次の方法で共有

Microsoft Entra Connect Health アラート カタログ

  • [アーティクル]

Microsoft Entra Connect Health サービスの送信アラートは、ID インフラストラクチャに問題があることを示します。 この記事には、各アラートのタイトル、説明、および修復手順が含まれています。
Connect Health サービスから生成されるアラートには、エラー、警告、および事前警告という 3 つの段階があります。 トリガーされたアラートには、すぐに対応することを強くお勧めします。
Microsoft Entra Connect Health アラートは、成功条件を満たすと解決されます。 Microsoft Entra Connect Health エージェントは、定期的に成功条件を検出してサービスにレポートします。 一部のアラートは、時間に基づいて抑制されます。 つまり、アラートの生成から 72 時間以内に同じエラー条件が観察されない場合、アラートは自動的に解決されます。

一般的なアラート

アラート名 説明 Remediation
Health service data isn't up to date (Health サービス データが最新ではありません) 1 つ以上のサーバーで実行されている 1 つ以上のヘルス エージェントがヘルス サービスに接続されておらず、ヘルス サービスがこのサーバーから最新のデータを受信していません。 ヘルス サービスによって最後に処理されたデータは 2 時間より前のものです。 正常性エージェントに必要なサービス エンドポイントへの送信接続があることを確認します。 詳細

Microsoft Entra Connect (同期) のアラート

アラート名 説明 Remediation
Microsoft Entra Connect 同期サービスが実行されていません Microsoft Entra ID 同期 Windows サービスが実行されていないか開始できませんでした。 その結果、オブジェクトは Microsoft Entra ID と同期されません。 Microsoft Entra ID 同期サービスを開始する
  1. [スタート] を選択し、[実行] を選択し、「Services.msc」と入力して、[OK] を選択します。
  2. Microsoft Entra ID 同期サービスを見つけ、サービスが開始されているかどうかを確認してください。 サービスが開始されていない場合は、サービスを右クリックし、[開始] を選択します。
Microsoft Entra ID からインポートできませんでした Microsoft Entra コネクタからのインポート操作が失敗しています。 インポート操作のイベント ログ エラーで詳細を調べます。
認証が失敗したため、Microsoft Entra ID への接続に失敗しました 認証が失敗したため、Microsoft Entra ID への接続に失敗しました。 その結果、オブジェクトは Microsoft Entra ID と同期されません。 イベント ログ エラーで詳細を調べます。
Active Directory へのエクスポートが失敗しました Active Directory コネクタへのエクスポート操作が失敗しています。 エクスポート操作のイベント ログ エラーで詳細を調べます。
Active Directory からのインポートが失敗しました Active Directory からのインポートが失敗しました。 その結果、このフォレストの一部のドメインのオブジェクトはインポートされていない可能性があります。
  • DC 接続を確認します。
  • インポートを手動で再実行します。
  • インポート操作のイベント ログ エラーで詳細を調べます。
    		•
    Microsoft Entra ID にエクスポートできませんでした Microsoft Entra コネクタへのエクスポート操作が失敗しています。 その結果、一部のオブジェクトが Microsoft Entra ID に正常にエクスポートされていない可能性があります。 エクスポート操作のイベント ログ エラーで詳細を調べます。
    パスワード ハッシュ同期のハートビートが 120 分間スキップされました パスワード ハッシュ同期は、過去 120 分間に Microsoft Entra ID に接続されていません。 その結果、パスワードは Microsoft Entra ID と同期されません。 Microsoft Entra ID 同期サービスを再起動する:
    現在実行中のすべての同期操作は中断されます。 進行中の同期操作がない場合は、次の手順を実行できます。
    1. スタートを選択し、[実行] を選択し、「services.msc」と入力して、[OK] を選択します。
    2. [Microsoft Entra ID 同期] を探して右クリックし、[再起動] を選択します。
    CPU 使用率が高くなっていることが検出されました CPU 消費率が、このサーバーの推奨しきい値を超えました。
  • これは、CPU 消費率の一時的なスパイクである可能性があります。 [監視] セクションで CPU 使用量の傾向を確認します。
  • サーバー上の CPU 使用量が高いプロセスを調べます。
    1. タスク マネージャーを使用するか、次の PowerShell コマンドを実行できます。
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. CPU 使用率が高い予期しないプロセスがある場合は、次の PowerShell コマンドを使用してそのプロセスを停止します。
      stop-process -ProcessName [プロセスの名前]
  • 上記の一覧に示されているプロセスが、サーバーで実行されている目的のプロセスであり、CPU 消費量が継続的にしきい値に近い場合は、このサーバーの展開要件を再評価することを検討してください。
  • フェールセーフ オプションとして、サーバーの再起動を検討できます。
    		•
    メモリ使用量が多くなっていることを検出しました サーバーのメモリ使用量が、このサーバーの推奨しきい値を超えています。 サーバー上の メモリ使用量が多いプロセスを調べます。 タスク マネージャーを使用するか、次の PowerShell コマンドを実行できます。
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    大量のメモリを消費している予期されないプロセスがある場合は、次の PowerShell コマンドを使用してプロセスを停止します。
    stop-process -ProcessName [プロセスの名前]
  • 上記の一覧に示されているプロセスが、サーバーで実行されている目的のプロセスである場合は、このサーバーの展開要件を再評価することを検討してください。
  • フェールセーフ オプションとして、サーバーの再起動を検討できます。
    		•
    パスワード ハッシュ同期の動作が停止しました パスワード ハッシュ同期が停止しています。 その結果、パスワードは Microsoft Entra ID と同期されません。 Microsoft Entra ID 同期サービスを再起動する:
    現在実行中のすべての同期操作は中断されます。 進行中の同期操作がない場合は、次の手順を実行できます。
    1. [スタート] を選択し、[ファイル名を指定して実行] を選択し、「Services.msc」と入力して [OK] を選びます。
    2. [Microsoft Entra ID 同期] を探して右クリックし、[再起動] を選択します。
    Microsoft Entra ID へのエクスポートが停止されました。 予想外の削除のしきい値に達しました Microsoft Entra ID へのエクスポート操作が失敗しています。 構成されたしきい値を超える数の削除されるオブジェクトがありました。 その結果、オブジェクトはエクスポートされませんでした。
  • 削除するようにマークされたオブジェクトの数が、設定されたしきい値を超えています。 この操作が意図されたものであることを確認します。
  • エクスポートを続行するには次の手順を実行します。
    1. Disable-ADSyncExportDeletionThreshold を実行して、しきい値を無効にします。
    2. Synchronization Service Manager を起動する
    3. 種類を Microsoft Entra ID に設定して、コネクタでエクスポートを実行する
    4. オブジェクトが正常にエクスポートされたら、以下を実行してしきい値を有効にします:Enable-ADSyncExportDeletionThreshold
    		•

