Microsoft Entra Csatlakozás Állapotriasztások katalógusa
A Microsoft Entra Csatlakozás Állapotfigyelő szolgáltatás riasztásai azt jelzik, hogy az identitásinfrastruktúra nem kifogástalan. Ez a cikk a riasztások címeit, leírását és szervizelési lépéseit tartalmazza az egyes riasztásokhoz.
A hiba, a figyelmeztetés és az előmegjelenítés a riasztások három szakasza, amelyek Csatlakozás Állapotfigyelő szolgáltatásból jönnek létre. Erősen javasoljuk, hogy azonnali műveleteket hajt végre az aktivált riasztások esetén.
A Microsoft Entra Csatlakozás Health-riasztások sikerességi állapot esetén lesznek feloldva. A Microsoft Entra Csatlakozás állapotügynökei rendszeresen észlelik és jelentik a sikerességi feltételeket a szolgáltatásnak. Néhány riasztás esetén a letiltás időalapú. Más szóval, ha ugyanazt a hibafeltételt nem figyeli meg a riasztásgenerálástól számított 72 órán belül, a rendszer automatikusan feloldja a riasztást.
Általános Riasztások
Riasztás neve | Leírás | Szervizelés |
---|---|---|
Az állapotszolgáltatás adatai nem naprakészek | Az egy vagy több kiszolgálón futó állapotügynök(ek) nem csatlakoznak a Állapotfigyelő szolgáltatás, és a Állapotfigyelő szolgáltatás nem kapja meg a legújabb adatokat erről a kiszolgálóról. A Állapotfigyelő szolgáltatás által legutóbb feldolgozott adatok 2 óránál régebbiek. | Győződjön meg arról, hogy az állapotügynökök kimenő kapcsolatban vannak a szükséges szolgáltatásvégpontokkal. További információ |
A Microsoft Entra Csatlakozás (Szinkronizálás) riasztásai
Riasztás neve | Leírás | Szervizelés |
---|---|---|
A Microsoft Entra Csatlakozás Szinkronizálási szolgáltatás nem fut | A Microsoft Entra ID Sync Windows-szolgáltatás nem fut vagy nem indítható el. Ennek eredményeképpen az objektumok nem szinkronizálódnak a Microsoft Entra-azonosítóval. | A Microsoft Entra ID Sync Services indítása
|
Nem sikerült importálni a Microsoft Entra ID-ból | A Microsoft Entra Connector importálási művelete sikertelen volt. | További részletekért vizsgálja meg az importálási művelethez tartozó hibákat az eseménynaplóban. |
A Microsoft Entra ID-vel való kapcsolat hitelesítési hiba miatt meghiúsult | A Microsoft Entra ID-vel való kapcsolat hitelesítési hiba miatt meghiúsult. Ennek eredményeként az objektumok nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. | További részletekért vizsgálja meg az eseménynapló hibáit. |
Nem sikerült az exportálás az Active Directoryba | Az Active Directory Connectorba történő exportálás sikertelen. | További részletekért vizsgálja meg az exportálási művelethez tartozó hibákat az eseménynaplóban. |
Az Active Directoryból történő importálás nem sikerült | Az Active Directoryból történő importálás nem sikerült. Emiatt előfordulhat, hogy az erdő egyes tartományaiból származó objektumok nem importálhatók. | |
Sikertelen exportálás a Microsoft Entra ID-be | A Microsoft Entra Csatlakozás orba való exportálási művelet meghiúsult. Emiatt előfordulhat, hogy egyes objektumok nem lesznek sikeresen exportálva a Microsoft Entra-azonosítóba. | További részletekért vizsgálja meg az exportálási művelethez tartozó hibákat az eseménynaplóban. |
