Bagikan melalui

Katalog Pemberitahuan Kesehatan Microsoft Entra Connect

  • Artikel

Layanan Microsoft Entra Connect Health mengirim pemberitahuan menunjukkan bahwa infrastruktur identitas Anda tidak sehat. Artikel ini menyertakan judul pemberitahuan, deskripsi, dan langkah-langkah perbaikan untuk setiap pemberitahuan.
Kesalahan, Peringatan, dan Peringatan awal adalah tiga tahap peringatan yang dihasilkan dari layanan Connect Health. Kami sangat menyarankan Anda mengambil tindakan segera terhadap pemberitahuan yang dipicu.
Pemberitahuan Microsoft Entra Connect Health diselesaikan dengan kondisi keberhasilan. Agen Microsoft Entra Connect Health mendeteksi dan melaporkan kondisi keberhasilan ke layanan secara berkala. Untuk beberapa pemberitahuan, supresi berbasis waktu. Dengan kata lain, jika kondisi kesalahan yang sama tidak diamati dalam waktu 72 jam dari pembuatan peringatan, peringatan akan otomatis diselesaikan.

Pemberitahuan Umum

Nama Peringatan Deskripsi Remediasi
Data layanan kesehatan tidak diperbarui Agen Kesehatan yang berjalan di satu atau beberapa server tidak tersambung ke Layanan Kesehatan dan Layanan Kesehatan tidak menerima data terbaru dari server ini. Data terakhir yang diproses oleh Dinas Kesehatan lebih lama dari 2 Jam. Pastikan bahwa agen kesehatan memiliki konektivitas keluar ke titik akhir layanan yang diperlukan. Baca Selengkapnya

Pemberitahuan untuk Microsoft Entra Connect (Sinkronisasi)

Nama Peringatan Deskripsi Remediasi
Layanan Sinkronisasi Microsoft Entra Connect tidak berjalan Layanan Microsoft Entra ID Sync Windows tidak berjalan atau tidak dapat dimulai. Akibatnya, objek tidak akan disinkronkan dengan ID Microsoft Entra. Memulai Layanan Sinkronisasi ID Microsoft Entra
  1. Klik Mulai, klik Jalankan, ketik Services.msc, lalu klik OK.
  2. Temukan layanan Sinkronisasi ID Microsoft Entra, lalu periksa apakah layanan dimulai. Jika layanan belum dimulai, klik kanan layanan tersebut, lalu klik Mulai.
Impor dari Microsoft Entra ID gagal Operasi impor dari Microsoft Entra Connector gagal. Untuk detail selengkapnya, selidiki kesalahan log aktivitas operasi ekspor.
Koneksi ke Microsoft Entra ID gagal karena kegagalan autentikasi Koneksi ke Microsoft Entra ID gagal karena kegagalan autentikasi. Akibatnya objek tidak akan disinkronkan dengan ID Microsoft Entra. Selidiki kesalahan log kejadian untuk detail lebih lanjut.
Ekspor ke Direktori Aktif gagal Operasi ekspor ke Konektor Direktori Aktif gagal. Selidiki kesalahan log kejadian operasi ekspor untuk detail lebih lanjut.
Mengimpor dari Direktori Aktif gagal Mengimpor dari Direktori Aktif gagal. Akibatnya, objek dari beberapa domain dari hutan ini mungkin tidak diimpor.
  • Memverifikasi konektivitas DC
  • Menjalankan ulang impor secara manual
  • Untuk detail selengkapnya, selidiki kesalahan log aktivitas operasi ekspor.
    		•
    Ekspor ke Microsoft Entra ID gagal Operasi ekspor ke Microsoft Entra Connector gagal. Akibatnya, beberapa objek mungkin tidak berhasil diekspor ke ID Microsoft Entra. Selidiki kesalahan log kejadian operasi ekspor untuk detail lebih lanjut.
    Detak jantung Sinkronisasi Hash Kata Sandi dilewati dalam 120 menit terakhir Sinkronisasi Hash Kata Sandi tidak tersambung dengan ID Microsoft Entra dalam 120 menit terakhir. Akibatnya, kata sandi tidak akan disinkronkan dengan ID Microsoft Entra. Mulai ulang Microsoft Entra ID Sync Services:
    Operasi sinkronisasi apa pun yang saat ini berjalan akan terganggu. Anda dapat memilih untuk melakukan langkah-langkah di bawah ini ketika tidak ada operasi sinkronisasi yang sedang berlangsung.
    1. Klik Mulai, klik Jalankan, ketik Services.msc, lalu klik OK.
    2. Temukan Microsoft Entra ID Sync, klik kanan, lalu klik Mulai Ulang.
    Penggunaan CPU Tinggi terdeteksi Persentase konsumsi CPU melewati ambang yang disarankan pada server ini.
  • Ini bisa menjadi lonjakan sementara dalam konsumsi CPU. Periksa tren penggunaan CPU dari bagian Pemantauan.
  • Periksa proses teratas yang mengonsumsi penggunaan CPU tertinggi di server.
    1. Anda dapat menggunakan Task Manager atau menjalankan Perintah PowerShell berikut:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Jika ada proses tak terduga yang menggunakan penggunaan CPU yang tinggi, hentikan proses menggunakan perintah PowerShell berikut:
      stop-process -ProcessName [nama proses]
  • Jika proses yang terlihat dalam daftar di atas adalah proses yang dimaksudkan yang berjalan di server dan konsumsi CPU terus-menerus mendekati ambang batas, pertimbangkan untuk mengevaluasi kembali persyaratan penyebaran server ini.
  • Sebagai opsi gagal-aman, Anda dapat mempertimbangkan untuk memulai ulang server.
    		•
    Konsumsi Memori Tinggi Terdeteksi Persentase konsumsi memori server berada di luar ambang yang disarankan pada server ini. Periksa proses teratas yang mengkonsumsi memori tertinggi di server. Anda dapat menggunakan Pengelola Tugas atau menjalankan Perintah PowerShell berikut ini:
    get-process | Urutkan-Objek -WS Turun | Select-Object -First 10
    Jika ada proses tak terduga yang menggunakan memori tinggi, hentikan proses menggunakan perintah PowerShell berikut:
    stop-process -ProcessName [nama proses]
  • Jika proses yang terlihat dalam daftar di atas adalah proses yang dimaksudkan yang berjalan di server, pertimbangkan untuk mengevaluasi kembali persyaratan penyebaran server ini.
  • Sebagai opsi gagal aman, Anda dapat mempertimbangkan untuk memulai ulang server.
    		•
    Sinkronisasi Hash Kata Sandi berhenti berfungsi Sinkronisasi Hash Kata Sandi berhenti berfungsi. Akibatnya kata sandi tidak akan disinkronkan dengan ID Microsoft Entra. Mulai ulang Microsoft Entra ID Sync Services:
    Operasi sinkronisasi apa pun yang saat ini berjalan akan terganggu. Anda dapat memilih untuk melakukan langkah-langkah di bawah ini ketika tidak ada operasi sinkronisasi yang sedang berlangsung.
    1. Klik Mulai, klik Jalankan, ketik Services.msc, lalu klik OK.
    2. Temukan Sinkronisasi ID Microsoft Entra, klik kanan, lalu klik Mulai Ulang.
    Ekspor ke ID Microsoft Entra Dihentikan. Ambang batas penghapusan tidak disengaja tercapai Operasi ekspor ke ID Microsoft Entra gagal. Ada lebih banyak objek yang akan dihapus daripada ambang batas yang dikonfigurasi. Akibatnya, tidak ada objek yang diekspor.
  • Jumlah objek ditandai untuk penghapusan lebih besar dari ambang batas yang ditetapkan. Pastikan hasil ini diinginkan.
  • Untuk memungkinkan ekspor berlanjut, lakukan langkah-langkah berikut:
    1. Nonaktifkan Ambang dengan menjalankan Disable-ADSyncExportDeletionThreshold
    2. Mulai Synchronization Service Manager
    3. Jalankan Ekspor pada Konektor dengan jenis = ID Microsoft Entra
    4. Setelah berhasil mengekspor objek, aktifkan Ambang dengan menjalankan: Enable-ADSyncExportDeletionThreshold
    		•