    Active Directory フェデレーション サービスのアラート

    アラート名 説明 Remediation
    テスト認証要求 (代理トランザクション) は、トークンの取得に失敗しました このサーバーから開始されたテスト認証要求 (代理トランザクション) は、5 回の再試行後にトークンを取得できませんでした。 これは、一時的なネットワークの問題、AD DS ドメイン コントローラーの可用性、または AD FS サーバーの不適切な構成が原因である可能性があります。 その結果、フェデレーション サービスによって処理される認証要求は失敗することがあります。 エージェントは、ローカル コンピューター アカウントのコンテキストを使用して、フェデレーション サービスからトークンを取得します。 次の手順を実行して、サーバーの正常性を確認します。
    1. ファーム内のこの AD FS サーバーまたはその他の AD FS サーバーに未解決のアラートがないことを確認します。
    2. AD FS ログイン ページ (https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx) からテスト ユーザーでログインして、この状態が一時的なエラーではないことを確認します。
    3. https://testconnectivity.microsoft.com に移動し、[Office 365] タブを選択します。Office 365 シングル サインオン テストを実行します。
    4. このサーバーでコマンド プロンプトから次のコマンドを実行して、AD FS サービス名がこのサーバーから解決できるかどうかを検証します。 nslookup your_adfs_server_name

    サービス名を解決できない場合は、このサーバーの IP アドレスを使用して AD FS サービスの HOST ファイル エントリを追加する方法に関する FAQ セクションを参照してください。 これにより、このサーバーで代理トランザクション モジュールを実行してトークンを要求できるようになります。
    The proxy server can't reach the federation server (プロキシ サーバーがフェデレーション サーバーに到達できません) この AD FS プロキシ サーバーが AD FS サービスに接続できません。 その結果、このサーバーによって処理される認証要求は失敗します。 次の手順を実行して、このサーバーと AD FS サービス間の接続を検証します。
    1. このサーバーと AD FS サービス間のファイアウォールが適切に構成されていることを確認します。
    2. AD FS サービス名の DNS 解決が、企業ネットワークに存在する AD FS サービスを適切に指定していることを確認します。 これは、境界ネットワークでこのサーバーに対して機能している DNS サーバーによって、またはAD FS サービス名の HOSTS ファイル内のエントリによって実現できます。
    3. このサーバーでブラウザーを開き、フェデレーション メタデータ エンドポイント (https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml) にアクセスすることで、ネットワーク接続を確認します
    SSL 証明書の有効期限がまもなく切れます フェデレーション サーバーによって使用される TLS/SSL 証明書の有効期限が 90 日以内に切れます。 有効期限が切れると、有効な TLS 接続を必要とするすべての要求は失敗します。 たとえば、Microsoft 365 ユーザーの場合、メール クライアントで認証ができなくなります。 各 AD FS サーバーの TLS/SSL 証明書を更新します。
    1. 以下の要件がある TLS/SSL 証明書を取得します。
      1. 拡張キー使用法が少なくともサーバーの認証である。
      2. 証明書のサブジェクトまたはサブジェクトの別名 (SAN) に、フェデレーション サービスの DNS 名または適切なワイルドカードが含まれている。 例: sso.contoso.com や *.contoso.com
    2. 各サーバーのローカル コンピューターの証明書ストアに新しい TLS/SSL 証明書をインストールします。
    3. AD FS サービス アカウントが、証明書の秘密キーに読み取りアクセスできることを確認します。

    Windows Server 2008R2 の AD FS 2.0 の場合:

    • 新しい TLS/SSL 証明書を、フェデレーション サービスをホストする IIS の Web サイトにバインドします。 この手順を、各フェデレーション サーバーとフェデレーション サーバー プロキシで実行する必要があります。

    Windows Server 2012 R2 以降のバージョンの AD FS の場合:

  • AD FS と WAP での SSL 証明書の管理に関するページを参照してください。
    • AD FS service isn't running on the server (AD FS サービスがサーバーで実行されていません) Active Directory フェデレーション サービス (Windows サービス) がこのサーバーで実行されていません。 このサーバーを対象とするすべての要求は失敗します。 Active Directory フェデレーション サービス (Windows サービス) を開始するには:
    1. サーバーに管理者としてログオンします。
    2. services.msc を開きます
    3. "Active Directory フェデレーション サービス (AD FS)" を検索する
    4. 右選択し、[開始] を選択します
    フェデレーション サービスの DNS の構成が正しくない可能性があります AD FS ファーム名の CNAME レコードを使用するように DNS サーバーを構成できませんでした。 企業ネットワーク内で Windows 統合認証をシームレスに動作させるには、AD FS に対して A または AAAA レコードを使用することをお勧めします。 AD FS ファーム <Farm Name> の DNS レコードの種類が CNAME でないことを確認します。 A または AAAA レコードになるように構成します。
    AD FS の監査が無効です サーバーに対する AD FS の監査が無効です。 このサーバーからのデータがポータルの AD FS 利用状況セクションに含まれなくなります。 AD FS 監査が有効になっていない場合は、次の手順に従います:
    1. AD FS サービス アカウントに、AD FS サーバーの "セキュリティ監査の生成" 権限を付与します。
    2. サーバーの gpedit.msc でローカル セキュリティ ポリシーを開きます。
    3. "Computer Configuration\Windows Settings\Local Policies\User Rights Assignment" に移動します。
    4. AD FS サービス アカウントに、"セキュリティ監査の生成" 権限を追加します。
    5. コマンド プロンプトで、次のコマンドを実行します。
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. 成功の監査と失敗の監査を含むようにフェデレーション サービスを更新します。
    7. AD FS コンソールで、[フェデレーション サービス プロパティの編集] を選択します
    8. [フェデレーション サービスのプロパティ] ダイアログ ボックスで [イベント] タブを選択し、[成功の監査] と [失敗の監査] を選択します

    これらの手順を実行すると、AD FS の監査イベントがイベント ビューアーに表示されます。 検証するには:

    1. イベント ビューアーで、[Windows ログ]、[セキュリティ] の順に移動します。
    2. [現在のログをフィルター] を選択し、[イベント ソース] ドロップダウン リストから [AD FS の監査] を選択します。 AD FS 監査が有効になっているアクティブな AD FS サーバーでは、上記のフィルター処理でイベントが表示されます。

    前にこれらの手順に従ったが、このアラートが表示される場合は、グループ ポリシー オブジェクトが AD FS 監査を無効にしている可能性があります。 根本原因は、次のいずれかです。

    1. AD FS サービス アカウントから "セキュリティ監査の生成" 権限が削除されている。
    2. グループ ポリシー オブジェクトのカスタム スクリプトが、"生成されたアプリケーション" に基づく成功の監査と失敗の監査を無効にしている。
    3. AD FS の構成で、成功/失敗の監査の生成が有効になっていない。
    AD FS の SSL 証明書が自己署名証明書です 現在、AD FS ファームで TLS/SSL 証明書として自己署名証明書を使用しています。 その結果、Microsoft 365 のメール クライアント認証が失敗します。

    各 AD FS サーバーの TLS/SSL 証明書を更新します。

    1. 以下の要件がある、公的に信頼されている TLS/SSL 証明書を取得します。
    2. 証明書のインストール ファイルに、その秘密キーが含まれている。
    3. 拡張キー使用法が少なくともサーバーの認証である。
    4. 証明書のサブジェクトまたはサブジェクトの別名 (SAN) に、フェデレーション サービスの DNS 名または適切なワイルドカードが含まれている。 例: sso.contoso.com や *.contoso.com

    各サーバーのローカル コンピューターの証明書ストアに新しい TLS/SSL 証明書をインストールします。

      AD FS サービス アカウントが、証明書の秘密キーに読み取りアクセスできることを確認します。
      Windows Server 2008R2 の AD FS 2.0 の場合:
    1. 新しい TLS/SSL 証明書を、フェデレーション サービスをホストする IIS の Web サイトにバインドします。 この手順を、各フェデレーション サーバーとフェデレーション サーバー プロキシで実行する必要があります。

      2. Windows Server 2012 R2 以降のバージョンの AD FS の場合:
    2. AD FS と WAP での SSL 証明書の管理に関するページを参照してください。
    The trust between the proxy server and federation server isn't valid (プロキシ サーバーとフェデレーション サーバーの間の信頼が無効です) フェデレーション サーバー プロキシとフェデレーション サービスの間の信頼を確立または更新できませんでした。 プロキシ サーバー上のプロキシ信頼証明書を更新します。 プロキシ構成ウィザードを再度実行します。
    AD FS のエクストラネット ロックアウト保護が無効です AD FS ファームでエクストラネット ロックアウト保護機能が無効になっています。 この機能は、インターネットからのブルート フォース パスワード攻撃からユーザーを保護し、AD DS アカウントのロックアウト ポリシーが有効な場合にユーザーに対するサービス拒否攻撃を防ぎます。 この機能を有効にすると、ユーザーのエクストラネット ログイン試行の失敗回数 (WAP サーバーと AD FS を介したログイン試行) が "ExtranetLockoutThreshold" を超えた場合、AD FS サーバーは 'ExtranetObservationWindow' に対する追加のログイン試行の処理を停止します。AD FS サーバーでこの機能を有効にすることを強くお勧めします。 AD FS エクストラネット ロックアウト保護を既定値で有効にするには、次のコマンドを実行します。
    Set-AdfsProperties -EnableExtranetLockout $true

    ユーザー用に AD ロックアウト ポリシーを構成している場合は、'ExtranetLockoutThreshold' プロパティが、AD DS のロックアウトしきい値未満の値に設定されていることを確認します。 これにより、AD FS のしきい値を超えている要求は削除され、AD DS サーバーに対する検証は行われません。
    AD FS サービス アカウントのサービス プリンシパル名 (SPN) が無効です フェデレーション サービス アカウントのサービス プリンシパル名が登録されていないか、一意ではありません。 その結果、ドメインに参加しているクライアントからの Windows 統合認証がシームレスにならない可能性があります。 サービス プリンシパルを一覧表示するには、[SETSPN -L ServiceAccountName] を使用します。
    重複しているサービス プリンシパル名をチェックするには、[SETSPN -X] を使用します。

    AD FS サービス アカウントの SPN が重複している場合は、[SETSPN -d service/namehostname] を使用して、重複しているアカウントを SPN から削除します。

    SPN が設定されていない場合は、[SETSPN -s {目的の SPN} {ドメイン名}{サービス アカウント}] を使用して、フェデレーション サービス アカウントに目的の SPN を設定します。
    プライマリ AD FS のトークン暗号化解除証明書の有効期限がまもなく切れます プライマリ AD FS のトークン暗号化解除証明書の有効期限が 90 日以内に切れます。 AD FS は、信頼されたクレーム プロバイダーからのトークンの暗号化を解除できません。 AD FS は、暗号化された SSO クッキーの暗号化を解除できません。 エンド ユーザーはリソースにアクセスするために認証できません。 証明書の自動ロールオーバーが有効になっている場合は、AD FS がトークン暗号化解除証明書を管理します。

