Поделиться через

Каталог предупреждений о состоянии Microsoft Entra Connect

  • Статья

Служба Microsoft Entra Connect Health отправляет оповещения, указывающие на то, что инфраструктура удостоверений неблагополучна. Эта статья содержит заголовки оповещений, описания и действия по устранению проблемы, связанные с каждым оповещением.
Три этапа оповещений, которые генерируются службой Connect Health, включают оповещение об ошибке, предупреждение и предварительное предупреждение. Мы настоятельно рекомендуем немедленно реагировать на полученные оповещения.
Оповещения о работоспособности Microsoft Entra Connect разрешаются при успешном выполнении условия. Агенты работоспособности Microsoft Entra Connect обнаруживают и сообщают о условиях успешности в службу периодически. Для нескольких оповещений подавление осуществляется в зависимости от времени. Иными словами, если одна и та же ошибка не наблюдается в течение 72 часов с момента создания оповещения, оповещение разрешается автоматически.

Общие Оповещения

Имя оповещения Описание Устранение неполадок
Данные службы здравоохранения не обновлены Один или несколько агентов мониторинга состояния, работающих на одном или нескольких серверах, не подключены к службе мониторинга, и служба не получает последние данные с этого сервера. Последние данные, обработанные службой здравоохранения, были получены более 2 часов назад. Убедитесь, что агенты мониторинга состояния могут устанавливать исходящие подключения к необходимым конечным точкам служб. Подробнее

Оповещения для Microsoft Entra Connect (синхронизация)

Имя оповещения Описание Устранение
Служба синхронизации Microsoft Entra Connect не запущена Служба синхронизации идентификаторов Microsoft Entra ID Windows не запущена или не может запуститься. В результате объекты не будут синхронизироваться с идентификатором Microsoft Entra. Запуск служб синхронизации идентификаторов Microsoft Entra
  1. Выберите Пуск, выберите Выполнить, введите Services.msc, а затем выберите ОК.
  2. Найдите службу синхронизации идентификаторов Microsoft Entra ID, а затем проверьте, запущена ли служба. Если служба не запущена, щелкните по ней правой кнопкой мыши и выберите команду Пуск.
Сбой импорта из Microsoft Entra ID Не удалось выполнить операцию импорта из соединителя Microsoft Entra. Проанализируйте ошибки в журнале событий операции импорта для получения дополнительных сведений.
Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности. В результате объекты не будут синхронизированы с идентификатором Microsoft Entra. Изучите ошибки в журнале событий для получения дополнительных сведений.
Export to Active Directory failed (Сбой экспорта в Active Directory) Операция экспорта в коннектор Active Directory не удалась. Изучите журнал событий на предмет ошибок операции экспорта для получения дополнительных сведений.
Import from Active Directory failed (Сбой импорта из Active Directory) Произошел сбой импорта из Active Directory. В результате объекты из некоторых доменов из этого леса не могут быть импортированы.
  • Проверьте подключение к контроллеру домена.
  • Перезапустите операцию импорта вручную.
  • Изучите ошибки в журнале событий операции импорта для получения дополнительных сведений.
    		•
    Сбой экспорта в Microsoft Entra ID Операция экспорта в соединитель Microsoft Entra не удалась. В результате некоторые объекты могут не быть успешно экспортированы в Microsoft Entra ID. Изучите ошибки в журнале событий, связанные с операцией экспорта, для получения дополнительных сведений.
    Проверка пульса синхронизации хэшей паролей была пропущена в течение последних 120 минут Синхронизация хэша паролей не подключена к идентификатору Microsoft Entra за последние 120 минут. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. Перезапустите службы синхронизации идентификаторов Microsoft Entra:
    Все операции синхронизации, выполняемые в настоящее время, прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
    1. Выберите Запустить, выберите Запустить, введите Services.msc, а затем нажмите кнопку ОК.
    2. Найдите Microsoft Entra ID Sync, щелкните правой кнопкой мыши и выберите Перезапустить.
    Обнаружена высокая загрузка ЦП Процент использования ЦП превысил рекомендуемое пороговое значение для этого сервера.
  • Это может быть временным всплеском потребления ресурсов ЦП. Проверьте тренд использования ЦП в разделе мониторинга.
  • Изучите основные процессы, потребляющие наибольшее количество ресурсов ЦП на сервере.
    1. Можно использовать диспетчер задач или выполнить следующую команду PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Если возникают непредвиденные процессы, использующие высокую загрузку ЦП, остановите процессы с помощью следующей команды PowerShell:
      stop-process -ProcessName [имя процесса]
  • Если процессы, описанные в предыдущем списке, являются предполагаемыми процессами, выполняемыми на сервере, и потребление ЦП постоянно приближается к пороговой величине, рассмотрите возможность повторного оценки требований к развертыванию этого сервера.
  • Можно рассмотреть вариант перезапуска сервера как резервное решение.
    		•
    Обнаружено высокое потребление памяти Процент использования памяти сервера превышает рекомендуемое пороговое значение на этом сервере. Изучите основные процессы, потребляющие наибольший объем памяти на сервере. Можно использовать диспетчер задач или выполнить следующую команду PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    , если обнаружены неожиданные процессы, потребляющие много памяти, остановите их с помощью следующей команды PowerShell:
    stop-process -ProcessName [имя процесса]
  • Если процессы, описанные в предыдущем списке, являются предполагаемыми процессами, выполняемыми на сервере, рассмотрите возможность повторного оценки требований к развертыванию этого сервера.
  • В качестве резервного варианта вы можете рассмотреть возможность перезапуска сервера.
    		•
    Синхронизация хэша паролей перестала работать Синхронизация хэша паролей остановлена. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. Перезапустите службы синхронизации идентификаторов Microsoft Entra:
    Все операции синхронизации, выполняемые в настоящее время, прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
    1. Выберите Пуск, выберите Выполнить, введите Services.msc, а затем выберите ОК.
    2. Найдите Microsoft Entra ID Sync, щелкните правой кнопкой мыши, а затем выберите Перезапустить.
    Экспорт в Microsoft Entra ID был остановлен. Достигнуто пороговое значение случайных удалений Ошибка операции экспорта в Microsoft Entra ID. Количество объектов для удаления превысило настроенное пороговое значение. В результате объекты не были экспортированы. Число объектов, помеченных для удаления, больше максимального порогового значения. Чтобы оценить объекты, ожидающие удаления, см. раздел , чтобы предотвратить случайное удаление.

