Delen via

Microsoft Entra Connect Health Alert Catalog

  • Artikel

Microsoft Entra Connect Health-service verzendt waarschuwingen om aan te geven dat uw identiteitsinfrastructuur niet in orde is. Dit artikel bevat waarschuwingentitels, beschrijvingen en herstelstappen voor elke waarschuwing.
Fout, Waarschuwing en Voorwarning zijn drie fasen van waarschuwingen die worden gegenereerd vanuit de Connect Health-service. We raden u ten zeerste aan onmiddellijke acties uit te voeren voor geactiveerde waarschuwingen.
Microsoft Entra Connect Health-waarschuwingen worden opgelost op basis van een geslaagde voorwaarde. Microsoft Entra Connect Health Agents detecteren en rapporteren de succesvoorwaarden regelmatig aan de service. Voor een paar waarschuwingen is de onderdrukking op basis van tijd. Met andere woorden, als dezelfde foutvoorwaarde niet binnen 72 uur na het genereren van waarschuwingen wordt waargenomen, wordt de waarschuwing automatisch opgelost.

Algemene waarschuwingen

Naam waarschuwing Beschrijving Herstel
Health Service-gegevens zijn niet up-to-date Een of meer Health Agents die worden uitgevoerd op een of meer servers, zijn niet verbonden met de Health Service en de Health Service ontvangt niet de meest recente gegevens van deze server. De laatste gegevens die door de Health Service worden verwerkt, zijn ouder dan 2 uur. Zorg ervoor dat de statusagenten uitgaande connectiviteit hebben met de vereiste service-eindpunten. Meer informatie

Waarschuwingen voor Microsoft Entra Connect (synchronisatie)

Naam waarschuwing Beschrijving Herstel
Microsoft Entra Connect Sync-service wordt niet uitgevoerd Microsoft Entra ID Sync Windows-service wordt niet uitgevoerd of kan niet worden gestart. Als gevolg hiervan worden objecten niet gesynchroniseerd met Microsoft Entra-id. Microsoft Entra ID Sync Services starten
  1. Selecteer Start, selecteer uitvoeren, typ Services.mscen selecteer vervolgens OK-.
  2. Zoek de Microsoft Entra ID Sync-service en controleer of de service is gestart. Als de service niet is gestart, selecteert u deze met de rechtermuisknop en selecteert u Start.
Importeren uit Microsoft Entra ID is mislukt De importbewerking van Microsoft Entra Connector is mislukt. Onderzoek de fouten voor de importbewerking in het gebeurtenislogboek voor meer informatie.
Verbinding maken met Microsoft Entra ID is mislukt vanwege verificatiefout Verbinding maken met Microsoft Entra ID is mislukt vanwege verificatiefout. Als gevolg hiervan worden objecten niet gesynchroniseerd met Microsoft Entra-id. Onderzoek de fouten in het gebeurtenislogboek voor meer informatie.
Exporteren naar AD DS is mislukt De exportbewerking naar de Active Directory-connector is mislukt. Onderzoek de fouten voor de exportbewerking in het gebeurtenislogboek voor meer informatie.
Importeren uit Active Directory is mislukt Importeren uit Active Directory is mislukt. Als gevolg hiervan worden objecten van sommige domeinen uit dit forest mogelijk niet geïmporteerd.
  • DC-connectiviteit controleren
  • Importbewerking handmatig opnieuw uitvoeren
  • Onderzoek de fouten voor de importbewerking in het gebeurtenislogboek voor meer informatie.
    		•
    Exporteren naar Microsoft Entra ID is mislukt De exportbewerking naar Microsoft Entra Connector is mislukt. Als gevolg hiervan worden sommige objecten mogelijk niet geëxporteerd naar Microsoft Entra-id. Onderzoek de fouten voor de exportbewerking in het gebeurtenislogboek voor meer informatie.
    Heartbeat voor wachtwoord-hashsynchronisatie is overgeslagen in de afgelopen 120 minuten Wachtwoord-hashsynchronisatie is in de afgelopen 120 minuten niet verbonden met Microsoft Entra-id. Als gevolg hiervan worden wachtwoorden niet gesynchroniseerd met Microsoft Entra-id. Start Microsoft Entra ID Sync Services opnieuw:
    Eventueel actieve synchronisatiebewerkingen zullen worden onderbroken. U kunt ervoor kiezen om onderstaande stappen uit te voeren wanneer er geen synchronisatiebewerking wordt uitgevoerd.
    1. Selecteer Start, selecteer uitvoeren, typ Services.mscen selecteer vervolgens OK.
    2. Zoek Microsoft Entra ID Sync, selecteer deze met de rechtermuisknop en selecteer Opnieuw opstarten.
    Hoog CPU-gebruik gedetecteerd Het percentage CPU-verbruik overschrijdt de aanbevolen drempelwaarde op deze server.
  • Dit kan een tijdelijke piek in CPU-verbruik zijn. Controleer de trend van het CPU-gebruik in de sectie Bewaking.
  • Inspecteer de belangrijkste processen die het hoogste CPU-gebruik op de server verbruiken.
    1. U kunt Taakbeheer gebruiken of de volgende PowerShell-opdracht uitvoeren:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Als er onverwachte processen zijn die veel CPU-gebruik verbruiken, stopt u de processen met behulp van de volgende PowerShell-opdracht:
      stop-process -ProcessName [name of the process]
  • Als de processen in de bovenstaande lijst de beoogde processen zijn die op de server worden uitgevoerd en het CPU-verbruik continu in de buurt van de drempelwaarde ligt, kunt u overwegen de implementatievereisten van deze server opnieuw te evalueren.
  • Als een fail-safe optie kunt u overwegen om de server opnieuw op te starten.
    		•
    Hoog geheugenverbruik gedetecteerd Het percentage geheugenverbruik van de server overschrijdt de aanbevolen drempelwaarde op deze server. Inspecteer de belangrijkste processen die het hoogste geheugengebruik op de server hebben. U kunt Taakbeheer gebruiken of de volgende PowerShell-opdracht uitvoeren:
    get-process | Sort-Object -Aflopend WS | Select-Object -First 10
    Als er onverwachte processen zijn die veel geheugen verbruiken, stopt u de processen met behulp van de volgende PowerShell-opdracht:
    stop-process -ProcessName [naam van het proces]
  • Als de processen in de bovenstaande lijst de beoogde processen zijn die op de server worden uitgevoerd, kunt u overwegen de implementatievereisten van deze server opnieuw te evalueren.
  • Als failsafe-optie kunt u overwegen de server opnieuw op te starten.
    		•
    Wachtwoord-hashsynchronisatie is gestopt Wachtwoord-hashsynchronisatie is gestopt. Als gevolg hiervan worden wachtwoorden niet gesynchroniseerd met Microsoft Entra-id. Start Microsoft Entra ID Sync Services opnieuw:
    Eventueel actieve synchronisatiebewerkingen zullen worden onderbroken. U kunt ervoor kiezen om onderstaande stappen uit te voeren wanneer er geen synchronisatiebewerking wordt uitgevoerd.
    1. Selecteer Start, selecteer uitvoeren, typ Services.mscen selecteer vervolgens OK-.
    2. Zoek de Microsoft Entra ID Sync, selecteer deze met de rechtermuisknop en selecteer vervolgens Opnieuw opstarten.
    Exporteren naar Microsoft Entra ID is gestopt. Drempelwaarde voor onbedoeld verwijderen is bereikt De exportbewerking naar Microsoft Entra-id is mislukt. Er zijn meer objecten verwijderd dan de geconfigureerde drempelwaarde. Als gevolg hiervan zijn er geen objecten geëxporteerd.
  • Het aantal objecten dat is gemarkeerd voor verwijdering, is groter dan de ingestelde drempelwaarde. Controleer of dit resultaat gewenst is.
  • Voer de volgende stappen uit om de export door te laten gaan:
    1. Drempelwaarde uitschakelen door Disable-ADSyncExportDeletionThreshold uit te voeren
    2. Synchronization Service Manager starten
    3. Export uitvoeren op connector met type = Microsoft Entra-id
    4. Nadat de objecten zijn geëxporteerd, schakelt u Drempelwaarde in door het volgende uit te voeren: Enable-ADSyncExportDeletionThreshold
    		•