    証明書を手動で管理する場合は、次の手順に従います。 新しいトークン暗号化解除証明書を取得します。

    1. 拡張キー使用法 (EKU) に "キーの暗号化" が含まれていることを確認します
    2. サブジェクトまたはサブジェクトの別名 (SAN) には制限はありません。
    3. フェデレーション サーバーと要求プロバイダー パートナーは、トークン暗号化解除証明書を検証するときに、信頼されたルート証明機関にチェーンできる必要があります。
    要求プロバイダー パートナーが新しいトークン暗号化解除証明書を信頼する方法を決定します。
    1. 証明書を更新した後、フェデレーション メタデータをプルするようにパートナーに依頼します。
    2. 新しい証明書の公開キー (.cer ファイル) をパートナーと共有します。 要求プロバイダー パートナーの AD FS サーバーで、[管理ツール] メニューから AD FS 管理を起動します。 [信頼関係/証明書利用者信頼] で、作成された信頼を選択します。 [プロパティ/暗号化] で [参照] を選択して新しい Token-Decrypting 証明書を選択し、[OK] を選択します。
    各フェデレーション サーバーのローカル証明書ストアに証明書をインストールします。
    • 証明書インストール ファイルに、各サーバーの証明書の秘密キーがあることを確認します。
    フェデレーション サービス アカウントが、新しい証明書の秘密キーにアクセスできることを確認します。AD FS に新しい証明書を追加します。
    1. [管理ツール] メニューから AD FS 管理を起動します。
    2. [サービス] を展開し、[証明書] を選択します。
    3. [操作] ウィンドウで、[証明書 Token-Decrypting 追加] を選択します。
    4. トークン暗号化解除に有効な証明書の一覧が表示されます。 新しい証明書が一覧に提示されない場合は、前に戻って、ローカル コンピューターの個人用ストアに、関連付けられた秘密キーと共に証明書が格納されていること、および拡張キー使用法としてキーの暗号化が証明書に含まれていることを確認します。
    5. 新しい Token-Decrypting 証明書を選択し、[OK] を選択します。
    新しいトークン暗号化解除証明書をプライマリとして設定します。
    1. AD FS 管理で [証明書] ノードを選択すると、[トークン暗号化解除] の下に 2 つの証明書 (既存の証明書と新しい証明書) が表示されます。
    2. 新しい Token-Decrypting 証明書を選択し、右選択して、[プライマリとして設定] を選択します。
    3. 古い証明書はロールオーバー用にセカンダリのままにします。 古い証明書は、ロールオーバーに不要になったと確信できたら、または証明書の有効期限が切れた時点で削除することを計画する必要があります。
    プライマリ AD FS のトークン署名証明書の有効期限がまもなく切れます AD FS のトークン署名証明書の有効期限が 90 日以内に切れます。 この証明書が有効でない場合、AD FS では署名付きトークンを発行できません。 新しいトークン署名証明書を取得します。
    1. 拡張キー使用法 (EKU) に "デジタル署名" が含まれていることを確認します
    2. サブジェクトまたはサブジェクトの別名 (SAN) には、何の制限もありません。
    3. トークン署名証明書を検証する際は、フェデレーション サーバー、リソース パートナーのフェデレーション サーバー、および証明書利用者のアプリケーション サーバーが、信頼されたルート証明機関にチェーンできる必要があります。
    各フェデレーション サーバーのローカル証明書ストアに証明書をインストールします。
    • 証明書インストール ファイルに、各サーバーの証明書の秘密キーがあることを確認します。
    フェデレーション サービス アカウントが、新しい証明書の秘密キーにアクセスできることを確認します。AD FS に新しい証明書を追加します。
    1. [管理ツール] メニューから AD FS 管理を起動します。
    2. [サービス] を展開し、[証明書] を選択します。
    3. [操作] ウィンドウで、[証明書 Token-Signing 追加]を選択します。
    4. トークン署名に有効な証明書の一覧が表示されます。 新しい証明書が一覧に提示されない場合は、前に戻って、ローカル コンピューターの個人用ストアに、関連付けられた秘密キーと共に証明書が格納されていること、および証明書にデジタル署名のキー使用法が含まれていることを確認します。
    5. 新しい Token-Signing 証明書を選択し、[OK] を選択します
    すべての証明書利用者にトークン署名証明書の変更について通知します。
    1. AD FS のフェデレーション メタデータを使用する証明書利用者が新しい証明書の使用を開始するには、新しいフェデレーション メタデータをプルする必要があります。
    2. AD FS のフェデレーション メタデータを使用しない証明書利用者は、新しいトークン署名証明書の公開キーを手動で更新する必要があります。 .cer ファイルを証明書利用者と共有します。
      3. 新しいトークン署名証明書をプライマリとして設定します。
      1. AD FS 管理で [証明書] ノードを選択すると、[トークン署名] の下に 2 つの証明書 (既存の証明書と新しい証明書)が表示されます。
      2. 新しい Token-Signing 証明書を選択し、右クリックして をプライマリ として設定します。
      3. 古い証明書はロールオーバー用にセカンダリのままにします。 古い証明書は、ロールオーバーに不要になったと確信できたら、または証明書の有効期限が切れた時点で削除することを計画する必要があります。 署名されるのは、現在のユーザーの SSO セッションであることに注意してください。 現在の AD FS プロキシの信頼関係は、古い証明書を使用して署名され、暗号化されているトークンを使用します。
    AD FS SSL certificate isn't found in the local certificate store (AD FS の SSL 証明書がローカル証明書ストアで見つかりません) AD FS データベースに TLS/SSL 証明書として構成されている拇印付きの証明書が、ローカル証明書ストアで見つかりませんでした。 その結果、TLS でのすべての認証要求が失敗します。 たとえば、Microsoft 365 のメール クライアント認証が失敗します。 構成された拇印がある証明書を、ローカル証明書ストアにインストールします。
    SSL 証明書の有効期限が切れました AD FS サービスの TLS/SSL 証明書の有効期限が切れています。 この結果、有効な TLS 接続を必要とするすべての認証要求が失敗します。 例: メール クライアント認証で、Microsoft 365 の認証ができなくなります。 各 AD FS サーバーの TLS/SSL 証明書を更新します。
    1. 以下の要件がある TLS/SSL 証明書を取得します。
    2. 拡張キー使用法が少なくともサーバーの認証である。
    3. 証明書のサブジェクトまたはサブジェクトの別名 (SAN) に、フェデレーション サービスの DNS 名または適切なワイルドカードが含まれている。 例: sso.contoso.com や *.contoso.com
    4. 各サーバーのローカル コンピューターの証明書ストアに新しい TLS/SSL 証明書をインストールします。
    5. AD FS サービス アカウントが、証明書の秘密キーに読み取りアクセスできることを確認します。

    Windows Server 2008R2 の AD FS 2.0 の場合:

    • 新しい TLS/SSL 証明書を、フェデレーション サービスをホストする IIS の Web サイトにバインドします。 この手順を、各フェデレーション サーバーとフェデレーション サーバー プロキシで実行する必要があります。

    Windows Server 2012 R2 以降のバージョンの AD FS の場合:以下を参照してください:AD FS と WAP での SSL 証明書の管理に関するページ

    Microsoft Entra ID (Microsoft 365 用) の必須エンドポイントが有効になっていません Exchange Online Services、Microsoft Entra ID、および Microsoft 365 に必要な次のエンドポイント セットが、フェデレーション サービスに対して有効になっていません:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Microsoft Cloud Services のフェデレーション サービスで必要なエンドポイントを有効にします。
    Windows Server 2012 R2 以降のバージョンの AD FS の場合
  • 以下を参照してください:AD FS と WAP での SSL 証明書の管理に関するページ

