Udostępnij za pośrednictwem


Katalog alertów programu Microsoft Entra Connect Health

Usługa Microsoft Entra Connect Health wysyła alerty wskazujące, że infrastruktura tożsamości nie jest w dobrej kondycji. Ten artykuł zawiera tytuły alertów, opisy i kroki korygowania dla każdego alertu.
Błędy, Ostrzeżenie i Wstępnewarowanie to trzy etapy alertów generowanych z poziomu usługi Connect Health. Zdecydowanie zalecamy natychmiastowe wykonywanie akcji dotyczących wyzwolonych alertów.
Alerty programu Microsoft Entra Connect Health są rozwiązywane w warunku powodzenia. Agenci programu Microsoft Entra Connect Health okresowo wykrywają i zgłaszają warunki powodzenia w usłudze. W przypadku kilku alertów pomijanie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.

Ogólne Alerty

Nazwa alertu opis Korekty
Dane usługi kondycji nie są aktualne Co najmniej jeden agent zdrowia uruchomiony na co najmniej jednym serwerze nie jest połączony z usługą zdrowotną, a usługa zdrowotna nie otrzymuje najnowszych danych z tego serwera. Ostatnie dane przetwarzane przez Usługa kondycji są starsze niż 2 godziny. Upewnij się, że agenci kondycji mają łączność wychodzącą z wymaganymi punktami końcowymi usługi. Przeczytaj więcej

Alerty dotyczące programu Microsoft Entra Connect (synchronizacja)

Nazwa alertu opis Korekty
Usługa synchronizacji programu Microsoft Entra Connect nie jest uruchomiona Usługa Microsoft Entra ID Sync systemu Windows nie jest uruchomiona lub nie można jej uruchomić. W związku z tym obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchamianie usług synchronizacji identyfikatorów entra firmy Microsoft
  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK.
  2. Znajdź usługę Microsoft Entra ID Sync, a następnie sprawdź, czy usługa została uruchomiona. Jeśli usługa nie została uruchomiona, wybierz ją prawym przyciskiem wyboru, a następnie wybierz pozycję Uruchom.
Importowanie z usługi Microsoft Entra ID nie powiodło się Operacja importowania z łącznika Microsoft Entra Connector nie powiodła się. Sprawdź błędy w dzienniku zdarzeń operacji importowania, aby uzyskać więcej szczegółów.
Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania. W rezultacie obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Sprawdź błędy dziennika zdarzeń, aby uzyskać więcej szczegółów.
Niepowodzenie eksportowania do usługi Active Directory Operacja eksportowania do łącznika usługi Active Directory nie powiodła się. Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów.
Importowanie z usługi Active Directory nie powiodło się Importowanie z usługi Active Directory nie powiodło się. W związku z tym obiekty z niektórych domen z tego lasu mogą nie być importowane.
  • Weryfikowanie łączności kontrolera domeny
  • Ręczne ponowne uruchamianie importu
  • Aby uzyskać więcej szczegółów, zbadaj błędy dziennika zdarzeń operacji importowania.
  • Eksportowanie do usługi Microsoft Entra ID nie powiodło się Operacja eksportowania do łącznika Entra firmy Microsoft nie powiodła się. W związku z tym niektóre obiekty mogą nie zostać pomyślnie wyeksportowane do identyfikatora Entra firmy Microsoft. Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów.
    Puls synchronizacji skrótów haseł został pominięty w ciągu ostatnich 120 minut Synchronizacja skrótów haseł nie jest połączona z identyfikatorem Entra firmy Microsoft w ciągu ostatnich 120 minut. W związku z tym hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft:
    Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK.
    2. Znajdź microsoft Entra ID Sync, wybierz go prawym przyciskiem myszy, a następnie wybierz Uruchom ponownie.
    Wykryto wysokie użycie procesora CPU Procent użycia procesora CPU przekroczył zalecany próg na tym serwerze.
  • Może to być tymczasowy wzrost użycia procesora CPU. Sprawdź trend użycia procesora CPU w sekcji Monitorowanie.
  • Sprawdź najważniejsze procesy korzystające z najwyższego użycia procesora CPU na serwerze.
    1. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Jeśli istnieją nieoczekiwane procesy zużywające wysokie użycie procesora CPU, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell:
      stop-process -ProcessName [nazwa procesu]
  • Jeśli procesy widoczne na poprzedniej liście to zamierzone procesy uruchomione na serwerze, a użycie procesora CPU jest stale zbliżone do progu, rozważ ponowne oszacowanie wymagań dotyczących wdrażania tego serwera.
  • Jako opcję bezpieczną w trybie fail-safe możesz rozważyć ponowne uruchomienie serwera.
  • Wykryto wysokie użycie pamięci Procent użycia pamięci serwera przekracza zalecany próg na tym serwerze. Sprawdź najważniejsze procesy zużywające najwyższą pamięć na serwerze. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Jeśli istnieją nieoczekiwane procesy zużywające wysoką pamięć, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell:
    stop-process -ProcessName [nazwa procesu]
  • Jeśli procesy widoczne na poprzedniej liście są zamierzonymi procesami uruchomionymi na serwerze, rozważ ponowne oszacowanie wymagań dotyczących wdrażania tego serwera.
  • W przypadku opcji awaryjnej warto rozważyć ponowne uruchomienie serwera.
  • Synchronizacja skrótów haseł przestała działać Synchronizacja skrótów haseł została zatrzymana. W rezultacie hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft:
    Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
    1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz Services.msc, a następnie wybierz pozycję OK.
    2. Znajdź Microsoft Entra ID Sync, kliknij ją prawym przyciskiem myszy, a następnie wybierz Uruchom ponownie.

