Condividi tramite

Catalogo degli avvisi di integrità di Microsoft Entra Connect

  • Articolo

Il servizio Integrità Microsoft Entra Connect invia avvisi indica che l'infrastruttura di gestione delle identità non è integra. Questo articolo include titoli e descrizioni di avvisi e le procedure di correzione per ogni avviso.
Errore, Avviso e Preavviso sono tre fasi di avvisi generati dal servizio Connect Health. Si consiglia vivamente di eseguire azioni immediate relativamente agli avvisi attivati.
Gli avvisi di Microsoft Entra Connect Health vengono risolti se si verifica una condizione di esito positivo. Gli agenti di Microsoft Entra Connect Health rilevano e segnalano periodicamente al servizio le condizioni di esito positivo. Per alcuni avvisi, l'eliminazione è basata sul tempo. In altri termini, se entro 72 ore dalla generazione dell'avviso non viene osservata la stessa condizione di errore, l'avviso viene automaticamente risolto.

Avvisi generali

Nome avviso Descrizione Correzione
I dati del servizio integrità non sono aggiornati Uno o più agenti di monitoraggio della salute in esecuzione su uno o più server non sono connessi al servizio salute, e il servizio salute non riceve i dati più recenti da questi server. Gli ultimi dati elaborati dal Servizio integrità risalgono a più di 2 ore prima. Verificare che gli agenti integrità abbiano connettività in uscita verso gli endpoint servizio necessari. Altre informazioni

Avvisi per Microsoft Entra Connect (sincronizzazione)

Nome avviso Descrizione Correzione
Il servizio di sincronizzazione Microsoft Entra Connect non è in esecuzione Il servizio Windows Sincronizzazione ID Microsoft Entra non è in esecuzione o non è stato possibile avviare. Di conseguenza, gli oggetti non verranno sincronizzati con Microsoft Entra ID. Avviare Microsoft Entra ID Sync Services
  1. Selezionare Start, selezionare Esegui, digitare Services.msce quindi selezionare OK.
  2. Individuare il servizio Di sincronizzazione ID Microsoft Entra e quindi verificare se il servizio è stato avviato. Se il servizio non è avviato, selezionarlo con il pulsante destro del computer e quindi selezionare Avvia.
Importazione da Microsoft Entra ID non riuscita L'operazione di importazione da Microsoft Entra Connector non è riuscita. Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di importazione.
Connessione a Microsoft Entra ID non riuscita a causa di un errore di autenticazione Connessione a Microsoft Entra ID non riuscita a causa di un errore di autenticazione. Di conseguenza, gli oggetti non verranno sincronizzati con Microsoft Entra ID. Per altre informazioni, esaminare gli errori del log eventi.
L'esportazione in Active Directory non è riuscita L'operazione di esportazione in Active Directory Connector non è riuscita. Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di esportazione.
L'importazione da Active Directory non è riuscita L'importazione da Active Directory non è riuscita. Di conseguenza, gli oggetti di alcuni domini di questa foresta potrebbero non essere importati.
  • Verificare la connettività DC
  • Eseguire di nuovo l'importazione manualmente
  • Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di importazione.
    		•
    Esportazione a Microsoft Entra ID non riuscita L'operazione di esportazione in Microsoft Entra Connector non è riuscita. Di conseguenza, alcuni oggetti potrebbero non essere esportati correttamente in Microsoft Entra ID. Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di esportazione.
    L'heartbeat di sincronizzazione hash password non è stato rilevato negli ultimi 120 minuti La sincronizzazione dell'hash delle password non è connessa all'ID Microsoft Entra negli ultimi 120 minuti. Di conseguenza, le password non verranno sincronizzate con Microsoft Entra ID. Riavviare Microsoft Entra ID Sync Services:
    Tutte le operazioni di sincronizzazione attualmente in esecuzione vengono interrotte. Quando non è in corso alcuna operazione di sincronizzazione è possibile scegliere di eseguire questa procedura.
    1. Selezionare Start, selezionare Esegui, digitare Services.msce quindi selezionare OK.
    2. Individuare Microsoft Entra ID Sync, fare clic con il pulsante destro del mouse su di esso e quindi selezionare Riavvia.
    Rilevato uso elevato della CPU La percentuale di uso della CPU ha superato la soglia consigliata per questo server.
  • Potrebbe trattarsi di un picco temporaneo nell'uso della CPU. Controllare la tendenza di uso della CPU nella sezione di monitoraggio.
  • Controllare i processi principali che causano l'uso della CPU più elevato nel server.
    1. È possibile usare Gestione attività o eseguire il comando di PowerShell seguente:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Se sono presenti processi imprevisti che utilizzano un utilizzo elevato della CPU, arrestare i processi usando il comando di PowerShell seguente:
      stop-process -ProcessName [name of the process]
  • Se i processi visualizzati nell'elenco precedente sono i processi previsti in esecuzione nel server e l'utilizzo della CPU è costantemente vicino alla soglia, valutare la possibilità di rivalutare i requisiti di distribuzione di questo server.
  • Come opzione di sicurezza, è possibile prendere in considerazione il riavvio del server.
    		•
    Rilevato elevato uso di memoria La percentuale di uso della memoria del server è oltre la soglia consigliata in questo server. Controllare i processi principali che causano l'uso più elevato della memoria nel server. È possibile usare Gestione attività o eseguire il comando di PowerShell seguente:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Se sono presenti processi imprevisti che utilizzano memoria elevata, arrestare i processi usando il comando di PowerShell seguente:
    stop-process -ProcessName [name of the process]
  • Se i processi visualizzati nell'elenco precedente sono i processi previsti in esecuzione nel server, valutare la possibilità di rivalutare i requisiti di distribuzione di questo server.
  • Come opzione failsafe, è possibile prendere in considerazione il riavvio del server.
    		•
    La sincronizzazione dell'hash delle password ha smesso di funzionare La sincronizzazione dell'hash delle password viene arrestata. Di conseguenza, le password non verranno sincronizzate con Microsoft Entra ID. Riavviare Microsoft Entra ID Sync Services:
    Tutte le operazioni di sincronizzazione attualmente in esecuzione vengono interrotte. Quando non è in corso alcuna operazione di sincronizzazione è possibile scegliere di eseguire questa procedura.
    1. Selezionare Start, selezionare Esegui, digitare Services.msce quindi selezionare OK.
    2. Individuare il Microsoft Entra ID Sync, selezionarlo con il pulsante destro del computer e quindi selezionare Riavvia.
    L’esportazione in Microsoft Entra ID è stata interrotta. È stato raggiunto il limite di eliminazione accidentale L'operazione di esportazione in Microsoft Entra ID non è riuscita. Erano presenti più oggetti da eliminare rispetto alla soglia configurata. Di conseguenza, non sono stati esportati oggetti. Il numero di oggetti contrassegnati per l'eliminazione è maggiore della soglia massima impostata. Per valutare gli oggetti pendenti l'eliminazione, vedere impedire eliminazioni accidentali.

