Katalog alertów programu Microsoft Entra Connect Health
Usługa Microsoft Entra Connect Health wysyła alerty wskazujące, że infrastruktura tożsamości nie jest w dobrej kondycji. Ten artykuł zawiera tytuły alertów, opisy i kroki korygowania dla każdego alertu.
Błędy, Ostrzeżenie i Wstępnewarowanie to trzy etapy alertów generowanych z poziomu usługi Connect Health. Zdecydowanie zalecamy natychmiastowe wykonywanie akcji dotyczących wyzwolonych alertów.
Alerty programu Microsoft Entra Connect Health są rozwiązywane w warunku powodzenia. Agenci programu Microsoft Entra Connect Health okresowo wykrywają i zgłaszają warunki powodzenia w usłudze. W przypadku kilku alertów pomijanie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.
Ogólne Alerty
Nazwa alertu | opis | Korekty |
---|---|---|
Dane usługi kondycji nie są aktualne | Co najmniej jeden agent zdrowia uruchomiony na co najmniej jednym serwerze nie jest połączony z usługą zdrowotną, a usługa zdrowotna nie otrzymuje najnowszych danych z tego serwera. Ostatnie dane przetwarzane przez Usługa kondycji są starsze niż 2 godziny. | Upewnij się, że agenci kondycji mają łączność wychodzącą z wymaganymi punktami końcowymi usługi. Przeczytaj więcej |
Alerty dotyczące programu Microsoft Entra Connect (synchronizacja)
Nazwa alertu | opis | Korekty |
---|---|---|
Usługa synchronizacji programu Microsoft Entra Connect nie jest uruchomiona | Usługa Microsoft Entra ID Sync systemu Windows nie jest uruchomiona lub nie można jej uruchomić. W związku z tym obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Uruchamianie usług synchronizacji identyfikatorów entra firmy Microsoft
|
Importowanie z usługi Microsoft Entra ID nie powiodło się | Operacja importowania z łącznika Microsoft Entra Connector nie powiodła się. | Sprawdź błędy w dzienniku zdarzeń operacji importowania, aby uzyskać więcej szczegółów. |
Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania | Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania. W rezultacie obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Sprawdź błędy dziennika zdarzeń, aby uzyskać więcej szczegółów. |
Niepowodzenie eksportowania do usługi Active Directory | Operacja eksportowania do łącznika usługi Active Directory nie powiodła się. | Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów. |
Importowanie z usługi Active Directory nie powiodło się | Importowanie z usługi Active Directory nie powiodło się. W związku z tym obiekty z niektórych domen z tego lasu mogą nie być importowane. | |
Eksportowanie do usługi Microsoft Entra ID nie powiodło się | Operacja eksportowania do łącznika Entra firmy Microsoft nie powiodła się. W związku z tym niektóre obiekty mogą nie zostać pomyślnie wyeksportowane do identyfikatora Entra firmy Microsoft. | Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów. |
Puls synchronizacji skrótów haseł został pominięty w ciągu ostatnich 120 minut | Synchronizacja skrótów haseł nie jest połączona z identyfikatorem Entra firmy Microsoft w ciągu ostatnich 120 minut. W związku z tym hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft: Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku. 1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK. 2. Znajdź microsoft Entra ID Sync, wybierz go prawym przyciskiem myszy, a następnie wybierz Uruchom ponownie. |
Wykryto wysokie użycie procesora CPU | Procent użycia procesora CPU przekroczył zalecany próg na tym serwerze. |
|
