Compartir a través de


Catálogo de alertas de Microsoft Entra Connect Health

El servicio Microsoft Entra Connect Health envía alertas para indicar que la infraestructura de identidad no tiene un estado correcto. En este artículo se incluyen los títulos de las alertas, las descripciones y los pasos de corrección de cada alerta.
Error, advertencia y advertencia previa son tres fases de alertas que se generan desde el servicio Connect Health. Se recomienda encarecidamente emprender acciones inmediatas sobre las alertas desencadenadas.
Las alertas de Microsoft Entra Connect Health se resuelven en una condición satisfactoria. Los Agentes de Microsoft Entra Connect Health detectan e informan de las condiciones de éxito al servicio de manera periódica. En el caso de algunas alertas, la supresión depende del tiempo. En otras palabras, si la misma condición de error no se observa dentro de un plazo de 72 horas desde la generación de la alerta, esta se resuelve de forma automática.

Alertas generales

Nombre de la alerta Descripción Corrección
Los datos del servicio de mantenimiento no están actualizados. Uno o varios agentes de estado que se ejecutan en uno o varios servidores no están conectados al Servicio de mantenimiento y dicho servicio no recibe los datos más recientes desde estos servidores. Los últimos datos que procesó el servicio de mantenimiento tienen una antigüedad superior a las 2 horas. Asegúrese de que los agentes de mantenimiento tengan conectividad saliente a los puntos de conexión de servicio necesarios. Más información

Alertas de Microsoft Entra Connect (sincronización)

Nombre de la alerta Descripción Corrección
El servicio de sincronización de Microsoft Entra Connect no se está ejecutando El servicio de Windows de sincronización de Microsoft Entra ID no se está ejecutando o no se pudo iniciar. Como resultado, los objetos no se sincronizarán con Microsoft Entra ID. Iniciar servicios de sincronización de Microsoft Entra ID
  1. Seleccione Inicio, seleccione Ejecutar, escriba Services.mscy, a continuación, selecciona Aceptar.
  2. Busque el servicio de sincronización de Microsoft Entra ID y compruebe si se ha iniciado. Si el servicio no se inicia, selecciónelo con el botón derecho y, a continuación, seleccione Iniciar.
No se pudo realizar la importación desde Microsoft Entra ID Error en la operación de importación de Microsoft Entra Connector. Para más información, investigue los errores del registro de eventos de la operación de importación.
No se puedo realizar la conexión a Microsoft Entra ID debido a un error de autenticación No se puedo realizar la conexión a Microsoft Entra ID debido a un error de autenticación. Como resultado, los objetos no se sincronizarán con Microsoft Entra ID. Para más información, investigue los errores del registro de eventos.
No se pudo exportar a Active Directory Error en la operación de exportación al conector de Active Directory. Para más información, investigue los errores del registro de eventos de la operación de exportación.
No se pudo realizar la importación desde Active Directory No se pudo realizar la importación desde Active Directory. Como resultado, es posible que no se importen objetos de algunos dominios de este bosque.
  • Compruebe la conectividad del DC.
  • Vuelva a ejecutar la importación manualmente.
  • Para más información, investigue los errores del registro de eventos de la operación de importación.
  • Error al exportar a Microsoft Entra ID Error en la operación de exportación a Microsoft Entra Connector. Como resultado, es posible que algunos objetos no se exportan correctamente al identificador de Microsoft Entra. Para más información, investigue los errores del registro de eventos de la operación de exportación.
    El latido de sincronización de hash de contraseñas se omitió en los últimos 120 minutos La sincronización de hash de contraseñas no está conectada con el identificador de Entra de Microsoft en los últimos 120 minutos. Como resultado, las contraseñas no se sincronizarán con Microsoft Entra ID. Reiniciar servicios de sincronización de Microsoft Entra ID:
    Se interrumpen las operaciones de sincronización que se están ejecutando actualmente. Puede elegir realizar los pasos siguientes cuando no haya ninguna operación de sincronización en curso.
    1. Seleccione Inicio, seleccione Ejecutar, escriba Services.mscy, a continuación, selecciona Aceptar.
    2. Busque Sincronización de id. de Entra de Microsoft, selecciónelo con el botón derecho y, a continuación, seleccione Reiniciar.
    Uso de CPU elevado detectado El porcentaje de consumo de CPU superó el umbral recomendado en este servidor.
  • Podría tratarse de un incremento temporal en el consumo de CPU. Compruebe las tendencias de uso de CPU en la sección de supervisión.
  • Inspeccione los procesos principales que consumen la mayor cantidad de CPU en el servidor.
    1. Puede usar el Administrador de tareas o ejecutar el siguiente comando de PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Si hay procesos inesperados que hacen un uso elevado de CPU, deténgalos mediante el siguiente comando de PowerShell:
      stop-process -ProcessName [nombre del proceso]
  • Si los procesos vistos en la lista anterior son los procesos previstos que se ejecutan en el servidor y el consumo de CPU está continuamente cerca del umbral, considere la posibilidad de volver a evaluar los requisitos de implementación de este servidor.
  • Como opción segura, puede considerar reiniciar el servidor.
  • Consumo alto de memoria detectado El porcentaje de consumo de memoria del servidor es superior al umbral recomendado en este servidor. Inspeccione los procesos principales que consumen la mayor cantidad de memoria en el servidor. Puede usar el Administrador de tareas o ejecutar el siguiente comando de PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Si hay procesos inesperados que consumen memoria alta, detenga los procesos mediante el siguiente comando de PowerShell:
    stop-process -ProcessName [nombre del proceso]
  • Si los procesos vistos en la lista anterior son los procesos previstos que se ejecutan en el servidor, considere la posibilidad de volver a evaluar los requisitos de implementación de este servidor.
  • Como opción de seguridad por error, es posible que considere la posibilidad de reiniciar el servidor.
  • La sincronización de hash de contraseñas dejó de funcionar Se detiene la sincronización de hash de contraseñas. Como resultado, las contraseñas no se sincronizarán con Microsoft Entra ID. Reinicie los servicios de sincronización de Microsoft Entra ID:
    Se interrumpen las operaciones de sincronización que se están ejecutando actualmente. Puede elegir realizar los pasos siguientes cuando no haya ninguna operación de sincronización en curso.
    1. Seleccione Inicio, seleccione Ejecutar, escriba Services.mscy, a continuación, selecciona Aceptar.
    2. Busque Sincronización de Microsoft Entra ID, haga clic con el botón derecho en este servicio y seleccione Reiniciar.