    Zatrzymano eksportowanie do Microsoft Entra ID. Osiągnięto próg przypadkowego usunięcia Operacja eksportu do Microsoft Entra ID nie powiodła się. Było więcej obiektów do usunięcia niż skonfigurowany próg. W rezultacie nie wyeksportowano żadnych obiektów.
  • Liczba obiektów oznaczonych do usunięcia jest większa niż ustawiony próg. Upewnij się, że ten wynik jest pożądany.
  • Aby zezwolić na kontynuowanie eksportowania, wykonaj następujące kroki:
    1. Wyłącz próg, uruchamiając polecenie Disable-ADSyncExportDeletionThreshold
    2. Uruchamianie programu Synchronization Service Manager
    3. Uruchamianie eksportu łącznika z typem = Microsoft Entra ID
    4. Po pomyślnym wyeksportowaniu obiektów włącz opcję Próg, uruchamiając polecenie Enable-ADSyncExportDeletionThreshold
  • Alerty dotyczące usług Active Directory Federation Services

    Nazwa alertu opis Korekty
    Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu Żądania uwierzytelniania testowego (transakcje syntetyczne) zainicjowane z tego serwera nie mogą uzyskać tokenu po pięciu ponownych próbach. Może to być spowodowane przejściowymi problemami z siecią, dostępnością kontrolera domeny usług AD DS lub nieprawidłowo skonfigurowanym serwerem usług AD FS. W związku z tym żądania uwierzytelniania przetworzone przez usługę federacyjną mogą zakończyć się niepowodzeniem. Agent używa kontekstu konta komputera lokalnego do uzyskania tokenu z usługi federacyjnej. Upewnij się, że wykonano następujące kroki w celu zweryfikowania kondycji serwera.
    1. Sprawdź, czy nie ma żadnych dodatkowych nierozwiązanych alertów dla tych lub innych serwerów usług AD FS w farmie.
    2. Sprawdź, czy ten problem nie jest błędem tymczasowym, logując się jako użytkownik testowy ze strony logowania do AD FS dostępnej pod adresem https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Przejdź do https://testconnectivity.microsoft.com strony i wybierz kartę "Office 365". Wykonaj test logowania jednokrotnego usługi Office 365.
    4. Sprawdź, czy nazwę usługi AD FS można rozpoznać z tego serwera, wykonując następujące polecenie z wiersza polecenia na tym serwerze. your_adfs_server_name nslookup

    Jeśli nie można rozpoznać nazwy usługi, zapoznaj się z sekcją Często zadawane pytania, aby uzyskać instrukcje dotyczące dodawania wpisu pliku HOSTA usługi AD FS z adresem IP tego serwera. Dzięki temu syntetyczny moduł transakcji uruchomiony na tym serwerze może zażądać tokenu

    Serwer proxy nie może nawiązać połączenia z serwerem federacyjnym Ten serwer proxy usług AD FS nie może skontaktować się z usługą AD FS. W związku z tym żądania uwierzytelniania przetwarzane przez ten serwer kończą się niepowodzeniem. Wykonaj następujące kroki, aby zweryfikować łączność między tym serwerem a usługą AD FS.
    1. Upewnij się, że zapora między tym serwerem a usługą AD FS została prawidłowo skonfigurowana.
    2. Upewnij się, że rozpoznawanie nazw usług AD FS dla usługi AD FS odpowiednio wskazuje usługę AD FS, która znajduje się w sieci firmowej. Można to osiągnąć za pośrednictwem serwera DNS, który obsługuje ten serwer w sieci obwodowej lub za pośrednictwem wpisów w plikach HOSTS dla nazwy usługi AD FS.
    3. Zweryfikuj łączność sieciową, otwierając przeglądarkę na tym serwerze i korzystając z punktu końcowego metadanych federacji, który znajduje się w lokalizacji https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Certyfikat SSL wkrótce wygaśnie Certyfikat TLS/SSL używany przez serwery federacyjne wkrótce wygaśnie w ciągu 90 dni. Po wygaśnięciu wszystkie żądania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład w przypadku klientów platformy Microsoft 365 klienci poczty nie mogą się uwierzytelniać. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj certyfikat TLS/SSL z następującymi wymaganiami.
      1. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
      2. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    2. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    3. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 i nowszych wersjach:

  • Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP
  • Usługa AD FS nie jest uruchomiona na serwerze Usługa federacyjna Active Directory (usługa systemu Windows) nie jest uruchomiona na tym serwerze. Wszystkie żądania kierowane do tego serwera kończą się niepowodzeniem. Aby uruchomić usługę federacyjną Active Directory (usługa systemu Windows):
    1. Zaloguj się do komputera jako administrator.
    2. Otwórz plik services.msc
    3. Znajdź "Active Directory Federation Services"
    4. Kliknij prawym przyciskiem myszy i wybierz "Start"
    System DNS dla usługi federacyjnej może być nieprawidłowo skonfigurowany Serwer DNS można skonfigurować tak, aby używał rekordu CNAME dla nazwy farmy usług AD FS. Zaleca się używanie rekordu A lub AAAA dla usług AD FS w celu bezproblemowego działania zintegrowanego uwierzytelniania systemu Windows w sieci firmowej. Upewnij się, że typ rekordu DNS farmy <Farm Name> usług AD FS nie jest CNAME. Skonfiguruj go tak, aby był rekordem A lub AAAA.
    Inspekcja usług AD FS jest wyłączona Inspekcja usług AD FS jest wyłączona dla serwera. Sekcja Użycie usług AD FS w portalu nie będzie zawierać danych z tego serwera. Jeśli inspekcje usług AD FS nie są włączone, wykonaj następujące instrukcje:
    1. Udziel kontu usług AD FS "Generowanie inspekcji zabezpieczeń" bezpośrednio na serwerze usług AD FS.
    2. Otwórz lokalne zasady zabezpieczeń na serwerze gpedit.msc.
    3. Przejdź do pozycji "Konfiguracja komputera\Ustawienia systemu Windows\Zasady lokalne\Przypisanie praw użytkownika"
    4. Dodaj konto usługi AD FS, aby mieć prawo "Generowanie inspekcji zabezpieczeń".
    5. Uruchom następujące polecenie w wierszu polecenia:
      auditpol.exe /set /subcategory:"Wygenerowana aplikacja" /failure:enable /success:enable
    6. Zaktualizuj właściwości usługi federacyjnej, aby uwzględnić inspekcje sukcesów i niepowodzeń.
    7. W konsoli usług AD FS wybierz pozycję "Edytuj właściwości usługi federacyjnej"
    8. W oknie dialogowym "Właściwości usługi federacyjnej" wybierz kartę Zdarzenia i wybierz pozycję "Inspekcje powodzenia" i "Inspekcje niepowodzeń"

