Microsoft Entra Connect Health アラート カタログ
Microsoft Entra Connect Health サービスの送信アラートは、ID インフラストラクチャに問題があることを示します。 この記事には、各アラートのタイトル、説明、および修復手順が含まれています。
Connect Health サービスから生成されるアラートには、エラー、警告、および事前警告という 3 つの段階があります。 トリガーされたアラートには、すぐに対応することを強くお勧めします。
Microsoft Entra Connect Health アラートは、成功条件を満たすと解決されます。 Microsoft Entra Connect Health エージェントは、定期的に成功条件を検出してサービスにレポートします。 一部のアラートは、時間に基づいて抑制されます。 つまり、アラートの生成から 72 時間以内に同じエラー条件が観察されない場合、アラートは自動的に解決されます。
一般的なアラート
アラート名 | 説明 | Remediation |
---|---|---|
Health service data isn't up to date (Health サービス データが最新ではありません) | 1 台以上のサーバー上で実行されている Health エージェントが Health サービスに接続されておらず、Health サービスはこのサーバーから最新データを受信していません。 ヘルス サービスによって最後に処理されたデータは 2 時間より前のものです。 | 正常性エージェントに必要なサービス エンドポイントへの送信接続があることを確認します。 詳細 |
Microsoft Entra Connect (同期) のアラート
アラート名 | 説明 | 修正 |
---|---|---|
Microsoft Entra Connect 同期サービスが実行されていません | Microsoft Entra ID 同期 Windows サービスが実行されていないか開始できませんでした。 その結果、オブジェクトは Microsoft Entra ID と同期されません。 | Microsoft Entra ID 同期サービスを開始する
|
Microsoft Entra ID からインポートできませんでした | Microsoft Entra コネクタからのインポート操作が失敗しています。 | インポート操作のイベント ログ エラーで詳細を調べます。 |
認証が失敗したため、Microsoft Entra ID への接続に失敗しました | 認証が失敗したため、Microsoft Entra ID への接続に失敗しました。 その結果、オブジェクトは Microsoft Entra ID と同期されません。 | イベント ログ エラーで詳細を調べます。 |
Active Directory へのエクスポートが失敗しました | Active Directory コネクタへのエクスポート操作が失敗しています。 | エクスポート操作のイベント ログ エラーで詳細を調べます。 |
Active Directory からのインポートが失敗しました | Active Directory からのインポートが失敗しました。 その結果、このフォレストの一部のドメインのオブジェクトはインポートされていない可能性があります。 | |
Microsoft Entra ID にエクスポートできませんでした | Microsoft Entra コネクタへのエクスポート操作が失敗しています。 その結果、一部のオブジェクトが Microsoft Entra ID に正常にエクスポートされていない可能性があります。 | エクスポート操作のイベント ログ エラーで詳細を調べます。 |
パスワード ハッシュ同期のハートビートが 120 分間スキップされました | パスワード ハッシュ同期が Microsoft Entra ID に 120 分間接続されていません。 その結果、パスワードは Microsoft Entra ID と同期されません。 | Microsoft Entra ID 同期サービスを再起動する: 現在実行中のすべての同期操作は中断されます。 進行中の同期操作がない場合は、次の手順を実行できます。 1.[スタート] ボタンをクリックし、[ファイル名指定して実行] をクリックします。「Services.msc」と入力し、[OK] をクリックします。 2. Microsoft Entra ID 同期 を探して右クリックし、[再起動] をクリックします。 |
CPU 使用率が高くなっていることが検出されました | CPU 消費率が、このサーバーの推奨しきい値を超えました。 |
|
