Microsoft Entra Csatlakozás Állapotriasztások katalógusa

  • Cikk

A Microsoft Entra Csatlakozás Állapotfigyelő szolgáltatás riasztásai azt jelzik, hogy az identitásinfrastruktúra nem kifogástalan. Ez a cikk a riasztások címeit, leírását és szervizelési lépéseit tartalmazza az egyes riasztásokhoz.
A hiba, a figyelmeztetés és az előmegjelenítés a riasztások három szakasza, amelyek Csatlakozás Állapotfigyelő szolgáltatásból jönnek létre. Erősen javasoljuk, hogy azonnali műveleteket hajt végre az aktivált riasztások esetén.
A Microsoft Entra Csatlakozás Health-riasztások sikerességi állapot esetén lesznek feloldva. A Microsoft Entra Csatlakozás állapotügynökei rendszeresen észlelik és jelentik a sikerességi feltételeket a szolgáltatásnak. Néhány riasztás esetén a letiltás időalapú. Más szóval, ha ugyanazt a hibafeltételt nem figyeli meg a riasztásgenerálástól számított 72 órán belül, a rendszer automatikusan feloldja a riasztást.

Általános Riasztások

Riasztás neve Leírás Szervizelés
Az állapotszolgáltatás adatai nem naprakészek Az egy vagy több kiszolgálón futó állapotügynök(ek) nem csatlakoznak a Állapotfigyelő szolgáltatás, és a Állapotfigyelő szolgáltatás nem kapja meg a legújabb adatokat erről a kiszolgálóról. A Állapotfigyelő szolgáltatás által legutóbb feldolgozott adatok 2 óránál régebbiek. Győződjön meg arról, hogy az állapotügynökök kimenő kapcsolatban vannak a szükséges szolgáltatásvégpontokkal. További információ

A Microsoft Entra Csatlakozás (Szinkronizálás) riasztásai

Riasztás neve Leírás Szervizelés
A Microsoft Entra Csatlakozás Szinkronizálási szolgáltatás nem fut A Microsoft Entra ID Sync Windows-szolgáltatás nem fut vagy nem indítható el. Ennek eredményeképpen az objektumok nem szinkronizálódnak a Microsoft Entra-azonosítóval. A Microsoft Entra ID Sync Services indítása
  1. Kattintson a Start menü Futtatás parancsára, írja be a Services.msc parancsot, majd kattintson az OK gombra.
  2. Keresse meg a Microsoft Entra ID Sync szolgáltatást, majd ellenőrizze, hogy a szolgáltatás elindult-e. Ha a szolgáltatás nem indul el, kattintson rá a jobb gombbal, majd kattintson a Start parancsra.
Nem sikerült importálni a Microsoft Entra ID-ból A Microsoft Entra Connector importálási művelete sikertelen volt. További részletekért vizsgálja meg az importálási művelethez tartozó hibákat az eseménynaplóban.
A Microsoft Entra ID-vel való kapcsolat hitelesítési hiba miatt meghiúsult A Microsoft Entra ID-vel való kapcsolat hitelesítési hiba miatt meghiúsult. Ennek eredményeként az objektumok nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. További részletekért vizsgálja meg az eseménynapló hibáit.
Nem sikerült az exportálás az Active Directoryba Az Active Directory Connectorba történő exportálás sikertelen. További részletekért vizsgálja meg az exportálási művelethez tartozó hibákat az eseménynaplóban.
Az Active Directoryból történő importálás nem sikerült Az Active Directoryból történő importálás nem sikerült. Emiatt előfordulhat, hogy az erdő egyes tartományaiból származó objektumok nem importálhatók.
  • Tartományvezérlő-kapcsolat ellenőrzése
  • Importálás manuális újrafuttatásakor
  • További részletekért vizsgálja meg az importálási művelet eseménynapló-hibáit.
    		•
    Sikertelen exportálás a Microsoft Entra ID-be A Microsoft Entra Csatlakozás orba való exportálási művelet meghiúsult. Emiatt előfordulhat, hogy egyes objektumok nem lesznek sikeresen exportálva a Microsoft Entra-azonosítóba. További részletekért vizsgálja meg az exportálási művelethez tartozó hibákat az eseménynaplóban.
    A jelszókivonat-szinkronizálás szívverése kimaradt az elmúlt 120 percben A jelszókivonat-szinkronizálás nem csatlakozott a Microsoft Entra-azonosítóhoz az elmúlt 120 percben. Ennek eredményeképpen a jelszavak nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. Indítsa újra a Microsoft Entra ID Sync Services szolgáltatást:
    A jelenleg futó szinkronizálási műveletek megszakadnak. Az alábbi lépéseket akkor is elvégezheti, ha nincs folyamatban szinkronizálási művelet.
    1. Kattintson a Start menü Futtatás parancsára, írja be a Services.msc parancsot, majd kattintson az OK gombra.
    2. Keresse meg a Microsoft Entra ID Syncet, kattintson rá a jobb gombbal, majd kattintson az Újraindítás parancsra.
    Magas processzorhasználat észlelhető A processzorhasználat százalékos aránya túllépte a kiszolgálón javasolt küszöbértéket.
  • Ez a processzorhasználat átmeneti megugrása lehet. Ellenőrizze a processzorhasználati trendet a Figyelés szakaszban.
  • Vizsgálja meg a kiszolgáló legmagasabb processzorhasználatát használó legfontosabb folyamatokat.
    1. Használhatja a Feladatkezelőt, vagy végrehajthatja a következő PowerShell-parancsot:
      get-process | Sort-Object -Descending CPU | Select-Object –Első 10
    2. Ha nem várt folyamatok használják a magas processzorhasználatot, állítsa le a folyamatokat a következő PowerShell-paranccsal:
      stop-process -ProcessName [a folyamat neve]
  • Ha a fenti listában látható folyamatok a kiszolgálón futó tervezett folyamatok, és a processzorhasználat folyamatosan a küszöbérték közelében van, fontolja meg a kiszolgáló üzembehelyezési követelményeinek újraértékelését.
  • Hibabiztos megoldásként érdemes lehet újraindítani a kiszolgálót.
    		•
    Magas memóriahasználat észlelhető A kiszolgáló memóriahasználatának százalékos aránya meghaladja a kiszolgálón javasolt küszöbértéket. Vizsgálja meg a kiszolgáló legnagyobb memóriáját használó legfelső folyamatokat. Használhatja a Feladatkezelőt, vagy végrehajthatja a következő PowerShell-parancsot:
    get-process | Sort-Object -Descending WS | Select-Object –Első 10
    Ha nem várt folyamatok használnak nagy memóriát, állítsa le a folyamatokat a következő PowerShell-paranccsal:
    stop-process -ProcessName [a folyamat neve]
  • Ha a fenti listában látható folyamatok a kiszolgálón futó tervezett folyamatok, fontolja meg a kiszolgáló üzembehelyezési követelményeinek újraértékelését.
  • Feladatbiztonsági beállításként érdemes lehet újraindítani a kiszolgálót.
    		•
    A jelszókivonat szinkronizálása nem működik A jelszókivonat szinkronizálása leállt. Ennek eredményeként a jelszavak nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. Indítsa újra a Microsoft Entra ID Sync Services szolgáltatást:
    A jelenleg futó szinkronizálási műveletek megszakadnak. Az alábbi lépéseket akkor is elvégezheti, ha nincs folyamatban szinkronizálási művelet.
    1. Kattintson a Start menü Futtatás parancsára, írja be a Services.msc parancsot, majd kattintson az OK gombra.
    2. Keresse meg a Microsoft Entra ID Syncet, kattintson rá a jobb gombbal, majd kattintson az Újraindítás parancsra.
    A Microsoft Entra-azonosítóba való exportálás leállt. A véletlen törlés küszöbértéke el lett érve A Microsoft Entra-azonosítóba való exportálási művelet sikertelen volt. A konfigurált küszöbértéknél több objektumot kellett törölni. Ennek eredményeképpen nem exportált objektumokat.
  • A törlésre megjelölt objektumok száma nagyobb, mint a beállított küszöbérték. Győződjön meg arról, hogy ez az eredmény kívánt.
  • Az exportálás folytatásának engedélyezéséhez hajtsa végre a következő lépéseket:
    1. Küszöbérték letiltása a Disable-ADSyncExportDeletionThreshold futtatásával
    2. Szinkronizálási szolgáltatáskezelő indítása
    3. Exportálás futtatása Csatlakozás oron a következő típussal: = Microsoft Entra ID
    4. Az objektumok sikeres exportálása után engedélyezze a Küszöbértéket az Enable-ADSyncExportDeletionThreshold futtatásával
    		•