    Оповещения для служб федерации Active Directory

    Имя оповещения Описание Устранение
    Test Authentication Request (Synthetic Transaction) failed to obtain a token (Тестовому запросу проверки подлинности (искусственной транзакции) не удалось получить маркер) Тестовые запросы проверки подлинности (искусственные транзакции), инициированные этим сервером, не смогли получить маркер после пяти повторных попыток. Это может быть вызвано временными проблемами сети, доступностью контроллера домена AD DS или неправильно настроенным сервером AD FS. В результате запросы на проверку подлинности, обработанные федеративной службой, могут завершиться ошибкой. Агент использует контекст учетной записи локального компьютера для получения маркера из службы федерации. Для проверки работоспособности сервера выполните шаги ниже.
    1. Проверьте отсутствие любых дополнительных неразрешенных оповещений для этого или других серверов AD FS в своей ферме.
    2. Убедитесь, что это не временный сбой, войдя с помощью тестового пользователя на страницу входа AD FS, доступную по адресу https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. https://testconnectivity.microsoft.com Перейдите на вкладку "Office 365" и выберите ее. Выполните проверку единого входа в Office 365.
    4. Проверьте, может ли имя службы AD FS быть разрешено на этом сервере, выполнив следующую команду в командной строке этого сервера. nslookup имя_вашего_сервера_adfs

    Если имя службы не удается устранить, ознакомьтесь с разделом часто задаваемых вопросов о добавлении записи файла HOST службы AD FS с IP-адресом этого сервера. Это позволяет модулю искусственных транзакций, работающему на этом сервере, запрашивать токен
    Прокси-сервер не может связаться с сервером федерации Этот прокси-сервер AD FS не может связаться со службой AD FS. В результате запросы проверки подлинности, обработанные этим сервером, завершаются сбоем. Выполните следующие действия, чтобы проверить подключение между этим сервером и службой AD FS.
    1. Убедитесь, что брандмауэр между этим сервером и службой AD FS настроен правильно.
    2. Убедитесь, что разрешение DNS для имени службы AD FS указывает на службу AD FS, которая расположена в корпоративной сети. Этого можно добиться с помощью DNS-сервера, который обслуживает этот сервер в сети периметра, или с помощью записей в файлах HOSTS для имени службы AD FS.
    3. Проверьте сетевое подключение: откройте браузер на этом сервере и перейдите в конечную точку метаданных федерации по адресу https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    The SSL Certificate is about to expire (Срок действия SSL-сертификата скоро истекает) Срок действия TLS/SSL-сертификата, используемого серверами федерации, истекает через 90 дней. После истечения срока действия все запросы, для которых требуется действительное подключение TLS, завершаются сбоем. Например, для клиентов Microsoft 365 почтовые клиенты не могут пройти проверку подлинности. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите TLS/SSL-сертификат, выполнив перечисленные ниже требования.
      1. Расширенные возможности использования ключа включают как минимум аутентификацию сервера.
      2. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    2. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    3. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый сертификат TLS/SSL к веб-сайту в IIS, который размещает службу федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 и более поздних версиях:

  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    • Служба AD FS не запущена на сервере Служба федерации Active Directory (служба Windows) не работает на этом сервере. Все запросы, предназначенные для этого сервера, завершаются сбоем. Чтобы запустить службу федерации Active Directory (службу Windows), сделайте следующее:
    1. Войдите на сервер как администратор.
    2. Откройте services.msc.
    3. Найдите "службы федерации Active Directory (AD FS)"
    4. Щелкните правой кнопкой мыши и выберите "Пуск"
    Dns для службы федерации может быть неправильно настроен DNS-сервер можно настроить, чтобы использовать запись CNAME для имени фермы служб AD FS. Рекомендуется использовать запись A или AAAA для AD FS, чтобы интегрированная проверка подлинности Windows бесперебойно работала в корпоративной сети. Убедитесь, что тип записи DNS фермы <Farm Name> AD FS не является CNAME. Настройте запись как A или AAAA.
    AD FS Auditing is disabled (Аудит AD FS отключен) Аудит AD FS для этого сервера отключен. Раздел "Использование AD FS" на портале не будет включать данные с этого сервера. Если аудиты AD FS не включены, выполните следующие инструкции:
    1. На сервере AD FS предоставьте учетной записи службы AD FS право "Создание аудитов безопасности".
    2. Откройте локальную политику безопасности на сервере gpedit.msc.
    3. Перейдите к разделу "Конфигурация компьютера\Параметры Windows\Локальные политики\Назначение прав пользователя"
    4. Добавьте учетную запись службы AD FS, чтобы предоставить ей право "Создание аудитов безопасности".
    5. В окне командной строки выполните следующую команду:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Обновите свойства службы федерации, чтобы включить аудиты успешных операций и аудиты сбоев.
    7. В консоли AD FS выберите "Изменить свойства службы федерации"
    8. В диалоговом окне "Свойства службы федерации" выберите вкладку "События" и выберите "Аудит успешности" и "Аудит сбоев"