    La exportación a Microsoft Entra ID se detuvo. Se alcanzó el umbral de eliminación accidental La operación de exportación a Microsoft Entra ID falló. El número de objetos para eliminar superaba el umbral configurado. Como resultado, no se exportó ningún objeto. El número de objetos marcados para su eliminación es mayor que el umbral máximo establecido. Para evaluar los objetos pendientes de eliminación, consulte prevención de eliminaciones accidentales.

    Alertas de Servicios de federación de Active Directory

    Nombre de la alerta Descripción Corrección
    La solicitud de autenticación de prueba (transacción sintética) no pudo obtener un token Las solicitudes de autenticación de prueba (transacciones sintéticas) iniciadas desde este servidor no pudieron obtener un token después de cinco reintentos. Esto puede deberse a problemas transitorios de red, disponibilidad del controlador de dominio de AD DS o a un servidor de AD FS mal configurado. Como resultado, es posible que se produzca un error en las solicitudes de autenticación procesadas por el servicio de federación. El agente usa el contexto de la cuenta de equipo local para obtener un token del Servicio de federación. Asegúrese de que se realizan los pasos siguientes para comprobar el mantenimiento del servidor.
    1. Asegúrese de que no existan alertas sin resolver adicionales para este u otros servidores de AD FS de la granja.
    2. Compruebe que esta condición no es un error transitorio iniciando sesión con un usuario de prueba de la página de inicio de sesión de AD FS disponible en https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Vaya a https://testconnectivity.microsoft.com y elija la pestaña "Office 365". Realice la "Prueba de inicio de sesión único de Office 365".
    4. Verifique que el nombre de su servicio de AD FS se pueda resolver desde este servidor: ejecute el comando siguiente desde un símbolo del sistema en este servidor. nslookup your_adfs_server_name

    Si el nombre del servicio no se puede resolver, consulte la sección de Preguntas frecuentes para recibir instrucciones sobre cómo agregar una entrada de archivo HOST del servicio AD FS con la dirección IP de este servidor. Esto permite que el módulo de transacciones sintéticas que se ejecuta en este servidor solicite un token.

    El servidor proxy no puede establecer contacto con el servidor de federación Este servidor proxy de AD FS no puede ponerse en contacto con el servicio AD FS. Como resultado, se producen errores en las solicitudes de autenticación procesadas por este servidor. Realice los pasos siguientes para comprobar la conectividad entre este servidor y el servicio AD FS.
    1. Asegúrese de que el firewall entre este servidor y el servicio AD FS esté configurado de manera precisa.
    2. Asegúrese de que la resolución DNS del nombre del servicio AD FS apunta correctamente el servicio AD FS que reside en la red corporativa. Para conseguir esto, se puede usar un servidor DNS que atienda este servidor en la red perimetral, o a través de entradas de los archivos HOSTS del nombre del servicio AD FS.
    3. Para comprobar la conectividad de red, abra un explorador en este servidor y acceda al punto de conexión de metadatos de federación, que se encuentra en https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    El certificado SSL está a punto de expirar El certificado TLS/SSL que usan los servidores de federación expirará en un plazo de 90 días. Una vez expirado, se produce un error en las solicitudes que requieren una conexión TLS válida. Por ejemplo, para los clientes de Microsoft 365, los clientes de correo no se pueden autenticar. Actualice el certificado TLS/SSL en cada servidor de AD FS.
    1. Obtenga el certificado TLS/SSL con los siguientes requisitos.
      1. El uso mejorado de clave es al menos la autenticación de servidor.
      2. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.
    2. Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.
    3. Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.

    Para AD FS 2.0 en Windows Server 2008 R2:

    • Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    Para AD FS en Windows Server 2012 R2 y versiones posteriores:

  • Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
  • El servicio AD FS no se está ejecutando en el servidor El Servicio de federación de Active Directory (servicio de Windows) no se está ejecutando en este servidor. Se produce un error en las solicitudes dirigidas a este servidor. Para iniciar el Servicio de federación de Active Directory (servicio de Windows), siga estos pasos:
    1. Inicie sesión en el servidor como administrador.
    2. Abra services.msc.
    3. Busque "Servicios de federación de Active Directory (AD FS)"
    4. Seleccione con el botón derecho y seleccione "Iniciar"
    Dns del servicio de federación podría estar mal configurado El servidor DNS podría estar configurado para usar un registro CNAME en el nombre de la granja de servidores de AD FS. Se recomienda usar un registro A o AAAA para AD FS para que la autenticación integrada de Windows funcione sin problemas dentro de la red corporativa. Asegúrese de que el tipo de registro DNS de la granja de servidores de AD FS <Farm Name> no sea CNAME. Configúrelo para que sea un registro A o AAAA.
    La auditoría de AD FS está deshabilitada La auditoría de AD FS está deshabilitada en el servidor. La sección de uso de AD FS en el portal no incluirá datos de este servidor. Si no están habilitadas las auditorías de AD FS, siga estas instrucciones:
    1. Conceda a la cuenta del servicio AD FS el derecho "Generar auditorías de seguridad" en el servidor de AD FS.
    2. Abra la directiva de seguridad local en el servidor gpedit.msc.
    3. Vaya a "Configuración del equipo\Configuración de Windows\Directivas locales\Asignación de derechos de usuario".
    4. Agregue la cuenta del servicio AD FS para que tenga el derecho "Generar auditorías de seguridad".
    5. Ejecute el siguiente comando desde el símbolo del sistema:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Actualice las propiedades del Servicio de federación para incluir auditorías de aciertos y errores.
    7. En la consola de AD FS, elija "Modificar las propiedades del Servicio de federación"
    8. En el cuadro de diálogo "Propiedades del Servicio de federación", elija la pestaña Eventos y seleccione "Auditorías de aciertos" y "Auditorías de errores"