A jelszókivonat-szinkronizálás szívverése kimaradt az elmúlt 120 percben | A jelszókivonat-szinkronizálás nem csatlakozott a Microsoft Entra-azonosítóhoz az elmúlt 120 percben. Ennek eredményeképpen a jelszavak nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. | Indítsa újra a Microsoft Entra ID Sync Services szolgáltatást: A jelenleg futó szinkronizálási műveletek megszakadnak. Az alábbi lépéseket akkor is elvégezheti, ha nincs folyamatban szinkronizálási művelet. 1. Kattintson a Start menü Futtatás parancsára, írja be a Services.msc parancsot, majd kattintson az OK gombra. 2. Keresse meg a Microsoft Entra ID Syncet, kattintson rá a jobb gombbal, majd kattintson az Újraindítás parancsra. |
Magas processzorhasználat észlelhető | A processzorhasználat százalékos aránya túllépte a kiszolgálón javasolt küszöbértéket. |
|
Magas memóriahasználat észlelhető | A kiszolgáló memóriahasználatának százalékos aránya meghaladja a kiszolgálón javasolt küszöbértéket. | Vizsgálja meg a kiszolgáló legnagyobb memóriáját használó legfelső folyamatokat. Használhatja a Feladatkezelőt, vagy végrehajthatja a következő PowerShell-parancsot: get-process | Sort-Object -Descending WS | Select-Object –Első 10 Ha nem várt folyamatok használnak nagy memóriát, állítsa le a folyamatokat a következő PowerShell-paranccsal: stop-process -ProcessName [a folyamat neve] |
A jelszókivonat szinkronizálása nem működik | A jelszókivonat szinkronizálása leállt. Ennek eredményeként a jelszavak nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. | Indítsa újra a Microsoft Entra ID Sync Services szolgáltatást: A jelenleg futó szinkronizálási műveletek megszakadnak. Az alábbi lépéseket akkor is elvégezheti, ha nincs folyamatban szinkronizálási művelet.
|
A Microsoft Entra-azonosítóba való exportálás leállt. A véletlen törlés küszöbértéke el lett érve | A Microsoft Entra-azonosítóba való exportálási művelet sikertelen volt. A konfigurált küszöbértéknél több objektumot kellett törölni. Ennek eredményeképpen nem exportált objektumokat. |
|
Riasztások Active Directory összevonási szolgáltatások (AD FS)
Riasztás neve | Leírás | Szervizelés |
---|---|---|
A hitelesítési kérelem (szintetikus tranzakció) nem tudott jogkivonatot lekérni | A kiszolgálóról indított tesztelési hitelesítési kérések (szintetikus tranzakciók) 5 újrapróbálkozás után nem sikerült jogkivonatot beszerezni. Ezt átmeneti hálózati problémák, az AD DS tartományvezérlő rendelkezésre állása vagy egy helytelenül konfigurált AD FS-kiszolgáló okozhatja. Ennek eredményeképpen az összevonási szolgáltatás által feldolgozott hitelesítési kérelmek meghiúsulhatnak. Az ügynök a Helyi számítógépfiók környezettel szerez be jogkivonatot az összevonási szolgáltatásból. | Győződjön meg arról, hogy a következő lépések szükségesek a kiszolgáló állapotának ellenőrzéséhez.
Ha a szolgáltatásnév nem oldható fel, tekintse meg a gyakori kérdések szakaszt az AD FS szolgáltatás gazdagépfájl-bejegyzésének a kiszolgáló IP-címével való hozzáadására vonatkozó útmutatásért. Ez lehetővé teszi, hogy a kiszolgálón futó szintetikus tranzakciós modul jogkivonatot kérjen |
A proxykiszolgáló nem éri el az összevonási kiszolgálót | Ez az AD FS-proxykiszolgáló nem tud kapcsolatba lépni az AD FS szolgáltatással. Ennek eredményeképpen a kiszolgáló által feldolgozott hitelesítési kérelmek sikertelenek lesznek. | Hajtsa végre az alábbi lépéseket a kiszolgáló és az AD FS szolgáltatás közötti kapcsolat ellenőrzéséhez.
