Каталог оповещений о работоспособности Microsoft Entra Connect
Служба microsoft Entra Connect Health отправляет оповещения о том, что инфраструктура удостоверений не работает. Эта статья содержит заголовки оповещений, описания и действия по устранению проблемы, связанные с каждым оповещением.
Три этапа оповещений, которые генерируются службой Connect Health, включают оповещение об ошибке, предупреждение и предварительное предупреждение. Мы настоятельно рекомендуем немедленно реагировать на полученные оповещения.
Оповещения о работоспособности Microsoft Entra Connect разрешаются при условии успешности. Агенты работоспособности Microsoft Entra Connect обнаруживают и сообщают о условиях успешности в службу периодически. Для нескольких оповещений подавление осуществляется на основе времени. Иными словами, если одно и то же условие ошибки не наблюдается в течение 72 часов с момента создания оповещения, оповещение разрешается автоматически.
Общие Оповещения
Имя оповещения | Description | Серверы |
---|---|---|
Данные службы работоспособности не актуальны | Один или несколько агентов мониторинга состояния, работающих на одном или нескольких серверах, не подключены к службе мониторинга, и служба не получает последние данные с этого сервера. Последние данные, обработанные службой работоспособности, были получены более 2 часов назад. | Убедитесь, что агенты работоспособности могут устанавливать исходящие подключения к требуемым конечным точкам служб. Подробнее |
Оповещения для Microsoft Entra Connect (синхронизация)
Имя оповещения | Description | Серверы |
---|---|---|
Служба синхронизации Microsoft Entra Connect не запущена | Служба синхронизации идентификаторов Microsoft Entra ID Windows не запущена или не может запуститься. В результате объекты не будут синхронизироваться с идентификатором Microsoft Entra. | Запуск служб синхронизации идентификаторов Microsoft Entra
|
Сбой импорта из Microsoft Entra ID | Не удалось выполнить операцию импорта из соединителя Microsoft Entra. | Дополнительные сведения см. в ошибках в журнале событий для операции импорта. |
Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности | Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности. В результате объекты не будут синхронизированы с идентификатором Microsoft Entra. | Дополнительные сведения см. в ошибках в журнале событий. |
Export to Active Directory failed (Сбой экспорта в Active Directory) | Операция экспорта в коннектор Active Directory не удалась. | Дополнительные сведения см. в ошибках в журнале событий для операции экспорта. |
Import from Active Directory failed (Сбой импорта из Active Directory) | Произошел сбой импорта из Active Directory. В результате объекты из некоторых доменов из этого леса не могут быть импортированы. | |
Сбой экспорта в Microsoft Entra ID | Операция экспорта в соединитель Microsoft Entra не удалась. В результате некоторые объекты могут не быть успешно экспортированы в Microsoft Entra ID. | Дополнительные сведения см. в ошибках в журнале событий для операции экспорта. |
Проверка пульса синхронизации хэшей паролей была пропущена в течение последних 120 минут | Синхронизация хэша паролей не подключена к идентификатору Microsoft Entra за последние 120 минут. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. | Перезапустите службы синхронизации идентификаторов Microsoft Entra: Все операции синхронизации, выполняемые в настоящее время, прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже. 1. Выберите Запустить, выберите Запустить, введите Services.msc, а затем нажмите кнопку ОК. 2. Найдите Microsoft Entra ID Sync, щелкните правой кнопкой мыши и выберите Перезапустить. |
Слишком высокий коэффициент использования ЦП | Процент использования ЦП превысил рекомендуемое пороговое значение для этого сервера. |
|
Обнаружено высокое потребление памяти | Процент использования памяти сервера превышает рекомендуемое пороговое значение на этом сервере. | Изучите основные процессы, потребляющие наибольший объем памяти на сервере. Можно использовать диспетчер задач или выполнить следующую команду PowerShell: get-process | Sort-Object -Убывание WS | Select-Object -First 10 , если есть непредвиденные процессы, использующие высокую память, остановите процессы с помощью следующей команды PowerShell: stop-process -ProcessName [имя процесса] |