    После этого из средства просмотра событий можно просмотреть события аудита AD FS. Чтобы выполнить проверку:

    1. Перейдите в средство просмотра событий, выберите "Журналы Windows", а затем щелкните "Безопасность".
    2. Выберите фильтрацию текущих журналов, а затем — аудит AD FS в раскрывающемся списке источников событий. Для активного сервера AD FS с включенным аудитом AD FS события должны отображаться для фильтрации.

    Если вы следовали этим инструкциям, но по-прежнему видите это оповещение, возможно, что объект групповой политики отключает аудит AD FS. Ниже перечислены возможные причины.

    1. У учетной записи службы AD FS удаляется доступ к созданию аудитов безопасности.
    2. Настраиваемый сценарий в объекте групповой политики отключает успешные и неудачные проверки на основе параметра "Создано приложением".
    3. Конфигурация AD FS не настроена для создания аудитов успехов и неудач.
    SSL-сертификат AD FS является самозаверяющимся В настоящее время вы используете самозаверяющий сертификат в качестве SSL-сертификата в ферме AD FS. В результате проверка подлинности почтового клиента для Microsoft 365 завершается сбоем.

    Обновите TLS/SSL-сертификат для каждого сервера AD FS.

    1. Получите общедоступный доверенный TLS/SSL-сертификат, выполнив следующие требования.
    2. Файл установки сертификата содержит закрытый ключ.
    3. Расширенное использование ключа включает как минимум аутентификацию сервера.
    4. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например: sso.contoso.com или *.contoso.com

    Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.

      Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.
      Для службы AD FS 2.0 в Windows Server 2008 R2:
    1. Привяжите новый TLS/SSL-сертификат к веб-сайту в IIS, на котором размещена Служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

      2. Для служб AD FS в Windows Server 2012 R2 или более поздних версиях:
    2. См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    Доверие между прокси-сервером и сервером федерации недопустимо Не удалось установить или продлить доверие между прокси-сервером федерации и службой федерации. Обновите сертификат доверия прокси-сервера. Повторно запустите мастер настройки прокси-сервера.
    Защита блокировки экстрасетей отключена для AD FS Функция защиты от блокировки экстрасети отключена на вашей ферме AD FS. Эта функция защищает пользователей от атак методом перебора через Интернет и предотвращает атаки типа "отказ в обслуживании" в случаях, когда активированы политики блокировки учетных записей AD DS. Если эта функция включена и количество неудачных попыток входа в систему через экстрасеть для пользователя (вход через сервер WAP и AD FS) превышает 'ExtranetLockoutThreshold', серверы AD FS прекратят обработку дальнейших попыток входа на протяжении 'ExtranetObservationWindow'. Мы настоятельно рекомендуем включить эту функцию на ваших серверах AD FS. Выполните следующую команду, чтобы включить защиту блокировки внешних сетей для AD FS со значениями по умолчанию.
    Set-AdfsProperties -EnableExtranetLockout $true

    Если для пользователей настроены политики блокировки AD, убедитесь, что для свойства ExtranetLockoutThreshold задано значение ниже порогового значения блокировки AD DS. Так вы сможете гарантировать, что запросы, которые превысят пороговое значение AD FS, будут отброшены и не будут проверяться для серверов AD DS.
    Invalid Service Principal Name (SPN) for the AD FS service account (Недопустимое имя субъекта-службы (SPN) учетной записи служб AD FS) Имя субъекта-службы учетной записи службы федерации не зарегистрировано или не является уникальным. В результате встроенная проверка подлинности Windows от клиентов, присоединенных к домену, может оказаться не простой. Используйте команду [SETSPN -L ServiceAccountName] для получения списка субъектов-служб.
    Используйте команду [SETSPN -X] для проверки на наличие повторяющихся имен основного сервиса.

    Если SPN-имя повторяется для учетной записи службы AD FS, удалите SPN из дублированной учетной записи с помощью команды [SETSPN -d service/namehostname].

    Если имя субъекта-службы не задано, используйте [SETPN-s {Desired-SPN} {domain_name}{service_account}], чтобы задать требуемое имя субъекта-службы для учетной записи службы федерации.
    The Primary AD FS Token Decrypting certificate is about to expire (Срок действия основного сертификата расшифровки маркера AD FS скоро истекает) Срок действия основного сертификата расшифровки токенов AD FS скоро истекает менее чем через 90 дней. AD FS не может расшифровывать токены от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не могут пройти проверку подлинности для доступа к ресурсам. Если включена автоматическая смена сертификатов, служба AD FS управляет сертификатом расшифровки токена.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже. Получите новый сертификат расшифровки токена.

