Поделиться через

Каталог оповещений о работоспособности Microsoft Entra Connect

  • Статья

Служба microsoft Entra Connect Health отправляет оповещения о том, что инфраструктура удостоверений не работает. Эта статья содержит заголовки оповещений, описания и действия по устранению проблемы, связанные с каждым оповещением.
Три этапа оповещений, которые генерируются службой Connect Health, включают оповещение об ошибке, предупреждение и предварительное предупреждение. Мы настоятельно рекомендуем немедленно реагировать на полученные оповещения.
Оповещения о работоспособности Microsoft Entra Connect разрешаются при условии успешности. Агенты работоспособности Microsoft Entra Connect обнаруживают и сообщают о условиях успешности в службу периодически. Для нескольких оповещений подавление осуществляется на основе времени. Иными словами, если одно и то же условие ошибки не наблюдается в течение 72 часов с момента создания оповещения, оповещение разрешается автоматически.

Общие Оповещения

Имя оповещения Description Серверы
Данные службы работоспособности не актуальны Один или несколько агентов мониторинга состояния, работающих на одном или нескольких серверах, не подключены к службе мониторинга, и служба не получает последние данные с этого сервера. Последние данные, обработанные службой работоспособности, были получены более 2 часов назад. Убедитесь, что агенты работоспособности могут устанавливать исходящие подключения к требуемым конечным точкам служб. Подробнее

Оповещения для Microsoft Entra Connect (синхронизация)

Имя оповещения Description Серверы
Служба синхронизации Microsoft Entra Connect не запущена Служба синхронизации идентификаторов Microsoft Entra ID Windows не запущена или не может запуститься. В результате объекты не будут синхронизироваться с идентификатором Microsoft Entra. Запуск служб синхронизации идентификаторов Microsoft Entra
  1. Выберите Пуск, выберите Выполнить, введите Services.msc, а затем выберите ОК.
  2. Найдите службу синхронизации идентификаторов Microsoft Entra ID, а затем проверьте, запущена ли служба. Если служба не запущена, щелкните по ней правой кнопкой мыши и выберите команду Пуск.
Сбой импорта из Microsoft Entra ID Не удалось выполнить операцию импорта из соединителя Microsoft Entra. Дополнительные сведения см. в ошибках в журнале событий для операции импорта.
Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности. В результате объекты не будут синхронизированы с идентификатором Microsoft Entra. Дополнительные сведения см. в ошибках в журнале событий.
Export to Active Directory failed (Сбой экспорта в Active Directory) Операция экспорта в коннектор Active Directory не удалась. Дополнительные сведения см. в ошибках в журнале событий для операции экспорта.
Import from Active Directory failed (Сбой импорта из Active Directory) Произошел сбой импорта из Active Directory. В результате объекты из некоторых доменов из этого леса не могут быть импортированы.
  • Проверьте подключение к контроллеру домена.
  • Перезапустите операцию импорта вручную.
  • Дополнительные сведения см. в ошибках в журнале событий для операции импорта.
    		•
    Сбой экспорта в Microsoft Entra ID Операция экспорта в соединитель Microsoft Entra не удалась. В результате некоторые объекты могут не быть успешно экспортированы в Microsoft Entra ID. Дополнительные сведения см. в ошибках в журнале событий для операции экспорта.
    Проверка пульса синхронизации хэшей паролей была пропущена в течение последних 120 минут Синхронизация хэша паролей не подключена к идентификатору Microsoft Entra за последние 120 минут. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. Перезапустите службы синхронизации идентификаторов Microsoft Entra:
    Все операции синхронизации, выполняемые в настоящее время, прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
    1. Выберите Запустить, выберите Запустить, введите Services.msc, а затем нажмите кнопку ОК.
    2. Найдите Microsoft Entra ID Sync, щелкните правой кнопкой мыши и выберите Перезапустить.
    Слишком высокий коэффициент использования ЦП Процент использования ЦП превысил рекомендуемое пороговое значение для этого сервера.
  • Это может быть временным всплеском потребления ресурсов ЦП. Проверьте тренд использования ЦП в разделе мониторинга.
  • Изучите основные процессы, потребляющие наибольшее количество ресурсов ЦП на сервере.
    1. Можно использовать диспетчер задач или выполнить следующую команду PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Если возникают непредвиденные процессы, использующие высокую загрузку ЦП, остановите процессы с помощью следующей команды PowerShell:
      stop-process -ProcessName [имя процесса]
  • Если процессы, описанные в предыдущем списке, являются предполагаемыми процессами, выполняемыми на сервере, и потребление ЦП постоянно приближается к пороговой величине, рассмотрите возможность повторного оценки требований к развертыванию этого сервера.
  • Можно рассмотреть вариант перезапуска сервера как резервное решение.
    		•
    Обнаружено высокое потребление памяти Процент использования памяти сервера превышает рекомендуемое пороговое значение на этом сервере. Изучите основные процессы, потребляющие наибольший объем памяти на сервере. Можно использовать диспетчер задач или выполнить следующую команду PowerShell:
    get-process | Sort-Object -Убывание WS | Select-Object -First 10
    , если есть непредвиденные процессы, использующие высокую память, остановите процессы с помощью следующей команды PowerShell:
    stop-process -ProcessName [имя процесса]
  • Если процессы, описанные в предыдущем списке, являются предполагаемыми процессами, выполняемыми на сервере, рассмотрите возможность повторного оценки требований к развертыванию этого сервера.
  • В качестве резервного варианта вы можете рассмотреть возможность перезапуска сервера.
    		•
    Синхронизация хэша паролей перестала работать Синхронизация хэша паролей остановлена. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. Перезапустите службы синхронизации идентификаторов Microsoft Entra:
    Все операции синхронизации, выполняемые в настоящее время, прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
    1. Выберите Пуск, выберите Выполнить, введите Services.msc, а затем выберите ОК.
    2. Найдите Microsoft Entra ID Sync, щелкните правой кнопкой мыши, а затем выберите Перезапустить.
    Экспорт в Microsoft Entra ID был остановлен. Достигнуто пороговое значение случайных удалений Ошибка операции экспорта в Microsoft Entra ID. Количество объектов для удаления превысило настроенное пороговое значение. В результате объекты не были экспортированы. Число объектов, помеченных для удаления, больше максимального порогового значения. Чтобы оценить объекты, ожидающие удаления, см. раздел , чтобы предотвратить случайное удаление.