Синхронизация хэша паролей перестала работать | Синхронизация хэша паролей остановлена. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. | Перезапустите службы синхронизации идентификаторов Microsoft Entra: Все операции синхронизации, выполняемые в настоящее время, прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
|
Экспорт в Microsoft Entra ID был остановлен. Достигнуто пороговое значение случайных удалений | Ошибка операции экспорта в Microsoft Entra ID. Количество объектов для удаления превысило настроенное пороговое значение. В результате объекты не были экспортированы. | Число объектов, помеченных для удаления, больше максимального порогового значения. Чтобы оценить объекты, ожидающие удаления, см. раздел , чтобы предотвратить случайное удаление. |
Оповещения для служб федерации Active Directory
Имя оповещения | Description | Серверы |
---|---|---|
Test Authentication Request (Synthetic Transaction) failed to obtain a token (Тестовому запросу проверки подлинности (искусственной транзакции) не удалось получить маркер) | Тестовые запросы проверки подлинности (искусственные транзакции), инициированные этим сервером, не смогли получить маркер после пяти повторных попыток. Это может быть вызвано временными проблемами сети, доступностью контроллера домена AD DS или неправильно настроенным сервером AD FS. В результате запросы на проверку подлинности, обработанные федеративной службой, могут завершиться ошибкой. Агент использует контекст учетной записи локального компьютера для получения маркера из службы федерации. | Для проверки работоспособности сервера выполните шаги ниже.
Если имя службы не удается устранить, ознакомьтесь с разделом часто задаваемых вопросов о добавлении записи файла HOST службы AD FS с IP-адресом этого сервера. Это позволяет модулю искусственных транзакций, работающему на этом сервере, запрашивать токен |
Прокси-сервер не может связаться с сервером федерации | Этот прокси-сервер AD FS не может связаться со службой AD FS. В результате запросы проверки подлинности, обработанные этим сервером, завершаются сбоем. | Выполните следующие действия, чтобы проверить подключение между этим сервером и службой AD FS.
|
The SSL Certificate is about to expire (Срок действия SSL-сертификата скоро истекает) | Срок действия TLS/SSL-сертификата, используемого серверами федерации, истекает через 90 дней. После истечения срока действия все запросы, для которых требуется действительное подключение TLS, завершаются сбоем. Например, для клиентов Microsoft 365 почтовые клиенты не могут пройти проверку подлинности. | Обновите TLS/SSL-сертификат для каждого сервера AD FS.
Для служб AD FS 2.0 в Windows Server 2008 R2:
Для служб AD FS в Windows Server 2012 R2 и более поздних версиях: |
Служба AD FS не запущена на сервере | Служба федерации Active Directory (служба Windows) не работает на этом сервере. Все запросы, предназначенные для этого сервера, завершаются сбоем. | Чтобы запустить службу федерации Active Directory (службу Windows), сделайте следующее:
|
Dns для службы федерации может быть неправильно настроен | DNS-сервер можно настроить, чтобы использовать запись CNAME для имени фермы служб AD FS. Рекомендуется использовать запись A или AAAA для AD FS, чтобы интегрированная проверка подлинности Windows бесперебойно работала в корпоративной сети. | Убедитесь, что тип записи DNS фермы <Farm Name> AD FS не является CNAME. Настройте в этом случае использование записи A или AAAA. |
AD FS Auditing is disabled (Аудит AD FS отключен) | Аудит AD FS для этого сервера отключен. Раздел "Использование AD FS" на портале не будет включать данные с этого сервера. | Если аудиты AD FS не включены, выполните следующие инструкции:
После этого из средства просмотра событий можно просмотреть события аудита AD FS. Чтобы выполнить проверку:
Если вы следовали этим инструкциям, но по-прежнему видите это оповещение, возможно, что объект групповой политики отключает аудит AD FS. Ниже перечислены возможные причины.
|
AD FS SSL certificate is self-signed (SSL-сертификат служб AD FS является самозаверяющим) | В настоящее время вы используете самозаверяющий сертификат в качестве SSL-сертификата в ферме AD FS. В результате проверка подлинности почтового клиента для Microsoft 365 завершается сбоем. | Обновите TLS/SSL-сертификат для каждого сервера AD FS.
Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
Для служб AD FS 2.0 в Windows Server 2008 R2: Для служб AD FS в Windows Server 2012 R2 или более поздних версиях: |
Доверие между прокси-сервером и сервером федерации недопустимо | Не удалось установить или продлить доверие между прокси-сервером федерации и службой федерации. | Обновите сертификат доверия прокси-сервера. Повторно запустите мастер настройки прокси-сервера. |
Защита блокировки экстрасетей отключена для AD FS | Функция защиты блокировки экстрасетей отключена для фермы AD FS. Эта функция защищает пользователей от атак методом перебора через Интернет и от атак типа "отказ в обслуживании", когда включены политики блокировки учетных записей AD DS. Если эта функция включена и количество неудачных попыток входа в систему через экстрасеть для пользователя (вход через сервер WAP и AD FS) превышает 'ExtranetLockoutThreshold', серверы AD FS прекратят обработку дальнейших попыток входа на протяжении 'ExtranetObservationWindow'. Мы настоятельно рекомендуем включить эту функцию на ваших серверах AD FS. | Выполните следующую команду, чтобы включить защиту блокировки экстрасетей для AD FS со значениями по умолчанию. Set-AdfsProperties -EnableExtranetLockout $true Если для пользователей настроены политики блокировки AD, убедитесь, что для свойства ExtranetLockoutThreshold задано значение ниже порогового значения блокировки AD DS. Так вы сможете гарантировать, что запросы, которые превысят пороговое значение AD FS, будут отброшены и не будут проверяться для серверов AD DS. |
Invalid Service Principal Name (SPN) for the AD FS service account (Недопустимое имя субъекта-службы (SPN) учетной записи служб AD FS) | Имя субъекта-службы учетной записи службы федерации не зарегистрировано или не является уникальным. В результате встроенная проверка подлинности Windows от клиентов, присоединенных к домену, может оказаться не простой. | Используйте команду [SETSPN -L ServiceAccountName] для получения списка субъектов-служб. Используйте команду [SETSPN -X] для проверки на наличие повторяющихся имен субъектов-служб. Если SPN-имя повторяется для учетной записи службы AD FS, удалите его с помощью команды [SETSPN -d service/namehostname]. Если имя субъекта-службы не задано, используйте [SETPN-s {Desired-SPN} {domain_name}{service_account}], чтобы задать требуемое имя субъекта-службы для учетной записи службы федерации. |
The Primary AD FS Token Decrypting certificate is about to expire (Срок действия основного сертификата расшифровки маркера AD FS скоро истекает) | Срок действия основного сертификата расшифровки токенов AD FS скоро истекает менее чем через 90 дней. AD FS не может расшифровывать маркеры от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не могут пройти проверку подлинности для доступа к ресурсам. | Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера. Если вы управляете сертификатом вручную, следуйте инструкциям ниже. Получите новый сертификат расшифровки маркера.
|
The Primary AD FS Token Signing certificate is about to expire (Срок действия основного сертификата подписи маркера AD FS скоро истекает) | Срок действия сертификата подписи маркера AD FS истекает через 90 дней. AD FS не может выдавать подписанные маркеры, если этот сертификат недействителен. |
Получите новый сертификат подписи маркера.
|
SSL-сертификат AD FS не найден в локальном хранилище сертификатов | Сертификат с отпечатком, настроенным как TLS/SSL-сертификат в базе данных AD FS, не найден в локальном хранилище сертификатов. В результате любой запрос проверки подлинности по протоколу TLS завершается сбоем. Например, проверка подлинности почтового клиента для Microsoft 365 завершается ошибкой. | Установите сертификат с настроенным отпечатком в локальное хранилище сертификатов. |
The SSL Certificate expired (Срок действия SSL-сертификата истек) | Истек срок действия TLS/SSL для службы AD FS. В результате все запросы проверки подлинности, требующие допустимого подключения TLS, завершаются сбоем. Например, почтовый клиент не может пройти авторизацию в Microsoft 365. | Обновите TLS/SSL-сертификат для каждого сервера AD FS.