|
Hamarosan lejár az SSL-tanúsítvány | Az összevonási kiszolgálók által használt TLS/SSL-tanúsítvány 90 napon belül lejár. Ha lejárt, az érvényes TLS-kapcsolatot igénylő kérések sikertelenek lesznek. A Microsoft 365-ügyfelek esetében például a levelezési ügyfelek nem fognak tudni hitelesíteni. | Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
Windows Server 2008R2 AD FS 2.0 esetén:
A Windows Server 2012 R2 és újabb verzióiban futó AD FS esetén: |
Az AD FS szolgáltatás nem fut a kiszolgálón | Az Active Directory összevonási szolgáltatás (Windows Service) nem fut ezen a kiszolgálón. A kiszolgálóra irányuló kérések sikertelenek lesznek. | Az Active Directory összevonási szolgáltatás (Windows szolgáltatás) elindítása:
|
Előfordulhat, hogy az összevonási szolgáltatás DNS-címe helytelenül van konfigurálva | A DNS-kiszolgáló konfigurálható úgy, hogy az AD FS-farm nevének CNAME rekordját használja. Javasoljuk, hogy az A vagy AAAA rekordot használja az AD FS-hez annak érdekében, hogy a Windows integrált hitelesítés zökkenőmentesen működjön a vállalati hálózaton belül. | Győződjön meg arról, hogy az AD FS-farm <Farm Name> DNS-rekordtípusa nem CNAME. Konfigurálja A vagy AAAA rekordként. |
Az AD FS naplózása le van tiltva | Az AD FS naplózása le van tiltva a kiszolgálón. A portál AD FS-használat szakasza nem tartalmazza a kiszolgáló adatait. | Ha az AD FS-naplózások nincsenek engedélyezve, kövesse az alábbi utasításokat:
A lépések elvégzése után az AD FS naplózási eseményeinek láthatónak kell lenniük a Eseménynapló. Ellenőrzés:
Ha már követte ezeket az utasításokat, de továbbra is látja ezt a riasztást, lehetséges, hogy egy csoportházirend-objektum letiltja az AD FS naplózását. A kiváltó ok az alábbiak egyike lehet:
|
Az AD FS SSL-tanúsítványa önaláírt | Jelenleg önaláírt tanúsítványt használ TLS/SSL-tanúsítványként az AD FS-farmban. Ennek eredményeképpen a Microsoft 365 levelezőügyfél-hitelesítése sikertelen lesz | Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
Telepítse az új TLS/SSL-tanúsítványt a helyi gép tanúsítványtárolójában lévő minden kiszolgálón.
Windows Server 2008R2 AD FS 2.0 esetén: A Windows Server 2012 R2 vagy újabb verzióiban futó AD FS esetén: |
A proxykiszolgáló és az összevonási kiszolgáló közötti megbízhatóság érvénytelen | Az összevonási kiszolgáló proxyja és az összevonási szolgáltatás közötti megbízhatóság nem hozható létre vagy újítható meg. | Frissítse a proxykiszolgáló proxymegbízhatósági tanúsítványát. Futtassa újra a Proxykonfiguráció varázslót. |
Az Extranet Lockout Protection le van tiltva az AD FS-hez | Az Extranet Lockout Protection funkció le van tiltva az AD FS-farmon. Ez a funkció megvédi a felhasználókat a találgatásos jelszótámadásoktól az internetről, és megakadályozza a szolgáltatásmegtagadási támadásokat a felhasználók ellen, amikor az AD DS-fiók zárolási szabályzatai érvényben vannak. Ha ez a funkció engedélyezve van, ha a felhasználó sikertelen extranetes bejelentkezési kísérleteinek száma (a WAP-kiszolgálón és az AD FS-en keresztül végrehajtott bejelentkezési kísérletek száma) meghaladja az "ExtranetLockoutThreshold" értéket, akkor az AD FS-kiszolgálók leállnak az "ExtranetObservationWindow" további bejelentkezési kísérleteinek feldolgozásában. Javasoljuk, hogy