    Después de seguir estos pasos, se deberían ver los eventos de auditoría de AD FS desde el Visor de eventos. Para comprobarlo:

    1. Vaya al Visor de eventos/Registros de Windows/Seguridad.
    2. Seleccione "Filter Current Logs" (Filtrar registros actuales) y, en la lista desplegable, "Orígenes de eventos", seleccione "AD FS Auditing" (Auditoría de AD FS). Para un servidor de AD FS activo con la auditoría de AD FS habilitada, los eventos deben estar visibles para el filtrado.

    Si ha seguido estas instrucciones antes, pero sigue apareciendo la alerta, es posible que un objeto de directiva de grupo esté deshabilitando la auditoría de AD FS. La causa principal puede ser una de las siguientes:

    1. A la cuenta del servicio AD FS se le está retirando el derecho de generar auditorías de seguridad.
    2. Un script personalizado del objeto de directiva de grupo está deshabilitando las auditorías de aciertos y errores según la aplicación generada.
    3. La configuración de AD FS no está habilitada para generar auditorías de aciertos y errores.
    El certificado SSL de AD FS está autofirmado. Actualmente usa un certificado autofirmado como certificado TLS/SSL en la granja de AD FS. Como resultado, se produce un error en la autenticación de cliente de correo para Microsoft 365.

    Actualice el certificado TLS/SSL en cada servidor de AD FS.

    1. Obtenga un certificado TLS/SSL de confianza pública con los siguientes requisitos.
    2. El archivo de instalación del certificado contiene su clave privada.
    3. El uso mejorado de clave es al menos la autenticación de servidor.
    4. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.

    Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.

      Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.
      Para AD FS 2.0 en Windows Server 2008 R2:
    1. Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    2. Para AD FS en Windows Server 2012 R2 o versiones posteriores:
    3. Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
    La confianza entre el servidor proxy y el servidor de federación no es válida La confianza entre el servidor proxy de federación y el Servicio de federación no se pudo establecer o renovar. Actualice el certificado de confianza de proxy en el servidor proxy. Vuelva a ejecutar el Asistente para configuración de proxy.
    Protección de bloqueo de extranet deshabilitada para AD FS La característica de protección de bloqueo de extranet está deshabilitada en la granja de servidores de AD FS. Esta característica protege a los usuarios de ataques por fuerza bruta desde Internet para obtener la contraseña e impide ataques de denegación de servicio contra los usuarios cuando las directivas de bloqueo de cuentas de AD DS están en vigor. Con esta característica habilitada, si el número de intentos de inicio de sesión de extranet con errores para un usuario (intentos de inicio de sesión realizados a través del servidor WAP y AD FS) supera el "ExtranetLockoutThreshold", los servidores de AD FS dejarán de procesar más intentos de inicio de sesión para "ExtranetObservationWindow" Le recomendamos encarecidamente habilitar esta característica en los servidores de AD FS. Ejecute el siguiente comando para habilitar la protección de bloqueo de extranet de AD FS con valores predeterminados.
    Set-AdfsProperties -EnableExtranetLockout $true

    Si tiene directivas de bloqueo de AD configuradas para los usuarios, asegúrese de que la propiedad "ExtranetLockoutThreshold" está establecida en un valor por debajo de su umbral de bloqueo de AD DS. De esta forma, se garantiza que las solicitudes que han superado el umbral de AD FS se descartan y nunca se comprueban en los servidores de AD DS.
    El nombre de entidad de seguridad de servicio (SPN) no es válido para la cuenta del servicio AD FS El nombre de entidad de seguridad de servicio de la cuenta del Servicio de federación no está registrado o no es único. Como resultado, es posible que la autenticación integrada de Windows de los clientes unidos a un dominio no sea fluida. Use [SETSPN -L ServiceAccountName] para mostrar las entidades de servicio.
    Use [SETSPN -X] para buscar nombres de entidad de servicio duplicados.

    Si se duplica el SPN de la cuenta del servicio AD FS, quite el SPN de la cuenta duplicada mediante [SETSPN -d service/namehostname].

    Si no se establece el SPN, use [SETSPN -s {SPN deseado} {nombre_de_dominio}{cuenta_de_servicio}] para establecer el SPN deseado de la cuenta del Servicio de federación.

    El certificado de descifrado de tokens de AD FS principal está a punto de expirar El certificado de descifrado de tokens de AD FS principal expirará en menos de 90 días. AD FS no puede descifrar los tokens de proveedores de notificaciones de confianza. AD FS no puede descifrar las cookies de SSO cifradas. Los usuarios finales no se pueden autenticar para acceder a los recursos. Si está habilitada la sustitución del certificado automático, AD FS administra el certificado de descifrado de tokens.

    Si administra el certificado manualmente, siga las instrucciones siguientes. Obtenga un nuevo certificado de descifrado de tokens.