Wykryto wysokie użycie pamięci | Procent użycia pamięci serwera przekracza zalecany próg na tym serwerze. | Sprawdź najważniejsze procesy zużywające najwyższą pamięć na serwerze. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell: get-process | Sort-Object -Descending WS | Select-Object -First 10 Jeśli istnieją nieoczekiwane procesy zużywające wysoką pamięć, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell: stop-process -ProcessName [nazwa procesu] |
Synchronizacja skrótów haseł przestała działać | Synchronizacja skrótów haseł została zatrzymana. W rezultacie hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft: Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
|
Zatrzymano eksportowanie do Microsoft Entra ID. Osiągnięto próg przypadkowego usunięcia | Operacja eksportu do Microsoft Entra ID nie powiodła się. Było więcej obiektów do usunięcia niż skonfigurowany próg. W rezultacie nie wyeksportowano żadnych obiektów. |
|
Alerty dotyczące usług Active Directory Federation Services
Nazwa alertu | opis | Korekty |
---|---|---|
Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu | Żądania uwierzytelniania testowego (transakcje syntetyczne) zainicjowane z tego serwera nie mogą uzyskać tokenu po pięciu ponownych próbach. Może to być spowodowane przejściowymi problemami z siecią, dostępnością kontrolera domeny usług AD DS lub nieprawidłowo skonfigurowanym serwerem usług AD FS. W związku z tym żądania uwierzytelniania przetworzone przez usługę federacyjną mogą zakończyć się niepowodzeniem. Agent używa kontekstu konta komputera lokalnego do uzyskania tokenu z usługi federacyjnej. | Upewnij się, że wykonano następujące kroki w celu zweryfikowania kondycji serwera.
Jeśli nie można rozpoznać nazwy usługi, zapoznaj się z sekcją Często zadawane pytania, aby uzyskać instrukcje dotyczące dodawania wpisu pliku HOSTA usługi AD FS z adresem IP tego serwera. Dzięki temu syntetyczny moduł transakcji uruchomiony na tym serwerze może zażądać tokenu |
Serwer proxy nie może nawiązać połączenia z serwerem federacyjnym | Ten serwer proxy usług AD FS nie może skontaktować się z usługą AD FS. W związku z tym żądania uwierzytelniania przetwarzane przez ten serwer kończą się niepowodzeniem. | Wykonaj następujące kroki, aby zweryfikować łączność między tym serwerem a usługą AD FS.
|
Certyfikat SSL wkrótce wygaśnie | Certyfikat TLS/SSL używany przez serwery federacyjne wkrótce wygaśnie w ciągu 90 dni. Po wygaśnięciu wszystkie żądania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład w przypadku klientów platformy Microsoft 365 klienci poczty nie mogą się uwierzytelniać. | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
W przypadku usług AD FS w systemie Windows Server 2012 R2 i nowszych wersjach: |
Usługa AD FS nie jest uruchomiona na serwerze | Usługa federacyjna Active Directory (usługa systemu Windows) nie jest uruchomiona na tym serwerze. Wszystkie żądania kierowane do tego serwera kończą się niepowodzeniem. | Aby uruchomić usługę federacyjną Active Directory (usługa systemu Windows):
|
System DNS dla usługi federacyjnej może być nieprawidłowo skonfigurowany | Serwer DNS można skonfigurować tak, aby używał rekordu CNAME dla nazwy farmy usług AD FS. Zaleca się używanie rekordu A lub AAAA dla usług AD FS w celu bezproblemowego działania zintegrowanego uwierzytelniania systemu Windows w sieci firmowej. | Upewnij się, że typ rekordu DNS farmy <Farm Name> usług AD FS nie jest CNAME. Skonfiguruj go tak, aby był rekordem A lub AAAA. |
Inspekcja usług AD FS jest wyłączona | Inspekcja usług AD FS jest wyłączona dla serwera. Sekcja Użycie usług AD FS w portalu nie będzie zawierać danych z tego serwera. | Jeśli inspekcje usług AD FS nie są włączone, wykonaj następujące instrukcje:
Po wykonaniu tych kroków zdarzenia inspekcji usług AD FS powinny być widoczne z Podgląd zdarzeń. Aby to sprawdzić:
Jeśli wcześniej wykonałeś te instrukcje, ale nadal widzisz ten alert, możliwe, że Obiekt zasad grupy (GPO) wyłącza inspekcję AD FS. Główną przyczyną może być jedna z następujących przyczyn:
|
Certyfikat SSL usług AD FS jest z podpisem własnym | Obecnie używasz certyfikatu z podpisem własnym jako certyfikatu TLS/SSL w farmie usług AD FS. W związku z tym uwierzytelnianie klienta poczty dla platformy Microsoft 365 kończy się niepowodzeniem | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2: W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: |
Relacja zaufania między serwerem proxy a serwerem federacyjnym jest nieprawidłowa | Nie można ustanowić ani odnowić relacji zaufania między serwerem proxy usługi federacyjnej a usługą federacyjną. | Zaktualizuj certyfikat zaufania serwera proxy na serwerze proxy. Uruchom ponownie Kreatora konfiguracji serwera proxy. |
Wyłączono ochronę blokady ekstranetu dla usług AD FS | Funkcja ochrony blokady ekstranetu jest wyłączona w farmie usług AD FS. Ta funkcja chroni użytkowników przed atakami siłowymi na hasła przed Internetem i uniemożliwia atakom typu "odmowa usługi" na użytkowników, gdy zasady blokady konta usług AD DS obowiązują. Po włączeniu tej funkcji, jeśli liczba nieudanych prób logowania ekstranetu dla użytkownika (próby logowania za pośrednictwem serwera WAP i usług AD FS) przekracza wartość "ExtranetLockoutThreshold", serwery usług AD FS przestaną przetwarzać dalsze próby logowania dla "EkstranetObservationWindow" Zdecydowanie zalecamy włączenie tej funkcji na serwerach usług AD FS. | Uruchom następujące polecenie, aby włączyć ochronę przed blokadą ekstranetu usług AD FS z wartościami domyślnymi. Set-AdfsProperties -EnableExtranetLockout $true Jeśli masz skonfigurowane zasady blokady usługi AD dla użytkowników, upewnij się, że właściwość "ExtranetLockoutThreshold" jest ustawiona na wartość poniżej progu blokady usług AD DS. Dzięki temu żądania, które przekroczyły próg usług AD FS, są odrzucane i nigdy nie są weryfikowane względem serwerów usług AD DS. |
Nieprawidłowa nazwa główna usługi (SPN) dla konta usługi AD FS | Główna nazwa usługi konta usługi federacyjnej nie jest zarejestrowana lub nie jest unikatowa. Z tego powodu zintegrowane uwierzytelnianie Windows może nie być bezproblemowe dla klientów przyłączonych do domeny. | Użyj polecenia [SETSPN -L ServiceAccountName], aby wyświetlić listę jednostek usługi. Użyj polecenia [SETSPN -X], aby sprawdzić zduplikowane nazwy główne usługi. Jeśli nazwa SPN jest duplikowana dla konta usługi AD FS, usuń nazwę SPN z zduplikowanego konta przy użyciu polecenia [SETSPN -d service/namehostname] Jeśli nie ustawiono nazwy SPN, użyj nazwy SPN [SETSPN -s {Desired-SPN} {domain_name}{service_account}], aby ustawić żądaną nazwę SPN dla konta usługi federacyjnej. |
Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wkrótce wygaśnie | Podstawowy certyfikat odszyfrowywania tokenu usług AD FS wkrótce wygaśnie za mniej niż 90 dni. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie mogą uwierzytelniać się w celu uzyskania dostępu do zasobów. | Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu. Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami. Uzyskaj nowy certyfikat odszyfrowywania tokenu.
|
Podstawowy certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie | Certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie w ciągu 90 dni. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. |
Uzyskaj nowy certyfikat podpisywania tokenu.