    Riasztások Active Directory összevonási szolgáltatások (AD FS)

    Riasztás neve Leírás Szervizelés
    A hitelesítési kérelem (szintetikus tranzakció) nem tudott jogkivonatot lekérni A kiszolgálóról indított tesztelési hitelesítési kérések (szintetikus tranzakciók) 5 újrapróbálkozás után nem sikerült jogkivonatot beszerezni. Ezt átmeneti hálózati problémák, az AD DS tartományvezérlő rendelkezésre állása vagy egy helytelenül konfigurált AD FS-kiszolgáló okozhatja. Ennek eredményeképpen az összevonási szolgáltatás által feldolgozott hitelesítési kérelmek meghiúsulhatnak. Az ügynök a Helyi számítógépfiók környezettel szerez be jogkivonatot az összevonási szolgáltatásból. Győződjön meg arról, hogy a következő lépések szükségesek a kiszolgáló állapotának ellenőrzéséhez.
    1. Ellenőrizze, hogy nincsenek-e további megoldatlan riasztások erre vagy a farm más AD FS-kiszolgálóira vonatkozóan.
    2. Ellenőrizze, hogy ez a feltétel nem átmeneti hiba-e, ha bejelentkezik egy tesztfelhasználóval a(z) https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx webhelyen elérhető AD FS bejelentkezési oldalról.
    3. Lépjen az https://testconnectivity.microsoft.com Office 365 fülre, és válassza az "Office 365 egyszeri bejelentkezési teszt" parancsot.
    4. Ellenőrizze, hogy az AD FS-szolgáltatás neve feloldható-e erről a kiszolgálóról a következő parancs végrehajtásával ezen a kiszolgálón található parancssorból. nslookup your_adfs_server_name

    Ha a szolgáltatásnév nem oldható fel, tekintse meg a gyakori kérdések szakaszt az AD FS szolgáltatás gazdagépfájl-bejegyzésének a kiszolgáló IP-címével való hozzáadására vonatkozó útmutatásért. Ez lehetővé teszi, hogy a kiszolgálón futó szintetikus tranzakciós modul jogkivonatot kérjen
    A proxykiszolgáló nem éri el az összevonási kiszolgálót Ez az AD FS-proxykiszolgáló nem tud kapcsolatba lépni az AD FS szolgáltatással. Ennek eredményeképpen a kiszolgáló által feldolgozott hitelesítési kérelmek sikertelenek lesznek. Hajtsa végre az alábbi lépéseket a kiszolgáló és az AD FS szolgáltatás közötti kapcsolat ellenőrzéséhez.
    1. Győződjön meg arról, hogy a kiszolgáló és az AD FS szolgáltatás közötti tűzfal megfelelően van konfigurálva.
    2. Győződjön meg arról, hogy az AD FS szolgáltatás nevének DNS-feloldása megfelelően a vállalati hálózaton belül található AD FS szolgáltatásra mutat. Ez egy olyan DNS-kiszolgálón keresztül érhető el, amely ezt a kiszolgálót a szegélyhálózaton szolgálja ki, vagy az AD FS szolgáltatásnév HOSTS-fájljaiban lévő bejegyzéseken keresztül.
    3. A hálózati kapcsolat ellenőrzéséhez nyissa meg a böngészőt ezen a kiszolgálón, és nyissa meg az összevonási metaadat-végpontot, amely a következő helyen található: https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Hamarosan lejár az SSL-tanúsítvány Az összevonási kiszolgálók által használt TLS/SSL-tanúsítvány 90 napon belül lejár. Ha lejárt, az érvényes TLS-kapcsolatot igénylő kérések sikertelenek lesznek. A Microsoft 365-ügyfelek esetében például a levelezési ügyfelek nem fognak tudni hitelesíteni. Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
    1. Szerezze be a TLS/SSL tanúsítványt az alábbi követelményekkel.
      1. A bővített kulcshasználat legalább kiszolgálóhitelesítés.
      2. A tanúsítvány tulajdonosának vagy tulajdonosának alternatív neve (SAN) az összevonási szolgáltatás VAGY a megfelelő helyettesítő kártya DNS-nevét tartalmazza. Például: sso.contoso.com vagy *.contoso.com
    2. Telepítse az új TLS/SSL-tanúsítványt a helyi gép tanúsítványtárolójában lévő minden kiszolgálón.
    3. Győződjön meg arról, hogy az AD FS szolgáltatásfiók olvasási hozzáféréssel rendelkezik a tanúsítvány titkos kulcsához

    Windows Server 2008R2 AD FS 2.0 esetén:

    • Az új TLS/SSL-tanúsítvány kötése az IIS webhelyéhez, amely az összevonási szolgáltatást üzemelteti. Vegye figyelembe, hogy ezt a lépést minden egyes összevonási kiszolgálón és összevonási kiszolgálóproxyn végre kell hajtania.

    A Windows Server 2012 R2 és újabb verzióiban futó AD FS esetén:

  • Tekintse meg az SSL-tanúsítványok felügyeletét az AD FS-ben és a WAP-ban
    • Az AD FS szolgáltatás nem fut a kiszolgálón Az Active Directory összevonási szolgáltatás (Windows Service) nem fut ezen a kiszolgálón. A kiszolgálóra irányuló kérések sikertelenek lesznek. Az Active Directory összevonási szolgáltatás (Windows szolgáltatás) elindítása:
    1. Jelentkezzen be rendszergazdaként a kiszolgálóra.
    2. Open services.msc
    3. A "Active Directory összevonási szolgáltatások (AD FS)" keresése
    4. Kattintson a jobb gombbal, és válassza a "Start" lehetőséget
    Előfordulhat, hogy az összevonási szolgáltatás DNS-címe helytelenül van konfigurálva A DNS-kiszolgáló konfigurálható úgy, hogy az AD FS-farm nevének CNAME rekordját használja. Javasoljuk, hogy az A vagy AAAA rekordot használja az AD FS-hez annak érdekében, hogy a Windows integrált hitelesítés zökkenőmentesen működjön a vállalati hálózaton belül. Győződjön meg arról, hogy az AD FS-farm <Farm Name> DNS-rekordtípusa nem CNAME. Konfigurálja A vagy AAAA rekordként.
    Az AD FS naplózása le van tiltva Az AD FS naplózása le van tiltva a kiszolgálón. A portál AD FS-használat szakasza nem tartalmazza a kiszolgáló adatait. Ha az AD FS-naplózások nincsenek engedélyezve, kövesse az alábbi utasításokat:
    1. Adja meg az AD FS szolgáltatásfióknak az AD FS-kiszolgálón található "Biztonsági auditok létrehozása" értéket.
    2. Nyissa meg a helyi biztonsági szabályzatot a gpedit.msc kiszolgálón.
    3. Lépjen a "Számítógép konfigurációja\Windows Gépház\Helyi házirendek\Felhasználói jogok hozzárendelése" elemre
    4. Adja hozzá az AD FS szolgáltatásfiókot a "Biztonsági auditok létrehozása" jogosultsághoz.
    5. Futtassa a következő parancsot a parancssorból:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Frissítse az összevonási szolgáltatás tulajdonságait a sikeres és hibanaplók belefoglalásához.
    7. Az AD FS-konzolon válassza az "Összevonási szolgáltatás tulajdonságainak szerkesztése" lehetőséget
    8. Az "Összevonási szolgáltatás tulajdonságai" párbeszédpanelen válassza az Események lapot, majd a "Sikeres auditok" és a "Hibanaplók" lehetőséget

    A lépések elvégzése után az AD FS naplózási eseményeinek láthatónak kell lenniük a Eseménynapló. Ellenőrzés:

    1. Nyissa meg a Eseménynapló/ Windows-naplók /Biztonság elemet.
    2. Válassza az Aktuális naplók szűrése lehetőséget, majd az Eseményforrások legördülő menüben válassza az AD FS-naplózás lehetőséget. Olyan aktív AD FS-kiszolgáló esetén, amelyen engedélyezve van az AD FS naplózása, az eseményeknek láthatónak kell lenniük a fenti szűréshez.