    Pemberitahuan Layanan Federasi Direktori Aktif

    Nama Peringatan Deskripsi Remediasi
    Permintaan Autentikasi Uji (Transaksi Sintetis) gagal mendapatkan token Permintaan autentikasi pengujian (Transaksi Sintetis) yang dimulai dari server ini gagal mendapatkan token setelah 5 kali dicoba. Ini mungkin disebabkan karena masalah jaringan sementara, ketersediaan AD DS Domain Controller atau server Layanan Federasi Direktori Aktif yang dikonfigurasi salah. Akibatnya, permintaan autentikasi yang diproses oleh layanan federasi mungkin gagal. Agen menggunakan konteks Akun Komputer Lokal untuk mendapatkan token dari Layanan Federasi. Pastikan bahwa langkah-langkah berikut diambil untuk memvalidasi kesehatan server.
    1. Validasi bahwa tidak ada peringatan tambahan yang belum terselesaikan untuk ini atau server Layanan Federasi Direktori Aktif lainnya di layanan Anda.
    2. Validasi bahwa kondisi ini bukan kegagalan sementara dengan masuk dengan pengguna uji dari halaman login Layanan Federasi Direktori Aktif yang tersedia di https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. https://testconnectivity.microsoft.com Buka dan pilih tab 'Office 365'. Lakukan 'Uji akses menyeluruh Office 365'.
    4. Verifikasi apakah nama Layanan Federasi Direktori Aktif Anda dapat diselesaikan dari server ini dengan menjalankan perintah berikut ini dari prompt perintah pada server ini. nslookup your_adfs_server_name

    Jika nama layanan tidak dapat diselesaikan, lihat bagian FAQ untuk instruksi menambahkan entri file HOST layanan LAYANAN Federasi Direktori Aktif Anda dengan alamat IP server ini. Ini akan memungkinkan modul transaksi sintetis yang berjalan di server ini untuk meminta token
    Server proksi tidak dapat menjangkau server federasi Server proksi Layanan Federasi Direktori Aktif ini tak bisa menghubungi layanan proksi Layanan Federasi Direktori Aktif. Akibatnya, permintaan autentikasi yang diproses oleh peladen ini akan gagal. Lakukan langkah-langkah berikut untuk memvalidasi konektivitas antara server ini dan Layanan Federasi Direktori Aktif.
    1. Pastikan bahwa firewall antara server ini dan Layanan Federasi Direktori Aktif dikonfigurasi secara akurat.
    2. Pastikan bahwa resolusi DNS untuk nama Layanan Federasi Direktori Aktif secara tepat menunjuk ke Layanan Federasi Direktori Aktif yang berada dalam jaringan perusahaan. Ini dapat dicapai melalui server DNS yang melayani server ini di jaringan sekitar atau melalui entri dalam file HOSTS untuk nama Layanan Federasi Direktori Aktif.
    3. Memvalidasi konektivitas jaringan dengan membuka browser di server ini dan mengakses titik akhir metadata federasi, yang berada di https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Sertifikat SSL akan kedaluwarsa Sertifikat TLS/SSL yang digunakan oleh server Federasi akan kedaluwarsa dalam waktu 90 hari. Setelah kedaluwarsa, permintaan apa pun yang memerlukan koneksi TLS yang valid akan gagal. Misalnya, untuk pelanggan Microsoft 365, klien email tidak akan dapat mengautentikasi. Perbarui sertifikat TLS/SSL pada setiap server Layanan Federasi Direktori Aktif.
    1. Dapatkan sertifikat TLS/SSL dengan persyaratan sebagai berikut.
      1. Penggunaan Kunci yang Ditingkatkan setidaknya Autentikasi Server.
      2. Subjek Sertifikat atau Nama Alternatif Subjek (SAN) berisi nama DNS Layanan Federasi atau wild card yang sesuai. Misalnya: sso.contoso.com atau *.contoso.com
    2. Pasang sertifikat TLS / SSL baru di setiap server di penyimpanan sertifikat mesin lokal.
    3. Memastikan bahwa Akun Layanan Federasi Direktori Aktif telah membaca akses ke Kunci Pribadi sertifikat

    Untuk Layanan Federasi Direktori Aktif 2.0 di Windows Server 2008R2:

    • Mengikat sertifikat TLS / SSL baru ke situs web di IIS, yang menjadi tuan rumah Layanan Federasi. Perhatikan bahwa Anda harus melakukan langkah ini pada setiap proksi Server Federasi dan Server Federasi.

    Untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2 dan versi yang lebih baru:

  • Lihat Mengelola Sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP
    • Layanan Layanan Federasi Direktori Aktif tidak berjalan di server Layanan Federasi Direktori Aktif (Layanan Windows) tidak berjalan pada server ini. Setiap permintaan yang ditargetkan ke server ini akan gagal. Untuk memulai Layanan Federasi Direktori Aktif (Layanan Windows):
    1. Log masuk ke server sebagai administrator.
    2. Buka services.msc
    3. Temukan "Layanan Federasi Direktori Aktif"
    4. Klik kanan dan pilih "Mulai"
    DNS untuk Layanan Federasi mungkin salah dikonfigurasi Server DNS dapat dikonfigurasi untuk menggunakan catatan CNAME untuk nama pertanian Layanan Federasi Direktori Aktif. Disarankan untuk menggunakan catatan A atau AAAA untuk Layanan Federasi Direktori Aktif agar Autentikasi Terintegrasi Windows dapat bekerja dengan lancar dalam jaringan perusahaan Anda. Pastikan bahwa jenis catatan DNS farm LAYANAN Federasi <Farm Name> Direktori Aktif bukan CNAME. Mengonfigurasinya menjadi catatan A atau AAAA.
    Pengauditan Layanan Federasi Direktori Aktif dinonaktifkan Pengauditan Layanan Federasi Direktori Aktif dinon-fungsikan untuk server ini. Bagian Penggunaan Layanan Federasi Direktori Aktif di portal tidak akan menyertakan data dari server ini. Jika Audit Layanan Federasi Direktori Aktif tidak diaktifkan, ikuti instruksi berikut:
    1. Berikan akun Layanan Federasi Direktori Aktif "Hasilkan audit keamanan" langsung di server Layanan Federasi Direktori Aktif.
    2. Buka kebijakan keamanan lokal di server gpedit.msc.
    3. Navigasi ke "Konfigurasi Komputer\Pengaturan Windows\Kebijakan Lokal\Penetapan Hak Pengguna"
    4. Tambahkan Akun Layanan Federasi Direktori Aktif agar memiliki hak "Hasilkan audit keamanan".
    5. Pada prompt perintah berikut, jalankan perintah ini:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Perbarui Properti Layanan Federasi untuk menyertakan Keberhasilan dan Audit Kegagalan.
    7. Di konsol Layanan Federasi Direktori Aktif, pilih "Edit Properti Layanan Federasi"
    8. Dari kotak dialog "Properti Layanan Federasi" pilih tab Peristiwa dan pilih "Audit Keberhasilan" dan "Audit Kegagalan"

    Setelah mengikuti langkah-langkah ini, Layanan Federasi Direktori Aktif akan terlihat dari Pemantau Peristiwa. Untuk melakukan pemeriksaan:

    1. Buka Pemantau Peristiwa/Log Windows/Keamanan.
    2. Pilih Filter Log Saat Ini dan pilih Audit Layanan Federasi Direktori Aktif dari turun bawah Sumber peristiwa. Untuk server Layanan Federasi Direktori Aktif aktif dengan audit Layanan Federasi Direktori Aktif diaktifkan, peristiwa harus terlihat untuk pemfilteran di atas.