メモリ使用量が多くなっていることを検出しました | サーバーのメモリ使用量が、このサーバーの推奨しきい値を超えています。 | サーバー上の メモリ使用量が多いプロセスを調べます。 タスク マネージャーを使用するか、次の PowerShell コマンドを実行できます。 get-process | Sort-Object -Descending WS | Select-Object -First 10 大量のメモリを消費している予期されないプロセスがある場合は、次の PowerShell コマンドを使用してプロセスを停止します。 stop-process -ProcessName [プロセスの名前] |
パスワード ハッシュ同期の動作が停止しました | パスワード ハッシュ同期が停止しています。 その結果、パスワードは Microsoft Entra ID と同期されません。 | Microsoft Entra ID 同期サービスを再起動する: 現在実行中のすべての同期操作は中断されます。 進行中の同期操作がない場合は、次の手順を実行できます。
|
Microsoft Entra ID へのエクスポートが停止されました。 予想外の削除のしきい値に達しました | Microsoft Entra ID へのエクスポート操作が失敗しています。 構成されたしきい値を超える数の削除されるオブジェクトがありました。 その結果、オブジェクトはエクスポートされませんでした。 |
|
Active Directory フェデレーション サービスのアラート
アラート名 | 説明 | Remediation |
---|---|---|
テスト認証要求 (代理トランザクション) は、トークンの取得に失敗しました | このサーバーから開始されたテスト認証要求 (代理トランザクション) は、5 回試行しましたが、トークンを取得できませんでした。 これは、一時的なネットワークの問題、AD DS ドメイン コントローラーの可用性、または AD FS サーバーの不適切な構成が原因である可能性があります。 その結果、フェデレーション サービスによって処理される認証要求は失敗することがあります。 エージェントは、ローカル コンピューター アカウントのコンテキストを使用して、フェデレーション サービスからトークンを取得します。 | 次の手順を実行して、サーバーの正常性を確認します。
サービス名を解決できない場合は、このサーバーの IP アドレスを使用して AD FS サービスの HOST ファイル エントリを追加する方法に関する FAQ セクションを参照してください。 これにより、このサーバーで代理トランザクション モジュールを実行してトークンを要求できるようになります。 |
The proxy server can't reach the federation server (プロキシ サーバーがフェデレーション サーバーに到達できません) | この AD FS プロキシ サーバーが AD FS サービスに接続できません。 その結果、このサーバーによって処理される認証要求は失敗します。 | 次の手順を実行して、このサーバーと AD FS サービス間の接続を検証します。
|
SSL 証明書の有効期限がまもなく切れます | フェデレーション サーバーによって使用される TLS/SSL 証明書の有効期限が 90 日以内に切れます。 有効期限が切れると、有効な TLS 接続を必要とするすべての要求は失敗します。 たとえば、Microsoft 365 ユーザーの場合、メール クライアントで認証ができなくなります。 | 各 AD FS サーバーの TLS/SSL 証明書を更新します。
Windows Server 2008R2 の AD FS 2.0 の場合:
Windows Server 2012 R2 以降のバージョンの AD FS の場合: |
AD FS service isn't running on the server (AD FS サービスがサーバーで実行されていません) | Active Directory フェデレーション サービス (Windows サービス) がこのサーバーで実行されていません。 このサーバーを対象とするすべての要求は失敗します。 | Active Directory フェデレーション サービス (Windows サービス) を開始するには:
|
フェデレーション サービスの DNS の構成が正しくない可能性があります | AD FS ファーム名の CNAME レコードを使用するように DNS サーバーを構成できませんでした。 企業ネットワーク内で Windows 統合認証をシームレスに動作させるには、AD FS に対して A または AAAA レコードを使用することをお勧めします。 | AD FS ファーム <Farm Name> の DNS レコードの種類が CNAME でないことを確認します。 A または AAAA レコードになるように構成します。 |
AD FS の監査が無効です | サーバーに対する AD FS の監査が無効です。 このサーバーからのデータがポータルの AD FS 利用状況セクションに含まれなくなります。 | AD FS 監査が有効になっていない場合は、次の手順に従います:
これらの手順を実行すると、AD FS の監査イベントがイベント ビューアーに表示されます。 検証するには:
これらの手順に従った場合でも、このアラートが引き続き表示される場合は、グループ ポリシー オブジェクトによって AD FS の監査が無効になっている可能性があります。 根本原因は、次のいずれかです。
|
AD FS の SSL 証明書が自己署名証明書です | 現在、AD FS ファームの TLS/SSL 証明書として自己署名証明書が使用されています。 その結果、Microsoft 365 のメール クライアント認証が失敗します。 | 各 AD FS サーバーの TLS/SSL 証明書を更新します。
各サーバーのローカル コンピューターの証明書ストアに新しい TLS/SSL 証明書をインストールします。
Windows Server 2008R2 の AD FS 2.0 の場合: Windows Server 2012 R2 以降のバージョンの AD FS の場合: |
The trust between the proxy server and federation server isn't valid (プロキシ サーバーとフェデレーション サーバーの間の信頼が無効です) | フェデレーション サーバー プロキシとフェデレーション サービスの間の信頼を確立または更新できませんでした。 | プロキシ サーバー上のプロキシ信頼証明書を更新します。 プロキシ構成ウィザードを再度実行します。 |
AD FS のエクストラネット ロックアウト保護が無効です | AD FS ファームでエクストラネット ロックアウト保護機能が無効になっています。 この機能は、インターネットからのブルート フォース パスワード攻撃からユーザーを保護し、AD DS アカウントのロックアウト ポリシーが有効な場合にユーザーに対するサービス拒否攻撃を防ぎます。 この機能を有効にすると、ユーザーが失敗したエクストラネット ログイン (WAP サーバーと AD FS 経由で行われるログイン) の回数が 'ExtranetLockoutThreshold' を超えた場合、AD FS サーバーは ‘ExtranetObservationWindow' に対する以降のログイン処理を停止します。AD FS サーバーでこの機能を有効にすることを強くお勧めします。 | AD FS エクストラネット ロックアウト保護を既定値で有効にするには、次のコマンドを実行します。 Set-AdfsProperties -EnableExtranetLockout $true ユーザー用に AD ロックアウト ポリシーを構成している場合は、'ExtranetLockoutThreshold' プロパティが、AD DS のロックアウトしきい値未満の値に設定されていることを確認します。 これにより、AD FS のしきい値を超えている要求は削除され、AD DS サーバーに対する検証は行われません。 |
AD FS サービス アカウントのサービス プリンシパル名 (SPN) が無効です | フェデレーション サービス アカウントのサービス プリンシパル名が登録されていないか、一意ではありません。 その結果、ドメインに参加しているクライアントからの Windows 統合認証がシームレスにならない可能性があります。 | サービス プリンシパルを一覧表示するには、[SETSPN -L ServiceAccountName] を使用します。 重複しているサービス プリンシパル名をチェックするには、[SETSPN -X] を使用します。 AD FS サービス アカウントの SPN が重複している場合は、[SETSPN -d service/namehostname] を使用して、重複しているアカウントを SPN から削除します。 SPN が設定されていない場合は、[SETSPN -s {目的の SPN} {ドメイン名}{サービス アカウント}] を使用して、フェデレーション サービス アカウントに目的の SPN を設定します。 |
プライマリ AD FS のトークン暗号化解除証明書の有効期限がまもなく切れます | プライマリ AD FS のトークン暗号化解除証明書の有効期限が 90 日以内に切れます。 AD FS は、信頼されたクレーム プロバイダーからのトークンの暗号化を解除できません。 AD FS は、暗号化された SSO クッキーの暗号化を解除できません。 エンド ユーザーはリソースにアクセスするために認証できません。 | 証明書の自動ロールオーバーが有効になっている場合は、AD FS がトークン暗号化解除証明書を管理します。 証明書を手動で管理する場合は、次の手順に従います。 新しいトークン暗号化解除証明書を取得します。
|
プライマリ AD FS のトークン署名証明書の有効期限がまもなく切れます | AD FS のトークン署名証明書の有効期限が 90 日以内に切れます。 この証明書が有効でない場合、AD FS では署名付きトークンを発行できません。 | 新しいトークン署名証明書を取得します。
|