    • フェデレーション サーバーは、AD FS 構成データベースに接続できませんでした AD FS サービス アカウントが AD FS 構成データベースに接続しているときに問題が発生しました。 その結果、このコンピューターの AD FS サービスは期待どおりに機能しない可能性があります。
  • AD FS サービス アカウントが構成データベースにアクセスできることを確認します。
  • AD FS 構成データベース サービスが使用可能であり、アクセス可能であることを確認します。
    • 必要な SSL バインディングが欠落しているか、構成されていません 認証を正常に実行するために必要なこのフェデレーション サーバーの TLS バインドが正しく構成されていません。 その結果、AD FS では、着信要求を処理できません。 Windows Server 2012 R2:
    管理者特権のコマンド プロンプトを開き、次のコマンドを実行します。
    1. 現在の TLS バインドを表示するには: Get-AdfsSslCertificate
    2. 新しいバインドを追加するには: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    プライマリ AD FS トークン署名証明書の有効期限が切れています プライマリ AD FS トークン署名証明書の有効期限が切れています。 この証明書が有効でない場合、AD FS では署名付きトークンを発行できません。 証明書の自動ロールオーバーが有効になっている場合は、AD FS がトークン署名証明書を管理します。

    証明書を手動で管理する場合は、次の手順に従います。

    1. 新しいトークン署名証明書を取得します。
      1. 拡張キー使用法 (EKU) に "デジタル署名" が含まれていることを確認します
      2. サブジェクトまたはサブジェクトの別名 (SAN) には、何の制限もありません。
      3. トークン署名証明書を検証する際は、フェデレーション サーバー、リソース パートナーのフェデレーション サーバー、および証明書利用者のアプリケーション サーバーが、信頼されたルート証明機関にチェーンできる必要があります。
    2. 各フェデレーション サーバーのローカル証明書ストアに証明書をインストールします。
      • 証明書インストール ファイルに、各サーバーの証明書の秘密キーがあることを確認します。
    3. フェデレーション サービス アカウントが、新しい証明書の秘密キーにアクセスできることを確認します。
    4. AD FS に新しい証明書を追加します。
      1. [管理ツール] メニューから AD FS 管理を起動します。
      2. [サービス] を展開し、[証明書] を選択します。
      3. [操作] ウィンドウで、[証明書 Token-Signing 追加]を選択します。
      4. トークン署名に有効な証明書の一覧が表示されます。 新しい証明書が一覧に提示されない場合は、前に戻って、ローカル コンピューターの個人用ストアに、関連付けられた秘密キーと共に証明書が格納されていること、および証明書にデジタル署名のキー使用法が含まれていることを確認します。
      5. 新しい Token-Signing 証明書を選択し、[OK] を選択します
    5. すべての証明書利用者にトークン署名証明書の変更について通知します。
      1. AD FS のフェデレーション メタデータを使用する証明書利用者が新しい証明書の使用を開始するには、新しいフェデレーション メタデータをプルする必要があります。
      2. AD FS のフェデレーション メタデータを使用しない証明書利用者は、新しいトークン署名証明書の公開キーを手動で更新する必要があります。 .cer ファイルを証明書利用者と共有します。
    6. 新しいトークン署名証明書をプライマリとして設定します。
      1. AD FS 管理で [証明書] ノードを選択すると、[トークン署名] の下に 2 つの証明書 (既存の証明書と新しい証明書)が表示されます。
      2. 新しい Token-Signing 証明書を選択し、右クリックして をプライマリ として設定を選択します
      3. 古い証明書はロールオーバー用にセカンダリのままにします。 古い証明書は、ロールオーバーに不要になったと確信できたら、または証明書の有効期限が切れた時点で削除することを計画する必要があります。 署名されるのは現在のユーザーの SSO セッションであることを忘れないでください。 現在の AD FS プロキシの信頼関係は、古い証明書を使用して署名され、暗号化されているトークンを使用します。
    プロキシ サーバーが輻輳制御のため要求をドロップしています このプロキシ サーバーは、このプロキシ サーバーとフェデレーション サーバー間の待機時間が通常よりも長くなっているため、現在、エクストラネットからの要求をドロップしています。 その結果、AD FS プロキシ サーバーによって処理される認証要求の特定部分が失敗する可能性があります。
  • フェデレーション プロキシ サーバーとフェデレーション サーバー間のネットワークの待機時間が、許容範囲内であるかどうかを確認します。 監視セクションで "トークン要求待機時間" の傾向値を参照します待機時間が [1500 ミリ秒] を超える場合は、待機時間が長いとみなす必要があります。 待機時間が長い場合は、AD FS と AD FS プロキシ サーバー間のネットワークに接続の問題が発生していないことを確認します。
  • フェデレーション サーバーが認証要求で過負荷になっていないことを確認します。 監視セクションに、秒あたりのトークン要求、CPU 使用率、およびメモリ消費量の傾向が表示されます。
  • 上記の項目を検証してもこの問題が解消されない場合は、関連リンクのガイダンスに従って、各フェデレーション プロキシ サーバー上の輻輳回避設定を調整します。
    		•
    AD FS サービス アカウントは、証明書のいずれかの秘密キーへのアクセスを拒否されます。 AD FS サービス アカウントに、このコンピューター上のいずれかの AD FS 証明書の秘密キーにアクセスする権限がありません。 AD FS サービス アカウントが、ローカル コンピューターの証明書ストアに格納されている TLS 証明書、トークン署名証明書、およびトークン暗号化解除証明書にアクセスできることを確認します。
    1. コマンドラインから「MMC」と入力します。
    2. [ファイル]、[スナップインの追加/削除] の順に移動します
    3. [証明書] を選択し、[追加] を選択します。 -> コンピューター アカウントを選択し、[次へ] を選択します。 -> [ローカル コンピューター] を選択し、[完了] を選択します。 [OK] を選択します。