    Avvisi per Active Directory Federation Services

    Nome avviso Descrizione Correzione
    La richiesta di autenticazione di test (transazione sintetica) non è riuscita a ottenere un token Le richieste di autenticazione di test (transazioni sintetiche) avviate da questo server non sono riuscite a ottenere un token dopo cinque tentativi. Questa situazione potrebbe essere causata da problemi di rete temporanei, dalla disponibilità del controller di dominio Active Directory Domain Services o da un server AD FS configurato in modo non corretto. Di conseguenza, le richieste di autenticazione elaborate dal servizio federativo potrebbero non riuscire. L'agente usa il contesto account computer locale per ottenere un token dal servizio federativo. Assicurarsi che venga eseguita la procedura seguente per convalidare l'integrità del server.
    1. Verificare che non siano presenti alti avvisi non risolti per questo o per altri server di AD FS nella farm.
    2. Assicurati che questa condizione non sia un errore temporaneo accedendo con un utente di prova dalla pagina di accesso di AD FS disponibile su https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Passare a https://testconnectivity.microsoft.com e scegliere la scheda "Office 365". Eseguire l'accesso Single Sign-On Test di Office 365.
    4. Verificare se il nome del servizio AD FS può essere risolto da questo server eseguendo questo comando da un prompt dei comandi in questo server. nslookup your_adfs_server_name

    Se il nome del servizio non può essere risolto, vedere la sezione Domande frequenti per istruzioni sull'aggiunta di una voce di file HOST del servizio AD FS con l'indirizzo IP del server. Ciò consente al modulo di transazione sintetica in esecuzione in questo server di richiedere un token
    Il server proxy non riesce a raggiungere il server federativo Questo server proxy AD FS non è in grado di contattare il servizio AD FS. Di conseguenza, le richieste di autenticazione elaborate da questo server hanno esito negativo. Eseguire questa procedura per convalidare la connettività tra il server e il servizio AD FS.
    1. Assicurarsi che il firewall tra il server e il servizio AD FS sia configurato in modo accurato.
    2. Verificare che la risoluzione DNS per il nome del servizio AD FS punti correttamente al servizio AD FS che risiede nella rete aziendale. È possibile eseguire questa operazione tramite un server DNS che risponde alle richieste del server nella rete perimetrale o tramite le voci nei file HOSTS per il nome del servizio AD FS.
    3. Convalidare la connettività di rete aprendo il browser in questo server e accedendo all'endpoint dei metadati federativo, che si trova in https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Il certificato SSL sta per scadere Il certificato TLS/SSL usato dai server federativi sta per scadere entro 90 giorni. Una volta scadute, le richieste che richiedono una connessione TLS valida hanno esito negativo. Ad esempio, per i clienti di Microsoft 365, i client di posta elettronica non possono eseguire l'autenticazione. Aggiornare il certificato TLS/SSL in ogni server AD FS.
    1. Ottenere il certificato TLS/SSL con i requisiti seguenti.
      1. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
      2. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com or *.contoso.com
    2. Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.
    3. Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.

    Per AD FS 2.0 in Windows Server 2008R2:

    • Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

    Per AD FS in Windows Server 2012 R2 e versioni successive:

  • Fare riferimento a Gestione di certificati SSL in AD FS e WAP
    • Il servizio AD FS non è in esecuzione nel server Active Directory Federation Service (Servizio Windows) non è in esecuzione in questo server. Eventuali richieste destinate a questo server hanno esito negativo. Per avviare Active Directory Federation Services (servizio Windows):
    1. Accedere al server come amministratore.
    2. Aprire services.msc
    3. Trovare "Active Directory Federation Services"
    4. Seleziona con il tasto destro del mouse e clicca su "Start"
    IL DNS per il servizio federativo potrebbe non essere configurato correttamente Il server DNS è stato configurato per usare un record CNAME per il nome della farm AD FS. È consigliabile usare un record A o AAAA per AD FS affinché l'autenticazione integrata di Windows funzioni perfettamente all'interno della rete aziendale. Assicurarsi che il tipo di record DNS della farm <Farm Name> AD FS non sia CNAME. Configurarlo in modo che sia un record A o AAAA.
    Il servizio di controllo AD FS è disabilitato Il servizio di controllo AD FS è disabilitato per il server. La sezione Utilizzo di AD FS nel portale non includerà i dati di questo server. Se i controlli di AD FS non sono abilitati, seguire queste istruzioni:
    1. Concedere all'account del servizio AD FS i diritti di "Generazione di controlli di sicurezza" sul server AD FS.
    2. Aprire il criterio di sicurezza locale nel server gpedit.msc.
    3. Passare a "Configurazione computer\Impostazioni di Windows\Criteri locali\Assegnazione diritti utente"
    4. Aggiungere l'account del servizio AD FS in modo che disponga dei diritti di "Generazione di controlli di sicurezza".
    5. Eseguire questo comando al prompt dei comandi:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Aggiornare le proprietà del servizio federativo in modo da includere i controlli delle operazioni riuscite e non riuscite.
    7. Nella console di AD FS scegliere "Modifica proprietà servizio federativo"
    8. Nella finestra di dialogo "Proprietà servizio federativo" scegliere la scheda Eventi e selezionare "Controlli riusciti" e "Controlli errori"

    Dopo aver completato questa procedura, gli eventi di controllo AD FS devono essere visibili dal Visualizzatore eventi. Da verificare:

    1. Passare a Visualizzatore eventi/ Registri di Windows /Sicurezza.
    2. Selezionare Filtra log correnti, quindi selezionare Controllo di AD FS dall'elenco a discesa Origini eventi. Per un server AD FS attivo con il controllo AD FS abilitato, gli eventi devono essere visibili per il filtro.

