Katalog alertów usługi Microsoft Entra Połączenie Health

  • Artykuł

Usługa Microsoft Entra Połączenie Health wysyła alerty wskazujące, że infrastruktura tożsamości nie jest w dobrej kondycji. Ten artykuł zawiera tytuły alertów, opisy i kroki korygowania dla każdego alertu.
Błędy, Ostrzeżenie i Wstępnewarowanie to trzy etapy alertów generowanych na podstawie usługi Połączenie Health. Zdecydowanie zalecamy natychmiastowe wykonywanie akcji dotyczących wyzwolonych alertów.
Alerty usługi Microsoft Entra Połączenie Health są rozwiązywane w warunku powodzenia. Firma Microsoft Entra Połączenie Health Agents wykrywa i okresowo zgłasza warunki powodzenia w usłudze. W przypadku kilku alertów pomijanie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.

Ogólne Alerty

Nazwa alertu opis Korekty
Dane usługi kondycji nie są aktualne Agenty kondycji uruchomione na co najmniej jednym serwerze nie są połączone z Usługa kondycji, a Usługa kondycji nie odbiera najnowszych danych z tego serwera. Ostatnie dane przetwarzane przez Usługa kondycji są starsze niż 2 godziny. Upewnij się, że agenci kondycji mają łączność wychodzącą z wymaganymi punktami końcowymi usługi. Przeczytaj więcej

Alerty dotyczące Połączenie firmy Microsoft (synchronizacja)

Nazwa alertu opis Korekty
Usługa microsoft Entra Połączenie Sync nie jest uruchomiona Usługa Microsoft Entra ID Sync systemu Windows nie jest uruchomiona lub nie można jej uruchomić. W związku z tym obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchamianie usług synchronizacji identyfikatorów entra firmy Microsoft
  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz Services.msc, a następnie kliknij przycisk OK.
  2. Znajdź usługę Microsoft Entra ID Sync, a następnie sprawdź, czy usługa została uruchomiona. Jeśli usługa nie została uruchomiona, kliknij ją prawym przyciskiem myszy, a następnie kliknij przycisk Start.
Importowanie z usługi Microsoft Entra ID nie powiodło się Operacja importowania z usługi Microsoft Entra Connector nie powiodła się. Sprawdź błędy w dzienniku zdarzeń operacji importowania, aby uzyskać więcej szczegółów.
Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania. W rezultacie obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Sprawdź błędy dziennika zdarzeń, aby uzyskać więcej szczegółów.
Niepowodzenie eksportowania do usługi Active Directory Operacja eksportowania do łącznika usługi Active Directory nie powiodła się. Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów.
Importowanie z usługi Active Directory nie powiodło się Importowanie z usługi Active Directory nie powiodło się. W związku z tym obiekty z niektórych domen z tego lasu mogą nie być importowane.
  • Weryfikowanie łączności kontrolera domeny
  • Ręczne ponowne uruchamianie importu
  • Aby uzyskać więcej szczegółów, zbadaj błędy dziennika zdarzeń operacji importowania.
    		•
    Eksportowanie do usługi Microsoft Entra ID nie powiodło się Operacja eksportowania do usługi Microsoft Entra Połączenie or nie powiodła się. W związku z tym niektóre obiekty mogą nie zostać pomyślnie wyeksportowane do identyfikatora Entra firmy Microsoft. Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów.
    Puls synchronizacji skrótów haseł został pominięty w ciągu ostatnich 120 minut Synchronizacja skrótów haseł nie nawiązała połączenia z identyfikatorem Entra firmy Microsoft w ciągu ostatnich 120 minut. W związku z tym hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft:
    Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz Services.msc, a następnie kliknij przycisk OK.
    2. Znajdź usługę Microsoft Entra ID Sync, kliknij ją prawym przyciskiem myszy, a następnie kliknij przycisk Uruchom ponownie.
    Wykryto wysokie użycie procesora CPU Procent użycia procesora CPU przekroczył zalecany próg na tym serwerze.
  • Może to być tymczasowy wzrost użycia procesora CPU. Sprawdź trend użycia procesora CPU w sekcji Monitorowanie.
  • Sprawdź najważniejsze procesy korzystające z najwyższego użycia procesora CPU na serwerze.
    1. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Jeśli istnieją nieoczekiwane procesy zużywające wysokie użycie procesora CPU, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell:
      stop-process -ProcessName [nazwa procesu]
  • Jeśli procesy widoczne na powyższej liście są zamierzonymi procesami uruchomionymi na serwerze, a użycie procesora CPU jest stale zbliżone do progu, rozważ ponowne oszacowanie wymagań dotyczących wdrażania tego serwera.
  • W przypadku opcji bezpiecznej dla awarii możesz rozważyć ponowne uruchomienie serwera.
    		•
    Wykryto wysokie użycie pamięci Procent użycia pamięci serwera przekracza zalecany próg na tym serwerze. Sprawdź najważniejsze procesy zużywające najwyższą pamięć na serwerze. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Jeśli istnieją nieoczekiwane procesy zużywające wysoką pamięć, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell:
    stop-process -ProcessName [nazwa procesu]
  • Jeśli procesy widoczne na powyższej liście są zamierzonymi procesami uruchomionymi na serwerze, rozważ ponowne oszacowanie wymagań dotyczących wdrażania tego serwera.
  • W przypadku opcji failsafe można rozważyć ponowne uruchomienie serwera.
    		•
    Synchronizacja skrótów haseł przestała działać Synchronizacja skrótów haseł została zatrzymana. W rezultacie hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft:
    Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz Services.msc, a następnie kliknij przycisk OK.
    2. Znajdź usługę Microsoft Entra ID Sync, kliknij ją prawym przyciskiem myszy, a następnie kliknij polecenie Uruchom ponownie.
    Eksportowanie do identyfikatora Entra firmy Microsoft zostało zatrzymane. Osiągnięto próg przypadkowego usunięcia Operacja eksportowania do identyfikatora Entra firmy Microsoft nie powiodła się. Było więcej obiektów do usunięcia niż skonfigurowany próg. W rezultacie nie wyeksportowano żadnych obiektów.
  • Liczba obiektów oznaczonych do usunięcia jest większa niż ustawiony próg. Upewnij się, że ten wynik jest pożądany.
  • Aby zezwolić na kontynuowanie eksportowania, wykonaj następujące kroki:
    1. Wyłącz próg, uruchamiając polecenie Disable-ADSyncExportDeletionThreshold
    2. Uruchamianie programu Synchronization Service Manager
    3. Uruchamianie eksportu na Połączenie or z typem = Microsoft Entra ID
    4. Po pomyślnym wyeksportowaniu obiektów włącz opcję Próg, uruchamiając polecenie Enable-ADSyncExportDeletionThreshold
    		•