    Po wykonaniu tych kroków zdarzenia inspekcji usług AD FS powinny być widoczne z Podgląd zdarzeń. Aby to sprawdzić:

    1. Przejdź do pozycji Podgląd zdarzeń/ Dzienniki systemu Windows /Zabezpieczenia.
    2. Wybierz pozycję Filtruj bieżące dzienniki i wybierz pozycję Inspekcja usług AD FS z listy rozwijanej Źródła zdarzeń. W przypadku aktywnego serwera usług AD FS z włączoną inspekcją usług AD FS zdarzenia powinny być widoczne do filtrowania.

    Jeśli wcześniej wykonałeś te instrukcje, ale nadal widzisz ten alert, możliwe, że Obiekt zasad grupy (GPO) wyłącza inspekcję AD FS. Główną przyczyną może być jedna z następujących przyczyn:

    1. Konto usług AD FS jest usuwane z prawa do generowania inspekcji zabezpieczeń.
    2. Skrypt niestandardowy w obiekcie zasad grupy wyłącza inspekcje powodzenia i niepowodzeń na podstawie "Wygenerowano aplikację".
    3. Konfiguracja usług AD FS nie jest włączona do generowania inspekcji powodzenia/niepowodzenia.
    Certyfikat SSL usług AD FS jest z podpisem własnym Obecnie używasz certyfikatu z podpisem własnym jako certyfikatu TLS/SSL w farmie usług AD FS. W związku z tym uwierzytelnianie klienta poczty dla platformy Microsoft 365 kończy się niepowodzeniem

    Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.

    1. Uzyskaj publicznie zaufany certyfikat TLS/SSL z następującymi wymaganiami.
    2. Plik instalacyjny certyfikatu zawiera jego klucz prywatny.
    3. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
    4. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com

    Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.

      Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu.
      W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
    1. Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    2. W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach:
    3. Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    Relacja zaufania między serwerem proxy a serwerem federacyjnym jest nieprawidłowa Nie można ustanowić ani odnowić relacji zaufania między serwerem proxy usługi federacyjnej a usługą federacyjną. Zaktualizuj certyfikat zaufania serwera proxy na serwerze proxy. Uruchom ponownie Kreatora konfiguracji serwera proxy.
    Wyłączono ochronę blokady ekstranetu dla usług AD FS Funkcja ochrony blokady ekstranetu jest wyłączona w farmie usług AD FS. Ta funkcja chroni użytkowników przed atakami siłowymi na hasła przed Internetem i uniemożliwia atakom typu "odmowa usługi" na użytkowników, gdy zasady blokady konta usług AD DS obowiązują. Po włączeniu tej funkcji, jeśli liczba nieudanych prób logowania ekstranetu dla użytkownika (próby logowania za pośrednictwem serwera WAP i usług AD FS) przekracza wartość "ExtranetLockoutThreshold", serwery usług AD FS przestaną przetwarzać dalsze próby logowania dla "EkstranetObservationWindow" Zdecydowanie zalecamy włączenie tej funkcji na serwerach usług AD FS. Uruchom następujące polecenie, aby włączyć ochronę przed blokadą ekstranetu usług AD FS z wartościami domyślnymi.
    Set-AdfsProperties -EnableExtranetLockout $true

    Jeśli masz skonfigurowane zasady blokady usługi AD dla użytkowników, upewnij się, że właściwość "ExtranetLockoutThreshold" jest ustawiona na wartość poniżej progu blokady usług AD DS. Dzięki temu żądania, które przekroczyły próg usług AD FS, są odrzucane i nigdy nie są weryfikowane względem serwerów usług AD DS.
    Nieprawidłowa nazwa główna usługi (SPN) dla konta usługi AD FS Główna nazwa usługi konta usługi federacyjnej nie jest zarejestrowana lub nie jest unikatowa. Z tego powodu zintegrowane uwierzytelnianie Windows może nie być bezproblemowe dla klientów przyłączonych do domeny. Użyj polecenia [SETSPN -L ServiceAccountName], aby wyświetlić listę jednostek usługi.
    Użyj polecenia [SETSPN -X], aby sprawdzić zduplikowane nazwy główne usługi.

    Jeśli nazwa SPN jest duplikowana dla konta usługi AD FS, usuń nazwę SPN z zduplikowanego konta przy użyciu polecenia [SETSPN -d service/namehostname]

    Jeśli nie ustawiono nazwy SPN, użyj nazwy SPN [SETSPN -s {Desired-SPN} {domain_name}{service_account}], aby ustawić żądaną nazwę SPN dla konta usługi federacyjnej.

    Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wkrótce wygaśnie Podstawowy certyfikat odszyfrowywania tokenu usług AD FS wkrótce wygaśnie za mniej niż 90 dni. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie mogą uwierzytelniać się w celu uzyskania dostępu do zasobów. Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami. Uzyskaj nowy certyfikat odszyfrowywania tokenu.