    Se sono state seguite queste istruzioni in precedenza, ma viene comunque visualizzato questo avviso, è possibile che un oggetto Criteri di gruppo stia disabilitando il controllo di AD FS. Le cause possibili sono le seguenti:

    1. È in corso la rimozione del diritto "Generazione di controlli di sicurezza" per l'account del servizio AD FS.
    2. Uno script personalizzato nell'oggetto Criteri di gruppo disabilita i controlli di operazioni riuscite e operazioni non riuscite in base all'impostazione " Generato dall'applicazione".
    3. La configurazione di AD FS non è abilitata per generare controlli di esito positivo/negativo.
    Il certificato SSL di AD FS è autofirmato Attualmente si utilizza un certificato autofirmato come certificato TLS/SSL nel sistema AD FS. Di conseguenza, l'autenticazione client di posta elettronica per Microsoft 365 ha esito negativo

    Aggiornare il certificato TLS/SSL in ogni server AD FS.

    1. Ottenere un certificato TLS/SSL attendibile pubblicamente con i requisiti seguenti.
    2. Il file di installazione del certificato deve contenere la chiave privata.
    3. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
    4. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com o *.contoso.com

    Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.

      Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.
      Per AD FS 2.0 in Windows Server 2008R2:
    1. Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

      2. Per AD FS in Windows Server 2012 R2 o versioni successive:
    2. Fare riferimento a Gestione di certificati SSL in AD FS e WAP
    Il trust tra il server proxy e il server federativo non è valido Non è stato possibile stabilire o rinnovare il trust tra il proxy del server federativo e il servizio federativo. Aggiornare il certificato di trust del proxy nel server proxy. Eseguire nuovamente la Configurazione guidata del proxy.
    Protezione di blocco della Extranet disabilitata per AD FS La funzionalità di protezione di blocco Extranet è DISABILITATA nella farm AD FS. Questa funzionalità protegge gli utenti da attacchi di forza bruta conto le password da Internet e impedisce attacchi Denial of Service contro gli utenti quando sono applicati i criteri di blocco dell'account Active Directory Domain Services. Con questa funzionalità abilitata, se il numero di tentativi di accesso extranet non riusciti per un utente (tentativi di accesso effettuati tramite il server WAP e AD FS) supera "ExtranetLockoutThreshold", i server AD FS interromperanno l'elaborazione di ulteriori tentativi di accesso per "ExtranetObservationWindow" È consigliabile abilitare questa funzionalità nei server AD FS. Eseguire questo comando per abilitare la Protezione di blocco della Extranet di AD FS con i valori predefiniti.
    Set-AdfsProperties -EnableExtranetLockout $true

    Se sono stati configurati criteri di blocco di Active Directory per gli utenti, assicurarsi che la proprietà "ExtranetLockoutThreshold" sia impostata su un valore inferiore alla soglia di blocco di Active Directory Domain Services. Ciò garantisce che le richieste che hanno superato la soglia per AD FS vengano eliminate e mai convalidate sui server Active Directory Domain Services.
    Il nome dell'entità servizio (SPN) non valido per l'account del servizio AD FS Il nome dell'entità servizio dell'account del servizio federativo non è registrato o non è univoco. Di conseguenza, l'autenticazione integrata di Windows dai client uniti a un dominio potrebbe non essere senza problemi. Usare [SETSPN -L ServiceAccountName] per elencare le entità servizio.
    Usare [SETSPN -X] per verificare la presenza di nomi dell'entità servizio duplicati.

    Se l'SPN viene duplicato per l'account del servizio AD FS, rimuoverlo dall'account duplicato tramite [SETSPN -d service/namehostname]

    Se SPN non è impostato, usare [SETSPN -s {Desired-SPN} {domain_name}{service_account}] per impostare il nome SPN desiderato per l'account del servizio federativo.
    Il certificato primario per la decrittografia di token di AD FS sta per scadere Il certificato primario per la decrittografia di token di AD FS scadrà tra meno di 90 giorni. AD FS non può decrittografare i token dai provider di attestazioni attendibili. AD FS non è in grado di decrittografare i cookie SSO crittografati. Gli utenti finali non possono eseguire l'autenticazione per accedere alle risorse. Se il rollover automatico dei certificati è abilitato, AD FS gestisce il certificato per la decrittografia di token.

    Se si gestisce il certificato manualmente, seguire le istruzioni seguenti. Ottenere un nuovo certificato di decrittografia token.