    Jika Anda telah mengikuti instruksi ini sebelumnya, tetapi masih melihat pemberitahuan ini, ada kemungkinan bahwa Objek Kebijakan Grup menonaktifkan audit LAYANAN Federasi Direktori Aktif. Akar penyebabnya bisa menjadi salah satu hal berikut ini:

    1. Akun Layanan Federasi Direktori Aktif dihapus agar tidak memiliki hak untuk Menghasilkan Audit Keamanan.
    2. Skrip kustom dalam Objek Kebijakan Grup menonaktifkan keberhasilan dan audit kegagalan berdasarkan "Aplikasi yang Dihasilkan".
    3. Konfigurasi Layanan Federasi Direktori Aktif tidak diaktifkan untuk menghasilkan audit Keberhasilan/Kegagalan.
    Sertifikat Layanan Federasi Direktori Aktif SSL ditandatangani sendiri Saat ini Anda menggunakan sertifikat yang ditandatangani sendiri sebagai sertifikat TLS/SSL di pertanian Layanan Federasi Direktori Aktif Anda. Akibatnya, autentikasi klien email untuk Microsoft 365 akan gagal

    Perbarui sertifikat TLS/SSL pada setiap server Layanan Federasi Direktori Aktif.

    1. Dapatkan sertifikat TLS/SSL tepercaya publik dengan persyaratan berikut.
    2. Berkas pemasangan sertifikat memuat kunci privatnya.
    3. Penggunaan Kunci yang Ditingkatkan setidaknya Autentikasi Server.
    4. Subjek Sertifikat atau Nama Alternatif Subjek (SAN) berisi nama DNS Layanan Federasi atau wild card yang sesuai. Misalnya: sso.contoso.com atau *.contoso.com

    Pasang sertifikat TLS / SSL baru di setiap server di penyimpanan sertifikat mesin lokal.

      Memastikan bahwa Akun Layanan Federasi Direktori Aktif telah membaca akses ke Kunci Pribadi sertifikat.
      Untuk Layanan Federasi Direktori Aktif 2.0 di Windows Server 2008R2:
    1. Mengikat sertifikat TLS / SSL baru ke situs web di IIS, yang menjadi tuan rumah Layanan Federasi. Perhatikan bahwa Anda harus melakukan langkah ini pada setiap proksi Server Federasi dan Server Federasi.

      2. Untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2 atau versi yang lebih baru:
    2. Lihat Mengelola Sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP
    Kepercayaan antara server proksi dan server federasi tidak valid Kepercayaan antara proksi server federasi dan Layanan Federasi tidak dapat dibuat atau diperbarui. Perbarui Sertifikat Kepercayaan Proksi pada server proksi. Jalankan Kembali Wizard Konfigurasi Proksi.
    Proteksi Penguncian Ekstranet Dinonaktifkan untuk Layanan Federasi Direktori Aktif Fitur Perlindungan Penguncian Ekstranet diNONAKTIFKAN di Layanan Federasi Direktori Aktif Anda. Fitur ini melindungi pengguna Anda dari serangan kata sandi brute force dari internet dan mencegah serangan penolakan layanan terhadap pengguna Anda ketika kebijakan penguncian akun Direktori Aktif berlaku. Dengan fitur ini diaktifkan, jika jumlah upaya login ekstranet yang gagal untuk pengguna (upaya login yang dilakukan melalui server WAP dan AD FS) melebihi 'ExtranetLockoutThreshold' maka server AD FS akan berhenti memproses upaya login lebih lanjut untuk 'ExtranetObservationWindow' Kami sangat menyarankan Anda mengaktifkan fitur ini di server Layanan Federasi Direktori Aktif Anda. Jalankan perintah berikut untuk mengaktifkan Layanan Federasi Direktori Aktif Extranet Lockout Protection dengan nilai default.
    Set-AdfsProperties -EnableExtranetLockout $true

    Jika Anda memiliki kebijakan penguncian AD yang dikonfigurasi untuk pengguna Anda, pastikan bahwa properti 'ExtranetLockoutThreshold' diatur ke nilai di bawah ambang batas penguncian AD DS Anda. Ini memastikan bahwa permintaan yang telah melebihi ambang batas untuk AD FS dijatuhkan dan tidak pernah divalidasi terhadap server Layanan Federasi Direktori Aktif Anda.
    Nama Pokok Layanan (SPN) tidak valid untuk akun Layanan Federasi Direktori Aktif Nama Perwakilan Layanan akun Layanan Federasi tidak terdaftar atau tidak unik. Akibatnya, Autentikasi Terpadu Windows dari klien yang bergabung dengan domain mungkin tidak mulus. Gunakan [SETSPN -L ServiceAccountName] untuk mencantumkan Perwakilan Layanan.
    Gunakan [SETPN -X] untuk memeriksa duplikat Nama Utama Layanan.

    Jika SPN diduplikasi untuk akun Layanan Federasi Direktori Aktif, hapus SPN dari akun duplikat menggunakan [SETPN -d service/namehostname]

    Jika SPN tidak diatur, gunakan [SETSPN -s {Desired-SPN} {domain_name}{service_account}] untuk mengatur SPN yang diinginkan untuk Akun Layanan Federasi.
    Sertifikat Primary Layanan Federasi Direktori Aktif Token Decrypting akan kedaluwarsa Sertifikat Dekripsi Token Layanan Federasi Direktori Aktif Utama akan kedaluwarsa kurang dari 90 hari. Layanan Federasi Direktori Aktif tidak dapat mendekripsi token dari penyedia klaim tepercaya. Layanan Federasi Direktori Aktif tidak dapat mendekripsi cookie SSO terenkripsi. Pengguna akhir tidak akan dapat mengautentikasi untuk mengakses sumber daya. Jika Roll-over Sertifikat otomatis diaktifkan, Layanan Federasi Direktori Aktif mengelola Sertifikat Dekripsi Token.

    Jika Anda mengelola sertifikat secara manual, ikuti petunjuk di bawah ini. Dapatkan Sertifikat Dekripsi Token baru.