    Оповещения для служб федерации Active Directory

    Имя оповещения Description Серверы
    Test Authentication Request (Synthetic Transaction) failed to obtain a token (Тестовому запросу проверки подлинности (искусственной транзакции) не удалось получить маркер) Тестовые запросы проверки подлинности (искусственные транзакции), инициированные этим сервером, не смогли получить маркер после пяти повторных попыток. Это может быть вызвано временными проблемами сети, доступностью контроллера домена AD DS или неправильно настроенным сервером AD FS. В результате запросы на проверку подлинности, обработанные федеративной службой, могут завершиться ошибкой. Агент использует контекст учетной записи локального компьютера для получения маркера из службы федерации. Для проверки работоспособности сервера выполните шаги ниже.
    1. Проверьте отсутствие любых дополнительных неразрешенных оповещений для этого или других серверов AD FS в своей ферме.
    2. Убедитесь, что это не временный сбой, войдя с помощью тестового пользователя на страницу входа AD FS, доступную по адресу https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. https://testconnectivity.microsoft.com Перейдите на вкладку "Office 365" и выберите ее. Выполните проверку единого входа в Office 365.
    4. Посмотрите, можно ли разрешить имя службы AD FS с этого сервера, выполнив следующую команду в командной строке: nslookup имя_вашего_сервера_adfs

    Если имя службы не удается устранить, ознакомьтесь с разделом часто задаваемых вопросов о добавлении записи файла HOST службы AD FS с IP-адресом этого сервера. Это позволяет модулю искусственных транзакций, работающему на этом сервере, запрашивать токен
    Прокси-сервер не может связаться с сервером федерации Этот прокси-сервер AD FS не может связаться со службой AD FS. В результате запросы проверки подлинности, обработанные этим сервером, завершаются сбоем. Выполните следующие действия, чтобы проверить подключение между этим сервером и службой AD FS.
    1. Убедитесь, что брандмауэр между этим сервером и службой AD FS настроен правильно.
    2. Убедитесь, что разрешение DNS для имени службы AD FS указывает на службу AD FS, которая расположена в корпоративной сети. Этого можно добиться с помощью DNS-сервера, который обслуживает этот сервер в сети периметра, или с помощью записей в файлах HOSTS для имени службы AD FS.
    3. Проверьте сетевое подключение: откройте браузер на этом сервере и перейдите в конечную точку метаданных федерации по адресу https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    The SSL Certificate is about to expire (Срок действия SSL-сертификата скоро истекает) Срок действия TLS/SSL-сертификата, используемого серверами федерации, истекает через 90 дней. После истечения срока действия все запросы, для которых требуется действительное подключение TLS, завершаются сбоем. Например, для клиентов Microsoft 365 почтовые клиенты не могут пройти проверку подлинности. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите TLS/SSL-сертификат, выполнив перечисленные ниже требования.
      1. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
      2. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    2. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    3. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 и более поздних версиях:

  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    • Служба AD FS не запущена на сервере Служба федерации Active Directory (служба Windows) не работает на этом сервере. Все запросы, предназначенные для этого сервера, завершаются сбоем. Чтобы запустить службу федерации Active Directory (службу Windows), сделайте следующее:
    1. Войдите на сервер как администратор.
    2. Откройте services.msc.
    3. Найти "службы федерации Active Directory (AD FS)"
    4. Щелкните правой кнопкой мыши и выберите "Пуск"
    Dns для службы федерации может быть неправильно настроен DNS-сервер можно настроить, чтобы использовать запись CNAME для имени фермы служб AD FS. Рекомендуется использовать запись A или AAAA для AD FS, чтобы интегрированная проверка подлинности Windows бесперебойно работала в корпоративной сети. Убедитесь, что тип записи DNS фермы <Farm Name> AD FS не является CNAME. Настройте в этом случае использование записи A или AAAA.
    AD FS Auditing is disabled (Аудит AD FS отключен) Аудит AD FS для этого сервера отключен. Раздел "Использование AD FS" на портале не будет включать данные с этого сервера. Если аудиты AD FS не включены, выполните следующие инструкции:
    1. На сервере AD FS предоставьте учетной записи службы AD FS право "Создание аудитов безопасности".
    2. Откройте локальную политику безопасности на сервере gpedit.msc.
    3. Перейдите к разделу "Конфигурация компьютера\Параметры Windows\Локальные политики\Назначение прав пользователя"
    4. Добавьте учетную запись службы AD FS, чтобы предоставить ей право "Создание аудитов безопасности".
    5. В окне командной строки выполните следующую команду:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Обновите свойства службы федерации, чтобы включить аудит, завершившийся успешно и сбоем.
    7. В консоли AD FS выберите "Изменить свойства службы федерации"
    8. В диалоговом окне "Свойства службы федерации" выберите вкладку "События" и выберите "Аудит успешности" и "Аудит сбоев"

