共用方式為


Microsoft Entra Connect Health 警示目錄

Microsoft Entra Connect Health 服務會傳送指出您身分識別基礎結構狀況不良的警示。 本文包含警示標題、說明及每個警示的補救步驟。
「錯誤」、「警告」及「預先警告」是從 Connect Health 服務產生之警示的三個階段。 強烈建議您針對所觸發的警示採取立即的動作。
Microsoft Entra Connect Health 警示會在成功情況下獲得解決。 Microsoft Entra Connect Health 代理程式會定期偵測成功情況,並向服務回報。 對於少數幾個警示,隱藏是以時間為基礎。 也就是說,如果在警示產生的 72 小時內未觀察到相同的錯誤狀況,就會自動解決警示。

一般 警示

警示名稱 描述 補救
健全狀況服務的資料並非最新 有一或多部伺服器上執行的健康情況代理程式未與健康情況服務連線,因此健康情況服務未收到此伺服器的最新資料。 健康情況服務上次處理的資料已是 2 小時前的資料。 請確認健康情況代理程式能夠連出到所需的服務端點。 閱讀更多資訊

Microsoft Entra Connect (同步) 的警示

警示名稱 描述 補救
Microsoft Entra Connect 同步服務未執行 Microsoft Entra ID 同步 Windows 服務未執行或無法啟動。 因此,物件不會與 Microsoft Entra ID 同步。 啟動 Microsoft Entra ID 同步服務
  1. 依序按一下 [啟動]、[執行],輸入 Services.msc,然後按一下 [確定]
  2. 找到 Microsoft Entra ID 同步服務,然後檢查服務是否已啟動。 如果服務未啟動,請在服務上按一下滑鼠右鍵,然後按一下 [啟動]
從 Microsoft Entra ID 匯入失敗 來自 Microsoft Entra 連接器的匯入作業失敗。 請調查匯入作業的事件記錄檔錯誤,以取得進一步的詳細資料。
由於驗證失敗,對 Microsoft Entra ID 的連接失敗 由於驗證失敗,對 Microsoft Entra ID 的連接失敗。 因此,物件不會與 Microsoft Entra ID 同步。 請調查事件記錄檔錯誤,以取得進一步的詳細資料。
匯出至 Active Directory 失敗 匯出至 Active Directory 連接器的作業失敗。 請調查匯出作業的事件記錄檔錯誤,以取得進一步的詳細資料。
從 Active Directory 匯入失敗 從 Active Directory 匯入失敗。 因此,可能無法匯入來自這個樹系中某些網域的物件。
  • 驗證 DC 連線
  • 手動重新執行匯入
  • 調查匯入作業的事件記錄檔錯誤,以取得進一步的詳細資料。
  • 匯出至 Microsoft Entra ID 失敗 匯出至 Microsoft Entra 連接器的作業失敗。 因此,某些物件可能無法成功匯出至 Microsoft Entra ID。 請調查匯出作業的事件記錄檔錯誤,以取得進一步的詳細資料。
    在過去 120 分鐘內,已跳過密碼雜湊同步處理活動訊號 密碼雜湊同步處理在過去 120 分鐘內皆未與 Microsoft Entra ID 連線。 因此,密碼不會與 Microsoft Entra ID 同步。 重新啟動 Microsoft Entra ID 同步服務:
    目前執行的所有同步處理作業都會中斷。 您可以選擇在未進行同步處理作業時執行下列步驟。
    1.依序按一下 [啟動]、[執行],輸入 Services.msc,然後按一下 [確定]
    2.找到 [Microsoft Entra ID 同步],按一下滑鼠右鍵,再按一下 [重新啟動]
    偵測到高 CPU 使用率 此伺服器的 CPU 耗用量百分比超出建議的臨界值。
  • 這可能是 CPU 耗用量暫時突然增加。 請查看 [監視] 區段中的 CPU 使用量趨勢。
  • 檢查伺服器上 CPU 使用量最高的前幾名處理序。
    1. 您可以使用工作管理員或執行下列 PowerShell 命令:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. 如有未預期的處理序正在耗用大量的 CPU,請使用下列 PowerShell 命令停止這些處理序:
      stop-process -ProcessName [處理序名稱]
  • 若上述清單中出現的處理序是預期會在伺服器上執行的處理序,而 CPU 耗用量持續趨近臨界值,請考慮重新評估此伺服器的部署需求。
  • 為了保險起見,您可以考慮重新啟動伺服器。
  • 偵測到高記憶體耗用量 此伺服器的記憶體耗用量百分比超出建議的臨界值。 檢查伺服器上記憶體使用量最高的前幾名處理序。 您可以使用工作管理員或執行下列 PowerShell 命令:
    get-process |Sort-Object -Descending WS |Select-Object -First 10
    如果有非預期的進程耗用高記憶體,請使用下列 PowerShell 命令停止進程:
    stop-process -ProcessName [處理序名稱]
  • 若上述清單中出現的處理序是預期會在伺服器上執行的處理序,請考慮重新評估此伺服器的部署需求。
  • 為了保險起見,您可以考慮重新啟動伺服器。
  • 密碼雜湊同步處理已停止運作 密碼雜湊同步處理已停止。 因此,密碼不會與 Microsoft Entra ID 同步。 重新啟動 Microsoft Entra ID 同步服務:
    目前執行的所有同步處理作業都會中斷。 您可以選擇在未進行同步處理作業時執行下列步驟。
    1. 依序按一下 [啟動]、[執行],輸入 Services.msc,然後按一下 [確定]
    2. 找到 [Microsoft Entra ID 同步],按一下滑鼠右鍵,再按一下 [重新啟動]