    証明書 (ローカル コンピューター/個人/証明書) を開きます。AD FS によって使用されるすべての証明書に対して、次の操作を実行します。
    1. 証明書を右選択します。
    2. [すべてのタスク]、[選択] [秘密キーの管理] の順に選択します。
    3. グループまたはユーザー名の [セキュリティ] タブで、AD FS サービス アカウントが存在していることを確認します。 ない場合は、[追加] を選択し、AD FS サービス アカウントを追加します。
    4. AD FS サービス アカウントを選択し、[<AD FS Service Account Name> のアクセス許可] で、読み取り権限が許可されている (オンになっている) ことを確認します。
    The AD FS SSL certificate doesn't have a private key (AD FS の SSL 証明書に秘密キーがありません) AD FS の TLS/SSL 証明書が秘密キーなしでインストールされました。 その結果、SSL 上のすべての認証要求が失敗します。 たとえば、Microsoft 365 のメール クライアント認証が失敗します。 各 AD FS サーバーの TLS/SSL 証明書を更新します。
    1. 以下の要件がある、公的に信頼されている TLS/SSL 証明書を取得します。
      1. 証明書のインストール ファイルに、その秘密キーが含まれている。
      2. 拡張キー使用法が少なくともサーバーの認証である。
      3. 証明書のサブジェクトまたはサブジェクトの別名 (SAN) に、フェデレーション サービスの DNS 名または適切なワイルドカードが含まれている。 例: sso.contoso.com や *.contoso.com
    2. 各サーバーのローカル コンピューターの証明書ストアに新しい TLS/SSL 証明書をインストールします。
    3. AD FS サービス アカウントが、証明書の秘密キーに読み取りアクセスできることを確認します。

    Windows Server 2008R2 の AD FS 2.0 の場合:

    • 新しい TLS/SSL 証明書を、フェデレーション サービスをホストする IIS の Web サイトにバインドします。 この手順を、各フェデレーション サーバーとフェデレーション サーバー プロキシで実行する必要があります。

    Windows Server 2012 R2 以降のバージョンの AD FS の場合:

  • 以下を参照してください:AD FS と WAP での SSL 証明書の管理に関するページ
    • プライマリ AD FS トークン暗号化解除証明書の有効期限が切れています プライマリ AD FS トークン暗号化解除証明書の有効期限が切れています。 AD FS は、信頼されたクレーム プロバイダーからのトークンの暗号化を解除できません。 AD FS は、暗号化された SSO クッキーの暗号化を解除できません。 エンド ユーザーはリソースにアクセスするために認証できません。

    証明書の自動ロールオーバーが有効になっている場合は、AD FS がトークン暗号化解除証明書を管理します。

    証明書を手動で管理する場合は、次の手順に従います。

    1. 新しいトークン暗号化解除証明書を取得します。
      • 拡張キー使用法 (EKU) に "キーの暗号化" が含まれていることを確認します。
      • サブジェクトまたはサブジェクトの別名 (SAN) には制限はありません。
      • フェデレーション サーバーと要求プロバイダー パートナーは、トークン暗号化解除証明書を検証するときに、信頼されたルート証明機関にチェーンできる必要があります。
    2. 要求プロバイダー パートナーが新しいトークン暗号化解除証明書を信頼する方法を決定します。
      • 証明書を更新した後、フェデレーション メタデータをプルするようにパートナーに依頼します。
      • 新しい証明書の公開キー (.cer ファイル) をパートナーと共有します。 要求プロバイダー パートナーの AD FS サーバーで、[管理ツール] メニューから AD FS 管理を起動します。 [信頼関係/証明書利用者信頼] で、作成された信頼を選択します。 [プロパティ/暗号化] で [参照] を選択して新しい Token-Decrypting 証明書を選択し、[OK] を選択します。
    3. 各フェデレーション サーバーのローカル証明書ストアに証明書をインストールします。
      • 証明書インストール ファイルに、各サーバーの証明書の秘密キーがあることを確認します。
    4. フェデレーション サービス アカウントが、新しい証明書の秘密キーにアクセスできることを確認します。
    5. AD FS に新しい証明書を追加します。
      • [管理ツール] メニューから AD FS 管理を起動します。
      • [サービス] を展開し、[証明書] を選択します。
      • [操作] ウィンドウで、[証明書 Token-Decrypting 追加] を選択します。
      • トークン暗号化解除に有効な証明書の一覧が表示されます。 新しい証明書が一覧に提示されない場合は、前に戻って、ローカル コンピューターの個人用ストアに、関連付けられた秘密キーと共に証明書が格納されていること、および拡張キー使用法としてキーの暗号化が証明書に含まれていることを確認します。
      • 新しい Token-Decrypting 証明書を選択し、[OK] を選択します。
    6. 新しいトークン暗号化解除証明書をプライマリとして設定します。
      • AD FS 管理で [証明書] ノードを選択すると、[トークン暗号化解除] の下に 2 つの証明書 (既存の証明書と新しい証明書) が表示されます。
    7. 新しい Token-Decrypting 証明書を選択し、右選択して[プライマリとして設定]を選択します。
    8. 古い証明書はロールオーバー用にセカンダリのままにします。 古い証明書は、ロールオーバーに不要になったと確信できたら、または証明書の有効期限が切れた時点で削除することを計画する必要があります。