    1. Убедитесь, что расширенное использование ключей (EKU) включает в себя "Шифрование ключей"
    2. У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
    3. Помните, что серверы федерации и партнеры-поставщики утверждений должны иметь возможность строить цепочку доверия до доверенного корневого центра сертификации при проверке вашего сертификата расшифровки токена.
    Определите, как партнеры-поставщики утверждений будут доверять новому сертификату для расшифровки токенов.
    1. Попросите партнеров извлечь метаданные федерации после обновления сертификата.
    2. Передайте открытый ключ нового сертификата (CER-файл) с партнерами. На сервере AD FS партнера-поставщика удостоверений откройте управление AD FS из меню "Административные инструменты". В разделе "Отношения доверия/Доверительные отношения с проверяющей стороной" выберите доверительное отношение, созданное для вас. В разделе "Свойства и шифрование" выберите "Обзор", чтобы выбрать новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    Установите сертификат в локальном хранилище сертификатов каждого сервера федерации.
    • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.Добавьте новый сертификат в AD FS.
    1. Запустите управление AD FS через меню "Административные инструменты".
    2. Разверните раздел "Служба" и выберите "Сертификаты".
    3. В области "Действия" выберите "Добавить сертификат Token-Decrypting"
    4. Вы увидите список сертификатов, допустимых для расшифровки токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, вам нужно вернуться и убедиться, что сертификат находится в личном хранилище локального компьютера с ассоциированным с ним закрытым ключом, и у сертификата есть шифрование ключа в качестве расширенного использования ключа.
    5. Выберите новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    Сделайте новый сертификат расшифровки токенов основным.
    1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе расшифровка токена: старый и новый.
    2. Выберите новый сертификат Token-Decrypting, щелкните правой кнопкой мыши и выберите "Задать в качестве основного".
    3. Оставьте старый сертификат в качестве вторичного для целей перехода. Вы должны запланировать удаление старого сертификата после того, как будете уверены, что он больше не нужен для перехода, или когда срок действия сертификата истечет.
    The Primary AD FS Token Signing certificate is about to expire (Срок действия основного сертификата подписи маркера AD FS скоро истекает) Срок действия сертификата подписи маркера AD FS истекает через 90 дней. AD FS не может выдавать подписанные токены, если этот сертификат недействителен. Получите новый сертификат подписи токена.
    1. Убедитесь, что расширенное использование ключей (EKU) содержит цифровую подпись.
    2. У субъекта или альтернативного имени субъекта (SAN, Subject Alternative Name) нет ограничений.
    3. Помните, что ваши серверы федерации, серверы федерации партнеров по ресурсам и серверы приложений доверяющей стороны должны иметь возможность установления цепочки доверия к корневому центру сертификации при проверке сертификата подписи токена.
    Установите сертификат в локальном хранилище сертификатов на каждом сервере федерации.
    • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    Убедитесь, что учетная запись службы федерации имеет доступ к закрытому ключу нового сертификата.Добавьте новый сертификат в AD FS.
    1. Запустите оснастку управления AD FS из меню "Административные инструменты".
    2. Разверните "Служба" и выберите "Сертификаты".
    3. В области "Действия" выберите "Добавить сертификат Token-Signing".
    4. Вы увидите список сертификатов, допустимых для подписи токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в локальном хранилище на компьютере пользователя, связан с закрытым ключом, и у сертификата есть атрибут цифровая подпись (KU).
    5. Выберите новый сертификат Token-Signing и нажмите кнопку "ОК"
    Сообщите всем проверяющим сторонам об изменении сертификата подписи маркера.
    1. Стороны, полагающиеся на метаданные федерации служб AD FS, должны получить новые метаданные федерации для использования нового сертификата.
    2. Стороны, которые не используют метаданные федерации AD FS, должны вручную обновить открытый ключ нового сертификата для подписи токенов. Передайте CER-файл проверяющим сторонам.
      3. Сделайте новый сертификат подписи токена основным сертификатом.
      1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы должны увидеть два сертификата в разделе подписывания токенов: имеющийся и новый.
      2. Выберите новый сертификат Token-Signing, нажмите правой кнопкой мыши и выберите "Установить как основной ".
      3. Оставьте старый сертификат в качестве второстепенного для переподстановки. Вы должны планировать удаление старого сертификата, как только будете уверены, что он больше не нужен для обновления, или после его истечения срока действия. Помните, что сеансы единого входа текущих пользователей подписаны. Текущие отношения доверия прокси-сервера AD FS используют токены, подписанные и зашифрованные с помощью старого сертификата.
    SSL-сертификат AD FS не найден в локальном хранилище сертификатов Сертификат с отпечатком, настроенным как TLS/SSL-сертификат в базе данных AD FS, не найден в локальном хранилище сертификатов. В результате любой запрос проверки подлинности по протоколу TLS завершается сбоем. Например, проверка подлинности почтового клиента для Microsoft 365 завершается ошибкой. Установите сертификат с настроенным отпечатком в локальное хранилище сертификатов.
    The SSL Certificate expired (Срок действия SSL-сертификата истек) Истек срок действия TLS/SSL для службы AD FS. В результате все запросы проверки подлинности, требующие допустимого подключения TLS, завершаются сбоем. Например, почтовый клиент не может пройти авторизацию в Microsoft 365. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите TLS/SSL-сертификат, выполнив перечисленные ниже требования.
    2. Для расширенного использования ключа должно быть по крайней мере включено серверное подтверждение аутентичности.
    3. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    4. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    5. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый сертификат TLS/SSL к веб-сайту в IIS, который размещает службу федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 или более поздних версиях: См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).