    匯出至 Microsoft Entra ID 已停止。 已達意外刪除臨界值 匯出至 Microsoft Entra ID 的作業失敗。 要刪除的物件數目超過設定的臨界值。 因此未匯出任何物件。
  • 標示要刪除的物件數目大於設定的臨界值。 請確定這是想要的結果。
  • 若要繼續匯出,請執行下列步驟:
    1. 執行 Disable-ADSyncExportDeletionThreshold 以停用臨界值
    2. 啟動 Synchronization Service Manager
    3. 在連接器上執行匯出,類型 = Microsoft Entra ID
    4. 成功匯出物件之後,執行 Enable-ADSyncExportDeletionThreshold 來啟用臨界值
  • Active Directory 同盟服務的警示

    警示名稱 描述 補救
    測試驗證要求 (綜合交易) 無法取得權杖 從這部伺服器起始的測試驗證要求 (綜合交易) 在 5 次重試後仍無法取得權杖。 這可能是因為暫時性的網路問題、AD DS 網域控制站可用性或未正確設定 AD FS 伺服器所造成。 因此,Federation Service 所處理的驗證要求可能會失敗。 代理程式會使用本機電腦帳戶內容從 Federation Service 取得權杖。 請確定已採取下列步驟,驗證伺服器的健全狀況。
    1. 請驗證伺服器陣列中的這部 AD FS 伺服器或其他 AD FS 伺服器,沒有任何其他未解決的警示。
    2. 以測試使用者身分從 AD FS 登入頁面 (https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx) 登入,藉以驗證此情況不是暫時性失敗。
    3. 前往 https://testconnectivity.microsoft.com,然後選擇 [Office 365] 索引標籤。執行「Office 365 單一登入測試」。
    4. 從這部伺服器上的命令提示字元執行下列命令,藉以驗證是否能從這部伺服器解析您的 AD FS 服務名稱。 nslookup your_adfs_server_name

    如果無法解析該服務名稱,請參閱常見問題集一節以取得指示,說明如何使用此伺服器的 IP 位址,新增 AD FS 服務的 HOST 檔案項目。 如此即能讓此伺服器上執行的綜合交易模組申請權杖

    Proxy 伺服器無法連線至同盟伺服器 這部 AD FS Proxy 伺服器無法連絡 AD FS 服務。 因此,這部伺服器所處理的驗證要求將會失敗。 執行下列步驟,以驗證這部伺服器和 AD FS 服務之間的連線。
    1. 確認已正確設定這部伺服器和 AD FS 服務之間的防火牆。
    2. 確認 AD FS 服務名稱的 DNS 解析,正確地指向位於公司網路內的 AD FS 服務。 您可以透過在周邊網路服務此伺服器的 DNS 伺服器,或透過 AD FS 服務名稱之 HOSTS 檔案中的項目,來完成此作業。
    3. 在這部伺服器上開啟瀏覽器並存取同盟中繼資料端點 (位於 https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml) ,以驗證網路連線能力
    SSL 憑證即將到期 同盟伺服器所使用的 TLS/SSL 憑證即將在 90 天內到期。 到期之後,所有需要有效 TLS 連線的要求都會失敗。 例如,Microsoft 365 客戶的郵件用戶端將無法進行驗證。 更新每部 AD FS 伺服器上的 TLS/SSL 憑證。
    1. 取得符合下列需求的 TLS/SSL 憑證。
      1. 增強金鑰使用方法至少須是「伺服器驗證」。
      2. 憑證主體或主體別名 (SAN) 包含 Federation Service 的 DNS 名稱或適當的萬用字元。 例如:sso.contoso.com 或 *.contoso.com
    2. 在本機電腦憑證存放區的每部伺服器上安裝新的 TLS/SSL 憑證。
    3. 確認 AD FS 服務帳戶有權讀取憑證的私密金鑰

    Windows Server 2008 R2 中的 AD FS 2.0:

    • 將新的 TLS/SSL 憑證繫結至託管同盟服務的 IIS 網站。 請注意,您必須在每部同盟伺服器及同盟伺服器 Proxy 上執行此步驟。

    Windows Server 2012 R2 和更新版本中的 AD FS:

  • 請參閱在 AD FS 和 WAP 中管理 SSL 憑證
  • AD FS 服務並未在伺服器上執行 Active Directory 同盟服務 (Windows 服務) 未執行於這部伺服器上。 所有以這部伺服器為目標的要求都會失敗。 若要啟動 Active Directory Federation Service (Windows 服務):
    1. 以系統管理員身分登入伺服器。
    2. 開啟 services.msc
    3. 尋找「Active Directory 同盟服務」
    4. 以滑鼠右鍵按一下並選取 [啟動]
    Federation Service 的 DNS 可能設定錯誤 您可以將 DNS 伺服器設定成會為 AD FS 伺服器陣列名稱使用 CNAME 記錄。 建議為 AD FS 使用 A 或 AAAA 記錄,以便 Windows 整合式驗證能夠在公司網路內順暢地運作。 確認 AD FS 伺服器陣列 <Farm Name> 的 DNS 記錄類型不是 CNAME。 請將其設定為 A 或 AAAA 記錄。
    已停用 AD FS 稽核 已為該伺服器停用 AD FS 稽核。 入口網站上的 AD FS [使用量] 區段不會包含這部伺服器的資料。 若未啟用 AD FS 稽核,請遵循下列指示:
    1. 將 AD FS 伺服器的「產生安全性稽核」權限授與 AD FS 服務帳戶。
    2. 在伺服器 gpedit.msc 上開啟本機安全性原則。
    3. 巡覽至 [電腦設定\Windows 設定\本機原則\使用者權限指派]。
    4. 新增 AD FS 服務帳戶,賦予其「產生安全性稽核」權限。
    5. 在命令提示字元中執行下列命令:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. 更新 Federation Service 屬性,以加入成功及失敗稽核。
    7. 在 AD FS 主控台中,選擇 [編輯同盟服務屬性]
    8. 從 [同盟服務屬性] 對話方塊中選擇 [事件] 索引標籤,然後選取 [成功稽核] 及 [失敗稽核]