    После этого из средства просмотра событий можно просмотреть события аудита AD FS. Чтобы выполнить проверку:

    1. Перейдите в средство просмотра событий, выберите "Журналы Windows", а затем щелкните "Безопасность".
    2. Выберите фильтрацию текущих журналов, а затем — аудит AD FS в раскрывающемся списке источников событий. Для активного сервера AD FS с включенным аудитом AD FS события должны отображаться для фильтрации.

    Если вы следовали этим инструкциям, но по-прежнему видите это оповещение, возможно, что объект групповой политики отключает аудит AD FS. Ниже перечислены возможные причины.

    1. Для учетной записи службы AD FS удаляется право "Создание аудитов безопасности".
    2. Настраиваемый сценарий в объекте групповой политики отключает аудиты, завершившиеся успешно и сбоем, на основе параметра "Создано приложением".
    3. Конфигурация AD FS не включена для создания аудита успешности и сбоя.
    AD FS SSL certificate is self-signed (SSL-сертификат служб AD FS является самозаверяющим) В настоящее время вы используете самозаверяющий сертификат в качестве SSL-сертификата в ферме AD FS. В результате проверка подлинности почтового клиента для Microsoft 365 завершается сбоем.

    Обновите TLS/SSL-сертификат для каждого сервера AD FS.

    1. Получите общедоступный доверенный TLS/SSL-сертификат, выполнив следующие требования.
    2. Файл установки сертификата содержит закрытый ключ.
    3. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
    4. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например: sso.contoso.com или *.contoso.com

    Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.

      Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.
      Для служб AD FS 2.0 в Windows Server 2008 R2:
    1. Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

      2. Для служб AD FS в Windows Server 2012 R2 или более поздних версиях:
    2. См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    Доверие между прокси-сервером и сервером федерации недопустимо Не удалось установить или продлить доверие между прокси-сервером федерации и службой федерации. Обновите сертификат доверия прокси-сервера. Повторно запустите мастер настройки прокси-сервера.
    Защита блокировки экстрасетей отключена для AD FS Функция защиты блокировки экстрасетей отключена для фермы AD FS. Эта функция защищает пользователей от атак методом перебора через Интернет и от атак типа "отказ в обслуживании", когда включены политики блокировки учетных записей AD DS. Если эта функция включена и количество неудачных попыток входа в систему через экстрасеть для пользователя (вход через сервер WAP и AD FS) превышает 'ExtranetLockoutThreshold', серверы AD FS прекратят обработку дальнейших попыток входа на протяжении 'ExtranetObservationWindow'. Мы настоятельно рекомендуем включить эту функцию на ваших серверах AD FS. Выполните следующую команду, чтобы включить защиту блокировки экстрасетей для AD FS со значениями по умолчанию.
    Set-AdfsProperties -EnableExtranetLockout $true

    Если для пользователей настроены политики блокировки AD, убедитесь, что для свойства ExtranetLockoutThreshold задано значение ниже порогового значения блокировки AD DS. Так вы сможете гарантировать, что запросы, которые превысят пороговое значение AD FS, будут отброшены и не будут проверяться для серверов AD DS.
    Invalid Service Principal Name (SPN) for the AD FS service account (Недопустимое имя субъекта-службы (SPN) учетной записи служб AD FS) Имя субъекта-службы учетной записи службы федерации не зарегистрировано или не является уникальным. В результате встроенная проверка подлинности Windows от клиентов, присоединенных к домену, может оказаться не простой. Используйте команду [SETSPN -L ServiceAccountName] для получения списка субъектов-служб.
    Используйте команду [SETSPN -X] для проверки на наличие повторяющихся имен субъектов-служб.

    Если SPN-имя повторяется для учетной записи службы AD FS, удалите его с помощью команды [SETSPN -d service/namehostname].

    Если имя субъекта-службы не задано, используйте [SETPN-s {Desired-SPN} {domain_name}{service_account}], чтобы задать требуемое имя субъекта-службы для учетной записи службы федерации.
    The Primary AD FS Token Decrypting certificate is about to expire (Срок действия основного сертификата расшифровки маркера AD FS скоро истекает) Срок действия основного сертификата расшифровки токенов AD FS скоро истекает менее чем через 90 дней. AD FS не может расшифровывать маркеры от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не могут пройти проверку подлинности для доступа к ресурсам. Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже. Получите новый сертификат расшифровки маркера.

