Compartir vía

Catálogo de alertas de Microsoft Entra Connect Health

  • Artículo

El servicio Microsoft Entra Connect Health envía alertas para indicar que la infraestructura de identidad no tiene un estado correcto. En este artículo se incluyen los títulos de las alertas, las descripciones y los pasos de corrección de cada alerta.
Error, advertencia y advertencia previa son tres fases de alertas que se generan desde el servicio Connect Health. Se recomienda encarecidamente emprender acciones inmediatas sobre las alertas desencadenadas.
Las alertas de Microsoft Entra Connect Health se resuelven en una condición satisfactoria. Los Agentes de Microsoft Entra Connect Health detectan e informan de las condiciones de éxito al servicio de manera periódica. En el caso de algunas alertas, la supresión depende del tiempo. En otras palabras, si la misma condición de error no se observa dentro de un plazo de 72 horas desde la generación de la alerta, esta se resuelve de forma automática.

Alertas generales

Nombre de la alerta Descripción Corrección
Los datos del servicio de mantenimiento no están actualizados. Los agentes de estado que se ejecutan en uno o varios servidores no están conectados al Servicio de mantenimiento y dicho servicio no recibe los datos más recientes desde estos servidores. Los últimos datos que procesó el servicio de mantenimiento tienen una antigüedad superior a las 2 horas. Asegúrese de que los agentes de mantenimiento tengan conectividad saliente a los puntos de conexión de servicio necesarios. Más información

Alertas de Microsoft Entra Connect (sincronización)

Nombre de la alerta Descripción Corrección
El servicio de sincronización de Microsoft Entra Connect no se está ejecutando El servicio de Windows de sincronización de Microsoft Entra ID no se está ejecutando o no se pudo iniciar. Como resultado, los objetos no se sincronizarán con Microsoft Entra ID. Iniciar servicios de sincronización de Microsoft Entra ID
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, luego, haga clic en Aceptar.
  2. Busque el servicio de sincronización de Microsoft Entra ID y compruebe si se ha iniciado. Si el servicio no se ha iniciado, haga clic con el botón derecho en él y, luego, haga clic en Iniciar.
No se pudo realizar la importación desde Microsoft Entra ID No se pudo realizar la operación de importación desde Microsoft Entra Connector. Para más información, investigue los errores del registro de eventos de la operación de importación.
No se puedo realizar la conexión a Microsoft Entra ID debido a un error de autenticación No se puedo realizar la conexión a Microsoft Entra ID debido a un error de autenticación. Como resultado, los objetos no se sincronizarán con Microsoft Entra ID. Para más información, investigue los errores del registro de eventos.
No se pudo exportar a Active Directory No se pudo realizar la operación de exportación al Conector Active Directory. Para más información, investigue los errores del registro de eventos de la operación de exportación.
No se pudo realizar la importación desde Active Directory No se pudo realizar la importación desde Active Directory. Como resultado, no se pueden importar los objetos de algunos dominios de este bosque.
  • Compruebe la conectividad del DC.
  • Vuelva a ejecutar la importación manualmente.
  • Para más información, investigue los errores del registro de eventos de la operación de importación.
    		•
    Error al exportar a Microsoft Entra ID No se pudo realizar la operación de exportación a Microsoft Entra Connector. Como resultado, es posible que algunos objetos no se exporten correctamente a Microsoft Entra ID. Para más información, investigue los errores del registro de eventos de la operación de exportación.
    El latido de sincronización de hash de contraseñas se omitió en los últimos 120 minutos La sincronización de hash de contraseñas no se ha conectado con Microsoft Entra ID en los últimos 120 minutos. Como resultado, las contraseñas no se sincronizarán con Microsoft Entra ID. Reiniciar servicios de sincronización de Microsoft Entra ID:
    Se interrumpirán las operaciones de sincronización que se estén ejecutando actualmente. Puede elegir realizar los pasos siguientes cuando no haya ninguna operación de sincronización en curso.
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, luego, haga clic en Aceptar.
    2. Busque Sincronización de Microsoft Entra ID, haga clic con el botón derecho en este servicio y elija Reiniciar.
    Uso de CPU elevado detectado El porcentaje de consumo de CPU superó el umbral recomendado en este servidor.
  • Podría tratarse de un incremento temporal en el consumo de CPU. Compruebe las tendencias de uso de CPU en la sección de supervisión.
  • Inspeccione los procesos principales que consumen la mayor cantidad de CPU en el servidor.
    1. Puede usar el Administrador de tareas o ejecutar el siguiente comando de PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Si hay procesos inesperados que hacen un uso elevado de CPU, deténgalos mediante el siguiente comando de PowerShell:
      stop-process -ProcessName [nombre del proceso]
  • Si los procesos vistos en la lista anterior son los procesos previstos que se ejecutan en el servidor y el consumo de CPU está continuamente cerca del umbral, considere la posibilidad de volver a evaluar los requisitos de implementación de este servidor.
  • Como opción de protección, puede considerar la posibilidad de reiniciar el servidor.
    		•
    Consumo alto de memoria detectado El porcentaje de consumo de memoria del servidor es superior al umbral recomendado en este servidor. Inspeccione los procesos principales que consumen la mayor cantidad de memoria en el servidor. Puede usar el Administrador de tareas o ejecutar el siguiente comando de PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Si hay procesos inesperados que consumen memoria alta, detenga los procesos mediante el siguiente comando de PowerShell:
    stop-process -ProcessName [nombre del proceso]
  • Si los procesos vistos en la lista anterior son los procesos previstos que se ejecutan en el servidor, considere la posibilidad de volver a evaluar los requisitos de implementación de este servidor.
  • Como opción de protección, puede considerar la posibilidad de reiniciar el servidor.
    		•
    La sincronización de hash de contraseñas dejó de funcionar La sincronización de hash de contraseñas dejó de funcionar. Como resultado, las contraseñas no se sincronizarán con Microsoft Entra ID. Reinicie los servicios de sincronización de Microsoft Entra ID:
    Se interrumpirán las operaciones de sincronización que se estén ejecutando actualmente. Puede elegir realizar los pasos siguientes cuando no haya ninguna operación de sincronización en curso.
    1. Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, luego, haga clic en Aceptar.
    2. Busque Sincronización de Microsoft Entra ID, haga clic con el botón derecho en este servicio y elija Reiniciar.
    La exportación a Microsoft Entra ID se detuvo. Se alcanzó el umbral de eliminación accidental No se pudo realizar la operación de exportación a Microsoft Entra ID. El número de objetos para eliminar superaba el umbral configurado. Como resultado, no se exportó ningún objeto.
  • El número de objetos marcados para eliminación es superior al umbral establecido. Asegúrese de que este sea el resultado deseado.
  • Para permitir que la exportación continúe, lleve a cabo los pasos siguientes:
    1. Ejecute Disable-ADSyncExportDeletionThreshold para deshabilitar el umbral.
    2. Inicie Synchronization Service Manager.
    3. Ejecute la opción Exportar en el conector con el tipo = Microsoft Entra ID.
    4. Después de exportar correctamente los objetos, ejecute Enable-ADSyncExportDeletionThreshold para habilitar el umbral.
    		•