    1. Asegúrese de que el uso mejorado de clave (EKU) incluye el "cifrado de clave"
    2. El Asunto o el Nombre Alternativo del Asunto (SAN) no tiene restricciones.
    3. Tenga en cuenta que los asociados de servidores de federación y de proveedor de notificaciones necesitan poderse encadenar a una entidad de certificación raíz de confianza al validar el certificado de descifrado de tokens.
    Decida cómo los asociados de proveedor de notificaciones confiarán en el nuevo certificado de descifrado de tokens.
    1. Pida a los asociados que extraigan los metadatos de federación después de actualizar el certificado.
    2. Comparta la clave pública del nuevo certificado (archivo .cer) con los asociados. En el servidor de AD FS del asociado del proveedor de notificaciones, inicie la administración de AD FS desde el menú Herramientas administrativas. En Relaciones de confianza/Relying Party Trusts (Relaciones de confianza para usuario autenticado), seleccione la relación de confianza que se creó para usted. En Propiedades/Cifrado, seleccione "Examinar" para seleccionar el nuevo certificado de descifrado de tokens y seleccione Aceptar.
    Instale el certificado en el almacén de certificados local en cada uno de los servidores de federación.
    • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo.Agregue el nuevo certificado a AD FS.
    1. Inicie la administración de AD FS en el menú Herramientas administrativas.
    2. Expanda el servicio y seleccione Certificados.
    3. En el panel Acciones, seleccione Agregar Certificado Token-Decrypting.
    4. Aparecerá una lista de certificados que son válidos para el descifrado de tokens. Si encuentra que el nuevo certificado no está en la lista, debe volver atrás y asegurarse de que el certificado está en el almacén personal del equipo local con una clave privada asociada y el certificado tiene el Cifrado de claves como Uso extendido de claves.
    5. Seleccione el nuevo certificado de descifrado de tokens y seleccione Aceptar.
    Establezca el nuevo certificado de descifrado de tokens como principal.
    1. Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Descifrado de tokens: el certificado existente y el nuevo certificado.
    2. Seleccione el nuevo certificado de descifrado de tokens, seleccione con el botón derecho y seleccione Establecer como principal.
    3. Deje el certificado antiguo como secundario para fines de sustitución. Debe planear quitar el certificado antiguo una vez que esté seguro de que ya no es necesario para la sustitución o cuando el certificado ha expirado.
    El certificado de firma de tokens de AD FS principal está a punto de expirar El certificado de firma de tokens de AD FS expirará en un plazo de 90 días. AD FS no puede emitir tokens firmados cuando este certificado no es válido. Obtenga un nuevo certificado de firma de tokens.
    1. Asegúrese de que el uso mejorado de clave (EKU) incluye la "firma digital"
    2. El firmante o el nombre alternativo del firmante (SAN) no tienen restricciones.
    3. Tenga en cuenta que los servidores de federación, los servidores de federación de asociados de recursos y los servidores de aplicaciones de usuario de confianza deben poderse encadenar a una entidad de certificación raíz al validar el certificado de firma de tokens.
    Instale el certificado en el almacén de certificados local en cada servidor de federación.
    • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo.Agregue el nuevo certificado a AD FS.
    1. Inicie la administración de AD FS en el menú Herramientas administrativas.
    2. Expanda el servicio y seleccione Certificados.
    3. En el panel Acciones, seleccione Añadir certificado Token-Signing...
    4. Aparecerá una lista de certificados que son válidos para la firma de tokens. Si encuentra que el nuevo certificado no está en la lista, debe volver atrás y asegurarse de que el certificado está en el equipo local Almacén personal con clave privada asociada y el certificado tiene la KU de firma digital.
    5. Seleccione el nuevo certificado de firma de tokens y seleccione Aceptar
    Informe a todos los usuarios de confianza sobre el cambio en el certificado de firma de tokens.
    1. Los usuarios de confianza que consumen metadatos de federación de AD FS deben extraer los nuevos metadatos de federación para empezar a usar el nuevo certificado.
    2. Los usuarios de confianza que NO consumen metadatos de federación de AD FS deben actualizar manualmente la clave pública del nuevo certificado de firma de tokens. Comparta el archivo .cer con los usuarios de confianza.
    3. Establezca el nuevo certificado de firma de tokens como principal.
      1. Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Firma de tokens: el certificado existente y el nuevo certificado.
      2. Seleccione tu nuevo certificado de Token-Signing, haz clic con el botón derecho y selecciona Establecer como principal.
      3. Deje el certificado antiguo como secundario para fines de sustitución. Debe planear eliminar el certificado antiguo una vez que tenga la certeza de que ya no es necesario para la renovación o cuando el certificado haya expirado. Tenga en cuenta que las sesiones de SSO de los usuarios actuales están firmadas. Las relaciones de confianza actuales del proxy de AD FS utilizan tokens que están firmados y cifrados con el certificado antiguo.
    El certificado SSL de AD FS no se encuentra en el almacén de certificados local El certificado con la huella digital configurada como certificado TLS/SSL en la base de datos de AD FS no se encontró en el almacén de certificados local. Como resultado, se produce un error en cualquier solicitud de autenticación a través de TLS. Por ejemplo, se produce un error en la autenticación de cliente de correo para Microsoft 365. Instale el certificado con la huella digital configurada en el almacén de certificados local.
    El certificado SSL ha expirado El certificado TLS/SSL para el servicio AD FS expiró. Como resultado, se produce un error en las solicitudes de autenticación que requieren una conexión TLS válida. Por ejemplo: la autenticación de cliente de correo no se puede autenticar para Microsoft 365. Actualice el certificado TLS/SSL en cada servidor de AD FS.
    1. Obtenga el certificado TLS/SSL con los siguientes requisitos.
    2. El uso mejorado de clave es al menos la autenticación de servidor.
    3. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.
    4. Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.
    5. Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.

