فهرس التنبيهات في Azure Active Directory Connect Health

Azure AD تشير تنبيهات إرسال خدمة Connect Health إلى أن البنية الأساسية للهوية غير سليمة. تتضمن هذه المقالة عناوين التنبيهات والأوصاف وخطوات العلاج لكل تنبيه.
الخطأ والتحذير المسبق عبارة عن ثلاث مراحل من التنبيهات التي يتم إنشاؤها من خدمة Connect Health. نوصي بشدة باتخاذ إجراءات فورية بشأن التنبيهات التي تم تشغيلها.
يتم حل تنبيهات Microsoft Azure Active Directory Connect Health في حالة نجاح الحالة. تقوم عوامل Microsoft Azure Active Directory Connect Health باكتشاف حالات النجاح والإبلاغ عنها للخدمة بشكل دوري. بالنسبة إلى عدد قليل من التنبيهات، يعتمد المنع على الوقت. بمعنى آخر، إذا لم تتم ملاحظة حالة الخطأ نفسها خلال 72 ساعة من إنشاء التنبيه، فسيتم حل التنبيه تلقائيًا.

تنبيهات عامة

اسم التنبيه الوصف المعالجة
بيانات الخدمة الصحية غير محدثة عامل (عوامل) الصحة الذي يعمل على خادم واحد أو أكثر غير متصل بخدمة الصحة ولا تتلقى الخدمة الصحية أحدث البيانات من هذا الخادم. مضى على آخر بيانات تمت معالجتها بواسطة الخدمات الصحية أكثر من ساعتين. تأكد من أن الوكلاء الصحيين لديهم اتصال خارجي بنقاط نهاية الخدمة المطلوبة. قراءة المزيد

تنبيهات Azure AD Connect (مزامنة)

اسم التنبيه الوصف المعالجة
Azure AD لا يتم تشغيل خدمة مزامنة الاتصال Microsoft Azure AD خدمة مزامنة Windows غير قيد التشغيل أو تعذر بدء تشغيلها. ونتيجة لذلك، لن تتم مزامنة العناصر مع Azure Active Directory. ابدأ تشغيل خدمات مزامنة AAD
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب Services.msc، ثم انقر فوق موافق.
  2. حدد موقع خدمة Microsoft Microsoft Azure Active Directory Sync ، ثم تحقق مما إذا كانت الخدمة قد بدأت أم لا. إذا لم تبدأ الخدمة، فانقر بزر الماوس الأيمن عليها، ثم انقر فوق ابدأ.
فشل الاستيراد من Microsoft Azure Active Directory فشلت عملية الاستيراد من موصل Microsoft Azure Active Directory. تحقق من أخطاء سجل الأحداث لعملية الاستيراد للحصول على مزيد من التفاصيل.
فشل الاتصال بـ Microsoft Azure Active Directory بسبب فشل المصادقة فشل الاتصال بـ Microsoft Azure Active Directory بسبب فشل المصادقة. ونتيجة لذلك، لن تتم مزامنة الكائنات مع Azure Active Directory. تحقق من أخطاء سجل الأحداث لمزيد من التفاصيل.
فشل التصدير إلى خدمات مجال Active Directory فشلت عملية التصدير إلى موصل خدمات مجال Active Directory. تحقق من أخطاء سجل الأحداث لعملية التصدير للحصول على مزيد من التفاصيل.
فشل الاستيراد من خدمات مجال Active Directory فشل الاستيراد من خدمات مجال Active Directory. نتيجة لذلك، قد لا يتم استيراد عناصر من بعض المجالات من هذه الغابة.
  • تحقق من اتصال DC
  • أعد تشغيل الاستيراد يدويًا
  • تحقق من أخطاء سجل الأحداث لعملية الاستيراد للحصول على مزيد من التفاصيل.
  • فشل التصدير إلى Microsoft Azure Active Directory فشلت عملية التصدير إلى موصل Microsoft Azure Active Directory. نتيجة لذلك، قد لا يتم تصدير بعض العناصر بنجاح إلى Microsoft Azure Active Directory. تحقق من أخطاء سجل الأحداث لعملية التصدير للحصول على مزيد من التفاصيل.
    تم تخطي نبضات قلب مزامنة تجزئة كلمة المرور في آخر 120 دقيقة لم يتم توصيل "مزامنة تجزئة كلمة المرور" بـ Microsoft Azure Active Directory في آخر 120 دقيقة. ونتيجة لذلك، لن تتم مزامنة كلمات المرور مع Azure Active Directory. أعد تشغيل خدمات مزامنة AAD:
    ستتم مقاطعة أي عمليات مزامنة قيد التشغيل حاليًا. يمكنك اختيار تنفيذ الخطوات أدناه عندما لا تكون هناك عملية مزامنة قيد التقدم.
    1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب Services.msc، ثم انقر فوق موافق .
    2. حدد موقع مزامنة Microsoft Azure Active Directory، وانقر بزر الماوس الأيمن فوقه، ثم انقر فوق إعادة التشغيل.
    تم الكشف عن استخدام مرتفع لوحدة المعالجة المركزية تجاوزت النسبة المئوية لاستهلاك وحدة المعالجة المركزية الحد الموصى به على هذا الخادم.
  • قد يكون هذا ارتفاعًا مؤقتًا في استهلاك وحدة المعالجة المركزية. تحقق من اتجاه استخدام وحدة المعالجة المركزية من قسم المراقبة.
  • افحص أهم العمليات التي تستهلك أعلى استخدام لوحدة المعالجة المركزية على الخادم.
    1. يمكنك استخدام إدارة المهام أو تنفيذ أمر PowerShell التالي:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. إذا كانت هناك عمليات غير متوقعة تستهلك استخدامًا عاليًا لوحدة المعالجة المركزية، فقم بإيقاف العمليات باستخدام أمر PowerShell التالي:
      إيقاف العملية -اسم العملية [اسم العملية]
  • إذا كانت العمليات الموضحة في القائمة أعلاه هي العمليات المقصودة التي تعمل على الخادم وكان استهلاك وحدة المعالجة المركزية يقترب باستمرار من الحد الأدنى، فالرجاء التفكير في إعادة تقييم متطلبات النشر لهذا الخادم.
  • كخيار آمن من الفشل، قد تفكر في إعادة تشغيل الخادم.
  • تم اكتشاف ارتفاع استهلاك الذاكرة تتجاوز النسبة المئوية لاستهلاك ذاكرة الخادم الحد الموصى به على هذا الخادم. افحص أهم العمليات التي تستهلك أعلى ذاكرة على الخادم. يمكنك استخدام إدارة المهام أو تنفيذ أمر PowerShell التالي:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    إذا كانت هناك عمليات غير متوقعة تستهلك ذاكرة عالية، فقم بإيقاف العمليات باستخدام أمر PowerShell التالي:
    إيقاف العملية -اسم العملية [اسم العملية]
  • إذا كانت العمليات الموضحة في القائمة أعلاه هي العمليات المقصودة التي تعمل على الخادم، يرجى مراعاة إعادة تقييم متطلبات النشر لهذا الخادم.
  • كخيار آمن، قد تفكر في إعادة تشغيل الملقم.
  • توقفت مزامنة تجزئة كلمة المرور عن العمل تم إيقاف مزامنة تجزئة كلمة المرور. ونتيجة لذلك، لن تتم مزامنة كلمات المرور مع Azure Active Directory. أعد تشغيل خدمات مزامنة AAD:
    ستتم مقاطعة أي عمليات مزامنة قيد التشغيل حاليًا. يمكنك اختيار تنفيذ الخطوات أدناه عندما لا تكون هناك عملية مزامنة قيد التقدم.
    1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب Services.msc، ثم انقر فوق موافق.
    2. حدد موقع مزامنة Microsoft Azure Active Directory، وانقر بزر الماوس الأيمن فوقه، ثم انقر فوق إعادة التشغيل.