    1. Assicurarsi che l'utilizzo avanzato delle chiavi (EKU) includa "Crittografia chiavi"
    2. Il Soggetto o Nome Alternativo Soggetto (SAN) non prevede restrizioni.
    3. Si noti che i server federativi e i partner Provider di attestazioni devono essere in grado di concatenarsi a un'autorità di certificazione radice attendibile durante la convalida del certificato per la decrittografia di token.
    Decidere come i partner Provider di attestazioni considereranno attendibile il nuovo certificato per la decrittografia di token
    1. Chiedere ai partner di eseguire il pull dei metadati federativi dopo aver aggiornato il certificato.
    2. Condividere la chiave pubblica del nuovo certificato (file .cer) con i partner. Nel server AD FS del partner del provider di attestazioni avviare Gestione di AD FS dal menu Strumenti di amministrazione. In Relazioni di trust/Attendibilità componente selezionare il trust creato. In Proprietà/Crittografia selezionare "Sfoglia" per selezionare il nuovo certificato Token-Decrypting e selezionare OK.
    Installare il certificato nell'archivio certificati locale di ogni server federativo.
    • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    Assicurarsi che l'account del servizio federativo abbia accesso alla chiave privata del nuovo certificato.Aggiungere il nuovo certificato ad AD FS.
    1. Avviare Gestione di AD FS dal menu Strumenti di amministrazione
    2. Espandere Servizio e selezionare Certificati
    3. Nel riquadro azioni, selezionare Aggiungi certificato Token-Decrypting
    4. Verrà visualizzato un elenco di certificati validi per la decrittografia dei token. Se si scopre che il nuovo certificato non è presente nell'elenco, è necessario verificare nuovamente che il certificato si trovi nell'archivio personale del computer locale con una chiave privata associata e che il certificato abbia la Cifratura della Chiave come uso esteso delle chiavi.
    5. Selezionare il nuovo certificato Token-Decrypting e selezionare OK.
    Impostare il nuovo certificato per la decrittografia di token come primario.
    1. Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati nell'elenco Decrittografia di token: il certificato esistente e quello nuovo.
    2. Selezionare il nuovo certificato Token-Decrypting, fare clic con il pulsante destro del mouse e selezionare Imposta come primario.
    3. Lasciare il certificato precedente come secondario ai fini del rollover. È consigliabile pianificare la rimozione del certificato precedente una volta verificato che non sia più necessario per il rinnovo o quando il certificato scade.
    Il certificato primario per la firma di token di AD FS sta per scadere Il certificato per la firma di token di AD FS scadrà entro 90 giorni. AD FS non può emettere token firmati quando questo certificato non è valido. Ottenere un nuovo certificato per la firma di token.
    1. Assicurarsi che l'utilizzo chiavi avanzato (EKU) includa "Firma digitale"
    2. Il soggetto o il nome alternativo del soggetto (SAN) non prevede alcuna restrizione.
    3. Tenere presente che i server federativi, i server federativi dei partner risorse e i server applicazioni relying party devono essere in grado di eseguire la concatenazione a un'autorità di certificazione radice attendibile durante la convalida del certificato per la firma di token.
    Installare il certificato nell'archivio certificati locale di ogni server federativo.
    • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    Assicurarsi che l'account del servizio federativo abbia accesso alla chiave privata del nuovo certificato.Aggiungere il nuovo certificato ad AD FS.
    1. Avviare Gestione di AD FS dal menu Strumenti di amministrazione.
    2. Espandere Servizio e selezionare Certificati
    3. Nel riquadro Azioni, selezionare Aggiungi certificato Token-Signing...
    4. Verrà visualizzato un elenco di certificati validi per la firma dei token. Se si scopre che il nuovo certificato non è presente nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con chiave privata associata e che il certificato abbia la firma digitale KU.
    5. Selezionare il nuovo certificato Token-Signing e selezionare OK
    Comunicare a tutte le relying party la modifica nel certificato per la firma di token.
    1. Le relying party che usano i metadati federativi di AD FS devono eseguire il pull dei nuovi metadati federativi per iniziare a usare il nuovo certificato.
    2. Le relying party che NON usano i metadati federativi di AD FS devono aggiornare manualmente la chiave pubblica del nuovo certificato per la firma di token. Condividere il file .cer con le relying party.
      3. Impostare il nuovo certificato per la firma di token come primario.
      1. Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati in Firma di token: il certificato esistente e quello nuovo.
      2. Seleziona il nuovo certificato Token-Signing, fai clic con il pulsante destro del mouse e scegli Imposta come principale.
      3. Lasciare il certificato precedente come secondario ai fini del rollover. Si consiglia di rimuovere il certificato precedente una volta verificato che non sia più necessario per il rollover o una volta scaduto il certificato. Tenere presente che le sessioni SSO correnti degli utenti sono firmate. Le relazioni di trust del proxy AD FS correnti usano i token firmati e crittografati tramite il certificato precedente.
    Il certificato SSL di AD FS non viene trovato nell'archivio certificati locale Il certificato con l'impronta digitale configurata come certificato TLS/SSL nel database AD FS non è stato trovato nell'archivio certificati locale. Di conseguenza, qualsiasi richiesta di autenticazione tramite TLS ha esito negativo. Ad esempio, l'autenticazione client di posta elettronica per Microsoft 365 ha esito negativo. Installare il certificato con l'identificazione personale configurata nell'archivio certificati locale.
    Il certificato SSL è scaduto Certificato TLS/SSL per il servizio AD FS scaduto. Di conseguenza, tutte le richieste di autenticazione che richiedono una connessione TLS valida hanno esito negativo. Ad esempio: l'autenticazione del client di posta elettronica non riesce a funzionare su Microsoft 365. Aggiornare il certificato TLS/SSL in ogni server AD FS.
    1. Ottenere il certificato TLS/SSL con i requisiti seguenti.
    2. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
    3. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com or *.contoso.com
    4. Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.
    5. Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.

