Ihr neues Tokensignaturzertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus.
      3. Behalten Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat bei. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist. Bitte denken Sie daran, dass die SSO-Sitzungen aktueller Benutzer signiert sind. Aktuelle AD FS-Proxyvertrauensstellungen verwenden Token, die mithilfe des alten Zertifikats signiert und verschlüsselt wurden.
    Der Proxyserver löscht Anforderungen für die Überlastungssteuerung. Dieser Proxyserver löscht zurzeit Anforderungen aus dem Extranet aufgrund einer Latenz zwischen diesem Proxyserver und dem Verbundserver, die höher als normal ist. Für einen bestimmten Teil der Authentifizierungsanforderungen, die vom AD FS-Proxyserver verarbeitet werden, kann ein Fehler auftreten.
  • Überprüfen Sie, ob die Netzwerklatenz zwischen dem Verbundproxyserver und den Verbundservern im akzeptablen Bereich liegt. Trendwerte für die „Tokenanforderungslatenz“ finden Sie im Abschnitt „Überwachung“. Eine Wartezeit von mehr als 1.500 ms sollte als hohe Latenz betrachtet werden. Wenn eine hohe Latenz beobachtet wird, stellen Sie sicher, dass für das Netzwerk zwischen AD FS und AD FS-Proxyservern keine Verbindungsprobleme vorliegen.
  • Stellen Sie sicher, dass die Verbundserver nicht durch Authentifizierungsanforderungen überlastet werden. Im Abschnitt „Überwachung“ finden Sie Trendansichten für die Tokenanforderungen pro Sekunde, die CPU-Nutzung und die Arbeitsspeichernutzung.
  • Wenn die oben genannten Punkte überprüft wurden und das Problem weiterhin besteht, passen Sie die Einstellung zur Vermeidung von Überlastungen auf jedem der Verbundproxyserver gemäß den Richtlinien unter den entsprechenden Links an.
    		•
    Dem AD FS-Dienstkonto wird der Zugriff auf einen der privaten Schlüssel des Zertifikats verweigert. Das AD FS-Dienstkonto hat keinen Zugriff auf den privaten Schlüssel eines der AD FS-Zertifikate auf diesem Computer. Stellen Sie sicher, dass das AD FS-Dienstkonto Zugriff auf die TLS-, Tokensignatur- und Tokenentschlüsselungszertifikate hat, die im Zertifikatspeicher des lokalen Computers gespeichert sind.
    1. Geben Sie in der Befehlszeile „MMC“ ein.
    2. Navigieren Sie zu „Datei -> Snap-In hinzufügen/entfernen“.
    3. Wählen Sie „Zertifikate“ aus, und klicken Sie dann auf „Hinzufügen“. -> Wählen Sie „Computerkonto“ aus, und klicken Sie auf „Weiter“. -> Wählen Sie „Lokaler Computer“ aus, und klicken Sie auf „Fertig stellen“. Klicken Sie auf OK.