    تم إيقاف التصدير إلى Microsoft Azure Active Directory. تم الوصول إلى حد الحذف العرضي فشلت عملية التصدير إلى Microsoft Azure Active Directory. كان هناك المزيد من العناصر المراد حذفها أكثر من الحد الذي تم تكوينه. نتيجة لذلك، لم يتم تصدير أي عناصر.
  • عدد العناصر التي تم وضع علامة عليها للحذف أكبر من الحد المعين. تأكد من أن هذه النتيجة مرغوب فيها.
  • للسماح بمواصلة التصدير، قم بتنفيذ الخطوات التالية:
    1. قم بتعطيل العتبة عن طريق تشغيل Disable-ADSyncExportDeletionThreshold
    2. ابدأ بـ Synchronization Service Manager
    3. قم بتشغيل التصدير على الموصل بالنوع = Microsoft Azure Active Directory
    4. بعد تصدير الكائنات بنجاح، قم بتمكين العتبة عن طريق تشغيل: Enable-ADSyncExportDeletionThreshold
  • تنبيهات لخدمات الأمان المشترك لـ Active Directory

    اسم التنبيه الوصف المعالجة
    فشل طلب مصادقة الاختبار (معاملة اصطناعية) في الحصول على رمز مميز فشلت طلبات المصادقة الاختبارية (العمليات الاصطناعية) التي تم بدؤها من هذا الخادم في الحصول على رمز مميز بعد 5 محاولات. قد يكون هذا بسبب مشكلات عابرة في الشبكة أو توفر وحدة تحكم مجال AD DS أو خادم AD FS تم تكوينه بشكل خطأ. نتيجة لذلك، قد تفشل طلبات المصادقة التي تتم معالجتها بواسطة خدمة الاتحاد. يستخدم الوكيل سياق حساب الكمبيوتر المحلي للحصول على رمز مميز من خدمة الاتحاد. تأكد من اتخاذ الخطوات التالية للتحقق من صحة الخادم.
    1. تحقق من عدم وجود تنبيهات إضافية لم يتم حلها لهذا أو خوادم AD FS أخرى في مزرعتك.
    2. تحقق من أن هذا الشرط ليس فشلا عابرا عن طريق تسجيل الدخول باستخدام مستخدم اختبار من صفحة تسجيل الدخول إلى AD FS المتوفرة في https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. انتقل إلى https://testconnectivity.microsoft.com واختر علامة التبويب "Office 365". قم بإجراء "اختبار تسجيل الدخول الأحادي Office 365".
    4. تحقق مما إذا كان يمكن حل اسم خدمة AD FS من هذا الخادم عن طريق تنفيذ الأمر التالي من موجه الأوامر على هذا الخادم. اسم خادمك nslookup

    إذا تعذر حل اسم الخدمة، فراجع قسم الأسئلة المتداولة للحصول على إرشادات حول إضافة إدخال ملف HOST لخدمة AD FS باستخدام عنوان IP لهذا الخادم. سيسمح هذا لوحدة المعاملة الاصطناعية التي تعمل على هذا الخادم بطلب رمز مميز

    لا يمكن للخادم الوكيل الوصول إلى خادم الاتحاد خادم وكيل AD FS غير قادر على الاتصال بخدمة AD FS. نتيجة لذلك، ستفشل طلبات المصادقة التي تتم معالجتها بواسطة هذا الخادم. نفذ الخطوات التالية للتحقق من الاتصال بين هذا الخادم وخدمة AD FS.
    1. تأكد من تكوين جدار الحماية بين هذا الخادم وخدمة AD FS بدقة.
    2. تأكد من أن تحليل DNS لاسم خدمة AD FS يشير بشكل مناسب إلى خدمة AD FS الموجودة داخل شبكة الشركة. يمكن تحقيق ذلك من خلال خادم DNS الذي يخدم هذا الخادم في الشبكة المحيطة أو من خلال إدخالات في ملفات HOSTS لاسم خدمة AD FS.
    3. تحقق من اتصال الشبكة عن طريق فتح المتصفح على هذا الخادم والوصول إلى نقطة نهاية بيانات تعريف للاتحاد، والموجودة على https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    شهادة SSL على وشك الانتهاء تنتهي صلاحية شهادة TLS / SSL التي تستخدمها خوادم الاتحاد في غضون 90 يومًا. بمجرد انتهاء الصلاحية، ستفشل أي طلبات تتطلب اتصال TLS صالحًا. على سبيل المثال، بالنسبة لعملاء Microsoft 365، لن يتمكن عملاء البريد من المصادقة. قم بتحديث شهادة TLS / SSL على كل خادم AD FS.
    1. الحصول على شهادة TLS / SSL بالمتطلبات التالية.
      1. استخدام المفتاح المحسن هو على الأقل لمصادقة الخادم.
      2. يحتوي موضوع الشهادة أو الاسم البديل للموضوع (SAN) على اسم DNS الخاص بخدمة الاتحاد أو حرف بدل مناسب. على سبيل المثال: sso.contoso.com أو* .contoso.com
    2. قم بتثبيت شهادة TLS / SSL الجديدة على كل خادم في مخزن شهادات الجهاز المحلي.
    3. تأكد من أن حساب خدمة AD FS لديه حق الوصول للقراءة إلى المفتاح الخاص للشهادة

    بالنسبة إلى AD FS 2.0 في خادم ويندوز 2008R2:

    • اربط شهادة TLS / SSL الجديدة بموقع الويب في IIS، الذي يستضيف خدمة الاتحاد. لاحظ أنه يجب عليك تنفيذ هذه الخطوة على كل خادم اتحاد ووكيل خادم اتحاد.

    بالنسبة إلى AD FS في خادم ويندوز 2012 R2 والإصدارات الأحدث:

  • راجع إدارة شهادات SSL في AD FS وWAP
  • خدمة AD FS لا تعمل على الخادم خدمة الأمان المشترك ل Active Directory (خدمة Windows) لا تعمل على هذا الخادم. ستفشل أي طلبات تستهدف هذا الخادم. لبدء خدمة اتحاد الدليل النشط (خدمة Windows):
    1. قم بتسجيل الدخول إلى الخادم كمسؤول.
    2. افتح services.msc
    3. "خدمات الأمان المشترك لـ Active Directory"
    4. انقر بزر الماوس الأيمن واختر "ابدأ".
    قد يتم تكوين DNS الخاص بخدمة الاتحاد بشكل خطأ يمكن تكوين خادم DNS لاستخدام سجل CNAME لاسم مزرعة AD FS. يوصى باستخدام سجل A أو AAAA لـ AD FS حتى تعمل مصادقة Windows المدمجة بسلاسة داخل شبكة شركتك. تأكد من أن نوع سجل DNS لمزرعة <Farm Name> AD FS ليس CNAME. قم بتكوينه ليكون سجل A أو AAAA.
    تم تعطيل تدقيق AD FS تم تعطيل تدقيق AD FS للخادم. لن يتضمن قسم استخدام AD FS في المدخل بيانات من هذا الخادم. إذا لم يتم تمكين عمليات تدقيق AD FS، فاتبع الإرشادات التالية:
    1. امنح حساب خدمة AD FS حق "إنشاء عمليات تدقيق الأمان" على خادم AD FS.
    2. افتح نهج الأمان المحلية على الخادم gpedit.msc.
    3. انتقل إلى "تكوين الكمبيوتر \ إعدادات Windows \ النُهج المحلية \ تعيين حقوق المستخدم"
    4. أضف حساب خدمة AD FS للحصول على حق "إنشاء عمليات تدقيق الأمان".
    5. قم بتشغيل الأمر التالي من موجه الأوامر:
      Auditpol.exe / set / subcategory: "من إنشاء التطبيق" / فشل: تمكين / نجاح: تمكين
    6. قم بتحديث خصائص خدمة الاتحاد لتتضمن عمليات تدقيق النجاح والفشل.
    7. في وحدة تحكم AD FS، اختر "تحرير خصائص خدمة الاتحاد".
    8. من مربع الحوار "خصائص خدمة الاتحاد"، اختر علامة التبويب الأحداث وحدد "تدقيقات النجاح" و"عمليات تدقيق الفشل".