    Per AD FS 2.0 in Windows Server 2008R2:

    • Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

    Per AD FS in Windows Server 2012 R2 o versioni successive: Refer to: Gestione di certificati SSL in AD FS e WAP

    Gli endpoint obbligatori per Microsoft Entra ID (per Microsoft 365) non sono abilitati Il set di endpoint seguente richiesto da Exchange Online Services, Microsoft Entra ID e Microsoft 365 non è abilitato per il servizio federativo:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Abilitare gli endpoint richiesti per i servizi Microsoft Cloud sul servizio federativo.
    Per AD FS in Windows Server 2012R2 o versioni successive
  • Fare riferimento a Gestione di certificati SSL in AD FS e WAP

    • Il server federativo non è riuscito a connettersi al database di configurazione AD FS L'account del servizio AD FS sta riscontrando problemi durante la connessione al database di configurazione AD FS. Di conseguenza, il servizio AD FS in questo computer potrebbe non funzionare come previsto.
  • Verificare che l'account del servizio AD FS abbia accesso al database di configurazione.
  • Verificare che il servizio Database di configurazione AD FS sia disponibile e raggiungibile.
    • Le associazioni SSL necessarie sono mancanti o non sono configurate Le associazioni TLS necessarie per eseguire correttamente l'autenticazione del server federativo sono configurate in modo errato. Di conseguenza, AD FS non è in grado di elaborare richieste in ingresso. Per Windows Server 2012 R2
    Aprire un prompt dei comandi amministratore con privilegi elevati ed eseguire i comandi seguenti:
    1. Per visualizzare l'associazione TLS corrente: Get-AdfsSslCertificate
    2. Per aggiungere nuove associazioni: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cc4444} certstorename=MY
    Certificato di firma del token AD FS primario scaduto Il certificato di firma del token AD FS è scaduto. AD FS non può emettere token firmati quando questo certificato non è valido. Se il rollover automatico dei certificati è abilitato, AD FS gestirà l'aggiornamento del certificato per la firma di token.

    Se si gestisce il certificato manualmente, seguire le istruzioni seguenti.

    1. Ottenere un nuovo certificato per la firma di token.
      1. Assicurarsi che l'utilizzo chiavi avanzato (EKU) includa "Firma digitale"
      2. Il soggetto o il nome alternativo del soggetto (SAN) non prevede alcuna restrizione.
      3. Ricordare che i server federativi, i server federativi dei partner risorse e i server applicazioni relying party devono essere in grado di eseguire la concatenazione a un'autorità di certificazione radice attendibile durante la convalida del certificato per la firma di token.
    2. Installare il certificato nell'archivio certificati locale di ogni server federativo.
      • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    3. Verificare che l'account del servizio federativo possa accedere alla nuova chiave privata del certificato.
    4. Aggiungere il nuovo certificato ad AD FS.
      1. Avviare Gestione di AD FS dal menu Strumenti di amministrazione.
      2. Espandere Servizio e selezionare Certificati
      3. Nel riquadro Azioni, selezionare Aggiungi certificato Token-Signing...
      4. Verrà visualizzato un elenco di certificati validi per la firma dei token. Se si scopre che il nuovo certificato non è presente nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con chiave privata associata e che il certificato abbia la firma digitale KU.
      5. Selezionare il nuovo certificato Token-Signing e selezionare OK
    5. Comunicare a tutte le relying party la modifica nel certificato per la firma di token.
      1. Le relying party che usano i metadati federativi di AD FS devono eseguire il pull dei nuovi metadati federativi per iniziare a usare il nuovo certificato.
      2. Le relying party che NON usano i metadati federativi di AD FS devono aggiornare manualmente la chiave pubblica del nuovo certificato per la firma di token. Condividere il file .cer con le relying party.
    6. Impostare il nuovo certificato per la firma di token come primario.
      1. Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati in Firma di token: il certificato esistente e quello nuovo.
      2. Seleziona il nuovo certificato Token-Signing, fai clic con il pulsante destro del mouse e scegli Imposta come principale.
      3. Lasciare il certificato precedente come secondario ai fini del rollover. Dovresti pianificare di rimuovere il vecchio certificato una volta che sei sicuro che non sia più necessario per il rollover o quando il certificato è scaduto. Ricordare che le sessioni SSO correnti degli utenti sono firmate. Le relazioni di trust del proxy AD FS correnti usano i token firmati e crittografati tramite il certificato precedente.
    Il server proxy sta rilasciando le richieste per il controllo di congestione Questo server proxy sta rilasciando le richieste dalla Extranet a causa di una latenza più alta del normale tra questo server proxy e il server federativo. Di conseguenza, parte delle richieste di autenticazione elaborate dal server proxy AD FS potrebbe avere esito negativo.
  • Verificare se la latenza di rete tra il server proxy federativo e i server federativi è compresa nell'intervallo accettabile. Fare riferimento alla sezione Monitoraggio per i valori di tendenza della "Latenza richiesta token". Una latenza maggiore di [1500 ms] deve essere considerata come una latenza elevata. Se viene osservata una latenza elevata, verificare che la rete tra i server proxy AD FS e AD FS non presenti problemi di connettività.
  • Verificare che i server federativi non siano in overload con richieste di autenticazione. Nella sezione Monitoraggio vengono fornite le visualizzazioni relative ai valori di riferimento richieste di token al secondo e all'uso della CPU e della memoria.
  • Se questi elementi sono stati verificati e il problema persiste, modificare l'impostazione relativa alla prevenzione della congestione in ognuno dei server proxy federativi, come illustrato nelle indicazioni fornite nei collegamenti correlati.
    		•
    All'account del servizio AD FS è negato l'accesso a una delle chiavi private del certificato. L'account del servizio AD FS non ha accesso alla chiave privata di uno dei certificati AD FS in questo computer. Assicurarsi che all'account del servizio AD FS sia consentito l'accesso ai certificati TLS, firma del token e decrittografia dei token archiviati nell'archivio certificati del computer locale.
    1. Dalla riga di comando digitare MMC.
    2. Passare a Aggiungi/Rimuovi snap-in file>
    3. Selezionare Certificati e selezionare Aggiungi. -> Seleziona Account computer e seleziona Avanti. -> Selezionare Computer locale e fare clic su Fine. Selezionare OK.