    1. Убедитесь, что расширенное использование ключей (EKU) включает в себя "Шифрование ключей"
    2. У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
    3. Помните, что у серверов федерации и партнеров-поставщиков утверждений должна быть возможность создать цепочку с доверенным коренным центром сертификации при проверке сертификата расшифровки маркера.
    Определите, как партнеры-поставщики утверждений будут доверять новому сертификату расшифровки маркера.
    1. Попросите партнеров извлечь метаданные федерации после обновления сертификата.
    2. Передайте открытый ключ нового сертификата (CER-файл) партнерам. На сервере AD FS партнеров-поставщиков утверждений запустите оснастку управления AD FS из меню "Администрирование". В разделе отношений доверия или отношений доверия с проверяющей стороной выберите созданное для вас отношение доверия. В разделе "Свойства и шифрование" выберите "Обзор", чтобы выбрать новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    Установите сертификат в локальном хранилище сертификатов каждого сервера федерации.
    • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.Добавьте новый сертификат в AD FS.
    1. Запустите оснастку управления AD FS в меню "Администрирование".
    2. Разверните узел "Служба" и выберите "Сертификаты".
    3. В области "Действия" выберите "Добавить сертификат Token-Decrypting"
    4. Вы увидите список сертификатов, допустимых для расшифровки токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в локальном личном хранилище компьютера с закрытым ключом, связанным с ним, и сертификат имеет ключ encipherment в качестве расширенного использования ключей.
    5. Выберите новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    Сделайте новый сертификат расшифровки маркера основным сертификатом.
    1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе расшифровки маркера: имеющийся и новый.
    2. Выберите новый сертификат Token-Decrypting, щелкните правой кнопкой мыши и выберите "Задать в качестве основного".
    3. Оставьте старый сертификат для возможного отката. Вы должны запланировать удаление старого сертификата после того, как будете уверены, что он больше не нужен для перехода, или когда срок действия сертификата истечет.
    The Primary AD FS Token Signing certificate is about to expire (Срок действия основного сертификата подписи маркера AD FS скоро истекает) Срок действия сертификата подписи маркера AD FS истекает через 90 дней. AD FS не может выдавать подписанные маркеры, если этот сертификат недействителен. Получите новый сертификат подписи маркера.
    1. Убедитесь, что расширенное использование ключей (EKU) содержит цифровую подпись.
    2. У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
    3. Помните, что вашим серверам федерации, серверам федерации партнеров и серверам приложений проверяющей стороны требуется возможность создания цепочки с доверенным корневым центром сертификации при проверке сертификата подписи маркера.
    Установите сертификат в локальном хранилище сертификатов на каждом сервере федерации.
    • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    Убедитесь, что учетная запись службы федерации имеет доступ к закрытому ключу нового сертификата.Добавьте новый сертификат в AD FS.
    1. Запустите оснастку управления AD FS в меню "Администрирование".
    2. Разверните узел "Служба" и выберите "Сертификаты".
    3. В области "Действия" выберите "Добавить сертификат Token-Signing".
    4. Вы увидите список сертификатов, допустимых для подписи токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в локальном хранилище персональных компьютеров с закрытым ключом, связанным с сертификатом, и сертификат имеет KU цифровой подписи.
    5. Выберите новый сертификат Token-Signing и нажмите кнопку "ОК"
    Сообщите всем проверяющим сторонам об изменении сертификата подписи маркера.
    1. Проверяющие стороны, использующие метаданные федерации служб AD FS, должны извлечь новые метаданные федерации, чтобы начать использовать новый сертификат.
    2. Проверяющие стороны, не использующие метаданные федерации служб AD FS, должны вручную обновить открытый ключ нового сертификата подписи маркера. Передайте CER-файл проверяющим сторонам.
      3. Сделайте новый сертификат подписи маркера основным.
      1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе подписи маркера: имеющийся и новый.
      2. Выберите новый сертификат Token-Signing, нажмите правой кнопкой мыши и выберите "Установить как основной ".
      3. Оставьте старый сертификат для возможного отката. Вы должны планировать удаление старого сертификата, как только будете уверены, что он больше не нужен для обновления, или после его истечения срока действия. Помните, что сеансы единого входа текущих пользователей подписаны. Текущие отношения доверия прокси-сервера AD FS используют маркеры, подписанные и зашифрованные с помощью старого сертификата.
    SSL-сертификат AD FS не найден в локальном хранилище сертификатов Сертификат с отпечатком, настроенным как TLS/SSL-сертификат в базе данных AD FS, не найден в локальном хранилище сертификатов. В результате любой запрос проверки подлинности по протоколу TLS завершается сбоем. Например, проверка подлинности почтового клиента для Microsoft 365 завершается ошибкой. Установите сертификат с настроенным отпечатком в локальное хранилище сертификатов.
    The SSL Certificate expired (Срок действия SSL-сертификата истек) Истек срок действия TLS/SSL для службы AD FS. В результате все запросы проверки подлинности, требующие допустимого подключения TLS, завершаются сбоем. Например, почтовый клиент не может пройти авторизацию в Microsoft 365. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите TLS/SSL-сертификат, выполнив перечисленные ниже требования.
    2. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
    3. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    4. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    5. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 или более поздних версиях: См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).