    Требуемые конечные точки для Microsoft Entra ID (для Microsoft 365) не включены Следующий набор конечных точек, необходимых для Exchange Online Services, Microsoft Entra ID и Microsoft 365, не включён для службы федерации:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Включите требуемые конечные точки для облачных служб Microsoft в своей службе федерации.
    Для AD FS в Windows Server 2012R2 или более поздних версиях
  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).

    • The Federation server was unable to connect to the AD FS Configuration Database (Серверу федерации не удалось подключиться к базе данных конфигурации AD FS) У учетной записи службы AD FS возникли проблемы с подключением к базе данных конфигурации AD FS. В результате служба AD FS на этом компьютере может не функционировать должным образом.
  • Убедитесь, что у учетной записи службы AD FS есть доступ к базе данных конфигурации.
  • Убедитесь, что служба базы данных конфигурации AD FS доступна.
    • Required SSL bindings are missing or not configured (Требуемые привязки SSL отсутствуют или неправильно настроены) Привязки TLS, необходимые этому серверу федерации для успешной проверки подлинности, настроены неправильно. В результате AD FS не может обрабатывать входящие запросы. Для Windows Server 2012 R2
    Откройте командную строку администратора с повышенными привилегиями и выполните следующие команды:
    1. Чтобы просмотреть текущую TLS-привязку: Get-AdfsSslCertificate.
    2. Чтобы добавить новые привязки: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Срок действия основного сертификата подписи токенов AD FS истек Срок действия сертификата подписи токена AD FS истек. AD FS не может выдавать подписанные токены, если этот сертификат недействителен. Если включено автоматическое обновление сертификатов, службы AD FS будут управлять обновлением сертификата подписи токенов.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже.

    1. Получите новый сертификат подписи токена.
      1. Убедитесь, что расширенное использование ключей (EKU) содержит цифровую подпись.
      2. У объекта или альтернативного имени объекта (SAN) нет ограничений.
      3. Помните, что серверам федерации, серверам федерации партнера по ресурсам и серверам приложений проверяющей стороны необходимо иметь возможность подключаться к доверенному корневому центру сертификации при проверке сертификата подписи маркера.
    2. Установите сертификат в локальном хранилище сертификатов на каждом сервере федерации.
      • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    3. Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.
    4. Добавьте новый сертификат в AD FS.
      1. Запустите Управление AD FS из меню "Административные инструменты".
      2. Разверните узел "Служба" и выберите "Сертификаты".
      3. В области "Действия" выберите "Добавить сертификат Token-Signing".
      4. Вы увидите список сертификатов, допустимых для подписи токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в личном хранилище локального компьютера с закрытым ключом и имеет атрибут цифровой подписи KU.
      5. Выберите новый сертификат Token-Signing и нажмите кнопку "ОК"
    5. Сообщите всем проверяющим сторонам об изменении сертификата подписи маркера.
      1. Стороны, зависящие от метаданных федерации служб AD FS, должны загрузить новые метаданные федерации, чтобы использовать новый сертификат.
      2. Стороны, полагающиеся на службы AD FS и не использующие метаданные федерации, должны вручную обновить открытый ключ нового сертификата подписи маркера. Передайте CER-файл проверяющим сторонам.
    6. Установите новый сертификат подписи токена как основной.
      1. Когда выбран узел "Сертификаты" в оснастке управления AD FS, вы должны увидеть два сертификата в разделе Token-Signing: существующий и новый сертификат.
      2. Выберите новый сертификат Token-Signing, нажмите правой кнопкой мыши и выберите "Установить как основной ".
      3. Оставьте старый сертификат в качестве вторичного для управления переходом. Вы должны планировать удаление старого сертификата, как только будете уверены, что он больше не нужен для обновления, или после его истечения срока действия. Помните, что сеансы единого входа текущих пользователей активированы. Текущие отношения доверия прокси-сервера AD FS используют токены, которые подписаны и зашифрованы с помощью старого сертификата.
    Proxy server is dropping requests for congestion control (Прокси-сервер отклоняет запросы для предотвращения перегрузки) Этот прокси-сервер сейчас отклоняет запросы из экстрасети из-за более высокой, чем обычно, задержки между ним и сервером федерации. В результате определенная часть запросов проверки подлинности, обрабатываемых прокси-сервером AD FS, может завершиться ошибкой.
  • Убедитесь, что задержка сетевого подключения между прокси-сервером федерации и серверами федерации находится в допустимом диапазоне. Обратитесь к разделу "Мониторинг" для просмотра значений тренда "Задержка запроса токена". Если задержка превышает [1500 мс], она должна рассматриваться как высокая. Если наблюдается высокая задержка, убедитесь, что сеть между серверами AD FS и прокси-серверами AD FS не имеет проблем с подключением.
  • Убедитесь, что серверы федерации не перегружены запросами проверки подлинности. В разделе мониторинга представлены трендовые представления запросов токенов в секунду, использования ЦП и потребления памяти.
  • Если после указанных выше проверок проблема не была устранена, измените параметр предотвращения перегрузки на каждом прокси-сервере федерации в соответствии с инструкциями из связанных ссылок.
    		•
    Учетной записи службы AD FS отказано в доступе к одному из личных ключей сертификата. У учетной записи службы AD FS нет доступа к закрытому ключу одного из сертификатов AD FS на этом компьютере. Убедитесь, что у учетной записи службы AD FS есть доступ к сертификатам TLS, подписи токена и расшифровки токена, которые хранятся в хранилище сертификатов на локальном компьютере.
    1. В командной строке введите "MMC".
    2. Перейдите в меню "Файл" и выберите > "Добавить/удалить оснастку".
    3. Выберите сертификаты и нажмите кнопку "Добавить". —> Выберите учетную запись компьютера и выберите "Далее". —> Выберите локальный компьютер и нажмите кнопку "Готово". Нажмите кнопку "ОК".