    Aprire Certificati(Computer locale)/Personale/Certificati. Per tutti i certificati usati da AD FS:
    1. Selezionare con il pulsante destro del computer il certificato.
    2. Selezionare Tutte le attività -> Gestisci chiavi private.
    3. Nella scheda Sicurezza in Utenti e gruppi verificare che sia presente l'account del servizio AD FS. In caso contrario, selezionare Aggiungi e aggiungere l'account del servizio AD FS.
    4. Selezionare l'account del servizio AD FS e in "Autorizzazioni per <il nome> dell'account del servizio AD FS" assicurarsi che l'autorizzazione Lettura sia consentita (segno di spunta).
    Il certificato SSL di AD FS non ha una chiave privata Il certificato TLS/SSL di AD FS è stato installato senza una chiave privata. Di conseguenza, qualsiasi richiesta di autenticazione tramite SSL ha esito negativo. Ad esempio, l'autenticazione client di posta elettronica per Microsoft 365 ha esito negativo. Aggiornare il certificato TLS/SSL in ogni server AD FS.
    1. Ottenere un certificato TLS/SSL attendibile pubblicamente con i requisiti seguenti.
      1. Il file di installazione del certificato deve contenere la chiave privata.
      2. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
      3. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com or *.contoso.com
    2. Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.
    3. Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.

    Per AD FS 2.0 in Windows Server 2008R2:

    • Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

    Per AD FS in Windows Server 2012 R2 o versioni successive:

  • Fare riferimento a Gestione di certificati SSL in AD FS e WAP
    • Certificato di decrittografia del token AD FS primario scaduto Certificato di decrittografia del token AD FS primario scaduto. AD FS non può decrittografare i token dai provider di attestazioni attendibili. AD FS non è in grado di decrittografare i cookie SSO crittografati. Gli utenti finali non possono eseguire l'autenticazione per accedere alle risorse.

    Se il rollover automatico dei certificati è abilitato, AD FS gestisce il certificato per la decrittografia di token.

    Se si gestisce il certificato manualmente, seguire le istruzioni seguenti.

    1. Ottenere un nuovo certificato di decrittografia token.
      • Assicurarsi che l'utilizzo chiavi avanzato (EKU) includa "Crittografia chiave".
      • Il Soggetto o Nome Alternativo Soggetto (SAN) non prevede restrizioni.
      • Si noti che i server federativi e i partner Provider di attestazioni devono essere in grado di concatenarsi a un'autorità di certificazione radice attendibile durante la convalida del certificato per la decrittografia di token.
    2. Decidere come i partner Provider di attestazioni considereranno attendibile il nuovo certificato per la decrittografia di token
      • Chiedere ai partner di eseguire il pull dei metadati federativi dopo aver aggiornato il certificato.
      • Condividere la chiave pubblica del nuovo certificato (file .cer) con i partner. Nel server AD FS del partner del provider di attestazioni avviare Gestione di AD FS dal menu Strumenti di amministrazione. In Relazioni di trust/Attendibilità componente selezionare il trust creato. In Proprietà/Crittografia selezionare "Sfoglia" per selezionare il nuovo certificato Token-Decrypting e selezionare OK.
    3. Installare il certificato nell'archivio certificati locale di ogni server federativo.
      • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    4. Verificare che l'account del servizio federativo possa accedere alla nuova chiave privata del certificato.
    5. Aggiungere il nuovo certificato ad AD FS.
      • Avviare Gestione di AD FS dal menu Strumenti di amministrazione
      • Espandere Servizio e selezionare Certificati
      • Nel riquadro azioni, selezionare Aggiungi certificato Token-Decrypting
      • Verrà visualizzato un elenco di certificati validi per la decrittografia dei token. Se si scopre che il nuovo certificato non è presente nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con una chiave privata associata e che il certificato abbia la Cifratura chiave come Utilizzo Avanzato delle Chiavi.
      • Selezionare il nuovo certificato Token-Decrypting e selezionare OK.
    6. Impostare il nuovo certificato per la decrittografia di token come primario.
      • Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati nell'elenco Decrittografia di token: il certificato esistente e quello nuovo.
    7. Seleziona il tuo nuovo certificato Token-Decrypting, seleziona con il pulsante destro del mouse e seleziona Imposta come primario.
    8. Lasciare il certificato precedente come secondario ai fini del rollover. È consigliabile rimuovere il certificato precedente dopo aver verificato che non sia più necessario per il rollover o quando il certificato è scaduto.