    Alerty dotyczące usług Active Directory Federation Services

    Nazwa alertu opis Korekty
    Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu Żądania uwierzytelniania testowego (transakcje syntetyczne) zainicjowane na tym serwerze nie mogą uzyskać tokenu po 5 ponownych próbach. Może to być spowodowane przejściowymi problemami z siecią, dostępnością kontrolera domeny usług AD DS lub nieprawidłowo skonfigurowanym serwerem usług AD FS. W związku z tym żądania uwierzytelniania przetwarzane przez usługę federacyjną mogą zakończyć się niepowodzeniem. Agent używa kontekstu konta komputera lokalnego do uzyskania tokenu z usługi federacyjnej. Upewnij się, że wykonano następujące kroki w celu zweryfikowania kondycji serwera.
    1. Sprawdź, czy nie ma żadnych dodatkowych nierozwiązanych alertów dla tych lub innych serwerów usług AD FS w farmie.
    2. Sprawdź, czy ten warunek nie jest błędem przejściowym, logując się przy użyciu użytkownika testowego ze strony logowania usług AD FS dostępnej pod adresem https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Przejdź do https://testconnectivity.microsoft.com strony i wybierz kartę "Office 365". Wykonaj test logowania jednokrotnego usługi Office 365.
    4. Sprawdź, czy nazwę usługi AD FS można rozpoznać z tego serwera, wykonując następujące polecenie z wiersza polecenia na tym serwerze. your_adfs_server_name nslookup