    Öffnen Sie „Certificates(Local Computer)/Personal/Certificates“. Gehen Sie für alle von AD FS verwendeten Zertifikate folgendermaßen vor:
    1. Klicken Sie mit der rechten Maustaste auf das Zertifikat.
    2. Wählen Sie „Alle Aufgaben -> Private Schlüssel verwalten“ aus.
    3. Stellen Sie auf der Registerkarte „Sicherheit“ unter „Gruppen- oder Benutzernamen“ sicher, dass das AD FS-Dienstkonto vorhanden ist. Ist dies nicht der Fall, wählen Sie „Hinzufügen“ aus, und fügen Sie dann das AD FS-Dienstkonto hinzu.
    4. Wählen Sie das AD FS-Dienstkonto aus, und stellen Sie dann unter „Berechtigungen für <Name des AD FS-Dienstkontos>“ sicher, dass „Leseberechtigung“ aktiviert ist (Häkchen).
    Das AD FS-SSL-Zertifikat besitzt keinen privaten Schlüssel. Das AD FS-TLS/SSL-Zertifikat wurde ohne einen privaten Schlüssel installiert. Bei allen Authentifizierungsanforderungen über SSL tritt ein Fehler auf. Es tritt z. B. ein Fehler bei der E-Mail-Clientauthentifizierung für Microsoft 365 auf. Aktualisieren Sie das TLS/SSL-Zertifikat auf jedem AD FS-Server.
    1. Rufen Sie ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat mit den folgenden Anforderungen ab.
      1. Die Zertifikatinstallationsdatei enthält den privaten Schlüssel des Zertifikats.
      2. Die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) ist mindestens „Serverauthentifizierung“.
      3. Der Antragsteller- oder der alternative Antragstellername (Subject Alternative Name, SAN) enthält den DNS-Namen des Verbunddiensts oder einen entsprechenden Platzhalter. Beispiel: „sso.contoso.com“ oder „*.contoso.com“
    2. Installieren Sie das neue TLS/SSL-Zertifikat auf jedem Server im Zertifikatspeicher des lokalen Computers.
    3. Stellen Sie sicher, dass das AD FS-Dienstkonto Lesezugriff für den privaten Schlüssel des Zertifikats besitzt.

    Für AD FS 2.0 in Windows Server 2008R2:

    • Binden Sie das neue TLS/SSL-Zertifikat an die Website in IIS, die den Verbunddienst hostet. Bitte beachten Sie, dass dieser Schritt auf jedem Verbundserver und Verbundserverproxy ausgeführt werden muss.

    AD FS in Windows Server 2012 R2 oder höheren Versionen:

  • Weitere Informationen finden Sie unter: Verwalten von SSL-Zertifikaten in AD FS und WAP
    • Das primäre AD FS-Tokenentschlüsselungszertifikat ist abgelaufen. Das primäre AD FS-Tokenentschlüsselungszertifikat ist abgelaufen. AD FS kann Token von vertrauenswürdigen Anspruchsanbietern nicht entschlüsseln. AD FS kann verschlüsselte SSO-Cookies nicht entschlüsseln. Die Endbenutzer sind nicht in der Lage, sich zu authentifizieren, um auf Ressourcen zuzugreifen.

    Wenn automatischer Zertifikatrollover aktiviert ist, verwaltet AD FS das Tokenentschlüsselungszertifikat.

    Wenn Sie Ihr Zertifikat manuell verwalten, folgen Sie bitte den unten stehenden Anweisungen.