    بعد اتباع هذه الخطوات، يجب أن تكون أحداث تدقيق AD FS مرئية من عارض الأحداث. للتحقق:

    1. انتقل إلى عارض الأحداث / تسجيلات دخول Windows/ الحماية.
    2. حدد تصفية السجلات الحالية وحدد تدقيق AD FS من القائمة المنسدلة لمصادر الأحداث. بالنسبة إلى خادم AD FS النشط مع تمكين تدقيق AD FS، يجب أن تكون الأحداث مرئية للتصفية أعلاه.

    إذا كنت قد اتبعت هذه الإرشادات من قبل، ولكنك لا تزال ترى هذا التنبيه، فمن المحتمل أن يقوم عنصر نهج المجموعة بتعطيل تدقيق AD FS. يمكن أن يكون السبب الجذري واحدًا مما يلي:

    1. تتم إزالة حساب خدمة AD FS من الحق في إنشاء عمليات تدقيق الأمان.
    2. يقوم برنامج نصي مخصص في "عنصر نهج المجموعة" بتعطيل عمليات تدقيق النجاح والفشل بناءً على "إنشاء التطبيق".
    3. لم يتم تمكين تكوين AD FS لإنشاء عمليات تدقيق النجاح/الفشل.
    شهادة AD FS SSL موقعة ذاتيًا أنت تستخدم حاليًا شهادة موقعة ذاتيًا كشهادة TLS / SSL في مزرعة AD FS. نتيجة لذلك، ستفشل مصادقة عميل البريد لـ Microsoft 365

    قم بتحديث شهادة TLS / SSL على كل خادم AD FS.

    1. احصل على شهادة TLS / SSL موثوق بها بشكل عام مع المتطلبات التالية.
    2. يحتوي ملف تثبيت الشهادة على مفتاحه الخاص.
    3. استخدام المفتاح المحسن هو على الأقل لمصادقة الخادم.
    4. يحتوي موضوع الشهادة أو الاسم البديل للموضوع (SAN) على اسم DNS الخاص بخدمة الاتحاد أو حرف بدل مناسب. على سبيل المثال: sso.contoso.com أو* .contoso.com

    قم بتثبيت شهادة TLS / SSL الجديدة على كل خادم في مخزن شهادات الجهاز المحلي.

      تأكد من أن حساب خدمة AD FS لديه حق الوصول للقراءة إلى المفتاح الخاص للشهادة.
      بالنسبة إلى AD FS 2.0 في Windows Server 2008R2:
    1. اربط شهادة TLS / SSL الجديدة بموقع الويب في IIS، الذي يستضيف خدمة الاتحاد. لاحظ أنه يجب عليك تنفيذ هذه الخطوة على كل خادم اتحاد ووكيل خادم اتحاد.

    2. بالنسبة إلى AD FS في خادم 2012 Windows R2 أو الإصدارات الأحدث:
    3. راجع إدارة شهادات SSL في AD FS وWAP
    الثقة بين الخادم الوكيل وخادم الاتحاد غير صالحة تعذر إنشاء الثقة بين وكيل خادم الاتحاد وخدمة الاتحاد أو تجديدها. قم بتحديث شهادة توثيق الوكيل على الخادم الوكيل. أعد تشغيل معالج تكوين الوكيل.
    تم تعطيل حماية تأمين ExtrNET. لـ AD FS تم تعطيل ميزة حماية تأمين الإكسترانت في مزرعة AD FS خاصتك. تحمي هذه الميزة المستخدمين من هجمات القوة الغاشمة بكلمات المرور من الإنترنت وتمنع هجمات رفض الخدمة ضد المستخدمين عندما تكون نُهج تأمين حساب AD DS سارية. مع تمكين هذه الميزة، إذا تجاوز عدد محاولات تسجيل الدخول الفاشلة إلى Extranet للمستخدم (محاولات تسجيل الدخول عبر خادم WAP وAD FS) "ExtranetLockoutThreshold"، فستتوقف خوادم AD FS عن معالجة محاولات تسجيل الدخول الإضافية لـ "ExtrNET.ObservationWindow" نوصيك بشدة قم بتمكين هذه الميزة على خوادم AD FS. قم بتشغيل الأمر التالي لتمكين قفل حماية AD FS ExtrNET. بالقيم الافتراضية.
    Set-AdfsProperties -EnableExtrNET.Lockout $ true

    إذا كان لديك نهج تأمين AD تم تكوينها للمستخدمين، فتأكد من تعيين الخاصية "ExtranetLockoutThreshold" إلى قيمة أقل من حد تأمين AD DS. يضمن ذلك إسقاط الطلبات التي تجاوزت عتبة AD FS وعدم التحقق من صحتها أبدًا مقابل خوادم AD DS.
    اسم الخدمة الأساسي (SPN) غير صالح لحساب خدمة AD FS الاسم الأساسي للخدمة لحساب خدمة الاتحاد غير مسجل أو غير فريد. نتيجة لذلك، قد لا تكون مصادقة Windows المتكاملة من العملاء المنضمين إلى المجال سلسة. استخدم [ SETSPN -L اسم حساب خدمة ] لسرد أساسيات الخدمة.
    استخدم [ SETSPN -X ] للتحقق من وجود أسماء مكررة للخدمة.

    إذا تم تكرار SPN لحساب خدمة AD FS، فقم بإزالة SPN من الحساب المكرر باستخدام [ SETSPN -d service / اسم المضيف]

    إذا لم يتم تعيين SPN، فاستخدم [SETSPN -s {Desired-SPN} {domain_name}{service_account}] لتعيين SPN المطلوب لحساب خدمة الاتحاد.

    شهادة فك تشفير رمز AD FS الأساسي على وشك الانتهاء تنتهي صلاحية شهادة فك تشفير رمز AD FS الأساسي في أقل من 90 يومًا. لا يمكن ل AD FS فك تشفير الرموز المميزة من موفري المطالبات الموثوق بهم. لا يمكن ل AD FS فك تشفير ملفات تعريف الارتباط SSO المشفرة. لن يتمكن المستخدمون النهائيون من المصادقة للوصول إلى الموارد. إن تم تمكين الانتقال التلقائي للشهادة، فإن AD FS تدير شهادة فك تشفير الرمز المميز.

    إذا كنت تدير شهادتك يدويًا، يرجى اتباع الإرشادات أدناه. احصل على شهادة فك تشفير جديدة.

