Udostępnij za pośrednictwem

Katalog alertów programu Microsoft Entra Connect Health

  • Artykuł

Usługa Microsoft Entra Connect Health wysyła alerty wskazujące, że infrastruktura tożsamości nie jest w dobrej kondycji. Ten artykuł zawiera tytuły alertów, opisy i kroki korygowania dla każdego alertu.
Błąd, Ostrzeżenie i Wstępne ostrzeżenie to trzy etapy alertów generowanych przez usługę Connect Health. Zdecydowanie zalecamy natychmiastowe podjęcie działań dotyczących uruchomionych alertów.
Alerty programu Microsoft Entra Connect Health są rozwiązywane po spełnieniu warunku sukcesu. Agenci programu Microsoft Entra Connect Health okresowo wykrywają i zgłaszają warunki powodzenia w usłudze. W przypadku kilku alertów tłumienie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.

Ogólne Alerty

Nazwa alertu opis Działania naprawcze
Dane służby zdrowia nie są aktualne Co najmniej jeden agent zdrowia uruchomiony na co najmniej jednym serwerze nie jest połączony z usługą zdrowotną, a usługa zdrowotna nie otrzymuje najnowszych danych z tego serwera. Ostatnie dane przetworzone przez służby zdrowia są starsze niż 2 godziny. Upewnij się, że agenci zdrowia mają łączność wychodzącą z wymaganymi punktami końcowymi. Przeczytaj więcej

Alerty dotyczące programu Microsoft Entra Connect (synchronizacja)

Nazwa alertu opis Remediacja
Usługa synchronizacji programu Microsoft Entra Connect nie jest uruchomiona Usługa Microsoft Entra ID Sync systemu Windows nie jest uruchomiona lub nie można jej uruchomić. W związku z tym obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Rozpocznij Microsoft Entra ID Sync Services
  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK.
  2. Znajdź usługę Microsoft Entra ID Sync, a następnie sprawdź, czy usługa została uruchomiona. Jeśli usługa nie została uruchomiona, wybierz ją prawym przyciskiem wyboru, a następnie wybierz pozycję Uruchom.
Importowanie z usługi Microsoft Entra ID nie powiodło się Operacja importowania z łącznika Microsoft Entra Connector nie powiodła się. Sprawdź błędy w dzienniku zdarzeń operacji importowania, aby uzyskać więcej szczegółów.
Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania. W rezultacie obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Sprawdź błędy dziennika zdarzeń, aby uzyskać więcej szczegółów.
Niepowodzenie eksportowania do usługi Active Directory Operacja eksportowania do łącznika usługi Active Directory nie powiodła się. Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów.
Importowanie z usługi Active Directory nie powiodło się Importowanie z usługi Active Directory nie powiodło się. W związku z tym obiekty z niektórych domen z tego lasu mogą nie być importowane.
  • Sprawdź łączność z kontrolerem domeny
  • Ręczne ponowne uruchamianie importu
  • Aby uzyskać więcej szczegółów, zbadaj błędy dziennika zdarzeń operacji importowania.
    		•
    Eksportowanie do usługi Microsoft Entra ID nie powiodło się Operacja eksportowania do łącznika Entra firmy Microsoft nie powiodła się. W związku z tym niektóre obiekty mogą nie zostać pomyślnie wyeksportowane do identyfikatora Entra firmy Microsoft. Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów.
    Puls synchronizacji skrótów haseł został pominięty w ciągu ostatnich 120 minut Synchronizacja skrótów haseł nie jest połączona z identyfikatorem Entra firmy Microsoft w ciągu ostatnich 120 minut. W związku z tym hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchom ponownie usługi synchronizacji Microsoft Entra ID:
    Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK.
    2. Znajdź microsoft Entra ID Sync, wybierz go prawym przyciskiem myszy, a następnie wybierz Uruchom ponownie.
    Wykryto wysokie użycie procesora CPU Procent użycia procesora CPU przekroczył zalecany próg na tym serwerze.
  • Może to być tymczasowy wzrost użycia procesora CPU. Sprawdź trend użycia procesora CPU w sekcji Monitorowanie.
  • Sprawdź najważniejsze procesy korzystające z najwyższego użycia procesora CPU na serwerze.
    1. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Jeśli istnieją nieoczekiwane procesy zużywające wysokie użycie procesora CPU, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell:
      stop-process -ProcessName [nazwa procesu]
  • Jeśli procesy widoczne na poprzedniej liście to zamierzone procesy uruchomione na serwerze, a użycie procesora CPU jest stale zbliżone do progu, rozważ ponowne oszacowanie wymagań dotyczących wdrażania tego serwera.
  • Jako opcję bezpieczną w trybie fail-safe możesz rozważyć ponowne uruchomienie serwera.
    		•
    Wykryto wysokie użycie pamięci Procent użycia pamięci serwera przekracza zalecany próg na tym serwerze. Sprawdź najważniejsze procesy zużywające najwyższą pamięć na serwerze. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Jeśli istnieją nieoczekiwane procesy zużywające wysoką pamięć, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell:
    stop-process -ProcessName [nazwa procesu]
  • Jeśli procesy widoczne na poprzedniej liście są zamierzonymi procesami uruchomionymi na serwerze, rozważ ponowne oszacowanie wymagań dotyczących wdrażania tego serwera.
  • W przypadku opcji awaryjnej warto rozważyć ponowne uruchomienie serwera.
    		•
    Synchronizacja skrótów haseł przestała działać Synchronizacja skrótów haseł została zatrzymana. W rezultacie hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft:
    Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK.
    2. Znajdź Microsoft Entra ID Sync, kliknij ją prawym przyciskiem myszy, a następnie wybierz Uruchom ponownie.
    Eksport do Microsoft Entra ID został zatrzymany. Osiągnięto próg inicjujący przypadkowe usunięcie Operacja eksportu do Microsoft Entra ID nie powiodła się. Było więcej obiektów do usunięcia niż skonfigurowany próg. W rezultacie nie wyeksportowano żadnych obiektów. Liczba obiektów oznaczonych do usunięcia jest większa niż maksymalny zestaw progowy. Aby ocenić obiekty oczekujące na usunięcie, zobacz jak zapobiec przypadkowemu usunięciu.