Для служб AD FS 2.0 в Windows Server 2008 R2:
Для служб AD FS в Windows Server 2012 R2 или более поздних версиях: См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016). |
Обязательные конечные точки для идентификатора Microsoft Entra (для Microsoft 365) не включены | Следующий набор конечных точек, необходимых для служб Exchange Online Services, идентификатора Microsoft Entra и Microsoft 365, не включен для службы федерации: |
Включите требуемые конечные точки для облачных служб (Майкрософт) в своей службе федерации. Для AD FS в Windows Server 2012R2 или более поздних версиях |
The Federation server was unable to connect to the AD FS Configuration Database (Серверу федерации не удалось подключиться к базе данных конфигурации AD FS) | У учетной записи службы AD FS возникли проблемы с подключением к базе данных конфигурации AD FS. В результате служба AD FS на этом компьютере может не функционировать должным образом. | |
Required SSL bindings are missing or not configured (Требуемые привязки SSL отсутствуют или неправильно настроены) | Привязки TLS, необходимые этому серверу федерации для успешной проверки подлинности, настроены неправильно. В результате AD FS не может обрабатывать входящие запросы. | Для Windows Server 2012 R2 Откройте командную строку администратора с повышенными привилегиями и выполните следующие команды:
|
Срок действия основного сертификата подписи токенов AD FS истек | Срок действия сертификата подписи токена AD FS истек. AD FS не может выдавать подписанные маркеры, если этот сертификат недействителен. | Если включена автоматическая смена сертификатов, службы AD FS будут управлять обновлением сертификата для подписи маркера. Если вы управляете сертификатом вручную, следуйте инструкциям ниже.
|
Proxy server is dropping requests for congestion control (Прокси-сервер отклоняет запросы для предотвращения перегрузки) | Этот прокси-сервер сейчас отклоняет запросы из экстрасети из-за более высокой, чем обычно, задержки между ним и сервером федерации. В результате определенная часть запросов проверки подлинности, обрабатываемых прокси-сервером AD FS, может завершиться ошибкой. | |
Учетной записи службы AD FS отказано в доступе к одному из личных ключей сертификата. | У учетной записи службы AD FS нет доступа к закрытому ключу одного из сертификатов AD FS на этом компьютере. | Убедитесь, что у учетной записи службы AD FS есть доступ к TLS-сертификату, сертификату подписи маркера и сертификату расшифровки маркера, которые хранятся на локальном компьютере в хранилище сертификатов.
Откройте раздел "Сертификаты (локальный компьютер)/Личные/Сертификаты". Для всех сертификатов, используемых службами AD FS, сделайте следующее:
|
SSL-сертификат AD FS не имеет закрытого ключа | TLS/SSL-сертификат AD FS установлен без закрытого ключа. В результате любой запрос проверки подлинности по протоколу SSL завершается сбоем. Например, проверка подлинности почтового клиента для Microsoft 365 завершается ошибкой. | Обновите TLS/SSL-сертификат для каждого сервера AD FS.
Для служб AD FS 2.0 в Windows Server 2008 R2:
Для служб AD FS в Windows Server 2012 R2 или более поздних версиях: |
Срок действия основного сертификата расшифровки токенов AD FS истек. | Срок действия первичного сертификата расшифровки маркера AD FS истек. AD FS не может расшифровывать маркеры от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не могут пройти проверку подлинности для доступа к ресурсам. | Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера. Если вы управляете сертификатом вручную, следуйте инструкциям ниже.