    Обязательные конечные точки для идентификатора Microsoft Entra (для Microsoft 365) не включены Следующий набор конечных точек, необходимых для служб Exchange Online Services, идентификатора Microsoft Entra и Microsoft 365, не включен для службы федерации:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Включите требуемые конечные точки для облачных служб (Майкрософт) в своей службе федерации.
    Для AD FS в Windows Server 2012R2 или более поздних версиях
  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).

    • The Federation server was unable to connect to the AD FS Configuration Database (Серверу федерации не удалось подключиться к базе данных конфигурации AD FS) У учетной записи службы AD FS возникли проблемы с подключением к базе данных конфигурации AD FS. В результате служба AD FS на этом компьютере может не функционировать должным образом.
  • Убедитесь, что у учетной записи службы AD FS есть доступ к базе данных конфигурации.
  • Убедитесь, что служба базы данных конфигурации AD FS доступна.
    • Required SSL bindings are missing or not configured (Требуемые привязки SSL отсутствуют или неправильно настроены) Привязки TLS, необходимые этому серверу федерации для успешной проверки подлинности, настроены неправильно. В результате AD FS не может обрабатывать входящие запросы. Для Windows Server 2012 R2
    Откройте командную строку администратора с повышенными привилегиями и выполните следующие команды:
    1. Чтобы просмотреть текущую TLS-привязку: Get-AdfsSslCertificate.
    2. Чтобы добавить новые привязки: netsh http add sslcert hostnameport=<federation name name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-333cc444} certstorename=MY
    Срок действия основного сертификата подписи токенов AD FS истек Срок действия сертификата подписи токена AD FS истек. AD FS не может выдавать подписанные маркеры, если этот сертификат недействителен. Если включена автоматическая смена сертификатов, службы AD FS будут управлять обновлением сертификата для подписи маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже.

    1. Получите новый сертификат подписи маркера.
      1. Убедитесь, что расширенное использование ключей (EKU) содержит цифровую подпись.
      2. У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
      3. Помните, что вашим серверам федерации, серверам федерации партнеров и серверам приложений проверяющей стороны требуется возможность создания цепочки с доверенным корневым центром сертификации при проверке сертификата подписи маркера.
    2. Установите сертификат в локальном хранилище сертификатов на каждом сервере федерации.
      • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    3. Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.
    4. Добавьте новый сертификат в службы AD FS.
      1. Запустите оснастку управления AD FS в меню "Администрирование".
      2. Разверните узел "Служба" и выберите "Сертификаты".
      3. В области "Действия" выберите "Добавить сертификат Token-Signing".
      4. Вы увидите список сертификатов, допустимых для подписи токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в локальном хранилище персонального компьютера с закрытым ключом, связанным с сертификатом, и сертификат имеет параметр цифровой подписи KU.
      5. Выберите новый сертификат Token-Signing и нажмите кнопку "ОК"
    5. Сообщите всем проверяющим сторонам об изменении сертификата подписи маркера.
      1. Проверяющие стороны, использующие метаданные федерации служб AD FS, должны извлечь новые метаданные федерации, чтобы начать использовать новый сертификат.
      2. Проверяющие стороны, не использующие метаданные федерации служб AD FS, должны вручную обновить открытый ключ нового сертификата подписи маркера. Передайте CER-файл проверяющим сторонам.
    6. Сделайте новый сертификат подписи маркера основным.
      1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе подписи маркера: имеющийся и новый.
      2. Выберите новый сертификат Token-Signing, нажмите правой кнопкой мыши и выберите "Установить как основной ".
      3. Оставьте старый сертификат для возможного отката. Вы должны спланировать удаление старого сертификата после того, как вы уверены, что он больше не нужен для передачи, или когда срок действия сертификата истечет. Помните, что сеансы единого входа текущих пользователей подписаны. Текущие отношения доверия прокси-сервера AD FS используют маркеры, подписанные и зашифрованные с помощью старого сертификата.
    Proxy server is dropping requests for congestion control (Прокси-сервер отклоняет запросы для предотвращения перегрузки) Этот прокси-сервер сейчас отклоняет запросы из экстрасети из-за более высокой, чем обычно, задержки между ним и сервером федерации. В результате определенная часть запросов проверки подлинности, обрабатываемых прокси-сервером AD FS, может завершиться ошибкой.
  • Убедитесь, что задержка сетевого подключения между прокси-сервером федерации и серверами федерации находится в допустимом диапазоне. См. раздел "Мониторинг" для значений тренда "Задержка запроса маркера". Задержка больше [1500 мс] должна рассматриваться как высокая задержка. Если наблюдается высокая задержка, убедитесь, что сеть между серверами прокси-сервера AD FS и AD FS не имеет проблем с подключением.
  • Убедитесь, что серверы федерации не перегружены запросами проверки подлинности. В разделе мониторинга представлены рекомендуемые представления запросов маркеров в секунду, использования ЦП и памяти.
  • Если после указанных выше проверок проблема не была устранена, измените параметр предотвращения перегрузки на каждом прокси-сервере федерации в соответствии с инструкциями из связанных ссылок.
    		•
    Учетной записи службы AD FS отказано в доступе к одному из личных ключей сертификата. У учетной записи службы AD FS нет доступа к закрытому ключу одного из сертификатов AD FS на этом компьютере. Убедитесь, что у учетной записи службы AD FS есть доступ к TLS-сертификату, сертификату подписи маркера и сертификату расшифровки маркера, которые хранятся на локальном компьютере в хранилище сертификатов.
    1. В командной строке введите "MMC".
    2. Выберите пункт меню "Файл > Добавить или удалить оснастку".
    3. Выберите сертификаты и нажмите кнопку "Добавить". —> Выберите учетную запись компьютера и выберите "Далее". —> Выберите локальный компьютер и нажмите кнопку "Готово". Нажмите кнопку "ОК".