    Waarschuwingen voor Active Directory Federation Services

    Naam waarschuwing Beschrijving Herstel
    Testverificatieaanvraag (synthetische transactie) kan geen token verkrijgen De testverificatieaanvragen (synthetische transacties) die vanaf deze server zijn geïnitieerd, hebben na vijf nieuwe pogingen geen token verkregen. Dit kan worden veroorzaakt door tijdelijke netwerkproblemen, beschikbaarheid van AD DS-domeincontroller of een onjuist geconfigureerde AD FS-server. Als gevolg hiervan kunnen verificatieaanvragen die door de federation-service worden verwerkt, mislukken. De agent gebruikt de context van het lokale computeraccount om een token op te halen van de Federation-service. Zorg ervoor dat de volgende stappen worden uitgevoerd om de status van de server te valideren.
    1. Controleer of er geen aanvullende onopgeloste waarschuwingen zijn voor deze of andere AD FS-servers in uw farm.
    2. Controleer of deze voorwaarde geen tijdelijke fout is door u aan te melden met een testgebruiker vanaf de aanmeldingspagina van AD FS die beschikbaar is op https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Ga naar https://testconnectivity.microsoft.com het tabblad Office 365 en kies deze. Voer de test voor eenmalige aanmelding van Office 365 uit.
    4. Controleer of de naam van uw AD FS-service kan worden omgezet vanaf deze server door de volgende opdracht uit te voeren vanaf een opdrachtprompt op deze server. nslookup naam_van_uw_adfs-server

    Als de servicenaam niet kan worden omgezet, raadpleegt u de sectie Veelgestelde vragen voor instructies voor het toevoegen van een HOST-bestandsvermelding van uw AD FS-service met het IP-adres van deze server. Hierdoor kan de synthetische transactiemodule die op deze server wordt uitgevoerd, een token aanvragen
    De proxyserver kan de federatieserver niet bereiken Deze AD FS-proxyserver kan geen contact opnemen met de AD FS-service. Hierdoor mislukken verificatieaanvragen die door deze server worden verwerkt. Voer de volgende stappen uit om de connectiviteit tussen deze server en de AD FS-service te valideren.
    1. Zorg ervoor dat de firewall tussen deze server en de AD FS-service nauwkeurig is geconfigureerd.
    2. Zorg ervoor dat de DNS-omzetting voor de AD FS-servicenaam op de juiste wijze verwijst naar de AD FS-service die zich in het bedrijfsnetwerk bevindt. Dit kan worden bereikt via een DNS-server die deze server in het perimeternetwerk dient of via vermeldingen in de HOSTS-bestanden voor de AD FS-servicenaam.
    3. Valideer de netwerkverbinding door de browser op deze server te openen en toegang te krijgen tot het eindpunt voor federatiemetagegevens, op https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Het SSL-certificaat verloopt binnenkort Het TLS/SSL-certificaat dat door de federatieservers wordt gebruikt, verloopt binnenkort binnen 90 dagen. Zodra de aanvraag is verlopen, mislukken alle aanvragen waarvoor een geldige TLS-verbinding is vereist. Voor Microsoft 365-klanten kunnen e-mailclients bijvoorbeeld niet worden geverifieerd. Werk het TLS/SSL-certificaat op elke AD FS-server bij.
    1. Haal het TLS/SSL-certificaat op met de volgende vereisten.
      1. Uitgebreid sleutelgebruik is ten minste serververificatie.
      2. Certificaatonderwerp of alternatieve naam voor onderwerp (SAN) bevat de DNS-naam van de Federation-service of de juiste jokerteken. Bijvoorbeeld: sso.contoso.com of *.contoso.com
    2. Installeer het nieuwe TLS/SSL-certificaat op elke server in het certificaatarchief van de lokale computer.
    3. Zorg ervoor dat het AD FS-serviceaccount leestoegang heeft tot de persoonlijke sleutel van het certificaat

    Voor AD FS 2.0 in Windows Server 2008R2:

    • Bind het nieuwe TLS/SSL-certificaat aan de website in IIS, die als host fungeert voor de Federation-service. Houd er rekening mee dat u deze stap moet uitvoeren op elke federatieserver en federatieserverproxy.

    Voor AD FS in Windows Server 2012 R2 en hoger:

  • Raadpleeg SSL-certificaten beheren in AD FS en WAP
    • AD FS-service wordt niet uitgevoerd op de server Active Directory Federation Service (Windows Service) wordt niet uitgevoerd op deze server. Aanvragen die op deze server zijn gericht, mislukken. Ga als volgt te werk om de Active Directory Federation Service (Windows-service) starten:
    1. Meld u als beheerder aan op de server.
    2. Open services.msc
    3. 'Active Directory Federation Services' zoeken
    4. Selecteer met de rechtermuisknop en selecteer 'Start'
    DNS voor de Federation Service kan onjuist zijn geconfigureerd De DNS-server kan worden geconfigureerd voor het gebruik van een CNAME-record voor de AD FS-farmnaam. Het is raadzaam om A- of AAAA-record voor AD FS te gebruiken om ervoor te zorgen dat de geïntegreerde Windows-verificatie naadloos werkt binnen uw bedrijfsnetwerk. Zorg ervoor dat het DNS-recordtype van de AD FS-farm <Farm Name> niet CNAME is. Configureer dit als een A- of AAAA-record.
    AD FS-controle is uitgeschakeld AD FS-controle is uitgeschakeld voor de server. De sectie AD FS-gebruik in de portal bevat geen gegevens van deze server. Als AD FS-controles niet zijn ingeschakeld, volgt u deze instructies:
    1. Verleent het AD FS-serviceaccount het recht "Beveiligingscontroles genereren" op de AD FS-server.
    2. Open het lokale beveiligingsbeleid op de server gpedit.msc.
    3. Navigeer naar Computerconfiguratie\Windows-instellingen\Lokaal beleid\Toewijzing van gebruikersrechten
    4. Voeg het AD FS-serviceaccount toe om het recht "Beveiligingscontroles genereren" te hebben.
    5. Voer de volgende opdracht uit in de opdrachtprompt:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Eigenschappen van federation-service bijwerken om geslaagde en mislukte controles op te nemen.
    7. Kies in de AD FS-console de optie Eigenschappen van federation-service bewerken
    8. Kies in het dialoogvenster Federatieservice-eigenschappen het tabblad Gebeurtenissen en selecteer 'Geslaagde controles' en 'Mislukte controles'