    1. تأكد من أن الاستخدام المحسن للمفتاح (EKU) يتضمن "تشفير المفتاح".
    2. الموضوع أو الاسم البديل للموضوع (SAN) ليست له أي قيود.
    3. لاحظ أن الخوادم الفيدرالية وشركاء موفري المطالبات يجب أن يكونوا قادرين على الارتباط بسلطة مصدق جذر موثوق بها عند التحقق من صحة شهادة فك التشفير الخاصة بك.
    حدد كيف سيثق شركاؤك في موفر المطالبات في شهادة "الرمز المميز" الجديدة لفك التشفير
    1. اطلب من الشركاء سحب بيانات التعريف للاتحاد بعد تحديث الشهادة.
    2. شارك المفتاح العام للشهادة الجديدة. (ملف .cer) مع الشركاء. في خادم AD FS لشريك موفر المطالبات، قم بتشغيل إدارة AD FS من قائمة الأدوات الإدارية. ضمن علاقات الثقة/ثقة الطرف المعتمد، حدد الثقة التي تم إنشاؤها لك. ضمن خصائص/تشفير، انقر فوق "استعراض" لتحديد شهادة فك التشفير الجديدة وانقر فوق "موافق".
    قم بتثبيت الشهادة في مخزن الشهادات المحلي على كل خادم من خادم الاتحاد.
    • تأكد من أن ملف تثبيت الشهادة يحتوي على المفتاح الخاص للشهادة على كل خادم.
    تأكد من أن حساب خدمة الاتحاد لديه حق الوصول إلى المفتاح الخاص للشهادة الجديدة.أضف الشهادة الجديدة إلى AD FS.
    1. قم بتشغيل إدارة AD FS من قائمة الأدوات الإدارية
    2. قم بتوسيع الخدمة وحدد الشهادات
    3. في جزء الإجراءات، انقر فوق إضافة شهادة فك تشفير الرمز المميز
    4. سيتم تقديم قائمة بالشهادات الصالحة لفك تشفير الرمز المميز. إذا وجدت أن شهادتك الجديدة لا يتم تقديمها في القائمة، فأنت بحاجة إلى العودة والتأكد من أن الشهادة موجودة في مخزن شخصي للكمبيوتر المحلي مع مفتاح خاص مقترن وأن الشهادة تحتوي على تشفير المفتاح ك "استخدام مفتاح موسع".
    5. حدد شهادة Token-Decrypting الجديدة خاصتك وانقر فوق "موافق".
    قم بتعيين شهادة فك تشفير الرمز المميز الجديدة كشهادة أساسية.
    1. مع تحديد عقدة الشهادات في إدارة AD FS، يجب أن ترى الآن شهادتين مدرجتين ضمن Token-Decrypting: الشهادة الحالية والشهادة الجديدة.
    2. حدد شهادة Token-Decrypting الجديدة خاصتك، وانقر بزر الماوس الأيمن، وحدد تعيينًا كأساسي.
    3. اترك الشهادة القديمة ثانوية لأغراض التجديد. يجب أن تخطط لإزالة الشهادة القديمة بمجرد أن تكون واثقا من أنها لم تعد مطلوبة للتدحرج، أو عند انتهاء صلاحية الشهادة.
    شهادة توقيع رمز AD FS الأساسي على وشك الانتهاء شهادة توقيع رمز AD FS على وشك الانتهاء في غضون 90 يومًا. لا يمكن ل AD FS إصدار الرموز المميزة الموقعة عندما تكون هذه الشهادة غير صالحة. احصل على شهادة توقيع رمز جديد.
    1. تأكد من أن الاستخدام المحسن للمفتاح (EKU) يتضمن "التوقيع الرقمي".
    2. لا يحتوي الموضوع أو الاسم البديل للموضوع (SAN) على أي قيود.
    3. لاحظ أن خوادم الاتحاد وخوادم اتحاد شركاء الموارد وخوادم تطبيق Relying Party يجب أن تكون قادرة على الارتباط بسلطة مصدقة جذر موثوق بها عند التحقق من صحة شهادة توقيع الرمز المميز خاصتك.
    قم بتثبيت الشهادة في مخزن الشهادات المحلي على كل خادم اتحاد.
    • تأكد من أن ملف تثبيت الشهادة يحتوي على المفتاح الخاص للشهادة على كل خادم.
    تأكد من أن حساب خدمة الاتحاد لديه حق الوصول إلى المفتاح الخاص للشهادة الجديدة.أضف الشهادة الجديدة إلى AD FS.
    1. قم بتشغيل إدارة AD FS من قائمة الأدوات الإدارية.
    2. قم بتوسيع الخدمة وحدد الشهادات
    3. في جزء الإجراءات، انقر فوق إضافة شهادة توقيع الرمز المميز...
    4. سيتم تقديم قائمة بالشهادات الصالحة لتوقيع الرمز المميز. إذا وجدت أن شهادتك الجديدة لا يتم تقديمها في القائمة، فأنت بحاجة إلى العودة والتأكد من أن الشهادة موجودة في مخزن شخصي للكمبيوتر المحلي مع مفتاح خاص مقترن وأن الشهادة تحتوي على توقيع رقمي KU.
    5. حدد شهادة توقيع الرمز المميز الجديدة خاصتك وانقر فوق موافق
    أبلغ جميع الأطراف المعتمدة بالتغيير في شهادة توقيع الرمز المميز.
    1. يجب على الأطراف التي تعتمد على بيانات التعريف لاتحاد AD FS سحب بيانات الاتحاد الجديدة لبدء استخدام الشهادة الجديدة.
    2. يجب على الأطراف المعتمدة التي لا تستهلك بيانات التعريف لاتحاد AD FS أن تقوم يدويًا بتحديث المفتاح العام لشهادة توقيع الرمز المميز الجديدة. قم بمشاركة ملف .cer مع الأطراف المعتمدين.
    3. عيِّن شهادة توقيع الرمز الجديد كشهادة أساسية.
      1. مع تحديد عقدة الشهادات في إدارة AD FS، يجب أن ترى الآن شهادتين مدرجتين ضمن توقيع الرمز المميز: الشهادة الحالية والجديدة.
      2. حدد شهادة Token-Signing الجديدة خاصتك، وانقر بزر الماوس الأيمن، وحدد تعيينًا كـ أساسي
      3. اترك الشهادة القديمة على أنها ثانوية لأغراض التمديد. يجب أن تخطط لإزالة الشهادة القديمة بمجرد أن تكون واثقا من أنها لم تعد مطلوبة للتمويه، أو عند انتهاء صلاحية الشهادة. لاحظ أنه تم توقيع جلسات SSO للمستخدمين الحاليين. تستخدم علاقات ثقة وكيل AD FS الحالية الرموز المميزة الموقعة والمشفرة باستخدام الشهادة القديمة.
    لم يتم العثور على شهادة AD FS SSL في مخزن الشهادات المحلي لم يتم العثور على الشهادة ببصمة الإبهام التي تم تكوينها كشهادة TLS / SSL في قاعدة بيانات AD FS في مخزن الشهادات المحلي. نتيجة لذلك، سيفشل أي طلب مصادقة عبر TLS. على سبيل المثال، ستفشل مصادقة عميل البريد لـ Microsoft 365. قم بتثبيت الشهادة باستخدام بصمة الإبهام التي تم تكوينها في مخزن الشهادات المحلي.
    انتهت صلاحية شهادة SSL انتهت صلاحية شهادة TLS / SSL لخدمة AD FS. نتيجة لذلك، ستفشل أي طلبات مصادقة تتطلب اتصال TLS صالحًا. على سبيل المثال: لن تتمكن مصادقة عميل البريد من المصادقة ل Microsoft 365. قم بتحديث شهادة TLS / SSL على كل خادم AD FS.
    1. الحصول على شهادة TLS / SSL بالمتطلبات التالية.
    2. استخدام المفتاح المحسن هو على الأقل لمصادقة الخادم.
    3. يحتوي موضوع الشهادة أو الاسم البديل للموضوع (SAN) على اسم DNS الخاص بخدمة الاتحاد أو حرف بدل مناسب. على سبيل المثال: sso.contoso.com أو* .contoso.com
    4. قم بتثبيت شهادة TLS / SSL الجديدة على كل خادم في مخزن شهادات الجهاز المحلي.
    5. تأكد من أن حساب خدمة AD FS لديه حق الوصول للقراءة إلى المفتاح الخاص للشهادة

    بالنسبة إلى AD FS 2.0 في خادم ويندوز 2008R2:

    • اربط شهادة TLS / SSL الجديدة بموقع الويب في IIS، الذي يستضيف خدمة الاتحاد. لاحظ أنه يجب عليك تنفيذ هذه الخطوة على كل خادم اتحاد ووكيل خادم اتحاد.