    進行這些步驟之後,事件檢視器中應會顯示 AD FS 稽核事件。 若要確認:

    1. 請前往 [事件檢視器]/[Windows 記錄]/[安全性]。
    2. 選取 [篩選目前的記錄],然後從 [事件來源] 下拉式清單中選取 AD FS 稽核。 在啟用了 AD FS 稽核功能的作用中 AD FS 伺服器上,應會出現上述篩選的事件。

    若先前已執行過這些指示,但仍出現這則警示,可能是群組原則物件正在停用 AD FS 稽核。 根本原因可能是下列之一:

    1. 正在移除 AD FS 服務帳戶的「產生安全性稽核」權限。
    2. 群組原則物件中的自訂指令碼正依據「產生的應用程式」,停用成功稽核與失敗稽核。
    3. AD FS 組態未啟用,所以無法產生成功/失敗稽核。
    AD FS SSL 憑證是自我簽署憑證 您目前使用自我簽署憑證作為 AD FS 伺服器陣列中的 TLS/SSL 憑證。 因此,Microsoft 365 的郵件用戶端驗證將會失敗

    更新每部 AD FS 伺服器上的 TLS/SSL 憑證。

    1. 取得符合下列需求的公開信任 TLS/SSL 憑證。
    2. 憑證安裝檔案包含其私密金鑰。
    3. 增強金鑰使用方法至少須是「伺服器驗證」。
    4. 憑證主體或主體別名 (SAN) 包含 Federation Service 的 DNS 名稱或適當的萬用字元。 例如:sso.contoso.com 或 *.contoso.com

    在本機電腦憑證存放區的每部伺服器上安裝新的 TLS/SSL 憑證。

      確認 AD FS 服務帳戶有權讀取憑證的私密金鑰。
      Windows Server 2008 R2 中的 AD FS 2.0:
    1. 將新的 TLS/SSL 憑證繫結至託管同盟服務的 IIS 網站。 請注意,您必須在每部同盟伺服器及同盟伺服器 Proxy 上執行此步驟。

    2. Windows Server 2012 R2 或更新版本中的 AD FS:
    3. 請參閱在 AD FS 和 WAP 中管理 SSL 憑證
    Proxy 伺服器和同盟伺服器之間的信任無效 無法建立或更新同盟伺服器 Proxy 和同盟服務之間的信任。 更新 Proxy 伺服器上的 Proxy 信任憑證。 重新執行 [Proxy 組態精靈]。
    已為 AD FS 停用外部鎖定保護 您的 AD FS 伺服器陣列已停用外部鎖定保護功能。 AD DS 帳戶鎖定原則生效時,這項功能可保護使用者免受來自網際網路的暴力密碼破解攻擊,也可避免針對您使用者進行阻斷服務的攻擊。 啟用這項功能時,若使用者嘗試登入外部網路失敗的次數 (透過 WAP 伺服器和 AD FS 進行登入的嘗試) 超過 'ExtranetLockoutThreshold',則 AD FS 伺服器會停止處理 ‘ExtranetObservationWindow' 之後的登入嘗試。強烈建議您在 AD FS 伺服器上啟用此功能。 執行下列命令可使用預設值來啟用 AD FS 外部鎖定保護。
    Set-AdfsProperties -EnableExtranetLockout $true

    如果已為使用者設定了 AD 鎖定原則,請確定 'ExtranetLockoutThreshold' 屬性設定為低於 AD DS 鎖定閾值的值。 如此可確保超過 AD FS 閾值的要求會卸除,且永遠不會對 AD DS 伺服器進行驗證。
    AD FS 服務帳戶的服務主體名稱 (SPN) 無效 同盟服務帳戶的服務主體名稱未註冊或不是唯一的。 因此,來自加入網域的用戶端 Windows 整合式驗證可能不順暢。 使用 [SETSPN -L ServiceAccountName] 列出服務主體。
    使用 [SETSPN -X] 來檢查是否有重複的服務主體名稱。

    如果 AD FS 服務帳戶的 SPN 重複,請使用 [SETSPN -d service/namehostname] 從重複的帳戶移除 SPN。

    如果未設定 SPN,請使用 [SETSPN -s {Desired-SPN} {domain_name}{service_account}] 為同盟服務帳戶設定所需的 SPN。

    主要 AD FS 權杖解密憑證即將到期 主要 AD FS 權杖解密憑證即將在 90 天內到期。 AD FS 無法解密來自信任的宣告提供者的權杖。 AD FS 無法將加密的 SSO Cookie 解密。 使用者將無法進行驗證以存取資源。 如果已啟用自動憑證變換,AD FS 會管理權杖解密憑證。