    Откройте раздел "Сертификаты (локальный компьютер)/Личные/Сертификаты". Для всех сертификатов, используемых службами AD FS, сделайте следующее:
    1. Щелкните правой кнопкой мыши по сертификату.
    2. Выберите "Все задачи > Управление закрытыми ключами".
    3. На вкладке "Безопасность" убедитесь, что в разделе имен групп или пользователей есть учетная запись службы AD FS. В противном случае щелкните "Добавить" и добавьте учетную запись служб AD FS.
    4. Выберите учетную запись служб AD FS и в разделе "Разрешения для <Имя учетной записи служб AD FS>" убедитесь, что включено разрешение на чтение (должен быть установлен флажок).
    SSL-сертификат AD FS не имеет закрытого ключа TLS/SSL-сертификат AD FS установлен без закрытого ключа. В результате любой запрос проверки подлинности по протоколу SSL завершается сбоем. Например, проверка подлинности почтового клиента для Microsoft 365 завершается ошибкой. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите общедоступный доверенный TLS/SSL-сертификат, выполнив следующие требования.
      1. Файл установки сертификата содержит закрытый ключ.
      2. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
      3. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    2. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    3. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 или более поздних версиях:

  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    • Срок действия основного сертификата расшифровки токенов AD FS истек. Срок действия первичного сертификата расшифровки маркера AD FS истек. AD FS не может расшифровывать маркеры от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не могут пройти проверку подлинности для доступа к ресурсам.

    Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже.

    1. Получите новый сертификат расшифровки маркера.
      • Убедитесь, что для расширенного использования ключа (EKU) включено шифрование ключа.
      • У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
      • Помните, что у серверов федерации и партнеров-поставщиков утверждений должна быть возможность создать цепочку с доверенным коренным центром сертификации при проверке сертификата расшифровки маркера.
    2. Определите, как партнеры-поставщики утверждений будут доверять новому сертификату расшифровки маркера.
      • Попросите партнеров извлечь метаданные федерации после обновления сертификата.
      • Передайте открытый ключ нового сертификата (CER-файл) партнерам. На сервере AD FS партнеров-поставщиков утверждений запустите оснастку управления AD FS из меню "Администрирование". В разделе отношений доверия или отношений доверия с проверяющей стороной выберите созданное для вас отношение доверия. В разделе "Свойства и шифрование" выберите "Обзор", чтобы выбрать новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    3. Установите сертификат в локальном хранилище сертификатов каждого сервера федерации.
      • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    4. Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.
    5. Добавьте новый сертификат в службы AD FS.
      • Запустите оснастку управления AD FS в меню "Администрирование".
      • Разверните узел "Служба" и выберите "Сертификаты".
      • В области "Действия" выберите "Добавить сертификат Token-Decrypting"
      • Вы увидите список сертификатов, допустимых для расшифровки токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в личном хранилище локального компьютера и связан с закрытым ключом, а также что сертификат имеет Шифрование ключей в качестве параметра в расширенном использовании ключа.
      • Выберите новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    6. Сделайте новый сертификат расшифровки маркера основным сертификатом.
      • Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе расшифровки маркера: имеющийся и новый.
    7. Выберите новый сертификат Token-Decrypting, щелкните правой кнопкой мыши и выберите "Задать в качестве основного".
    8. Оставьте старый сертификат для возможного отката. Вы должны спланировать удаление старого сертификата, когда вы будете уверены, что он больше не нужен для перехода, или когда срок его действия истечет.