    بالنسبة إلى AD FS في خادم ويندوز 2012 R2 أو الإصدارات الأحدث: راجع: إدارة شهادات SSL في AD FS وWAP

    لم يتم تمكين نقاط النهاية المطلوبة ل Azure Active Directory (ل Microsoft 365) لم يتم تمكين المجموعة التالية من نقاط النهاية المطلوبة من قبل خدمات Exchange Online Azure AD وMicrosoft 365 لخدمة الاتحاد:
  • /adfs/services/trust/2005/usernamemixed
  • / adfs / ls /
  • قم بتمكين نقاط النهاية المطلوبة لـخدمات سحابة Microsoft في خدمة الاتحاد خاصتك.
    بالنسبة إلى AD FS في خادم ويندوز 2012R2 أو الإصدارات الأحدث
  • راجع: إدارة شهادات SSL في AD FS وWAP
  • تعذر على خادم الاتحاد الاتصال بقاعدة بيانات تكوين AD FS يواجه حساب خدمة AD FS مشكلات في أثناء الاتصال بقاعدة بيانات تكوين AD FS. نتيجة لذلك، قد لا تعمل خدمة AD FS على هذا الكمبيوتر بالشكل المتوقع.
  • تأكد من أن حساب خدمة AD FS لديه حق الوصول إلى قاعدة بيانات التكوين.
  • تأكد من أن خدمة قاعدة بيانات تكوين AD FS متاحة ويمكن الوصول إليها.
  • روابط SSL المطلوبة مفقودة أو لم يتم تكوينها تم تكوين روابط TLS المطلوبة لخادم الاتحاد هذا لأداء المصادقة بنجاح. ونتيجة لذلك، لا يمكن ل AD FS معالجة أي طلبات واردة. لخادم ويندوز 2012 R2
    افتح موجه أوامر مسؤول غير مقيد ونفذ الأوامر التالية:
    1. لعرض ربط TLS الحالي: Get-AdfsSslCertificate
    2. لإضافة روابط جديدة: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F1011121314 appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
    انتهت صلاحية شهادة توقيع رمز AD FS الأساسي انتهت صلاحية شهادة توقيع AD FS Token. لا يمكن ل AD FS إصدار الرموز المميزة الموقعة عندما تكون هذه الشهادة غير صالحة. إذا تم تمكين تمرير الشهادة تلقائيًا، فسيقوم AD FS بإدارة تحديث شهادة توقيع الرمز المميز.

    إذا كنت تدير شهادتك يدويًا، فاتبع الإرشادات أدناه.

    1. احصل على شهادة توقيع رمز جديد.
      1. تأكد من أن الاستخدام المحسن للمفتاح (EKU) يتضمن "التوقيع الرقمي".
      2. لا يحتوي الموضوع أو الاسم البديل للموضوع (SAN) على أي قيود.
      3. تذكر أن خوادم الاتحاد وخوادم اتحاد شركاء الموارد وخوادم تطبيق Relying Party يجب أن تكون قادرة على الاتصال بسلطة مصدقة جذر موثوق بها عند التحقق من صحة شهادة توقيع الرمز المميز الخاصة بك.
    2. قم بتثبيت الشهادة في مخزن الشهادات المحلي على كل خادم اتحاد.
      • تأكد من أن ملف تثبيت الشهادة يحتوي على المفتاح الخاص للشهادة على كل خادم.
    3. تأكد من أن حساب خدمة الاتحاد لديه حق الوصول إلى المفتاح الخاص للشهادة الجديدة.
    4. أضف الشهادة الجديدة إلى AD FS.
      1. قم بتشغيل إدارة AD FS من قائمة الأدوات الإدارية.
      2. قم بتوسيع الخدمة وحدد الشهادات
      3. في جزء الإجراءات، انقر فوق إضافة شهادة توقيع الرمز المميز...
      4. سيتم تقديم قائمة بالشهادات الصالحة لتوقيع الرمز المميز. إذا وجدت أن شهادتك الجديدة لا يتم تقديمها في القائمة، فأنت بحاجة إلى العودة والتأكد من أن الشهادة موجودة في مخزن شخصي للكمبيوتر المحلي مع مفتاح خاص مقترن وأن الشهادة تحتوي على رمز KU للتوقيع الرقمي.
      5. حدد شهادة توقيع الرمز المميز الجديدة خاصتك وانقر فوق موافق
    5. أبلغ جميع الأطراف المعتمدة بالتغيير في شهادة توقيع الرمز المميز.
      1. يجب على الأطراف التي تعتمد على بيانات التعريف لاتحاد AD FS سحب بيانات الاتحاد الجديدة لبدء استخدام الشهادة الجديدة.
      2. يجب على الأطراف المعتمدة التي لا تستهلك بيانات التعريف لاتحاد AD FS أن تقوم يدويًا بتحديث المفتاح العام لشهادة توقيع الرمز المميز الجديدة. قم بمشاركة ملف .cer مع الأطراف المعتمدين.
    6. عيِّن شهادة توقيع الرمز الجديد كشهادة أساسية.
      1. مع تحديد عقدة الشهادات في إدارة AD FS، يجب أن ترى الآن شهادتين مدرجتين ضمن توقيع الرمز المميز: الشهادة الحالية والجديدة.
      2. حدد شهادة Token-Signing الجديدة خاصتك، وانقر بزر الماوس الأيمن، وحدد تعيينًا كـ أساسي
      3. اترك الشهادة القديمة على أنها ثانوية لأغراض التمديد. يجب أن تخطط لإزالة الشهادة القديمة بمجرد أن تكون واثقا من أنها لم تعد مطلوبة للتمطيل، أو عند انتهاء صلاحية الشهادة. تذكر أنه تم توقيع جلسات SSO للمستخدمين الحاليين. تستخدم علاقات ثقة وكيل AD FS الحالية الرموز المميزة الموقعة والمشفرة باستخدام الشهادة القديمة.
    يقوم الخادم الوكيل بإسقاط طلبات التحكم في الازدحام يقوم الخادم الوكيل هذا حاليًا بإسقاط الطلبات من الـ ExtrNET. بسبب زمن انتقال أعلى من المعتاد بين هذا الخادم الوكيل وخادم الاتحاد. نتيجة لذلك، يمكن أن يفشل جزء معين من طلبات المصادقة التي تتم معالجتها بواسطة خادم وكيل AD FS.
  • تحقق مما إذا كان زمن انتقال الشبكة بين خادم وكيل الاتحاد وخوادم الاتحاد يقع ضمن النطاق المقبول. ارجع إلى قسم المراقبة للتعرف على القيم الشائعة لـ "وقت استجابة طلب الرمز المميز". يجب اعتبار زمن الوصول الأكبر من [1500 مللي ثانية] بمثابة زمن انتقال عالٍ. إذا لوحظ زمن انتقال عال، فتأكد من أن الشبكة بين خوادم AD FS و AD FS Proxy لا تحتوي على أي مشكلات في الاتصال.
  • تأكد من عدم تحميل خوادم الاتحاد بشكل زائد مع طلبات المصادقة. يوفر قسم المراقبة طرق عرض شائعة لطلبات الرمز المميز في الثانية، واستخدام وحدة المعالجة المركزية واستهلاك الذاكرة.
  • إذا تم التحقق من العناصر المذكورة أعلاه ولا تزال هذه المشكلة قائمة، فاضبط إعداد تجنب الازدحام على كل من خوادم وكيل الاتحاد وفقًا للإرشادات الواردة من الروابط ذات الصلة.
  • تم رفض وصول حساب خدمة AD FS إلى أحد المفاتيح الخاصة للشهادة. لا يمكن لحساب خدمة AD FS الوصول إلى المفتاح الخاص لإحدى شهادات AD FS على هذا الكمبيوتر. تأكد من حصول حساب خدمة AD FS على حق الوصول إلى TLS وتوقيع الرمز المميز وفك تشفير الرمز المميز المخزنة في مخزن شهادات الكمبيوتر المحلي.
    1. من سطر الأوامر اكتب MMC.
    2. انتقل إلى File->Add/Remove Snap-In
    3. حدد الشهادات وانقر فوق إضافة. -> حدد Computer Account وانقر فوق Next. -> حدد Local Computer وانقر فوق Finish. انقر فوق OK.