    如果以手動方式管理憑證,請遵循下列指示。 取得新的權杖解密憑證。

    1. 確認增強金鑰使用方法 (EKU) 包含「金鑰編密」
    2. 主體或主體別名 (SAN) 沒有任何限制。
    3. 請注意,驗證權杖解密憑證時,您的同盟伺服器和宣告提供者夥伴,需要能夠鏈結至信任的根憑證授權單位。
    決定宣告提供者夥伴將如何信任新的權杖解密憑證。
    1. 要求夥伴在更新憑證之後,提取同盟中繼資料。
    2. 與夥伴共用新憑證 (.cer 檔案) 的公開金鑰。 在宣告提供者夥伴的 AD FS 伺服器上,從 [系統管理工具] 功能表啟動 AD FS 管理。 在 [信任關係]/[信賴憑證者信任] 下,選取為您所建立的信任。 在 [內容]/[加密] 下,按一下 [瀏覽] 以選取新的權杖解密憑證,然後按一下 [確定]。
    在每部同盟伺服器的本機憑證存放區中,安裝憑證。
    • 確認憑證安裝檔案具有每部伺服器上憑證的私密金鑰。
    確定同盟服務帳戶可以存取新憑證的私鑰。將新憑證新增至AD FS。
    1. 從 [系統管理工具] 功能表啟動 AD FS 管理
    2. 展開服務並選取憑證
    3. 在 [動作] 窗格中,按一下 [新增權杖解密憑證]
    4. 您將會看到對權杖解密有效的憑證清單。 如果您發現清單中沒有您的新憑證,則需要返回並確定本機電腦個人存放區中有這個與私密金鑰相關聯的憑證,且該憑證的增強金鑰使用方法為「金鑰編密」。
    5. 選取您的新權杖解密憑證,然後按一下 [確定]。
    將新的權杖解密憑證設為主要憑證。
    1. 選取了 AD FS 管理中的 [憑證] 節點時,現在應該會在 [權杖解密] 下看到列有兩項憑證:現有憑證和新的憑證。
    2. 選取新的權杖解密憑證,按一下滑鼠右鍵並選取 [設為主要]。
    3. 保留舊憑證作為用於變換的次要憑證。 一旦您確信不再需要舊憑證進行變換或該憑證已過期時,應規劃移除舊的憑證。
    主要 AD FS 權杖簽署憑證即將到期 AD FS 權杖簽署憑證即將在 90 天內到期。 當這個憑證無效時,AD FS 將無法發行簽署的權杖。 取得新的權杖簽署憑證。
    1. 確認增強金鑰使用方法 (EKU) 包含「數位簽章」
    2. 主體或主體別名 (SAN) 沒有任何限制。
    3. 請注意,驗證權杖簽署憑證時,您的同盟伺服器、資源夥伴同盟伺服器和信賴憑證者應用程式伺服器需要能夠鏈結至信任的根憑證授權單位。
    在每部同盟伺服器的本機憑證存放區中,安裝憑證。
    • 確認憑證安裝檔案具有每部伺服器上憑證的私密金鑰。
    確定同盟服務帳戶可以存取新憑證的私鑰。將新憑證新增至AD FS。
    1. 從 [系統管理工具] 功能表啟動 AD FS 管理。
    2. 展開服務並選取憑證
    3. 在 [動作] 窗格中,按一下 [新增權杖簽署憑證...]。
    4. 您將會看到對權杖簽署有效的憑證清單。 如果您發現清單中沒有新憑證,則需要返回並確定本機電腦的個人存放區中,有這個與私密金鑰相關聯的憑證,且該憑證具有數位簽章 KU。
    5. 請選取新的權杖簽署憑證,然後按一下 [確定]。
    通知所有信賴憑證者有關權杖簽署憑證的變更。
    1. 使用 AD FS 同盟中繼資料的信賴憑證者,必須提取新的同盟中繼資料,才能開始使用新的憑證。
    2. 「未」使用 AD FS 同盟中繼資料的信賴憑證者,必須手動更新新權杖簽署憑證的公開金鑰。 請與信賴憑證者分享 .cer 檔案。
    3. 將新的權杖簽署憑證設為主要。
      1. 選取了 AD FS 管理中的 [憑證] 節點時,現在應會在 [權杖簽署] 下看到列有兩個憑證:現有的憑證和新憑證。
      2. 選取新的權杖簽署憑證,按一下滑鼠右鍵並選取 [設為主要]。
      3. 保留舊憑證作為用於變換的次要憑證。 一旦您確信不再需要舊憑證進行變換或該憑證已過期時,應規劃移除舊的憑證。 請注意,目前使用者的 SSO 工作階段皆已簽署。 目前的 AD FS Proxy 信任關係會利用透過舊憑證簽署及加密的權杖。
    本機憑證存放區中找不到 AD FS SSL 憑證 本機憑證存放區中找不到具有指紋的憑證 (在 AD FS 資料庫中設定為 TLS/SSL 憑證)。 因此,透過 TLS 的所有驗證要求都會失敗。 例如,Microsoft 365 的郵件用戶端驗證將會失敗。 將具有所設定指紋的憑證安裝在本機憑證存放區中。
    SSL 憑證已過期 AD FS 服務的 TLS/SSL 憑證已過期。 因此,所有需要有效 TLS 連線的驗證要求都會失敗。 例如:Microsoft 365 的郵件用戶端驗證將無法進行驗證。 更新每部 AD FS 伺服器上的 TLS/SSL 憑證。
    1. 取得符合下列需求的 TLS/SSL 憑證。
    2. 增強金鑰使用方法至少須是「伺服器驗證」。
    3. 憑證主體或主體別名 (SAN) 包含 Federation Service 的 DNS 名稱或適當的萬用字元。 例如:sso.contoso.com 或 *.contoso.com
    4. 在本機電腦憑證存放區的每部伺服器上安裝新的 TLS/SSL 憑證。
    5. 確認 AD FS 服務帳戶有權讀取憑證的私密金鑰