    Alertas de Servicios de federación de Active Directory

    Nombre de la alerta Descripción Corrección
    La solicitud de autenticación de prueba (transacción sintética) no pudo obtener un token Las solicitudes de autenticación de prueba (transacciones sintéticas) iniciadas desde este servidor no pudieron obtener un token después de 5 reintentos. Esto puede ser debido a problemas de red transitorios, la disponibilidad del controlador de dominio de AD DS o un servidor de AD FS mal configurado. Como resultado, puede producirse un error en las solicitudes de autenticación procesadas por el Servicio de federación. El agente usa el contexto de la cuenta de equipo local para obtener un token del Servicio de federación. Asegúrese de que se realizan los pasos siguientes para comprobar el mantenimiento del servidor.
    1. Asegúrese de que no existan alertas sin resolver adicionales para este u otros servidores de AD FS de la granja.
    2. Compruebe que esta condición no se trata de un error transitorio: inicie sesión con un usuario de prueba desde la página de inicio de sesión de AD FS disponible en https://{su_servidor_adfs}/adfs/ls/idpinitiatedsignon.aspx.
    3. Vaya a https://testconnectivity.microsoft.com y elija la pestaña "Office 365". Realice la "Prueba de inicio de sesión único de Office 365".
    4. Verifique que el nombre de su servicio de AD FS se pueda resolver desde este servidor: ejecute el comando siguiente desde un símbolo del sistema en este servidor. nslookup your_adfs_server_name

    Si el nombre del servicio no se puede resolver, consulte la sección de Preguntas frecuentes para recibir instrucciones sobre cómo agregar una entrada de archivo HOST del servicio AD FS con la dirección IP de este servidor. Esto permitirá que el módulo de transacciones sintéticas que se ejecuta en este servidor solicite un token.
    El servidor proxy no puede establecer contacto con el servidor de federación Este servidor proxy de AD FS no puede ponerse en contacto con el servicio AD FS. Como resultado, se producirá un error en las solicitudes de autenticación procesadas por este servidor. Realice los pasos siguientes para comprobar la conectividad entre este servidor y el servicio AD FS.
    1. Asegúrese de que el firewall entre este servidor y el servicio AD FS esté configurado de manera precisa.
    2. Asegúrese de que la resolución DNS del nombre del servicio AD FS apunta correctamente el servicio AD FS que reside en la red corporativa. Para conseguir esto, se puede usar un servidor DNS que atienda este servidor en la red perimetral, o a través de entradas de los archivos HOSTS del nombre del servicio AD FS.
    3. Para comprobar la conectividad de red, abra un explorador en este servidor y acceda al punto de conexión de metadatos de federación, que se encuentra en https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    El certificado SSL está a punto de expirar El certificado TLS/SSL que usan los servidores de federación expirará en un plazo de 90 días. Una vez expirado, se producirá un error en las solicitudes que necesiten una conexión TLS válida. Por ejemplo, los clientes de correo de los clientes de Microsoft 365 no podrán autenticarse. Actualice el certificado TLS/SSL en cada servidor de AD FS.
    1. Obtenga el certificado TLS/SSL con los siguientes requisitos.
      1. El uso mejorado de clave es al menos la autenticación de servidor.
      2. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.
    2. Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.
    3. Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.

    Para AD FS 2.0 en Windows Server 2008 R2:

    • Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    Para AD FS en Windows Server 2012 R2 y versiones posteriores:

  • Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
    • El servicio AD FS no se está ejecutando en el servidor El Servicio de federación de Active Directory (servicio de Windows) no se está ejecutando en este servidor. Se producirá un error en las solicitudes dirigidas a este servidor. Para iniciar el Servicio de federación de Active Directory (servicio de Windows), siga estos pasos:
    1. Inicie sesión en el servidor como administrador.
    2. Abra services.msc.
    3. Busque "Servicios de federación de Active Directory (AD FS)"
    4. Haga clic con el botón derecho y seleccione "Iniciar"
    Es posible que el DNS del Servicio de federación esté mal configurado. El servidor DNS podría estar configurado para usar un registro CNAME en el nombre de la granja de servidores de AD FS. Se recomienda usar un registro A o AAAA en AD FS con el fin de que la autenticación integrada de Windows funcione correctamente dentro de la red corporativa. Asegúrese de que el tipo de registro DNS de la granja de servidores de AD FS <Farm Name> no sea CNAME. Configúrelo para que sea un registro A o AAAA.
    La auditoría de AD FS está deshabilitada La auditoría de AD FS está deshabilitada en el servidor. La sección de uso de AD FS en el portal no incluirá datos de este servidor. Si no están habilitadas las auditorías de AD FS, siga estas instrucciones:
    1. Conceda a la cuenta del servicio AD FS el derecho "Generar auditorías de seguridad" en el servidor de AD FS.
    2. Abra la directiva de seguridad local en el servidor gpedit.msc.
    3. Vaya a "Configuración del equipo\Configuración de Windows\Directivas locales\Asignación de derechos de usuario".
    4. Agregue la cuenta del servicio AD FS para que tenga el derecho "Generar auditorías de seguridad".
    5. Ejecute el siguiente comando desde el símbolo del sistema:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Actualice las propiedades del Servicio de federación para incluir auditorías de aciertos y errores.
    7. En la consola de AD FS, elija "Modificar las propiedades del Servicio de federación"
    8. En el cuadro de diálogo "Propiedades del Servicio de federación", elija la pestaña Eventos y seleccione "Auditorías de aciertos" y "Auditorías de errores"