    Alerty dotyczące usług Active Directory Federation Services

    Nazwa alertu opis Działania naprawcze
    Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu Żądania uwierzytelniania testowego (transakcje syntetyczne) zainicjowane z tego serwera nie mogą uzyskać tokenu po pięciu ponownych próbach. Może to być spowodowane przejściowymi problemami z siecią, dostępnością kontrolera domeny usług AD DS lub nieprawidłowo skonfigurowanym serwerem usług AD FS. W związku z tym żądania uwierzytelniania przetworzone przez usługę federacyjną mogą zakończyć się niepowodzeniem. Agent używa kontekstu konta komputera lokalnego do uzyskania tokenu z usługi federacyjnej. Upewnij się, że wykonano następujące kroki w celu zweryfikowania kondycji serwera.
    1. Sprawdź, czy nie ma żadnych dodatkowych nierozwiązanych alertów dla tych lub innych serwerów usług AD FS w farmie.
    2. Sprawdź, czy ten problem nie jest błędem tymczasowym, logując się jako użytkownik testowy ze strony logowania do AD FS dostępnej pod adresem https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Przejdź do https://testconnectivity.microsoft.com strony i wybierz kartę "Office 365". Wykonaj test logowania jednokrotnego usługi Office 365.
    4. Sprawdź, czy nazwę usługi AD FS można rozpoznać z tego serwera, wykonując następujące polecenie z wiersza polecenia na tym serwerze. nslookup your_adfs_server_name

    Jeśli nie można rozpoznać nazwy usługi, zapoznaj się z sekcją Często zadawane pytania, aby uzyskać instrukcje dotyczące dodawania wpisu pliku HOSTA usługi AD FS z adresem IP tego serwera. Dzięki temu syntetyczny moduł transakcji uruchomiony na tym serwerze może zażądać tokenu
    Serwer proxy nie może nawiązać połączenia z serwerem federacyjnym Ten serwer proxy usług AD FS nie może skontaktować się z usługą AD FS. W związku z tym żądania uwierzytelniania przetwarzane przez ten serwer kończą się niepowodzeniem. Wykonaj następujące kroki, aby zweryfikować łączność między tym serwerem a usługą AD FS.
    1. Upewnij się, że zapora między tym serwerem a usługą AD FS została prawidłowo skonfigurowana.
    2. Upewnij się, że rozpoznawanie nazw usługi AD FS odpowiednio wskazuje na usługę AD FS, która znajduje się w sieci firmowej. Można to osiągnąć za pośrednictwem serwera DNS, który obsługuje ten serwer w sieci obwodowej lub za pośrednictwem wpisów w plikach HOSTS dla nazwy usługi AD FS.
    3. Zweryfikuj łączność sieciową, otwierając przeglądarkę na tym serwerze i korzystając z punktu końcowego metadanych federacji, który znajduje się w lokalizacji https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Certyfikat SSL wkrótce wygaśnie Certyfikat TLS/SSL używany przez serwery federacyjne wkrótce wygaśnie w ciągu 90 dni. Po wygaśnięciu wszystkie żądania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład w przypadku klientów platformy Microsoft 365 klienci poczty nie mogą się uwierzytelniać. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj certyfikat TLS/SSL z następującymi wymaganiami.
      1. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
      2. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera odpowiednią nazwę DNS dla usługi federacyjnej lub symbol wieloznaczny, jeśli to stosowne. Na przykład: sso.contoso.com lub *.contoso.com
    2. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    3. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w IIS, która hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 i nowszych wersjach:

  • Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    • Usługa AD FS nie jest uruchomiona na serwerze Usługa federacyjna Active Directory (usługa systemu Windows) nie jest uruchomiona na tym serwerze. Wszystkie żądania kierowane do tego serwera kończą się niepowodzeniem. Aby uruchomić usługę federacyjną Active Directory (usługa systemu Windows):
    1. Zaloguj się do komputera jako administrator.
    2. Otwórz plik services.msc
    3. Znajdź "Active Directory Federation Services"
    4. Kliknij prawym przyciskiem myszy i wybierz "Start"
    System DNS dla usługi federacyjnej może być nieprawidłowo skonfigurowany Serwer DNS można skonfigurować tak, aby używał rekordu CNAME dla nazwy farmy usług AD FS. Zaleca się używanie rekordu A lub AAAA dla usług AD FS w celu bezproblemowego działania zintegrowanego uwierzytelniania systemu Windows w sieci firmowej. Upewnij się, że typ rekordu DNS farmy <Farm Name> usług AD FS nie jest CNAME. Skonfiguruj go tak, aby był rekordem A lub AAAA.
    Audyt AD FS jest wyłączony Inspekcja usług AD FS jest wyłączona dla serwera. Sekcja Użycie usług AD FS w portalu nie będzie zawierać danych z tego serwera. Jeśli inspekcje usług AD FS nie są włączone, wykonaj następujące instrukcje:
    1. Przyznaj kontu usługi AD FS prawo do "Generowania inspekcji zabezpieczeń" na serwerze AD FS.
    2. Otwórz lokalne zasady zabezpieczeń na serwerze gpedit.msc.
    3. Przejdź do pozycji "Konfiguracja komputera\Ustawienia systemu Windows\Zasady lokalne\Przypisanie praw użytkownika"
    4. Dodaj konto usługi AD FS, aby uzyskać prawo do "Generowania inspekcji zabezpieczeń".
    5. Uruchom następujące polecenie w wierszu polecenia:
      auditpol.exe /set /subcategory:"Wygenerowana aplikacja" /failure:enable /success:enable
    6. Zaktualizuj właściwości usługi federacyjnej, aby uwzględnić przeglądy sukcesów i niepowodzeń.
    7. W konsoli usług AD FS wybierz pozycję "Edytuj właściwości usługi federacyjnej"
    8. W oknie dialogowym "Właściwości usługi federacyjnej" wybierz kartę Zdarzenia i wybierz pozycję "Audyty powodzenia" i "Audyty niepowodzeń"

    Po wykonaniu tych kroków zdarzenia audytu AD FS powinny być widoczne w Podglądzie zdarzeń. Aby to sprawdzić:

    1. Przejdź do pozycji Podgląd zdarzeń/ Dzienniki systemu Windows /Zabezpieczenia.
    2. Wybierz pozycję Filtruj bieżące dzienniki i wybierz pozycję Inspekcja AD FS z listy rozwijanej Źródła zdarzeń. W przypadku aktywnego serwera usług AD FS z włączoną inspekcją usług AD FS zdarzenia powinny być widoczne do filtrowania.