    1. Upewnij się, że ulepszone użycie klucza (EKU) obejmuje "Szyfrowanie klucza"
    2. Podmiot lub Alternatywna Nazwa Podmiotu (SAN) nie ma żadnych ograniczeń.
    3. Należy pamiętać, że partnerzy dostawcy usług federacyjnych i oświadczeń muszą mieć możliwość łączenia się z zaufanym głównym urzędem certyfikacji podczas weryfikowania certyfikatu odszyfrowywania tokenów.
    Zdecyduj, w jaki sposób partnerzy dostawcy oświadczeń będą ufać nowemu certyfikatowi odszyfrowywania tokenów
    1. Poproś partnerów o ściągnięcie metadanych federacji po zaktualizowaniu certyfikatu.
    2. Udostępnij klucz publiczny nowego certyfikatu. (.cer pliku) z partnerami. Na serwerze usług AD FS partnera dostawcy oświadczeń uruchom zarządzanie usługami AD FS z menu Narzędzia administracyjne. W obszarze Relacje zaufania/Relacje jednostki uzależnionej wybierz zaufanie, które zostało utworzone dla Ciebie. W obszarze Właściwości/Szyfrowanie wybierz pozycję "Przeglądaj", aby wybrać nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
    • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.Dodaj nowy certyfikat do usług AD FS.
    1. Uruchamianie zarządzania usługami AD FS z menu Narzędzia administracyjne
    2. Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
    3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Decrypting
    4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla odszyfrowywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego z skojarzonym kluczem prywatnym, a certyfikat ma szyfrowanie klucza jako rozszerzone użycie klucza.
    5. Wybierz nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    Ustaw nowy certyfikat odszyfrowywania tokenów jako podstawowy.
    1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Odszyfrowywanie tokenów: istniejący i nowy certyfikat.
    2. Wybierz nowy certyfikat Token-Decrypting, kliknij prawym przyciskiem myszy i ustaw jako podstawowy.
    3. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przeniesienia, albo gdy certyfikat wygasł.
    Podstawowy certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie Certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie w ciągu 90 dni. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. Uzyskaj nowy certyfikat podpisywania tokenu.
    1. Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Podpis cyfrowy"
    2. Alternatywna nazwa podmiotu lub podmiotu (SAN) nie ma żadnych ograniczeń.
    3. Należy pamiętać, że serwery federacyjne, serwery federacyjne partnera zasobów i serwery aplikacji jednostki uzależnionej muszą być w stanie połączyć się z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu podpisywania tokenu.
    Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
    • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.Dodaj nowy certyfikat do usług AD FS.
    1. Uruchom program AD FS Management z menu Narzędzia administracyjne.
    2. Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
    3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Signing...
    4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla podpisywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w osobistym magazynie komputera lokalnego z przypisanym kluczem prywatnym, a certyfikat ma podpis cyfrowy KU.
    5. Wybierz nowy certyfikat Token-Signing i wybierz przycisk OK
    Poinformuj wszystkie jednostki uzależnione o zmianie certyfikatu podpisywania tokenu.
    1. Jednostki uzależnione korzystające z metadanych federacji usług AD FS muszą ściągnąć nowe metadane federacji, aby rozpocząć korzystanie z nowego certyfikatu.
    2. Jednostki uzależnione, które nie używają metadanych federacji usług AD FS, muszą ręcznie zaktualizować klucz publiczny nowego certyfikatu podpisywania tokenu. Udostępnij plik .cer stronom uzależnionym.
    3. Ustaw nowy certyfikat podpisywania tokenu jako podstawowy.
      1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Podpisywanie tokenów: istniejący i nowy certyfikat.
      2. Wybierz nowy certyfikat Token-Signing, kliknij prawym przyciskiem myszy i wybierz Ustaw jako podstawowy
      3. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, kiedy jesteś pewien, że nie jest już potrzebny do przekierowania albo kiedy certyfikat wygasł. Pamiętaj, że sesje logowania jednokrotnego bieżącego użytkownika są podpisane. Bieżące relacje zaufania serwera proxy usług AD FS korzystają z tokenów podpisanych i zaszyfrowanych przy użyciu starego certyfikatu.
    Certyfikat SSL usług AD FS nie znajduje się w lokalnym magazynie certyfikatów Certyfikat z odciskiem palca skonfigurowanym jako certyfikat TLS/SSL w bazie danych usług AD FS nie został znaleziony w lokalnym magazynie certyfikatów. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu TLS kończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 kończy się niepowodzeniem. Zainstaluj certyfikat ze skonfigurowanym odciskiem palca w lokalnym magazynie certyfikatów.
    Certyfikat SSL wygasł Certyfikat TLS/SSL dla usługi AD FS wygasł. W związku z tym wszystkie żądania uwierzytelniania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład: uwierzytelnianie klienta poczty nie może uwierzytelniać się w usłudze Microsoft 365. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj certyfikat TLS/SSL z następującymi wymaganiami.
    2. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
    3. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    4. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    5. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP

    Wymagane punkty końcowe dla identyfikatora Entra firmy Microsoft (dla platformy Microsoft 365) nie są włączone Następujący zestaw punktów końcowych wymaganych przez usługi Exchange Online Services, Microsoft Entra ID i Microsoft 365 nie są włączone dla usługi federacyjnej:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
  • Włącz wymagane punkty końcowe dla usług Microsoft Cloud Services w usłudze federacyjnej.
    W przypadku usług AD FS w systemie Windows Server 2012R2 lub nowszych wersjach
  • Zapoznaj się z tematem: Zarządzanie certyfikatami SSL w usługach AD FS i WAP
  • Serwer federacyjny nie może nawiązać połączenia z bazą danych konfiguracji usług AD FS Konto usługi AD FS ma problemy podczas nawiązywania połączenia z bazą danych konfiguracji usług AD FS. W związku z tym usługa AD FS na tym komputerze może nie działać zgodnie z oczekiwaniami.
  • Upewnij się, że konto usługi AD FS ma dostęp do bazy danych konfiguracji.
  • Upewnij się, że usługa bazy danych konfiguracji usług AD FS jest dostępna i osiągalna.
  • Brak wymaganych powiązań SSL lub ich nie skonfigurowano Powiązania TLS wymagane dla tego serwera federacyjnego do pomyślnego przeprowadzenia uwierzytelniania są błędnie skonfigurowane. W związku z tym usługi AD FS nie mogą przetwarzać żadnych żądań przychodzących. Dla systemu Windows Server 2012 R2
    Otwórz wiersz polecenia administratora z podwyższonym poziomem uprawnień i wykonaj następujące polecenia:
    1. Aby wyświetlić bieżące powiązanie protokołu TLS: Get-AdfsSslCertificate
    2. Aby dodać nowe powiązania: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Certyfikat główny podpisywania tokenów dla AD FS wygasł Certyfikat podpisywania tokenu usług AD FS wygasł. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. Jeśli automatyczne przerzucanie certyfikatów jest włączone, usługi AD FS będą zarządzać aktualizowaniem certyfikatu podpisywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.