    1. Rufen Sie ein neues Tokenentschlüsselungszertifikat ab.
      • Stellen Sie sicher, dass die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) „Schlüsselchiffrierung“ enthält.
      • Für den Antragsteller- oder den alternativen Antragstellernamen (Subject Alternative Name, SAN) gelten keine Einschränkungen.
      • Bitte denken Sie daran, dass Ihre Verbundserver und Anspruchsanbieterpartner in der Lage sein müssen, eine Verkettung mit einer vertrauenswürdigen Stammzertifizierungsstelle herzustellen, wenn sie Ihr Tokenentschlüsselungszertifikat überprüfen.
    2. Entscheiden Sie, wie Ihre Anspruchsanbieterpartner dem neuen Tokenentschlüsselungszertifikat vertrauen.
      • Bitten Sie die Partner, die Verbundmetadaten nach dem Aktualisieren des Zertifikats mithilfe von Pull zu übertragen.
      • Geben Sie den öffentlichen Schlüssel des neuen Zertifikats (CER-Datei) für die Partner frei. Starten Sie auf dem AD FS-Server des Anspruchsanbieterpartners die AD FS-Verwaltung über das Menü „Verwaltung“. Wählen Sie unter „Vertrauensstellungen/Vertrauensstellungen der vertrauenden Seite“ die Vertrauensstellung aus, die für Sie erstellt wurde. Klicken Sie unter „Eigenschaften/Verschlüsselung“ auf „Durchsuchen“, um das neue Tokenentschlüsselungszertifikat auszuwählen, und klicken Sie dann auf „OK“.
    3. Installieren Sie das Zertifikat im lokalen Zertifikatspeicher auf jedem Verbundserver.
      • Stellen Sie sicher, dass die Zertifikatinstallationsdatei den privaten Schlüssel des Zertifikats auf jedem Server enthält.
    4. Stellen Sie sicher, dass das Konto des Verbunddiensts Zugriff auf den privaten Schüssel des neuen Zertifikats hat.
    5. Fügen Sie das neue Zertifikat AD FS hinzu.
      • Starten Sie die AD FS-Verwaltung über das Menü „Verwaltung“.
      • Erweitern Sie den Dienst, und wählen Sie „Zertifikate“ aus.
      • Klicken Sie im Aktionsbereich auf „Tokenentschlüsselungszertifikat hinzufügen“.
      • Es wird eine Liste der Zertifikate angezeigt, die für die Tokenentschlüsselung gültig sind. Wenn das neue Zertifikat nicht in der Liste vorhanden ist, müssen Sie zu den vorherigen Schritten zurückkehren und sicherstellen, dass sich das Zertifikat im persönlichen Speicher des lokalen Computers befindet, ihm ein privater Schlüssel zugeordnet ist und es für die erweiterte Schlüsselverwendung Schlüsselchiffrierung verwendet.
      • Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, und klicken Sie dann auf „OK“.
    6. Legen Sie das neue Tokenentschlüsselungszertifikat als primäres Zertifikat fest.
      • Wenn der Knoten „Zertifikate“ in der AD FS-Verwaltung ausgewählt ist, sollten nun zwei Zertifikate unter „Tokenentschlüsselung“ aufgelistet werden: das vorhandene und das neue Zertifikat.
      • Wählen Sie Ihr neues Tokenentschlüsselungszertifikat aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann „Als primäres festlegen“ aus.
      • Belassen Sie das alte Zertifikat für Rolloverzwecke als sekundäres Zertifikat. Sie sollten planen, das alte Zertifikat zu entfernen, sobald Sie sicher sind, dass es nicht mehr für Rolloverzwecke benötigt wird, oder wenn das Zertifikat abgelaufen ist.