engedélyezze ezt a funkciót az AD FS-kiszolgálókon. | Futtassa az alábbi parancsot az AD FS Extranet Lockout Protection alapértelmezett értékekkel való engedélyezéséhez. Set-AdfsProperties –EnableExtranetLockout $true Ha AD-zárolási szabályzatokat konfigurált a felhasználók számára, győződjön meg arról, hogy az ExtranetLockoutThreshold tulajdonság értéke az AD DS zárolási küszöbértéke alatt van. Ez biztosítja, hogy az AD FS küszöbértékét túllépő kérelmek el legyenek dobva, és soha ne legyenek érvényesítve az AD DS-kiszolgálókon. |
Érvénytelen egyszerű szolgáltatásnév (SPN) az AD FS szolgáltatásfiókhoz | Az összevonási szolgáltatásfiók egyszerű szolgáltatásneve nincs regisztrálva, vagy nem egyedi. Ennek eredményeképpen előfordulhat, hogy a tartományhoz csatlakoztatott ügyfelek windowsos integrált hitelesítése nem zökkenőmentes. | A [Standard kiadás TSPN -L ServiceAccountName] használatával listázhatja a szolgáltatásnevek listáját. A [Standard kiadás TSPN -X] használatával ellenőrizze az ismétlődő szolgáltatásnévneveket. Ha az SPN duplikálva van az AD FS szolgáltatásfiókhoz, távolítsa el az SPN-t a duplikált fiókból a [Standard kiadás TSPN -d szolgáltatás/namehostname] használatával Ha az SPN nincs beállítva, használja a [Standard kiadás TSPN -s {Desired-SPN} {domain_name}{service_account}] parancsot az összevonási szolgáltatásfiókhoz kívánt egyszerű szolgáltatásnév beállításához. |
Hamarosan lejár az elsődleges AD FS-jogkivonat-visszafejtési tanúsítvány | Az elsődleges AD FS-jogkivonat visszafejtési tanúsítványa kevesebb mint 90 nap múlva lejár. Az AD FS nem tudja visszafejteni a jogkivonatokat megbízható jogcímszolgáltatóktól. Az AD FS nem tudja visszafejteni a titkosított SSO-cookie-kat. A végfelhasználók nem fognak tudni hitelesíteni az erőforrások eléréséhez. | Ha az automatikus tanúsítványátvétel engedélyezve van, az AD FS kezeli a jogkivonat-visszafejtési tanúsítványt. Ha manuálisan kezeli a tanúsítványt, kövesse az alábbi utasításokat. Szerezze be az új jogkivonat-visszafejtési tanúsítványt.
|
Hamarosan lejár az elsődleges AD FS-jogkivonat-aláíró tanúsítvány | Az AD FS-jogkivonat aláíró tanúsítványa 90 napon belül lejár. Az AD FS nem tud aláírt jogkivonatokat kiadni, ha ez a tanúsítvány érvénytelen. | Szerezze be az új jogkivonat-aláíró tanúsítványt.
|
Az AD FS SSL-tanúsítvány nem található a helyi tanúsítványtárolóban | Az AD FS-adatbázisban TLS/SSL-tanúsítványként konfigurált ujjlenyomattal rendelkező tanúsítvány nem található a helyi tanúsítványtárolóban. Ennek eredményeképpen a TLS-en keresztüli hitelesítési kérések sikertelenek lesznek. Például a Microsoft 365 levelezőügyfél-hitelesítése sikertelen lesz. | Telepítse a tanúsítványt a konfigurált ujjlenyomattal a helyi tanúsítványtárolóban. |
Az SSL-tanúsítvány lejárt | Az AD FS szolgáltatás TLS/SSL-tanúsítványa lejárt. Ennek eredményeképpen az érvényes TLS-kapcsolatot igénylő hitelesítési kérések sikertelenek lesznek. Például: a levelezési ügyfél hitelesítése nem fog tudni hitelesíteni a Microsoft 365-ben. | Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
Windows Server 2008R2 AD FS 2.0 esetén:
Az AD FS windows server 2012 R2 vagy újabb verzióiban: Lásd: SSL-tanúsítványok kezelése az AD FS-ben és a WAP-ban |