    Оповещения для доменных служб Active Directory

    Имя оповещения Description Серверы
    Domain controller is unreachable via LDAP ping (Контроллер домена недостижим для проверки связи LDAP) Контроллер домена недоступен через протокол LDAP Ping. Это может быть вызвано проблемами с сетью или компьютером. В результате протокол LDAP Pings завершается ошибкой.
  • Просмотрите список оповещений для связанных оповещений, например: контроллер домена не рекламирует.
  • Убедитесь, что на затронутом контроллере домена достаточно места. Когда место закончится, контроллер домена перестанет объявлять себя как сервер LDAP.
  • Попытка найти PDC: Запуск
    netdom query fsmo
    на затронутом контроллере домена.
  • Убедитесь, что физическая сеть правильно настроена и подключена.
    • Обнаружена ошибка репликации Active Directory На этом контроллере домена произошли ошибки репликации. Ознакомиться с ними можно на панели мониторинга состояния репликации. Ошибки репликации могут возникать из-за неправильной настройки или других связанных проблем. Необработанные ошибки репликации могут привести к несогласованности данных. Ознакомьтесь с дополнительными сведениями об именах затронутых исходных и конечных контроллеров домена. Перейдите на панель мониторинга состояния репликации и найдите активные ошибки в затронутых контроллерах домена. Выберите ошибку, чтобы открыть панель с дополнительными сведениями об исправлении данной ошибки.
    Domain controller is unable to find a PDC (Контроллеру домена не удалось найти основной контроллер домена) PDC недоступен через этот контроллер домена. Это повлияет на вход пользователей в систему и приведет к сбою применения изменений групповой политики и синхронизации системного времени.
  • Просмотрите список оповещений для связанных оповещений, которые могут повлиять на ваш PDC, например: контроллер домена не рекламирует.
  • Попытка найти PDC: Запуск
    netdom query fsmo
    на затронутом контроллере домена.
  • Убедитесь, что сеть работает правильно.
    • Domain controller is unable to find a Global Catalog server (Контроллеру домена не удалось найти сервер глобального каталога) Глобальный сервер каталога недоступен из этого контроллера домена. В результате попытки выполнить проверку подлинности через этот контроллер домена будут завершаться сбоем. Проверьте список оповещений для любого контроллера домена не рекламируют оповещения, в которых затронутый сервер может быть сборкой мусора. Если нет оповещений об объявлениях, проверьте наличие глобальных каталогов в записях SRV. Их можно проверить, выполнив следующие действия:
    nltest /dnsgetdc: [ForestName] /gc
    Он должен содержать список контроллеров домена как GCs. Если список пуст, проверьте конфигурацию DNS, чтобы убедиться, что GC зарегистрировала записи SRV. Контроллер домена может найти их в DNS.
    Сведения об устранении неполадок с глобальными каталогами см. в статье об объявлении глобального сервера каталогов.
    Контроллер домена не может получить доступ к локальной общей папке sysvol SYSVOL содержит важные элементы из объектов групповой политики и скриптов, распространяемых на контроллерах домена в домене. Контроллер домена не будет объявлять себя как контроллер домена и групповые политики не будут применяться. Узнайте , как устранять неполадки с отсутствующими общими папками sysvol и Netlogon
    Domain Controller time is out of sync (Время контроллера домена не синхронизировано) Время на этом контроллере домена выходит за пределы нормального диапазона сдвига по времени. В результате аутентификация Kerberos не удается.
  • Перезапуск службы времени Windows: запуск
    net stop w32time
    затем
    net start w32time
    на затронутом контроллере домена.
  • Время повторной синхронизации: запуск
    w32tm /resync
    на затронутом контроллере домена.
    		•
    Контроллер домена не является рекламой Этот контроллер домена не является правильной рекламой ролей, которые он может выполнять. Это может быть вызвано проблемами репликации, неправильной настройкой DNS, неработающими важными службами или неполной инициализацией сервера. В результате контроллеры домена, члены домена и другие устройства не могут найти этот контроллер домена. Кроме того, другие контроллеры домена не смогут выполнять репликацию из этого контроллера домена. Проверьте, нет ли в списке оповещений других связанных оповещений, например "Репликация не работает". Время контроллера домена не синхронизируется. Служба Netlogon не запущена. Службы DFSR и(или) NTFRS не выполняются. Определите и устраните связанные проблемы с DNS: войдите в затронутый контроллер домена. Откройте журнал системных событий. Если в журнале есть события 5774, 5775 или 5781, ознакомьтесь со сведениями об устранении неполадок при сбое регистрации DNS-записей для указателя контроллера домена. Определите и устраните неполадки, связанные со службой времени Windows. Убедитесь, что служба времени Windows работает: выполните команду net start w32time на затронутом контроллере домена. Перезапустите службу времени Windows: выполните команду net stop w32time, а затем — net start w32time на затронутом контроллере домена.
    Служба GPSVC не работает Если служба остановлена или отключена, параметры, настроенные администратором, не будут применяться, а приложения и компоненты не будут управляться с помощью групповой политики. Если служба отключена, могут не работать компоненты и приложения, зависящие от компонента групповых политик. Выполнить
    net start gpsvc
    на затронутом контроллере домена.
    Службы DFSR и (или) NTFRS не выполняются Если службы DFSR и NTFRS остановлены, контроллеры домена не могут реплицировать данные sysvol. Sysvol Data будет вне согласованности.
  • Если используется DFSR, сделайте следующее:
      Запустите net start dfsr на затронутом контроллере домена.
    1. Если используется NTFRS, сделайте следующее:
        Запустите net start ntfrs на затронутом контроллере домена.
    • Служба Netlogon не запущена На этом контроллере домена невозможно будет выполнить запросы на вход, регистрацию, проверку подлинности и поиск контроллеров домена. Запустите net start netlogon на затронутом контроллере домена.
    Служба W32Time не запущена Если служба времени Windows остановлена, синхронизация даты и времени будет недоступна. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются. Запустите net start win32Time на затронутом контроллере домена.
    Служба ADWS не запущена Если веб-службы Active Directory остановлены или отключены, клиентские приложения, такие как Active Directory PowerShell, не могут получить доступ к экземплярам службы каталогов, работающим локально на этом сервере, или управлять ими. Запустите net start adws на затронутом контроллере домена.
    Корневой PDC не синхронизируется с NTP-сервера Если вы не настроите PDC для синхронизации времени из внешнего или внутреннего источника времени, эмулятор PDC использует свои внутренние часы и сам является надежным источником времени для леса. Если время не является точным в самом PDC, все компьютеры будут иметь неправильные параметры времени. На затронутом контроллере домена откройте командную строку. Остановите службу времени: net stop w32time
  • Настройте внешний источник времени:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Примечание. Замените time.windows.com на адрес нужного внешнего источника времени. Запустите службу времени:
    net start w32time
    • Domain controller is quarantined (Контроллер домена помещен в карантин) Этот контроллер домена не подключен к другим рабочим контроллерам домена. Это может быть вызвано неправильной конфигурацией. В результате этот контроллер домена не используется и не будет реплицироваться от кого-либо. Включите входящую и исходящую репликацию: запустите repadmin /options ServerName -DISABLE_INBOUND_REPL на затронутом контроллере домена. Запустите repadmin /options ServerName -DISABLE_OUTBOUND_REPL на затронутом контроллере домена. Создайте подключение репликации к другому контроллеру домена.
    1. Откройте Сайты и Службы Active Directory: меню "Пуск", наведите указатель на Административные инструменты, а затем выберите Сайты и Службы Active Directory.
    2. В дереве консоли разверните "Сайты", а затем откройте сайт, к которому принадлежит этот контроллер домена.
    3. Разверните контейнер серверов, чтобы открыть список серверов.
    4. Разверните объект сервера для этого контроллера домена.
    5. Щелкните правой кнопкой мыши объект "Параметры NTDS" и выберите "Создать подключение доменных служб Active Directory" ...
    6. Выберите сервер из списка и нажмите кнопку "ОК".
    Удаление потерянных доменов из Active Directory
    Outbound Replication is Disabled (Исходящая репликация отключена) Доменные контроллеры с отключенной исходящей репликацией не могут распространять изменения, происходящие внутри. Чтобы включить исходящую репликацию на затронутом контроллере домена, выполните следующие действия: нажмите кнопку "Пуск", выберите "Запуск", введите cmd и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Inbound Replication is Disabled (Входящая репликация отключена) У контроллеров домена с отключенной входящей репликацией нет последних сведений. Это может привести к сбоям при входе. Чтобы включить входящую репликацию на затронутом контроллере домена, выполните следующие действия: нажмите кнопку "Пуск", выберите "Запустить", введите cmd и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД:
    repadmin /options -DISABLE_INBOUND_REPL
    Служба LanmanServer не запущена Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются. Запустите net start LanManServer на затронутом контроллере домена.
    Служба Центра распространения ключей Kerberos не запущена Если служба KDC остановлена, пользователи не могут выполнять аутентификацию через этот контроллер домена по протоколу Kerberos версии 5. Запустите net start kdc на затронутом контроллере домена.
    Служба DNS не запущена Если служба DNS остановлена, компьютеры и пользователи, использующие этот сервер в целях DNS, не находят ресурсы. Запустите net start dns на затронутом контроллере домена.
    DC had USN Rollback (Откат номера последовательного обновления контроллера домена) При откате USN изменения объектов и атрибутов не реплицируются контроллерами домена назначения, которые ранее видели USN. Так как эти контроллеры домена назначения считают, что они актуальны, ошибки репликации не сообщаются в журналах событий службы каталогов или средствами мониторинга и диагностики. Откат USN может повлиять на репликацию любого объекта или атрибута в любом разделе. Наиболее часто наблюдаемый побочный эффект заключается в том, что учетные записи пользователей и учетные записи компьютеров, созданные на контроллере домена, вернутого назад, не существуют у одного или нескольких партнеров по репликации. Или обновления паролей, созданные на контроллере домена отката, отсутствуют у репликационных партнеров. Существует два подхода для восстановления после отката USN:

    Удалите контроллер домена из домена, выполнив следующие действия.

    1. Удалите Active Directory из контроллера домена, чтобы он стал автономным сервером. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      332199 Контроллеры домена не понижаются должным образом при использовании Мастера установки Active Directory для принудительного понижения в Windows Server 2003 и Windows 2000 Server.
    2. Завершите работу сервера с пониженной ролью.
    3. На работоспособном контроллере домена очистите метаданные контроллера домена с пониженной ролью. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      216498. Удаление данных из Active Directory после неудачного понижения роли контроллера домена.
    4. Если на неверно восстановленном контроллере домена размещены роли хозяина операций, переместите эти роли на работоспособный контроллер домена. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      255504. Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена.
    5. Перезапустите сервер с пониженной ролью.
    6. Если вам нужно, установите Active Directory на автономном сервере еще раз.
    7. Если контроллер домена раньше был глобальным каталогом, настройте его как глобальный каталог. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      313994. Как создать или переместить глобальный каталог в Windows 2000.
    8. Если на контроллере домена раньше размещались роли хозяина операций, переместите их обратно на контроллер домена. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      255504. Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена. Восстановление состояния системы из действительной резервной копии.

    Определите, есть ли действительные резервные копии состояния системы для этого контроллера домена. Если действительная резервная копия состояния системы была создана до неправильного восстановления контроллера домена с выполненным откатом и содержит последние изменения, внесенные на контроллере домена, восстановите состояние системы по самой актуальной резервной копии.

    Вы также можете использовать моментальный снимок в качестве источника резервной копии. Кроме того, можно настроить в базе данных выдачу нового идентификатора вызова с помощью процедуры, описанной в разделе о восстановлении предыдущей версии виртуального жесткого диска контроллера домена без резервной копии состояния системы этой статьи.

    Следующие шаги