    Jeśli wcześniej wykonałeś te instrukcje, ale nadal widzisz ten alert, możliwe, że Obiekt Zasad Grupy (GPO) wyłącza inspekcję AD FS. Główną przyczyną może być jedna z następujących przyczyn:

    1. Konto usług AD FS jest usuwane z uprawnień do generowania inspekcji bezpieczeństwa.
    2. Skrypt niestandardowy w obiekcie zasad grupy wyłącza inspekcje powodzenia i niepowodzenia dla zdarzeń oznaczonych jako "Wygenerowane przez aplikację".
    3. Konfiguracja AD FS nie jest włączona, aby generować audyty powodzenia/niepowodzenia.
    Certyfikat SSL usług AD FS jest z podpisem własnym Obecnie używasz certyfikatu z podpisem własnym jako certyfikatu TLS/SSL w farmie usług AD FS. W związku z tym uwierzytelnianie klienta poczty dla platformy Microsoft 365 kończy się niepowodzeniem

    Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.

    1. Uzyskaj publicznie zaufany certyfikat TLS/SSL z następującymi wymaganiami.
    2. Plik instalacyjny certyfikatu zawiera jego klucz prywatny.
    3. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
    4. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiedni symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com

    Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.

      Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu.
      W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
    1. Powiąż nowy certyfikat TLS/SSL z witryną internetową w IIS, która hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

      2. W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach:
    2. Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    Relacja zaufania między serwerem proxy a serwerem federacyjnym jest nieprawidłowa Nie można ustanowić ani odnowić relacji zaufania między serwerem proxy usługi federacyjnej a usługą federacyjną. Zaktualizuj certyfikat zaufania serwera proxy na serwerze proxy. Uruchom ponownie Kreatora konfiguracji serwera proxy.
    Wyłączono ochronę blokady ekstranetu dla usług AD FS Funkcja ochrony blokady Ekstranetu jest WYŁĄCZONA w farmie usług AD FS. Ta funkcja chroni użytkowników przed atakami typu brute force na hasła z internetu i uniemożliwia atakom typu "odmowy usługi" na użytkowników, gdy stosowane są zasady blokady kont w AD DS. Po włączeniu tej funkcji, jeśli liczba nieudanych prób logowania ekstranetu dla użytkownika (próby logowania za pośrednictwem serwera WAP i usług AD FS) przekracza wartość "ExtranetLockoutThreshold", serwery usług AD FS przestaną przetwarzać dalsze próby logowania dla "EkstranetObservationWindow" Zdecydowanie zalecamy włączenie tej funkcji na serwerach usług AD FS. Uruchom następujące polecenie, aby włączyć domyślną ochronę przed blokadą ekstranetu w usługach AD FS.
    Set-AdfsProperties -EnableExtranetLockout $true

    Jeśli masz skonfigurowane zasady blokady usługi AD dla użytkowników, upewnij się, że właściwość "ExtranetLockoutThreshold" jest ustawiona na wartość poniżej progu blokady usług AD DS. Dzięki temu żądania, które przekroczyły ustawiony próg usługi AD FS, są odrzucane i nigdy nie są weryfikowane względem serwerów usługi AD DS.
    Nieprawidłowa nazwa główna usługi (SPN) dla konta usługi AD FS Nazwa główna usługi na koncie usługi federacyjnej nie jest zarejestrowana lub nie jest unikatowa. Z tego powodu zintegrowane uwierzytelnianie Windows może nie być bezproblemowe dla klientów przyłączonych do domeny. Użyj polecenia [SETSPN -L ServiceAccountName], aby wyświetlić listę zasad usługi.
    Użyj [SETSPN -X], aby sprawdzić zduplikowane nazwy główne usługi.

    Jeśli SPN jest duplikowany dla konta usługi AD FS, usuń SPN z zduplikowanego konta, używając polecenia [SETSPN -d service/namehostname]

    Jeśli nie ustawiono SPN, użyj polecenia [SETSPN -s {Desired-SPN} {domain_name}{service_account}], aby ustawić żądany SPN dla konta usługi federacyjnej.
    Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wkrótce wygaśnie Podstawowy certyfikat odszyfrowywania tokenu usług AD FS wkrótce wygaśnie za mniej niż 90 dni. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców roszczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych ciasteczek jednokrotnego logowania. Użytkownicy końcowi nie mogą uwierzytelniać się w celu uzyskania dostępu do zasobów. Jeśli włączono automatyczną rotację certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami. Uzyskaj nowy certyfikat odszyfrowywania tokenu.