    1. Pastikan bahwa Penggunaan Kunci yang Ditingkatkan (EKU) mencakup "Encipherment Kunci"
    2. Subjek atau Nama Alternatif Subjek (SAN) tidak memiliki batasan apa pun.
    3. Perhatikan bahwa Mitra Server Federasi dan Penyedia Klaim Anda harus dapat merantai ke otoritas sertifikasi akar tepercaya saat memvalidasi sertifikat Dekripsi Token Anda.
    Putuskan bagaimana mitra Penyedia Klaim Anda akan mempercayai sertifikat Dekripsi Token yang baru
    1. Minta mitra untuk menarik Metadata Federasi setelah memperbarui sertifikat.
    2. Bagikan kunci publik sertifikat baru. (.cer file) dengan mitra. Di server Layanan Federasi Direktori Aktif mitra Penyedia Klaim, luncurkan Manajemen AD FS dari menu Alat Administratif. Di bawah Hubungan Kepercayaan/Kepercayaan Pihak yang Mengandalkan, pilih kepercayaan yang dibuat untuk Anda. Di bawah Properti/Enkripsi klik "Telusuri" untuk memilih sertifikat Dekripsi Token baru dan klik OK.
    Instal sertifikat di penyimpanan sertifikat lokal di setiap Server Federasi.
    • Pastikan bahwa file penginstalan sertifikat memiliki Kunci Pribadi sertifikat di setiap server.
    Pastikan bahwa akun layanan federasi memiliki akses ke kunci privat sertifikat baru. Tambahkan sertifikat baru ke Layanan Federasi Direktori Aktif.
    1. Meluncurkan Manajemen Layanan Federasi Direktori Aktif dari menu Alat Administratif
    2. Memperluas Layanan dan memilih Sertifikat
    3. Di panel Tindakan, klik Tambahkan Sertifikat Dekripsi Token Anda
    4. Anda akan disajikan dengan daftar sertifikat yang valid untuk Dekripsi Token. Jika Anda menemukan bahwa sertifikat baru Anda tidak disajikan dalam daftar, Anda perlu kembali dan memastikan bahwa sertifikat berada di penyimpanan pribadi komputer lokal dengan kunci privat yang terkait dan sertifikat memiliki Encipherment Kunci sebagai Penggunaan Kunci diperpanjang.
    5. Pilih sertifikat Token-Decrypting baru Anda dan klik OK.
    Pilih Sertifikat Penandatanganan Token baru Anda sebagai Utama.
    1. Dengan simpul Sertifikat dalam Manajemen Layanan Federasi Direktori Aktif dipilih, Anda sekarang akan melihat dua sertifikat yang tercantum di bawah Dekripsi Token: sertifikat yang lama dan baru.
    2. Pilih sertifikat Dekripsi Token baru Anda, klik kanan, dan pilih Atur sebagai utama.
    3. Biarkan sertifikat lama sebagai sekunder untuk tujuan roll-over. Anda harus berencana untuk menghapus sertifikat lama setelah Yakin tidak lagi diperlukan untuk roll-over, atau ketika sertifikat telah kedaluwarsa.
    Sertifikat Primary Layanan Federasi Direktori Aktif Token Dekripsi akan kedaluwarsa Sertifikat penandatanganan token Layanan Federasi Direktori Aktif akan kedaluwarsa dalam waktu 90 hari. Layanan Federasi Direktori Aktif tidak dapat mengeluarkan token yang ditandatangani saat sertifikat ini tidak valid. Dapatkan Sertifikat Penandatanganan Token baru.
    1. Pastikan bahwa Penggunaan Kunci yang Ditingkatkan (EKU) menyertakan "Tanda Tangan Digital"
    2. Nama Alternatif Subjek atau Subjek (SAN) tidak memiliki batasan apa pun.
    3. Perhatikan bahwa Server Federasi Anda, Server Federasi Mitra Sumber Daya Anda, dan server Aplikasi Pihak yang Mengandalkan harus dapat merantai ke otoritas sertifikat akar tepercaya saat memvalidasi sertifikat Penandatanganan Token Anda.
    Instal sertifikat di penyimpanan sertifikat lokal di setiap Server Federasi.
    • Pastikan bahwa file penginstalan sertifikat memiliki Kunci Pribadi sertifikat di setiap server.
    Pastikan bahwa Akun Layanan Federasi memiliki akses ke kunci privat sertifikat baru. Tambahkan sertifikat baru ke Layanan Federasi Direktori Aktif.
    1. Meluncurkan Manajemen Layanan Federasi Direktori Aktif dari menu Alat Administratif.
    2. Memperluas Layanan dan memilih Sertifikat
    3. Di panel Tindakan, klik Tambahkan Sertifikat Dekripsi Token...
    4. Anda akan disajikan dengan daftar sertifikat yang valid untuk Penandatanganan Token. Jika Anda menemukan bahwa sertifikat baru Anda tidak disajikan dalam daftar, Anda perlu kembali dan memastikan bahwa sertifikat berada di penyimpanan Pribadi komputer lokal dengan kunci privat yang terkait dan sertifikat memiliki KU Tanda Tangan Digital.
    5. Pilih sertifikat Dekripsi Token baru Anda dan klik OK
    Menginformasikan kepada semua Pihak yang Mengandalkan tentang perubahan Sertifikat Penandatanganan Token.
    1. Mengandalkan Pihak yang menggunakan metadata federasi Layanan Federasi Direktori Aktif, harus menarik Metadata Federasi baru untuk mulai menggunakan sertifikat baru.
    2. Mengandalkan Pihak yang TIDAK mengkonsumsi metadata federasi Layanan Federasi Direktori Aktif harus memperbarui kunci publik Sertifikat Penandatanganan Token yang baru secara manual. Bagikan file .cer dengan Pihak yang Mengandalkan.
      3. Tetapkan Sertifikat Penandatanganan Token baru sebagai Utama.
      1. Dengan simpul Sertifikat dalam Manajemen Layanan Federasi Direktori Aktif dipilih, Anda sekarang akan melihat dua sertifikat yang tercantum di bawah Penandatanganan Token: sertifikat yang lama dan baru.
      2. Pilih sertifikat Penandatanganan Token baru Anda, klik kanan, dan pilih Atur sebagai utama
      3. Biarkan sertifikat lama sebagai sekunder untuk tujuan roll-over. Anda harus berencana untuk menghapus sertifikat lama setelah Yakin tidak lagi diperlukan untuk rollover, atau ketika sertifikat telah kedaluwarsa. Perhatikan bahwa sesi SSO pengguna saat ini ditandatangani. Hubungan Kepercayaan Proksi Layanan Federasi Direktori Aktif saat ini menggunakan token yang ditandatangani dan dienkripsi menggunakan sertifikat lama.
    Sertifikat SSL Layanan Federasi Direktori Aktif tidak ditemukan di penyimpanan sertifikat lokal Sertifikat dengan cap jempol yang dikonfigurasi sebagai sertifikat TLS/SSL dalam database Layanan Federasi Direktori Aktif tidak ditemukan di penyimpanan sertifikat lokal. Akibatnya, permintaan autentikasi apa pun atas TLS akan gagal. Misalnya autentikasi klien email untuk Microsoft 365 akan gagal. Instal sertifikat dengan cap jempol yang dikonfigurasi di penyimpanan sertifikat lokal.
    Sertifikat SSL kedaluwarsa Sertifikat TLS/SSL untuk Layanan Federasi Direktori Aktif telah kedaluwarsa. Akibatnya, permintaan autentikasi apa pun yang memerlukan koneksi TLS yang valid akan gagal. Misalnya: autentikasi klien email tidak akan dapat mengautentikasi untuk Microsoft 365. Perbarui sertifikat TLS/SSL pada setiap server Layanan Federasi Direktori Aktif.
    1. Dapatkan sertifikat TLS/SSL dengan persyaratan sebagai berikut.
    2. Penggunaan Kunci yang Ditingkatkan setidaknya Autentikasi Server.
    3. Subjek Sertifikat atau Nama Alternatif Subjek (SAN) berisi nama DNS Layanan Federasi atau wild card yang sesuai. Misalnya: sso.contoso.com atau *.contoso.com
    4. Pasang sertifikat TLS / SSL baru di setiap server di penyimpanan sertifikat mesin lokal.
    5. Memastikan bahwa Akun Layanan Federasi Direktori Aktif telah membaca akses ke Kunci Pribadi sertifikat

    Untuk Layanan Federasi Direktori Aktif 2.0 di Windows Server 2008R2:

    • Mengikat sertifikat TLS / SSL baru ke situs web di IIS, yang menjadi tuan rumah Layanan Federasi. Perhatikan bahwa Anda harus melakukan langkah ini pada setiap proksi Server Federasi dan Server Federasi.

    Untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2 atau versi yang lebih baru: Lihat: Mengelola Sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP

    Titik akhir yang diperlukan untuk ID Microsoft Entra (untuk Microsoft 365) tidak diaktifkan Kumpulan titik akhir berikut yang diperlukan oleh Exchange Online Services, MICROSOFT Entra ID, dan Microsoft 365 tidak diaktifkan untuk layanan federasi:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Aktifkan titik akhir yang diperlukan untuk Microsoft Cloud Services pada layanan federasi Anda.
    Untuk Layanan Federasi Direktori Aktif di Windows Server 2012R2 atau versi yang lebih baru
  • Lihat: Mengelola Sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP

    • Server Federasi tak bisa tersambung ke Basis Data Konfigurasi Layanan Federasi Direktori Aktif Akun Layanan Federasi Direktori Aktif mengalami masalah saat menyambungkan ke database konfigurasi Layanan Federasi Direktori Aktif. Akibatnya, Layanan Federasi Direktori Aktif pada komputer ini mungkin tidak berfungsi seperti yang diharapkan.
  • Pastikan bahwa akun Layanan Federasi Direktori Aktif memiliki akses ke database konfigurasi.
  • Pastikan bahwa layanan Database Konfigurasi Layanan Federasi Direktori Aktif tersedia dan dapat dijangkau.
    • Pengikatan SSL yang diperlukan hilang atau tidak dikonfigurasi Pengikatan TLS yang diperlukan agar peladen federasi ini berhasil melakukan autentikasi salah dikonfigurasi. Akibatnya, Layanan Federasi Direktori Aktif tidak dapat memproses permintaan masuk apa pun. Windows Server 2012 R2
    Buka perintah admin yang ditingkatkan dan jalankan perintah berikut:
    1. Untuk melihat pengikatan TLS saat ini: Get-AdfsSslCertificate
    2. Untuk menambahkan pengikatan baru: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cc4444} certstorename=MY
    Sertifikat Penandatanganan Token Utama Layanan Federasi Direktori Aktif akan kedaluwarsa Sertifikat Penandatanganan Token Utama Layanan Federasi Direktori Aktif akan kedaluwarsa. Layanan Federasi Direktori Aktif tidak dapat mengeluarkan token yang ditandatangani saat sertifikat ini tidak valid. Jika rollover sertifikat otomatis diaktifkan, Layanan Federasi Direktori Aktif akan mengelola pembaruan Sertifikat Penandatanganan Token.

    Jika Anda mengelola sertifikat secara manual, ikuti petunjuk di bawah ini.

    1. Dapatkan Sertifikat Penandatanganan Token baru.
      1. Pastikan bahwa Penggunaan Kunci yang Ditingkatkan (EKU) menyertakan "Tanda Tangan Digital"
      2. Nama Alternatif Subjek atau Subjek (SAN) tidak memiliki batasan apa pun.
      3. Ingat bahwa Server Federasi Anda, Server Federasi Mitra Sumber Daya Anda, dan server Aplikasi Pihak yang Mengandalkan harus dapat merantai ke otoritas sertifikat akar tepercaya saat memvalidasi sertifikat Penandatanganan Token Anda.
    2. Instal sertifikat di penyimpanan sertifikat lokal di setiap Server Federasi.
      • Pastikan bahwa file penginstalan sertifikat memiliki Kunci Pribadi sertifikat di setiap server.
    3. Pastikan bahwa akun layanan federasi memiliki akses ke kunci privat sertifikat baru.
    4. Tambahkan sertifikat baru ke Layanan Federasi Direktori Aktif.
      1. Meluncurkan Manajemen Layanan Federasi Direktori Aktif dari menu Alat Administratif.
      2. Memperluas Layanan dan memilih Sertifikat
      3. Di panel Tindakan, klik Tambahkan Sertifikat Dekripsi Token...
      4. Anda akan disajikan dengan daftar sertifikat yang valid untuk Penandatanganan Token. Jika Anda menemukan bahwa sertifikat baru Anda tidak disajikan dalam daftar, Anda perlu kembali dan memastikan bahwa sertifikat berada di penyimpanan Pribadi komputer lokal dengan kunci privat yang terkait dan sertifikat memiliki KU Tanda Tangan Digital.
      5. Pilih sertifikat Dekripsi Token baru Anda dan klik OK
    5. Menginformasikan kepada semua Pihak yang Mengandalkan tentang perubahan Sertifikat Penandatanganan Token.
      1. Mengandalkan Pihak yang menggunakan metadata federasi Layanan Federasi Direktori Aktif, harus menarik Metadata Federasi baru untuk mulai menggunakan sertifikat baru.
      2. Mengandalkan Pihak yang TIDAK mengkonsumsi metadata federasi Layanan Federasi Direktori Aktif harus memperbarui kunci publik Sertifikat Penandatanganan Token yang baru secara manual. Bagikan file .cer dengan Pihak yang Mengandalkan.
    6. Tetapkan Sertifikat Penandatanganan Token baru sebagai Utama.
      1. Dengan simpul Sertifikat dalam Manajemen Layanan Federasi Direktori Aktif dipilih, Anda sekarang akan melihat dua sertifikat yang tercantum di bawah Penandatanganan Token: sertifikat yang lama dan baru.
      2. Pilih sertifikat Penandatanganan Token baru Anda, klik kanan, dan pilih Atur sebagai utama
      3. Biarkan sertifikat lama sebagai sekunder untuk tujuan roll-over. Anda harus berencana untuk menghapus sertifikat lama setelah Yakin tidak lagi diperlukan untuk rollover, atau ketika sertifikat telah kedaluwarsa. Ingat bahwa sesi SSO pengguna saat ini ditandatangani. Hubungan Kepercayaan Proksi Layanan Federasi Direktori Aktif saat ini menggunakan token yang ditandatangani dan dienkripsi menggunakan sertifikat lama.
    Server proksi menjatuhkan permintaan untuk kontrol kemacetan Server proksi ini saat ini menjatuhkan permintaan dari ekstranet karena latensi yang lebih tinggi dari normal antara server proksi ini dan server federasi. Akibatnya, bagian tertentu dari permintaan autentikasi yang diproses oleh server Layanan Federasi Direktori Aktif Proksi dapat gagal.
  • Verifikasi apakah latensi jaringan antara Server Proksi Federasi dan Server Federasi termasuk dalam rentang yang dapat diterima. Lihat Bagian Pemantauan untuk nilai tren "Latensi Permintaan Token." Latensi yang lebih besar dari [1500 ms] harus dianggap sebagai latensi tinggi. Jika latensi tinggi diamati, pastikan jaringan antara layanan federasi direktori aktif dan server Proksi Layanan Federasi Direktori Aktif tidak memiliki masalah konektivitas.
  • Pastikan Server Federasi tidak kelebihan beban dengan permintaan autentikasi. Bagian Pemantauan menyediakan tampilan yang sedang tren untuk Permintaan Token per detik, pemanfaatan CPU, dan konsumsi Memori.
  • Jika item di atas telah diverifikasi dan masalah ini masih terlihat, sesuaikan pengaturan penghindaran kemacetan pada masing-masing Server Proksi Federasi sesuai panduan dari tautan terkait.
    		•
    Akun Layanan Federasi Direktori Aktif ditolak akses ke salah satu kunci pribadi sertifikat. Akun layanan Layanan Federasi Direktori Aktif tidak memiliki akses ke kunci privat salah satu sertifikat LAYANAN Federasi Direktori Aktif di komputer ini. Pastikan bahwa akun Layanan Federasi Direktori Aktif disediakan akses ke sertifikat TLS, penandatanganan token, dan dekripsi token yang disimpan di penyimpanan sertifikat komputer lokal.
    1. Dari Baris Perintah ketik MMC.
    2. Buka File->Tambah/Hapus Snap-In
    3. Pilih Sertifikat dan klik Tambahkan. -> Pilih Akun Komputer dan klik Berikutnya. -> Pilih Komputer Lokal dan klik Selesai. Klik OK.