|
Оповещения для доменных служб Active Directory
Имя оповещения | Description | Серверы |
---|---|---|
Domain controller is unreachable via LDAP ping (Контроллер домена недостижим для проверки связи LDAP) | Контроллер домена недоступен через протокол LDAP Ping. Это может быть вызвано проблемами с сетью или компьютером. В результате протокол LDAP Pings завершается ошибкой. | netdom query fsmo на затронутом контроллере домена. |
Обнаружена ошибка репликации Active Directory | На этом контроллере домена произошли ошибки репликации. Ознакомиться с ними можно на панели мониторинга состояния репликации. Ошибки репликации могут возникать из-за неправильной настройки или других связанных проблем. Необработанные ошибки репликации могут привести к несогласованности данных. | Ознакомьтесь с дополнительными сведениями об именах затронутых исходных и конечных контроллеров домена. Перейдите на панель мониторинга состояния репликации и найдите активные ошибки в затронутых контроллерах домена. Выберите ошибку, чтобы открыть панель с дополнительными сведениями об исправлении данной ошибки. |
Domain controller is unable to find a PDC (Контроллеру домена не удалось найти основной контроллер домена) | PDC недоступен через этот контроллер домена. Это повлияет на вход пользователей в систему и приведет к сбою применения изменений групповой политики и синхронизации системного времени. | netdom query fsmo на затронутом контроллере домена. |
Domain controller is unable to find a Global Catalog server (Контроллеру домена не удалось найти сервер глобального каталога) | Глобальный сервер каталога недоступен из этого контроллера домена. В результате попытки выполнить проверку подлинности через этот контроллер домена будут завершаться сбоем. | Проверьте список оповещений для любого контроллера домена не рекламируют оповещения, в которых затронутый сервер может быть сборкой мусора. Если нет оповещений об объявлениях, проверьте наличие глобальных каталогов в записях SRV. Их можно проверить, выполнив следующие действия: nltest /dnsgetdc: [ForestName] /gc Он должен содержать список контроллеров домена как GCs. Если список пуст, проверьте конфигурацию DNS, чтобы убедиться, что GC зарегистрировала записи SRV. Контроллер домена может найти их в DNS. Сведения об устранении неполадок с глобальными каталогами см. в статье об объявлении глобального сервера каталогов. |
Контроллер домена не может получить доступ к локальной общей папке sysvol | SYSVOL содержит важные элементы из объектов групповой политики и скриптов, распространяемых на контроллерах домена в домене. Контроллер домена не будет объявлять себя как контроллер домена и групповые политики не будут применяться. | Узнайте , как устранять неполадки с отсутствующими общими папками sysvol и Netlogon |
Domain Controller time is out of sync (Время контроллера домена не синхронизировано) | Время на этом контроллере домена выходит за пределы нормального диапазона сдвига по времени. В результате аутентификация Kerberos не удается. | net stop w32time затем net start w32time на затронутом контроллере домена. w32tm /resync на затронутом контроллере домена. |
Контроллер домена не является рекламой | Этот контроллер домена не является правильной рекламой ролей, которые он может выполнять. Это может быть вызвано проблемами репликации, неправильной настройкой DNS, неработающими важными службами или неполной инициализацией сервера. В результате контроллеры домена, члены домена и другие устройства не могут найти этот контроллер домена. Кроме того, другие контроллеры домена не смогут выполнять репликацию из этого контроллера домена. | Проверьте, нет ли в списке оповещений других связанных оповещений, например "Репликация не работает". Время контроллера домена не синхронизируется. Служба Netlogon не запущена. Службы DFSR и(или) NTFRS не выполняются. Определите и устраните связанные проблемы с DNS: войдите в затронутый контроллер домена. Откройте журнал системных событий. Если в журнале есть события 5774, 5775 или 5781, ознакомьтесь со сведениями об устранении неполадок при сбое регистрации DNS-записей для указателя контроллера домена. Определите и устраните неполадки, связанные со службой времени Windows. Убедитесь, что служба времени Windows работает: выполните команду net start w32time на затронутом контроллере домена. Перезапустите службу времени Windows: выполните команду net stop w32time, а затем — net start w32time на затронутом контроллере домена. |
Служба GPSVC не работает | Если служба остановлена или отключена, параметры, настроенные администратором, не будут применяться, а приложения и компоненты не будут управляться с помощью групповой политики. Если служба отключена, могут не работать компоненты и приложения, зависящие от компонента групповых политик. | Выполнить net start gpsvc на затронутом контроллере домена. |
Службы DFSR и (или) NTFRS не выполняются | Если службы DFSR и NTFRS остановлены, контроллеры домена не могут реплицировать данные sysvol. Sysvol Data будет вне согласованности. |
|