    1. Upewnij się, że ulepszone użycie klucza (EKU) obejmuje "Szyfrowanie klucza"
    2. Podmiot lub Alternatywna Nazwa Podmiotu (SAN) nie ma żadnych ograniczeń.
    3. Należy pamiętać, że serwery federacyjne i partnerzy dostawcy oświadczeń muszą mieć możliwość łączenia się z zaufanym głównym urzędem certyfikacji podczas weryfikowania certyfikatu do odszyfrowywania tokenów.
    Zdecyduj, w jaki sposób partnerzy dostawcy oświadczeń będą ufać nowemu certyfikatowi odszyfrowywania tokenów
    1. Poproś partnerów o ściągnięcie metadanych federacji po zaktualizowaniu certyfikatu.
    2. Udostępnij klucz publiczny nowego certyfikatu. (.cer pliku) z partnerami. Na serwerze usług AD FS partnera dostawcy oświadczeń uruchom zarządzanie usługami AD FS z menu Narzędzia administracyjne. W obszarze Relacje zaufania/Relacje jednostki uzależnionej wybierz zaufanie, które zostało utworzone dla Ciebie. W obszarze Właściwości/Szyfrowanie wybierz pozycję "Przeglądaj", aby wybrać nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
    • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.Dodaj nowy certyfikat do usług AD FS.
    1. Uruchamianie zarządzania usługami AD FS z menu Narzędzia administracyjne
    2. Rozwiń sekcję Usługa i wybierz Certyfikaty
    3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Decrypting
    4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla odszyfrowywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego z skojarzonym kluczem prywatnym, a certyfikat ma szyfrowanie klucza jako rozszerzone użycie klucza.
    5. Wybierz nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    Ustaw nowy certyfikat odszyfrowywania tokenów jako podstawowy.
    1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Odszyfrowywanie tokenów: istniejący i nowy certyfikat.
    2. Wybierz nowy certyfikat Token-Decrypting, kliknij prawym przyciskiem myszy i ustaw jako podstawowy.
    3. Pozostaw stary certyfikat jako dodatkowy do celów przełączania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przeniesienia, albo gdy certyfikat wygasł.
    Podstawowy certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie Certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie w ciągu 90 dni. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. Uzyskaj nowy certyfikat podpisywania tokenu.
    1. Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Podpis cyfrowy"
    2. Podmiot lub jego alternatywna nazwa (SAN) nie ma żadnych ograniczeń.
    3. Należy pamiętać, że serwery federacyjne, serwery federacyjne partnera zasobów i serwery aplikacji jednostki uzależnionej muszą być w stanie połączyć się z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu podpisywania tokenu.
    Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
    • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.Dodaj nowy certyfikat do usług AD FS.
    1. Uruchom program AD FS Management z menu Narzędzia administracyjne.
    2. Rozwiń węzeł Usługi i wybierz opcję Certyfikaty
    3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Signing...
    4. Zostanie wyświetlona lista certyfikatów, które są ważne do podpisywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w osobistym magazynie komputera lokalnego z przypisanym kluczem prywatnym, a certyfikat ma podpis cyfrowy KU.
    5. Wybierz nowy certyfikat Token-Signing i wybierz przycisk OK
    Poinformuj wszystkie jednostki uzależnione o zmianie certyfikatu podpisywania tokenu.
    1. Jednostki uzależnione korzystające z metadanych federacji usług AD FS muszą ściągnąć nowe metadane federacji, aby rozpocząć korzystanie z nowego certyfikatu.
    2. Strony polegające, które nie korzystają z metadanych federacji usług AD FS, muszą ręcznie zaktualizować klucz publiczny nowego certyfikatu podpisywania tokenu. Udostępnij plik .cer stronom uzależnionym.
      3. Ustaw nowy certyfikat podpisywania tokenu jako podstawowy.
      1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Podpisywanie tokenów: istniejący i nowy certyfikat.
      2. Wybierz nowy certyfikat Token-Signing, kliknij prawym przyciskiem myszy i wybierz Ustaw jako podstawowy
      3. Pozostaw stary certyfikat jako dodatkowy do celów odnawiania. Należy zaplanować usunięcie starego certyfikatu, gdy jesteś pewny, że nie jest już potrzebny do odnowienia, albo kiedy certyfikat wygasł. Pamiętaj, że sesje SSO bieżących użytkowników są podpisane. Obecne relacje zaufania proxy usług AD FS korzystają z tokenów podpisanych i zaszyfrowanych przy użyciu starego certyfikatu.
    Certyfikat SSL usług AD FS nie znajduje się w lokalnym magazynie certyfikatów Certyfikat z odciskiem palca skonfigurowanym jako certyfikat TLS/SSL w bazie danych usług AD FS nie został znaleziony w lokalnym magazynie certyfikatów. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu TLS kończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 kończy się niepowodzeniem. Zainstaluj certyfikat ze skonfigurowanym odciskiem palca w lokalnym magazynie certyfikatów.
    Certyfikat SSL wygasł Certyfikat TLS/SSL dla usługi AD FS wygasł. W związku z tym wszystkie żądania uwierzytelniania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład: uwierzytelnianie klienta poczty nie może uwierzytelniać się w usłudze Microsoft 365. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj certyfikat TLS/SSL z następującymi wymaganiami.
    2. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
    3. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    4. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    5. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL ze stroną internetową w IIS, która hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP

    Wymagane punkty końcowe dla Microsoft Entra ID (dla Microsoft 365) nie są włączone Następujący zestaw punktów końcowych wymaganych przez usługi Exchange Online Services, Microsoft Entra ID i Microsoft 365 nie są włączone dla usługi federacyjnej:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Włącz wymagane punkty końcowe dla usług Microsoft Cloud Services w usłudze federacyjnej.
    W przypadku usług Active Directory Federation Services (AD FS) w systemie Windows Server 2012R2 lub nowszych wersjach
  • Zapoznaj się z tematem: Zarządzanie certyfikatami SSL w usługach AD FS i WAP

    • Serwer federacyjny nie może nawiązać połączenia z bazą danych konfiguracji usług AD FS Konto usługi AD FS ma problemy podczas nawiązywania połączenia z bazą danych konfiguracji usług AD FS. W związku z tym usługa AD FS na tym komputerze może nie działać zgodnie z oczekiwaniami.
  • Upewnij się, że konto usługi AD FS ma dostęp do bazy danych konfiguracji.
  • Upewnij się, że usługa bazy danych konfiguracji usług AD FS jest dostępna i osiągalna.
    • Brak wymaganych powiązań SSL lub ich nie skonfigurowano Powiązania TLS wymagane dla tego serwera federacyjnego do pomyślnego przeprowadzenia uwierzytelniania są błędnie skonfigurowane. W związku z tym usługi AD FS nie mogą przetwarzać żadnych żądań przychodzących. Dla systemu Windows Server 2012 R2
    Otwórz wiersz polecenia administratora z podwyższonym poziomem uprawnień i wykonaj następujące polecenia:
    1. Aby wyświetlić bieżące powiązanie protokołu TLS: Get-AdfsSslCertificate
    2. Aby dodać nowe powiązania: netsh http add sslcert hostnameport=<nazwa usługi federacji>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Certyfikat główny podpisywania tokenów dla AD FS wygasł Certyfikat podpisywania tokenu usług AD FS wygasł. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. Jeśli automatyczne odnawianie certyfikatów jest włączone, usługi AD FS będą zarządzać aktualizowaniem certyfikatu do podpisywania tokenów.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.