AD FS SSL certificate isn't found in the local certificate store (AD FS の SSL 証明書がローカル証明書ストアで見つかりません) | AD FS データベースに TLS/SSL 証明書として構成されている拇印付きの証明書が、ローカル証明書ストアで見つかりませんでした。 その結果、TLS でのすべての認証要求が失敗します。 たとえば、Microsoft 365 のメール クライアント認証が失敗します。 | 構成された拇印がある証明書を、ローカル証明書ストアにインストールします。 |
SSL 証明書の有効期限が切れました | AD FS サービスの TLS/SSL 証明書の有効期限が切れています。 この結果、有効な TLS 接続を必要とするすべての認証要求が失敗します。 例: メール クライアント認証で、Microsoft 365 の認証ができなくなります。 | 各 AD FS サーバーの TLS/SSL 証明書を更新します。
Windows Server 2008R2 の AD FS 2.0 の場合:
Windows Server 2012 R2 以降のバージョンの AD FS の場合:以下を参照してください:AD FS と WAP での SSL 証明書の管理に関するページ |
Microsoft Entra ID (Microsoft 365 用) の必須エンドポイントが有効になっていません | Exchange Online Services、Microsoft Entra ID、および Microsoft 365 に必要な次のエンドポイント セットが、フェデレーション サービスに対して有効になっていません: |
Microsoft Cloud Services のフェデレーション サービスで必要なエンドポイントを有効にします。 Windows Server 2012 R2 以降のバージョンの AD FS の場合 |
フェデレーション サーバーは、AD FS 構成データベースに接続できませんでした | AD FS サービス アカウントが AD FS 構成データベースに接続しているときに問題が発生しました。 その結果、このコンピューターの AD FS サービスは期待どおりに機能しない可能性があります。 | |
必要な SSL バインディングが欠落しているか、構成されていません | 認証を正常に実行するために必要なこのフェデレーション サーバーの TLS バインドが正しく構成されていません。 その結果、AD FS では、着信要求を処理できません。 | Windows Server 2012 R2: 管理者特権のコマンド プロンプトを開き、次のコマンドを実行します。
|
プライマリ AD FS トークン署名証明書の有効期限が切れています | プライマリ AD FS トークン署名証明書の有効期限が切れています。 この証明書が有効でない場合、AD FS では署名付きトークンを発行できません。 | 証明書の自動ロールオーバーが有効になっている場合は、AD FS がトークン署名証明書を管理します。 証明書を手動で管理する場合は、次の手順に従います。
|
プロキシ サーバーが輻輳制御のため要求をドロップしています | このプロキシ サーバーは、このプロキシ サーバーとフェデレーション サーバー間の待機時間が通常よりも長くなっているため、現在、エクストラネットからの要求をドロップしています。 その結果、AD FS プロキシ サーバーによって処理される認証要求の特定部分が失敗する可能性があります。 | |
AD FS サービス アカウントが、いずれかの証明書の秘密キーへのアクセスを拒否されています | AD FS サービス アカウントに、このコンピューター上のいずれかの AD FS 証明書の秘密キーにアクセスする権限がありません。 | AD FS サービス アカウントが、ローカル コンピューターの証明書ストアに格納されている TLS 証明書、トークン署名証明書、およびトークン暗号化解除証明書にアクセスできることを確認します。
証明書 (ローカル コンピューター/個人/証明書) を開きます。AD FS によって使用されるすべての証明書に対して、次の操作を実行します。
|
The AD FS SSL certificate doesn't have a private key (AD FS の SSL 証明書に秘密キーがありません) | AD FS の TLS/SSL 証明書が秘密キーなしでインストールされました。 その結果、SSL 上のすべての認証要求が失敗します。 たとえば、Microsoft 365 のメール クライアント認証が失敗します。 | 各 AD FS サーバーの TLS/SSL 証明書を更新します。
Windows Server 2008R2 の AD FS 2.0 の場合:
Windows Server 2012 R2 以降のバージョンの AD FS の場合: |