    Azure Active Directory Domain Services のアラート

    アラート名 説明 Remediation
    LDAP ping を介してドメイン コントローラーに到達できません LDAP Ping を介してドメイン コントローラーに到達できません。 これは、ネットワークの問題またはマシンの問題が原因で発生する可能性があります。 その結果、LDAP ping は失敗します。
  • ドメイン コントローラーがアドバタイズされていないなど、関連するアラートがないかアラート一覧を調べます。
  • 影響を受けているドメイン コントローラーに十分なディスク領域があることを確認します。 領域が不足していると、DC は、自身を LDAP サーバーとしてアドバタイズすることを停止します。
  • PDC を検索します。
    netdom query fsmo
    を影響を受けているドメイン コントローラーで実行します。
  • 物理ネットワークが正しく構成されている/接続されていることを確認します。
    • Active Directory のレプリケーション エラーが発生しました このドメイン コントローラーでレプリケーションの問題が発生しています。レプリケーションの状態ダッシュボードで問題を確認できます。 レプリケーション エラーは、不適切な構成やその他の関連する問題が原因で発生する可能性があります。 プリケーション エラーを放置すると、データの不整合に至る可能性があります。 追加の詳細で、影響を受けているソースと送信先 DC の名前を確認します。 レプリケーションの状態ダッシュ ボードに移動し、影響を受けている DC 上のアクティブなエラーを探します。 エラーを選択すると、ブレードが開き、その特定のエラーを修復する方法の詳細が表示されます。
    ドメイン コントローラーが PDC を検出できません このドメイン コントローラーから PDC に到達できません。 これは、ユーザー ログオンへの影響、グループ ポリシーの変更の未適用、およびシステム時間の同期エラーにつながります。
  • ドメイン コントローラーがアドバタイズされていないなど、PDC に影響する可能性がある関連アラートがないかアラートの一覧を調べます。
  • PDC を検索します。
    netdom query fsmo
    を影響を受けているドメイン コントローラーで実行します。
  • ネットワークが正常に機能していることを確認します。
    • ドメイン コントローラーがグローバル カタログ サーバーを検出できません このドメイン コントローラーからグローバル カタログ サーバーに到達できません。 その結果、このドメイン コントローラーを経由して行われる認証は失敗します。 影響を受けているサーバーが GC の可能性がある、"ドメイン コントローラーがアドバタイズされていません" アラートがないかアラートの一覧を調べます。 アドバタイズ アラートがない場合は、GC の SRV レコードをチェックします。 次を実行することで、それらを確認できます。
    nltest /dnsgetdc: [ForestName] /gc
    GC としてアドバタイズされている DC が一覧表示されます。 リストが空の場合は、DNS 構成を調べて、GC が SRV レコードを登録していることを確認します。 DC は DNS でそれらを検索できます。
    グローバル カタログをトラブルシューティングするには、「Advertising as a Global Catalog Server. 」(グローバル カタログ サーバーとしてのアドバタイズ) を参照してください。
    Domain controller unable to reach local sysvol share (ドメイン コントローラーがローカル SYSVOL 共有に到達できません) SYSVOL には、ドメインの DC 内で配布されるグループ ポリシー オブジェクトとスクリプトの重要な要素が含まれています。 DC は自身を DC としてアドバタイズしないため、グループ ポリシーは適用されません。 SYSVOL および Netlogon 共有が見つからない場合のトラブルシューティング方法に関する記事を参照してください。
    ドメイン コントローラーの時間が同期していません このドメイン コントローラーの時間が、通常の時間のずれの範囲外にあります。 その結果、Kerberos 認証は失敗します。
  • Windows Time サービスを再起動します。
    net stop w32time
    、次に
    net start w32time
    を影響を受けているドメイン コントローラーで実行します。
  • Time を再起動します。
    w32tm /resync
    を影響を受けているドメイン コントローラーで実行します。
    		•
    Domain controller isn't advertising (ドメイン コントローラーがアドバタイズされていません) このドメイン コントローラーでは、実行できる役割が正しくアドバタイズされていません。 これは、レプリケーションの問題、DNS の不適切な構成、重要なサービスの未実行、またはサーバーの不完全な初期化が原因で発生する可能性があります。 その結果、ドメイン コントローラー、ドメインのメンバー、およびその他のデバイスは、このドメイン コントローラーを見つけられません。 さらに、他のドメイン コントローラーがこのドメイン コントローラーからレプリケートできない場合があります。 アラートの一覧で、他の関連するアラートを調べます。例:レプリケーションが壊れています。 ドメイン コントローラーの時刻が同期していません。Netlogon サービスが実行されていません。 DFSR と NTFRS サービス、またはそのいずれかが実行されていません。 関連する DNS の問題の特定とトラブルシューティング: 影響を受けるドメイン コントローラーにログオンします。 システム イベント ログを開きます。 イベント 5774、5775、または 5781 がある場合は、ドメイン コントローラー ロケーター DNS レコードの登録エラーに関する記事を参照してください。関連する Windows Time サービスの問題を識別してトラブルシューティングします。Windows Time サービスが実行されていることを確認します。'net start w32time' を影響を受けているドメイン コントローラーで実行します。 Windows Time サービスを再起動します。'net stop w32time' と 'net start w32time' を影響を受けているドメイン コントローラーで実行します。
    GPSVC service isn't running (GPSVC サービスが実行されていません) サービスが停止されているか無効な場合、管理者によって構成された設定は適用されず、グループ ポリシーによるアプリケーションとコンポーネントの管理はできません。 サービスが無効になっている場合、グループ ポリシー コンポーネントに依存するすべてのコンポーネントまたはアプリケーションは機能しないことがあります。 を実行します。
    net start gpsvc
    を影響を受けているドメイン コントローラーで実行します。
    DFSR and/or NTFRS services aren't running (DFSR と NTFRS サービス、またはそのいずれかが実行されていません) DFSR と NTFRS サービスの両方が停止すると、ドメイン コントローラーは SYSVOL データをレプリケートできなくなります。 SYSVOL データの整合性が失われます。
  • DFSR を使用している場合:
      'net start dfsr' を影響を受けているドメイン コントローラーで実行します。
    1. NTFRS を使用している場合:
        'net start ntfrs' を影響を受けているドメイン コントローラーで実行します。
    • Netlogon service isn't running (Netlogon サービスが実行されていません) この DC では、ログオン要求、登録、認証、およびドメイン コントローラーの検索は利用できません。 'net start netlogon' を影響を受けているドメイン コントローラーで実行します。
    W32Time service isn't running (W32Time サービスが実行されていません) Windows タイム サービスが停止されている場合、日付と時刻の同期は使用できません。 このサービスが無効になっている場合、このサービスに明示的に依存するすべてのサービスの開始は失敗します。 'net start win32Time' を影響を受けているドメイン コントローラーで実行します。
    ADWS service isn't running (ADWS サービスが実行されていません) Active Directory Web Services サービスが停止されるか無効になると、Active Directory PowerShell などのクライアント アプリケーションは、このサーバー上でローカルに実行されているディレクトリ サービス インスタンスにアクセスすることも、それを管理することもできなくなります。 'net start adws' を影響を受けているドメイン コントローラーで実行します。
    Root PDC isn't Syncing from NTP Server (ルート PDC が NTP サーバーから同期していません) 外部または内部のタイム ソースから時刻を同期するように PDC を構成しない場合、PDC エミュレーターは内部クロックを使用し、それ自体がフォレストの信頼性の高いタイム ソースです。 PDC 自体の時刻が正確でないと、すべてのコンピューターの時刻設定が不正確になります。 影響を受けているドメイン コントローラーで、コマンド プロンプトを開きます。 Time サービスを停止します。net stop w32time
  • 外部タイム ソースを構成します。
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    注:必要な外部タイム ソースのアドレスで time.windows.com を置き換えます。 Time サービスを開始します。
    net start w32time
    • ドメイン コントローラーが隔離されています このドメイン コントローラーは、稼働している他のどのドメイン コントローラーにも接続されていません。 原因は、不適切な構成である可能性があります。 その結果、この DC は使用されておらず、レプリケートは実行されません。 入力方向および出力方向のレプリケーションを有効にします。'repadmin /options ServerName -DISABLE_INBOUND_REPL' を影響を受けているドメイン コントローラーで実行します。 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' を影響を受けているドメイン コントローラーで実行します。 別のドメイン コントローラーへの新しいレプリケーション接続を作成します。
    1. Active Directory サイトとサービスを開く: [スタート] メニューの [管理ツール] をポイントし、[Active Directory サイトとサービス] を選択します。
    2. コンソール ツリーで、[サイト]を 展開し、この DC が属するサイトを展開します。
    3. サーバー コンテナーを展開して、サーバーの一覧を表示します。
    4. この DC のサーバー オブジェクトを展開します。
    5. NTDS 設定オブジェクトを右選択し、[新しい Active Directory Domain Services 接続...] を選択します。
    6. 一覧からサーバーを選択し、[OK] を選択します。
    How to remove orphaned domains from Active Directory (孤立したドメインを Active Directory から削除する方法)
    出力方向のレプリケーションが無効です 出力方向のレプリケーションが無効になっている DC では、それ自体からの変更を配布できなくなります。 影響を受けるドメイン コントローラーで送信レプリケーションを有効にするには、次の手順に従います。[スタート] を選択し、[実行] を選択し、「cmd」と入力して、[OK] を選択します。 次のテキストを入力し、ENTER キーを押します。
    repadmin /options -DISABLE_OUTBOUND_REPL
    入力方向のレプリケーションが無効です 入力方向のレプリケーションが無効になっている DC では最新の情報を取得できません。 この状態では、ログオンに失敗する可能性があります。 影響を受けるドメイン コントローラーで受信レプリケーションを有効にするには、次の手順に従います。[スタート] を選択し、[実行] を選択し、「cmd」と入力して、[OK] を選択します。 次のテキストを入力し、ENTER キーを押します。
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer service isn't running (LanmanServer サービスが実行されていません) このサービスが無効になっている場合、このサービスに明示的に依存するすべてのサービスの開始は失敗します。 'net start LanManServer' を影響を受けているドメイン コントローラーで実行します。
    Kerberos Key Distribution Center service isn't running (Kerberos キー配布センター サービスが実行されていません) KDC サービスが停止すると、Kerberos v5 認証プロトコルを使用してこの DC 経由で認証できなくなります。 'net start kdc' を影響を受けているドメイン コントローラーで実行します。
    DNS service isn't running (DNS サービスが実行されていません) DNS サービスが停止すると、DNS を利用するためにこのサーバーを使用しているコンピューターとユーザーはリソースを検出できなくなります。 'net start dns' を影響を受けているドメイン コントローラーで実行します。
    DC が USN をロールバックしました USN ロールバックが発生すると、以前 USN が認識されていた送信先ドメイン コントローラーによる、オブジェクトと属性に対する変更の入力方向のレプリケートは実行されません。 これらの送信先ドメイン コントローラーは最新のものであると考えられているため、レプリケーション エラーがディレクトリ サービスのイベント ログに報告されることも、監視および診断ツールによって監視されることもありません。 USN のロールバックは、すべてのパーティション内のすべてのオブジェクトまたは属性のレプリケーションに影響を与える可能性があります。 最も頻繁に観察される副作用は、ロールバック ドメイン コントローラーで作成されたユーザー アカウントとコンピューター アカウントが、1 つ以上のレプリケーション パートナーに存在しないということです。 または、ロールバック ドメイン コントローラーで発生したパスワードの更新は、レプリケーション パートナーには存在しません。 USN ロールバックから回復する方法は 2 つあります。