    فتح الشهادات (كمبيوتر محلي) / شخصي / شهادات. لجميع الشهادات التي تستخدمها AD FS:
    1. انقر بزر الماوس الأيمن فوق الشهادة.
    2. حدد All Tasks -> Manage Private Keys.
    3. في علامة التبويب "الأمان" ضمن أسماء المجموعات أو المستخدمين، تأكد من وجود حساب خدمة AD FS. إذا لم يكن كذلك، فحدد إضافة وإضافة حساب خدمة AD FS.
    4. حدد حساب خدمة AD FS وضمن "أذونات لـ <اسم حساب خدمة AD FS>" تأكد من السماح بإذن القراءة (علامة اختيار).
    لا تحتوي شهادة AD FS SSL على مفتاح خاص تم تثبيت شهادة AD FS TLS / SSL بدون مفتاح خاص. نتيجة لذلك، سيفشل أي طلب مصادقة عبر SSL. على سبيل المثال، ستفشل مصادقة عميل البريد لـ Microsoft 365. قم بتحديث شهادة TLS / SSL على كل خادم AD FS.
    1. احصل على شهادة TLS / SSL موثوق بها بشكل عام مع المتطلبات التالية.
      1. يحتوي ملف تثبيت الشهادة على مفتاحه الخاص.
      2. استخدام المفتاح المحسن هو على الأقل لمصادقة الخادم.
      3. يحتوي موضوع الشهادة أو الاسم البديل للموضوع (SAN) على اسم DNS الخاص بخدمة الاتحاد أو حرف بدل مناسب. على سبيل المثال: sso.contoso.com أو* .contoso.com
    2. قم بتثبيت شهادة TLS / SSL الجديدة على كل خادم في مخزن شهادات الجهاز المحلي.
    3. تأكد من أن حساب خدمة AD FS لديه حق الوصول للقراءة إلى المفتاح الخاص للشهادة

    بالنسبة إلى AD FS 2.0 في خادم ويندوز 2008R2:

    • اربط شهادة TLS / SSL الجديدة بموقع الويب في IIS الذي يستضيف خدمة الاتحاد. لاحظ أنه يجب عليك تنفيذ هذه الخطوة على كل خادم اتحاد ووكيل خادم اتحاد.

    لـ AD FS في خادم ويندوز 2012 R2 والإصدارات الأحدث:

  • راجع: إدارة شهادات SSL في AD FS وWAP
  • انتهت صلاحية شهادة فك تشفير رمز AD FS الأساسي انتهت صلاحية شهادة فك تشفير رمز AD FS الأساسي. لا يمكن ل AD FS فك تشفير الرموز المميزة من موفري المطالبات الموثوق بهم. لا يمكن ل AD FS فك تشفير ملفات تعريف الارتباط SSO المشفرة. لن يتمكن المستخدمون النهائيون من المصادقة للوصول إلى الموارد.

    إن تم تمكين الانتقال التلقائي للشهادة، فإن AD FS تدير شهادة فك تشفير الرمز المميز.

    إذا كنت تدير شهادتك يدويًا، فاتبع الإرشادات أدناه.

    1. احصل على شهادة فك تشفير جديدة.
      • تأكد من أن الاستخدام المحسن للمفتاح (EKU) يتضمن "تشفير المفتاح".
      • الموضوع أو الاسم البديل للموضوع (SAN) ليست له أي قيود.
      • لاحظ أن الخوادم الفيدرالية وشركاء موفري المطالبات يجب أن يكونوا قادرين على الارتباط بسلطة مصدق جذر موثوق بها عند التحقق من صحة شهادة فك التشفير الخاصة بك.
    2. حدد كيف سيثق شركاؤك في موفر المطالبات في شهادة "الرمز المميز" الجديدة لفك التشفير
      • اطلب من الشركاء سحب بيانات التعريف للاتحاد بعد تحديث الشهادة.
      • شارك المفتاح العام للشهادة الجديدة. (ملف .cer) مع الشركاء. في خادم AD FS لشريك موفر المطالبات، قم بتشغيل إدارة AD FS من قائمة الأدوات الإدارية. ضمن علاقات الثقة/ثقة الطرف المعتمد، حدد الثقة التي تم إنشاؤها لك. ضمن خصائص/تشفير، انقر فوق "استعراض" لتحديد شهادة فك التشفير الجديدة وانقر فوق "موافق".
    3. قم بتثبيت الشهادة في مخزن الشهادات المحلي على كل خادم من خادم الاتحاد.
      • تأكد من أن ملف تثبيت الشهادة يحتوي على المفتاح الخاص للشهادة على كل خادم.
    4. تأكد من أن حساب خدمة الاتحاد لديه حق الوصول إلى المفتاح الخاص للشهادة الجديدة.
    5. أضف الشهادة الجديدة إلى AD FS.
      • قم بتشغيل إدارة AD FS من قائمة الأدوات الإدارية
      • قم بتوسيع الخدمة وحدد الشهادات
      • في جزء الإجراءات، انقر فوق إضافة شهادة فك تشفير الرمز المميز
      • سيتم تقديم قائمة بالشهادات الصالحة لفك تشفير الرمز المميز. إذا وجدت أن شهادتك الجديدة لا يتم تقديمها في القائمة، فأنت بحاجة إلى العودة والتأكد من أن الشهادة موجودة في مخزن شخصي للكمبيوتر المحلي مع مفتاح خاص مقترن وأن الشهادة تحتوي على تشفير المفتاح ك "استخدام مفتاح موسع".
      • حدد شهادة Token-Decrypting الجديدة خاصتك وانقر فوق "موافق".
    6. قم بتعيين شهادة فك تشفير الرمز المميز الجديدة كشهادة أساسية.
      • مع تحديد عقدة الشهادات في إدارة AD FS، يجب أن ترى الآن شهادتين مدرجتين ضمن Token-Decrypting: الشهادة الحالية والشهادة الجديدة.
      • حدد شهادة Token-Decrypting الجديدة خاصتك، وانقر بزر الماوس الأيمن، وحدد تعيينًا كأساسي.
      • اترك الشهادة القديمة ثانوية لأغراض التجديد. يجب أن تخطط لإزالة الشهادة القديمة بمجرد أن تكون واثقا من أنها لم تعد مطلوبة للتدحرج، أو عند انتهاء صلاحية الشهادة.