    Ha már követte ezeket az utasításokat, de továbbra is látja ezt a riasztást, lehetséges, hogy egy csoportházirend-objektum letiltja az AD FS naplózását. A kiváltó ok az alábbiak egyike lehet:

    1. Az AD FS szolgáltatásfiókja el lesz távolítva a biztonsági auditok létrehozására való jogosultságtól.
    2. A csoportházirend-objektum egyéni szkriptjei letiltják a sikeres és sikertelen naplózásokat az "Alkalmazás generálva" alapján.
    3. Az AD FS-konfiguráció nincs engedélyezve a sikeres/sikertelen auditok létrehozásához.
    Az AD FS SSL-tanúsítványa önaláírt Jelenleg önaláírt tanúsítványt használ TLS/SSL-tanúsítványként az AD FS-farmban. Ennek eredményeképpen a Microsoft 365 levelezőügyfél-hitelesítése sikertelen lesz

    Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.

    1. Szerezzen be egy nyilvánosan megbízható TLS/SSL-tanúsítványt az alábbi követelményekkel.
    2. A tanúsítványtelepítési fájl tartalmazza a titkos kulcsot.
    3. A bővített kulcshasználat legalább kiszolgálóhitelesítés.
    4. A tanúsítvány tulajdonosának vagy tulajdonosának alternatív neve (SAN) az összevonási szolgáltatás VAGY a megfelelő helyettesítő kártya DNS-nevét tartalmazza. Például: sso.contoso.com vagy *.contoso.com

    Telepítse az új TLS/SSL-tanúsítványt a helyi gép tanúsítványtárolójában lévő minden kiszolgálón.

      Győződjön meg arról, hogy az AD FS szolgáltatásfiók olvasási hozzáféréssel rendelkezik a tanúsítvány titkos kulcsához.
      Windows Server 2008R2 AD FS 2.0 esetén:
    1. Az új TLS/SSL-tanúsítvány kötése az IIS webhelyéhez, amely az összevonási szolgáltatást üzemelteti. Vegye figyelembe, hogy ezt a lépést minden egyes összevonási kiszolgálón és összevonási kiszolgálóproxyn végre kell hajtania.

      2. A Windows Server 2012 R2 vagy újabb verzióiban futó AD FS esetén:
    2. Tekintse meg az SSL-tanúsítványok felügyeletét az AD FS-ben és a WAP-ban
    A proxykiszolgáló és az összevonási kiszolgáló közötti megbízhatóság érvénytelen Az összevonási kiszolgáló proxyja és az összevonási szolgáltatás közötti megbízhatóság nem hozható létre vagy újítható meg. Frissítse a proxykiszolgáló proxymegbízhatósági tanúsítványát. Futtassa újra a Proxykonfiguráció varázslót.
    Az Extranet Lockout Protection le van tiltva az AD FS-hez Az Extranet Lockout Protection funkció le van tiltva az AD FS-farmon. Ez a funkció megvédi a felhasználókat a találgatásos jelszótámadásoktól az internetről, és megakadályozza a szolgáltatásmegtagadási támadásokat a felhasználók ellen, amikor az AD DS-fiók zárolási szabályzatai érvényben vannak. Ha ez a funkció engedélyezve van, ha a felhasználó sikertelen extranetes bejelentkezési kísérleteinek száma (a WAP-kiszolgálón és az AD FS-en keresztül végrehajtott bejelentkezési kísérletek száma) meghaladja az "ExtranetLockoutThreshold" értéket, akkor az AD FS-kiszolgálók leállnak az "ExtranetObservationWindow" további bejelentkezési kísérleteinek feldolgozásában. Javasoljuk, hogy engedélyezze ezt a funkciót az AD FS-kiszolgálókon. Futtassa az alábbi parancsot az AD FS Extranet Lockout Protection alapértelmezett értékekkel való engedélyezéséhez.
    Set-AdfsProperties –EnableExtranetLockout $true

    Ha AD-zárolási szabályzatokat konfigurált a felhasználók számára, győződjön meg arról, hogy az ExtranetLockoutThreshold tulajdonság értéke az AD DS zárolási küszöbértéke alatt van. Ez biztosítja, hogy az AD FS küszöbértékét túllépő kérelmek el legyenek dobva, és soha ne legyenek érvényesítve az AD DS-kiszolgálókon.
    Érvénytelen egyszerű szolgáltatásnév (SPN) az AD FS szolgáltatásfiókhoz Az összevonási szolgáltatásfiók egyszerű szolgáltatásneve nincs regisztrálva, vagy nem egyedi. Ennek eredményeképpen előfordulhat, hogy a tartományhoz csatlakoztatott ügyfelek windowsos integrált hitelesítése nem zökkenőmentes. A [Standard kiadás TSPN -L ServiceAccountName] használatával listázhatja a szolgáltatásnevek listáját.
    A [Standard kiadás TSPN -X] használatával ellenőrizze az ismétlődő szolgáltatásnévneveket.

    Ha az SPN duplikálva van az AD FS szolgáltatásfiókhoz, távolítsa el az SPN-t a duplikált fiókból a [Standard kiadás TSPN -d szolgáltatás/namehostname] használatával

    Ha az SPN nincs beállítva, használja a [Standard kiadás TSPN -s {Desired-SPN} {domain_name}{service_account}] parancsot az összevonási szolgáltatásfiókhoz kívánt egyszerű szolgáltatásnév beállításához.
    Hamarosan lejár az elsődleges AD FS-jogkivonat-visszafejtési tanúsítvány Az elsődleges AD FS-jogkivonat visszafejtési tanúsítványa kevesebb mint 90 nap múlva lejár. Az AD FS nem tudja visszafejteni a jogkivonatokat megbízható jogcímszolgáltatóktól. Az AD FS nem tudja visszafejteni a titkosított SSO-cookie-kat. A végfelhasználók nem fognak tudni hitelesíteni az erőforrások eléréséhez. Ha az automatikus tanúsítványátvétel engedélyezve van, az AD FS kezeli a jogkivonat-visszafejtési tanúsítványt.

    Ha manuálisan kezeli a tanúsítványt, kövesse az alábbi utasításokat. Szerezze be az új jogkivonat-visszafejtési tanúsítványt.