    1. Uzyskaj nowy certyfikat podpisywania tokenu.
      1. Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Podpis cyfrowy"
      2. Alternatywna nazwa podmiotu lub podmiotu (SAN) nie ma żadnych ograniczeń.
      3. Pamiętaj, że serwery federacyjne, serwery federacyjne partnera zasobów i serwery aplikacji jednostki uzależnionej muszą być w stanie połączyć się z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu podpisywania tokenu.
    2. Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
      • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    3. Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.
    4. Dodaj nowy certyfikat do usług AD FS.
      1. Uruchom program AD FS Management z menu Narzędzia administracyjne.
      2. Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
      3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Signing...
      4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla podpisywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego ze skojarzonym kluczem prywatnym, a certyfikat ma ku podpis cyfrowy.
      5. Wybierz nowy certyfikat Token-Signing i wybierz przycisk OK
    5. Poinformuj wszystkie jednostki uzależnione o zmianie certyfikatu podpisywania tokenu.
      1. Jednostki uzależnione korzystające z metadanych federacji usług AD FS muszą ściągnąć nowe metadane federacji, aby rozpocząć korzystanie z nowego certyfikatu.
      2. Jednostki uzależnione, które nie używają metadanych federacji usług AD FS, muszą ręcznie zaktualizować klucz publiczny nowego certyfikatu podpisywania tokenu. Udostępnij plik .cer stronom uzależnionym.
    6. Ustaw nowy certyfikat podpisywania tokenu jako podstawowy.
      1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Podpisywanie tokenów: istniejący i nowy certyfikat.
      2. Wybierz nowy certyfikat Token-Signing, kliknij prawym przyciskiem myszy i wybierz Ustaw jako podstawowy
      3. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do odnowienia, lub gdyby certyfikat wygasł. Pamiętaj, że sesje logowania jednokrotnego bieżącego użytkownika są podpisane. Bieżące relacje zaufania serwera proxy usług AD FS korzystają z tokenów podpisanych i zaszyfrowanych przy użyciu starego certyfikatu.
    Serwer proxy usuwa żądania kontroli przeciążenia Ten serwer proxy obecnie usuwa żądania z ekstranetu z powodu wyższego niż normalnego opóźnienia między tym serwerem proxy a serwerem federacyjnym. W związku z tym pewna część żądań uwierzytelniania przetworzonych przez serwer proxy usług AD FS może zakończyć się niepowodzeniem.
  • Sprawdź, czy opóźnienie sieci między federacyjnym serwerem proxy a serwerami federacyjnym mieści się w dopuszczalnym zakresie. Zapoznaj się z sekcją Monitorowanie, aby uzyskać informacje o popularnych wartościach "Opóźnienie żądania tokenu". Opóźnienie większe niż [1500 ms] należy uznać za duże opóźnienie. Jeśli występuje duże opóźnienie, upewnij się, że sieć między usługami AD FS i serwerami proxy usług AD FS nie ma żadnych problemów z łącznością.
  • Upewnij się, że serwery federacyjne nie są przeciążone żądaniami uwierzytelniania. Sekcja monitorowania zawiera popularne widoki żądań tokenów na sekundę, wykorzystanie procesora CPU i zużycie pamięci.
  • Jeśli powyższe elementy zostały zweryfikowane i ten problem jest nadal widoczny, dostosuj ustawienie unikania przeciążenia na każdym z serwerów federacyjnych serwerów proxy zgodnie ze wskazówkami z powiązanych linków.
  • Konto usługi AD FS nie ma dostępu do jednego z kluczy prywatnych certyfikatu. Konto usługi AD FS nie ma dostępu do klucza prywatnego jednego z certyfikatów usług AD FS na tym komputerze. Upewnij się, że konto usługi AD FS zapewnia dostęp do certyfikatów TLS, podpisywania tokenu i odszyfrowywania tokenów przechowywanych w magazynie certyfikatów komputera lokalnego.
    1. W wierszu polecenia wpisz MMC.
    2. Przejdź do pozycji File-Add/Remove Snap-In (Dodaj/>Usuń przystawkę)
    3. Wybierz pozycję Certyfikaty i wybierz pozycję Dodaj. -> Wybierz konto komputera i wybierz przycisk Dalej. -> Wybierz komputer lokalny i wybierz przycisk Zakończ. Wybierz przycisk OK.

    Otwórz certyfikaty (komputer lokalny)/Osobiste/Certyfikaty.Dla wszystkich certyfikatów używanych przez usługi AD FS:
    1. Wybierz prawym przyciskiem certyfikat.
    2. Wybierz pozycję Wszystkie zadania —> zarządzaj kluczami prywatnymi.
    3. Na karcie Zabezpieczenia w obszarze Grupy lub nazwy użytkowników upewnij się, że konto usługi AD FS jest obecne. Jeśli nie wybierze pozycji Dodaj i dodaj konto usługi AD FS.
    4. Wybierz konto usługi AD FS i w obszarze "Uprawnienia dla <nazwy> konta usługi AD FS" upewnij się, że uprawnienie do odczytu jest dozwolone (znacznik wyboru).
    Certyfikat SSL usług AD FS nie ma klucza prywatnego Certyfikat TLS/SSL usług AD FS został zainstalowany bez klucza prywatnego. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu SSL kończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty e-mail dla platformy Microsoft 365 kończy się niepowodzeniem. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj publicznie zaufany certyfikat TLS/SSL z następującymi wymaganiami.
      1. Plik instalacyjny certyfikatu zawiera jego klucz prywatny.
      2. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
      3. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    2. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    3. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach:

  • Zapoznaj się z tematem: Zarządzanie certyfikatami SSL w usługach AD FS i WAP
  • Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie mogą uwierzytelniać się w celu uzyskania dostępu do zasobów.

    Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.

    1. Uzyskaj nowy certyfikat odszyfrowywania tokenu.
      • Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Szyfrowanie klucza".
      • Podmiot lub Alternatywna Nazwa Podmiotu (SAN) nie ma żadnych ograniczeń.
      • Należy pamiętać, że partnerzy dostawcy usług federacyjnych i oświadczeń muszą mieć możliwość łączenia się z zaufanym głównym urzędem certyfikacji podczas weryfikowania certyfikatu odszyfrowywania tokenów.
    2. Zdecyduj, w jaki sposób partnerzy dostawcy oświadczeń będą ufać nowemu certyfikatowi odszyfrowywania tokenów
      • Poproś partnerów o ściągnięcie metadanych federacji po zaktualizowaniu certyfikatu.
      • Udostępnij klucz publiczny nowego certyfikatu. (.cer pliku) z partnerami. Na serwerze usług AD FS partnera dostawcy oświadczeń uruchom zarządzanie usługami AD FS z menu Narzędzia administracyjne. W obszarze Relacje zaufania/Relacje jednostki uzależnionej wybierz zaufanie, które zostało utworzone dla Ciebie. W obszarze Właściwości/Szyfrowanie wybierz pozycję "Przeglądaj", aby wybrać nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    3. Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
      • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    4. Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.
    5. Dodaj nowy certyfikat do usług AD FS.
      • Uruchamianie zarządzania usługami AD FS z menu Narzędzia administracyjne
      • Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
      • W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Decrypting
      • Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla odszyfrowywania tokenów. Jeśli okaże się, że nowy certyfikat nie znajduje się na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego z skojarzonym kluczem prywatnym, a certyfikat ma szyfrowanie klucza jako rozszerzone użycie klucza.
      • Wybierz nowy certyfikat Token-Decrypting i wybierz przycisk OK.
    6. Ustaw nowy certyfikat odszyfrowywania tokenów jako podstawowy.
      • Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Odszyfrowywanie tokenów: istniejący i nowy certyfikat.
    7. Wybierz nowy certyfikat Token-Decrypting, kliknij prawym przyciskiem myszy i wybierz pozycję Ustaw jako główny.
    8. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do odnowienia lub gdy certyfikat wygasł.