    Warnungen für Azure Active Directory Domain Services

    Name der Warnung BESCHREIBUNG Wiederherstellung
    Der Domänencontroller ist nicht über LDAP-Ping erreichbar. Der Domänencontroller ist nicht über LDAP-Ping erreichbar. Dies kann auf Netzwerk- oder Computerprobleme zurückzuführen sein. Es kann kein LDAP-Ping durchgeführt werden.
  • Überprüfen Sie die Liste der Warnungen auf verwandte Warnungen. Beispiel: Der Domänencontroller sendet keine Ankündigungen.
  • Stellen Sie sicher, dass auf dem Domänencontroller genügend Speicherplatz vorhanden ist. Wenn der Speicherplatz nahezu erschöpft ist, kündigt der Domänencontroller sich selbst nicht mehr als LDAP-Server an.
  • Versuchen Sie, den PDC zu ermitteln: Führen Sie
    netdom query fsmo
    auf dem betroffenen Domänencontroller aus.
  • Stellen Sie sicher, dass das physische Netzwerk ordnungsgemäß konfiguriert/verbunden ist.
    • Fehler bei der Active Directory-Replikation ermittelt Auf diesem Domänencontroller liegen Replikationsprobleme vor. Sie können die Probleme im Dashboard „Replikationsstatus“ anzeigen. Replikationsfehler können auf eine fehlerhafte Konfiguration oder andere damit verbundene Probleme zurückzuführen sein. Nicht behandelte Replikationsfehler können zu Dateninkonsistenzen führen. Stellen Sie mithilfe der zusätzlichen Details die Namen der betroffenen Quell- und Zieldomänencontroller fest. Navigieren Sie zum Dashboard „Replikationsstatus“, und suchen Sie nach den aktiven Fehlern auf den betroffenen Domänencontrollern. Klicken Sie auf den Fehler, um ein Blatt mit Details zur Behandlung des jeweiligen Fehlers zu öffnen.
    Der Domänencontroller kann keinen PDC ermitteln. Von diesem Domänencontroller aus kann kein PDC erreicht werden. Dies führt zu beeinträchtigten Benutzeranmeldungen, nicht angewendeten Gruppenrichtlinienänderungen und zu Fehlern bei der Systemzeitsynchronisierung.
  • Überprüfen Sie die Liste der Warnungen auf verwandte Warnungen, die sich auf Ihren PDC auswirken könnten. Beispiel: Der Domänencontroller sendet keine Ankündigungen.
  • Versuchen Sie, den PDC zu ermitteln: Führen Sie
    netdom query fsmo
    auf dem betroffenen Domänencontroller aus.
  • Stellen Sie sicher, dass das Netzwerk ordnungsgemäß funktioniert.
    • Der Domänencontroller kann keinen globalen Katalogserver ermitteln. Von diesem Domänencontroller aus kann kein globaler Katalogserver erreicht werden. Dies führt zu Fehlern bei Authentifizierungsversuchen über diesen Domänencontroller. Überprüfen Sie die Liste der Warnungen auf Meldungen des Typs Der Domänencontroller sendet keine Ankündigungen, bei denen der betroffene Server möglicherweise ein globaler Katalog ist. Wenn keine Warnungen zu Ankündigungen vorhanden sind, überprüfen Sie die SRV-Einträge für die globalen Kataloge. Sie können zur Überprüfung folgenden Befehl ausführen:
    nltest /dnsgetdc: [ForestName] /gc
    Durch diesen Befehl werden die Domänencontroller aufgelistet, die als globale Kataloge ankündigen. Wenn die Liste leer ist: Überprüfen Sie die DNS-Konfiguration, um sicherzustellen, dass der globale Katalog die SRV-Einträge registriert hat. Der Domänencontroller findet die Einträge im DNS.
    Informationen zur Problembehandlung globaler Kataloge finden Sie unter Advertising as a Global Catalog Server (Ankündigung als globaler Katalogserver).
    Der Domänencontroller kann die lokale SYSVOL-Freigabe nicht erreichen. SYSVOL enthält wichtige Elemente aus Gruppenrichtlinienobjekten und Skripts, die auf die DCs einer Domäne verteilt werden. Der DC kündigt sich nicht selbst als DC an, und Gruppenrichtlinien werden nicht angewendet. Siehe Problembehandlung bei fehlenden SYSVOL- und Netlogon-Freigaben.
    Die Zeit auf dem Domänencontroller ist nicht synchron. Die Zeit auf diesem Domänencontroller liegt außerhalb der normalen Zeitabweichung. Kerberos-Authentifizierungen können nicht erfolgreich durchgeführt werden.
  • Starten Sie den Windows-Zeitdienst neu: Führen Sie
    net stop w32time
    und dann
    net start w32time
    auf dem betroffenen Domänencontroller aus.
  • Führen Sie eine erneute Zeitsynchronisierung durch: Führen Sie
    w32tm /resync
    auf dem betroffenen Domänencontroller aus.
    		•