    Nadat u deze stappen hebt uitgevoerd, moeten AD FS-controlegebeurtenissen zichtbaar zijn vanuit de gebeurtenisweergave. Ga hiervoor als volgt te werk:

    1. Ga naar Logboeken/Windows-logboeken/Beveiliging.
    2. Selecteer Huidige logboeken filteren en selecteer AD FS-controle in de vervolgkeuzelijst Gebeurtenisbronnen. Voor een actieve AD FS-server waarvoor AD FS-controle is ingeschakeld, moeten gebeurtenissen zichtbaar zijn voor de bovenstaande filtering.

    Als u deze instructies eerder hebt gevolgd, maar deze waarschuwing nog steeds ziet, is het mogelijk dat een groepsbeleidsobject ad FS-controle uitschakelt. Dit kan de volgende hoofdoorzaken hebben:

    1. Het AD FS-serviceaccount heeft geen recht meer om beveiligingscontroles te genereren.
    2. Een aangepast script in Groepsbeleidsobject schakelt geslaagde en mislukte controles uit op basis van "Gegenereerde toepassing".
    3. AD FS-configuratie is niet ingeschakeld voor het genereren van geslaagde/mislukte controles.
    Het AD FS SSL-certificaat is zelfondertekend U gebruikt momenteel een zelfondertekend certificaat als het TLS/SSL-certificaat in uw AD FS-farm. Hierdoor mislukt e-mailclientverificatie voor Microsoft 365

    Werk het TLS/SSL-certificaat op elke AD FS-server bij.

    1. Verkrijg een openbaar vertrouwd TLS/SSL-certificaat met de volgende vereisten.
    2. Het certificaatinstallatiebestand bevat de persoonlijke sleutel.
    3. Uitgebreid sleutelgebruik is ten minste serververificatie.
    4. Certificaatonderwerp of alternatieve naam voor onderwerp (SAN) bevat de DNS-naam van de Federation-service of de juiste jokerteken. Bijvoorbeeld: sso.contoso.com of *.contoso.com

    Installeer het nieuwe TLS/SSL-certificaat op elke server in het certificaatarchief van de lokale computer.

      Zorg ervoor dat het AD FS-serviceaccount leestoegang heeft tot de persoonlijke sleutel van het certificaat.
      Voor AD FS 2.0 in Windows Server 2008R2:
    1. Bind het nieuwe TLS/SSL-certificaat aan de website in IIS, die als host fungeert voor de Federation-service. Houd er rekening mee dat u deze stap moet uitvoeren op elke federatieserver en federatieserverproxy.

      2. Voor AD FS in Windows Server 2012 R2 of hoger:
    2. Raadpleeg SSL-certificaten beheren in AD FS en WAP
    De vertrouwensrelatie tussen de proxyserver en de federatieserver is niet geldig De vertrouwensrelatie tussen de federatieserverproxy en de Federation-service kan niet tot stand worden gebracht of vernieuwd. Werk het proxyvertrouwenscertificaat op de proxyserver bij. Voer de wizard Proxyconfiguratie opnieuw uit.
    Extranetvergrendelingsbeveiliging uitgeschakeld voor AD FS De functie Extranetvergrendelingsbeveiliging is UITGESCHAKELD op uw AD FS-farm. Deze functie beschermt uw gebruikers tegen beveiligingsaanvallen op wachtwoorden van internet en voorkomt denial of service-aanvallen tegen uw gebruikers wanneer het beleid voor vergrendeling van AD DS-accounts van kracht is. Als deze functie is ingeschakeld en het aantal mislukte extranetaanmeldingspogingen voor een gebruiker (aanmeldingspogingen via de WAP-server en AD FS) de 'ExtranetLockoutThreshold' overschrijdt, zullen de AD FS-servers verdere aanmeldingspogingen stoppen gedurende de 'ExtranetObservationWindow'. We raden u sterk aan om deze functie op uw AD FS-servers in te schakelen. Voer de volgende opdracht uit om AD FS Extranetvergrendelingsbeveiliging met standaardwaarden in te schakelen.
    Set-AdfsProperties -EnableExtranetLockout $true

    Als u ad-vergrendelingsbeleidsregels hebt geconfigureerd voor uw gebruikers, moet u ervoor zorgen dat de eigenschap ExtranetLockoutThreshold is ingesteld op een waarde onder uw AD DS-vergrendelingsdrempel. Dit zorgt ervoor dat aanvragen die de drempelwaarde voor AD FS hebben overschreden, worden verwijderd en nooit worden gevalideerd op uw AD DS-servers.
    Ongeldige SPN (Service Principal Name) voor het AD FS-serviceaccount De service-principalnaam van het Federation Service-account is niet geregistreerd of is niet uniek. Hierdoor is Geïntegreerde Windows-verificatie van clients die lid zijn van een domein mogelijk niet naadloos. Gebruik [SETSPN -L ServiceAccountName] om de service-principals weer te geven.
    Gebruik [SETSPN -X] om te controleren op dubbele service-principalnamen.

    Als SPN voor het AD FS-serviceaccount is gedupliceerd, verwijdert u de SPN uit het gedupliceerde account met behulp van [SETSPN -d service/namehostname]

    Als SPN niet is ingesteld, gebruikt u [SETSPN -s {Desired-SPN} {domain_name}{service_account}] om de gewenste SPN in te stellen voor het Federation Service-account.
    Het ontsleutelingscertificaat van het primaire AD FS-token is bijna verlopen Het ontsleutelingscertificaat van het primaire AD FS-token verloopt in minder dan 90 dagen. AD FS kan tokens van vertrouwde claimproviders niet ontsleutelen. AD FS kan versleutelde SSO-cookies niet ontsleutelen. De eindgebruikers kunnen zich niet verifiëren voor toegang tot resources. Als het automatisch implementeren van certificaten is ingeschakeld, beheert AD FS het tokenontsleutelingscertificaat.

    Als u uw certificaat handmatig beheert, volgt u de onderstaande instructies. Haal een nieuw tokenontsleutelingscertificaat op.