    Después de seguir estos pasos, se deberían ver los eventos de auditoría de AD FS desde el Visor de eventos. Para comprobarlo:

    1. Vaya al Visor de eventos/Registros de Windows/Seguridad.
    2. Seleccione "Filter Current Logs" (Filtrar registros actuales) y, en la lista desplegable, "Orígenes de eventos", seleccione "AD FS Auditing" (Auditoría de AD FS). En un servidor de AD FS activo que tenga habilitada la auditoría de AD FS, los eventos deberían estar visibles para el filtrado anterior.

    Si ha seguido estas instrucciones antes, pero sigue apareciendo la alerta, es posible que un objeto de directiva de grupo esté deshabilitando la auditoría de AD FS. La causa principal puede ser una de las siguientes:

    1. A la cuenta del servicio AD FS se le está retirando el derecho de generar auditorías de seguridad.
    2. Un script personalizado del objeto de directiva de grupo está deshabilitando las auditorías de aciertos y errores según la aplicación generada.
    3. La configuración de AD FS no está habilitada para generar auditorías de aciertos y errores.
    El certificado SSL de AD FS está autofirmado. Actualmente, usa un certificado autofirmado como certificado TLS/SSL en la granja de servidores de AD FS. Como resultado, se producirá un error de autenticación del cliente de correo en Microsoft 365.

    Actualice el certificado TLS/SSL en cada servidor de AD FS.

    1. Obtenga un certificado TLS/SSL de confianza pública con los siguientes requisitos.
    2. El archivo de instalación del certificado contiene su clave privada.
    3. El uso mejorado de clave es al menos la autenticación de servidor.
    4. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.

    Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.

      Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.
      Para AD FS 2.0 en Windows Server 2008 R2:
    1. Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

      2. Para AD FS en Windows Server 2012 R2 o versiones posteriores:
    2. Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
    La confianza entre el servidor proxy y el servidor de federación no es válida La confianza entre el servidor proxy de federación y el Servicio de federación no se pudo establecer o renovar. Actualice el certificado de confianza de proxy en el servidor proxy. Vuelva a ejecutar el Asistente para configuración de proxy.
    Protección de bloqueo de extranet deshabilitada para AD FS La característica de protección de bloqueo de extranet está deshabilitada en la granja de servidores de AD FS. Esta característica protege a los usuarios de ataques por fuerza bruta desde Internet para obtener la contraseña e impide ataques de denegación de servicio contra los usuarios cuando las directivas de bloqueo de cuentas de AD DS están en vigor. Con esta característica habilitada, si el número de intentos de inicio de sesión erróneos en la extranet de un usuario (intentos de inicio de sesión realizados en un servidor WAP y AD FS) supera el valor de "ExtranetLockoutThreshold", los servidores de AD FS dejarán de procesar los intentos de inicio de sesión adicionales para "ExtranetObservationWindow". Es muy recomendable habilitar esta característica en los servidores de AD FS. Ejecute el siguiente comando para habilitar la protección de bloqueo de extranet de AD FS con valores predeterminados.
    Set-AdfsProperties -EnableExtranetLockout $true

    Si tiene directivas de bloqueo de AD configuradas para los usuarios, asegúrese de que la propiedad "ExtranetLockoutThreshold" está establecida en un valor por debajo de su umbral de bloqueo de AD DS. De esta forma, se garantiza que las solicitudes que han superado el umbral de AD FS se descartan y nunca se comprueban en los servidores de AD DS.
    El nombre de entidad de seguridad de servicio (SPN) no es válido para la cuenta del servicio AD FS El nombre de entidad de seguridad de servicio de la cuenta del Servicio de federación no está registrado o no es único. Como resultado, la autenticación integrada de Windows de los clientes unidos a un dominio podría no completarse correctamente. Use [SETSPN -L ServiceAccountName] para mostrar las entidades de servicio.
    Use [SETSPN -X] para buscar nombres de entidad de servicio duplicados.

    Si se duplica el SPN de la cuenta del servicio AD FS, quite el SPN de la cuenta duplicada mediante [SETSPN -d service/namehostname].

    Si no se establece el SPN, use [SETSPN -s {SPN deseado} {nombre_de_dominio}{cuenta_de_servicio}] para establecer el SPN deseado de la cuenta del Servicio de federación.
    El certificado de descifrado de tokens de AD FS principal está a punto de expirar El certificado de descifrado de tokens de AD FS principal expirará en menos de 90 días. AD FS no puede descifrar los tokens de proveedores de notificaciones de confianza. AD FS no puede descifrar las cookies de SSO cifradas. Los usuarios finales no podrán autenticarse para acceder a los recursos. Si está habilitada la sustitución del certificado automático, AD FS administra el certificado de descifrado de tokens.

    Si administra el certificado manualmente, siga las instrucciones siguientes. Obtenga un nuevo certificado de descifrado de tokens.