    Jeśli nie można rozpoznać nazwy usługi, zapoznaj się z sekcją Często zadawane pytania, aby uzyskać instrukcje dotyczące dodawania wpisu pliku HOSTA usługi AD FS z adresem IP tego serwera. Umożliwi to syntetyczny moduł transakcji uruchomiony na tym serwerze w celu zażądania tokenu
    Serwer proxy nie może nawiązać połączenia z serwerem federacyjnym Ten serwer proxy usług AD FS nie może skontaktować się z usługą AD FS. W związku z tym żądania uwierzytelniania przetworzone przez ten serwer nie powiedzą się. Wykonaj następujące kroki, aby zweryfikować łączność między tym serwerem a usługą AD FS.
    1. Upewnij się, że zapora między tym serwerem a usługą AD FS została prawidłowo skonfigurowana.
    2. Upewnij się, że rozpoznawanie nazw usług AD FS dla usługi AD FS odpowiednio wskazuje usługę AD FS, która znajduje się w sieci firmowej. Można to osiągnąć za pośrednictwem serwera DNS, który obsługuje ten serwer w sieci obwodowej lub za pośrednictwem wpisów w plikach HOSTS dla nazwy usługi AD FS.
    3. Zweryfikuj łączność sieciową, otwierając przeglądarkę na tym serwerze i korzystając z punktu końcowego metadanych federacji, który znajduje się w lokalizacji https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Certyfikat SSL wkrótce wygaśnie Certyfikat TLS/SSL używany przez serwery federacyjne wkrótce wygaśnie w ciągu 90 dni. Po wygaśnięciu wszystkie żądania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład w przypadku klientów platformy Microsoft 365 klienci poczty nie będą mogli się uwierzytelniać. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj certyfikat TLS/SSL z następującymi wymaganiami.
      1. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
      2. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    2. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    3. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 i nowszych wersjach:

  • Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    • Usługa AD FS nie jest uruchomiona na serwerze Usługa federacyjna Active Directory (usługa systemu Windows) nie jest uruchomiona na tym serwerze. Wszystkie żądania kierowane do tego serwera nie powiedzą się. Aby uruchomić usługę federacyjną Active Directory (usługa systemu Windows):
    1. Zaloguj się na serwerze jako administrator.
    2. Otwórz plik services.msc
    3. Znajdź "Active Directory Federation Services"
    4. Kliknij prawym przyciskiem myszy i wybierz pozycję "Uruchom"
    System DNS dla usługi federacyjnej może być nieprawidłowo skonfigurowany Serwer DNS można skonfigurować tak, aby używał rekordu CNAME dla nazwy farmy usług AD FS. Zaleca się używanie rekordu A lub AAAA dla usług AD FS w celu bezproblemowego działania zintegrowanego uwierzytelniania systemu Windows w sieci firmowej. Upewnij się, że typ rekordu DNS farmy <Farm Name> usług AD FS nie jest CNAME. Skonfiguruj go tak, aby był rekordem A lub AAAA.
    Inspekcja usług AD FS jest wyłączona Inspekcja usług AD FS jest wyłączona dla serwera. Sekcja Użycie usług AD FS w portalu nie będzie zawierać danych z tego serwera. Jeśli inspekcje usług AD FS nie są włączone, wykonaj następujące instrukcje:
    1. Udziel kontu usług AD FS "Generowanie inspekcji zabezpieczeń" bezpośrednio na serwerze usług AD FS.
    2. Otwórz lokalne zasady zabezpieczeń na serwerze gpedit.msc.
    3. Przejdź do pozycji "Konfiguracja komputera\Windows Ustawienia\Zasady lokalne\Przypisanie praw użytkownika"
    4. Dodaj konto usługi AD FS, aby mieć prawo "Generowanie inspekcji zabezpieczeń".
    5. Uruchom następujące polecenie w wierszu polecenia:
      auditpol.exe /set /subcategory:"Wygenerowana aplikacja" /failure:enable /success:enable
    6. Zaktualizuj właściwości usługi federacyjnej, aby uwzględnić inspekcje sukcesów i niepowodzeń.
    7. W konsoli usług AD FS wybierz pozycję "Edytuj właściwości usługi federacyjnej"
    8. W oknie dialogowym "Właściwości usługi federacyjnej" wybierz kartę Zdarzenia i wybierz pozycję "Inspekcje powodzenia" i "Inspekcje niepowodzeń"

    Po wykonaniu tych kroków zdarzenia inspekcji usług AD FS powinny być widoczne z Podgląd zdarzeń. Aby to sprawdzić:

    1. Przejdź do pozycji Podgląd zdarzeń/ Dzienniki systemu Windows /Zabezpieczenia.
    2. Wybierz pozycję Filtruj bieżące dzienniki i wybierz pozycję Inspekcja usług AD FS z listy rozwijanej Źródła zdarzeń. W przypadku aktywnego serwera usług AD FS z włączonym inspekcją usług AD FS zdarzenia powinny być widoczne dla powyższego filtrowania.