A Microsoft Entra-azonosítóhoz (a Microsoft 365-höz) tartozó kötelező végpontok nincsenek engedélyezve | Az Exchange Online Services, a Microsoft Entra ID és a Microsoft 365 által igényelt végpontok nem engedélyezettek az összevonási szolgáltatáshoz: |
Engedélyezze a Microsoft Cloud Serviceshez szükséges végpontokat az összevonási szolgáltatásban. AD FS-hez Windows Server 2012R2 vagy újabb verziókban |
Az összevonási kiszolgáló nem tudott csatlakozni az AD FS konfigurációs adatbázisához | Az AD FS szolgáltatásfiók problémákat tapasztal az AD FS konfigurációs adatbázishoz való csatlakozás során. Emiatt előfordulhat, hogy a számítógépen az AD FS szolgáltatás nem a várt módon működik. | |
A szükséges SSL-kötések hiányoznak vagy nincsenek konfigurálva | Az összevonási kiszolgáló hitelesítésének sikeres végrehajtásához szükséges TLS-kötések helytelenül vannak konfigurálva. Emiatt az AD FS nem tudja feldolgozni a bejövő kéréseket. | Windows Server 2012 R2 esetén Nyisson meg egy rendszergazdai rendszergazdai parancssort, és hajtsa végre a következő parancsokat:
|
Az elsődleges AD FS-jogkivonat-aláíró tanúsítvány lejárt | Az AD FS-jogkivonat aláíró tanúsítványa lejárt. Az AD FS nem tud aláírt jogkivonatokat kiadni, ha ez a tanúsítvány érvénytelen. | Ha az automatikus tanúsítványátvétel engedélyezve van, az AD FS felügyeli a jogkivonat-aláíró tanúsítvány frissítését. Ha manuálisan kezeli a tanúsítványt, kövesse az alábbi utasításokat.
|
A proxykiszolgáló elveti a torlódás-vezérlési kérelmeket | Ez a proxykiszolgáló jelenleg a normálnál nagyobb késés miatt elveti a kérelmeket az extranetről a proxykiszolgáló és az összevonási kiszolgáló között. Ennek eredményeképpen az AD FS proxykiszolgáló által feldolgozott hitelesítési kérelmek bizonyos része meghiúsulhat. | |
Az AD FS szolgáltatásfiók nem fér hozzá a tanúsítvány titkos kulcsához. | Az AD FS szolgáltatásfiók nem rendelkezik hozzáféréssel a számítógépen található egyik AD FS-tanúsítvány titkos kulcsához. | Győződjön meg arról, hogy az AD FS szolgáltatásfiók hozzáférést biztosít a helyi számítógép tanúsítványtárolójában tárolt TLS-, jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokhoz.
Nyissa meg a tanúsítványokat (helyi számítógép)/személyes/tanúsítványokat.Az AD FS által használt összes tanúsítvány esetében:
|
Az AD FS SSL-tanúsítvány nem rendelkezik titkos kulccsal | Az AD FS TLS/SSL-tanúsítvány privát kulcs nélkül lett telepítve. Ennek eredményeképpen az SSL-en keresztüli hitelesítési kérések sikertelenek lesznek. A Microsoft 365 levelezőügyfél-hitelesítése például sikertelen lesz. | Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
Windows Server 2008R2 AD FS 2.0 esetén:
A Windows Server 2012 R2 vagy újabb verzióiban futó AD FS esetén: |
Az elsődleges AD FS-jogkivonat visszafejtési tanúsítványa lejárt | Az elsődleges AD FS-jogkivonat visszafejtési tanúsítványa lejárt. Az AD FS nem tudja visszafejteni a jogkivonatokat megbízható jogcímszolgáltatóktól. Az AD FS nem tudja visszafejteni a titkosított SSO-cookie-kat. A végfelhasználók nem fognak tudni hitelesíteni az erőforrások eléréséhez. | Ha az automatikus tanúsítványátvétel engedélyezve van, az AD FS kezeli a jogkivonat-visszafejtési tanúsítványt. Ha manuálisan kezeli a tanúsítványt, kövesse az alábbi utasításokat.