    Para AD FS 2.0 en Windows Server 2008 R2:

    • Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    Para AD FS en Windows Server 2012 R2 o versiones posteriores: Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016

    Los puntos de conexión necesarios para Microsoft Entra ID (para Microsoft 365) no están habilitados El siguiente conjunto de puntos de conexión requeridos por Exchange Online Services, Microsoft Entra ID y Microsoft 365 no están habilitados para el servicio de federación:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
  • Habilite los puntos de conexión necesarios para Microsoft Cloud Services en el Servicio de federación.
    Para AD FS en Windows Server 2012 2012R2 o versiones posteriores
  • Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
  • El servidor de federación no puede conectarse a la base de datos de configuración de AD FS La cuenta del servicio AD FS está experimentando problemas al conectar con la base de datos de configuración de AD FS. Como resultado, el servicio AD FS en este equipo podría no funcionar según lo previsto.
  • Asegúrese de que la cuenta del servicio AD FS tenga acceso a la base de datos de configuración.
  • Asegúrese de que el servicio de base de datos de configuración de AD FS está disponible y es accesible.
  • Faltan los enlaces SSL necesarios o no están configurados Los enlaces TLS necesarios para que este servidor de federación realice correctamente la autenticación no están bien configurados. Como resultado, AD FS no puede procesar todas las solicitudes entrantes. En Windows Server 2012 R2
    Abra un símbolo del sistema con privilegios elevados de administrador y ejecute los comandos siguientes:
    1. Para ver el enlace TLS actual: Get-AdfsSslCertificate
    2. Para agregar nuevos enlaces: netsh http add sslcert hostnameport=<nombre del servicio de federación>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    El certificado principal de firma de tokens de AD FS expiró El certificado de firma de tokens de AD FS expiró. AD FS no puede emitir tokens firmados cuando este certificado no es válido. Si la sustitución del certificado automático está habilitada, AD FS administrará la actualización del certificado de firma de tokens.

    Si administra el certificado manualmente, siga las instrucciones siguientes.

    1. Obtenga un nuevo certificado de firma de tokens.
      1. Asegúrese de que el uso mejorado de clave (EKU) incluye la "firma digital"
      2. El firmante o el nombre alternativo del firmante (SAN) no tienen restricciones.
      3. Recuerde que los servidores de federación, los servidores de federación de asociados de recursos y los servidores de aplicaciones de usuario de confianza deben poderse encadenar a una entidad de certificación raíz al validar el certificado de firma de tokens.
    2. Instale el certificado en el almacén de certificados local en cada servidor de federación.
      • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    3. Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo.
    4. Agregue el nuevo certificado a AD FS.
      1. Inicie la administración de AD FS en el menú Herramientas administrativas.
      2. Expanda el servicio y seleccione Certificados.
      3. En el panel Acciones, seleccione Añadir certificado Token-Signing...
      4. Aparecerá una lista de certificados que son válidos para la firma de tokens. Si encuentra que el nuevo certificado no está en la lista, debe volver atrás y asegurarse de que el certificado está en el equipo local Almacén personal con clave privada asociada y el certificado tiene la KU de firma digital.
      5. Seleccione el nuevo certificado de firma de tokens y seleccione Aceptar
    5. Informe a todos los usuarios de confianza sobre el cambio en el certificado de firma de tokens.
      1. Los usuarios de confianza que consumen metadatos de federación de AD FS deben extraer los nuevos metadatos de federación para empezar a usar el nuevo certificado.
      2. Los usuarios de confianza que NO consumen metadatos de federación de AD FS deben actualizar manualmente la clave pública del nuevo certificado de firma de tokens. Comparta el archivo .cer con los usuarios de confianza.
    6. Establezca el nuevo certificado de firma de tokens como principal.
      1. Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Firma de tokens: el certificado existente y el nuevo certificado.
      2. Seleccione tu nuevo certificado de Token-Signing, haz clic con el botón derecho y selecciona Establecer como principal.
      3. Deje el certificado antiguo como secundario para fines de sustitución. Debe planear quitar el certificado antiguo una vez que esté seguro de que ya no es necesario para la sustitución o cuando el certificado ha expirado. Recuerde que las sesiones de SSO de los usuarios actuales están firmadas. Las relaciones de confianza actuales del proxy de AD FS utilizan tokens que están firmados y cifrados con el certificado antiguo.
    El servidor proxy está descartando solicitudes para controlar la congestión Este servidor proxy está descartando actualmente solicitudes de la extranet debido a una latencia mayor de lo habitual entre este servidor proxy y el servidor de federación. Como consecuencia de ello, se puede producir un error en una determinada parte de las solicitudes de autenticación que procesa el servidor proxy de AD FS.
  • Compruebe si la latencia de red entre el servidor proxy de federación y los servidores de federación se encuentra dentro del intervalo aceptable. Consulte la sección de supervisión para conocer los valores de tendencia de la "latencia de solicitudes de token" Una latencia mayor de [1500 ms] debe considerarse como alta latencia. Si se observó una latencia alta, asegúrese de que la red entre AD FS y los servidores proxy de AD FS no tiene problemas de conectividad.
  • Asegúrese de que los servidores de federación no están sobrecargados con solicitudes de autenticación. La sección de supervisión proporciona vistas de tendencia de las solicitudes de tokens por segundo, el uso de CPU y el consumo de memoria.
  • Si se han comprobado los elementos anteriores y el problema sigue apareciendo, ajuste la configuración de evitación de la congestión en cada uno de los servidores proxy de federación según las instrucciones de los vínculos relacionados.
  • A la cuenta de servicio de AD FS se le deniega el acceso a una de las claves privadas del certificado. La cuenta del servicio AD FS no tiene acceso a la clave privada de uno de los certificados de AD FS de este equipo. Asegúrese de que se proporciona a la cuenta de servicio de AD FS acceso a los certificados TLS, de firma de tokens y de descifrado de tokens disponibles en el almacén de certificados del equipo local.
    1. En la línea de comandos, escriba MMC.
    2. Vaya a Archivo->Add/Remove Snap-In (Agregar o quitar complemento).
    3. Seleccione Certificados y seleccione Agregar. -> Seleccionar cuenta de equipo y seleccione Siguiente. -> Seleccione Ordenador local y haga clic en Finalizar. Seleccione Aceptar.