    1. Uzyskaj nowy certyfikat podpisywania tokenu.
      1. Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Podpis cyfrowy"
      2. Nazwa podmiotu lub alternatywna nazwa podmiotu (SAN) nie ma żadnych ograniczeń.
      3. Pamiętaj, że serwery federacyjne, serwery federacyjne partnera zasobów i serwery aplikacji jednostki uzależnionej muszą być w stanie połączyć się z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu podpisywania tokenu.
    2. Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
      • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    3. Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.
    4. Dodaj nowy certyfikat do usług AD FS.
      1. Uruchom program AD FS Management z menu Narzędzia administracyjne.
      2. Rozwiń Usługę i wybierz Certyfikaty
      3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Signing...
      4. Zostanie zaprezentowana lista certyfikatów, które są odpowiednie do podpisywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w osobistym magazynie komputera lokalnego z przypisanym kluczem prywatnym, a certyfikat ma podpis cyfrowy KU.
      5. Wybierz nowy certyfikat Token-Signing i wybierz przycisk OK
    5. Poinformuj wszystkie jednostki uzależnione o zmianie certyfikatu podpisywania tokenu.
      1. Podmioty polegające, które korzystają z metadanych federacji AD FS, muszą pobrać nowe metadane federacji, aby móc używać nowego certyfikatu.
      2. Jednostki uzależnione, które nie używają metadanych federacji usług AD FS, muszą ręcznie zaktualizować klucz publiczny nowego certyfikatu podpisywania tokenu. Udostępnij plik .cer stronom uzależnionym.
    6. Ustaw nowy certyfikat podpisywania tokenu jako podstawowy.
      1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Podpisywanie tokenów: istniejący i nowy certyfikat.
      2. Wybierz nowy certyfikat Token-Signing, kliknij prawym przyciskiem myszy i wybierz Ustaw jako podstawowy
      3. Pozostaw stary certyfikat jako zapasowy do celów przedłużenia. Należy zaplanować usunięcie starego certyfikatu, kiedy jesteś pewien, że nie jest już potrzebny do odnawiania, albo kiedy certyfikat wygaśnie. Pamiętaj, że sesje SSO bieżących użytkowników są podpisane. Aktualne relacje zaufania serwera proxy AD FS używają tokenów, które są podpisane i zaszyfrowane za pomocą starego certyfikatu.
    Serwer proxy usuwa żądania kontroli przeciążenia Ten serwer proxy obecnie usuwa żądania z ekstranetu z powodu wyższego niż normalnego opóźnienia między tym serwerem proxy a serwerem federacyjnym. W związku z tym pewna część żądań uwierzytelniania przetworzonych przez serwer proxy usług AD FS może zakończyć się niepowodzeniem.
  • Sprawdź, czy opóźnienie sieci między federacyjnym serwerem proxy a serwerami federacyjnym mieści się w dopuszczalnym zakresie. Zapoznaj się z sekcją Monitorowanie, aby uzyskać informacje o popularnych wartościach "Opóźnienie żądania tokenu". Opóźnienie większe niż [1500 ms] należy uznać za duże opóźnienie. Jeśli występuje duże opóźnienie, upewnij się, że sieć między usługami AD FS i serwerami proxy usług AD FS nie ma żadnych problemów z łącznością.
  • Upewnij się, że serwery federacyjne nie są przeciążone żądaniami uwierzytelniania. Sekcja monitorowania umożliwia widoki trendów dla żądań o tokeny na sekundę, wykorzystania CPU i zużycia pamięci.
  • Jeśli powyższe elementy zostały zweryfikowane i ten problem jest nadal widoczny, dostosuj ustawienie unikania przeciążenia na każdym z serwerów proxy federacji zgodnie z instrukcjami z powiązanych linków.
    		•
    Konto usługi AD FS nie ma dostępu do jednego z kluczy prywatnych certyfikatu. Konto usługi AD FS nie ma dostępu do klucza prywatnego jednego z certyfikatów usług AD FS na tym komputerze. Upewnij się, że konto usługi AD FS zapewnia dostęp do certyfikatów TLS, podpisywania tokenu i odszyfrowywania tokenów przechowywanych w magazynie certyfikatów komputera lokalnego.
    1. W wierszu polecenia wpisz MMC.
    2. Przejdź do pozycji Plik-Dodaj/Usuń przystawkę
    3. Wybierz pozycję Certyfikaty i wybierz pozycję Dodaj. -> Wybierz konto komputera i wybierz przycisk Dalej. -> Wybierz komputer lokalny i wybierz przycisk Zakończ. Wybierz przycisk OK.