|
Certyfikat SSL usług AD FS nie znajduje się w lokalnym magazynie certyfikatów | Certyfikat z odciskiem palca skonfigurowanym jako certyfikat TLS/SSL w bazie danych usług AD FS nie został znaleziony w lokalnym magazynie certyfikatów. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu TLS kończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 kończy się niepowodzeniem. | Zainstaluj certyfikat ze skonfigurowanym odciskiem palca w lokalnym magazynie certyfikatów. |
Certyfikat SSL wygasł | Certyfikat TLS/SSL dla usługi AD FS wygasł. W związku z tym wszystkie żądania uwierzytelniania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład: uwierzytelnianie klienta poczty nie może uwierzytelniać się w usłudze Microsoft 365. | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP |
Wymagane punkty końcowe dla identyfikatora Entra firmy Microsoft (dla platformy Microsoft 365) nie są włączone | Następujący zestaw punktów końcowych wymaganych przez usługi Exchange Online Services, Microsoft Entra ID i Microsoft 365 nie są włączone dla usługi federacyjnej: |
Włącz wymagane punkty końcowe dla usług Microsoft Cloud Services w usłudze federacyjnej. W przypadku usług AD FS w systemie Windows Server 2012R2 lub nowszych wersjach |
Serwer federacyjny nie może nawiązać połączenia z bazą danych konfiguracji usług AD FS | Konto usługi AD FS ma problemy podczas nawiązywania połączenia z bazą danych konfiguracji usług AD FS. W związku z tym usługa AD FS na tym komputerze może nie działać zgodnie z oczekiwaniami. | |
Brak wymaganych powiązań SSL lub ich nie skonfigurowano | Powiązania TLS wymagane dla tego serwera federacyjnego do pomyślnego przeprowadzenia uwierzytelniania są błędnie skonfigurowane. W związku z tym usługi AD FS nie mogą przetwarzać żadnych żądań przychodzących. | Dla systemu Windows Server 2012 R2 Otwórz wiersz polecenia administratora z podwyższonym poziomem uprawnień i wykonaj następujące polecenia:
|
Certyfikat główny podpisywania tokenów dla AD FS wygasł | Certyfikat podpisywania tokenu usług AD FS wygasł. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. | Jeśli automatyczne przerzucanie certyfikatów jest włączone, usługi AD FS będą zarządzać aktualizowaniem certyfikatu podpisywania tokenu. Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.
|
Serwer proxy usuwa żądania kontroli przeciążenia | Ten serwer proxy obecnie usuwa żądania z ekstranetu z powodu wyższego niż normalnego opóźnienia między tym serwerem proxy a serwerem federacyjnym. W związku z tym pewna część żądań uwierzytelniania przetworzonych przez serwer proxy usług AD FS może zakończyć się niepowodzeniem. | |
Konto usługi AD FS nie ma dostępu do jednego z kluczy prywatnych certyfikatu. | Konto usługi AD FS nie ma dostępu do klucza prywatnego jednego z certyfikatów usług AD FS na tym komputerze. | Upewnij się, że konto usługi AD FS zapewnia dostęp do certyfikatów TLS, podpisywania tokenu i odszyfrowywania tokenów przechowywanych w magazynie certyfikatów komputera lokalnego.
Otwórz certyfikaty (komputer lokalny)/Osobiste/Certyfikaty.Dla wszystkich certyfikatów używanych przez usługi AD FS:
|
Certyfikat SSL usług AD FS nie ma klucza prywatnego | Certyfikat TLS/SSL usług AD FS został zainstalowany bez klucza prywatnego. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu SSL kończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty e-mail dla platformy Microsoft 365 kończy się niepowodzeniem. | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: |
Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł | Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie mogą uwierzytelniać się w celu uzyskania dostępu do zasobów. | Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu. Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.