    Windows Server 2008 R2 中的 AD FS 2.0:

    • 將新的 TLS/SSL 憑證繫結至託管同盟服務的 IIS 網站。 請注意,您必須在每部同盟伺服器及同盟伺服器 Proxy 上執行此步驟。

    Windows Server 2012 R2 或更新版本中的 AD FS:請參閱:在 AD FS 和 WAP 中管理 SSL 憑證

    Microsoft Entra ID 的必要端點未啟用 (適用於 Microsoft 365) 未對同盟服務啟用 Exchange Online 服務、Microsoft Entra ID 和 Microsoft 365 所需的下列一組端點:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
  • 在您的 Federation Service 上啟用 Microsoft 雲端服務所需的端點。
    Windows Server 2012 R2 或更新版本中的 AD FS
  • 請參閱:在 AD FS 和 WAP 中管理 SSL 憑證
  • 同盟伺服器無法連線到 AD FS 設定資料庫 當 AD FS 服務帳戶連線到 AD FS 設定資料庫時發生問題。 這部電腦上的 AD FS 服務可能會因此而無法正常運作。
  • 確認 AD FS 服務帳戶具有設定資料庫的存取權。
  • 確認 AD FS 設定資料庫服務可以使用且可以連線。
  • 必要的 SSL 繫結遺漏或未設定 讓這部同盟伺服器成功執行驗證所需的 TLS 繫結設定錯誤。 因此,AD FS 無法處理任何連入要求。 針對 Windows Server 2012 R2
    開啟更高權限的系統管理員命令提示字元,並執行下列命令:
    1. 若要檢視目前的 TLS 繫結:Get-AdfsSslCertificate
    2. 若要新增繫結: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    主要 AD FS 權杖簽署憑證已過期 AD FS 權杖簽署憑證已過期。 當這個憑證無效時,AD FS 將無法發行簽署的權杖。 如果已啟用自動憑證變換,AD FS 將會管理權杖簽署憑證的更新作業。

    如果以手動方式管理憑證,請遵循下列指示。

    1. 取得新的權杖簽署憑證。
      1. 確認增強金鑰使用方法 (EKU) 包含「數位簽章」
      2. 主體或主體別名 (SAN) 沒有任何限制。
      3. 請記住,驗證權杖簽署憑證時,您的同盟伺服器、資源夥伴同盟伺服器和信賴憑證者應用程式伺服器,需要能夠鏈結至信任的根憑證授權單位。
    2. 在每部同盟伺服器的本機憑證存放區中,安裝憑證。
      • 確認憑證安裝檔案具有每部伺服器上憑證的私密金鑰。
    3. 確認 Federation Service 帳戶具有新憑證私密金鑰的存取權。
    4. 新增憑證至 AD FS。
      1. 從 [系統管理工具] 功能表啟動 AD FS 管理。
      2. 展開服務並選取憑證
      3. 在 [動作] 窗格中,按一下 [新增權杖簽署憑證...]。
      4. 您將會看到對權杖簽署有效的憑證清單。 如果您發現清單中沒有新憑證,則需要返回並確定本機電腦的個人存放區中,有這個與私密金鑰相關聯的憑證,且該憑證具有數位簽章 KU。
      5. 請選取新的權杖簽署憑證,然後按一下 [確定]。
    5. 通知所有信賴憑證者有關權杖簽署憑證的變更。
      1. 使用 AD FS 同盟中繼資料的信賴憑證者,必須提取新的同盟中繼資料,才能開始使用新的憑證。
      2. 「未」使用 AD FS 同盟中繼資料的信賴憑證者,必須手動更新新權杖簽署憑證的公開金鑰。 請與信賴憑證者分享 .cer 檔案。
    6. 將新的權杖簽署憑證設為主要。
      1. 選取了 AD FS 管理中的 [憑證] 節點時,現在應會在 [權杖簽署] 下看到列有兩個憑證:現有的憑證和新憑證。
      2. 選取新的權杖簽署憑證,按一下滑鼠右鍵並選取 [設為主要]。
      3. 保留舊憑證作為用於變換的次要憑證。 一旦您確信不再需要舊憑證進行變換或該憑證已過期時,應規劃移除舊的憑證。 請記住,目前使用者的 SSO 工作階段皆已簽署。 目前的 AD FS Proxy 信任關係會利用透過舊憑證簽署及加密的權杖。
    Proxy 伺服器為控制阻塞,正在卸除要求 這部 Proxy 伺服器目前正在從外部網路卸除要求,因為這部 Proxy 伺服器和同盟伺服器之間的延遲比正常延遲高。 因此,AD FS Proxy 伺服器所處理的驗證要求特定部分可能會失敗。
  • 確認同盟 Proxy 伺服器和同盟伺服器之間的網路延遲,是否落在容許的範圍內。 請參考 [監視] 區段,以取得 [權杖要求延遲] 的趨勢值。應將大於 [1500 毫秒] 的延遲視為高延遲。 如果觀察到高延遲,請確認 AD FS 和 AD FS Proxy 伺服器之間的網路沒有任何連線問題。
  • 確認同盟伺服器未因驗證要求而超載。 [監視] 區段提供每秒權杖要求數目、CPU 使用量和記憶體耗用量的趨勢檢視。
  • 如果上述項目已驗證完成但仍看到這個問題,請依據相關連結上的指示,調整每部同盟 Proxy 伺服器上的阻塞避免設定。
  • 已拒絕 AD FS 服務帳戶存取其中一個憑證的私密金鑰。 AD FS 服務帳戶沒有這部電腦上其中一個 AD FS 憑證的私密金鑰存取權。 確認已將本機電腦憑證存放區中所儲存 TLS、權杖簽署及權杖解密憑證的存取權授與 AD FS 服務帳戶。
    1. 從命令列輸入 MMC。
    2. 移至 [檔案] -> [新增/移除嵌入式管理單元]
    3. 選取憑證,然後按一下 [新增]。 -> 選取電腦帳戶,然後按一下 [下一步]。 -> 選取本機電腦,然後按一下 [完成]。 按一下 [確定]。