    1. Zorg ervoor dat het enhanced key usage (EKU) 'Key Encipherment' bevat
    2. Onderwerp of Alternatieve naam voor onderwerp (SAN) hebben geen beperkingen.
    3. Houd er rekening mee dat uw federatieservers en claimproviderpartners aan een vertrouwde basiscertificeringsinstantie moeten kunnen worden gekoppeld bij het valideren van uw Token-Decrypting-certificaat.
    Bepalen hoe uw claimproviderpartners het nieuwe Token-Decrypting-certificaat vertrouwen
    1. Vraag partners om de federatieve metagegevens op te halen na het bijwerken van het certificaat.
    2. Deel de openbare sleutel van het nieuwe certificaat. (.cer-bestand) met de partners. Start AD FS-beheer op de AD FS-server van de claimproviderpartner vanuit het menu Systeembeheer. Selecteer onder Vertrouwensrelaties/Relying Party-vertrouwensrelaties de vertrouwensrelatie die voor u is gemaakt. Selecteer onder Eigenschappen/versleuteling Bladeren om het nieuwe Token-Decrypting-certificaat te selecteren en selecteer OK.
    Installeer het certificaat in het lokale certificaatarchief op elke federatieserver.
    • Zorg ervoor dat het certificaatinstallatiebestand de persoonlijke sleutel van het certificaat op elke server heeft.
    Zorg ervoor dat het federation-serviceaccount toegang heeft tot de persoonlijke sleutel van het nieuwe certificaat.Voeg het nieuwe certificaat toe aan AD FS.
    1. AD FS-beheer starten vanuit het menu Systeembeheer
    2. Vouw Service uit en selecteer Certificaten
    3. Selecteer Token-Decrypting certificaat toevoegen in het deelvenster Acties
    4. U krijgt een lijst met certificaten te zien die geldig zijn voor tokenontsleuteling. Als u merkt dat uw nieuwe certificaat niet wordt weergegeven in de lijst, moet u teruggaan en ervoor zorgen dat het certificaat zich in het persoonlijke archief van de lokale computer bevindt waaraan een persoonlijke sleutel is gekoppeld en dat het certificaat de sleutelcodering heeft als uitgebreid sleutelgebruik.
    5. Selecteer het nieuwe Token-Decrypting-certificaat en selecteer OK.
    Stel het nieuwe tokenontsleutelingscertificaat in als primair.
    1. Als het knooppunt Certificaten in AD FS-beheer is geselecteerd, ziet u nu twee certificaten die worden vermeld onder tokenontsleuteling: het bestaande en het nieuwe certificaat.
    2. Selecteer uw nieuwe Token-Decrypting-certificaat, selecteer met de rechtermuisknop en selecteer Instellen als primair.
    3. Laat het oude certificaat als secundair voor roll-over-doeleinden. U moet het oude certificaat verwijderen zodra u zeker weet dat het niet meer nodig is voor roll-over of wanneer het certificaat is verlopen.
    Het tokenondertekeningscertificaat van het primaire AD FS-token is bijna verlopen Het AD FS-tokenondertekeningscertificaat verloopt binnen 90 dagen. AD FS kan geen ondertekende tokens uitgeven wanneer dit certificaat niet geldig is. Een nieuw tokenondertekeningscertificaat verkrijgen.
    1. Zorg ervoor dat het Enhanced Key Usage (EKU) digitale handtekening bevat
    2. Onderwerp of alternatieve onderwerpnaam (SAN) heeft geen beperkingen.
    3. Houd er rekening mee dat uw federatieservers, federatieservers van uw resourcepartner en relying party-toepassingsservers moeten kunnen worden gekoppeld aan een vertrouwde basiscertificaatinstantie bij het valideren van uw tokenondertekeningscertificaat.
    Installeer het certificaat in het lokale certificaatarchief op elke federatieserver.
    • Zorg ervoor dat het certificaatinstallatiebestand de persoonlijke sleutel van het certificaat op elke server heeft.
    Zorg ervoor dat het Federation Service-account toegang heeft tot de persoonlijke sleutel van het nieuwe certificaat.Voeg het nieuwe certificaat toe aan AD FS.
    1. Start AD FS-beheer vanuit het menu Systeembeheer.
    2. Vouw Service uit en selecteer Certificaten
    3. Selecteer Token-Signing Certificaat toevoegen in het deelvenster Acties...
    4. U ziet een lijst met certificaten die geldig zijn voor tokenondertekening. Als u merkt dat uw nieuwe certificaat niet wordt weergegeven in de lijst, moet u teruggaan en ervoor zorgen dat het certificaat zich in het persoonlijke archief van de lokale computer bevindt waaraan een persoonlijke sleutel is gekoppeld en dat het certificaat de Ku voor digitale handtekening heeft.
    5. Selecteer uw nieuwe Token-Signing-certificaat en selecteer OK
    Informeer alle Relying Party's over de wijziging in het tokenondertekeningscertificaat.
    1. Relying Party's die AD FS-federatiemetagegevens gebruiken, moeten de nieuwe federatiemetagegevens ophalen om het nieuwe certificaat te gaan gebruiken.
    2. Relying Party's die geen AD FS-federatiemetagegevens gebruiken, moeten de openbare sleutel van het nieuwe tokenondertekeningscertificaat handmatig bijwerken. Deel het .cer-bestand met de Relying Party's.
      3. Stel het nieuwe tokenondertekeningscertificaat in als primair.
      1. Als het knooppunt Certificaten in AD FS-beheer is geselecteerd, ziet u nu twee certificaten die worden vermeld onder tokenondertekening: het bestaande en het nieuwe certificaat.
      2. Selecteer uw nieuwe Token-Signing-certificaat, selecteer met de rechtermuisknop en selecteer Instellen als primaire
      3. Laat het oude certificaat bestaan als secundair certificaat voor roll-over-doeleinden. U moet het oude certificaat verwijderen wanneer u zeker weet dat het niet meer nodig is voor rollover of wanneer het certificaat is verlopen. Houd er rekening mee dat de SSO-sessies van huidige gebruikers zijn ondertekend. Huidige AD FS Proxy Trust-relaties maken gebruik van tokens die zijn ondertekend en versleuteld met behulp van het oude certificaat.
    AD FS SSL-certificaat is niet gevonden in het lokale certificaatarchief Het certificaat met de vingerafdruk die als het TLS/SSL-certificaat in de AD FS-database is geconfigureerd, is niet gevonden in het lokale certificaatarchief. Als gevolg hiervan mislukt elke verificatieaanvraag via de TLS. Hierdoor mislukt bijvoorbeeld e-mailclientverificatie voor Microsoft 365. Installeer het certificaat met de geconfigureerde vingerafdruk in het lokale certificaatarchief.
    Het SSL-certificaat is verlopen Het TLS/SSL-certificaat voor de AD FS-service is verlopen. Als gevolg hiervan mislukken alle verificatieaanvragen waarvoor een geldige TLS-verbinding is vereist. Bijvoorbeeld: e-mailclientverificatie kan niet worden geverifieerd voor Microsoft 365. Werk het TLS/SSL-certificaat op elke AD FS-server bij.
    1. Haal het TLS/SSL-certificaat op met de volgende vereisten.
    2. Uitgebreid sleutelgebruik is ten minste serververificatie.
    3. Certificaatonderwerp of alternatieve naam voor onderwerp (SAN) bevat de DNS-naam van de Federation-service of de juiste jokerteken. Bijvoorbeeld: sso.contoso.com of *.contoso.com
    4. Installeer het nieuwe TLS/SSL-certificaat op elke server in het certificaatarchief van de lokale computer.
    5. Zorg ervoor dat het AD FS-serviceaccount leestoegang heeft tot de persoonlijke sleutel van het certificaat

    Voor AD FS 2.0 in Windows Server 2008R2:

    • Bind het nieuwe TLS/SSL-certificaat aan de website in IIS, die als host fungeert voor de Federation-service. Houd er rekening mee dat u deze stap moet uitvoeren op elke federatieserver en federatieserverproxy.