    Avvisi per Active Directory Domain Services

    Nome avviso Descrizione Correzione
    Il controller di dominio non è raggiungibile tramite ping LDAP Il controller di dominio non è raggiungibile tramite ping LDAP. Questo può essere causato da problemi di rete o dei computer. Di conseguenza, i ping LDAP hanno esito negativo.
  • Esaminare l'elenco degli avvisi per gli avvisi correlati, ad esempio: Il controller di dominio non è pubblicitario.
  • Verificare che il controller di dominio interessato abbia sufficiente spazio su disco. In caso di esaurimento dello spazio, il controller di dominio non potrà annunciarsi come server LDAP.
  • Tentativo di trovare il PDC: Esegui
    netdom query fsmo
    sul controller di dominio interessato.
  • Assicurarsi che la rete fisica sia configurata/connessa correttamente.
    • Si è verificato un errore di replica di Active Directory In questo controller di dominio si stanno verificando problemi di replica che possono essere visualizzati nella Dashboard Stato replica. Gli errori di replica potrebbero essere dovuti a una configurazione non corretta o ad altri problemi correlati. Gli errori di replica non gestiti possono causare incoerenze dei dati. Visualizzare altri dettagli per i nomi di origine e di destinazione dei controller di dominio interessati. Passare alla Dashboard Stato replica e cercare errori attivi nei controller di dominio interessati. Selezionare l'errore per aprire un pannello con altri dettagli su come risolvere l'errore specifico.
    Il controller di dominio non riesce a trovare un PDC Un PDC non è raggiungibile tramite questo controller di dominio. Questo influirà sugli accessi utente, sulle modifiche dei criteri di gruppo non ancora applicati e causerà errori di sincronizzazione dell'ora di sistema.
  • Esaminare l'elenco degli avvisi per gli avvisi correlati che potrebbero influire sul PDC, ad esempio: Il controller di dominio non annuncia.
  • Tentativo di trovare il PDC: Esegui
    netdom query fsmo
    sul controller di dominio interessato.
  • Assicurarsi che la rete funzioni correttamente.
    • Il controller di dominio non riesce a trovare un server di catalogo globale Un server di catalogo globale non è raggiungibile da questo controller di dominio. Ciò comporterà tentativi non riusciti di autenticazione effettuati tramite questo controller di dominio. Esaminare l'elenco degli avvisi per qualsiasi controller di dominio che non annuncia gli avvisi in cui il server interessato potrebbe essere un GC. Se non sono presenti avvisi relativi agli annunci, vedere i record SRV per i cataloghi globali. È possibile controllarli eseguendo:
    nltest /dnsgetdc: [ForestName] /gc
    Deve elencare i controller di dominio pubblicitari come GCS. Se l'elenco è vuoto, controllare la configurazione DNS per assicurarsi che il catalogo globale registri i record SRV. Il controller di dominio riesce a trovarli in DNS.
    Per la risoluzione dei problemi dei cataloghi globali, vedere Advertising as a Global Catalog Server. (Annuncio come server di catalogo globale)
    Controller di dominio non è in grado di raggiungere la condivisione sysvol locale SYSVOL contiene elementi importanti da oggetti Criteri di gruppo e script da distribuire nei controller di dominio di un dominio. Il controller di dominio non verrà annunciato come controller di dominio e i criteri di gruppo non verranno applicati. Vedere Come risolvere i problemi relativi alle condivisioni sysvol e Netlogon mancanti
    L'ora del controller di dominio non è sincronizzata L'ora sul controller di dominio è compresa nell'intervallo di sfasamento dell'ora normale. Di conseguenza, le autenticazioni Kerberos hanno esito negativo.
  • Riavviare il servizio Ora di Windows: Esegui
    net stop w32time
    allora
    net start w32time
    nel controller di dominio interessato.
  • Tempo di risincronizzazione: esecuzione
    w32tm /resync
    nel controller di dominio interessato.
    		•
    Il controller di dominio non annuncia Questo controller di dominio non annuncia correttamente i ruoli che è in grado di eseguire. Ciò può essere causato da problemi con la replica, errori nella configurazione DNS, servizi critici non in esecuzione o perché il server non è completamente inizializzato. Di conseguenza, i controller di dominio, i membri di dominio e altri dispositivi non possono individuare questo controller di dominio. Inoltre, altri controller di dominio potrebbe non essere in grado eseguire repliche da questo controller di dominio. Esaminare l'elenco degli altri avvisi correlati, ad esempio: replica interrotta. Il tempo del controller di dominio non è sincronizzato. Il servizio Netlogon non è in esecuzione. I servizi DFSR e/o NTFRS non sono in esecuzione. Identificare e risolvere i problemi DNS correlati: accedere al controller di dominio interessato. Aprire il registro eventi di sistema. Se sono presenti eventi 5774, 5775 o 5781, vedere Troubleshooting Domain Controller Locator DNS Records Registration Failure (Risoluzione dei problemi relativi a errori di registrazione dei record DNS del localizzatore dei controller di dominio), identificare e risolvere i problemi relativi al Servizio Ora di Windows: verificare che Servizio Ora di Windows sia in esecuzione: eseguire "net start w32time" nel controller di dominio interessato. Riavviare Servizio Ora di Windows: eseguire "net stop w32time" quindi "net start w32time" nel controller di dominio interessato.
    Il servizio GPSVC non è in esecuzione Se il servizio viene arrestato o disabilitato, le impostazioni configurate dall'amministratore non verranno applicate e le applicazioni e i componenti non saranno gestibili tramite Criteri di gruppo. Se il servizio viene disabilitato, tutti i componenti o le applicazioni che dipendono dal componente Criteri di gruppo potrebbero non funzionare. Eseguire
    net start gpsvc
    sul controller di dominio interessato.
    I servizi DFSR e/o NTFRS non sono in esecuzione Se entrambi i servizi DFSR e NTFRS vengono arrestati, i controller di dominio non possono replicare i dati sysvol. Sysvol Data non sarà coerente.
  • Se si usa DFSR:
      Eseguire 'net start dfsr' nel controller di dominio interessato.
    1. Se si usa NTFRS:
        Eseguire 'net start ntfrs' nel controller di dominio interessato.
    • Il servizio Netlogon non è in esecuzione Le richieste di accesso, la registrazione, l'autenticazione e l'individuazione dei controller di dominio non saranno disponibili in questo controller di dominio. Eseguire 'net start netlogon' nel controller di dominio interessato
    Il servizio W32Time non è in esecuzione Se il Servizio Ora di Windows viene arrestato, la sincronizzazione di data e ora non sarà disponibile. Se il servizio è disabilitato, tutti i servizi che dipendono in modo esplicito non vengono avviati. Eseguire 'net start win32Time' nel controller di dominio interessato
    Il servizio ADWS non è in esecuzione Se il servizio Servizi Web Active Directory viene arrestato o disabilitato, le applicazioni client, ad esempio Active Directory PowerShell, non possono accedere o gestire istanze del servizio directory in esecuzione localmente in questo server. Eseguire 'net start adws' nel controller di dominio interessato
    Root PDC non esegue la sincronizzazione dal server NTP Se non configuri il PDC per sincronizzare l'ora da una fonte di tempo esterna o interna, l'emulatore PDC usa l'orologio interno ed è esso stesso la fonte di tempo affidabile per la foresta. Se l'ora non è accurata nel PDC stesso, tutti i computer avranno impostazioni di ora non corrette. Nel controller di dominio interessato, aprire un prompt dei comandi. Arrestare il servizio Ora: net stop w32time
  • Configurare l'origine ora esterna:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Nota: sostituire time.windows.com con l'indirizzo dell'origine ora esterna desiderato. Avviare il servizio Ora:
    net start w32time
    • Il controller di dominio è in quarantena Questo controller di dominio non è connesso ad altri controller di dominio funzionanti. Ciò potrebbe essere causato da una configurazione non corretta. Di conseguenza, questo controller di dominio non viene usato e non verrà replicato da/a nessuno. Abilitare la replica in ingresso e in uscita: eseguire 'repadmin /options ServerName -DISABLE_INBOUND_REPL' nel controller di dominio interessato. Eseguire 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' nel controller di dominio interessato. Creare una nuova connessione di replica in un altro controller di dominio:
    1. Aprire Siti e servizi di Active Directory: menu Start, scegliere Strumenti di amministrazione, quindi selezionare Siti e servizi di Active Directory.
    2. Nell'albero della console espandere Siti, quindi espandere il sito al quale questo controller di dominio appartiene.
    3. Espandere il contenitore Server per visualizzare l'elenco dei server.
    4. Espandere l'oggetto server per questo controller di dominio.
    5. Selezionare con il pulsante destro del computer l'oggetto Impostazioni NTDS e scegliere Nuova connessione a Servizi di dominio Active Directory...
    6. Selezionare un server dall'elenco e selezionare OK.
    Come rimuovere domini orfani da Active Directory.
    La replica in uscita è disabilitata I controller di dominio con replica in uscita disabilitata non possono distribuire le modifiche che hanno origine dal proprio interno. Per abilitare la replica in uscita nel controller di dominio interessato, seguire questa procedura: Selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK. Digitare il testo seguente e quindi premere INVIO:
    repadmin /options -DISABLE_OUTBOUND_REPL
    La replica in ingresso è disabilitata I controller di dominio con replica in ingresso disabilitata non avranno le informazioni più recenti. Questa condizione può causare errori di accesso. Per abilitare la replica in ingresso nel controller di dominio interessato, seguire questa procedura: Selezionare Start, selezionare Esegui, digitare cmd e quindi selezionare OK. Digitare il testo seguente e quindi premere INVIO:
    repadmin /options -DISABLE_INBOUND_REPL
    Il servizio LanmanServer non è in esecuzione Se il servizio è disabilitato, tutti i servizi che dipendono in modo esplicito non vengono avviati. Eseguire 'net start LanManServer' nel controller di dominio interessato.
    Il servizio Centro distribuzione chiavi Kerberos non è in esecuzione Se il servizio KDC viene arrestato, gli utenti non possono eseguire l'autenticazione tramite questo controller di dominio usando il protocollo di autenticazione Kerberos v5. Eseguire 'net start kdc' nel controller di dominio interessato.
    Il servizio DNS non è in esecuzione Se il servizio DNS viene arrestato, i computer e gli utenti che usano tale server a scopo DNS non riescono a trovare le risorse. Eseguire 'net start dns' nel controller di dominio interessato.
    Il controller di dominio ha eseguito il rollback degli USN Quando si verifica il rollback degli USN, le modifiche apportate agli oggetti e agli attributi non vengono replicate in ingresso dai controller di dominio di destinazione che hanno precedentemente rilevato l'USN. Poiché questi controller di dominio di destinazione ritengono che siano aggiornati, non vengono segnalati errori di replica nei registri eventi del servizio directory o tramite strumenti di monitoraggio e diagnostica. Il rollback USN potrebbe influire sulla replica di qualsiasi oggetto o attributo in qualsiasi partizione. L'effetto collaterale osservato più di frequente è che gli account utente e gli account computer creati nel controller di dominio di rollback non esistono in uno o più partner di replica. Oppure, gli aggiornamenti delle password originati nel controller di dominio di rollback non sono presenti nei partner di replica. Esistono due approcci per il ripristino da un rollback DEGLI USN:

    Rimuovere il controller di dominio dal dominio, seguendo questa procedura:

    1. Rimuovi Active Directory dal controller di dominio per forzarlo come server autonomo. Per altre informazioni, selezionare il numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      332199 I controller di dominio non vengono degradati correttamente quando si utilizza l'Installazione guidata di Active Directory per forzare il declassamento in Windows Server 2003 e in Windows 2000 Server.
    2. Arresta il server abbassato di livello.
    3. In un controller di dominio integro pulisci i metadati del controller di dominio abbassato di livello. Per altre informazioni, selezionare il numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      216498 Come rimuovere dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
    4. Se il controller di dominio ripristinato in modo errato ospita i ruoli di master operazioni, trasferisci questi ruoli in un controller di dominio integro. Per altre informazioni, selezionare il numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      255504 Uso di Ntdsutil.exe per trasferire o assegnare ruoli FSMO a un controller di dominio
    5. Riavvia il server abbassato di livello.
    6. Se necessario, installa di nuovo Active Directory nel server autonomo.
    7. Se in precedenza il controller di dominio era un catalogo globale, configuralo come catalogo globale. Per altre informazioni, selezionare il numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      313994 Come creare o spostare un catalogo globale in Windows 2000
    8. Se in precedenza il controller di dominio ospitava ruoli di master operazioni, trasferisci di nuovo tali ruoli nel controller di dominio. Per altre informazioni, selezionare il numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      255504 Usando Ntdsutil.exe per trasferire o assegnare ruoli FSMO a un controller di dominio ripristinare lo stato del sistema di un backup valido.

    Valuta se esistono backup dello stato del sistema validi per questo controller di dominio. Se è stato eseguito un backup dello stato del sistema valido prima del ripristino errato del controller di dominio di cui è stato eseguito il rollback e il backup contiene modifiche recenti apportate al controller di dominio, ripristina lo stato del sistema dal backup più recente.

    Come origine di un backup puoi anche usare lo snapshot. In alternativa, è possibile configurare il database in modo che assegni a se stesso un nuovo ID chiamata seguendo la procedura illustrata nella sezione "Per ripristinare una versione precedente di un VHD del controller di dominio virtuale senza un backup dei dati di stato del sistema" di questo articolo

    Passaggi successivi