    1. Asegúrese de que el uso mejorado de clave (EKU) incluye el "cifrado de clave"
    2. El sujeto o el nombre alternativo del firmante (SAN) no tienen restricciones.
    3. Tenga en cuenta que los asociados de servidores de federación y de proveedor de notificaciones necesitan poderse encadenar a una entidad de certificación raíz de confianza al validar el certificado de descifrado de tokens.
    Decida cómo los asociados de proveedor de notificaciones confiarán en el nuevo certificado de descifrado de tokens.
    1. Pida a los asociados que extraigan los metadatos de federación después de actualizar el certificado.
    2. Comparta la clave pública del nuevo certificado (archivo .cer) con los asociados. En el servidor de AD FS del asociado del proveedor de notificaciones, inicie la administración de AD FS desde el menú Herramientas administrativas. En Relaciones de confianza/Relying Party Trusts (Relaciones de confianza para usuario autenticado), seleccione la relación de confianza que se creó para usted. En Propiedades/Cifrado, haga clic en Examinar para seleccionar el nuevo certificado de descifrado de tokens y haga clic en Aceptar.
    Instale el certificado en el almacén de certificados local en cada uno de los servidores de federación.
    • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo. Agregue el nuevo certificado a AD FS.
    1. Inicie la administración de AD FS en el menú Herramientas administrativas.
    2. Expanda el servicio y seleccione Certificados.
    3. En el panel Acciones, haga clic en Add Token-Decrypting Certificate (Agregar certificado de descifrado de tokens).
    4. Aparecerá una lista de certificados que son válidos para el descifrado de tokens. Si observa que el certificado nuevo no se muestra en la lista, debe volver atrás y asegurarse de que está en el almacén personal del equipo local con una clave privada asociada y que tiene el cifrado de clave como uso mejorado de clave.
    5. Seleccione el nuevo certificado de descifrado de tokens y haga clic en Aceptar.
    Establezca el nuevo certificado de descifrado de tokens como principal.
    1. Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Descifrado de tokens: el certificado existente y el nuevo certificado.
    2. Seleccione el nuevo certificado de descifrado de tokens, haga clic con el botón derecho en él y seleccione Set a primary (Establecer como principal).
    3. Deje el certificado antiguo como secundario para fines de sustitución. Cuando esté seguro de que ya no va a necesitar el certificado antiguo para la sustitución, o cuando el certificado haya expirado, debería pensar en quitarlo.
    El certificado de firma de tokens de AD FS principal está a punto de expirar El certificado de firma de tokens de AD FS expirará en un plazo de 90 días. AD FS no puede emitir tokens firmados cuando este certificado no es válido. Obtenga un nuevo certificado de firma de tokens.
    1. Asegúrese de que el uso mejorado de clave (EKU) incluye la "firma digital"
    2. El firmante o el nombre alternativo del firmante (SAN) no tienen restricciones.
    3. Tenga en cuenta que los servidores de federación, los servidores de federación de asociados de recursos y los servidores de aplicaciones de usuario de confianza deben poderse encadenar a una entidad de certificación raíz al validar el certificado de firma de tokens.
    Instale el certificado en el almacén de certificados local en cada servidor de federación.
    • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo. Agregue el nuevo certificado a AD FS.
    1. Inicie la administración de AD FS en el menú Herramientas administrativas.
    2. Expanda el servicio y seleccione Certificados.
    3. En el panel Acciones, haga clic en Add Token-Signing Certificate (Agregar certificado de firma de tokens).
    4. Aparecerá una lista de certificados que son válidos para la firma de tokens. Si observa que el certificado nuevo no se muestra en la lista, debe volver atrás y asegurarse de que está en el almacén personal del equipo local con una clave privada asociada y que el cifrado tiene el KU de firma digital.
    5. Seleccione el nuevo certificado de firma de tokens y haga clic en Aceptar.
    Informe a todos los usuarios de confianza sobre el cambio en el certificado de firma de tokens.
    1. Los usuarios de confianza que consumen metadatos de federación de AD FS deben extraer los nuevos metadatos de federación para empezar a usar el nuevo certificado.
    2. Los usuarios de confianza que NO consumen metadatos de federación de AD FS deben actualizar manualmente la clave pública del nuevo certificado de firma de tokens. Comparta el archivo .cer con los usuarios de confianza.
      3. Establezca el nuevo certificado de firma de tokens como principal.
      1. Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Firma de tokens: el certificado existente y el nuevo certificado.
      2. Seleccione el nuevo certificado de firma de tokens, haga clic con el botón derecho en él y seleccione Set a primary (Establecer como principal).
      3. Deje el certificado antiguo como secundario para fines de sustitución. Cuando esté seguro de que ya no va a necesitar el certificado antiguo para la sustitución, o cuando el certificado haya expirado, debería pensar en quitarlo. Tenga en cuenta que las sesiones de SSO de los usuarios actuales están firmadas. Las relaciones de confianza actuales del proxy de AD FS utilizan tokens que están firmados y cifrados con el certificado antiguo.
    El certificado SSL de AD FS no se encuentra en el almacén de certificados local El certificado con la huella digital que está configurado como certificado TLS/SSL en la base de datos de AD FS no se encontró en el almacén de certificados local. Como resultado, se producirá un error en cualquier solicitud de autenticación mediante TLS. Por ejemplo, en la autenticación del cliente de correo de Microsoft 365. Instale el certificado con la huella digital configurada en el almacén de certificados local.
    El certificado SSL ha expirado Ha expirado el certificado TLS/SSL del servicio AD FS. Como resultado, se producirá un error en las solicitudes de autenticación que requieran una conexión TLS válida. Por ejemplo, el cliente de correo no podrá autenticarse en Microsoft 365. Actualice el certificado TLS/SSL en cada servidor de AD FS.
    1. Obtenga el certificado TLS/SSL con los siguientes requisitos.
    2. El uso mejorado de clave es al menos la autenticación de servidor.
    3. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.
    4. Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.
    5. Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.