    開啟 Certificates(Local Computer)/Personal/Certificates。對於 AD FS 使用的所有憑證:
    1. 以滑鼠右鍵按一下憑證。
    2. 選取 [所有工作] -> [管理私密金鑰]。
    3. 在群組或使用者名稱下方的 [安全性] 索引標籤上,確認會出現 AD FS 服務帳戶。 若未出現,請選取 [新增] 並新增 AD FS 服務帳戶。
    4. 選取 AD FS 服務帳戶,然後在 [<AD FS 服務帳戶名稱>的權限] 底下,確認允許 (核取記號) 讀取權限。
    AD FS SSL 憑證沒有私密金鑰 AD FS TLS/SSL 憑證已安裝,但沒有私密金鑰。 因此,透過 SSL 的所有驗證要求都會失敗。 例如,Microsoft 365 的郵件用戶端驗證將會失敗。 更新每部 AD FS 伺服器上的 TLS/SSL 憑證。
    1. 取得符合下列需求的公開信任 TLS/SSL 憑證。
      1. 憑證安裝檔案包含其私密金鑰。
      2. 增強金鑰使用方法至少須是「伺服器驗證」。
      3. 憑證主體或主體別名 (SAN) 包含 Federation Service 的 DNS 名稱或適當的萬用字元。 例如:sso.contoso.com 或 *.contoso.com
    2. 在本機電腦憑證存放區的每部伺服器上安裝新的 TLS/SSL 憑證。
    3. 確認 AD FS 服務帳戶有權讀取憑證的私密金鑰

    Windows Server 2008 R2 中的 AD FS 2.0:

    • 將新的 TLS/SSL 憑證繫結至託管同盟服務的 IIS 網站。 請注意,您必須在每部同盟伺服器及同盟伺服器 Proxy 上執行此步驟。

    Windows Server 2012 R2 或更新版本中的 AD FS:

  • 請參閱:在 AD FS 和 WAP 中管理 SSL 憑證
  • 主要 AD FS 權杖解密憑證已過期 主要 AD FS 權杖解密憑證已過期。 AD FS 無法解密來自信任的宣告提供者的權杖。 AD FS 無法將加密的 SSO Cookie 解密。 使用者將無法進行驗證以存取資源。

    如果已啟用自動憑證變換,AD FS 會管理權杖解密憑證。

    如果以手動方式管理憑證,請遵循下列指示。

    1. 取得新的權杖解密憑證。
      • 確認增強金鑰使用方法 (EKU) 包含「金鑰編密」。
      • 主體或主體別名 (SAN) 沒有任何限制。
      • 請注意,驗證權杖解密憑證時,您的同盟伺服器和宣告提供者夥伴,需要能夠鏈結至信任的根憑證授權單位。
    2. 決定宣告提供者夥伴將如何信任新的權杖解密憑證。
      • 要求夥伴在更新憑證之後,提取同盟中繼資料。
      • 與夥伴共用新憑證 (.cer 檔案) 的公開金鑰。 在宣告提供者夥伴的 AD FS 伺服器上,從 [系統管理工具] 功能表啟動 AD FS 管理。 在 [信任關係]/[信賴憑證者信任] 下,選取為您所建立的信任。 在 [內容]/[加密] 下,按一下 [瀏覽] 以選取新的權杖解密憑證,然後按一下 [確定]。
    3. 在每部同盟伺服器的本機憑證存放區中,安裝憑證。
      • 確認憑證安裝檔案具有每部伺服器上憑證的私密金鑰。
    4. 確認 Federation Service 帳戶具有新憑證私密金鑰的存取權。
    5. 新增憑證至 AD FS。
      • 從 [系統管理工具] 功能表啟動 AD FS 管理
      • 展開服務並選取憑證
      • 在 [動作] 窗格中,按一下 [新增權杖解密憑證]
      • 您將會看到對權杖解密有效的憑證清單。 如果您發現清單中沒有您的新憑證,則需要返回並確定本機電腦個人存放區中有這個與私密金鑰相關聯的憑證,且該憑證的增強金鑰使用方法為「金鑰編密」。
      • 選取您的新權杖解密憑證,然後按一下 [確定]。
    6. 將新的權杖解密憑證設為主要憑證。
      • 選取了 AD FS 管理中的 [憑證] 節點時,現在應該會在 [權杖解密] 下看到列有兩項憑證:現有憑證和新的憑證。
      • 選取新的權杖解密憑證,按一下滑鼠右鍵並選取 [設為主要]。
      • 保留舊憑證作為用於變換的次要憑證。 一旦您確信不再需要舊憑證進行變換或該憑證已過期時,應規劃移除舊的憑證。