|
Alerty dotyczące usług domena usługi Active Directory
Nazwa alertu | opis | Korekty |
---|---|---|
Kontroler domeny jest niemożliwy do osiągnięcia za pośrednictwem polecenia ping LDAP | Kontroler domeny nie jest osiągalny za pośrednictwem polecenia ping LDAP. Może to być spowodowane problemami z siecią lub maszyną. W rezultacie testy LDAP ping kończą się niepowodzeniem. | zapytanie netdom fsmo na kontrolerze domeny, którego dotyczy problem. |
Napotkano błąd replikacji usługi Active Directory | Ten kontroler domeny ma problemy z replikacją, które można znaleźć, przechodząc do pulpitu nawigacyjnego stanu replikacji. Błędy replikacji mogą być spowodowane niewłaściwą konfiguracją lub innymi powiązanymi problemami. Nieleczone błędy replikacji mogą prowadzić do niespójności danych. | Zobacz dodatkowe szczegóły dotyczące nazw źródłowych i docelowych kontrolerów domeny, których dotyczy problem. Przejdź do pulpitu nawigacyjnego Stan replikacji i poszukaj aktywnych błędów na kontrolerach domeny, których dotyczy problem. Wybierz błąd, aby otworzyć blok z bardziej szczegółowymi informacjami na temat korygowania tego konkretnego błędu. |
Kontroler domeny nie może odnaleźć kontrolera PDC | Kontroler PDC nie jest osiągalny za pośrednictwem tego kontrolera domeny. Może to prowadzić do wylogowywanie użytkowników, niezastosowane zmiany zasad grupy i niepowodzenie synchronizacji czasu systemowego. | zapytanie netdom fsmo na kontrolerze domeny, którego dotyczy problem. |
Kontroler domeny nie może odnaleźć serwera wykazu globalnego | Serwer wykazu globalnego nie jest dostępny z tego kontrolera domeny. Spowoduje to nieudane uwierzytelnianie za pośrednictwem tego kontrolera domeny. | Sprawdź listę alertów dla dowolnego kontrolera domeny nie jest anonsowanie alertów, w których serwer, którego dotyczy problem, może być GC. Jeśli nie ma żadnych alertów reklamowych, sprawdź rekordy SRV dla kontrolerów domeny. Możesz je sprawdzić, uruchamiając polecenie: nltest /dnsgetdc: [ForestName] /gc Powinien wyświetlić listę kontrolerów domeny jako GCs. Jeśli lista jest pusta, sprawdź konfigurację DNS, aby upewnić się, że kontroler domeny zarejestrował rekordy SRV. Kontroler domeny jest w stanie znaleźć je w systemie DNS. Aby uzyskać informacje na temat rozwiązywania problemów z wykazami globalnymi, zobacz Anonsowanie jako serwer wykazu globalnego. |
Kontroler domeny nie może nawiązać połączenia z lokalnym udziałem sysvol | Sysvol zawiera ważne elementy z obiektów zasad grupy i skryptów, które mają być dystrybuowane w kontrolerach domeny. Kontroler domeny nie będzie anonsować się jako kontroler domeny i zasady grupy nie zostaną zastosowane. | Zobacz Jak rozwiązywać problemy z brakującymi udziałami sysvol i Netlogon |
Czas kontrolera domeny nie jest zsynchronizowany | Czas na tym kontrolerze domeny znajduje się poza normalnym zakresem niesymetryczności czasu. W związku z tym uwierzytelnianie Kerberos kończy się niepowodzeniem. | net stop w32time następnie net start w32time na kontrolerze domeny, którego dotyczy problem. w32tm /resync na kontrolerze domeny, którego dotyczy problem. |