    Otwórz certyfikaty (komputer lokalny)/Osobiste/Certyfikaty.Dla wszystkich certyfikatów używanych przez usługi AD FS:
    1. Wybierz prawym przyciskiem certyfikat.
    2. Wybierz pozycję Wszystkie zadania —> zarządzaj kluczami prywatnymi.
    3. Na karcie Zabezpieczenia w obszarze Grupy lub nazwy użytkowników upewnij się, że konto usługi AD FS jest obecne. Jeśli nie, wybierz opcję Dodaj i dodaj konto usługi AD FS.
    4. Wybierz konto usługi AD FS i w obszarze "Uprawnienia dla <nazwy> konta usługi AD FS" upewnij się, że uprawnienie do odczytu jest dozwolone (znacznik wyboru).
    Certyfikat SSL usług AD FS nie ma klucza prywatnego Certyfikat TLS/SSL usług AD FS został zainstalowany bez klucza prywatnego. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu SSL kończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty e-mail dla platformy Microsoft 365 kończy się niepowodzeniem. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj publicznie zaufany certyfikat TLS/SSL z następującymi wymaganiami.
      1. Plik instalacyjny certyfikatu zawiera jego klucz prywatny.
      2. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
      3. Podmiot certyfikatu lub alternatywna nazwa podmiotu SAN zawiera nazwę DNS usługi federacyjnej lub odpowiedni wildcard. Na przykład: sso.contoso.com lub *.contoso.com
    2. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    3. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną internetową w programie IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach:

  • Zapoznaj się z tematem: Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    • Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. AD FS nie może odszyfrować zaszyfrowanych plików cookie SSO. Użytkownicy końcowi nie mogą uwierzytelniać się w celu uzyskania dostępu do zasobów.

    Jeśli włączono automatyczne odnawianie certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.

    1. Uzyskaj nowy certyfikat odszyfrowywania tokenu.
      • Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Szyfrowanie klucza".
      • Podmiot lub Alternatywna Nazwa Podmiotu (SAN) nie ma żadnych ograniczeń.
      • Należy pamiętać, że serwery federacyjne i partnerzy dostawcy oświadczeń muszą mieć możliwość powiązania z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu do odszyfrowywania tokenów.
    2. Zdecyduj, w jaki sposób partnerzy dostawcy oświadczeń będą ufać nowemu certyfikatowi odszyfrowywania tokenów
      • Poproś partnerów o ściągnięcie metadanych federacji po zaktualizowaniu certyfikatu.
      • Udostępnij klucz publiczny nowego certyfikatu. (plik .cer) z partnerami. Na serwerze usług AD FS partnera dostawcy oświadczeń uruchom zarządzanie usługami AD FS z menu Narzędzia administracyjne. W obszarze Relacje zaufania/Relacje jednostki uzależnionej wybierz zaufanie, które zostało utworzone dla Ciebie. W obszarze Właściwości/Szyfrowanie wybierz pozycję "Przeglądaj", aby wybrać nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    3. Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
      • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    4. Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.
    5. Dodaj nowy certyfikat do usług AD FS.
      • Uruchamianie zarządzania usługami AD FS z menu Narzędzia administracyjne
      • Rozwiń Usługa i wybierz Certyfikaty
      • W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Decrypting
      • Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla odszyfrowywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego z skojarzonym kluczem prywatnym, a certyfikat ma szyfrowanie klucza jako rozszerzone użycie klucza.
      • Wybierz nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    6. Ustaw nowy certyfikat odszyfrowywania tokenów jako podstawowy.
      • Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Odszyfrowywanie tokenów: istniejący i nowy certyfikat.
    7. Wybierz nowy certyfikat Token-Decrypting, kliknij prawym przyciskiem myszy i wybierz pozycję Ustaw jako główny.
    8. Pozostaw stary certyfikat jako zapasowy do celów przenoszenia. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przeniesienia, albo gdy certyfikat wygasł.