プライマリ AD FS トークン暗号化解除証明書の有効期限が切れています | プライマリ AD FS トークン暗号化解除証明書の有効期限が切れています。 AD FS は、信頼されたクレーム プロバイダーからのトークンの暗号化を解除できません。 AD FS は、暗号化された SSO クッキーの暗号化を解除できません。 エンド ユーザーはリソースにアクセスするために認証できません。 | 証明書の自動ロールオーバーが有効になっている場合は、AD FS がトークン暗号化解除証明書を管理します。 証明書を手動で管理する場合は、次の手順に従います。
|
Azure Active Directory Domain Services のアラート
アラート名 | 説明 | Remediation |
---|---|---|
LDAP ping を介してドメイン コントローラーに到達できません | LDAP Ping を介してドメイン コントローラーに到達できません。 これは、ネットワークの問題またはマシンの問題が原因で発生する可能性があります。 その結果、LDAP ping は失敗します。 | netdom query fsmo を影響を受けているドメイン コントローラーで実行します。 |
Active Directory のレプリケーション エラーが発生しました | このドメイン コントローラーでレプリケーションの問題が発生しています。レプリケーションの状態ダッシュボードで問題を確認できます。 レプリケーション エラーは、不適切な構成やその他の関連する問題が原因で発生する可能性があります。 プリケーション エラーを放置すると、データの不整合に至る可能性があります。 | 追加の詳細で、影響を受けているソースと送信先 DC の名前を確認します。 レプリケーションの状態ダッシュ ボードに移動し、影響を受けている DC 上のアクティブなエラーを探します。 エラーをクリックしてブレードを開くと、その特定のエラーを修復する方法の詳細が表示されます。 |
ドメイン コントローラーが PDC を検出できません | このドメイン コントローラーから PDC に到達できません。 これは、ユーザー ログオンへの影響、グループ ポリシーの変更の未適用、およびシステム時間の同期エラーにつながります。 | netdom query fsmo を影響を受けているドメイン コントローラーで実行します。 |
ドメイン コントローラーがグローバル カタログ サーバーを検出できません | このドメイン コントローラーからグローバル カタログ サーバーに到達できません。 その結果、このドメイン コントローラーを経由して行われる認証は失敗します。 | 影響を受けているサーバーが GC の可能性がある、"ドメイン コントローラーがアドバタイズされていません" アラートがないかアラートの一覧を調べます。 アドバタイズ アラートがない場合は、GC の SRV レコードをチェックします。 次を実行することで、それらを確認できます。 nltest /dnsgetdc: [ForestName] /gc GC としてアドバタイズされている DC が一覧表示されます。 リストが空の場合は、DNS 構成を調べて、GC が SRV レコードを登録していることを確認します。 DC は DNS でそれらを検索できます。 グローバル カタログをトラブルシューティングするには、「Advertising as a Global Catalog Server. 」(グローバル カタログ サーバーとしてのアドバタイズ) を参照してください。 |
Domain controller unable to reach local sysvol share (ドメイン コントローラーがローカル SYSVOL 共有に到達できません) | SYSVOL には、ドメインの DC 内で配布されるグループ ポリシー オブジェクトとスクリプトの重要な要素が含まれています。 DC は自身を DC としてアドバタイズしないため、グループ ポリシーは適用されません。 | SYSVOL および Netlogon 共有が見つからない場合のトラブルシューティング方法に関する記事を参照してください。 |
ドメイン コントローラーの時間が同期していません | このドメイン コントローラーの時間が、通常の時間のずれの範囲外にあります。 その結果、Kerberos 認証は失敗します。 | net stop w32time 、次に net start w32time を影響を受けているドメイン コントローラーで実行します。 w32tm /resync を影響を受けているドメイン コントローラーで実行します。 |