    Abra Certificates(Local Computer)/Personal/Certificates. Para todos los certificados que usa AD FS:
    1. Seleccione el certificado con el botón derecho.
    2. Seleccione Todas las tareas -> Administrar claves privadas.
    3. Asegúrese de que en la pestaña Seguridad, bajo los nombres de usuario o grupo, está presente la cuenta del servicio AD FS. Si no es así, seleccione Agregar y agregue dicha cuenta.
    4. Seleccione la cuenta del servicio de AD FS y, en la opción de permisos para <Nombre de cuenta de servicio de AD FS>" asegúrese de que se habilita el permiso de lectura (marca de verificación).
    El certificado SSL de AD FS no tiene ninguna clave privada El certificado TLS/SSL de AD FS se instaló sin una clave privada. Como resultado, se produce un error en cualquier solicitud de autenticación a través de SSL. Por ejemplo, se produce un error en la autenticación de cliente de correo para Microsoft 365. Actualice el certificado TLS/SSL en cada servidor de AD FS.
    1. Obtenga un certificado TLS/SSL de confianza pública con los siguientes requisitos.
      1. El archivo de instalación del certificado contiene su clave privada.
      2. El uso mejorado de clave es al menos la autenticación de servidor.
      3. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.
    2. Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.
    3. Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.

    Para AD FS 2.0 en Windows Server 2008 R2:

    • Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    Para AD FS en Windows Server 2012 R2 o versiones posteriores:

  • Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
  • El certificado de descifrado del token de AD FS principal expiró El certificado de descifrado del token de AD FS principal expiró. AD FS no puede descifrar los tokens de proveedores de notificaciones de confianza. AD FS no puede descifrar las cookies de SSO cifradas. Los usuarios finales no se pueden autenticar para acceder a los recursos.

    Si está habilitada la sustitución del certificado automático, AD FS administra el certificado de descifrado de tokens.

    Si administra el certificado manualmente, siga las instrucciones siguientes.

    1. Obtenga un nuevo certificado de descifrado de tokens.
      • Asegúrese de que el uso mejorado de clave (EKU) incluye el cifrado de clave.
      • El Asunto o el Nombre Alternativo del Asunto (SAN) no tiene restricciones.
      • Tenga en cuenta que los asociados de servidores de federación y de proveedor de notificaciones necesitan poderse encadenar a una entidad de certificación raíz de confianza al validar el certificado de descifrado de tokens.
    2. Decida cómo los asociados de proveedor de notificaciones confiarán en el nuevo certificado de descifrado de tokens.
      • Pida a los asociados que extraigan los metadatos de federación después de actualizar el certificado.
      • Comparta la clave pública del nuevo certificado (archivo .cer) con los asociados. En el servidor de AD FS del asociado del proveedor de notificaciones, inicie la administración de AD FS desde el menú Herramientas administrativas. En Relaciones de confianza/Relying Party Trusts (Relaciones de confianza para usuario autenticado), seleccione la relación de confianza que se creó para usted. En Propiedades/Cifrado, seleccione "Examinar" para seleccionar el nuevo certificado de descifrado de tokens y seleccione Aceptar.
    3. Instale el certificado en el almacén de certificados local en cada uno de los servidores de federación.
      • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    4. Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo.
    5. Agregue el nuevo certificado a AD FS.
      • Inicie la administración de AD FS en el menú Herramientas administrativas.
      • Expanda el servicio y seleccione Certificados.
      • En el panel Acciones, seleccione Agregar Certificado Token-Decrypting.
      • Aparecerá una lista de certificados que son válidos para el descifrado de tokens. Si encuentra que el nuevo certificado no está en la lista, debe volver atrás y asegurarse de que el certificado está en el almacén personal del equipo local con una clave privada asociada y el certificado tiene el Cifrado de claves como Uso extendido de claves.
      • Seleccione el nuevo certificado de descifrado de tokens y seleccione Aceptar.
    6. Establezca el nuevo certificado de descifrado de tokens como principal.
      • Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Descifrado de tokens: el certificado existente y el nuevo certificado.
    7. Seleccione el nuevo certificado de descifrado de tokens, seleccione con el botón derecho y seleccione Establecer como principal.
    8. Deje el certificado antiguo como secundario para fines de sustitución. Debe planear quitar el certificado antiguo una vez que esté seguro de que ya no es necesario para la sustitución o cuando el certificado ha expirado.