    Para AD FS 2.0 en Windows Server 2008 R2:

    • Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    Para AD FS en Windows Server 2012 R2 o versiones posteriores: Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016

    Los puntos de conexión necesarios para Microsoft Entra ID (para Microsoft 365) no están habilitados El siguiente conjunto de puntos de conexión requeridos por Exchange Online Services, Microsoft Entra ID y Microsoft 365 no están habilitados para el servicio de federación:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Habilite los puntos de conexión necesarios para Microsoft Cloud Services en el Servicio de federación.
    Para AD FS en Windows Server 2012 2012R2 o versiones posteriores
  • Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016

    • El servidor de federación no puede conectarse a la base de datos de configuración de AD FS La cuenta del servicio AD FS está experimentando problemas al conectar con la base de datos de configuración de AD FS. Como resultado, puede que el servicio AD FS de este equipo no funcione según lo previsto.
  • Asegúrese de que la cuenta del servicio AD FS tenga acceso a la base de datos de configuración.
  • Asegúrese de que el servicio de base de datos de configuración de AD FS está disponible y es accesible.
    • Faltan los enlaces SSL necesarios o no están configurados Los enlaces TLS necesarios para que este servidor de federación realice correctamente la autenticación no están bien configurados. Como resultado, AD FS no puede procesar todas las solicitudes entrantes. En Windows Server 2012 R2
    Abra un símbolo del sistema con privilegios elevados de administrador y ejecute los comandos siguientes:
    1. Para ver el enlace TLS actual: Get-AdfsSslCertificate
    2. Para agregar nuevos enlaces: netsh http add sslcert hostnameport=<nombre del servicio de federación>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    El certificado de firma de tokens de AD FS principal ha expirado El certificado de firma de tokens de AD FS ha expirado. AD FS no puede emitir tokens firmados cuando este certificado no es válido. Si la sustitución del certificado automático está habilitada, AD FS administrará la actualización del certificado de firma de tokens.

    Si administra el certificado manualmente, siga las instrucciones siguientes.

    1. Obtenga un nuevo certificado de firma de tokens.
      1. Asegúrese de que el uso mejorado de clave (EKU) incluye la "firma digital"
      2. El firmante o el nombre alternativo del firmante (SAN) no tienen restricciones.
      3. Recuerde que los servidores de federación, los servidores de federación de asociados de recursos y los servidores de aplicaciones de usuario de confianza deben poderse encadenar a una entidad de certificación raíz al validar el certificado de firma de tokens.
    2. Instale el certificado en el almacén de certificados local en cada servidor de federación.
      • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    3. Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo.
    4. Agregue el nuevo certificado a AD FS.
      1. Inicie la administración de AD FS en el menú Herramientas administrativas.
      2. Expanda el servicio y seleccione Certificados.
      3. En el panel Acciones, haga clic en Add Token-Signing Certificate (Agregar certificado de firma de tokens).
      4. Aparecerá una lista de certificados que son válidos para la firma de tokens. Si observa que el certificado nuevo no se muestra en la lista, debe volver atrás y asegurarse de que está en el almacén personal del equipo local con una clave privada asociada y que el cifrado tiene el KU de firma digital.
      5. Seleccione el nuevo certificado de firma de tokens y haga clic en Aceptar.
    5. Informe a todos los usuarios de confianza sobre el cambio en el certificado de firma de tokens.
      1. Los usuarios de confianza que consumen metadatos de federación de AD FS deben extraer los nuevos metadatos de federación para empezar a usar el nuevo certificado.
      2. Los usuarios de confianza que NO consumen metadatos de federación de AD FS deben actualizar manualmente la clave pública del nuevo certificado de firma de tokens. Comparta el archivo .cer con los usuarios de confianza.
    6. Establezca el nuevo certificado de firma de tokens como principal.
      1. Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Firma de tokens: el certificado existente y el nuevo certificado.
      2. Seleccione el nuevo certificado de firma de tokens, haga clic con el botón derecho en él y seleccione Set a primary (Establecer como principal).
      3. Deje el certificado antiguo como secundario para fines de sustitución. Cuando esté seguro de que ya no va a necesitar el certificado antiguo para la sustitución, o cuando el certificado haya expirado, debería pensar en quitarlo. Recuerde que las sesiones de SSO de los usuarios actuales están firmadas. Las relaciones de confianza actuales del proxy de AD FS utilizan tokens que están firmados y cifrados con el certificado antiguo.
    El servidor proxy está descartando solicitudes para controlar la congestión Este servidor proxy está descartando actualmente solicitudes de la extranet debido a una latencia mayor de lo habitual entre este servidor proxy y el servidor de federación. Como consecuencia de ello, se puede producir un error en una determinada parte de las solicitudes de autenticación que procesa el servidor proxy de AD FS.
  • Compruebe si la latencia de red entre el servidor proxy de federación y los servidores de federación se encuentra dentro del intervalo aceptable. Consulte la sección de supervisión para conocer los valores de tendencia de la "latencia de solicitudes de token" Una latencia mayor de [1500 ms] debe considerarse como alta latencia. Si se observó una latencia alta, asegúrese de que la red entre AD FS y los servidores proxy de AD FS no tiene problemas de conectividad.
  • Asegúrese de que los servidores de federación no están sobrecargados con solicitudes de autenticación. La sección de supervisión proporciona vistas de tendencia de las solicitudes de tokens por segundo, el uso de CPU y el consumo de memoria.
  • Si se han comprobado los elementos anteriores y el problema sigue apareciendo, ajuste la configuración de evitación de la congestión en cada uno de los servidores proxy de federación según las instrucciones de los vínculos relacionados.
    		•
    Se ha denegado el acceso de la cuenta de servicio de AD FS a una de las claves privadas del certificado La cuenta del servicio AD FS no tiene acceso a la clave privada de uno de los certificados de AD FS de este equipo. Asegúrese de que se proporciona a la cuenta de servicio de AD FS acceso a los certificados TLS, de firma de tokens y de descifrado de tokens disponibles en el almacén de certificados del equipo local.
    1. En la línea de comandos, escriba MMC.
    2. Vaya a Archivo->Add/Remove Snap-In (Agregar o quitar complemento).
    3. Seleccione Certificados y haga clic en Agregar. -> Seleccione la cuenta de equipo y haga clic en Siguiente. -> Seleccione el equipo local y haga clic en Finalizar. Haga clic en Aceptar.