    Alerty dotyczące usług domenowych Active Directory

    Nazwa alertu opis Remediacja
    Kontroler domeny jest niedostępny przy użyciu LDAP ping Kontroler domeny nie jest dostępny poprzez LDAP ping. Może to być spowodowane problemami z siecią lub maszyną. W rezultacie pingi LDAP kończą się niepowodzeniem.
  • Sprawdź listę powiązanych alertów, takich jak: Kontroler domeny nie jest reklamowany.
  • Upewnij się, że kontroler domeny, którego dotyczy problem, ma wystarczającą ilość miejsca na dysku. Wyczerpanie się dostępnego miejsca uniemożliwi kontrolerowi domeny reklamowanie się jako serwer LDAP.
  • Próba odnalezienia kontrolera PDC: uruchomienie
    netdom query fsmo
    na kontrolerze domeny, którego dotyczy ten problem.
  • Upewnij się, że sieć fizyczna jest prawidłowo skonfigurowana/połączona.
    • Napotkano błąd replikacji usługi Active Directory Ten kontroler domeny ma problemy z replikacją, które można znaleźć, przechodząc do pulpitu nawigacyjnego stanu replikacji. Błędy replikacji mogą być spowodowane niewłaściwą konfiguracją lub innymi powiązanymi problemami. Nieleczone błędy replikacji mogą prowadzić do niespójności danych. Zobacz dodatkowe szczegóły dotyczące nazw źródłowych i docelowych kontrolerów domeny, których dotyczy problem. Przejdź do pulpitu nawigacyjnego Stan replikacji i poszukaj aktywnych błędów na kontrolerach domeny, których dotyczy problem. Wybierz błąd, aby otworzyć blok z bardziej szczegółowymi informacjami na temat korygowania tego konkretnego błędu.
    Kontroler domeny nie może odnaleźć kontrolera PDC PDC nie jest dostępny przez ten kontroler domeny. Może to prowadzić do problemów z logowaniem użytkowników, zmian zasad grupy, które nie zostały zastosowane, oraz problemów z synchronizacją czasu systemowego.
  • Zapoznaj się z listą alertów dotyczących powiązanych alertów, które mogą mieć wpływ na kontroler PDC, na przykład: Kontroler domeny nie jest reklamą.
  • Uruchom próbę znalezienia PDC
    netdom query fsmo
    na dotkniętym kontrolerze domeny.
  • Upewnij się, że sieć działa prawidłowo.
    • Kontroler domeny nie może odnaleźć serwera wykazu globalnego Serwer wykazu globalnego nie jest dostępny z tego kontrolera domeny. Spowoduje to nieudane uwierzytelnianie za pośrednictwem tego kontrolera domeny. Sprawdź listę alertów, aby znaleźć dowolne alerty kontroler domeny nie ogłasza, w których dotknięty problemem serwer może być Globalnym Katalogiem. Jeśli nie ma żadnych alertów reklamowych, sprawdź rekordy SRV dla kontrolerów domeny. Możesz je sprawdzić, uruchamiając polecenie:
    nltest /dnsgetdc: [ForestName] /gc
    Powinien wyświetlić listę kontrolerów domeny reklamujących się jako Globalne Katalogi (GCs). Jeśli lista jest pusta, sprawdź konfigurację DNS, aby upewnić się, że kontroler domeny zarejestrował rekordy SRV. Kontroler domeny może odnaleźć je w systemie DNS.
    Aby uzyskać informacje na temat rozwiązywania problemów z wykazami globalnymi, zobacz Promowanie jako serwer wykazu globalnego.
    Kontroler domeny nie może uzyskać dostępu do lokalnego udziału sysvol Sysvol zawiera ważne elementy z obiektów zasad grupy i skryptów, które mają być dystrybuowane w kontrolerach domeny. Kontroler DC nie będzie anonsować się jako DC i Zasady Grupy nie zostaną zastosowane. Zobacz jak rozwiązywać problemy z brakującymi udziałami sysvol i Netlogon
    Czas kontrolera domeny nie jest zsynchronizowany Czas na tym kontrolerze domeny znajduje się poza normalnym zakresem odchylenia czasu. W związku z tym uwierzytelnianie Kerberos kończy się niepowodzeniem.
  • Ponownie uruchom usługę czasu Windows: uruchom
    net stop w32time
    następnie
    net start w32time
    na kontrolerze domeny, którego dotyczy problem.
  • Czas ponownej synchronizacji: uruchom
    w32tm /resync
    na kontrolerze domeny, którego dotyczy problem.
    		•
    Kontroler domeny nie reklamuje Ten kontroler domeny nie reklamuje prawidłowo ról, które jest w stanie wykonywać. Może to być spowodowane problemami z replikacją, błędną konfiguracją DNS, nieuruchomieniem krytycznych usług lub z powodu braku w pełni zainicjowanego serwera. W związku z tym kontrolery domeny, elementy członkowskie domeny i inne urządzenia nie mogą zlokalizować tego kontrolera domeny. Ponadto inne kontrolery domeny mogą nie być w stanie replikować z tego kontrolera domeny. Sprawdź listę alertów pod kątem innych powiązanych alertów, takich jak: uszkodzenie replikacji. Czas kontrolera domeny nie jest zsynchronizowany. Usługa Netlogon nie jest uruchomiona. Usługi DFSR i/lub NTFRS nie są uruchomione. Identyfikowanie i rozwiązywanie powiązanych problemów z systemem DNS: zaloguj się do kontrolera domeny, którego dotyczy problem. Otwórz dziennik zdarzeń systemu. Jeśli występują zdarzenia 5774, 5775 lub 5781, zobacz „Rozwiązywanie problemów z niepowodzeniem rejestracji rekordów DNS lokalizatora kontrolera domeny”. Identyfikacja i rozwiązywanie powiązanych problemów z usługą Czas systemu Windows: Upewnij się, że usługa Czas systemu Windows jest uruchomiona: Uruchom ‘net start w32time’ na kontrolerze domeny, którego dotyczy problem. Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie "net stop w32time", a następnie "net start w32time" na kontrolerze domeny, którego dotyczy problem.
    Usługa GPSVC nie jest uruchomiona Jeśli usługa zostanie zatrzymana lub wyłączona, ustawienia skonfigurowane przez administratora nie będą stosowane, a aplikacje i składniki nie będą możliwe do zarządzania za pomocą zasad grupy. Wszystkie składniki lub aplikacje, które zależą od składnika zasad grupy, mogą nie działać, jeśli usługa jest wyłączona. Uruchom
    net uruchom gpsvc
    na kontrolerze domeny, którego dotyczy problem.
    Usługi DFSR i/lub NTFRS nie działają Jeśli usługi DFSR i NTFRS zostaną zatrzymane, kontrolery domeny nie mogą replikować danych sysvol. dane sysvol nie będą spójne.
  • W przypadku korzystania z usługi DFSR:
      Uruchom polecenie "net start dfsr" na kontrolerze domeny, którego dotyczy problem.
    1. W przypadku korzystania z NTFRS:
        Uruchom polecenie "net start ntfrs" na kontrolerze domeny, którego dotyczy problem.
    • Usługa Netlogon nie jest uruchomiona Żądania logowania, rejestracja, uwierzytelnianie i lokalizowanie kontrolerów domeny będą niedostępne na tym DC. Uruchom polecenie "net start netlogon" na kontrolerze domeny, którego dotyczy problem
    Usługa W32Time nie jest uruchomiona Jeśli usługa czasowa systemu Windows zostanie zatrzymana, synchronizacja daty i godziny będzie niedostępna. Jeśli ta usługa jest wyłączona, nie można uruchomić żadnych usług, które jawnie zależą od niej. Uruchom polecenie "net start win32Time" na kontrolerze domeny, którego dotyczy problem
    Usługa ADWS nie jest uruchomiona Jeśli usługa usług sieci Web Active Directory jest zatrzymana lub wyłączona, aplikacje klienckie, takie jak program PowerShell usługi Active Directory, nie mogą uzyskiwać dostępu do żadnych wystąpień usługi katalogowej uruchomionych lokalnie na tym serwerze ani zarządzać nimi. Uruchom polecenie "net start adws" na kontrolerze domeny, którego dotyczy problem
    Główny kontroler PDC nie synchronizuje się z serwerem NTP Jeśli nie skonfigurujesz emulatora PDC do synchronizacji czasu z zewnętrznego lub wewnętrznego źródła czasu, będzie on używać swojego wewnętrznego zegara, sam stając się wiarygodnym źródłem czasu dla lasu. Jeśli czas nie jest dokładny na samym kontrolerze PDC, wszystkie komputery będą miały nieprawidłowe ustawienia czasu. Na kontrolerze domeny, którego dotyczy problem, otwórz wiersz polecenia. Zatrzymaj usługę Czas: net stop w32time
  • Skonfiguruj źródło czasu zewnętrznego:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Uwaga: zastąp time.windows.com adresem żądanego źródła czasu zewnętrznego. Uruchom usługę Czas:
    net start w32time
    • Kontroler domeny jest poddawany kwarantannie Ten kontroler domeny nie jest połączony z żadnym z innych działających kontrolerów domeny. Może to być spowodowane niewłaściwą konfiguracją. W związku z tym ten kontroler domeny nie jest używany i nie będzie replikowany z/do nikogo. Włącz replikację ruchu przychodzącego i wychodzącego: uruchom polecenie "repadmin /options ServerName -DISABLE_INBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Uruchom polecenie "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Utwórz nowe połączenie replikacji z innym kontrolerem domeny:
    1. Otwórz Lokalizacje i usługi Active Directory: menu Start, wskaż Narzędzia administracyjne, a następnie wybierz Lokalizacje i usługi Active Directory.
    2. W drzewie konsoli rozwiń witryny, a następnie rozwiń witrynę, do której należy ten kontroler domeny.
    3. Rozwiń kontener Serwery, aby wyświetlić listę serwerów.
    4. Rozwiń obiekt serwera dla tego DC (kontrolera domeny).
    5. Wybierz prawym przyciskiem myszy obiekt USTAWIEŃ NTDS, a następnie wybierz pozycję Nowe połączenie usług domenowych Active Directory...
    6. Wybierz z listy pozycję Serwer, a następnie wybierz przycisk OK.
    Jak usunąć oddzielone domeny z usługi Active Directory.
    Replikacja wychodząca jest wyłączona Kontrolery domeny z wyłączoną replikacją wychodzącą nie mogą dystrybuować żadnych zmian pochodzących z siebie samego. Aby włączyć replikację wychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie wybierz przycisk OK. Wpisz następujący tekst, a następnie naciśnij ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Replikacja przychodząca jest wyłączona Kontrolery domeny, które mają wyłączoną replikację przychodzącą, nie będą posiadały najnowszych informacji. Ten warunek może prowadzić do niepowodzeń logowania. Aby włączyć replikację przychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie wybierz przycisk OK. Wpisz następujący tekst, a następnie naciśnij ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    Usługa LanmanServer nie jest uruchomiona Jeśli ta usługa jest wyłączona, nie można uruchomić żadnych usług, które jawnie zależą od niej. Uruchom polecenie "net start LanManServer" na kontrolerze domeny, którego dotyczy problem.
    Usługa Centrum dystrybucji kluczy Kerberos nie jest uruchomiona Jeśli usługa KDC jest zatrzymana, użytkownicy nie mogą uwierzytelniać za pośrednictwem tego kontrolera domeny (DC) przy użyciu protokołu uwierzytelniania Kerberos v5. Uruchom polecenie "net start kdc" na kontrolerze domeny, którego dotyczy problem.
    Usługa DNS nie jest uruchomiona Jeśli usługa DNS zostanie zatrzymana, komputery i użytkownicy korzystający z tego serwera do celów DNS nie mogą znaleźć zasobów. Uruchom polecenie "net start dns" na kontrolerze domeny, którego dotyczy problem.
    Kontroler domeny miał przywracanie wersji USN Po wycofaniu numerów USN, modyfikacje obiektów i atrybutów nie są replikowane przychodząco przez docelowe kontrolery domeny, które już wcześniej miały styczność z tym numerem USN. Ponieważ te docelowe kontrolery domeny uważają, że są aktualne, w dziennikach zdarzeń Usługi katalogowej ani w narzędziach do monitorowania i diagnostyki nie są zgłaszane żadne błędy replikacji. Cofnięcie numeru USN może mieć wpływ na replikację dowolnego obiektu lub atrybutu w dowolnej partycji. Najczęściej obserwowanym skutkiem ubocznym jest to, że konta użytkowników i konta komputerów utworzone na kontrolerze domeny z wycofywaniem nie istnieją u co najmniej jednego partnera replikacji. Albo aktualizacje haseł pochodzące od kontrolera domeny rollback nie istnieją u partnerów replikacji. Istnieją dwa podejścia do odzyskania danych po cofnięciu USN.