Служба Netlogon не запущена | На этом контроллере домена невозможно будет выполнить запросы на вход, регистрацию, проверку подлинности и поиск контроллеров домена. | Запустите net start netlogon на затронутом контроллере домена. |
Служба W32Time не запущена | Если служба времени Windows остановлена, синхронизация даты и времени будет недоступна. Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются. | Запустите net start win32Time на затронутом контроллере домена. |
Служба ADWS не запущена | Если веб-службы Active Directory остановлены или отключены, клиентские приложения, такие как Active Directory PowerShell, не могут получить доступ к экземплярам службы каталогов, работающим локально на этом сервере, или управлять ими. | Запустите net start adws на затронутом контроллере домена. |
Корневой PDC не синхронизируется с NTP-сервера | Если вы не настроите PDC для синхронизации времени из внешнего или внутреннего источника времени, эмулятор PDC использует свои внутренние часы и сам является надежным источником времени для леса. Если время не является точным в самом PDC, все компьютеры будут иметь неправильные параметры времени. | На затронутом контроллере домена откройте командную строку. Остановите службу времени: net stop w32time w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes Примечание. Замените time.windows.com на адрес нужного внешнего источника времени. Запустите службу времени: net start w32time |
Domain controller is quarantined (Контроллер домена помещен в карантин) | Этот контроллер домена не подключен к другим рабочим контроллерам домена. Это может быть вызвано неправильной конфигурацией. В результате этот контроллер домена не используется и не будет реплицироваться от кого-либо. | Включите входящую и исходящую репликацию: запустите repadmin /options ServerName -DISABLE_INBOUND_REPL на затронутом контроллере домена. Запустите repadmin /options ServerName -DISABLE_OUTBOUND_REPL на затронутом контроллере домена. Создайте подключение репликации к другому контроллеру домена.
|
Outbound Replication is Disabled (Исходящая репликация отключена) | Доменные контроллеры с отключенной исходящей репликацией не могут распространять изменения, происходящие внутри. | Чтобы включить исходящую репликацию на затронутом контроллере домена, выполните следующие действия: нажмите кнопку "Пуск", выберите "Запуск", введите cmd и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД: repadmin /options -DISABLE_OUTBOUND_REPL |
Inbound Replication is Disabled (Входящая репликация отключена) | У контроллеров домена с отключенной входящей репликацией нет последних сведений. Это может привести к сбоям при входе. | Чтобы включить входящую репликацию на затронутом контроллере домена, выполните следующие действия: нажмите кнопку "Пуск", выберите "Запустить", введите cmd и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД: repadmin /options -DISABLE_INBOUND_REPL |
Служба LanmanServer не запущена | Если эта служба отключена, все службы, которые явно зависят от нее, не запускаются. | Запустите net start LanManServer на затронутом контроллере домена. |
Служба Центра распространения ключей Kerberos не запущена | Если служба KDC остановлена, пользователи не могут выполнять аутентификацию через этот контроллер домена по протоколу Kerberos версии 5. | Запустите net start kdc на затронутом контроллере домена. |
Служба DNS не запущена | Если служба DNS остановлена, компьютеры и пользователи, использующие этот сервер в целях DNS, не находят ресурсы. | Запустите net start dns на затронутом контроллере домена. |
DC had USN Rollback (Откат номера последовательного обновления контроллера домена) | При откате USN изменения объектов и атрибутов не реплицируются контроллерами домена назначения, которые ранее видели USN. Так как эти контроллеры домена назначения считают, что они актуальны, ошибки репликации не сообщаются в журналах событий службы каталогов или средствами мониторинга и диагностики. Откат USN может повлиять на репликацию любого объекта или атрибута в любом разделе. Наиболее часто наблюдаемый побочный эффект заключается в том, что учетные записи пользователей и учетные записи компьютеров, созданные на контроллере домена, вернутого назад, не существуют у одного или нескольких партнеров по репликации. Или обновления паролей, созданные на контроллере домена отката, отсутствуют у репликационных партнеров. | Существует два подхода для восстановления после отката USN: Удалите контроллер домена из домена, выполнив следующие действия.
Определите, есть ли действительные резервные копии состояния системы для этого контроллера домена. Если действительная резервная копия состояния системы была создана до неправильного восстановления контроллера домена с выполненным откатом и содержит последние изменения, внесенные на контроллере домена, восстановите состояние системы по самой актуальной резервной копии. Вы также можете использовать моментальный снимок в качестве источника резервной копии. Кроме того, можно настроить в базе данных выдачу нового идентификатора вызова с помощью процедуры, описанной в разделе о восстановлении предыдущей версии виртуального жесткого диска контроллера домена без резервной копии состояния системы этой статьи. |