    Buka Sertifikat(Komputer Lokal)/Pribadi/Sertifikat.Untuk semua sertifikat yang digunakan oleh Layanan Federasi Direktori Aktif:
    1. Klik kanan sertifikat.
    2. Pilih Semua Tugas -> Kelola Kunci Privat.
    3. Pada Tab Keamanan di bawah Nama grup atau pengguna memastikan bahwa akun Layanan Federasi Direktori Aktif ada. Jika tidak, pilih Tambahkan dan tambahkan akun Layanan Federasi Direktori Aktif.
    4. Pilih akun layanan AD FS dan di bawah "Izin untuk <Nama Akun Layanan AD FS>" pastikan izin Baca diperbolehkan (tanda centang).
    Sertifikat SSL Layanan Federasi Direktori Aktif tidak memiliki kunci privat Sertifikat Layanan Federasi Direktori Aktif TLS/SSL diinstal tanpa kunci privat. Akibatnya permintaan autentikasi apa pun atas SSL akan gagal. Misalnya, autentikasi klien email untuk Microsoft 365 akan gagal. Perbarui sertifikat TLS/SSL pada setiap server Layanan Federasi Direktori Aktif.
    1. Dapatkan sertifikat TLS/SSL tepercaya publik dengan persyaratan berikut.
      1. Berkas pemasangan sertifikat memuat kunci privatnya.
      2. Penggunaan Kunci yang Ditingkatkan setidaknya Autentikasi Server.
      3. Subjek Sertifikat atau Nama Alternatif Subjek (SAN) berisi nama DNS Layanan Federasi atau wild card yang sesuai. Misalnya: sso.contoso.com atau *.contoso.com
    2. Pasang sertifikat TLS / SSL baru di setiap server di penyimpanan sertifikat mesin lokal.
    3. Memastikan bahwa Akun Layanan Federasi Direktori Aktif telah membaca akses ke Kunci Pribadi sertifikat

    Untuk Layanan Federasi Direktori Aktif 2.0 di Windows Server 2008R2:

    • Mengikat sertifikat TLS / SSL baru ke situs web di IIS, yang menjadi tuan rumah Layanan Federasi. Perhatikan bahwa Anda harus melakukan langkah ini pada setiap proksi Server Federasi dan Server Federasi.

    Untuk Layanan Federasi Direktori Aktif di Windows Server 2012 R2 atau versi yang lebih baru:

  • Lihat: Mengelola Sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP
    • Sertifikat Dekripsi Token Layanan Federasi Direktori Aktif Utama akan kedaluwarsa Sertifikat Dekripsi Token Layanan Federasi Direktori Aktif Utama akan kedaluwarsa. Layanan Federasi Direktori Aktif tidak dapat mendekripsi token dari penyedia klaim tepercaya. Layanan Federasi Direktori Aktif tidak dapat mendekripsi cookie SSO terenkripsi. Pengguna akhir tidak akan dapat mengautentikasi untuk mengakses sumber daya.

    Jika Roll-over Sertifikat otomatis diaktifkan, Layanan Federasi Direktori Aktif mengelola Sertifikat Dekripsi Token.

    Jika Anda mengelola sertifikat secara manual, ikuti petunjuk di bawah ini.

    1. Dapatkan Sertifikat Dekripsi Token baru.
      • Pastikan bahwa Enhanced Key Usage (EKU) menyertakan "Key Encipherment".
      • Subjek atau Nama Alternatif Subjek (SAN) tidak memiliki batasan apa pun.
      • Perhatikan bahwa Mitra Server Federasi dan Penyedia Klaim Anda harus dapat merantai ke otoritas sertifikasi akar tepercaya saat memvalidasi sertifikat Dekripsi Token Anda.
    2. Putuskan bagaimana mitra Penyedia Klaim Anda akan mempercayai sertifikat Dekripsi Token yang baru
      • Minta mitra untuk menarik Metadata Federasi setelah memperbarui sertifikat.
      • Bagikan kunci publik sertifikat baru. (.cer file) dengan mitra. Di server Layanan Federasi Direktori Aktif mitra Penyedia Klaim, luncurkan Manajemen AD FS dari menu Alat Administratif. Di bawah Hubungan Kepercayaan/Kepercayaan Pihak yang Mengandalkan, pilih kepercayaan yang dibuat untuk Anda. Di bawah Properti/Enkripsi klik "Telusuri" untuk memilih sertifikat Dekripsi Token baru dan klik OK.
    3. Instal sertifikat di penyimpanan sertifikat lokal di setiap Server Federasi.
      • Pastikan bahwa file penginstalan sertifikat memiliki Kunci Pribadi sertifikat di setiap server.
    4. Pastikan bahwa akun layanan federasi memiliki akses ke kunci pribadi sertifikat baru.
    5. Tambahkan sertifikat baru ke Layanan Federasi Direktori Aktif.
      • Meluncurkan Manajemen Layanan Federasi Direktori Aktif dari menu Alat Administratif
      • Memperluas Layanan dan memilih Sertifikat
      • Di panel Tindakan, klik Tambahkan Sertifikat Dekripsi Token Anda
      • Anda akan disajikan dengan daftar sertifikat yang valid untuk Dekripsi Token. Jika Anda menemukan bahwa sertifikat baru Anda tidak disajikan dalam daftar, Anda perlu kembali dan memastikan bahwa sertifikat berada di penyimpanan pribadi komputer lokal dengan kunci privat yang terkait dan sertifikat memiliki Encipherment Kunci sebagai Penggunaan Kunci diperpanjang.
      • Pilih sertifikat Token-Decrypting baru Anda dan klik OK.
    6. Pilih Sertifikat Penandatanganan Token baru Anda sebagai Utama.
      • Dengan simpul Sertifikat dalam Manajemen Layanan Federasi Direktori Aktif dipilih, Anda sekarang akan melihat dua sertifikat yang tercantum di bawah Dekripsi Token: sertifikat yang lama dan baru.
      • Pilih sertifikat Dekripsi Token baru Anda, klik kanan, dan pilih Atur sebagai utama.
      • Biarkan sertifikat lama sebagai sekunder untuk tujuan roll-over. Anda harus berencana untuk menghapus sertifikat lama setelah Yakin tidak lagi diperlukan untuk roll-over, atau ketika sertifikat telah kedaluwarsa.