    Jeśli wcześniej wykonano te instrukcje, ale nadal widzisz ten alert, możliwe, że obiekt zasad grupy wyłącza inspekcję usług AD FS. Główną przyczyną może być jedna z następujących przyczyn:

    1. Konto usług AD FS jest usuwane z prawa do generowania inspekcji zabezpieczeń.
    2. Skrypt niestandardowy w obiekcie zasad grupy wyłącza inspekcje powodzenia i niepowodzeń na podstawie "Wygenerowano aplikację".
    3. Konfiguracja usług AD FS nie jest włączona do generowania inspekcji powodzenia/niepowodzenia.
    Certyfikat SSL usług AD FS jest z podpisem własnym Obecnie używasz certyfikatu z podpisem własnym jako certyfikatu TLS/SSL w farmie usług AD FS. W związku z tym uwierzytelnianie klienta poczty dla platformy Microsoft 365 zakończy się niepowodzeniem

    Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.

    1. Uzyskaj publicznie zaufany certyfikat TLS/SSL z następującymi wymaganiami.
    2. Plik instalacyjny certyfikatu zawiera jego klucz prywatny.
    3. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
    4. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com

    Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.

      Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu.
      W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
    1. Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

      2. W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach:
    2. Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    Relacja zaufania między serwerem proxy a serwerem federacyjnym jest nieprawidłowa Nie można ustanowić ani odnowić relacji zaufania między serwerem proxy usługi federacyjnej a usługą federacyjną. Zaktualizuj certyfikat zaufania serwera proxy na serwerze proxy. Uruchom ponownie Kreatora konfiguracji serwera proxy.
    Wyłączono ochronę blokady ekstranetu dla usług AD FS Funkcja ochrony blokady ekstranetu jest wyłączona w farmie usług AD FS. Ta funkcja chroni użytkowników przed atakami siłowymi na hasła przed Internetem i uniemożliwia atakom typu "odmowa usługi" na użytkowników, gdy zasady blokady konta usług AD DS obowiązują. Po włączeniu tej funkcji, jeśli liczba nieudanych prób logowania ekstranetu dla użytkownika (próby logowania dokonane za pośrednictwem serwera WAP i usług AD FS) przekraczają wartość "ExtranetLockoutThreshold", serwery usług AD FS przestaną przetwarzać dalsze próby logowania dla "EkstranetObservationWindow" Zdecydowanie zalecamy włączenie tej funkcji na serwerach usług AD FS. Uruchom następujące polecenie, aby włączyć ochronę przed blokadą ekstranetu usług AD FS z wartościami domyślnymi.
    Set-AdfsProperties -EnableExtranetLockout $true

    Jeśli masz skonfigurowane zasady blokady usługi AD dla użytkowników, upewnij się, że właściwość "ExtranetLockoutThreshold" jest ustawiona na wartość poniżej progu blokady usług AD DS. Dzięki temu żądania, które przekroczyły próg usług AD FS, są odrzucane i nigdy nie są weryfikowane względem serwerów usług AD DS.
    Nieprawidłowa nazwa główna usługi (SPN) dla konta usługi AD FS Główna nazwa usługi konta usługi federacyjnej nie jest zarejestrowana lub nie jest unikatowa. W związku z tym zintegrowane uwierzytelnianie systemu Windows z klientów przyłączonych do domeny może nie być bezproblemowe. Użyj polecenia [SETSPN -L ServiceAccountName], aby wyświetlić listę jednostek usługi.
    Użyj polecenia [SETSPN -X], aby sprawdzić zduplikowane nazwy główne usługi.

    Jeśli nazwa SPN jest duplikowana dla konta usługi AD FS, usuń nazwę SPN z zduplikowanego konta przy użyciu polecenia [SETSPN -d service/namehostname]

    Jeśli nie ustawiono nazwy SPN, użyj nazwy SPN [SETSPN -s {Desired-SPN} {domain_name}{service_account}], aby ustawić żądaną nazwę SPN dla konta usługi federacyjnej.
    Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wkrótce wygaśnie Podstawowy certyfikat odszyfrowywania tokenu usług AD FS wkrótce wygaśnie za mniej niż 90 dni. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie będą mogli uwierzytelniać się w celu uzyskania dostępu do zasobów. Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami. Uzyskaj nowy certyfikat odszyfrowywania tokenu.