Kontroler domeny nie reklamuje | Ten kontroler domeny nie jest prawidłowo reklamowane ról, które mogą wykonywać. Może to być spowodowane problemami z replikacją, błędną konfiguracją DNS, nieuruchomieniem krytycznych usług lub z powodu braku w pełni zainicjowanego serwera. W związku z tym kontrolery domeny, elementy członkowskie domeny i inne urządzenia nie mogą zlokalizować tego kontrolera domeny. Ponadto inne kontrolery domeny mogą nie być w stanie replikować z tego kontrolera domeny. | Sprawdź listę alertów dla innych powiązanych alertów, takich jak: Replikacja jest uszkodzona. Czas kontrolera domeny nie jest zsynchronizowany. Usługa Netlogon nie jest uruchomiona. Usługi DFSR i/lub NTFRS nie są uruchomione. Identyfikowanie i rozwiązywanie powiązanych problemów z systemem DNS: zaloguj się do kontrolera domeny, którego dotyczy problem. Otwórz dziennik zdarzeń systemu. Jeśli występują zdarzenia 5774, 5775 lub 5781, zobacz Rozwiązywanie problemów z niepowodzeniem rejestracji rekordów DNS lokalizatora kontrolera domeny Identyfikowanie i rozwiązywanie powiązanych problemów z usługą Czas systemu Windows: Upewnij się, że usługa Czas systemu Windows jest uruchomiona: Uruchom polecenie "net start w32time" na kontrolerze domeny, którego dotyczy problem. Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie "net stop w32time", a następnie "net start w32time" na kontrolerze domeny, którego dotyczy problem. |
Usługa GPSVC nie jest uruchomiona | Jeśli usługa zostanie zatrzymana lub wyłączona, ustawienia skonfigurowane przez administratora nie będą stosowane, a aplikacje i składniki nie będą możliwe do zarządzania za pomocą zasad grupy. Wszystkie składniki lub aplikacje, które zależą od składnika zasad grupy, mogą nie działać, jeśli usługa jest wyłączona. | Uruchom polecenie net uruchom gpsvc na kontrolerze domeny, którego dotyczy problem. |
Usługi DFSR i/lub NTFRS nie są uruchomione | Jeśli usługi DFSR i NTFRS zostaną zatrzymane, kontrolery domeny nie mogą replikować danych sysvol. dane sysvol nie będą spójne. |
|
Usługa Netlogon nie jest uruchomiona | Żądania logowania, rejestracja, uwierzytelnianie i lokalizowanie kontrolerów domeny będą niedostępne na tym kontrolerze domeny. | Uruchom polecenie "net start netlogon" na kontrolerze domeny, którego dotyczy problem |
Usługa W32Time nie jest uruchomiona | Jeśli usługa czasowa systemu Windows zostanie zatrzymana, synchronizacja daty i godziny będzie niedostępna. Jeśli ta usługa jest wyłączona, nie można uruchomić żadnych usług, które jawnie zależą od niej. | Uruchom polecenie "net start win32Time" na kontrolerze domeny, którego dotyczy problem |
Usługa ADWS nie jest uruchomiona | Jeśli usługa usług sieci Web Active Directory jest zatrzymana lub wyłączona, aplikacje klienckie, takie jak program PowerShell usługi Active Directory, nie mogą uzyskiwać dostępu do żadnych wystąpień usługi katalogowej uruchomionych lokalnie na tym serwerze ani zarządzać nimi. | Uruchom polecenie "net start adws" na kontrolerze domeny, którego dotyczy problem |
Główny kontroler PDC nie jest synchronizowany z serwera NTP | Jeśli nie skonfigurujesz emulatora kontrolera PDC do synchronizacji czasu z zewnętrznego lub wewnętrznego źródła czasu, używa on swojego wewnętrznego zegara i sam jest niezawodnym źródłem czasu dla lasu. Jeśli czas nie jest dokładny na samym kontrolerze PDC, wszystkie komputery będą miały nieprawidłowe ustawienia czasu. | Na kontrolerze domeny, którego dotyczy problem, otwórz wiersz polecenia. Zatrzymaj usługę Czas: net stop w32time w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes Uwaga: zastąp time.windows.com adresem żądanego źródła czasu zewnętrznego. Uruchom usługę Czas: net start w32time |