    Voor AD FS in Windows Server 2012 R2 of latere versies: Raadpleeg: SSL-certificaten beheren in AD FS en WAP

    De vereiste eindpunten voor Microsoft Entra-id (voor Microsoft 365) zijn niet ingeschakeld De volgende set eindpunten die vereist zijn voor de Exchange Online Services, Microsoft Entra ID en Microsoft 365 zijn niet ingeschakeld voor de federation-service:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Schakel de vereiste eindpunten in voor de Microsoft-Cloudservices op uw federatieservice.
    Voor AD FS in Windows Server 2012R2 of nieuwere versies
  • Raadpleeg SSL-certificaten beheren in AD FS en WAP

    • De federatieserver kan geen verbinding maken met de AD FS-configuratiedatabase Het AD FS-serviceaccount ondervindt problemen tijdens het maken van verbinding met de AD FS-configuratiedatabase. Als gevolg hiervan werkt de AD FS-service op deze computer mogelijk niet zoals verwacht.
  • Zorg ervoor dat het AD FS-serviceaccount toegang heeft tot de configuratiedatabase.
  • Zorg ervoor dat de AD FS-configuratiedatabaseservice beschikbaar en bereikbaar is.
    • Vereiste SSL-bindingen ontbreken of zijn niet geconfigureerd De TLS-bindingen die vereist zijn voor deze federatieserver om verificatie uit te voeren, zijn onjuist geconfigureerd. Als gevolg hiervan kan AD FS geen binnenkomende aanvragen verwerken. Voor R2 Windows Server 2012 R2
    Open een opdrachtprompt met verhoogde bevoegdheid en voer de volgende opdrachten uit:
    1. De huidige TLS-binding weergeven: Get-AdfsSslCertificate
    2. Nieuwe bindingen toevoegen: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Het tokenondertekeningscertificaat van het primaire AD FS-token is verlopen Het tokenondertekeningscertificaat van het AD FS-token is verlopen. AD FS kan geen ondertekende tokens uitgeven wanneer dit certificaat niet geldig is. Als automatische certificaat-rollover is ingeschakeld, beheert AD FS het bijwerken van het certificaat voor token-ondertekening.

    Als u uw certificaat handmatig beheert, volgt u de onderstaande instructies.

    1. Een nieuw tokenondertekeningscertificaat verkrijgen.
      1. Zorg ervoor dat het Enhanced Key Usage (EKU) digitale handtekening bevat
      2. Onderwerp of alternatieve onderwerpnaam (SAN) heeft geen beperkingen.
      3. Onthoud dat uw federatieservers, federatieservers van uw resourcepartner en relying party-toepassingsservers moeten kunnen worden gekoppeld aan een vertrouwde basiscertificaatinstantie bij het valideren van uw tokenondertekeningscertificaat.
    2. Installeer het certificaat in het lokale certificaatarchief op elke federatieserver.
      • Zorg ervoor dat het certificaatinstallatiebestand de persoonlijke sleutel van het certificaat op elke server heeft.
    3. Zorg ervoor dat het federation-serviceaccount toegang heeft tot de persoonlijke sleutel van het nieuwe certificaat.
    4. Voeg het nieuwe certificaat toe aan AD FS.
      1. Start AD FS-beheer vanuit het menu Systeembeheer.
      2. Vouw Service uit en selecteer Certificaten
      3. Selecteer Token-Signing Certificaat toevoegen in het deelvenster Acties...
      4. U ziet een lijst met certificaten die geldig zijn voor tokenondertekening. Als u merkt dat uw nieuwe certificaat niet wordt weergegeven in de lijst, moet u teruggaan en ervoor zorgen dat het certificaat zich in het persoonlijke archief van de lokale computer bevindt waaraan een persoonlijke sleutel is gekoppeld en dat het certificaat de Ku voor digitale handtekening heeft.
      5. Selecteer uw nieuwe Token-Signing-certificaat en selecteer OK
    5. Informeer alle Relying Party's over de wijziging in het tokenondertekeningscertificaat.
      1. Relying Party's die AD FS-federatiemetagegevens gebruiken, moeten de nieuwe federatiemetagegevens ophalen om het nieuwe certificaat te gaan gebruiken.
      2. Relying Party's die geen AD FS-federatiemetagegevens gebruiken, moeten de openbare sleutel van het nieuwe tokenondertekeningscertificaat handmatig bijwerken. Deel het .cer-bestand met de Relying Party's.
    6. Stel het nieuwe tokenondertekeningscertificaat in als primair.
      1. Als het knooppunt Certificaten in AD FS-beheer is geselecteerd, ziet u nu twee certificaten die worden vermeld onder tokenondertekening: het bestaande en het nieuwe certificaat.
      2. Selecteer uw nieuwe Token-Signing-certificaat, selecteer met de rechtermuisknop en selecteer Instellen als primaire
      3. Laat het oude certificaat bestaan als secundair certificaat voor roll-over-doeleinden. U moet het oude certificaat verwijderen wanneer u zeker weet dat het niet meer nodig is voor rollover of wanneer het certificaat is verlopen. Onthoud dat de SSO-sessies van huidige gebruikers zijn ondertekend. Huidige AD FS Proxy Trust-relaties maken gebruik van tokens die zijn ondertekend en versleuteld met behulp van het oude certificaat.
    Proxyserver laat aanvragen voor congestiebeheer vallen Deze proxyserver verwijdert momenteel aanvragen uit het extranet vanwege een hogere latentie dan normaal tussen deze proxyserver en de federatieserver. Als gevolg hiervan kan een bepaald gedeelte van de verificatieaanvragen die door de AD FS-proxyserver worden verwerkt, mislukken.
  • Controleer of de netwerklatentie tussen de federatieproxyserver en de federatieservers binnen het acceptabele bereik valt. Raadpleeg de sectie Bewaking voor trending-waarden van de latentie van tokenaanvragen. Een latentie groter dan [1500 ms] moet als hoge latentie worden beschouwd. Als hoge latentie wordt waargenomen, moet u ervoor zorgen dat het netwerk tussen AD FS- en AD FS-proxyservers geen verbindingsproblemen heeft.
  • Zorg ervoor dat federatieservers niet overbelast zijn met verificatieaanvragen. De sectie Bewaking biedt trendingweergaven voor tokenaanvragen per seconde, CPU-gebruik en geheugenverbruik.
  • Als de bovenstaande items zijn geverifieerd en dit probleem nog steeds wordt gezien, kunt u de instelling voor het vermijden van congestie op elk van de federatieproxyservers aanpassen volgens de richtlijnen van de gerelateerde koppelingen.
    		•
    Het AD FS-serviceaccount wordt de toegang geweigerd tot een van de persoonlijke sleutels van het certificaat. Het AD FS-serviceaccount heeft geen toegang tot de persoonlijke sleutel van een van de AD FS-certificaten op deze computer. Zorg ervoor dat het AD FS-serviceaccount toegang heeft tot de TLS-, tokenondertekenings- en tokenonsleutelingscertificaten die zijn opgeslagen in het certificaatarchief van de lokale computer.
    1. Typ in de opdrachtregel MMC.
    2. Klik op Bestand->Module toevoegen/verwijderen
    3. Selecteer Certificaten en selecteer Toevoegen. -> Computeraccount kiezen en Volgende selecteren. -> Kies Lokale computer en kies Voltooien. Selecteer OK.