    次の手順に従って、ドメインからドメイン コントローラーを削除します。

    1. ドメイン コントローラーから Active Directory を削除して、強制的にスタンドアロン サーバーにします。 詳細については、次の資料番号を選択して、Microsoft サポート技術情報の記事を表示します。
      332199 ドメイン コントローラーは、Active Directory インストール ウィザードを使用して Windows Server 2003 および Windows 2000 Server で降格を強制する場合、正常に降格されません。
    2. 降格されたサーバーをシャット ダウンします。
    3. 正常なドメイン コントローラーで、降格されたドメイン コントローラーのメタデータをクリーン アップします。 詳細については、次の資料番号を選択して、Microsoft サポート技術情報の記事を表示します。
      216498: ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
    4. 不適切に復元されたドメイン コントローラーが操作マスターの役割をホストする場合は、これらの役割を正常なドメイン コントローラーに移行します。 詳細については、次の資料番号を選択して、Microsoft サポート技術情報の記事を表示します。
      255504: Ntdsutil.exe を使用して別のドメイン コントローラーに FSMO の役割を移行または強制移行する
    5. 降格されたサーバーを再起動します。
    6. 必要な場合は、スタンドアロン サーバーに Active Directory を再度インストールしてください。
    7. ドメイン コントローラーが以前はグローバル カタログであった場合は、ドメイン コントローラーをグローバル カタログとして構成します。 詳細については、次の資料番号を選択して、Microsoft サポート技術情報の記事を表示します。
      313994: Windows 2000 でグローバル カタログの作成または移動を行う方法
    8. ドメイン コントローラーが操作マスターの役割をホストしていた場合は、ドメイン コントローラーに操作マスターの役割を移行して戻します。 詳細については、次の資料番号を選択して、Microsoft サポート技術情報の記事を表示します。
      255504: Ntdsutil.exe を使用して別のドメイン コントローラーに FSMO の役割を移行または強制移行する 良好なバックアップのシステム状態を復元します。

    このドメイン コントローラーの有効なシステム状態のバックアップが存在するかどうかを判断します。 ロールバックされるドメイン コントローラーが不適切に復元される前に有効なシステム状態のバックアップが作成され、そのバックアップにドメイン コントローラーで実行された最近の変更が含まれている場合は、最新のバックアップからシステムの状態を復元します。

    バックアップのソースとしてスナップショットを使用することもできます。 または、こちらの記事の仮想ドメイン コントローラー VHD の前バージョンへのシステム状態データのバックアップなしでの復元に関するセクションの手順を使用して、データベース自身に新しい呼び出し ID を指定するようにデータベースを設定できます。

    次のステップ