Kontroler domeny jest poddawany kwarantannie | Ten kontroler domeny nie jest połączony z żadnym z innych działających kontrolerów domeny. Może to być spowodowane niewłaściwą konfiguracją. W związku z tym ten kontroler domeny nie jest używany i nie będzie replikowany z/do nikogo. | Włącz replikację ruchu przychodzącego i wychodzącego: uruchom polecenie "repadmin /options ServerName -DISABLE_INBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Uruchom polecenie "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Utwórz nowe połączenie replikacji z innym kontrolerem domeny:
|
Replikacja wychodząca jest wyłączona | Kontrolery domeny z wyłączoną replikacją wychodzącą nie mogą dystrybuować żadnych zmian pochodzących z siebie samego. | Aby włączyć replikację wychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie wybierz przycisk OK. Wpisz następujący tekst, a następnie naciśnij ENTER: repadmin /options -DISABLE_OUTBOUND_REPL |
Replikacja przychodząca jest wyłączona | Kontrolery domeny z wyłączoną replikacją przychodzącą nie będą miały najnowszych informacji. Ten warunek może prowadzić do niepowodzeń logowania. | Aby włączyć replikację przychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie wybierz przycisk OK. Wpisz następujący tekst, a następnie naciśnij ENTER: repadmin /options -DISABLE_INBOUND_REPL |
Usługa LanmanServer nie jest uruchomiona | Jeśli ta usługa jest wyłączona, nie można uruchomić żadnych usług, które jawnie zależą od niej. | Uruchom polecenie "net start LanManServer" na kontrolerze domeny, którego dotyczy problem. |
Usługa Centrum dystrybucji kluczy Kerberos nie jest uruchomiona | Jeśli usługa KDC jest zatrzymana, użytkownicy nie mogą uwierzytelniać się za pośrednictwem tego kontrolera domeny przy użyciu protokołu uwierzytelniania Kerberos v5. | Uruchom polecenie "net start kdc" na kontrolerze domeny, którego dotyczy problem. |
Usługa DNS nie jest uruchomiona | Jeśli usługa DNS zostanie zatrzymana, komputery i użytkownicy korzystający z tego serwera do celów DNS nie mogą znaleźć zasobów. | Uruchom polecenie "net start dns" na kontrolerze domeny, którego dotyczy problem. |
Kontroler domeny miał wycofywanie numerów USN | Po wycofaniu numerów USN modyfikacje obiektów i atrybutów nie są replikowane przez docelowe kontrolery domeny, które wcześniej widziały numer USN. Ponieważ te docelowe kontrolery domeny uważają, że są aktualne, w dziennikach zdarzeń Usługi katalogowej ani w narzędziach do monitorowania i diagnostyki nie są zgłaszane żadne błędy replikacji. Wycofywanie numerów USN może mieć wpływ na replikację dowolnego obiektu lub atrybutu w dowolnej partycji. Najczęściej obserwowanym skutkiem ubocznym jest to, że konta użytkowników i konta komputerów utworzone na kontrolerze domeny z wycofywaniem nie istnieją u co najmniej jednego partnera replikacji. Albo aktualizacje haseł pochodzące od kontrolera domeny próbnego przywracania nie są dostępne u partnerów replikacji. | Istnieją dwa podejścia do odzyskania po wycofaniu numerów USN: Usuń kontroler domeny z domeny, wykonując następujące kroki:
Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli utworzono prawidłową kopię zapasową stanu systemu przed nieprawidłowym przywróceniem kontrolera domeny, a kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej. Migawkę można również użyć jako źródła kopii zapasowej. Możesz też ustawić bazę danych, aby nadać sobie nowy identyfikator wywołania przy użyciu procedury w sekcji "Aby przywrócić poprzednią wersję wirtualnego dysku twardego kontrolera domeny bez kopii zapasowej danych stanu systemu" w tym artykule |