    Open Certificaten(lokale computer)/Personal/Certificates. Ga als volgt te werk voor alle certificaten die door AD FS worden gebruikt:
    1. Selecteer het certificaat met de rechtermuisknop.
    2. Selecteer Alle taken -> Persoonlijke sleutels beheren.
    3. Controleer op het tabblad Beveiliging onder Groep of gebruikersnamen of het AD FS-serviceaccount aanwezig is. Selecteer Toevoegen en voegt het AD FS-serviceaccount toe als dit nog niet het geval is.
    4. Selecteer het AD FS-serviceaccount en zorg ervoor dat leesmachtigingen zijn toegestaan onder "Machtigingen voor <naam van AD FS-serviceaccount>" (selectievakje).
    Het AD FS SSL-certificaat heeft geen persoonlijke sleutel Het TLS/SSL-certificaat voor AD FS is geïnstalleerd zonder een persoonlijke sleutel. Als gevolg hiervan mislukt elke verificatieaanvraag via SSL. Hierdoor mislukt bijvoorbeeld e-mailclientverificatie voor Microsoft 365. Werk het TLS/SSL-certificaat op elke AD FS-server bij.
    1. Verkrijg een openbaar vertrouwd TLS/SSL-certificaat met de volgende vereisten.
      1. Het certificaatinstallatiebestand bevat de persoonlijke sleutel.
      2. Uitgebreid sleutelgebruik is ten minste serververificatie.
      3. Certificaatonderwerp of alternatieve naam voor onderwerp (SAN) bevat de DNS-naam van de Federation-service of de juiste jokerteken. Bijvoorbeeld: sso.contoso.com of *.contoso.com
    2. Installeer het nieuwe TLS/SSL-certificaat op elke server in het certificaatarchief van de lokale computer.
    3. Zorg ervoor dat het AD FS-serviceaccount leestoegang heeft tot de persoonlijke sleutel van het certificaat

    Voor AD FS 2.0 in Windows Server 2008R2:

    • Bind het nieuwe TLS/SSL-certificaat aan de website in IIS, die als host fungeert voor de Federation-service. Houd er rekening mee dat u deze stap moet uitvoeren op elke federatieserver en federatieserverproxy.

    Voor AD FS in Windows Server 2012 R2 of hoger:

  • Raadpleeg SSL-certificaten beheren in AD FS en WAP
    • Het ontsleutelingscertificaat voor het token van het primaire AD FS-token is verlopen Het ontsleutelingscertificaat voor het token van het primaire AD FS-token is verlopen. AD FS kan tokens van vertrouwde claimproviders niet ontsleutelen. AD FS kan versleutelde SSO-cookies niet ontsleutelen. De eindgebruikers kunnen zich niet verifiëren voor toegang tot resources.

    Als het automatisch implementeren van certificaten is ingeschakeld, beheert AD FS het tokenontsleutelingscertificaat.

    Als u uw certificaat handmatig beheert, volgt u de onderstaande instructies.

    1. Haal een nieuw tokenontsleutelingscertificaat op.
      • Zorg ervoor dat het Enhanced Key Usage (EKU) "Key Encipherment" bevat.
      • Onderwerp of Alternatieve naam voor onderwerp (SAN) hebben geen beperkingen.
      • Houd er rekening mee dat uw federatieservers en claimproviderpartners aan een vertrouwde basiscertificeringsinstantie moeten kunnen worden gekoppeld bij het valideren van uw Token-Decrypting-certificaat.
    2. Bepalen hoe uw claimproviderpartners het nieuwe Token-Decrypting-certificaat vertrouwen
      • Vraag partners om de federatieve metagegevens op te halen na het bijwerken van het certificaat.
      • Deel de openbare sleutel van het nieuwe certificaat. (.cer-bestand) met de partners. Start AD FS-beheer op de AD FS-server van de claimproviderpartner vanuit het menu Systeembeheer. Selecteer onder Vertrouwensrelaties/Relying Party-vertrouwensrelaties de vertrouwensrelatie die voor u is gemaakt. Selecteer onder Eigenschappen/versleuteling Bladeren om het nieuwe Token-Decrypting-certificaat te selecteren en selecteer OK.
    3. Installeer het certificaat in het lokale certificaatarchief op elke federatieserver.
      • Zorg ervoor dat het certificaatinstallatiebestand de persoonlijke sleutel van het certificaat op elke server heeft.
    4. Zorg ervoor dat het federation-serviceaccount toegang heeft tot de persoonlijke sleutel van het nieuwe certificaat.
    5. Voeg het nieuwe certificaat toe aan AD FS.
      • AD FS-beheer starten vanuit het menu Systeembeheer
      • Vouw Service uit en selecteer Certificaten
      • Selecteer Token-Decrypting certificaat toevoegen in het deelvenster Acties
      • U krijgt een lijst met certificaten te zien die geldig zijn voor tokenontsleuteling. Als u merkt dat uw nieuwe certificaat niet wordt weergegeven in de lijst, moet u teruggaan en ervoor zorgen dat het certificaat zich in het persoonlijke archief van de lokale computer bevindt waaraan een persoonlijke sleutel is gekoppeld en dat het certificaat de sleutelcodering heeft als uitgebreid sleutelgebruik.
      • Selecteer het nieuwe Token-Decrypting-certificaat en selecteer OK.
    6. Stel het nieuwe tokenontsleutelingscertificaat in als primair.
      • Als het knooppunt Certificaten in AD FS-beheer is geselecteerd, ziet u nu twee certificaten die worden vermeld onder tokenontsleuteling: het bestaande en het nieuwe certificaat.
    7. Selecteer uw nieuwe Token-Decrypting-certificaat, selecteer met de rechtermuisknop en selecteer Instellen als primair.
    8. Laat het oude certificaat als secundair voor roll-over-doeleinden. U moet het oude certificaat verwijderen zodra u zeker weet dat het niet meer nodig is voor roll-over of wanneer het certificaat is verlopen.