    Usuń kontroler domeny z domeny, wykonując następujące kroki:

    1. Usuń usługę Active Directory z kontrolera domeny, aby wymusić, że będzie ona serwerem autonomicznym. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      332199 Kontrolery domeny nie są degradowane w sposób łagodny podczas korzystania z Kreatora instalacji Active Directory, aby wymusić degradację w systemach Windows Server 2003 oraz Windows 2000 Server.
    2. Zamknij zdegradowany serwer.
    3. Na zdrowym kontrolerze domeny wyczyść metadane zdegradowanego kontrolera domeny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny
    4. Jeśli niepoprawnie przywrócony kontroler domeny hostuje role właściciela operacji, przenieś te role do w pełni funkcjonalnego kontrolera domeny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      255504 używanie Ntdsutil.exe do przenoszenia lub przejmowania ról FSMO do kontrolera domeny
    5. Uruchom ponownie zdegradowany serwer.
    6. Jeśli jest to wymagane, zainstaluj ponownie usługę Active Directory na serwerze autonomicznym.
    7. Jeśli kontroler domeny był wcześniej wykazem globalnym, skonfiguruj kontroler domeny jako wykaz globalny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      313994 Jak utworzyć lub przenieść wykaz globalny w systemie Windows 2000
    8. Jeśli kontroler domeny wcześniej hostował role wzorca operacji, przenieś je z powrotem do kontrolera domeny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      255504 Użycie Ntdsutil.exe do przenoszenia lub przejmowania ról FSMO na kontroler domeny Przywróć stan systemu z dobrej kopii zapasowej.

    Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli utworzono prawidłową kopię zapasową stanu systemu przed nieprawidłowym przywróceniem kontrolera domeny, a kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej.

    Można również używać migawki jako źródło dla kopii zapasowej. Możesz też ustawić bazę danych, aby przypisać sobie nowy identyfikator wywołania, korzystając z procedury opisanej w sekcji "Aby przywrócić poprzednią wersję wirtualnego dysku twardego kontrolera domeny bez kopii zapasowej danych stanu systemu" w tym artykule.

    Następne kroki