    Откройте раздел "Сертификаты (локальный компьютер)/Личные/Сертификаты". Для всех сертификатов, используемых службами AD FS, сделайте следующее:
    1. Щелкните правой кнопкой мыши по сертификату.
    2. Выберите "Все задачи > Управление закрытыми ключами".
    3. На вкладке "Безопасность" убедитесь, что в разделе имен групп или пользователей есть учетная запись службы AD FS. В противном случае щелкните "Добавить" и добавьте учетную запись служб AD FS.
    4. Выберите учетную запись служб AD FS и в разделе "Разрешения для <Имя учетной записи служб AD FS>" убедитесь, что включено разрешение на чтение (должен быть установлен флажок).
    SSL-сертификат AD FS не имеет закрытого ключа TLS/SSL-сертификат AD FS установлен без закрытого ключа. В результате любой запрос проверки подлинности по протоколу SSL завершается сбоем. Например, проверка подлинности почтового клиента для Microsoft 365 завершается ошибкой. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите общедоступный доверенный TLS/SSL-сертификат, выполнив следующие требования.
      1. Файл установки сертификата содержит закрытый ключ.
      2. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
      3. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    2. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    3. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в версии Windows Server 2008 R2:

    • Привяжите новый сертификат TLS/SSL к веб-сайту в IIS, который размещает службу федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 или более поздних версиях:

  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    • Срок действия основного сертификата расшифровки токенов AD FS истек. Срок действия первичного сертификата расшифровки маркера AD FS истек. AD FS не может расшифровывать токены от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не могут пройти проверку подлинности для доступа к ресурсам.

    Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже.

    1. Получите новый сертификат расшифровки токена.
      • Убедитесь, что для улучшенного использования ключа (EKU) включена зашифровка ключа.
      • У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
      • Помните, что серверы федерации и партнеры-поставщики утверждений должны иметь возможность установить цепочку к доверенному корневому центр сертификации при проверке сертификата расшифровки токена.
    2. Определите, каким образом партнеры-поставщики утверждений будут доверять новому сертификату для расшифровки токенов.
      • Попросите партнеров извлечь метаданные федерации после обновления сертификата.
      • Передайте открытый ключ нового сертификата (.cer файл) с партнерами. На сервере AD FS партнера-поставщика утверждений запустите консоль управления AD FS из меню "Административные инструменты". В разделе "Отношения доверия/Доверительные отношения с доверяющей стороной" выберите доверительные отношения, созданные для вас. В разделе "Свойства и шифрование" выберите "Обзор", чтобы выбрать новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    3. Установите сертификат в локальном хранилище сертификатов каждого сервера федерации.
      • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    4. Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.
    5. Добавьте новый сертификат в AD FS.
      • Запустите управление AD FS из меню "Административные инструменты".
      • Разверните "Служба" и выберите "Сертификаты".
      • В области "Действия" выберите "Добавить сертификат Token-Decrypting"
      • Вы увидите список сертификатов, допустимых для расшифровки токенов. Если вы обнаружите, что новый сертификат отсутствует в списке, необходимо вернуться и убедиться, что сертификат находится в личном хранилище на локальном компьютере с закрытым ключом, связанным с ним, и сертификат имеет шифрование ключа в качестве расширенного использования ключа.
      • Выберите новый сертификат Token-Decrypting и нажмите кнопку "ОК".
    6. Назначьте новый сертификат дешифрования токенов основным.
      • С выбраным узлом "Сертификаты" в Управлении AD FS, теперь вы должны увидеть два сертификата в разделе "Расшифровка токенов": существующий и новый сертификат.
    7. Выберите новый сертификат Token-Decrypting, щелкните правой кнопкой мыши и выберите "Задать в качестве основного".
    8. Оставьте старый сертификат в качестве вторичного для обеспечения плавного перехода. Вы должны запланировать удаление старого сертификата после того, как будете уверены, что он больше не нужен для перехода, или когда срок действия сертификата истечет.