    Abra Certificates(Local Computer)/Personal/Certificates. Para todos los certificados que usa AD FS:
    1. Haga clic con el botón derecho en el certificado.
    2. Seleccione Todas las tareas -> Administrar claves privadas.
    3. Asegúrese de que en la pestaña Seguridad, bajo los nombres de usuario o grupo, está presente la cuenta del servicio AD FS. Si no es así, seleccione Agregar y agregue dicha cuenta.
    4. Seleccione la cuenta del servicio de AD FS y, en la opción de permisos para <Nombre de cuenta de servicio de AD FS>" asegúrese de que se habilita el permiso de lectura (marca de verificación).
    El certificado SSL de AD FS no tiene ninguna clave privada El certificado TLS/SSL de AD FS se instaló sin una clave privada. Como resultado, se producirá un error en cualquier solicitud de autenticación mediante SSL. Por ejemplo, en la autenticación del cliente de correo de Microsoft 365. Actualice el certificado TLS/SSL en cada servidor de AD FS.
    1. Obtenga un certificado TLS/SSL de confianza pública con los siguientes requisitos.
      1. El archivo de instalación del certificado contiene su clave privada.
      2. El uso mejorado de clave es al menos la autenticación de servidor.
      3. El sujeto o el nombre alternativo del firmante (SAN) del certificado contienen el nombre DNS del Servicio de federación o el comodín adecuado. Por ejemplo, sso.contoso.com o *.contoso.com.
    2. Instale el nuevo certificado TLS/SSL en cada servidor del almacén de certificados de la máquina local.
    3. Asegúrese de que la cuenta del servicio AD FS tenga acceso de lectura a la clave privada del certificado.

    Para AD FS 2.0 en Windows Server 2008 R2:

    • Enlace el nuevo certificado TLS/SSL al sitio web de IIS, que hospeda el Servicio de federación. Tenga en cuenta que debe realizar este paso en cada servidor de federación y servidor proxy de federación.

    Para AD FS en Windows Server 2012 R2 o versiones posteriores:

  • Consulte Administración de certificados SSL en AD FS y WAP en Windows Server 2016
    • El certificado de descifrado de tokens de AD FS principal ha expirado El certificado de descifrado de tokens de AD FS principal ha expirado. AD FS no puede descifrar los tokens de proveedores de notificaciones de confianza. AD FS no puede descifrar las cookies de SSO cifradas. Los usuarios finales no podrán autenticarse para acceder a los recursos.

    Si está habilitada la sustitución del certificado automático, AD FS administra el certificado de descifrado de tokens.

    Si administra el certificado manualmente, siga las instrucciones siguientes.

    1. Obtenga un nuevo certificado de descifrado de tokens.
      • Asegúrese de que el uso mejorado de clave (EKU) incluye el cifrado de clave.
      • El sujeto o el nombre alternativo del firmante (SAN) no tienen restricciones.
      • Tenga en cuenta que los asociados de servidores de federación y de proveedor de notificaciones necesitan poderse encadenar a una entidad de certificación raíz de confianza al validar el certificado de descifrado de tokens.
    2. Decida cómo los asociados de proveedor de notificaciones confiarán en el nuevo certificado de descifrado de tokens.
      • Pida a los asociados que extraigan los metadatos de federación después de actualizar el certificado.
      • Comparta la clave pública del nuevo certificado (archivo .cer) con los asociados. En el servidor de AD FS del asociado del proveedor de notificaciones, inicie la administración de AD FS desde el menú Herramientas administrativas. En Relaciones de confianza/Relying Party Trusts (Relaciones de confianza para usuario autenticado), seleccione la relación de confianza que se creó para usted. En Propiedades/Cifrado, haga clic en Examinar para seleccionar el nuevo certificado de descifrado de tokens y haga clic en Aceptar.
    3. Instale el certificado en el almacén de certificados local en cada uno de los servidores de federación.
      • Asegúrese de que el archivo de instalación del certificado tenga la clave privada del certificado en cada servidor.
    4. Asegúrese de que la cuenta del Servicio de federación tenga acceso a la clave privada del certificado nuevo.
    5. Agregue el nuevo certificado a AD FS.
      • Inicie la administración de AD FS en el menú Herramientas administrativas.
      • Expanda el servicio y seleccione Certificados.
      • En el panel Acciones, haga clic en Add Token-Decrypting Certificate (Agregar certificado de descifrado de tokens).
      • Aparecerá una lista de certificados que son válidos para el descifrado de tokens. Si observa que el certificado nuevo no se muestra en la lista, debe volver atrás y asegurarse de que está en el almacén personal del equipo local con una clave privada asociada y que tiene el cifrado de clave como uso mejorado de clave.
      • Seleccione el nuevo certificado de descifrado de tokens y haga clic en Aceptar.
    6. Establezca el nuevo certificado de descifrado de tokens como principal.
      • Con el nodo Certificados seleccionado en Administración de AD FS, ahora debería ver dos certificados en Descifrado de tokens: el certificado existente y el nuevo certificado.
      • Seleccione el nuevo certificado de descifrado de tokens, haga clic con el botón derecho en él y seleccione Set a primary (Establecer como principal).
      • Deje el certificado antiguo como secundario para fines de sustitución. Cuando esté seguro de que ya no va a necesitar el certificado antiguo para la sustitución, o cuando el certificado haya expirado, debería pensar en quitarlo.