    Der Domänencontroller sendet keine Ankündigungen. Dieser Domänencontroller kündigt die Rollen, die er ausführen kann, nicht ordnungsgemäß an. Dies kann auf Probleme mit der Replikation, eine DNS-Fehlkonfiguration, nicht ausgeführte wichtige Dienste oder darauf zurückzuführen sein, dass der Server nicht vollständig initialisiert wurde. Dadurch können Domänencontroller, Domänenmitglieder und andere Geräte diesen Domänencontroller nicht ermitteln. Darüber hinaus sind andere Domänencontroller möglicherweise nicht in der Lage, von diesem Domänencontroller aus eine Replikation durchzuführen. Überprüfen Sie die Liste der Warnungen auf verwandte Warnungen. Beispiel: Replikation ist nicht funktionsfähig. Die Zeit auf dem Domänencontroller ist nicht synchron. Der Netlogon-Dienst wird nicht ausgeführt. Der DFSR- und/oder der NTFRS-Dienst wird nicht ausgeführt. Identifizieren und beheben Sie zugehörige DNS-Probleme: Melden Sie sich beim betroffenen Domänencontroller an. Öffnen Sie das Systemereignisprotokoll. Wenn die Ereignisse 5774, 5775 oder 5781 vorhanden sind, finden Sie unter Problembehandlung bei Registrierungsfehlern für Domänencontrollerlocator-DNS-Einträge weitere Informationen. Identifizieren und beheben Sie zugehörige Probleme mit dem Windows-Zeitdienst: Stellen Sie sicher, dass der Windows-Zeitdienst ausgeführt wird: Führen Sie net start w32time auf dem betroffenen Domänencontroller aus. Starten Sie den Windows-Zeitdienst neu: Führen Sie net stop w32time und anschließend net start w32time auf dem betroffenen Domänencontroller aus.
    DER GPSVC-Dienst wird nicht ausgeführt. Wenn der Dienst beendet oder deaktiviert wird, werden die vom Administrator konfigurierten Einstellungen nicht angewendet, und Anwendungen und Komponenten können nicht über die Gruppenrichtlinie verwaltet werden. Komponenten oder Anwendungen, die von der Gruppenrichtlinienkomponente abhängig sind, sind nach dem Deaktivieren des Diensts möglicherweise nicht mehr funktionsfähig. Ausführen von
    net start gpsvc
    auf dem betroffenen Domänencontroller aus.
    Der DFSR- und/oder der NTFRS-Dienst wird nicht ausgeführt. Wenn sowohl der DFSR- als auch der NTFRS-Dienst beendet wurden, sind Domänencontroller nicht in der Lage, SYSVOL-Daten zu replizieren. Die SYSVOL-Daten sind dadurch nicht mehr konsistent.
  • Bei Verwendung von DFSR:
      Führen Sie net start dfsr auf dem betroffenen Domänencontroller aus.
    1. Bei Verwendung von NTFRS:
        Führen Sie net start ntfrs auf dem betroffenen Domänencontroller aus.
    • Der Netlogon-Dienst wird nicht ausgeführt. Anmeldeanforderungen, Registrierung, Authentifizierung und das Ermitteln von Domänencontrollern sind auf diesem DC nicht möglich. Führen Sie net start netlogon auf dem betroffenen Domänencontroller aus.
    Der W32Time-Dienst wird nicht ausgeführt. Wenn der Windows-Zeitdienst beendet wird, steht die Synchronisierung von Datum und Uhrzeit nicht zur Verfügung. Wird dieser Dienst deaktiviert, können alle Dienste, die explizit davon abhängig sind, nicht gestartet werden. Führen Sie net start win32Time auf dem betroffenen Domänencontroller aus.
    Der ADWS-Dienst wird nicht ausgeführt. Wenn der Dienst „Active Directory-Webdienste“ beendet oder deaktiviert wurde, können Clientanwendungen wie z. B. Active Directory PowerShell nicht auf lokal auf diesem Server ausgeführte Verzeichnisdienstinstanzen zugreifen oder diese verwalten. Führen Sie net start adws auf dem betroffenen Domänencontroller aus.
    Der Stamm-PDC führt keine Synchronisierung mit dem NTP-Server durch. Wenn Sie den primären Domänencontroller nicht zur Uhrzeitsynchronisierung mit einer externen oder internen Zeitquelle konfigurieren, verwendet der PDC-Emulator seine interne Uhr und ist selbst die zuverlässige Zeitquelle für die Gesamtstruktur. Wenn die Uhrzeit auf dem PDC nicht genau ist, weisen alle Computer falsche Uhrzeiteinstellungen auf. Öffnen Sie auf dem betroffenen Domänencontroller eine Eingabeaufforderung. Beenden Sie den Zeitdienst: net stop w32time
  • Konfigurieren Sie die externen Zeitquelle:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Hinweis: Ersetzen Sie „time.windows.com“ durch die Adresse der gewünschten externen Zeitquelle. Starten Sie den Zeitdienst:
    net start w32time
    • Der Domänencontroller steht unter Quarantäne. Dieser Domänencontroller ist mit keinem der weiteren betriebsbereiten Domänencontroller verbunden. Dies kann auf eine falsche Konfiguration zurückzuführen sein. Dadurch wird dieser DC nicht verwendet und führt keine Replikation durch. Aktivieren Sie die eingehende und ausgehende Replikation: Führen Sie repadmin /options ServerName -DISABLE_INBOUND_REPL auf dem betroffenen Domänencontroller aus. Führen Sie repadmin /options ServerName -DISABLE_OUTBOUND_REPL auf dem betroffenen Domänencontroller aus. Erstellen Sie eine neue Replikationsverbindung mit einem anderen Domänencontroller:
    1. Öffnen Sie Active Directory-Standorte und -Dienste: Klicken Sie auf „Start“, zeigen Sie auf „Verwaltung“, und klicken Sie dann auf „Active Directory-Standorte und -Dienste“.
    2. Erweitern Sie in der Konsolenstruktur den Knoten für die Standorte, und erweitern Sie dann den Standort, dem dieser Domänencontroller angehört.
    3. Erweitern Sie den Container „Server“, um die Liste der Server anzuzeigen.
    4. Erweitern Sie das Serverobjekt für diesen DC.
    5. Klicken Sie mit der rechten Maustaste auf das NTDS-Einstellungsobjekt, und klicken Sie auf „Neue Verbindung für die Active Directory Domain Services“.
    6. Wählen Sie einen Server in der Liste aus, und klicken Sie auf „OK“.
    How to remove orphaned domains from Active Directory (Entfernen von verwaisten Domänen aus Active Directory)
    Die ausgehende Replikation ist deaktiviert. DCs mit deaktivierter ausgehender Replikation können keine Änderungen verteilen, die von ihnen selbst ausgehen. Führen Sie die folgenden Schritte aus, um die ausgehende Replikation auf dem betroffenen Domänencontroller zu aktivieren: Klicken Sie auf „Start“, klicken Sie auf „Ausführen“, geben Sie „cmd“ ein, und klicken Sie dann auf „OK“. Geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Die eingehende Replikation ist deaktiviert. DCs mit deaktivierter eingehender Replikation verfügen nicht über die aktuellsten Informationen. Diese Situation kann zu Anmeldefehlern führen. Führen Sie die folgenden Schritte aus, um die eingehende Replikation auf dem betroffenen Domänencontroller zu aktivieren: Klicken Sie auf „Start“, klicken Sie auf „Ausführen“, geben Sie „cmd“ ein, und klicken Sie dann auf „OK“. Geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
    repadmin /options -DISABLE_INBOUND_REPL
    Der LanmanServer-Dienst wird nicht ausgeführt. Wird dieser Dienst deaktiviert, können alle Dienste, die explizit davon abhängig sind, nicht gestartet werden. Führen Sie net start LanManServer auf dem betroffenen Domänencontroller aus.
    Der Dienst des Kerberos-Schlüsselverteilungscenters (KDC) wird nicht ausgeführt. Wenn der KDC-Dienst beendet wurde, können sich Benutzer nicht über diesen Domänencontroller mit dem Kerberos v5-Authentifizierungsprotokoll authentifizieren. Führen Sie net start kdc auf dem betroffenen Domänencontroller aus.
    Der DNS-Dienst wird nicht ausgeführt. Wenn der DNS-Dienst beendet wird, können weder Computer noch Benutzer, die den Server für DNS-Zwecke verwenden, Ressourcen ermitteln. Führen Sie net start dns auf dem betroffenen Domänencontroller aus.
    Für den DC wurde ein USN-Rollback durchgeführt. Bei USN-Rollbacks werden Änderungen an Objekten und Attributen bei der eingehenden Replikation nicht von Zieldomänencontrollern repliziert, auf denen die USN zuvor vorhanden war. Da für diese Zieldomänencontroller angenommen wird, dass sie auf dem neuesten Stand sind, werden in den Verzeichnisdienst-Ereignisprotokollen oder den Überwachungs- und Diagnosetools keine Replikationsfehler gemeldet. Ein USN-Rollback kann sich auf die Replikation aller Objekte oder Attribute in einer beliebigen Partition auswirken. Der häufigste Nebeneffekt ist, dass auf dem Rollback-Domänencontroller erstellte Benutzerkonten und Computerkonten auf mindestens einem Replikationspartner nicht vorhanden sind. Alternativ können Kennwortupdates, die vom Rollbackdomänencontroller stammen, auf Replikationspartnern nicht vorhanden sein. Es gibt zwei Ansätze für eine Wiederherstellung nach einem USN-Rollback:

    Entfernen Sie den Domänencontroller aus der Domäne, und führen Sie die folgenden Schritte aus:

    1. Entfernen Sie Active Directory aus dem Domänencontroller, um ihn als eigenständigen Server zu erzwingen. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      332199 Domänencontroller werden nicht ordnungsgemäß tiefer gestuft, wenn Sie mit dem Active Directory-Installations-Assistenten eine Herabstufung in Windows Server 2003 und Windows 2000 Server erzwingen.
    2. Fahren Sie den tiefer gestuften Server herunter.
    3. Bereinigen Sie die Metadaten des herabgestuften Domänencontrollers über einen fehlerfreien Domänencontroller. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      216498 Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
    4. Wenn auf dem falsch wiederhergestellten Domänencontroller Betriebsmasterfunktionen gehostet werden, übertragen Sie diese auf einen fehlerfreien Domänencontroller. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      255504 Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms „Ntdsutil.exe“
    5. Starten Sie den tiefer gestuften Server neu.
    6. Falls erforderlich, installieren Sie Active Directory erneut auf dem eigenständigen Server.
    7. Wenn der Domänencontroller zuvor als globaler Katalog eingesetzt wurde, konfigurieren Sie den Domänencontroller als globalen Katalog. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      313994 Erstellen oder Verschieben eines globalen Katalogs in Windows 2000
    8. Wenn auf dem Domänencontroller zuvor Betriebsmasterfunktionen gehostet wurden, übertragen Sie die Betriebsmasterfunktionen wieder auf den Domänencontroller. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
      255504 Übertragen von FSMO-Rollen auf einen Domänencontroller mithilfe des Programms „Ntdsutil.exe“. Stellen Sie den Systemstatus mithilfe einer fehlerfreien Sicherung wieder her.

    Überprüfen Sie, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn vor der fehlerhaften Wiederherstellung des Rollback-Domänencontrollers eine Sicherung mit gültigem Systemstatus erstellt wurde, stellen Sie den Systemstatus aus der neuesten Sicherung wieder her.

    Sie können auch eine Momentaufnahme als Sicherungsquelle verwenden. Alternativ können Sie die Datenbank so konfigurieren, dass sie sich selbst eine neue Aufruf-ID zuweist. Informationen zur Vorgehensweise finden Sie im Abschnitt zum Wiederherstellen einer vorherigen Version einer virtuellen Domänencontroller-VHD ohne Sicherung der Systemstatusdaten in diesem Artikel.

    Nächste Schritte