    1. Győződjön meg arról, hogy a bővített kulcshasználat (EKU) tartalmazza a "Key Encipherment" (Kulcs-titkosítás) elemet
    2. A tulajdonos vagy a tulajdonos alternatív neve (SAN) nem rendelkezik korlátozásokkal.
    3. Vegye figyelembe, hogy az összevonási kiszolgálóknak és jogcímszolgáltatói partnereknek megbízható legfelső szintű hitelesítésszolgáltatóhoz kell csatlakozniuk a token-visszafejtési tanúsítvány ellenőrzésekor.
    Döntse el, hogy a jogcímszolgáltató partnerei hogyan fogják megbízni az új token-visszafejtési tanúsítványban
    1. Kérje meg a partnereket, hogy a tanúsítvány frissítése után kérjék le az összevonási metaadatokat.
    2. Ossza meg az új tanúsítvány nyilvános kulcsát. (.cer fájl) a partnerekkel. A jogcímszolgáltatói partner AD FS-kiszolgálóján indítsa el az AD FS Managementet a Rendszergazda istrative Tools menüből. A Megbízhatósági kapcsolatok/Függő entitás megbízhatósága csoportban válassza ki az Ön számára létrehozott megbízhatóságot. A Tulajdonságok/Titkosítás területen kattintson a "Tallózás" gombra az új token-visszafejtési tanúsítvány kiválasztásához, majd kattintson az OK gombra.
    Telepítse a tanúsítványt a helyi tanúsítványtárolóban az egyes összevonási kiszolgálókon.
    • Győződjön meg arról, hogy a tanúsítványtelepítési fájl minden kiszolgálón rendelkezik a tanúsítvány titkos kulcsával.
    Győződjön meg arról, hogy az összevonási szolgáltatásfiók hozzáfér az új tanúsítvány titkos kulcsához.Adja hozzá az új tanúsítványt az AD FS-hez.
    1. Az AD FS Management indítása a Rendszergazda istrative Tools menüből
    2. Bontsa ki a szolgáltatást, és válassza a Tanúsítványok lehetőséget
    3. A Műveletek panelen kattintson a Jogkivonat-visszafejtési tanúsítvány hozzáadása elemre
    4. Megjelenik a token-visszafejtéshez érvényes tanúsítványok listája. Ha úgy találja, hogy az új tanúsítvány nem jelenik meg a listában, vissza kell mennie, és meg kell győződnie arról, hogy a tanúsítvány a helyi számítógép személyes tárolójában van, amelyhez egy titkos kulcs van társítva, és a tanúsítvány kulcs-titkosítással rendelkezik kiterjesztett kulcshasználatként.
    5. Válassza ki az új token-visszafejtési tanúsítványt, és kattintson az OK gombra.
    Állítsa be az új jogkivonat-visszafejtési tanúsítványt elsődlegesként.
    1. Ha az AD FS Management tanúsítványcsomópontja ki van választva, most két tanúsítványnak kell megjelennie a Token-Visszafejtés területen: a meglévő és az új tanúsítvány.
    2. Válassza ki az új token-visszafejtési tanúsítványt, kattintson a jobb gombbal, és válassza a Beállítás elsődlegesként lehetőséget.
    3. A régi tanúsítványt hagyja másodlagosként roll-over célokra. A régi tanúsítvány eltávolítását akkor érdemes megtervezni, ha biztos abban, hogy már nincs rá szükség az átgördítéshez, vagy ha a tanúsítvány lejárt.
    Hamarosan lejár az elsődleges AD FS-jogkivonat-aláíró tanúsítvány Az AD FS-jogkivonat aláíró tanúsítványa 90 napon belül lejár. Az AD FS nem tud aláírt jogkivonatokat kiadni, ha ez a tanúsítvány érvénytelen. Szerezze be az új jogkivonat-aláíró tanúsítványt.
    1. Győződjön meg arról, hogy a bővített kulcshasználat (EKU) tartalmazza a "digitális aláírást"
    2. A tulajdonos vagy a tulajdonos alternatív neve (SAN) nem rendelkezik korlátozásokkal.
    3. Vegye figyelembe, hogy az összevonási kiszolgálóknak, az erőforráspartner összevonási kiszolgálóinak és a függő entitás alkalmazáskiszolgálóinak megbízható főtanúsítvány-szolgáltatóhoz kell láncolniuk a jogkivonat-aláíró tanúsítvány érvényesítésekor.
    Telepítse a tanúsítványt a helyi tanúsítványtárolóba az egyes összevonási kiszolgálókon.
    • Győződjön meg arról, hogy a tanúsítványtelepítési fájl minden kiszolgálón rendelkezik a tanúsítvány titkos kulcsával.
    Győződjön meg arról, hogy az összevonási szolgáltatásfiók hozzáfér az új tanúsítvány titkos kulcsához.Adja hozzá az új tanúsítványt az AD FS-hez.
    1. Indítsa el az AD FS Managementet a Rendszergazda istrative Tools menüből.
    2. Bontsa ki a szolgáltatást, és válassza a Tanúsítványok lehetőséget
    3. A Műveletek panelen kattintson a Jogkivonat-aláíró tanúsítvány hozzáadása...
    4. Megjelenik a token-aláírásra érvényes tanúsítványok listája. Ha úgy találja, hogy az új tanúsítvány nem jelenik meg a listában, vissza kell mennie, és meg kell győződnie arról, hogy a tanúsítvány a helyi számítógép személyes tárolójában található, amelyhez titkos kulcs van társítva, és a tanúsítvány rendelkezik a Digitális aláírás kulccsal.
    5. Válassza ki az új tokenaláíró tanúsítványt, és kattintson az OK gombra
    Tájékoztassa az összes függő entitást a jogkivonat-aláíró tanúsítvány változásáról.
    1. Az AD FS-összevonási metaadatokat használó függő entitásoknak le kell húzniuk az új összevonási metaadatokat az új tanúsítvány használatának megkezdéséhez.
    2. Az AD FS-összevonási metaadatokat nem használó függő entitásoknak manuálisan kell frissítenie az új jogkivonat-aláíró tanúsítvány nyilvános kulcsát. Ossza meg a .cer fájlt a függő entitásokkal.
      3. Állítsa be az új jogkivonat-aláíró tanúsítványt elsődlegesként.
      1. Ha az AD FS Management tanúsítványcsomópontja ki van jelölve, most két tanúsítványnak kell megjelennie a token-aláírás alatt: a meglévő és az új tanúsítvány.
      2. Válassza ki az új jogkivonat-aláíró tanúsítványt, kattintson a jobb gombbal, és válassza a Beállítás elsődlegesként lehetőséget
      3. A régi tanúsítványt hagyja másodlagosként az átállás céljából. A régi tanúsítvány eltávolítását akkor érdemes megtervezni, ha biztos abban, hogy már nincs rá szükség az átálláshoz, vagy ha a tanúsítvány lejárt. Vegye figyelembe, hogy az aktuális felhasználók egyszeri bejelentkezéses munkamenetei aláírtak. A jelenlegi AD FS proxymegbízhatósági kapcsolatok a régi tanúsítvány használatával aláírt és titkosított jogkivonatokat használnak.
    Az AD FS SSL-tanúsítvány nem található a helyi tanúsítványtárolóban Az AD FS-adatbázisban TLS/SSL-tanúsítványként konfigurált ujjlenyomattal rendelkező tanúsítvány nem található a helyi tanúsítványtárolóban. Ennek eredményeképpen a TLS-en keresztüli hitelesítési kérések sikertelenek lesznek. Például a Microsoft 365 levelezőügyfél-hitelesítése sikertelen lesz. Telepítse a tanúsítványt a konfigurált ujjlenyomattal a helyi tanúsítványtárolóban.
    Az SSL-tanúsítvány lejárt Az AD FS szolgáltatás TLS/SSL-tanúsítványa lejárt. Ennek eredményeképpen az érvényes TLS-kapcsolatot igénylő hitelesítési kérések sikertelenek lesznek. Például: a levelezési ügyfél hitelesítése nem fog tudni hitelesíteni a Microsoft 365-ben. Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
    1. Szerezze be a TLS/SSL tanúsítványt az alábbi követelményekkel.
    2. A bővített kulcshasználat legalább kiszolgálóhitelesítés.
    3. A tanúsítvány tulajdonosának vagy tulajdonosának alternatív neve (SAN) az összevonási szolgáltatás VAGY a megfelelő helyettesítő kártya DNS-nevét tartalmazza. Például: sso.contoso.com vagy *.contoso.com
    4. Telepítse az új TLS/SSL-tanúsítványt a helyi gép tanúsítványtárolójában lévő minden kiszolgálón.
    5. Győződjön meg arról, hogy az AD FS szolgáltatásfiók olvasási hozzáféréssel rendelkezik a tanúsítvány titkos kulcsához

    Windows Server 2008R2 AD FS 2.0 esetén:

    • Az új TLS/SSL-tanúsítvány kötése az IIS webhelyéhez, amely az összevonási szolgáltatást üzemelteti. Vegye figyelembe, hogy ezt a lépést minden egyes összevonási kiszolgálón és összevonási kiszolgálóproxyn végre kell hajtania.