    Pemberitahuan untuk AD DS

    Nama Peringatan Deskripsi Remediasi
    Pengendali domain tidak dapat dijangkau melalui ping LDAP Pengendali Domain tidak dapat dijangkau melalui Ping LDAP. Ini dapat disebabkan karena masalah jaringan atau masalah mesin. Akibatnya, Ping LDAP akan gagal.
  • Periksa daftar pemberitahuan untuk pemberitahuan terkait, seperti: Pengendali Domain tidak beriklan.
  • Pastikan Pengendali Domain yang terpengaruh memiliki ruang disk yang cukup. Kehabisan ruang akan menghentikan DC dari iklan itu sendiri sebagai server LDAP.
  • Mencoba menemukan PDC: Jalankan
    netdom kueri fsmo
    pada Pengendali Domain yang terpengaruh.
  • Pastikan jaringan fisik dikonfigurasi/tersambung dengan benar.
    • Kesalahan replikasi Direktori Aktif ditemui Pengendali domain ini mengalami masalah replikasi, yang dapat ditemukan dengan masuk ke Dasbor Status Replikasi. Kesalahan replikasi mungkin disebabkan oleh konfigurasi yang tidak tepat atau masalah terkait lainnya. Kesalahan replikasi yang tidak diobati dapat menyebabkan ketidakkonsistenan data. Lihat detail tambahan untuk nama sumber yang terpengaruh dan DC tujuan. Navigasi ke dasbor Status Replikasi dan cari kesalahan aktif pada DC yang terpengaruh. Klik pada kesalahan untuk membuka pisau dengan rincian lebih lanjut tentang cara memulihkan kesalahan tertentu.
    Pengendali domain tidak dapat menemukan PDC PDC tidak dapat dijangkau melalui pengendali domain ini. Ini akan menyebabkan log masuk pengguna yang terpengaruh, perubahan kebijakan grup yang tidak diterapkan, dan kegagalan sinkronisasi waktu sistem.
  • Periksa daftar pemberitahuan untuk pemberitahuan terkait yang dapat memengaruhi PDC Anda, seperti: Pengendali Domain bukan iklan.
  • Mencoba menemukan PDC: Jalankan
    netdom kueri fsmo
    pada Pengendali Domain yang terpengaruh.
  • Pastikan jaringan berfungsi dengan baik.
    • Pengendali domain tidak dapat menemukan server Katalog Global Server katalog global tidak dapat dijangkau dari pengendali domain ini. Ini akan mengakibatkan autentikasi gagal dicoba melalui Pengendali Domain ini. Periksa daftar pemberitahuan untuk Pengendali Domain apa pun bukan pemberitahuan iklan di mana server yang terkena dampak mungkin GC. Jika tidak ada pemberitahuan iklan, periksa catatan SRV untuk pengumpulan sampah. Anda dapat memeriksanya dengan menjalankan:
    nltest /dnsgetdc: [ForestName] /gc
    Ini harus mencantumkan iklan DC sebagai GC. Jika daftar kosong, periksa konfigurasi DNS untuk memastikan bahwa pengumpulan sampah telah mendaftarkan catatan SRV. DC dapat menemukannya di DNS.
    Untuk pemecahan masalah Katalog Global, lihat Iklan sebagai Server Katalog Global.
    Pengendali domain tidak dapat menjangkau berbagi sysvol lokal Sysvol berisi elemen penting dari Objek Kebijakan Grup dan skrip yang akan didistribusikan dalam DC domain. DC tidak akan mengiklankan dirinya sendiri karena Kebijakan DC dan Grup tidak akan diterapkan. Lihat Cara memecahkan masalah berbagi sysvol dan Netlogon yang hilang
    Waktu Pengendali Domain tidak sinkron Waktu pada Pengendali Domain ini berada di luar rentang Time Skew normal. Akibatnya, autentikasi Kerberos akan gagal.
  • Mulai ulang Layanan Waktu Windows: Jalankan
    net stop w32time
    kemudian
    net start w32time
    pada Pengendali Domain yang terpengaruh.
  • Waktu Sinkronisasi Ulang: Jalankan
    w32tm /resync
    pada Pengendali Domain yang terpengaruh.
    		•
    Pengendali domain tidak beriklan Pengendali domain ini tidak mengiklankan peran yang mampu dilakukannya dengan benar. Ini dapat disebabkan oleh masalah dengan replikasi, kesalahan konfigurasi DNS, layanan penting yang tidak berjalan, atau karena server tidak sepenuhnya diinisialisasi. Akibatnya, pengendali domain, anggota domain, dan perangkat lain tidak akan dapat menemukan pengendali domain ini. Selain itu, Pengendali Domain lainnya mungkin tidak dapat mereplikasi dari Pengendali Domain ini. Memeriksa daftar pemberitahuan untuk pemberitahuan terkait lainnya seperti: Replikasi rusak. Waktu pengendali domain tidak sinkron. Layanan Netlogon tidak berjalan. Layanan DFSR dan/atau NTFRS tidak berjalan. Mengidentifikasi dan memecahkan masalah DNS terkait: Masuk ke Pengendali Domain yang terpengaruh. Buka Log Kejadian Sistem. Jika peristiwa 5774, 5775 atau 5781 ada, lihat Pemecahan Masalah Pengendali Domain Locator DNS Records Kegagalan Pendaftaran Identifikasi dan memecahkan masalah terkait Masalah Layanan Waktu Windows: Pastikan layanan Windows Time berjalan: Jalankan'net start w32time'pada Pengendali Domain yang terpengaruh. Mulai ulang Windows Time Service:Jalankan 'net stop w32time'lalu'net start w32time'pada Pengendali Domain yang terpengaruh.
    Layanan GPSVC tidak berjalan Jika layanan dihentikan atau dinonaktifkan, pengaturan yang dikonfigurasi oleh admin tidak akan diterapkan dan aplikasi dan komponen tidak akan dapat dikelola melalui Kebijakan Grup. Komponen atau aplikasi apa pun yang bergantung pada komponen Kebijakan Grup mungkin tidak berfungsi jika layanan dinonaktifkan. Jalankan
    net start gpsvc
    pada Pengendali Domain yang terpengaruh.
    Layanan DFSR dan/atau NTFRS tidak berjalan Jika layanan DFSR dan NTFRS dihentikan, Pengendali Domain tidak akan dapat mereplikasi data sysvol. sysvol Data akan berada di luar konsistensi.
  • Jika menggunakan DFSR:
      Jalankan'net start dfsr'pada Pengendali Domain yang terpengaruh.
    1. Jika menggunakan NTFSR:
        Jalankan'net start ntfsr'pada Pengendali Domain yang terpengaruh.
    • Layanan Netlogon tidak berjalan Permintaan log masuk, pendaftaran, autentikasi, dan lokasi Pengendali Domain tidak akan tersedia pada DC ini. Jalankan 'net start netlogon' pada Pengendali Domain yang terpengaruh
    Layanan W32Time tidak berjalan Jika Layanan Windows Time dihentikan, sinkronisasi tanggal dan waktu tidak akan tersedia. Jika layanan ini dinonaktifkan, layanan apa pun yang secara eksplisit bergantung padanya akan gagal dimulai. Jalankan 'net start win32Time'pada Pengendali Domain yang terpengaruh
    Layanan ADWS tidak berjalan Jika layanan Layanan Web Direktori Aktif dihentikan atau dinonaktifkan, aplikasi klien, seperti Active Directory PowerShell, tidak akan dapat mengakses atau mengelola instans layanan direktori apa pun yang berjalan secara lokal di server ini. Jalankan 'net start adws' pada Pengendali Domain yang terpengaruh
    PDC Root tidak Disinkronkan dari Server NTP Jika Anda tidak mengonfigurasikan PDC untuk menyinkronkan waktu dari sumber waktu eksternal atau internal, emulator PDC menggunakan jam internalnya dan merupakan sumber waktu yang dapat diandalkan untuk hutan. Jika waktu tidak akurat pada PDC itu sendiri, semua komputer akan memiliki pengaturan waktu yang salah. Pada Pengendali Domain yang terpengaruh, buka prompt perintah. Hentikan layanan Waktu: net stop w32time
  • Konfigurasikan sumber waktu eksternal:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Catatan: Ganti time.windows.com dengan alamat sumber waktu eksternal yang diinginkan. Mulai layanan Waktu:
    net start w32time
    • Pengendali Domain dikarantina Pengendali Domain ini tidak tersambung ke Pengendali Domain lain yang berfungsi. Ini mungkin disebabkan karena konfigurasi yang tidak tepat. Akibatnya, DC ini tidak digunakan dan tidak akan mereplikasi dari/ke siapa pun. Aktifkan replikasi masuk dan keluar: Jalankan 'repadmin /options ServerName -DISABLE_INBOUND_REPL' pada Pengendali Domain yang terpengaruh. Jalankan 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' pada Pengendali Domain yang terpengaruh. Membuat sambungan replikasi baru ke Pengendali Domain lain:
    1. Buka Situs dan Layanan Direktori Aktif: Menu Mulai, arahkan ke Alat Administratif, lalu klik Situs dan Layanan Direktori Aktif.
    2. Di pohon konsol, perluas Situs, lalu perluas situs, milik DC ini.
    3. Perluas kontainer Server untuk menampilkan daftar server.
    4. Perluas objek server untuk DC ini.
    5. Klik kanan objek Pengaturan NTDS, dan klik Koneksi Layanan Domain Direktori Aktif Baru...
    6. Pilih Server dari daftar, dan klik Ok.
    Cara menghapus domain tanpa sumber dari Direktori Aktif.
    Replikasi Keluar Dinon-fungsikan DC dengan Replikasi Keluar yang dinonaktifkan tidak akan dapat mendistribusikan perubahan apa pun yang berasal dari dalam dirinya sendiri. Untuk mengaktifkan replikasi keluar pada Pengendali Domain yang terpengaruh, ikuti langkah-langkah ini: Klik Mulai, klik Jalankan, ketik cmd lalu klik OK. Ketik teks berikut, lalu tekan ENTER:
    repadmin /opsi -DISABLE_OUTBOUND_REPL
    Replikas Masuk Dinon-fungsikan DC dengan Replikasi Masuk yang dinonaktifkan tidak akan memiliki informasi terbaru. Kondisi ini dapat menyebabkan kegagalan log masuk. Untuk mengaktifkan replikasi masuk pada Pengendali Domain yang terpengaruh, ikuti langkah-langkah ini: Klik Mulai, klik Jalankan, ketik cmd lalu klik OK. Ketik teks berikut, lalu tekan ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    Layanan LanmanServer tidak berjalan Jika layanan ini dinonaktifkan, layanan apa pun yang secara eksplisit bergantung padanya akan gagal dimulai. Jalankan 'net start LanmanServer' pada Pengendali Domain yang terpengaruh.
    Layanan Pusat Distribusi Kunci Kerberos tidak berjalan Jika Layanan KDC dihentikan, pengguna tidak akan dapat mengautentikasi melalui DC ini menggunakan protokol autentikasi Kerberos v5. Jalankan 'net start kdc' pada Pengendali Domain yang terpengaruh.
    Layanan DNS tidak berjalan Jika DNS Service dihentikan, komputer dan pengguna yang menggunakan server tersebut untuk tujuan DNS akan gagal menemukan sumber daya. Jalankan 'net start dns' pada Pengendali Domain yang terpengaruh.
    DC mengalami Putar Kembali USN Ketika pembatalan USN terjadi, modifikasi pada objek dan atribut tidak masuk direplikasi oleh pengontrol domain tujuan yang sebelumnya telah melihat USN. Karena Pengendali Domain tujuan ini percaya bahwa mereka sudah diperbarui, tidak ada kesalahan replikasi yang dilaporkan dalam log peristiwa Layanan Direktori atau dengan memantau dan alat diagnostik. Putar kembali USN dapat memengaruhi replikasi objek atau atribut apa pun dalam partisi apa pun. Efek samping yang paling sering diamati adalah bahwa akun pengguna dan akun komputer yang dibuat pada Pengendali Domain pembatalan tidak ada pada satu atau beberapa mitra replikasi. Atau, pembaruan kata sandi yang berasal dari Pengendali Domain putar kembali tidak ada pada mitra replikasi. Ada dua pendekatan untuk pulih dari pembatalan USN:

    Hapus Pengendali Domain dari domain, ikuti langkah-langkah berikut:

    1. Hapus Direktori Aktif dari Pengendali Domain untuk memaksanya menjadi server yang berdiri sendiri. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      332199 Pengendali Domain tidak diturunkan dengan anggun ketika Anda menggunakan Panduan Penginstalan Direktori Aktif untuk memaksa penurunan pangkat di Windows Server 2003 dan di Windows 2000 Server.
    2. Matikan server yang diturunkan.
    3. Pada Pengendali Domain yang sehat, bersihkan metadata Pengendali Domain yang diturunkan. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      216498 Cara menghapus data di Direktori Aktif setelah penurunan pangkat Pengendali Domain yang gagal
    4. Jika Pengendali Domain yang dipulihkan salah menghosting peran master operasi, transfer peran ini ke Pengendali Domain yang sehat. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      255504 Menggunakan Ntdsutil.exe untuk mentransfer atau merebut peran FSMO ke Pengendali Domain
    5. Mulai ulang server yang diturunkan.
    6. Jika Anda diharuskan, instal Direktori Aktif di server mandiri lagi.
    7. Jika pengendali domain sebelumnya adalah katalog global, konfigurasikan pengendali domain untuk menjadi katalog global. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      313994 Cara membuat atau memindahkan katalog global di Windows 2000
    8. Jika Pengendali Domain sebelumnya menghosting peran master operasi, transfer peran master operasi kembali ke Pengendali Domain. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
      255504 Menggunakan Ntdsutil.exe untuk mentransfer atau merebut peran FSMO ke pengendali domain pulihkan status sistem cadangan yang baik.

    Mengevaluasi apakah cadangan status sistem yang sahih ada untuk pengendali domain ini. Jika cadangan status sistem yang valid dibuat sebelum kontroler domain yang digulirkan-kembali salah dipulihkan, dan cadangan berisi perubahan terbaru yang dibuat pada pengendali domain, pulihkan status sistem dari cadangan terbaru.

    Anda juga dapat menggunakan rekam jejak sebagai sumber cadangan. Atau Anda dapat mengatur database untuk memberi dirinya ID pemanggilan baru menggunakan prosedur di bagian "Untuk memulihkan versi sebelumnya dari Pengendali Domain virtual VHD tanpa cadangan data status sistem" dalam artikel ini

    Langkah berikutnya