    Alertas de Active Directory Domain Services

    Nombre de la alerta Descripción Corrección
    No se puede acceder al controlador de dominio mediante el ping de LDAP No se puede acceder al controlador de dominio mediante el ping de LDAP. Puede que sea debido a problemas de red o de la máquina. Como resultado, se produce un error en los LDAP Pings.
  • Examine la lista de alertas para ver las alertas relacionadas, como la que indica que el controlador de dominio no se está anunciando.
  • Asegúrese de que el controlador de dominio afectado tenga suficiente espacio en disco. Si se queda sin espacio, dejará de anunciarse como servidor LDAP.
  • Intente encontrar el PDC: ejecute
    netdom query fsmo
    en el controlador de dominio afectado.
  • Asegúrese de la red física esté correctamente configurada y conectada.
  • Se ha detectado un error de replicación de Active Directory Este controlador de dominio experimenta problemas de replicación; para verlos, puede ir al panel de estado de replicación. Los errores de replicación pueden deberse a una configuración incorrecta u otros problemas relacionados. Los errores de replicación no tratados pueden dar lugar a incoherencias de los datos. Consulte detalles adicionales sobre los nombres de los controladores de dominio de origen y destino afectados. Vaya al panel de estado de replicación y busque los errores activos en los controladores de dominio afectados. Seleccione el error para abrir una hoja con más detalles sobre cómo corregir ese en concreto.
    El controlador de dominio no encuentra ningún PDC No es posible establecer contacto con un PDC mediante este controlador de dominio. Como consecuencia, los inicios de sesión de los usuarios resultarán afectados, no se aplicarán los cambios a la directiva de grupo y se producirá un error en la sincronización de la hora del sistema.
  • Examine la lista de alertas para ver las alertas relacionadas que podrían afectar al PDC, como la que indica que el controlador de dominio no se está anunciando.
  • Intente encontrar el PDC: ejecute
    netdom query fsmo
    en el controlador de dominio afectado.
  • Asegúrese de que la red funciona correctamente.
  • El controlador de dominio no encuentra ningún servidor de catálogo global No es posible establecer comunicación con un servidor de catálogo global desde este controlador de dominio. Como consecuencia, se producirán errores en los intentos de autenticación mediante este controlador de dominio. Examine la lista de alertas para ver si existe alguna que indique que el controlador de dominio no se está anunciando en la que el servidor afectado podría ser un GC. Si no hay ninguna alerta de anuncio, compruebe los registros SRV para ver si existen catálogos globales. Para ello, puede ejecutar:
    nltest /dnsgetdc: [ForestName] /gc
    Debe enumerar los DC que se anuncian como GC. Si la lista está vacía, compruebe la configuración de DNS para asegurarse de que el GC registró los registros SRV. El controlador de dominio no puede encontrarlos en DNS.
    Para solucionar problemas con los catálogos globales, consulte Advertising as a Global Catalog Server (Anunciarse como un servidor de catálogo global).
    El controlador de dominio no puede acceder al recurso compartido local SYSVOL SYSVOL contiene elementos importantes de objetos de directiva de grupo y scripts que se distribuirán en los controladores de dominio de un dominio. El controlador de dominio no se anunciará como controlador de dominio y no se aplicarán directivas de grupo. Vea Procedimientos para solucionar problemas de recursos compartidos SYSVOL y Netlogon que faltan.
    La hora del controlador de dominio no está sincronizada La hora de este controlador de dominio está fuera del intervalo de sesgo horario normal. Como resultado, se produce un error en las autenticaciones Kerberos.
  • Reinicie el servicio de hora de Windows: ejecute
    net stop w32time
    , entonces
    net start w32time
    en el controlador de dominio afectado.
  • Vuelva a sincronizar la hora: ejecute
    w32tm /resync
    en el controlador de dominio afectado.
  • El controlador de dominio no se está anunciando Este controlador de dominio no está anunciando correctamente los roles que es capaz de desempeñar. Puede que haya un problema con la replicación, un error de configuración de DNS, que servicios críticos no estén en ejecución o que el servidor no se haya inicializado completamente. Como resultado, los controladores de dominio, los miembros del dominio y otros dispositivos no pueden encontrar este controlador de dominio. Además, otros controladores de dominio podrían ser incapaces de replicarse desde este controlador de dominio. Examine la lista de alertas para ver otras alertas relacionadas, como la que indica que la replicación se ha interrumpido. La hora del controlador de dominio no está sincronizada. El servicio Netlogon no se está ejecutando. Los servicios DFSR o NTFRS no se están ejecutando. Identificar y solucionar problemas de DNS relacionados: inicie sesión en el controlador de dominio afectado. Abra el registro de eventos del sistema. Si existen los eventos 5774, 5775 o 5781, consulte Troubleshooting Domain Controller Locator DNS Records Registration Failure (Solución de problemas de error de la anotación de registros DNS del localizador de controlador de dominio). Identifique y solucione los problemas del servicio de hora de Windows relacionados: Asegúrese de que se está ejecutando el servicio de hora de Windows: ejecute "net start w32time" en el controlador de dominio afectado. Reinicie el servicio de hora de Windows: ejecute "net stop w32time" y luego "net start w32time" en el controlador de dominio afectado.
    El servicio GPSVC no se está ejecutando Si el servicio está detenido o deshabilitado, los valores que ha configurado el administrador no se aplicarán y las aplicaciones y los componentes no se administrarán mediante la directiva de grupo. Puede que si el servicio está deshabilitado, los componentes o las aplicaciones que dependen del componente de directiva de grupo no sean funcionales. Ejecute :
    net start gpsvc
    en el controlador de dominio afectado.
    Los servicios DFSR o NTFRS no se están ejecutando Si se detienen los servicios DFSR y NTFRS, los controladores de dominio no pueden replicar datos sysvol. Los datos de SYSVOL dejarán de ser coherentes.
  • Si se usa DFRS:
      Ejecute "net start dfsr" en el controlador de dominio afectado.
    1. Si se usa NTFRS:
        Ejecute "net start ntfrs" en el controlador de dominio afectado.
  • El servicio Netlogon no se está ejecutando Las solicitudes de inicio de sesión, el registro, la autenticación y la localización de controladores de dominio no estarán disponibles en este controlador de dominio. Ejecute "net start netlogon" en el controlador de dominio afectado.
    El servicio W32Time no se está ejecutando Si se detiene el servicio de hora de Windows, la sincronización de fecha y hora no estará disponible. Si este servicio está deshabilitado, los servicios que dependen explícitamente de él no se pueden iniciar. Ejecute "net start win32Time" en el controlador de dominio afectado.
    El servicio ADWS no se está ejecutando Si el servicio servicios web de Active Directory está detenido o deshabilitado, las aplicaciones cliente, como Active Directory PowerShell, no pueden acceder ni administrar ninguna instancia de servicio de directorio que se ejecute localmente en este servidor. Ejecute "net start adws" en el controlador de dominio afectado.
    El PDC raíz no se está sincronizando desde el servidor NTP Si no configura el PDC para sincronizar la hora desde un origen de hora externo o interno, el emulador de PDC usa su reloj interno y es el propio origen de hora confiable para el bosque. Si la hora no es exacta en el mismo PDC, todos los equipos tendrán una configuración de hora incorrecta. En el controlador de dominio afectado, abra un símbolo del sistema. Detenga el servicio de hora: net stop w32time.
  • Configure el origen de la hora externo:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Nota: Reemplace time.windows.com por la dirección de su origen de la hora externo deseado. Inicie el servicio de hora:
    net start w32time
  • El controlador de dominio está en cuarentena Este controlador de dominio no está conectado a ninguno de los otros controladores de dominio que funcionan. Esto puede deberse a una configuración incorrecta. Como resultado, este controlador de dominio no se usa y no se replicará desde /a nadie. Habilite la replicación entrante y saliente: ejecute "repadmin /options ServerName -DISABLE_INBOUND_REPL" en el controlador de dominio afectado. Ejecute "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" en el controlador de dominio afectado. Cree una nueva conexión de replicación a otro controlador de dominio:
    1. Abra sitios y servicios de Active Directory: menú Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Sitios y servicios de Active Directory.
    2. En el árbol de consola, expanda Sitios y, a continuación, expanda el sitio al que pertenece este controlador de dominio.
    3. Expanda el contenedor Servidores para ver la lista de servidores.
    4. Expanda el objeto de servidor de este controlador de dominio.
    5. Haga clic derecho en el objeto Configuración de NTDS y seleccione Nueva conexión de Servicios de dominio de Active Directory...
    6. Seleccione un servidor en la lista y seleccione Aceptar.
    How to remove orphaned domains from Active Directory (Cómo quitar dominios huérfanos de Active Directory).
    La replicación saliente está deshabilitada Los controladores de dominio con replicación saliente deshabilitada no pueden distribuir ningún cambio que se origine en sí mismo. Para habilitar la replicación saliente en el controlador de dominio afectado, siga estos pasos: Seleccione Iniciar, seleccione Ejecutar, escriba cmd y, a continuación, seleccione Aceptar. Escriba el texto siguiente y, a continuación, presione ENTRAR:
    repadmin /options -DISABLE_OUTBOUND_REPL
    La replicación entrante está deshabilitada Los controladores de dominio con la replicación entrante deshabilitada no tendrán la información más reciente. Esta condición puede producir errores de inicio de sesión. Para habilitar la replicación entrante en el controlador de dominio afectado, siga estos pasos: Seleccione Iniciar, seleccione Ejecutar, escriba cmd y, a continuación, seleccione Aceptar. Escriba el texto siguiente y, a continuación, presione ENTRAR:
    repadmin /options -DISABLE_INBOUND_REPL
    El servicio LanmanServer no se está ejecutando Si este servicio está deshabilitado, los servicios que dependen explícitamente de él no se pueden iniciar. Ejecute "net start LanManServer" en el controlador de dominio afectado.
    El servicio Centro de distribución de claves de Kerberos no se está ejecutando Si se detiene el servicio KDC, los usuarios no pueden autenticarse a través de este controlador de dominio mediante el protocolo de autenticación Kerberos v5. Ejecute "net start kdc" en el controlador de dominio afectado.
    El servicio DNS no se está ejecutando Si se detiene el servicio DNS, los equipos y los usuarios que usan ese servidor con fines DNS no pueden encontrar recursos. Ejecute "net start dns" en el controlador de dominio afectado.
    El controlador de dominio tenía reversión de USN Cuando se producen reversiones de USN, los controladores de dominio que habían visto anteriormente el USN no replican de forma entrante las modificaciones en los objetos y atributos. Dado que estos controladores de dominio de destino creen que están actualizados, no se notifica ningún error de replicación en los registros de eventos del servicio de directorio o mediante herramientas de supervisión y diagnóstico. La reversión de USN puede afectar a la replicación de cualquier objeto o atributo en cualquier partición. El efecto secundario observado con más frecuencia es que las cuentas de usuario y las cuentas de equipo que se crean en el controlador de dominio de reversión no existen en uno o varios asociados de replicación. O bien, las actualizaciones de contraseña que se originaron en el controlador de dominio de reversión no existen en los asociados de replicación. Existen dos enfoques para recuperarse de una reversión de USN:

    Quite el controlador de dominio del dominio mediante estos pasos:

    1. Quita Active Directory del controlador de dominio para forzar que sea un servidor independiente. Para obtener más información, seleccione el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
      332199 Los controladores de dominio no se reducen correctamente cuando se utiliza el Asistente para instalación de Active Directory para forzar la reducción en Windows Server 2003 y en Windows 2000 Server.
    2. Apague el servidor degradado.
    3. En un controlador de dominio correcto, limpia los metadatos del controlador de dominio degradado. Para obtener más información, seleccione el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
      216498 Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio
    4. Si el controlador de dominio restaurado incorrectamente hospeda los roles del maestro de operaciones, transfiera estos roles a un controlador de dominio correcto. Para obtener más información, seleccione el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
      255504 Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio
    5. Reinicie el servidor degradado.
    6. Si es necesario, vuelva a instalar Active Directory en el servidor independiente.
    7. Si el controlador de dominio era anteriormente un catálogo global, configúrelo de ese modo. Para obtener más información, seleccione el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
      313994 CÓMO: Crear o mover un catálogo global en Windows 2000
    8. Si el controlador de dominio hospedaba anteriormente roles de maestro de operaciones, transfiéraselos de nuevo. Para obtener más información, seleccione el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
      255504 Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio. Restaure el estado del sistema de una copia de seguridad buena.

    Evalúe si existen copias de seguridad válidas de estado del sistema para este controlador de dominio. Si se realizó una copia de seguridad válida de estado del sistema antes de que el controlador de dominio revertido se restaurara incorrectamente, y la copia de seguridad contiene los cambios recientes que se realizaron en el controlador de dominio, restaure el estado del sistema desde la copia de seguridad más reciente.

    También puede usar la instantánea como origen de una copia de seguridad. O bien, puede establecer la base de datos para proporcionarse a sí misma un nuevo identificador de invocación mediante el procedimiento de la sección sobre cómo restaurar una versión anterior de un disco duro virtual de un controlador de dominio virtual sin copia de seguridad de datos de estado del sistema, en este artículo.

    Pasos siguientes