    Az AD FS windows server 2012 R2 vagy újabb verzióiban: Lásd: SSL-tanúsítványok kezelése az AD FS-ben és a WAP-ban

    A Microsoft Entra-azonosítóhoz (a Microsoft 365-höz) tartozó kötelező végpontok nincsenek engedélyezve Az Exchange Online Services, a Microsoft Entra ID és a Microsoft 365 által igényelt végpontok nem engedélyezettek az összevonási szolgáltatáshoz:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Engedélyezze a Microsoft Cloud Serviceshez szükséges végpontokat az összevonási szolgáltatásban.
    AD FS-hez Windows Server 2012R2 vagy újabb verziókban
  • Lásd: SSL-tanúsítványok kezelése az AD FS-ben és a WAP-ban

    • Az összevonási kiszolgáló nem tudott csatlakozni az AD FS konfigurációs adatbázisához Az AD FS szolgáltatásfiók problémákat tapasztal az AD FS konfigurációs adatbázishoz való csatlakozás során. Emiatt előfordulhat, hogy a számítógépen az AD FS szolgáltatás nem a várt módon működik.
  • Győződjön meg arról, hogy az AD FS szolgáltatásfiók rendelkezik hozzáféréssel a konfigurációs adatbázishoz.
  • Győződjön meg arról, hogy az AD FS konfigurációs adatbázis szolgáltatás elérhető és elérhető.
    • A szükséges SSL-kötések hiányoznak vagy nincsenek konfigurálva Az összevonási kiszolgáló hitelesítésének sikeres végrehajtásához szükséges TLS-kötések helytelenül vannak konfigurálva. Emiatt az AD FS nem tudja feldolgozni a bejövő kéréseket. Windows Server 2012 R2 esetén
    Nyisson meg egy rendszergazdai rendszergazdai parancssort, és hajtsa végre a következő parancsokat:
    1. Az aktuális TLS-kötés megtekintése: Get-AdfsSslCertificate
    2. Új kötések hozzáadása: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F 1011121314 appid={00112233-4455-6677-8899-AABBCCDD Enterprise kiadás FF} certstorename=MY
    Az elsődleges AD FS-jogkivonat-aláíró tanúsítvány lejárt Az AD FS-jogkivonat aláíró tanúsítványa lejárt. Az AD FS nem tud aláírt jogkivonatokat kiadni, ha ez a tanúsítvány érvénytelen. Ha az automatikus tanúsítványátvétel engedélyezve van, az AD FS felügyeli a jogkivonat-aláíró tanúsítvány frissítését.

    Ha manuálisan kezeli a tanúsítványt, kövesse az alábbi utasításokat.

    1. Szerezze be az új jogkivonat-aláíró tanúsítványt.
      1. Győződjön meg arról, hogy a bővített kulcshasználat (EKU) tartalmazza a "digitális aláírást"
      2. A tulajdonos vagy a tulajdonos alternatív neve (SAN) nem rendelkezik korlátozásokkal.
      3. Ne feledje, hogy az összevonási kiszolgálóknak, az erőforráspartner összevonási kiszolgálóinak és a függő entitás alkalmazáskiszolgálóinak megbízható főtanúsítvány-szolgáltatóhoz kell láncolniuk a jogkivonat-aláíró tanúsítvány érvényesítésekor.
    2. Telepítse a tanúsítványt a helyi tanúsítványtárolóba az egyes összevonási kiszolgálókon.
      • Győződjön meg arról, hogy a tanúsítványtelepítési fájl minden kiszolgálón rendelkezik a tanúsítvány titkos kulcsával.
    3. Győződjön meg arról, hogy az összevonási szolgáltatásfiók hozzáfér az új tanúsítvány titkos kulcsához.
    4. Adja hozzá az új tanúsítványt az AD FS-hez.
      1. Indítsa el az AD FS Managementet a Rendszergazda istrative Tools menüből.
      2. Bontsa ki a szolgáltatást, és válassza a Tanúsítványok lehetőséget
      3. A Műveletek panelen kattintson a Jogkivonat-aláíró tanúsítvány hozzáadása...
      4. Megjelenik a token-aláírásra érvényes tanúsítványok listája. Ha úgy találja, hogy az új tanúsítvány nem jelenik meg a listában, vissza kell mennie, és meg kell győződnie arról, hogy a tanúsítvány a helyi számítógép személyes tárolójában található, amelyhez titkos kulcs van társítva, és a tanúsítvány rendelkezik a Digitális aláírás kulccsal.
      5. Válassza ki az új tokenaláíró tanúsítványt, és kattintson az OK gombra
    5. Tájékoztassa az összes függő entitást a jogkivonat-aláíró tanúsítvány változásáról.
      1. Az AD FS-összevonási metaadatokat használó függő entitásoknak le kell húzniuk az új összevonási metaadatokat az új tanúsítvány használatának megkezdéséhez.
      2. Az AD FS-összevonási metaadatokat nem használó függő entitásoknak manuálisan kell frissítenie az új jogkivonat-aláíró tanúsítvány nyilvános kulcsát. Ossza meg a .cer fájlt a függő entitásokkal.
    6. Állítsa be az új jogkivonat-aláíró tanúsítványt elsődlegesként.
      1. Ha az AD FS Management tanúsítványcsomópontja ki van jelölve, most két tanúsítványnak kell megjelennie a token-aláírás alatt: a meglévő és az új tanúsítvány.
      2. Válassza ki az új jogkivonat-aláíró tanúsítványt, kattintson a jobb gombbal, és válassza a Beállítás elsődlegesként lehetőséget
      3. A régi tanúsítványt hagyja másodlagosként az átállás céljából. A régi tanúsítvány eltávolítását akkor érdemes megtervezni, ha biztos abban, hogy már nincs rá szükség az átálláshoz, vagy ha a tanúsítvány lejárt. Ne feledje, hogy az aktuális felhasználók egyszeri bejelentkezéses munkamenetei aláírtak. A jelenlegi AD FS proxymegbízhatósági kapcsolatok a régi tanúsítvány használatával aláírt és titkosított jogkivonatokat használnak.
    A proxykiszolgáló elveti a torlódás-vezérlési kérelmeket Ez a proxykiszolgáló jelenleg a normálnál nagyobb késés miatt elveti a kérelmeket az extranetről a proxykiszolgáló és az összevonási kiszolgáló között. Ennek eredményeképpen az AD FS proxykiszolgáló által feldolgozott hitelesítési kérelmek bizonyos része meghiúsulhat.
  • Ellenőrizze, hogy az összevonási proxykiszolgáló és az összevonási kiszolgálók közötti hálózati késés az elfogadható tartományba esik-e. A "Token Request Latency" trendértékeinek megtekintéséhez tekintse meg a figyelési szakaszt. A (z) [1500 ms] késésnél nagyobb késést nagy késésnek kell tekinteni. Nagy késés esetén győződjön meg arról, hogy az AD FS és az AD FS proxykiszolgálók közötti hálózat nem okoz csatlakozási problémákat.
  • Győződjön meg arról, hogy az összevonási kiszolgálók nincsenek túlterhelve hitelesítési kérésekkel. A figyelési szakasz a tokenkérelmek másodpercenkénti trendnézeteit, a processzorhasználatot és a memóriahasználatot ismerteti.
  • Ha a fenti elemek ellenőrzése megtörtént, és ez a probléma továbbra is fennáll, módosítsa a torlódás elkerülése beállítást az egyes összevonási proxykiszolgálókon a kapcsolódó hivatkozások útmutatásának megfelelően.
    		•
    Az AD FS szolgáltatásfiók nem fér hozzá a tanúsítvány titkos kulcsához. Az AD FS szolgáltatásfiók nem rendelkezik hozzáféréssel a számítógépen található egyik AD FS-tanúsítvány titkos kulcsához. Győződjön meg arról, hogy az AD FS szolgáltatásfiók hozzáférést biztosít a helyi számítógép tanúsítványtárolójában tárolt TLS-, jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokhoz.
    1. Parancssori típus: MMC.
    2. Ugrás a Fájl hozzáadása>/eltávolítása beépülő modulra
    3. Válassza a Tanúsítványok lehetőséget, és kattintson a Hozzáadás gombra. –> Válassza a Számítógépfiók lehetőséget, és kattintson a Tovább gombra. –> Válassza a Helyi számítógép lehetőséget, és kattintson a Befejezés gombra. Kattintson az OK gombra.