|
Riasztások Active Directory tartományi szolgáltatások
Riasztás neve | Leírás | Szervizelés |
---|---|---|
A tartományvezérlő LDAP-pingel nem érhető el | A tartományvezérlő nem érhető el LDAP Ping használatával. Ezt hálózati vagy gépi problémák okozhatják. Ennek eredményeképpen az LDAP-pingek sikertelenek lesznek. | netdom query fsmo az érintett tartományvezérlőn. |
Active Directory-replikációs hiba történt | Ez a tartományvezérlő replikációs problémákat tapasztal, amelyek a Replikáció állapota irányítópulton találhatók. A replikációs hibák oka lehet a nem megfelelő konfiguráció vagy más kapcsolódó problémák. A nem kezelt replikációs hibák adatkonzisztencia kialakulásához vezethetnek. | További részletek az érintett forrás- és céldokkok nevéről. Keresse meg a Replikáció állapota irányítópultot, és keresse meg az érintett tartományvezérlők aktív hibáit. A hibára kattintva megnyithat egy panelt, amely további részleteket tartalmaz az adott hiba elhárításáról. |
A tartományvezérlő nem talál PDC-t | A PDC nem érhető el ezen a tartományvezérlőn keresztül. Ez hatással lesz a felhasználói bejelentkezésekre, a nem jóváhagyott csoportházirend-módosításokra és a rendszer időszinkronizálási hibájára. | netdom query fsmo az érintett tartományvezérlőn. |
A tartományvezérlő nem talál globális katalóguskiszolgálót | Ebből a tartományvezérlőből nem érhető el globális katalóguskiszolgáló. Ez sikertelen hitelesítést eredményez ezen a tartományvezérlőn keresztül. | Bármely tartományvezérlő riasztási listájának vizsgálata nem olyan riasztásokat jelenít meg, ahol az érintett kiszolgáló egy csoportházirend-objektum lehet. Ha nincsenek hirdetési riasztások, ellenőrizze a GCS-k SRV-rekordjait. Az alábbiak futtatásával ellenőrizheti őket: nltest /dnsgetdc: [ForestName] /gc A hirdetési tartományvezérlőket GCs-ként kell listáznia. Ha a lista üres, ellenőrizze a DNS-konfigurációt, hogy a GC regisztrálta-e az SRV rekordokat. A tartományvezérlő képes megtalálni őket a DNS-ben. A globális katalógusok hibaelhárítását lásd : Hirdetés globális katalóguskiszolgálóként. |
A tartományvezérlő nem tudja elérni a helyi sysvol-megosztást | A Sysvol a csoportházirend-objektumok és -szkriptek fontos elemeit tartalmazza, amelyek egy tartomány tartományvezérlői között terjeszthetők. A tartományvezérlő nem hirdeti magát tartományvezérlőként, és a csoportházirendek nem lesznek alkalmazva. | A hiányzó sysvol- és Netlogon-megosztások hibaelhárítása |
A tartományvezérlő ideje nincs szinkronizálva | A tartományvezérlőn az idő a normál időeltérés tartományán kívül esik. Ennek eredményeképpen a Kerberos-hitelesítések sikertelenek lesznek. | net stop w32time , majd net start w32time az érintett tartományvezérlőn. w32tm /resync az érintett tartományvezérlőn. |
A tartományvezérlő nem reklám | Ez a tartományvezérlő nem megfelelően hirdeti meg azokat a szerepköröket, amelyek végrehajtására képes. Ezt okozhatják a replikációval, a DNS helytelen konfigurálásával, a kritikus szolgáltatások nem futnak, vagy a kiszolgáló nem inicializálódott teljesen. Ennek eredményeképpen a tartományvezérlők, tartománytagok és más eszközök nem fogják tudni megtalálni ezt a tartományvezérlőt. Emellett előfordulhat, hogy más tartományvezérlők nem tudnak replikálni erről a tartományvezérlőről. | Vizsgálja meg az egyéb kapcsolódó riasztások riasztásainak listáját, például: A replikáció megszakadt. A tartományvezérlő ideje nincs szinkronizálva. A Netlogon szolgáltatás