Domain controller isn't advertising (ドメイン コントローラーがアドバタイズされていません) | このドメイン コントローラーでは、実行できる役割が正しくアドバタイズされていません。 これは、レプリケーションの問題、DNS の不適切な構成、重要なサービスの未実行、またはサーバーの不完全な初期化が原因で発生する可能性があります。 その結果、ドメイン コントローラー、ドメインのメンバー、およびその他のデバイスは、このドメイン コントローラーを見つけられません。 さらに、他のドメイン コントローラーがこのドメイン コントローラーからレプリケートできない場合があります。 | アラートの一覧で、他の関連するアラートを調べます。例:レプリケーションが壊れています。 ドメイン コントローラーの時刻が同期していません。Netlogon サービスが実行されていません。 DFSR と NTFRS サービス、またはそのいずれかが実行されていません。 関連する DNS 問題を識別してトラブルシューティングします。影響を受けているドメイン コントローラーにログオンします。 システム イベント ログを開きます。 イベント 5774、5775、または 5781 がある場合は、ドメイン コントローラー ロケーター DNS レコードの登録エラーに関する記事を参照してください。関連する Windows Time サービスの問題を識別してトラブルシューティングします。Windows Time サービスが実行されていることを確認します。'net start w32time' を影響を受けているドメイン コントローラーで実行します。 Windows Time サービスを再起動します。'net stop w32time' と 'net start w32time' を影響を受けているドメイン コントローラーで実行します。 |
GPSVC service isn't running (GPSVC サービスが実行されていません) | サービスが停止されているか無効な場合、管理者によって構成された設定は適用されず、グループ ポリシーによるアプリケーションとコンポーネントの管理はできません。 サービスが無効になっている場合、グループ ポリシー コンポーネントに依存するすべてのコンポーネントまたはアプリケーションは機能しないことがあります。 | を実行します。 net start gpsvc を影響を受けているドメイン コントローラーで実行します。 |
DFSR and/or NTFRS services aren't running (DFSR と NTFRS サービス、またはそのいずれかが実行されていません) | DFSR と NTFRS サービスの両方が停止すると、ドメイン コントローラーは SYSVOL データをレプリケートできなくなります。 SYSVOL データの整合性が失われます。 |
|
Netlogon service isn't running (Netlogon サービスが実行されていません) | この DC では、ログオン要求、登録、認証、およびドメイン コントローラーの検索は利用できません。 | 'net start netlogon' を影響を受けているドメイン コントローラーで実行します。 |
W32Time service isn't running (W32Time サービスが実行されていません) | Windows タイム サービスが停止されている場合、日付と時刻の同期は使用できません。 このサービスが無効になっている場合、このサービスに明示的に依存するすべてのサービスの開始は失敗します。 | 'net start win32Time' を影響を受けているドメイン コントローラーで実行します。 |
ADWS service isn't running (ADWS サービスが実行されていません) | Active Directory Web Services サービスが停止されるか無効になると、Active Directory PowerShell などのクライアント アプリケーションは、このサーバー上でローカルに実行されているディレクトリ サービス インスタンスにアクセスすることも、それを管理することもできなくなります。 | 'net start adws' を影響を受けているドメイン コントローラーで実行します。 |
Root PDC isn't Syncing from NTP Server (ルート PDC が NTP サーバーから同期していません) | 外部または内部タイム ソースからの時間と同期するように PDC が構成されていない場合、PDC エミュレーターは内部クロックを使用し、それ自体がフォレストの信頼できるタイム ソースになります。 PDC 自体の時刻が正確でないと、すべてのコンピューターの時刻設定が不正確になります。 | 影響を受けているドメイン コントローラーで、コマンド プロンプトを開きます。 Time サービスを停止します。net stop w32time w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes 注:必要な外部タイム ソースのアドレスで time.windows.com を置き換えます。 Time サービスを開始します。 net start w32time |