    Active Directory Domain Services 的警示

    警示名稱 描述 補救
    無法透過 LDAP Ping 連線到網域控制站 無法透過 LDAP Ping 連線網域控制站。 這可能是因為網路問題或電腦問題所致。 因此 LDAP Ping 將會失敗。
  • 檢查相關警示的警示清單,例如:網域控制站未公告。
  • 請確認受影響的網域控制站有足夠的磁碟空間。 若磁碟空間不足,DC 將停止自行公告為 LDAP 伺服器。
  • 嘗試尋找 PDC:在受影響的網域控制站上執行
    受影響域控制器上的 netdom 查詢 fsmo
  • 請確認實體網路已正確設定/連接。
  • 發生 Active Directory 複寫錯誤 此網域控制站發生複寫問題,前往複寫狀態儀表板即可看到。 設定不正確或其他相關問題,都可能引發複寫錯誤。 未處理的複寫錯誤可能會導致資料不一致。 請參閱受影響的來源與目的地 DC 之名稱的其他詳細資料。 巡覽至複寫狀態儀表板,並查看受影響 DC 的現有錯誤。 按一下該錯誤即可開啟刀鋒視窗,取得如何修復特定錯誤的更多詳細資料。
    網域控制站找不到 PDC 無法透過此網域控制站連線到 PDC。 如此會導致使用者登入受到影響、無法套用群組原則變更,以及系統時間同步處理失敗。
  • 檢查可能影響您 PDC 之相關警示的警示清單,例如:網域控制站未公告。
  • 嘗試尋找 PDC:在受影響的網域控制站上執行
    受影響域控制器上的 netdom 查詢 fsmo
  • 請確認網路運作正常。
  • 網域控制站找不到通用類別目錄伺服器 無法從此網域控制站連線到通用類別目錄伺服器。 如此會導致透過此網域控制站嘗試的驗證失敗。 查看任一 [網域控制站未公告] 警示的警示清單,其中受影響的伺服器可能是 GC。 若沒有任何公告警示,請查看 GC 的 SRV 記錄。 您可以執行下列測試來進行檢查:
    nltest /dnsgetdc: [ForestName] /gc
    它應該將 DC 廣告列為 GCS。 如果清單是空的,請檢查 DNS 設定,以確認該 GC 已註冊了 SRV 記錄。 此 DC 可於 DNS 中找到這些記錄。
    若要進行通用類別目錄的疑難排解,請參閱公告為通用類別目錄伺服器 \(英文\)。
    網域控制站無法連線到本機 SYSVOL 共用 SYSVOL 包含來自群組原則物件的重要項目,以及在網域的 DC 中散發的指令碼。 此 DC 不會將自已公告為 DC,且不會套用群組原則。 請參閱如何針對遺失 SYSVOL 和 Netlogon 共用進行疑難排解 (部分機器翻譯)
    網域控制站時間不同步 此網域控制站上的時間超過正常的時間誤差範圍。 Kerberos 驗證將會因此而失敗。
  • 重新啟動 Windows 時間服務:執行
    net stop w32time
    then
    net start w32time
  • 重新同步時間:在受影響的網域控制站上執行
    w32tm /resync
  • 網域控制站未公告 此網域控制站未正確公告可執行作業的角色。 可能是因為複寫、DNS 組態不正確、未執行重要服務,或因為未完整初始化伺服器等問題所致。 因此,網域控制站、網域成員與其他裝置會找不到這個網域控制站。 此外,其他網域控制站可能無法從此網域控制站進行複寫。 查看其他相關警示的警示清單,例如:複寫中斷。 網域控制站時間未同步。Netlogon 服務並未執行。 DFSR 及 (或) NTFRS 服務未執行。 識別相關的 DNS 問題並進行疑難排解:登入受影響的網域控制站。 開啟系統事件記錄檔。 若出現事件 5774、5775 或 5781,請參閱為網域控制站定位器 DNS 記錄登錄失敗進行疑難排解 \(英文\)。識別相關的 Windows 時間服務問題並進行疑難排解:確認 Windows 時間服務正在執行中:在受影響的網域控制站上執行 'net start w32time'。 重新啟動 Windows 時間服務:執行 'net stop w32time',然後在受影響的網域控制站上執行 'net start w32time'。
    GPSVC 服務並未執行 若停止或停用服務,將不會套用管理員所進行的設定,且應用程式及元件將無法透過群組原則管理。 如果停用此服務,相依於群組原則元件的所有元件或應用程式可能都無法運作。 執行
    受影響網域控制上的 net start gpsvc
    DFSR 及 (或) NTFRS 服務未執行 若 DFSR 與 NTFRS 服務兩者皆已停止,網域控制站將無法複寫 SYSVOL 資料。 SYSVOL 資料將會不一致。
  • 若使用 DFSR:
      請在受影響的網域控制站上執行 'net start dfsr'。
    1. 若使用 NTFRS:
        則在受影響的網域控制站上執行 'net start ntfrs'。
  • Netlogon 服務並未執行 此 DC 上將無法使用登入要求、註冊、驗證,也無法尋找網域控制站。 在受影響的網域控制站上執行 'net start netlogon'
    W32Time 服務並未執行 若停止 Windows 時間服務,將無法同步處理日期與時間。 如果停用此服務,明確依存於此服務的所有服務都將無法啟動。 在受影響的網域控制站上執行 'net start win32Time'
    ADWS 服務並未執行 如果已停止或停用 Active Directory Web 服務,則用戶端應用程式 (如 Active Directory PowerShell) 將會無法存取或管理這部伺服器上以本機方式執行的任何目錄服務執行個體。 在受影響的網域控制站上執行 'net start adws'
    根 PDC 並未從 NTP 伺服器進行同步 如果沒有將 PDC 設定為與外部或內部時間來源進行同步,PDC 模擬器會使用其內部時鐘,且會以本身作為樹系的可靠時間來源。 若 PDC 本身的時間不正確,所有電腦的時間設定都會不正確。 在受影響的網域控制站上,開啟命令提示字元。 停止時間服務:net stop w32time
  • 設定外部時間來源:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    注意:請將 time.windows.com 替換為所需的外部時間來源位址。 啟動時間服務:
    net start w32time
  • 網域控制站隔離中 此網域控制站未連線到任何其他運作中的網域控制站。 可能是因為組態不正確所致。 因此,目前未使用此 DC,且不會對任何網域控制站彼此進行複寫。 啟用輸入及輸出複寫:在受影響的網域控制站上執行 'repadmin /options ServerName -DISABLE_INBOUND_REPL'。 在受影響的網域控制站上執行 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL'。 建立與其他網域控制站的新複寫連線:
    1. 開啟 [Active Directory 網站及服務]:在 [開始] 功能表上指向 [系統管理工具],然後按一下 [Active Directory 網站及服務]。
    2. 在 [主控台] 樹狀結構中,依序展開 [網站] 及此 DC 所屬的網站。
    3. 展開伺服器容器以顯示伺服器清單。
    4. 展開此 DC 的伺服器物件。
    5. 以滑鼠右鍵按一下 NTDS 設定物件,然後按一下 [新增 Active Directory 網域服務連線...]。
    6. 從清單中選取伺服器,然後按一下 [確定]。
    如何將孤立網域從 Active Directory 移除 \(英文\)。
    輸出複寫為停用 若 DC 的輸出複寫為停用,將無法散發任何源自於其的變更。 若要在受影響的網域控制站上啟用輸出複寫,請遵循下列步驟進行:依序按一下 [開始]、[執行] 並鍵入 cmd,然後按一下 [確定]。 鍵入下列文字,再按 ENTER 鍵:
    repadmin /options -DISABLE_OUTBOUND_REPL
    輸入複寫為停用 若 DC 的輸入複寫為停用,將不具最新資訊。 此情況可能會導致登入失敗。 若要在受影響的網域控制站上啟用輸入複寫,請遵循下列步驟:依序按一下 [開始] 和 [執行]、輸入 cmd,然後按一下 [確定]。 鍵入下列文字,再按 ENTER 鍵:
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer 服務並未執行 如果停用此服務,明確依存於此服務的所有服務都將無法啟動。 在受影響的網域控制站上執行 'net start LanManServer'。
    Kerberos 金鑰發佈中心服務並未執行 若 KDC 服務停止,使用者會無法透過此 DC 使用 Kerberos v5 驗證通訊協定進行驗證。 在受影響的網域控制站上執行 'net start kdc'。
    DNS 服務並未執行 若 DNS 服務停止,則因 DNS 之故而使用該伺服器的電腦與使用者,將會找不到資源。 在受影響的網域控制站上執行 'net start dns'。
    DC 具 USN 復原 發生 USN 回復時,物件和屬性的修改不會由先前看過 USN 的目的地網域控制站進行輸入複寫。 因為這些目的地網域控制站認為他們是最新的,所以在目錄服務事件記錄中或從監視及診斷工具,不會回報任何複寫錯誤。 USN 回復可能會影響任何分割區中任何物件或屬性的複寫。 最常見的副作用是,在回復網域控制站上建立的使用者帳戶和電腦帳戶,在一或多個複寫協力電腦上不存在。 或者,在回復網域控制站上產生的密碼更新,不存在於複寫協力電腦上。 有兩種方法可從 USN 復原中還復:

    遵循下列步驟,從網域中移除網域控制站:

    1. 從網域控制站中移除 Active Directory,強制它成為獨立伺服器。 如需詳細資訊,請按一下下列文章編號,以檢視 Microsoft 知識庫文章:
      332199 當您在 Windows Server 2003 及 Windows 2000 Server 中使用 [Active Directory 安裝精靈] 強制降級時,網域控制站將無法正常降級 (機器翻譯)。
    2. 關閉被降級的伺服器。
    3. 在狀況良好的網域控制站上,清除降級網域控制站的中繼資料。 如需詳細資訊,請按一下下列文章編號,以檢視 Microsoft 知識庫文章:
      216498 如何在網域控制站降級失敗後,移除 Active Directory 中的資料
    4. 如果未正確還原的網域控制站裝載了操作主機角色,請將這些角色轉移至狀況良好的網域控制站。 如需詳細資訊,請按一下下列文章編號,以檢視 Microsoft 知識庫文章:
      255504 使用 Ntdsutil.exe 拿取或傳輸 FSMO 角色到網域控制站
    5. 重新啟動降級的伺服器。
    6. 如有需要,可在獨立伺服器上再次安裝 Active Directory。
    7. 如果網域控制站之前是通用目錄,請將網域控制站設定為通用目錄。 如需詳細資訊,請按一下下列文章編號,以檢視 Microsoft 知識庫文章:
      313994 如何建立或移動 Windows 2000 中的通用類別目錄 (機器翻譯)
    8. 如果網域控制站之前有裝載操作主機角色,請將操作主機角色轉移回網域控制站。 如需詳細資訊,請按一下下列文章編號,以檢視 Microsoft 知識庫文章:
      255504 使用 Ntdsutil.exe 拿取或傳輸 FSMO 角色到網域控制站。還原良好備份的系統狀態。

    評估此網域控制站是否有有效的系統狀態備份。 如果在回復的網域控制站未正確還原之前,有進行有效的系統狀態備份,而且備份包含網域控制站最近所做的變更,請從最新的備份還原系統狀態。

    您也可以使用快照做為備份的來源。 或是可將資料庫設定成為其本身提供新的引動過程識別碼,可利用本文章中<在不使用系統狀態資料備份的情況下還原舊版虛擬網域控制站 VHD>一節中的程序進行。

    下一步