nem fut. Az elosztott fájlrendszerbeli és/vagy NTFRS-szolgáltatások nem futnak. A kapcsolódó DNS-problémák azonosítása és elhárítása: Bejelentkezés az érintett tartományvezérlőre. Nyissa meg a rendszer eseménynaplóját. Ha az 5774-es, az 5775-ös vagy az 5781-es esemény jelenik meg, tekintse meg a tartományvezérlő lokátor DNS-rekordjainak regisztrálási hibáinak hibaelhárítását a Windows időszolgáltatással kapcsolatos problémák azonosítása és hibaelhárítása: Győződjön meg arról, hogy a Windows időszolgáltatás fut: Futtassa a "net start w32time" parancsot az érintett tartományvezérlőn. Indítsa újra a Windows Időszolgáltatást: Futtassa a "net stop w32time" parancsot, majd a "net start w32time" parancsot az érintett tartományvezérlőn. |
A GPSVC szolgáltatás nem fut | Ha a szolgáltatás le van állítva vagy le van tiltva, a rendszergazda által konfigurált beállítások nem lesznek alkalmazva, és az alkalmazások és összetevők nem kezelhetők csoportházirenddel. Előfordulhat, hogy a csoportházirend-összetevőtől függő összetevők vagy alkalmazások nem működnek, ha a szolgáltatás le van tiltva. | Az parancs futtatása net start gpsvc az érintett tartományvezérlőn. |
Az elosztott fájlrendszerbeli és/vagy NTFRS-szolgáltatások nem futnak | Ha az elosztott fájlrendszerbeli és az NTFRS-szolgáltatások is le vannak állítva, a tartományvezérlők nem tudják replikálni a sysvol-adatokat. A sysvol Data nem lesz konzisztencián. |
|
A Netlogon szolgáltatás nem fut | Ezen a tartományvezérlőn nem lesznek elérhetők a bejelentkezési kérelmek, a regisztráció, a hitelesítés és a tartományvezérlők megkeresése. | Futtassa a "net start netlogon" parancsot az érintett tartományvezérlőn |
A W32Time szolgáltatás nem fut | Ha a Windows Időszolgáltatás le van állítva, a dátum- és időszinkronizálás nem lesz elérhető. Ha a szolgáltatás le van tiltva, a tőle explicit módon függő szolgáltatások nem fognak elindulni. | Futtassa a "net start win32Time" parancsot az érintett tartományvezérlőn |
Az ADWS szolgáltatás nem fut | Ha az Active Directory Web Services szolgáltatás le van állítva vagy le van tiltva, az ügyfélalkalmazások, például az Active Directory PowerShell nem fogják tudni elérni vagy kezelni a kiszolgálón helyileg futó címtárszolgáltatás-példányokat. | Futtassa a "net start adws" parancsot az érintett tartományvezérlőn |
A legfelső szintű PDC nem szinkronizálódik az NTP-kiszolgálóról | Ha nem úgy konfigurálja a PDC-t, hogy külső vagy belső időforrásból szinkronizálja az időt, az PDC emulátor a belső óráját használja, és maga az erdő megbízható időforrása. Ha az idő nem pontos a PDC-n, akkor minden számítógépnek helytelen időbeállításai lesznek. | Az érintett tartományvezérlőn nyisson meg egy parancssort. Az időszolgáltatás leállítása: net stop w32time w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes Megjegyzés: Cserélje le a time.windows.com a kívánt külső időforrás címére. Indítsa el az Idő szolgáltatást: net start w32time |
A tartományvezérlő karanténba van helyezve | Ez a tartományvezérlő nem csatlakozik a többi működő tartományvezérlőhöz. Ezt a helytelen konfiguráció okozhatja. Ennek eredményeképpen a rendszer nem használja ezt a tartományvezérlőt, és nem replikál senkit. | Bejövő és kimenő replikáció engedélyezése: Futtassa a "repadmin /options ServerName -DISABLE_INBOUND_REPL" parancsot az érintett tartományvezérlőn. Futtassa a "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" parancsot az érintett tartományvezérlőn. Hozzon létre egy új replikációs kapcsolatot egy másik tartományvezérlővel:
|
A kimenő replikáció le van tiltva | A letiltott kimenő replikációval rendelkező tartományvezérlők nem fogják tudni terjeszteni a saját maguktól származó módosításokat. | Ha engedélyezni szeretné a kimenő replikációt az érintett tartományvezérlőn, kövesse az alábbi lépéseket: Kattintson a Start gombra, kattintson a Futtatás parancsra, írja be a parancsot, majd kattintson az OK gombra. Írja be a következő szöveget, majd nyomja le az ENTER billentyűt: repadmin /options -DISABLE_OUTBOUND_REPL |
A bejövő replikáció le van tiltva | A letiltott bejövő replikációval rendelkező számítógépek nem rendelkeznek a legújabb információkkal. Ez a feltétel bejelentkezési hibákhoz vezethet. | Ha engedélyezni szeretné a bejövő replikációt az érintett tartományvezérlőn, kövesse az alábbi lépéseket: Kattintson a Start gombra, kattintson a Futtatás parancsra, írja be a parancsot, majd kattintson az OK gombra. Írja be a következő szöveget, majd nyomja le az ENTER billentyűt: repadmin /options -DISABLE_INBOUND_REPL |
A LanmanServer szolgáltatás nem fut | Ha a szolgáltatás le van tiltva, a tőle explicit módon függő szolgáltatások nem fognak elindulni. | Futtassa a "net start LanManServer" parancsot az érintett tartományvezérlőn. |
A Kerberos Key Distribution Center szolgáltatás nem fut | Ha a KDC szolgáltatás leáll, a felhasználók nem fognak tudni ezen a tartományvezérlőn keresztül hitelesítést végrehajtani a Kerberos v5 hitelesítési protokoll használatával. | Futtassa a "net start kdc" parancsot az érintett tartományvezérlőn. |
A DNS-szolgáltatás nem fut | Ha a DNS-szolgáltatás leáll, a kiszolgálót DNS-ként használó számítógépek és felhasználók nem találnak erőforrásokat. | Futtassa a "net start dns" parancsot az érintett tartományvezérlőn. |
A DC usn-visszaállítást kapott | Az USN-visszaállítások során az objektumok és attribútumok módosításait nem replikálják a cél tartományvezérlők, amelyek korábban már látták az USN-t. Mivel ezek a cél tartományvezérlők úgy vélik, hogy naprakészek, a címtárszolgáltatás eseménynaplóiban vagy a monitorozási és diagnosztikai eszközök nem jelentenek replikációs hibákat. Az USN-visszaállítás bármilyen partícióban befolyásolhatja az objektumok vagy attribútumok replikálását. A leggyakrabban megfigyelt mellékhatás az, hogy a visszaállítási tartományvezérlőn létrehozott felhasználói fiókok és számítógépfiókok nem léteznek egy vagy több replikációs partneren. Vagy a visszaállítási tartományvezérlőről származó jelszófrissítések nem léteznek replikációs partnereken. | Az USN-visszaállításból való helyreállításnak két módszere van: Távolítsa el a tartományvezérlőt a tartományból az alábbi lépések végrehajtásával:
Értékelje ki, hogy léteznek-e érvényes rendszerállapot-biztonsági másolatok ehhez a tartományvezérlőhöz. Ha érvényes rendszerállapot-biztonsági mentés történt a visszaállított tartományvezérlő helytelen visszaállítása előtt, és a biztonsági mentés a tartományvezérlőn végrehajtott legutóbbi módosításokat tartalmazza, állítsa vissza a rendszerállapotot a legutóbbi biztonsági másolatból. A pillanatképet biztonsági mentés forrásaként is használhatja. Vagy beállíthatja, hogy az adatbázis új meghívási azonosítót adjon magának a jelen cikkben található "A virtuális tartományvezérlő VHD egy korábbi verziójának visszaállítása rendszerállapot-adatok biztonsági mentése nélkül" című szakaszával . |