    Alertas de Active Directory Domain Services

    Nombre de la alerta Descripción Corrección
    No se puede acceder al controlador de dominio mediante el ping de LDAP No se puede acceder al controlador de dominio mediante el ping de LDAP. Puede que sea debido a problemas de red o de la máquina. Como resultado, los pings de LDAP producirán error.
  • Examine la lista de alertas para ver las alertas relacionadas, como la que indica que el controlador de dominio no se está anunciando.
  • Asegúrese de que el controlador de dominio afectado tenga suficiente espacio en disco. Si se queda sin espacio, dejará de anunciarse como servidor LDAP.
  • Intente encontrar el PDC: ejecute
    netdom query fsmo
    en el controlador de dominio afectado.
  • Asegúrese de la red física esté correctamente configurada y conectada.
    • Se ha detectado un error de replicación de Active Directory Este controlador de dominio experimenta problemas de replicación; para verlos, puede ir al panel de estado de replicación. Los errores de replicación pueden ser debidos a una configuración inadecuada u otros problemas relacionados. Los errores de replicación no tratados pueden dar lugar a incoherencias de los datos. Consulte detalles adicionales sobre los nombres de los controladores de dominio de origen y destino afectados. Vaya al panel de estado de replicación y busque los errores activos en los controladores de dominio afectados. Haga clic en el error para abrir una hoja con más detalles sobre cómo corregir ese en concreto.
    El controlador de dominio no encuentra ningún PDC No es posible establecer contacto con un PDC mediante este controlador de dominio. Como consecuencia, los inicios de sesión de los usuarios resultarán afectados, no se aplicarán los cambios a la directiva de grupo y se producirá un error en la sincronización de la hora del sistema.
  • Examine la lista de alertas para ver las alertas relacionadas que podrían afectar al PDC, como la que indica que el controlador de dominio no se está anunciando.
  • Intente encontrar el PDC: ejecute
    netdom query fsmo
    en el controlador de dominio afectado.
  • Asegúrese de que la red funciona correctamente.
    • El controlador de dominio no encuentra ningún servidor de catálogo global No es posible establecer comunicación con un servidor de catálogo global desde este controlador de dominio. Como consecuencia, se producirán errores en los intentos de autenticación mediante este controlador de dominio. Examine la lista de alertas para ver si existe alguna que indique que el controlador de dominio no se está anunciando en la que el servidor afectado podría ser un GC. Si no hay ninguna alerta de anuncio, compruebe los registros SRV para ver si existen catálogos globales. Para ello, puede ejecutar:
    nltest /dnsgetdc: [ForestName] /gc
    Debe enumerar los DC que se anuncian como GC. Si la lista está vacía, compruebe la configuración de DNS para asegurarse de que el GC ha anotado los registros SRV. El controlador de dominio no puede encontrarlos en DNS.
    Para solucionar problemas con los catálogos globales, consulte Advertising as a Global Catalog Server (Anunciarse como un servidor de catálogo global).
    El controlador de dominio no puede acceder al recurso compartido local SYSVOL SYSVOL contiene elementos importantes de objetos de directiva de grupo y scripts que se distribuirán en los controladores de dominio de un dominio. El controlador de dominio no se anunciará como controlador de dominio y no se aplicarán directivas de grupo. Vea Procedimientos para solucionar problemas de recursos compartidos SYSVOL y Netlogon que faltan.
    La hora del controlador de dominio no está sincronizada La hora de este controlador de dominio está fuera del intervalo de sesgo horario normal. Como resultado, se producirá un error en las autenticaciones Kerberos.
  • Reinicie el servicio de hora de Windows: ejecute
    net stop w32time
    , entonces
    net start w32time
    en el controlador de dominio afectado.
  • Vuelva a sincronizar la hora: ejecute
    w32tm /resync
    en el controlador de dominio afectado.
    		•
    El controlador de dominio no se está anunciando Este controlador de dominio no está anunciando correctamente los roles que es capaz de desempeñar. Puede que haya un problema con la replicación, un error de configuración de DNS, que servicios críticos no estén en ejecución o que el servidor no se haya inicializado completamente. Como resultado, los controladores de dominio, los miembros del dominio y otros dispositivos no podrán encontrar este controlador de dominio. Además, otros controladores de dominio podrían ser incapaces de replicarse desde este controlador de dominio. Examine la lista de alertas para ver otras alertas relacionadas, como la que indica que la replicación se ha interrumpido. La hora del controlador de dominio no está sincronizada. El servicio Netlogon no se está ejecutando. Los servicios DFSR o NTFRS no se están ejecutando. Identifique y solucione problemas de DNS relacionados: Inicie sesión en el controlador de dominio afectado. Abra el registro de eventos del sistema. Si existen los eventos 5774, 5775 o 5781, consulte Troubleshooting Domain Controller Locator DNS Records Registration Failure (Solución de problemas de error de la anotación de registros DNS del localizador de controlador de dominio). Identifique y solucione los problemas del servicio de hora de Windows relacionados: Asegúrese de que se está ejecutando el servicio de hora de Windows: ejecute "net start w32time" en el controlador de dominio afectado. Reinicie el servicio de hora de Windows: ejecute "net stop w32time" y luego "net start w32time" en el controlador de dominio afectado.
    El servicio GPSVC no se está ejecutando Si el servicio está detenido o deshabilitado, los valores que ha configurado el administrador no se aplicarán y las aplicaciones y los componentes no se administrarán mediante la directiva de grupo. Puede que si el servicio está deshabilitado, los componentes o las aplicaciones que dependen del componente de directiva de grupo no sean funcionales. Ejecute :
    net start gpsvc
    en el controlador de dominio afectado.
    Los servicios DFSR o NTFRS no se están ejecutando Si se detienen los servicios DFSR y NTFRS, los controladores de dominio no podrán replicar datos de SYSVOL. Los datos de SYSVOL dejarán de ser coherentes.
  • Si se usa DFRS:
      Ejecute "net start dfsr" en el controlador de dominio afectado.
    1. Si se usa NTFRS:
        Ejecute "net start ntfrs" en el controlador de dominio afectado.
    • El servicio Netlogon no se está ejecutando Las solicitudes de inicio de sesión, el registro, la autenticación y la localización de controladores de dominio no estarán disponibles en este controlador de dominio. Ejecute "net start netlogon" en el controlador de dominio afectado.
    El servicio W32Time no se está ejecutando Si se detiene el servicio de hora de Windows, la sincronización de fecha y hora no estará disponible. Si se deshabilita este servicio, se producirá un error al iniciar todos los servicios que dependan explícitamente de él. Ejecute "net start win32Time" en el controlador de dominio afectado.
    El servicio ADWS no se está ejecutando Si el servicio Active Directory Web Services está detenido o deshabilitado, las aplicaciones cliente, como Active Directory PowerShell, no podrán acceder a ninguna instancia de servicio de directorio que se esté ejecutando localmente en este servidor, ni administrarla. Ejecute "net start adws" en el controlador de dominio afectado.
    El PDC raíz no se está sincronizando desde el servidor NTP Si no configura el PDC para sincronizar la hora desde un origen de la hora externo o interno, el emulador de PDC usa su reloj interno y es en sí mismo el origen de la hora confiable para el bosque. Si la hora no es exacta en el mismo PDC, todos los equipos tendrán una configuración de hora incorrecta. En el controlador de dominio afectado, abra un símbolo del sistema. Detenga el servicio de hora: net stop w32time.
  • Configure el origen de la hora externo:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Nota: Reemplace time.windows.com por la dirección de su origen de la hora externo deseado. Inicie el servicio de hora:
    net start w32time
    • El controlador de dominio está en cuarentena Este controlador de dominio no está conectado a ninguno de los otros controladores de dominio que funcionan. Puede que sea debido a una configuración incorrecta. Como resultado, este controlador de dominio no se está utilizando y ningún usuario será el origen o el destino de la replicación. Habilite la replicación entrante y saliente: ejecute "repadmin /options ServerName -DISABLE_INBOUND_REPL" en el controlador de dominio afectado. Ejecute "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" en el controlador de dominio afectado. Cree una nueva conexión de replicación a otro controlador de dominio:
    1. Abra Sitios y servicios de Active Directory: menú Inicio, apunte a Herramientas administrativas y, luego, haga clic en Sitios y servicios de Active Directory.
    2. En el árbol de consola, expanda Sitios y, a continuación, expanda el sitio al que pertenece este controlador de dominio.
    3. Expanda el contenedor Servidores para ver la lista de servidores.
    4. Expanda el objeto de servidor de este controlador de dominio.
    5. Haga clic con el botón derecho en el objeto Configuración NTDS y haga clic en Nueva conexión de los Servicios de dominio de Active Directory...
    6. Seleccione un servidor de la lista y haga clic en Aceptar.
    How to remove orphaned domains from Active Directory (Cómo quitar dominios huérfanos de Active Directory).
    La replicación saliente está deshabilitada Los controladores de dominio que tengan la replicación saliente deshabilitada no podrán distribuir los cambios que se originen dentro de ellos. Para habilitar la replicación saliente en el controlador de dominio afectado, siga estos pasos: haga clic en Inicio, en Ejecutar, escriba cmd y, luego, haga clic en Aceptar. Escriba el texto siguiente y, a continuación, presione ENTRAR:
    repadmin /options -DISABLE_OUTBOUND_REPL
    La replicación entrante está deshabilitada Los controladores de dominio con la replicación entrante deshabilitada no tendrán la información más reciente. Esta condición puede producir errores de inicio de sesión. Para habilitar la replicación entrante en el controlador de dominio afectado, siga estos pasos: haga clic en Inicio, en Ejecutar, escriba cmd y, luego, haga clic en Aceptar. Escriba el texto siguiente y, a continuación, presione ENTRAR:
    repadmin /options -DISABLE_INBOUND_REPL
    El servicio LanmanServer no se está ejecutando Si se deshabilita este servicio, se producirá un error al iniciar todos los servicios que dependan explícitamente de él. Ejecute "net start LanManServer" en el controlador de dominio afectado.
    El servicio Centro de distribución de claves de Kerberos no se está ejecutando Si el servicio KDC se detiene, los usuarios no podrán autenticarse mediante este controlador de dominio con el protocolo de autenticación Kerberos v5. Ejecute "net start kdc" en el controlador de dominio afectado.
    El servicio DNS no se está ejecutando Si el servicio DNS se detiene, los equipos y usuarios que usen ese servidor para fines de DNS no podrán encontrar recursos. Ejecute "net start dns" en el controlador de dominio afectado.
    El controlador de dominio tenía reversión de USN Cuando se producen reversiones de USN, los controladores de dominio que habían visto anteriormente el USN no replican de forma entrante las modificaciones en los objetos y atributos. Dado que estos controladores de dominio de destino creen que están actualizados, no se notifica ningún error de replicación en los registros de eventos del servicio de directorio, ni tampoco lo hacen las herramientas de supervisión y diagnóstico. La reversión de USN puede afectar a la replicación de cualquier objeto o atributo de cualquier partición. El efecto secundario observado con más frecuencia es que las cuentas de usuario y las cuentas de equipo que se crean en el controlador de dominio de reversión no existen en uno o varios asociados de replicación. O bien, las actualizaciones de contraseña que se originaron en el controlador de dominio de reversión no existen en los asociados de replicación. Existen dos enfoques para recuperarse de una reversión de USN:

    Quite el controlador de dominio del dominio mediante estos pasos:

    1. Quita Active Directory del controlador de dominio para forzar que sea un servidor independiente. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      332199 Los controladores de dominio no se reducen correctamente cuando se utiliza el Asistente para instalación de Active Directory para forzar la reducción en Windows Server 2003 y en Windows 2000 Server.
    2. Apague el servidor degradado.
    3. En un controlador de dominio correcto, limpia los metadatos del controlador de dominio degradado. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      216498 Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio
    4. Si el controlador de dominio restaurado incorrectamente hospeda los roles del maestro de operaciones, transfiera estos roles a un controlador de dominio correcto. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      255504 Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio
    5. Reinicie el servidor degradado.
    6. Si es necesario, vuelva a instalar Active Directory en el servidor independiente.
    7. Si el controlador de dominio era anteriormente un catálogo global, configúrelo de ese modo. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      313994 CÓMO: Crear o mover un catálogo global en Windows 2000
    8. Si el controlador de dominio hospedaba anteriormente roles de maestro de operaciones, transfiéraselos de nuevo. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      255504 Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio. Restaure el estado del sistema de una copia de seguridad buena.

    Evalúe si existen copias de seguridad válidas de estado del sistema para este controlador de dominio. Si se realizó una copia de seguridad válida de estado del sistema antes de que el controlador de dominio revertido se restaurara incorrectamente, y la copia de seguridad contiene los cambios recientes que se realizaron en el controlador de dominio, restaure el estado del sistema desde la copia de seguridad más reciente.

    También puede usar la instantánea como origen de una copia de seguridad. O bien, puede establecer la base de datos para proporcionarse a sí misma un nuevo identificador de invocación mediante el procedimiento de la sección sobre cómo restaurar una versión anterior de un disco duro virtual de un controlador de dominio virtual sin copia de seguridad de datos de estado del sistema, en este artículo.

    Pasos siguientes