    Waarschuwingen voor Active Directory Domain Services

    Naam waarschuwing Beschrijving Herstel
    Domeincontroller is niet bereikbaar via LDAP-ping Domeincontroller is niet bereikbaar via LDAP Ping. Dit kan worden veroorzaakt door netwerkproblemen of computerproblemen. Als gevolg hiervan mislukken LDAP-pings.
  • Bekijk de lijst met waarschuwingen voor gerelateerde waarschuwingen, zoals: Domeincontroller maakt geen reclame.
  • Zorg ervoor dat de betreffende domeincontroller voldoende schijfruimte heeft. Als er onvoldoende ruimte is, wordt de domeincontroller gestopt met het adverteren als LDAP-server.
  • Probeer de PDC te vinden: Uitvoeren
    netdom query fsmo
    op de betreffende domeincontroller.
  • Zorg ervoor dat het fysieke netwerk juist is geconfigureerd/verbonden.
    • Er is een Active Directory-replicatiefout opgetreden Deze domeincontroller ondervindt replicatieproblemen, die te vinden zijn via het dashboard Replicatiestatus. Replicatiefouten kunnen worden veroorzaakt door onjuiste configuratie of andere gerelateerde problemen. Onbehandelde replicatiefouten kunnen tot inconsistentie van gegevens leiden. Zie aanvullende informatie voor de namen van de betrokken bron- en doel-DC's. Navigeer naar het dashboard Replicatiestatus en zoek naar de actieve fouten op de betrokken DC's. Selecteer de fout om een paneel te openen met meer informatie over het oplossen van die specifieke fout.
    Domeincontroller kan geen PDC vinden Een PDC is niet bereikbaar via deze domeincontroller. Dit heeft gevolgen voor aanmeldingen van gebruikers, niet-toegepaste wijzigingen in groepsbeleid en mislukte systeemtijdsynchronisatie.
  • Bekijk de lijst met waarschuwingen voor gerelateerde waarschuwingen die van invloed kunnen zijn op uw PDC, zoals: Domeincontroller is geen reclame.
  • Probeer de PDC te vinden: Uitvoeren
    netdom query fsmo
    op de betreffende domeincontroller.
  • Controleer of het netwerk goed werkt.
    • Domeincontroller kan geen globale catalogusserver vinden Een globale catalogusserver is niet bereikbaar vanaf deze domeincontroller. Dit resulteert in mislukte verificaties die via deze domeincontroller zijn geprobeerd. Bekijk de lijst met waarschuwingen voor een domeincontroller en publiceer geen waarschuwingen waarbij de betrokken server mogelijk een GC is. Controleer de SRV-records voor de GC’s als er geen advertentiewaarschuwingen zijn. U kunt deze controleren door het volgende uit te voeren:
    nltest /dnsgetdc: [ForestName] /gc
    Het moet de DC's vermelden als GCs. Als de lijst leeg is, controleert u de DNS-configuratie om ervoor te zien of de GC de SRV-records heeft geregistreerd. De DC kan deze vinden in DNS.
    Zie Adverteren als globale catalogusserver voor het oplossen van problemen met globale catalogi.
    Domeincontroller kan lokale sysvol-share niet bereiken Sysvol bevat belangrijke elementen van groepsbeleidsobjecten en scripts die moeten worden gedistribueerd binnen DC's van een domein. De domeincontroller zal zichzelf niet adverteren als DC en groepsbeleid wordt niet toegepast. Zie Problemen met ontbrekende sysvol- en Netlogon-shares oplossen
    De tijd van de domeincontroller is niet gesynchroniseerd De tijd op deze domeincontroller valt buiten het normale tijdsverschilbereik. Als gevolg hiervan mislukken Kerberos-verificaties.
  • Windows Time-service opnieuw starten: uitvoeren
    net stop w32time
    dan
    netto start w32time
    op de betreffende domeincontroller.
  • Hersynchronisatietijd: uitvoeren
    w32tm /resync
    op de betreffende domeincontroller.
    		•
    Domeincontroller maakt geen reclame Deze domeincontroller is niet goed reclame voor de rollen die het kan uitvoeren. Dit kan worden veroorzaakt door problemen met replicatie, onjuiste DNS-configuratie, kritieke services die niet worden uitgevoerd of omdat de server niet volledig is geïnitialiseerd. Als gevolg hiervan kunnen domeincontrollers, domeinleden en andere apparaten deze domeincontroller niet vinden. Daarnaast kunnen andere domeincontrollers mogelijk niet worden gerepliceerd vanaf deze domeincontroller. Bekijk de lijst met waarschuwingen voor andere gerelateerde waarschuwingen, zoals: Replicatie is verbroken. De time-out van de domeincontroller is niet gesynchroniseerd. Netlogon-service wordt niet uitgevoerd. DFSR- en/of NTFRS-services worden niet uitgevoerd. Gerelateerde DNS-problemen identificeren en oplossen: meld u aan bij de betreffende domeincontroller. Open het systeemgebeurtenislogboek. Raadpleeg Problemen met de domeincontrollerlocator voor DNS-recordsregistratie Als gebeurtenissen 5774, 5775 of 5781 aanwezig zijn. Identificeer gerelateerde problemen met de Windows Time-service en los deze op: Zorg ervoor dat de Windows Time-service wordt uitgevoerd: Voer 'net start w32time' uit op de betreffende domeincontroller. Start de Windows Time-service opnieuw op: voer 'net stop w32time' en vervolgens 'net start w32time' uit op de betreffende domeincontroller.
    GPSVC-service wordt niet uitgevoerd Als de service is gestopt of uitgeschakeld, worden instellingen die door de beheerder zijn geconfigureerd, niet toegepast en kunnen toepassingen en onderdelen niet worden beheerd via groepsbeleid. Onderdelen of toepassingen die van het groepsbeleid-onderdeel afhankelijk zijn, zijn mogelijk niet functioneel als de service is uitgeschakeld. uitvoeren
    netto start gpsvc
    op de betreffende domeincontroller.
    DFSR- en/of NTFRS-services worden niet uitgevoerd Als zowel DFSR- als NTFRS-services zijn gestopt, kunnen domeincontrollers geen sysvol-gegevens repliceren. sysvol-gegevens zijn niet consistent.
  • Als u DFSR gebruikt:
      Voer 'net start dfsr' uit op de betreffende domeincontroller.
    1. Als u NTFRS gebruikt:
        Voer 'net start ntfrs' uit op de betreffende domeincontroller.
    • Netlogon-service wordt niet uitgevoerd Aanmeldingsaanvragen, registratie, verificatie en het vinden van domeincontrollers zijn niet beschikbaar op deze domeincontroller. Voer 'net start netlogon' uit op de betreffende domeincontroller
    W32Time-service wordt niet uitgevoerd Als de Windows Time-service is gestopt, is de datum- en tijdsynchronisatie niet beschikbaar. Als deze service is uitgeschakeld, kunnen services die van deze service afhankelijk zijn, niet worden gestart. Voer 'net start win32Time' uit op de betreffende domeincontroller
    ADWS-service wordt niet uitgevoerd Als de Active Directory-webservicesservice is gestopt of uitgeschakeld, kunnen clienttoepassingen, zoals Active Directory PowerShell, geen toegang krijgen tot of beheren van directoryservice-exemplaren die lokaal op deze server worden uitgevoerd. Voer 'net start adws' uit op de betreffende domeincontroller
    Hoofd-PDC wordt niet gesynchroniseerd vanaf NTP-server Als u de PDC niet configureert om tijd van een externe of interne tijdbron te synchroniseren, gebruikt de PDC-emulator de interne klok en is het zelf de betrouwbare tijdbron voor het forest. Als de tijd niet nauwkeurig is op de PDC zelf, hebben alle computers onjuiste tijdsinstellingen. Open een opdrachtprompt op de betreffende domeincontroller. Stop de Time-service: net stop w32time
  • Configureer de externe tijdbron:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    NB: Vervang time.windows.com door het adres van de gewenste externe tijdbron. Start de Time-service:
    net start w32time
    • Domeincontroller is in quarantaine Deze domeincontroller is niet verbonden met een van de andere werkende domeincontrollers. Dit kan worden veroorzaakt door onjuiste configuratie. Als gevolg hiervan wordt deze domeincontroller niet gebruikt en wordt deze niet van/naar iemand gerepliceerd. Schakel inkomende en uitgaande replicatie in: voer 'repadmin /options ServerName -DISABLE_INBOUND_REPL' uit op de betreffende domeincontroller. Voer 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' uit op de betreffende domeincontroller. Maak een nieuwe replicatieverbinding met een andere domeincontroller:
    1. Open Active Directory Sites en Services: Startmenu, ga naar Systeembeheer en selecteer vervolgens Active Directory Sites en Services.
    2. Vouw in de consolestructuur Sites uit en vouw vervolgens de site uit waartoe deze DC behoort.
    3. Vouw de servercontainer uit om de lijst met servers weer te geven.
    4. Vouw het serverobject voor deze DC uit.
    5. Selecteer met de rechtermuisknop het object NTDS-instellingen en selecteer bij Nieuwe Active Directory Domain Services-verbinding...
    6. Selecteer een server in de lijst en selecteer OK.
    Zwevende domeinen verwijderen uit Active Directory.
    Uitgaande replicatie is uitgeschakeld DC's met uitgeschakelde uitgaande replicatie kunnen geen wijzigingen van binnen zichzelf distribueren. Als u uitgaande replicatie wilt inschakelen op de betreffende domeincontroller, voert u de volgende stappen uit: Selecteer Start, selecteer Uitvoeren, typ cmd en selecteer VERVOLGENS OK. Typ de volgende tekst en druk op ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Binnenkomende replicatie is uitgeschakeld DC's met uitgeschakelde binnenkomende replicatie hebben niet de meest recente informatie. Deze situatie kan leiden tot aanmeldingsfouten. Als u binnenkomende replicatie wilt inschakelen op de betreffende domeincontroller, voert u de volgende stappen uit: Selecteer Start, selecteer Uitvoeren, typ cmd en selecteer VERVOLGENS OK. Typ de volgende tekst en druk op ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    De LanmanServer-service wordt niet uitgevoerd Als deze service is uitgeschakeld, kunnen services die van deze service afhankelijk zijn, niet worden gestart. Voer 'net start LanManServer' uit op de betreffende domeincontroller.
    De Kerberos Key Distribution Center-service wordt niet uitgevoerd Als de KDC-service is gestopt, kunnen gebruikers geen verificatie via deze domeincontroller uitvoeren met behulp van het Kerberos v5-verificatieprotocol. Voer 'net start kdc' uit op de betreffende domeincontroller.
    DNS-service wordt niet uitgevoerd Als de DNS-service is gestopt, kunnen computers en gebruikers die de server gebruiken voor DNS-doeleinden geen resources vinden. Voer 'net start dns' uit op de betreffende domeincontroller.
    DC had USN-terugdraaiactie Wanneer USN-terugdraaiacties plaatsvinden, worden wijzigingen in objecten en kenmerken niet binnenkomende gerepliceerd door doeldomeincontrollers die eerder de USN hebben gezien. Omdat deze doeldomeincontrollers geloven dat ze up-to-date zijn, worden er geen replicatiefouten gerapporteerd in gebeurtenislogboeken van Directory Service of door bewakingsprogramma’s en diagnostische hulpprogramma's. Het terugdraaien van USN kan van invloed zijn op de replicatie van een object of kenmerk in een partitie. Het meest waargenomen neveneffect is dat gebruikersaccounts en computeraccounts die zijn gemaakt op de terugdraaidomeincontroller, niet bestaan op een of meer replicatiepartners. Of de wachtwoordupdates die afkomstig zijn van de terugdraaien-domeincontroller, bestaan niet bij replicatiepartners. Er zijn twee benaderingen om te herstellen van een USN-terugdraaiactie:

    Verwijder de domeincontroller uit het domein door de volgende stappen uit te voeren:

    1. Verwijder Active Directory van de domeincontroller om af te dwingen dat deze een zelfstandige server is. Selecteer het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie:
      332199 domeincontrollers degraderen niet soepel wanneer u de installatiewizard van Active Directory gebruikt om degradatie af te dwingen in Windows Server 2003 en in Windows 2000 Server.
    2. Schakel de gedegradeerde server uit.
    3. Schoon op een gezonde domeincontroller de metagegevens van de gedegradeerde domeincontroller op. Selecteer het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie:
      216498 Gegevens verwijderen in Active Directory na een mislukte degradatie van een domeincontroller
    4. Als de onjuist herstelde domeincontroller als host voor operations master-rollen fungeert, moet u deze rollen overdragen naar een gezonde domeincontroller. Selecteer het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie:
      255504 Met Ntdsutil.exe FSMO-rollen overbrengen naar of overnemen op een domeincontroller voor meer informatie
    5. Start de gedegradeerde server opnieuw.
    6. Als u dit wilt, installeert u Active Directory opnieuw op de zelfstandige server.
    7. Als de domeincontroller eerder een globale catalogus was, configureert u de domeincontroller als globale catalogus. Selecteer het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie:
      313994 Een globale catalogus maken of verplaatsen in Windows 2000
    8. Als de domeincontroller eerder gehoste operations master-rollen heeft gehost, moet u de operation-master-rollen weer overdragen naar de domeincontroller. Selecteer het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie:
      255504 Ntdsutil.exe gebruiken om FSMO-rollen over te dragen of over te nemen naar een domeincontroller Herstel de systeemstatus van een goede back-up.

    Evalueer of er geldige back-ups van de systeemstatus bestaan voor deze domeincontroller. Als er een geldige back-up van de systeemstatus is gemaakt voordat de teruggedraaide domeincontroller onjuist is hersteld en de back-up recente wijzigingen bevat die op de domeincontroller zijn aangebracht, herstelt u de systeemstatus van de meest recente back-up.

    U kunt de momentopname ook gebruiken als bron van een back-up. U kunt de database ook instellen om zichzelf een nieuwe aanroep-id te geven met behulp van de procedure in de sectie "Een eerdere versie van een virtuele domeincontroller-VHD herstellen zonder back-up van systeemstatusgegevens" in dit artikel

    Volgende stappen