    Nyissa meg a tanúsítványokat (helyi számítógép)/személyes/tanúsítványokat.Az AD FS által használt összes tanúsítvány esetében:
    1. Kattintson a jobb gombbal a tanúsítványra.
    2. Válassza az Összes feladat –> Titkos kulcsok kezelése lehetőséget.
    3. A Biztonság lap Csoport vagy felhasználónevek csoportjában győződjön meg arról, hogy az AD FS szolgáltatásfiók jelen van. Ha nem, válassza az AD FS szolgáltatásfiók hozzáadása és hozzáadása lehetőséget.
    4. Válassza ki az AD FS szolgáltatásfiókot, és az "AD FS szolgáltatásfiók nevének> engedélyei<" területen ellenőrizze, hogy engedélyezett-e az olvasási engedély (pipa).
    Az AD FS SSL-tanúsítvány nem rendelkezik titkos kulccsal Az AD FS TLS/SSL-tanúsítvány privát kulcs nélkül lett telepítve. Ennek eredményeképpen az SSL-en keresztüli hitelesítési kérések sikertelenek lesznek. A Microsoft 365 levelezőügyfél-hitelesítése például sikertelen lesz. Frissítse a TLS/SSL-tanúsítványt minden AD FS-kiszolgálón.
    1. Szerezzen be egy nyilvánosan megbízható TLS/SSL-tanúsítványt az alábbi követelményekkel.
      1. A tanúsítványtelepítési fájl tartalmazza a titkos kulcsot.
      2. A bővített kulcshasználat legalább kiszolgálóhitelesítés.
      3. A tanúsítvány tulajdonosának vagy tulajdonosának alternatív neve (SAN) az összevonási szolgáltatás VAGY a megfelelő helyettesítő kártya DNS-nevét tartalmazza. Például: sso.contoso.com vagy *.contoso.com
    2. Telepítse az új TLS/SSL-tanúsítványt a helyi gép tanúsítványtárolójában lévő minden kiszolgálón.
    3. Győződjön meg arról, hogy az AD FS szolgáltatásfiók olvasási hozzáféréssel rendelkezik a tanúsítvány titkos kulcsához

    Windows Server 2008R2 AD FS 2.0 esetén:

    • Az új TLS/SSL-tanúsítvány kötése az IIS webhelyéhez, amely az összevonási szolgáltatást üzemelteti. Vegye figyelembe, hogy ezt a lépést minden egyes összevonási kiszolgálón és összevonási kiszolgálóproxyn végre kell hajtania.

    A Windows Server 2012 R2 vagy újabb verzióiban futó AD FS esetén:

  • Lásd: SSL-tanúsítványok kezelése az AD FS-ben és a WAP-ban
    • Az elsődleges AD FS-jogkivonat visszafejtési tanúsítványa lejárt Az elsődleges AD FS-jogkivonat visszafejtési tanúsítványa lejárt. Az AD FS nem tudja visszafejteni a jogkivonatokat megbízható jogcímszolgáltatóktól. Az AD FS nem tudja visszafejteni a titkosított SSO-cookie-kat. A végfelhasználók nem fognak tudni hitelesíteni az erőforrások eléréséhez.

    Ha az automatikus tanúsítványátvétel engedélyezve van, az AD FS kezeli a jogkivonat-visszafejtési tanúsítványt.

    Ha manuálisan kezeli a tanúsítványt, kövesse az alábbi utasításokat.

    1. Szerezze be az új jogkivonat-visszafejtési tanúsítványt.
      • Győződjön meg arról, hogy a bővített kulcshasználat (EKU) tartalmazza a "Key Encipherment" kifejezést.
      • A tulajdonos vagy a tulajdonos alternatív neve (SAN) nem rendelkezik korlátozásokkal.
      • Vegye figyelembe, hogy az összevonási kiszolgálóknak és jogcímszolgáltatói partnereknek megbízható legfelső szintű hitelesítésszolgáltatóhoz kell csatlakozniuk a token-visszafejtési tanúsítvány ellenőrzésekor.
    2. Döntse el, hogy a jogcímszolgáltató partnerei hogyan fogják megbízni az új token-visszafejtési tanúsítványban
      • Kérje meg a partnereket, hogy a tanúsítvány frissítése után kérjék le az összevonási metaadatokat.
      • Ossza meg az új tanúsítvány nyilvános kulcsát. (.cer fájl) a partnerekkel. A jogcímszolgáltatói partner AD FS-kiszolgálóján indítsa el az AD FS Managementet a Rendszergazda istrative Tools menüből. A Megbízhatósági kapcsolatok/Függő entitás megbízhatósága csoportban válassza ki az Ön számára létrehozott megbízhatóságot. A Tulajdonságok/Titkosítás területen kattintson a "Tallózás" gombra az új token-visszafejtési tanúsítvány kiválasztásához, majd kattintson az OK gombra.
    3. Telepítse a tanúsítványt a helyi tanúsítványtárolóban az egyes összevonási kiszolgálókon.
      • Győződjön meg arról, hogy a tanúsítványtelepítési fájl minden kiszolgálón rendelkezik a tanúsítvány titkos kulcsával.
    4. Győződjön meg arról, hogy az összevonási szolgáltatásfiók hozzáfér az új tanúsítvány titkos kulcsához.
    5. Adja hozzá az új tanúsítványt az AD FS-hez.
      • Az AD FS Management indítása a Rendszergazda istrative Tools menüből
      • Bontsa ki a szolgáltatást, és válassza a Tanúsítványok lehetőséget
      • A Műveletek panelen kattintson a Jogkivonat-visszafejtési tanúsítvány hozzáadása elemre
      • Megjelenik a token-visszafejtéshez érvényes tanúsítványok listája. Ha úgy találja, hogy az új tanúsítvány nem jelenik meg a listában, vissza kell mennie, és meg kell győződnie arról, hogy a tanúsítvány a helyi számítógép személyes tárolójában van, amelyhez egy titkos kulcs van társítva, és a tanúsítvány kulcs-titkosítással rendelkezik kiterjesztett kulcshasználatként.
      • Válassza ki az új token-visszafejtési tanúsítványt, és kattintson az OK gombra.
    6. Állítsa be az új jogkivonat-visszafejtési tanúsítványt elsődlegesként.
      • Ha az AD FS Management tanúsítványcsomópontja ki van választva, most két tanúsítványnak kell megjelennie a Token-Visszafejtés területen: a meglévő és az új tanúsítvány.
      • Válassza ki az új token-visszafejtési tanúsítványt, kattintson a jobb gombbal, és válassza a Beállítás elsődlegesként lehetőséget.
      • A régi tanúsítványt hagyja másodlagosként roll-over célokra. A régi tanúsítvány eltávolítását akkor érdemes megtervezni, ha biztos abban, hogy már nincs rá szükség az átgördítéshez, vagy ha a tanúsítvány lejárt.