    Alerty dotyczące usług domena usługi Active Directory

    Nazwa alertu opis Korekty
    Kontroler domeny jest niemożliwy do osiągnięcia za pośrednictwem polecenia ping LDAP Kontroler domeny nie jest osiągalny za pośrednictwem polecenia ping LDAP. Może to być spowodowane problemami z siecią lub maszyną. W rezultacie testy LDAP ping kończą się niepowodzeniem.
  • Sprawdź listę alertów dotyczących powiązanych alertów, takich jak: Kontroler domeny nie jest reklamą.
  • Upewnij się, że kontroler domeny, którego dotyczy problem, ma wystarczającą ilość miejsca na dysku. Brak miejsca uniemożliwi kontrolerowi domeny anonsowanie się jako serwer LDAP.
  • Próba znalezienia kontrolera PDC: Uruchom
    zapytanie netdom fsmo
    na kontrolerze domeny, którego dotyczy problem.
  • Upewnij się, że sieć fizyczna jest prawidłowo skonfigurowana/połączona.
  • Napotkano błąd replikacji usługi Active Directory Ten kontroler domeny ma problemy z replikacją, które można znaleźć, przechodząc do pulpitu nawigacyjnego stanu replikacji. Błędy replikacji mogą być spowodowane niewłaściwą konfiguracją lub innymi powiązanymi problemami. Nieleczone błędy replikacji mogą prowadzić do niespójności danych. Zobacz dodatkowe szczegóły dotyczące nazw źródłowych i docelowych kontrolerów domeny, których dotyczy problem. Przejdź do pulpitu nawigacyjnego Stan replikacji i poszukaj aktywnych błędów na kontrolerach domeny, których dotyczy problem. Wybierz błąd, aby otworzyć blok z bardziej szczegółowymi informacjami na temat korygowania tego konkretnego błędu.
    Kontroler domeny nie może odnaleźć kontrolera PDC Kontroler PDC nie jest osiągalny za pośrednictwem tego kontrolera domeny. Może to prowadzić do wylogowywanie użytkowników, niezastosowane zmiany zasad grupy i niepowodzenie synchronizacji czasu systemowego.
  • Zapoznaj się z listą alertów dotyczących powiązanych alertów, które mogą mieć wpływ na kontroler PDC, na przykład: Kontroler domeny nie jest reklamą.
  • Próba znalezienia kontrolera PDC: Uruchom
    zapytanie netdom fsmo
    na kontrolerze domeny, którego dotyczy problem.
  • Upewnij się, że sieć działa prawidłowo.
  • Kontroler domeny nie może odnaleźć serwera wykazu globalnego Serwer wykazu globalnego nie jest dostępny z tego kontrolera domeny. Spowoduje to nieudane uwierzytelnianie za pośrednictwem tego kontrolera domeny. Sprawdź listę alertów dla dowolnego kontrolera domeny nie jest anonsowanie alertów, w których serwer, którego dotyczy problem, może być GC. Jeśli nie ma żadnych alertów reklamowych, sprawdź rekordy SRV dla kontrolerów domeny. Możesz je sprawdzić, uruchamiając polecenie:
    nltest /dnsgetdc: [ForestName] /gc
    Powinien wyświetlić listę kontrolerów domeny jako GCs. Jeśli lista jest pusta, sprawdź konfigurację DNS, aby upewnić się, że kontroler domeny zarejestrował rekordy SRV. Kontroler domeny jest w stanie znaleźć je w systemie DNS.
    Aby uzyskać informacje na temat rozwiązywania problemów z wykazami globalnymi, zobacz Anonsowanie jako serwer wykazu globalnego.
    Kontroler domeny nie może nawiązać połączenia z lokalnym udziałem sysvol Sysvol zawiera ważne elementy z obiektów zasad grupy i skryptów, które mają być dystrybuowane w kontrolerach domeny. Kontroler domeny nie będzie anonsować się jako kontroler domeny i zasady grupy nie zostaną zastosowane. Zobacz Jak rozwiązywać problemy z brakującymi udziałami sysvol i Netlogon
    Czas kontrolera domeny nie jest zsynchronizowany Czas na tym kontrolerze domeny znajduje się poza normalnym zakresem niesymetryczności czasu. W związku z tym uwierzytelnianie Kerberos kończy się niepowodzeniem.
  • Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie
    net stop w32time
    następnie
    net start w32time
    na kontrolerze domeny, którego dotyczy problem.
  • Czas ponownej synchronizacji: uruchamianie
    w32tm /resync
    na kontrolerze domeny, którego dotyczy problem.
  • Kontroler domeny nie reklamuje Ten kontroler domeny nie jest prawidłowo reklamowane ról, które mogą wykonywać. Może to być spowodowane problemami z replikacją, błędną konfiguracją DNS, nieuruchomieniem krytycznych usług lub z powodu braku w pełni zainicjowanego serwera. W związku z tym kontrolery domeny, elementy członkowskie domeny i inne urządzenia nie mogą zlokalizować tego kontrolera domeny. Ponadto inne kontrolery domeny mogą nie być w stanie replikować z tego kontrolera domeny. Sprawdź listę alertów dla innych powiązanych alertów, takich jak: Replikacja jest uszkodzona. Czas kontrolera domeny nie jest zsynchronizowany. Usługa Netlogon nie jest uruchomiona. Usługi DFSR i/lub NTFRS nie są uruchomione. Identyfikowanie i rozwiązywanie powiązanych problemów z systemem DNS: zaloguj się do kontrolera domeny, którego dotyczy problem. Otwórz dziennik zdarzeń systemu. Jeśli występują zdarzenia 5774, 5775 lub 5781, zobacz Rozwiązywanie problemów z niepowodzeniem rejestracji rekordów DNS lokalizatora kontrolera domeny Identyfikowanie i rozwiązywanie powiązanych problemów z usługą Czas systemu Windows: Upewnij się, że usługa Czas systemu Windows jest uruchomiona: Uruchom polecenie "net start w32time" na kontrolerze domeny, którego dotyczy problem. Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie "net stop w32time", a następnie "net start w32time" na kontrolerze domeny, którego dotyczy problem.
    Usługa GPSVC nie jest uruchomiona Jeśli usługa zostanie zatrzymana lub wyłączona, ustawienia skonfigurowane przez administratora nie będą stosowane, a aplikacje i składniki nie będą możliwe do zarządzania za pomocą zasad grupy. Wszystkie składniki lub aplikacje, które zależą od składnika zasad grupy, mogą nie działać, jeśli usługa jest wyłączona. Uruchom polecenie
    net uruchom gpsvc
    na kontrolerze domeny, którego dotyczy problem.
    Usługi DFSR i/lub NTFRS nie są uruchomione Jeśli usługi DFSR i NTFRS zostaną zatrzymane, kontrolery domeny nie mogą replikować danych sysvol. dane sysvol nie będą spójne.
  • W przypadku korzystania z usługi DFSR:
      Uruchom polecenie "net start dfsr" na kontrolerze domeny, którego dotyczy problem.
    1. W przypadku korzystania z ntFRS:
        Uruchom polecenie "net start ntfrs" na kontrolerze domeny, którego dotyczy problem.
  • Usługa Netlogon nie jest uruchomiona Żądania logowania, rejestracja, uwierzytelnianie i lokalizowanie kontrolerów domeny będą niedostępne na tym kontrolerze domeny. Uruchom polecenie "net start netlogon" na kontrolerze domeny, którego dotyczy problem
    Usługa W32Time nie jest uruchomiona Jeśli usługa czasowa systemu Windows zostanie zatrzymana, synchronizacja daty i godziny będzie niedostępna. Jeśli ta usługa jest wyłączona, nie można uruchomić żadnych usług, które jawnie zależą od niej. Uruchom polecenie "net start win32Time" na kontrolerze domeny, którego dotyczy problem
    Usługa ADWS nie jest uruchomiona Jeśli usługa usług sieci Web Active Directory jest zatrzymana lub wyłączona, aplikacje klienckie, takie jak program PowerShell usługi Active Directory, nie mogą uzyskiwać dostępu do żadnych wystąpień usługi katalogowej uruchomionych lokalnie na tym serwerze ani zarządzać nimi. Uruchom polecenie "net start adws" na kontrolerze domeny, którego dotyczy problem
    Główny kontroler PDC nie jest synchronizowany z serwera NTP Jeśli nie skonfigurujesz emulatora kontrolera PDC do synchronizacji czasu z zewnętrznego lub wewnętrznego źródła czasu, używa on swojego wewnętrznego zegara i sam jest niezawodnym źródłem czasu dla lasu. Jeśli czas nie jest dokładny na samym kontrolerze PDC, wszystkie komputery będą miały nieprawidłowe ustawienia czasu. Na kontrolerze domeny, którego dotyczy problem, otwórz wiersz polecenia. Zatrzymaj usługę Czas: net stop w32time
  • Skonfiguruj źródło czasu zewnętrznego:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Uwaga: zastąp time.windows.com adresem żądanego źródła czasu zewnętrznego. Uruchom usługę Czas:
    net start w32time
  • Kontroler domeny jest poddawany kwarantannie Ten kontroler domeny nie jest połączony z żadnym z innych działających kontrolerów domeny. Może to być spowodowane niewłaściwą konfiguracją. W związku z tym ten kontroler domeny nie jest używany i nie będzie replikowany z/do nikogo. Włącz replikację ruchu przychodzącego i wychodzącego: uruchom polecenie "repadmin /options ServerName -DISABLE_INBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Uruchom polecenie "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Utwórz nowe połączenie replikacji z innym kontrolerem domeny:
    1. Otwórz menu Lokacje i usługi Active Directory: Start, wskaż pozycję Narzędzia administracyjne, a następnie wybierz pozycję Lokacje i usługi Active Directory.
    2. W drzewie konsoli rozwiń węzeł Lokacje, a następnie rozwiń lokację, do której należy ten kontroler domeny.
    3. Rozwiń kontener Serwery, aby wyświetlić listę serwerów.
    4. Rozwiń obiekt serwera dla tego kontrolera domeny.
    5. Wybierz prawym przyciskiem myszy obiekt USTAWIEŃ NTDS, a następnie wybierz pozycję Nowe połączenie usług domenowych Active Directory...
    6. Wybierz z listy pozycję Serwer, a następnie wybierz przycisk OK.
    Jak usunąć oddzielone domeny z usługi Active Directory.
    Replikacja wychodząca jest wyłączona Kontrolery domeny z wyłączoną replikacją wychodzącą nie mogą dystrybuować żadnych zmian pochodzących z siebie samego. Aby włączyć replikację wychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie wybierz przycisk OK. Wpisz następujący tekst, a następnie naciśnij ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Replikacja przychodząca jest wyłączona Kontrolery domeny z wyłączoną replikacją przychodzącą nie będą miały najnowszych informacji. Ten warunek może prowadzić do niepowodzeń logowania. Aby włączyć replikację przychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: wybierz pozycję Start, wybierz pozycję Uruchom, wpisz cmd, a następnie wybierz przycisk OK. Wpisz następujący tekst, a następnie naciśnij ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    Usługa LanmanServer nie jest uruchomiona Jeśli ta usługa jest wyłączona, nie można uruchomić żadnych usług, które jawnie zależą od niej. Uruchom polecenie "net start LanManServer" na kontrolerze domeny, którego dotyczy problem.
    Usługa Centrum dystrybucji kluczy Kerberos nie jest uruchomiona Jeśli usługa KDC jest zatrzymana, użytkownicy nie mogą uwierzytelniać się za pośrednictwem tego kontrolera domeny przy użyciu protokołu uwierzytelniania Kerberos v5. Uruchom polecenie "net start kdc" na kontrolerze domeny, którego dotyczy problem.
    Usługa DNS nie jest uruchomiona Jeśli usługa DNS zostanie zatrzymana, komputery i użytkownicy korzystający z tego serwera do celów DNS nie mogą znaleźć zasobów. Uruchom polecenie "net start dns" na kontrolerze domeny, którego dotyczy problem.
    Kontroler domeny miał wycofywanie numerów USN Po wycofaniu numerów USN modyfikacje obiektów i atrybutów nie są replikowane przez docelowe kontrolery domeny, które wcześniej widziały numer USN. Ponieważ te docelowe kontrolery domeny uważają, że są aktualne, w dziennikach zdarzeń Usługi katalogowej ani w narzędziach do monitorowania i diagnostyki nie są zgłaszane żadne błędy replikacji. Wycofywanie numerów USN może mieć wpływ na replikację dowolnego obiektu lub atrybutu w dowolnej partycji. Najczęściej obserwowanym skutkiem ubocznym jest to, że konta użytkowników i konta komputerów utworzone na kontrolerze domeny z wycofywaniem nie istnieją u co najmniej jednego partnera replikacji. Albo aktualizacje haseł pochodzące od kontrolera domeny próbnego przywracania nie są dostępne u partnerów replikacji. Istnieją dwa podejścia do odzyskania po wycofaniu numerów USN:

    Usuń kontroler domeny z domeny, wykonując następujące kroki:

    1. Usuń usługę Active Directory z kontrolera domeny, aby wymusić, że będzie ona serwerem autonomicznym. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      332199 Kontrolery domeny nie obniżają się łagodnie podczas korzystania z Kreatora instalacji Active Directory, aby przymusić obniżenie poziomu w systemie Windows Server 2003 i Windows 2000 Server.
    2. Zamknij zdegradowany serwer.
    3. Na kontrolerze domeny w dobrej kondycji wyczyść metadane zdegradowanego kontrolera domeny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny
    4. Jeśli niepoprawnie przywrócony kontroler domeny hostuje role główne operacji, przenieś te role do kontrolera domeny w dobrej kondycji. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      255504 używanie Ntdsutil.exe do przenoszenia lub przejmowania ról FSMO do kontrolera domeny
    5. Uruchom ponownie zdegradowany serwer.
    6. Jeśli jest to wymagane, zainstaluj ponownie usługę Active Directory na serwerze autonomicznym.
    7. Jeśli kontroler domeny był wcześniej wykazem globalnym, skonfiguruj kontroler domeny jako wykaz globalny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      313994 Jak utworzyć lub przenieść wykaz globalny w systemie Windows 2000
    8. Jeśli wcześniej hostowane role wzorca operacji kontrolera domeny, przenieś role wzorca operacji z powrotem do kontrolera domeny. Aby uzyskać więcej informacji, wybierz następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      255504 Używanie Ntdsutil.exe do przenoszenia lub przejmowania ról FSMO do kontrolera domeny Przywróć stan systemu dobrej kopii zapasowej.

    Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli utworzono prawidłową kopię zapasową stanu systemu przed nieprawidłowym przywróceniem kontrolera domeny, a kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej.

    Migawkę można również użyć jako źródła kopii zapasowej. Możesz też ustawić bazę danych, aby nadać sobie nowy identyfikator wywołania przy użyciu procedury w sekcji "Aby przywrócić poprzednią wersję wirtualnego dysku twardego kontrolera domeny bez kopii zapasowej danych stanu systemu" w tym artykule

    Następne kroki