    تنبيهات لخدمات مجال Active Directory

    اسم التنبيه الوصف المعالجة
    لا يمكن الوصول إلى وحدة التحكم بالمجال عبر اختبار اتصال LDAP لا يمكن الوصول إلى وحدة التحكم بالمجال عبر LDAP Ping. يمكن أن يحدث هذا بسبب مشاكل في الشبكة أو مشاكل في الجهاز. نتيجة لذلك، ستفشل أصوات LDAP.
  • افحص قائمة التنبيهات للتنبيهات ذات الصلة، مثل: وحدة التحكم بالمجال لا تعلن.
  • تأكد من أن وحدة التحكم في المجال المتأثرة بها مساحة قرص كافية. سيؤدي نفاد المساحة إلى إيقاف DC من الإعلان عن نفسه كخادم LDAP.
  • محاولة العثور على PDC: تشغيل
    netdom query fsmo
    على وحدة التحكم بالمجال المتأثرة.
  • تأكد من تكوين / توصيل الشبكة المادية بشكل صحيح.
  • تمت مصادفة خطأ النسخ المتماثل لـ خدمات مجال Active Directory تواجه وحدة التحكم في المجال هذه مشكلات النسخ المتماثل، والتي يمكن العثور عليها بالانتقال إلى لوحة معلومات حالة النسخ المتماثل. قد تكون أخطاء النسخ المتماثل ناتجة عن تكوين غير صحيح أو مشكلات أخرى ذات صلة. يمكن أن تؤدي أخطاء النسخ المتماثل غير المعالجة إلى عدم تناسق البيانات. انظر تفاصيل إضافية عن أسماء المصادر المتأثرة والوجهة DCs. انتقل إلى لوحة معلومات حالة النسخ المتماثل وابحث عن الأخطاء النشطة في وحدات تحكم المجال (DC) المتأثرة. انقر فوق الخطأ لفتح شفرة بمزيد من التفاصيل حول كيفية إصلاح هذا الخطأ بالذات.
    وحدة تحكم المجال غير قادرة على العثور على PDC لا يمكن الوصول إلى PDC من خلال وحدة تحكم المجال هذه. سيؤدي ذلك إلى تأثر عمليات تسجيل دخول المستخدم، وتغييرات نهج المجموعة غير المطبقة، وفشل مزامنة وقت النظام.
  • افحص قائمة التنبيهات للتنبيهات ذات الصلة التي قد تؤثر على PDC، مثل: وحدة التحكم بالمجال لا تعلن.
  • محاولة العثور على PDC: تشغيل
    netdom query fsmo
    على وحدة التحكم بالمجال المتأثرة.
  • تأكد من أن الشبكة تعمل بشكل صحيح.
  • وحدة تحكم المجال غير قادرة على العثور على خادم فهرس عمومي لا يمكن الوصول إلى خادم الكتالوج العمومي من وحدة التحكم بالمجال هذه. سيؤدي ذلك إلى محاولة المصادقة الفاشلة من خلال وحدة تحكم المجال هذه. فحص قائمة التنبيهات لأي وحدة تحكم بالمجال لا تعلن عن التنبيهات حيث قد يكون الخادم المتأثر GC. إذا لم تكن هناك تنبيهات إعلانية، فتحقق من سجلات SRV الخاصة بـ GCs. يمكنك التحقق منها عن طريق تشغيل:
    nltest /dnsgetdc: [ForestName] /gc
    يجب أن تدرج إعلانات DC على أنها GCs. إذا كانت القائمة فارغة، فتحقق من تكوين DNS للتأكد من أن GC قد سجلت سجلات SRV. يمكن لـ DC العثور عليها في DNS.
    لاستكشاف الأخطاء وإصلاحها في الفهارس العالمية، راجع الإعلان كخادم فهرس عالمي.
    وحدة تحكم المجال غير قادرة على الوصول إلى مشاركة sysvol المحلية يحتوي Sysvol على عناصر مهمة من كائنات نهج المجموعة والبرامج النصية ليتم توزيعها داخل DCs الخاصة بالمجال. لن يعلن DC عن نفسه على أنه لن يتم تطبيق نهج DC ونهج المجموعة. راجع كيفية استكشاف أخطاء مشاركات sysvol وNetlogon المفقودة وإصلاحها
    وقت وحدة تحكم المجال غير متزامن الوقت الموجود على وحدة تحكم المجال هذه خارج نطاق انحراف الوقت العادي. نتيجة لذلك، ستفشل مصادقات Kerberos.
  • أعد تشغيل خدمة الوقت في Windows: تشغيل
    net stop w32time
    then
    net start w32time
    على وحدة التحكم بالمجال المتأثرة.
  • وقت إعادة المزامنة: تشغيل
    w32tm /resync
    على وحدة التحكم بالمجال المتأثرة.
  • وحدة التحكم بالمجال ليست إعلانات لا تعلن وحدة التحكم بالمجال هذه بشكل صحيح عن الأدوار التي يمكن أن تؤديها. يمكن أن يحدث هذا بسبب مشاكل النسخ المتماثل، أو التكوين الخطأ لنظام أسماء النطاقات، أو عدم تشغيل الخدمات الهامة، أو بسبب عدم تكوين الخادم بشكل كامل. ونتيجة لذلك، لن تتمكن وحدات التحكم بالمجال وأعضاء المجال والأجهزة الأخرى من تحديد موقع وحدة التحكم بالمجال هذه. بالإضافة إلى ذلك، قد لا تتمكن وحدات تحكم المجال الأخرى من النسخ المتماثل من وحدة تحكم المجال هذه. افحص قائمة التنبيهات للتنبيهات الأخرى ذات الصلة مثل: النسخ المتماثل معطل. وقت وحدة التحكم بالمجال غير متزامن. خدمة Netlogon لا تعمل. لا يتم تشغيل خدمات DFSR و/أو NTFRS. تحديد واستكشاف مشكلات DNS ذات الصلة وإصلاحها: قم بتسجيل الدخول إلى وحدة تحكم المجال المتأثرة. افتح سجل أحداث النظام. إذا كانت الأحداث 5774 أو 5775 أو 5781 موجودة، فراجع استكشاف أخطاء تسجيل سجلات DNS الخاصة بوحدة تحكم المجال وإصلاحها تحديد واستكشاف مشكلات خدمة الوقت في Windows ذات الصلة وإصلاحها: تأكد من تشغيل خدمة Windows Time: تشغيل 'NET. start w32time'على وحدة تحكم المجال المتأثرة. أعد تشغيل خدمة وقت Windows : قم بتشغيل " net stop w32time " ثم "NET. start w32time " على وحدة تحكم المجال المتأثرة.
    خدمة GPSVC لا تعمل إذا تم إيقاف الخدمة أو تعطيلها، فلن يتم تطبيق الإعدادات التي قام المسؤول بتكوينها ولن يمكن إدارة التطبيقات والمكونات من خلال نهج المجموعة. قد لا تعمل أي مكونات أو تطبيقات تعتمد على مكون "نهج المجموعة" إذا تم تعطيل الخدمة. تشغيل
    net start gpsvc
    على وحدة التحكم بالمجال المتأثرة.
    لا يتم تشغيل خدمات DFSR و/أو NTFRS إذا تم إيقاف كل من خدمات DFSR وNTFRS، فلن تتمكن وحدات التحكم بالمجال من نسخ بيانات sysvol نسخا متماثلا. ستكون بيانات sysvol خارج الاتساق.
  • في حالة استخدام DFSR:
      قم بتشغيل "NET. start dfsr " على وحدة تحكم المجال المتأثرة.
    1. في حالة استخدام NTFRS:
        قم بتشغيل "NET. start ntfrs " على وحدة تحكم المجال المتأثرة.
  • خدمة Netlogon لا تعمل لن تتوفر طلبات تسجيل الدخول والتسجيل والمصادقة وتحديد موقع وحدات التحكم في المجال على وحدة تحكم المجال هذه. قم بتشغيل " net startNET.logon " على وحدة تحكم المجال المتأثرة
    لا يتم تشغيل خدمة W32Time إذا تم إيقاف خدمة الوقت في Windows (خدمة الوقت في Windows)، فلن تكون مزامنة التاريخ والوقت متاحة. إذا تم تعطيل هذه الخدمة، فإن أي خدمات تعتمد عليها بشكل صريح ستفشل في البدء. قم بتشغيل "NET. start win32Time " على وحدة تحكم المجال المتأثرة
    خدمة ADWS لا تعمل إذا تم إيقاف خدمة خدمات ويب Active Directory أو تعطيلها، فلن تتمكن تطبيقات العميل، مثل Active Directory PowerShell، من الوصول إلى أي مثيلات خدمة دليل يتم تشغيلها محليا على هذا الخادم أو إدارتها. قم بتشغيل "NET. start adws " على وحدة تحكم المجال المتأثرة
    لا تتم مزامنة PDC الجذر من خادم NTP إذا لم تقم بتكوين PDC لمزامنة الوقت من مصدر وقت خارجي أو داخلي، فإن محاكي PDC يستخدم ساعته الداخلية وهو في حد ذاته مصدر الوقت الموثوق به للغابة. إذا لم يكن الوقت دقيقا على PDC نفسه، فسيكون لجميع أجهزة الكمبيوتر إعدادات وقت غير صحيحة. على وحدة تحكم المجال المتأثرة، افتح موجه الأوامر. إيقاف خدمة الوقت:NET. stop w32time
  • تكوين مصدر الوقت الخارجي:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    ملاحظة: استبدل time.windows.com بعنوان مصدر الوقت الخارجي الذي تريده. ابدأ خدمة الوقت:
    net start w32time
  • تم عزل وحدة تحكم المجال وحدة التحكم بالمجال هذه غير متصلة بأي من وحدات التحكم بالمجال الأخرى العاملة. قد يكون هذا بسبب التكوين غير الصحيح. ونتيجة لذلك، لا يتم استخدام DC هذا ولن يتم نسخه من/إلى أي شخص. تمكين النسخ المتماثل الوارد والصادر: قم بتشغيل " repadmin / options ServerName -DISABLE_INBOUND_REPL " على وحدة تحكم المجال المتأثرة. تشغيل 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' على وحدة تحكم المجال المتأثرة. قم بإنشاء اتصال نسخ متماثل جديد بوحدة تحكم مجال أخرى:
    1. افتح مواقع وخدمات Active Directory: قائمة ابدأ، وأشر إلى أدوات إدارية، ثم انقر على مواقع وخدمات Active Directory.
    2. في شجرة وحدة التحكم، قم بتوسيع المواقع، ثم قم بتوسيع الموقع الذي ينتمي إليه DC هذا.
    3. قم بتوسيع حاوية الخوادم لعرض قائمة الخوادم.
    4. قم بتوسيع عنصر الخادم لهذا DC.
    5. انقر بزر الماوس الأيمن فوق عنصر إعدادات NTDS، وانقر فوق اتصال خدمات مجال Active Directory جديد...
    6. حدد خادمًا من القائمة، وانقر فوق موافق.
    كيفية إزالة المجالات المعزولة من Active Directory.
    تم تعطيل النسخ المتماثل الصادر لن تتمكن DCs ذات النسخ المتماثل الصادر المعطلة من توزيع أي تغييرات تنشأ داخل نفسها. لتمكين النسخ المتماثل الصادر على وحدة تحكم المجال المتأثرة، اتبع الخطوات التالية: انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب cmd، ثم انقر فوق موافق. اكتب الأمر التالي، ثم اضغط مفتاح الإدخال ENTER:
    repadmin / خيارات -DISABLE_OUTBOUND_REPL
    تم تعطيل النسخ المتماثل الوارد لن تحتوي DCs ذات النسخ المتماثل الوارد المعطلة على أحدث المعلومات. يمكن أن يؤدي هذا الشرط إلى فشل تسجيل الدخول. لتمكين النسخ المتماثل المتجه للداخل على وحدة تحكم المجال المتأثرة، اتبع الخطوات التالية: انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب cmd، ثم انقر فوق موافق. اكتب الأمر التالي، ثم اضغط مفتاح الإدخال ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    خدمة LanmanServer لا تعمل إذا تم تعطيل هذه الخدمة، فإن أي خدمات تعتمد عليها بشكل صريح ستفشل في البدء. قم بتشغيل "NET. start LanManServer " على وحدة تحكم المجال المتأثرة.
    خدمة Kerberos Key Distribution Center غير قيد التشغيل إذا تم إيقاف خدمة KDC، فلن يتمكن المستخدمون من المصادقة من خلال DC هذا باستخدام بروتوكول مصادقة Kerberos v5. قم بتشغيل "NET. start kdc " على وحدة تحكم المجال المتأثرة.
    خدمة DNS لا تعمل إذا تم إيقاف خدمة DNS، فسوف تفشل أجهزة الكمبيوتر والمستخدمون الذين يستخدمون هذا الخادم لأغراض DNS في العثور على الموارد. قم بتشغيل "NET. start dns " على وحدة تحكم المجال المتأثرة.
    كان DC قد تراجع USN عند حدوث عمليات التراجع USN، لا يتم نسخ التعديلات على الكائنات والسمات الواردة بواسطة وحدات تحكم المجال الوجهة التي شهدت سابقا USN. نظرًا إلى أن وحدات التحكم في المجال الوجهة هذه تعتقد أنها محدثة، فلا يتم الإبلاغ عن أخطاء النسخ المتماثل في سجلات أحداث خدمة الدليل أوعن طريق أدوات المراقبة والتشخيص. قد يؤثر تراجع USN على النسخ المتماثل لأي عنصر أو سمة في أي قسم. التأثير الجانبي الأكثر ملاحظة هو أن حسابات المستخدمين وحسابات الكمبيوتر التي تم إنشاؤها على وحدة تحكم المجال العودة إلى الحالة السابقة غير موجودة على واحد أو أكثر من أطراف النسخ المتماثل. أو، تحديثات كلمة المرور التي تم إنشاؤها على وحدة تحكم المجال العودة إلى الحالة السابقة غير موجودة على أطراف النسخ المتماثل. هناك طريقتان للتعافي من تراجع USN:

    قم بإزالة وحدة تحكم المجال من المجال، باتباع الخطوات التالية:

    1. قم بإزالة Active Directory من وحدة تحكم المجال لإجبارها على أن تكون خادمًا مستقلاً. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
      332199 لا تنزل وحدات التحكم في المجال بأمان عند استخدام معالج تثبيت Active Directory لفرض خفض الترتيب في Windows Server 2003 وWindows 2000 Server.
    2. إغلاق الخادم المخفض.
    3. على وحدة تحكم مجال صحية، قم بتنظيف بيانات التعريف لوحدة تحكم المجال المخفض رتبة. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
      216498 كيفية إزالة البيانات في Active Directory بعد إجراء تخفيض غير ناجح لوحدة التحكم في المجال
    4. إذا كانت وحدة تحكم المجال التي تمت استعادتها بشكل غير صحيح تستضيف الأدوار الرئيسية للعمليات، فقم بنقل هذه الأدوار إلى وحدة تحكم مجال سليمة. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
      255504 استخدام Ntdsutil.exe لنقل أو الاستيلاء على أدوار FSMO إلى وحدة تحكم المجال
    5. أعد تشغيل الخادم المخفض.
    6. إذا كنت مطالبا، فقم بتثبيت Active Directory على الخادم المستقل مرة أخرى.
    7. إذا كانت وحدة التحكم في المجال عبارة عن نشرة مصورة عمومية مسبقًا، قم بتكوين وحدة تحكم المجال لتكون فهرس عمومي. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
      313994 كيفية إنشاء أو نقل فهرس عام في Windows 2000
    8. إذا استضافت وحدة تحكم المجال الأدوار الرئيسية للعمليات مسبقًا، فقم بنقل أدوار العمليات الرئيسية مرة أخرى إلى وحدة تحكم المجال. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
      255504 استخدام Ntdsutil.exe لنقل أو الاستيلاء على أدوار FSMO إلى وحدة تحكم المجال استعادة حالة النظام الخاصة بنسخة احتياطية جيدة.

    قم بتقييم ما إذا كانت توجد نسخ احتياطية صالحة لحالة النظام لوحدة تحكم المجال هذه. إذا تم إجراء نسخة احتياطية صالحة لحالة النظام قبل استعادة وحدة التحكم في المجال التي تم التراجع عنها بشكل غير صحيح، وتحتوي النسخة الاحتياطية على التغييرات الأخيرة التي تم إجراؤها على وحدة تحكم المجال، فقم باستعادة حالة النظام من أحدث نسخة احتياطية.

    يمكنك أيضًا استخدام اللقطة كمصدر للنسخة الاحتياطية. أو يمكنك تعيين قاعدة البيانات لمنح نفسها معرّف استدعاء جديدًا باستخدام الإجراء الوارد في القسم "لاستعادة إصدار سابق من VHD لوحدة تحكم المجال الافتراضية بدون نسخ احتياطي لبيانات حالة النظام" في هذه المقالة

    الخطوات التالية