    Riasztások Active Directory tartományi szolgáltatások

    Riasztás neve Leírás Szervizelés
    A tartományvezérlő LDAP-pingel nem érhető el A tartományvezérlő nem érhető el LDAP Ping használatával. Ezt hálózati vagy gépi problémák okozhatják. Ennek eredményeképpen az LDAP-pingek sikertelenek lesznek.
  • Vizsgálja meg a kapcsolódó riasztások riasztásainak listáját, például: A tartományvezérlő nem reklám.
  • Győződjön meg arról, hogy az érintett tartományvezérlő elegendő lemezterülettel rendelkezik. Ha elfogy a hely, az megakadályozza, hogy a tartományvezérlő LDAP-kiszolgálóként reklámozza magát.
  • A PDC megkeresésének kísérlete: Futtatás
    netdom query fsmo
    az érintett tartományvezérlőn.
  • Győződjön meg arról, hogy a fizikai hálózat megfelelően van konfigurálva/csatlakoztatva.
    • Active Directory-replikációs hiba történt Ez a tartományvezérlő replikációs problémákat tapasztal, amelyek a Replikáció állapota irányítópulton találhatók. A replikációs hibák oka lehet a nem megfelelő konfiguráció vagy más kapcsolódó problémák. A nem kezelt replikációs hibák adatkonzisztencia kialakulásához vezethetnek. További részletek az érintett forrás- és céldokkok nevéről. Keresse meg a Replikáció állapota irányítópultot, és keresse meg az érintett tartományvezérlők aktív hibáit. A hibára kattintva megnyithat egy panelt, amely további részleteket tartalmaz az adott hiba elhárításáról.
    A tartományvezérlő nem talál PDC-t A PDC nem érhető el ezen a tartományvezérlőn keresztül. Ez hatással lesz a felhasználói bejelentkezésekre, a nem jóváhagyott csoportházirend-módosításokra és a rendszer időszinkronizálási hibájára.
  • Vizsgálja meg azokat a riasztásokat, amelyek hatással lehetnek a PDC-re, például: A tartományvezérlő nem reklámozza a riasztásokat.
  • A PDC megkeresésének kísérlete: Futtatás
    netdom query fsmo
    az érintett tartományvezérlőn.
  • Győződjön meg arról, hogy a hálózat megfelelően működik.
    • A tartományvezérlő nem talál globális katalóguskiszolgálót Ebből a tartományvezérlőből nem érhető el globális katalóguskiszolgáló. Ez sikertelen hitelesítést eredményez ezen a tartományvezérlőn keresztül. Bármely tartományvezérlő riasztási listájának vizsgálata nem olyan riasztásokat jelenít meg, ahol az érintett kiszolgáló egy csoportházirend-objektum lehet. Ha nincsenek hirdetési riasztások, ellenőrizze a GCS-k SRV-rekordjait. Az alábbiak futtatásával ellenőrizheti őket:
    nltest /dnsgetdc: [ForestName] /gc
    A hirdetési tartományvezérlőket GCs-ként kell listáznia. Ha a lista üres, ellenőrizze a DNS-konfigurációt, hogy a GC regisztrálta-e az SRV rekordokat. A tartományvezérlő képes megtalálni őket a DNS-ben.
    A globális katalógusok hibaelhárítását lásd : Hirdetés globális katalóguskiszolgálóként.
    A tartományvezérlő nem tudja elérni a helyi sysvol-megosztást A Sysvol a csoportházirend-objektumok és -szkriptek fontos elemeit tartalmazza, amelyek egy tartomány tartományvezérlői között terjeszthetők. A tartományvezérlő nem hirdeti magát tartományvezérlőként, és a csoportházirendek nem lesznek alkalmazva. A hiányzó sysvol- és Netlogon-megosztások hibaelhárítása
    A tartományvezérlő ideje nincs szinkronizálva A tartományvezérlőn az idő a normál időeltérés tartományán kívül esik. Ennek eredményeképpen a Kerberos-hitelesítések sikertelenek lesznek.
  • A Windows időszolgáltatás újraindítása: Futtatás
    net stop w32time
    , majd
    net start w32time
    az érintett tartományvezérlőn.
  • Újraszinkronizálási idő: Futtatás
    w32tm /resync
    az érintett tartományvezérlőn.
    		•
    A tartományvezérlő nem reklám Ez a tartományvezérlő nem megfelelően hirdeti meg azokat a szerepköröket, amelyek végrehajtására képes. Ezt okozhatják a replikációval, a DNS helytelen konfigurálásával, a kritikus szolgáltatások nem futnak, vagy a kiszolgáló nem inicializálódott teljesen. Ennek eredményeképpen a tartományvezérlők, tartománytagok és más eszközök nem fogják tudni megtalálni ezt a tartományvezérlőt. Emellett előfordulhat, hogy más tartományvezérlők nem tudnak replikálni erről a tartományvezérlőről. Vizsgálja meg az egyéb kapcsolódó riasztások riasztásainak listáját, például: A replikáció megszakadt. A tartományvezérlő ideje nincs szinkronizálva. A Netlogon szolgáltatás nem fut. Az elosztott fájlrendszerbeli és/vagy NTFRS-szolgáltatások nem futnak. A kapcsolódó DNS-problémák azonosítása és elhárítása: Bejelentkezés az érintett tartományvezérlőre. Nyissa meg a rendszer eseménynaplóját. Ha az 5774-es, az 5775-ös vagy az 5781-es esemény jelenik meg, tekintse meg a tartományvezérlő lokátor DNS-rekordjainak regisztrálási hibáinak hibaelhárítását a Windows időszolgáltatással kapcsolatos problémák azonosítása és hibaelhárítása: Győződjön meg arról, hogy a Windows időszolgáltatás fut: Futtassa a "net start w32time" parancsot az érintett tartományvezérlőn. Indítsa újra a Windows Időszolgáltatást: Futtassa a "net stop w32time" parancsot, majd a "net start w32time" parancsot az érintett tartományvezérlőn.
    A GPSVC szolgáltatás nem fut Ha a szolgáltatás le van állítva vagy le van tiltva, a rendszergazda által konfigurált beállítások nem lesznek alkalmazva, és az alkalmazások és összetevők nem kezelhetők csoportházirenddel. Előfordulhat, hogy a csoportházirend-összetevőtől függő összetevők vagy alkalmazások nem működnek, ha a szolgáltatás le van tiltva. Az parancs futtatása
    net start gpsvc
    az érintett tartományvezérlőn.
    Az elosztott fájlrendszerbeli és/vagy NTFRS-szolgáltatások nem futnak Ha az elosztott fájlrendszerbeli és az NTFRS-szolgáltatások is le vannak állítva, a tartományvezérlők nem tudják replikálni a sysvol-adatokat. A sysvol Data nem lesz konzisztencián.
  • Elosztott fájlrendszer-kezelő használata esetén:
      Futtassa a "net start dfsr" parancsot az érintett tartományvezérlőn.
    1. NTFRS használata esetén:
        Futtassa a "net start ntfrs" parancsot az érintett tartományvezérlőn.
    • A Netlogon szolgáltatás nem fut Ezen a tartományvezérlőn nem lesznek elérhetők a bejelentkezési kérelmek, a regisztráció, a hitelesítés és a tartományvezérlők megkeresése. Futtassa a "net start netlogon" parancsot az érintett tartományvezérlőn
    A W32Time szolgáltatás nem fut Ha a Windows Időszolgáltatás le van állítva, a dátum- és időszinkronizálás nem lesz elérhető. Ha a szolgáltatás le van tiltva, a tőle explicit módon függő szolgáltatások nem fognak elindulni. Futtassa a "net start win32Time" parancsot az érintett tartományvezérlőn
    Az ADWS szolgáltatás nem fut Ha az Active Directory Web Services szolgáltatás le van állítva vagy le van tiltva, az ügyfélalkalmazások, például az Active Directory PowerShell nem fogják tudni elérni vagy kezelni a kiszolgálón helyileg futó címtárszolgáltatás-példányokat. Futtassa a "net start adws" parancsot az érintett tartományvezérlőn
    A legfelső szintű PDC nem szinkronizálódik az NTP-kiszolgálóról Ha nem úgy konfigurálja a PDC-t, hogy külső vagy belső időforrásból szinkronizálja az időt, az PDC emulátor a belső óráját használja, és maga az erdő megbízható időforrása. Ha az idő nem pontos a PDC-n, akkor minden számítógépnek helytelen időbeállításai lesznek. Az érintett tartományvezérlőn nyisson meg egy parancssort. Az időszolgáltatás leállítása: net stop w32time
  • Konfigurálja a külső időforrást:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Megjegyzés: Cserélje le a time.windows.com a kívánt külső időforrás címére. Indítsa el az Idő szolgáltatást:
    net start w32time
    • A tartományvezérlő karanténba van helyezve Ez a tartományvezérlő nem csatlakozik a többi működő tartományvezérlőhöz. Ezt a helytelen konfiguráció okozhatja. Ennek eredményeképpen a rendszer nem használja ezt a tartományvezérlőt, és nem replikál senkit. Bejövő és kimenő replikáció engedélyezése: Futtassa a "repadmin /options ServerName -DISABLE_INBOUND_REPL" parancsot az érintett tartományvezérlőn. Futtassa a "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" parancsot az érintett tartományvezérlőn. Hozzon létre egy új replikációs kapcsolatot egy másik tartományvezérlővel:
    1. Nyissa meg az Active Directory Helyek és szolgáltatások: Start menüt, mutasson Rendszergazda istrative Tools elemre, majd kattintson az Active Directory Helyek és szolgáltatások parancsra.
    2. A konzolfán bontsa ki a Helyek elemet, majd bontsa ki azt a helyet, amelyhez ez a tartományvezérlő tartozik.
    3. Bontsa ki a Kiszolgálók tárolót a kiszolgálók listájának megjelenítéséhez.
    4. Bontsa ki a tartományvezérlő kiszolgálóobjektumát.
    5. Kattintson a jobb gombbal az NTDS Gépház objektumra, majd kattintson az Új Active Directory tartományi szolgáltatások Csatlakozás ion parancsra...
    6. Válasszon ki egy kiszolgálót a listából, és kattintson az OK gombra.
    Árva tartományok eltávolítása az Active Directoryból.
    A kimenő replikáció le van tiltva A letiltott kimenő replikációval rendelkező tartományvezérlők nem fogják tudni terjeszteni a saját maguktól származó módosításokat. Ha engedélyezni szeretné a kimenő replikációt az érintett tartományvezérlőn, kövesse az alábbi lépéseket: Kattintson a Start gombra, kattintson a Futtatás parancsra, írja be a parancsot, majd kattintson az OK gombra. Írja be a következő szöveget, majd nyomja le az ENTER billentyűt:
    repadmin /options -DISABLE_OUTBOUND_REPL
    A bejövő replikáció le van tiltva A letiltott bejövő replikációval rendelkező számítógépek nem rendelkeznek a legújabb információkkal. Ez a feltétel bejelentkezési hibákhoz vezethet. Ha engedélyezni szeretné a bejövő replikációt az érintett tartományvezérlőn, kövesse az alábbi lépéseket: Kattintson a Start gombra, kattintson a Futtatás parancsra, írja be a parancsot, majd kattintson az OK gombra. Írja be a következő szöveget, majd nyomja le az ENTER billentyűt:
    repadmin /options -DISABLE_INBOUND_REPL
    A LanmanServer szolgáltatás nem fut Ha a szolgáltatás le van tiltva, a tőle explicit módon függő szolgáltatások nem fognak elindulni. Futtassa a "net start LanManServer" parancsot az érintett tartományvezérlőn.
    A Kerberos Key Distribution Center szolgáltatás nem fut Ha a KDC szolgáltatás leáll, a felhasználók nem fognak tudni ezen a tartományvezérlőn keresztül hitelesítést végrehajtani a Kerberos v5 hitelesítési protokoll használatával. Futtassa a "net start kdc" parancsot az érintett tartományvezérlőn.
    A DNS-szolgáltatás nem fut Ha a DNS-szolgáltatás leáll, a kiszolgálót DNS-ként használó számítógépek és felhasználók nem találnak erőforrásokat. Futtassa a "net start dns" parancsot az érintett tartományvezérlőn.
    A DC usn-visszaállítást kapott Az USN-visszaállítások során az objektumok és attribútumok módosításait nem replikálják a cél tartományvezérlők, amelyek korábban már látták az USN-t. Mivel ezek a cél tartományvezérlők úgy vélik, hogy naprakészek, a címtárszolgáltatás eseménynaplóiban vagy a monitorozási és diagnosztikai eszközök nem jelentenek replikációs hibákat. Az USN-visszaállítás bármilyen partícióban befolyásolhatja az objektumok vagy attribútumok replikálását. A leggyakrabban megfigyelt mellékhatás az, hogy a visszaállítási tartományvezérlőn létrehozott felhasználói fiókok és számítógépfiókok nem léteznek egy vagy több replikációs partneren. Vagy a visszaállítási tartományvezérlőről származó jelszófrissítések nem léteznek replikációs partnereken. Az USN-visszaállításból való helyreállításnak két módszere van:

    Távolítsa el a tartományvezérlőt a tartományból az alábbi lépések végrehajtásával:

    1. Távolítsa el az Active Directoryt a tartományvezérlőről, hogy önálló kiszolgálóként kényszerítse. További információkért kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:
      332199 tartományvezérlők nem lefokoznak elegánsan, amikor az Active Directory telepítővarázslóval kényszeríti a lefokozást a Windows Server 2003-ban és a Windows 2000 Serverben.
    2. Állítsa le a lefokozott kiszolgálót.
    3. Egy kifogástalan állapotú tartományvezérlőn törölje a lefokozott tartományvezérlő metaadatait. További információkért kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:
      216498 Adatok eltávolítása az Active Directoryban sikertelen tartományvezérlő-lefokozás után
    4. Ha a helytelenül visszaállított tartományvezérlő üzemeltetési főszerepköröket üzemeltet, akkor ezeket a szerepköröket egy kifogástalan állapotú tartományvezérlőre továbbítja. További információkért kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:
      255504 FSMO-szerepkörök tartományvezérlőre való átvitele vagy lefoglalása Ntdsutil.exe használatával
    5. Indítsa újra a lefokozott kiszolgálót.
    6. Ha szükséges, telepítse újra az Active Directoryt a különálló kiszolgálóra.
    7. Ha a tartományvezérlő korábban globális katalógus volt, konfigurálja a tartományvezérlőt globális katalógusként. További információkért kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:
      313994 Globális katalógus létrehozása vagy áthelyezése Windows 2000 rendszerben
    8. Ha a tartományvezérlő korábban üzemeltetési főkiszolgálói szerepköröket üzemeltetett, a műveleti főkiszolgálói szerepköröket adja vissza a tartományvezérlőnek. További információkért kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:
      255504 A Ntdsutil.exe használata FSMO-szerepkörök átviteléhez vagy lefoglalásához egy tartományvezérlőre, visszaállítva a megfelelő biztonsági mentés rendszerállapotát.

    Értékelje ki, hogy léteznek-e érvényes rendszerállapot-biztonsági másolatok ehhez a tartományvezérlőhöz. Ha érvényes rendszerállapot-biztonsági mentés történt a visszaállított tartományvezérlő helytelen visszaállítása előtt, és a biztonsági mentés a tartományvezérlőn végrehajtott legutóbbi módosításokat tartalmazza, állítsa vissza a rendszerállapotot a legutóbbi biztonsági másolatból.

    A pillanatképet biztonsági mentés forrásaként is használhatja. Vagy beállíthatja, hogy az adatbázis új meghívási azonosítót adjon magának a jelen cikkben található "A virtuális tartományvezérlő VHD egy korábbi verziójának visszaállítása rendszerállapot-adatok biztonsági mentése nélkül" című szakaszával .

    Következő lépések