ドメイン コントローラーが隔離されています | このドメイン コントローラーは、稼働している他のどのドメイン コントローラーにも接続されていません。 原因は、不適切な構成である可能性があります。 その結果、この DC は使用されておらず、レプリケートは実行されません。 | 入力方向および出力方向のレプリケーションを有効にします。'repadmin /options ServerName -DISABLE_INBOUND_REPL' を影響を受けているドメイン コントローラーで実行します。 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' を影響を受けているドメイン コントローラーで実行します。 別のドメイン コントローラーへの新しいレプリケーション接続を作成します。
|
出力方向のレプリケーションが無効です | 出力方向のレプリケーションが無効になっている DC では、それ自体からの変更を配布できなくなります。 | 影響を受けているドメイン コントローラーで出力方向のレプリケーションを有効にするには、次の手順に従います。[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「cmd」と入力し、[OK] をクリックします。 次のテキストを入力し、ENTER キーを押します。 repadmin /options -DISABLE_OUTBOUND_REPL |
入力方向のレプリケーションが無効です | 入力方向のレプリケーションが無効になっている DC では最新の情報を取得できません。 この状態では、ログオンに失敗する可能性があります。 | 影響を受けているドメイン コントローラーで入力方向のレプリケーションを有効にするには、次の手順に従います。[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、「cmd」と入力し、[OK] をクリックします。 次のテキストを入力し、ENTER キーを押します。 repadmin /options -DISABLE_INBOUND_REPL |
LanmanServer service isn't running (LanmanServer サービスが実行されていません) | このサービスが無効になっている場合、このサービスに明示的に依存するすべてのサービスの開始は失敗します。 | 'net start LanManServer' を影響を受けているドメイン コントローラーで実行します。 |
Kerberos Key Distribution Center service isn't running (Kerberos キー配布センター サービスが実行されていません) | KDC サービスが停止すると、Kerberos v5 認証プロトコルを使用してこの DC 経由で認証できなくなります。 | 'net start kdc' を影響を受けているドメイン コントローラーで実行します。 |
DNS service isn't running (DNS サービスが実行されていません) | DNS サービスが停止すると、DNS を利用するためにこのサーバーを使用しているコンピューターとユーザーはリソースを検出できなくなります。 | 'net start dns' を影響を受けているドメイン コントローラーで実行します。 |
DC が USN をロールバックしました | USN ロールバックが発生すると、以前 USN が認識されていた送信先ドメイン コントローラーによる、オブジェクトと属性に対する変更の入力方向のレプリケートは実行されません。 これらの送信先ドメイン コントローラーは最新のものであると考えられているため、レプリケーション エラーがディレクトリ サービスのイベント ログに報告されることも、監視および診断ツールによって監視されることもありません。 USN のロールバックは、すべてのパーティション内のすべてのオブジェクトまたは属性のレプリケーションに影響を与える可能性があります。 最も頻繁に観察される副作用は、ロールバック ドメイン コントローラー上に作成されるユーザー アカウントとコンピューター アカウントが、1 つまたは複数のレプリケーション パートナー上に存在しなくなることです。 または、ロールバック ドメイン コントローラー上で発生したパスワードの更新がレプリケーション パートナーに存在しません。 | USN ロールバックから回復する方法は 2 つあります。 次の手順に従って、ドメインからドメイン コントローラーを削除します。
このドメイン コントローラーの有効なシステム状態のバックアップが存在するかどうかを判断します。 ロールバックされるドメイン コントローラーが不適切に復元される前に有効なシステム状態のバックアップが作成され、そのバックアップにドメイン コントローラーで実行された最近の変更が含まれている場合は、最新のバックアップからシステムの状態を復元します。 バックアップのソースとしてスナップショットを使用することもできます。 または、こちらの記事の仮想ドメイン コントローラー VHD の前バージョンへのシステム状態データのバックアップなしでの復元に関するセクションの手順を使用して、データベース自身に新しい呼び出し ID を指定するようにデータベースを設定できます。 |