    Оповещения для доменных служб Active Directory

    Имя оповещения Описание Устранение проблем
    Domain controller is unreachable via LDAP ping (Контроллер домена недостижим для проверки связи LDAP) Контроллер домена недоступен через протокол LDAP Ping. Это может быть вызвано проблемами с сетью или компьютером. В результате протокол LDAP Pings завершается ошибкой.
  • Просмотрите список оповещений для связанных оповещений, например: контроллер домена не рекламирует.
  • Убедитесь, что на затронутом контроллере домена достаточно места. Когда закончится место на диске, контроллер домена перестанет объявлять себя сервером LDAP.
  • Попытка найти PDC: Запуск
    netdom query fsmo
    на затронутом контроллере домена.
  • Убедитесь, что физическая сеть правильно настроена и подключена.
    • Обнаружена ошибка репликации Active Directory На этом контроллере домена произошли ошибки репликации. Ознакомиться с ними можно на панели мониторинга состояния репликации. Ошибки репликации могут возникать из-за неправильной настройки или других связанных проблем. Необработанные ошибки репликации могут привести к несогласованности данных. Ознакомьтесь с дополнительными сведениями об именах затронутых исходных и конечных контроллеров домена. Перейдите на панель мониторинга состояния репликации и найдите активные ошибки в затронутых контроллерах домена. Выберите ошибку, чтобы открыть панель с дополнительными сведениями об исправлении данной ошибки.
    Domain controller is unable to find a PDC (Контроллеру домена не удалось найти основной контроллер домена) PDC недоступен через этот контроллер домена. Это повлияет на вход пользователей в систему и приведет к сбою применения изменений групповой политики и синхронизации системного времени.
  • Просмотрите список оповещений для связанных предупреждений, которые могут повлиять на ваш PDC, например: контроллер домена не объявляет о себе.
  • Попытка найти PDC: Запуск начат
    netdom query fsmo
    на затронутом контроллере домена.
  • Убедитесь, что сеть работает правильно.
    • Domain controller is unable to find a Global Catalog server (Контроллеру домена не удалось найти сервер глобального каталога) Глобальный сервер каталога недоступен из этого контроллера домена. В результате попытки выполнить проверку подлинности через этот контроллер домена будут завершаться сбоем. Проверьте список оповещений на предмет любых оповещений контроллер домена не объявляет, где затронутый сервер может быть глобальным каталогом. Если нет оповещений об объявлениях, проверьте SRV записи для глобальных каталогов. Их можно проверить, выполнив следующие действия:
    nltest /dnsgetdc: [ForestName] /gc
    Он должен отображать контроллеры домена, рекламирующиеся как глобальные каталоги (GCs). Если список пуст, проверьте конфигурацию DNS, чтобы убедиться, что GC зарегистрировала записи SRV. Контроллер домена может найти их в DNS.
    Сведения об устранении неполадок с глобальными каталогами см. в статье о рекламировании в качестве глобального сервера каталогов.
    Контроллер домена не может получить доступ к локальной общей папке sysvol SYSVOL содержит важные элементы из объектов групповой политики и скрипты для распространения на контроллерах домена в пределах домена. Доменный контроллер не будет объявлять себя как DC и групповые политики не будут активироваться. См. как устранять неполадки с отсутствующими общими папками sysvol и Netlogon
    Domain Controller time is out of sync (Время контроллера домена не синхронизировано) Время на этом контроллере домена выходит за пределы нормального диапазона сдвига по времени. В результате аутентификация Kerberos не удается.
  • Перезапуск службы времени Windows: выполнить
    net stop w32time
    затем
    net start w32time
    на затронутом контроллере домена.
  • Время повторной синхронизации: запуск
    w32tm /resync
    на затронутом контроллере домена.
    		•
    Контроллер домена не является рекламой Этот контроллер домена неправильно сообщает о ролях, которые он может выполнять. Это может быть вызвано проблемами репликации, неправильной настройкой DNS, неработающими важными службами или неполной инициализацией сервера. В результате контроллеры домена, члены домена и другие устройства не могут найти этот контроллер домена. Кроме того, другие контроллеры домена не смогут выполнять репликацию из этого контроллера домена. Проверьте, нет ли в списке оповещений других связанных оповещений, например "Репликация не работает". Время контроллера домена не синхронизируется. Служба Netlogon не запущена. Службы DFSR и (или) NTFRS не запущены. Определите и устраните связанные проблемы с DNS: войдите в затронутый контроллер домена. Откройте журнал системных событий. Если в журнале есть события 5774, 5775 или 5781, см. Устранение неполадок при сбое регистрации DNS-записей для указателя контроллера домена. Определите и устраните неполадки, связанные со службой времени Windows. Убедитесь, что служба времени Windows работает: выполните команду net start w32time на соответствующем контроллере домена. Перезапустите службу времени Windows: выполните команду net stop w32time, а затем — net start w32time на затронутом контроллере домена.
    Служба GPSVC не работает Если служба остановлена или отключена, параметры, настроенные администратором, не будут применяться, а приложения и компоненты не будут управляться с помощью групповой политики. Если служба отключена, могут не работать компоненты и приложения, зависящие от компонента групповых политик. Запустить
    net start gpsvc
    на затронутом контроллере домена.
    Службы DFSR и (или) NTFRS не запущены Если службы DFSR и NTFRS остановлены, контроллеры домена не могут реплицировать данные sysvol. Данные sysvol будут несогласованные.
  • Если используется DFSR, сделайте следующее:
      Запустите net start dfsr на затронутом контроллере домена.
    1. Если используется NTFRS, сделайте следующее:
        Запустите net start ntfrs на затронутом контроллере домена.
    • Служба Netlogon не запущена На этом контроллере домена невозможно будет выполнить запросы на вход в систему, регистрацию, проверку подлинности и поиск контроллеров домена. Запустите net start netlogon на затронутом контроллере домена.
    Служба W32Time не запущена Если служба времени Windows остановлена, синхронизация даты и времени будет недоступна. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются. Запустите net start win32Time на затронутом контроллере домена.
    Служба ADWS не запущена Если веб-службы Active Directory остановлены или отключены, клиентские приложения, такие как Active Directory PowerShell, не могут получить доступ к экземплярам службы каталогов, работающим локально на этом сервере, или управлять ими. Запустите net start adws на затронутом контроллере домена.
    Корневой PDC не синхронизируется с NTP-сервера Если вы не настроите PDC для синхронизации времени из внешнего или внутреннего источника времени, эмулятор PDC использует свои внутренние часы и сам является надежным источником времени для леса. Если время не является точным в самом PDC, все компьютеры будут иметь неправильные параметры времени. На затронутом контроллере домена откройте командную строку. Остановите службу времени с помощью команды: net stop w32time
  • Настройте внешний источник времени:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Примечание. Замените time.windows.com на адрес нужного внешнего источника времени. Запустите службу времени:
    net start w32time
    • Domain controller is quarantined (Контроллер домена помещен в карантин) Этот контроллер домена не подключен к другим рабочим контроллерам домена. Это может быть вызвано неправильной конфигурацией. В результате этот контроллер домена не задействован и не будет реплицироваться ни с кем. Включите входящую и исходящую репликацию: запустите repadmin /options ServerName -DISABLE_INBOUND_REPL на затронутом контроллере домена. Запустите repadmin /options ServerName -DISABLE_OUTBOUND_REPL на затронутом контроллере домена. Создайте подключение репликации к другому контроллеру домена.
    1. Откройте Сайты и Службы Active Directory: меню "Пуск", наведите указатель на Административные инструменты, а затем выберите Сайты и Службы Active Directory.
    2. В дереве консоли разверните "Сайты", а затем разверните сайт, к которому принадлежит этот контроллер домена.
    3. Разверните контейнер серверов, чтобы открыть список серверов.
    4. Разверните объект сервера для этого контроллера домена.
    5. Щелкните правой кнопкой мыши объект "Параметры NTDS" и выберите "Создать подключение доменных служб Active Directory" ...
    6. Выберите сервер из списка и нажмите кнопку "ОК".
    Удаление потерянных доменов из Active Directory
    Outbound Replication is Disabled (Исходящая репликация отключена) Доменные контроллеры с отключенной исходящей репликацией не могут распространять изменения, происходящие внутри. Чтобы включить исходящую репликацию на затронутом контроллере домена, выполните следующие действия: нажмите кнопку "Пуск", выберите "Запуск", введите cmd и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Inbound Replication is Disabled (Входящая репликация отключена) У контроллеров домена с отключенной входящей репликацией не будет обновленной информации. Это состояние может привести к сбоям при входе. Чтобы включить входящую репликацию на затронутом контроллере домена, выполните следующие действия: нажмите кнопку "Пуск", выберите "Запустить", введите cmd и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу Enter:
    repadmin /options -DISABLE_INBOUND_REPL
    Служба LanmanServer не запущена Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются. Запустите net start LanManServer на затронутом контроллере домена.
    Служба Центра распространения ключей Kerberos не запущена Если служба KDC остановлена, пользователи не могут выполнять аутентификацию через этот контроллер домена по протоколу Kerberos версии 5. Запустите net start kdc на затронутом контроллере домена.
    Служба DNS не запущена Если служба DNS остановлена, компьютеры и пользователи, использующие этот сервер в целях DNS, не находят ресурсы. Запустите net start dns на затронутом контроллере домена.
    В контроллере домена произошел откат USN (номера последовательного обновления) При откате USN изменения в объектах и атрибутах не проходят входящую репликацию контроллерами домена назначения, которые ранее зафиксировали USN. Так как эти контроллеры домена назначения считают, что они актуальны, ошибки репликации не сообщаются в журналах событий службы каталогов или средствами мониторинга и диагностики. Откат USN может повлиять на репликацию любого объекта или атрибута в любом разделе. Наиболее часто наблюдаемый побочный эффект заключается в том, что учетные записи пользователей и учетные записи компьютеров, созданные на контроллере домена, вернутого назад, не существуют у одного или нескольких партнеров по репликации. Или обновления паролей, созданные на контроллере домена отката, отсутствуют у репликационных партнеров. Существует два подхода к восстановлению после отката USN:

    Удалите контроллер домена из домена, выполнив следующие действия.

    1. Удалите Active Directory из контроллера домена, чтобы он стал автономным сервером. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      332199 Контроллеры домена не понижаются должным образом при использовании Мастера установки Active Directory для принудительного понижения в Windows Server 2003 и Windows 2000 Server.
    2. Завершите работу сервера с пониженной ролью.
    3. На исправном контроллере домена выполните очистку метаданных пониженного в должности контроллера домена. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      216498. Удаление данных из Active Directory после неудачного понижения роли контроллера домена.
    4. Если на неверно восстановленном контроллере домена размещены роли хозяина операций, переместите эти роли на работоспособный контроллер домена. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      255504. Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена.
    5. Перезапустите сервер с пониженной ролью.
    6. Если вам нужно, установите Active Directory на автономном сервере еще раз.
    7. Если контроллер домена раньше был глобальным каталогом, настройте его как глобальный каталог. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      313994. Как создать или переместить глобальный каталог в Windows 2000.
    8. Если на контроллере домена раньше размещались роли хозяина операций, переместите их обратно на контроллер домена. Для получения дополнительных сведений выберите следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      255504. Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена. Восстановление состояния системы из действительной резервной копии.

    Определите, есть ли действительные резервные копии состояния системы для этого контроллера домена. Если валидная резервная копия состояния системы была создана до того, как контроллер домена с выполненным откатом был неправильно восстановлен, и она содержит последние изменения, внесенные на контроллере домена, восстановите состояние системы из последней резервной копии.

    Вы также можете использовать моментальный снимок в качестве источника резервной копии. Кроме того, можно настроить базу данных на присвоение нового идентификатора вызова, используя процедуру в разделе "Для восстановления предыдущей версии виртуального контроллера домена VHD без резервной копии данных состояния системы" в этой статье.

    Следующие шаги