    1. Upewnij się, że ulepszone użycie klucza (EKU) obejmuje "Szyfrowanie klucza"
    2. Alternatywna nazwa podmiotu lub podmiotu (SAN) nie ma żadnych ograniczeń.
    3. Należy pamiętać, że partnerzy dostawcy usług federacyjnych i oświadczeń muszą mieć możliwość łączenia się z zaufanym głównym urzędem certyfikacji podczas weryfikowania certyfikatu odszyfrowywania tokenów.
    Zdecyduj, w jaki sposób partnerzy dostawcy oświadczeń będą ufać nowemu certyfikatowi odszyfrowywania tokenów
    1. Poproś partnerów o ściągnięcie metadanych federacji po zaktualizowaniu certyfikatu.
    2. Udostępnij klucz publiczny nowego certyfikatu. (.cer pliku) z partnerami. Na serwerze usług AD FS partnera dostawcy oświadczeń uruchom zarządzanie usługami AD FS z menu Administracja istrative Tools. W obszarze Relacje zaufania/Relacje jednostki uzależnionej wybierz zaufanie, które zostało utworzone dla Ciebie. W obszarze Właściwości/Szyfrowanie kliknij pozycję "Przeglądaj", aby wybrać nowy certyfikat odszyfrowywania tokenów, a następnie kliknij przycisk OK.
    Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
    • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.Dodaj nowy certyfikat do usług AD FS.
    1. Uruchom zarządzanie usługami AD FS z menu narzędzia Administracja istrative
    2. Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
    3. W okienku Akcje kliknij pozycję Dodaj certyfikat odszyfrowywania tokenów
    4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla odszyfrowywania tokenów. Jeśli okaże się, że nowy certyfikat nie jest wyświetlany na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego ze skojarzonym kluczem prywatnym, a certyfikat ma szyfrowanie klucza jako rozszerzone użycie klucza.
    5. Wybierz nowy certyfikat odszyfrowywania tokenów i kliknij przycisk OK.
    Ustaw nowy certyfikat odszyfrowywania tokenów jako podstawowy.
    1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Odszyfrowywanie tokenów: istniejący i nowy certyfikat.
    2. Wybierz nowy certyfikat odszyfrowywania tokenów, kliknij prawym przyciskiem myszy i wybierz pozycję Ustaw jako podstawowy.
    3. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przerzucania lub gdy certyfikat wygasł.
    Podstawowy certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie Certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie w ciągu 90 dni. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. Uzyskaj nowy certyfikat podpisywania tokenu.
    1. Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Podpis cyfrowy"
    2. Alternatywna nazwa podmiotu lub podmiotu (SAN) nie ma żadnych ograniczeń.
    3. Należy pamiętać, że serwery federacyjne, serwery federacyjne partnera zasobów i serwery aplikacji jednostki uzależnionej muszą być w stanie połączyć się z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu podpisywania tokenu.
    Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
    • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.Dodaj nowy certyfikat do usług AD FS.
    1. Uruchom program AD FS Management z menu narzędzia Administracja istrative.
    2. Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
    3. W okienku Akcje kliknij pozycję Dodaj certyfikat podpisywania tokenu...
    4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla podpisywania tokenów. Jeśli okaże się, że nowy certyfikat nie jest wyświetlany na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego z kluczem prywatnym skojarzonym, a certyfikat ma ku podpis cyfrowy.
    5. Wybierz nowy certyfikat podpisywania tokenów i kliknij przycisk OK
    Poinformuj wszystkie jednostki uzależnione o zmianie certyfikatu podpisywania tokenu.
    1. Jednostki uzależnione korzystające z metadanych federacji usług AD FS muszą ściągnąć nowe metadane federacji, aby rozpocząć korzystanie z nowego certyfikatu.
    2. Jednostki uzależnione, które nie używają metadanych federacji usług AD FS, muszą ręcznie zaktualizować klucz publiczny nowego certyfikatu podpisywania tokenu. Udostępnij plik .cer stronom uzależnionym.
      3. Ustaw nowy certyfikat podpisywania tokenu jako podstawowy.
      1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Podpisywanie tokenów: istniejący i nowy certyfikat.
      2. Wybierz nowy certyfikat podpisywania tokenu, kliknij prawym przyciskiem myszy i wybierz pozycję Ustaw jako podstawowy
      3. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przerzucania lub gdy certyfikat wygasł. Pamiętaj, że sesje logowania jednokrotnego bieżącego użytkownika są podpisane. Bieżące relacje zaufania serwera proxy usług AD FS korzystają z tokenów podpisanych i zaszyfrowanych przy użyciu starego certyfikatu.
    Certyfikat SSL usług AD FS nie znajduje się w lokalnym magazynie certyfikatów Nie można odnaleźć certyfikatu z odciskiem palca skonfigurowanym jako certyfikat TLS/SSL w bazie danych usług AD FS w lokalnym magazynie certyfikatów. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu TLS zakończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 zakończy się niepowodzeniem. Zainstaluj certyfikat ze skonfigurowanym odciskiem palca w lokalnym magazynie certyfikatów.
    Certyfikat SSL wygasł Certyfikat TLS/SSL dla usługi AD FS wygasł. W związku z tym wszystkie żądania uwierzytelniania, które wymagają prawidłowego połączenia TLS, nie powiedzą się. Na przykład: uwierzytelnianie klienta poczty nie będzie mogło uwierzytelniać się na platformie Microsoft 365. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj certyfikat TLS/SSL z następującymi wymaganiami.
    2. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
    3. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    4. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    5. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP

    Wymagane punkty końcowe dla identyfikatora Entra firmy Microsoft (dla platformy Microsoft 365) nie są włączone Następujący zestaw punktów końcowych wymaganych przez usługi Exchange Online Services, Microsoft Entra ID i Microsoft 365 nie są włączone dla usługi federacyjnej:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Włącz wymagane punkty końcowe dla usług Microsoft Cloud Services w usłudze federacyjnej.
    W przypadku usług AD FS w systemie Windows Server 2012R2 lub nowszych wersjach
  • Zapoznaj się z tematem: Zarządzanie certyfikatami SSL w usługach AD FS i WAP

    • Serwer federacyjny nie może nawiązać połączenia z bazą danych konfiguracji usług AD FS Konto usługi AD FS ma problemy podczas nawiązywania połączenia z bazą danych konfiguracji usług AD FS. W związku z tym usługi AD FS na tym komputerze mogą nie działać zgodnie z oczekiwaniami.
  • Upewnij się, że konto usługi AD FS ma dostęp do bazy danych konfiguracji.
  • Upewnij się, że usługa bazy danych konfiguracji usług AD FS jest dostępna i osiągalna.
    • Brak wymaganych powiązań SSL lub ich nie skonfigurowano Powiązania TLS wymagane dla tego serwera federacyjnego do pomyślnego przeprowadzenia uwierzytelniania są błędnie skonfigurowane. W związku z tym usługi AD FS nie mogą przetwarzać żadnych żądań przychodzących. Dla systemu Windows Server 2012 R2
    Otwórz wiersz polecenia administratora z podwyższonym poziomem uprawnień i wykonaj następujące polecenia:
    1. Aby wyświetlić bieżące powiązanie protokołu TLS: Get-AdfsSslCertificate
    2. Aby dodać nowe powiązania: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F1011121314 appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
    Certyfikat podpisywania tokenu podstawowego usług AD FS wygasł Certyfikat podpisywania tokenu usług AD FS wygasł. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. Jeśli automatyczne przerzucanie certyfikatów jest włączone, usługi AD FS będą zarządzać aktualizowaniem certyfikatu podpisywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.

    1. Uzyskaj nowy certyfikat podpisywania tokenu.
      1. Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Podpis cyfrowy"
      2. Alternatywna nazwa podmiotu lub podmiotu (SAN) nie ma żadnych ograniczeń.
      3. Pamiętaj, że serwery federacyjne, serwery federacyjne partnera zasobów i serwery aplikacji jednostki uzależnionej muszą być w stanie połączyć się z zaufanym głównym urzędem certyfikacji podczas walidacji certyfikatu podpisywania tokenu.
    2. Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
      • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    3. Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.
    4. Dodaj nowy certyfikat do usług AD FS.
      1. Uruchom program AD FS Management z menu narzędzia Administracja istrative.
      2. Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
      3. W okienku Akcje kliknij pozycję Dodaj certyfikat podpisywania tokenu...
      4. Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla podpisywania tokenów. Jeśli okaże się, że nowy certyfikat nie jest wyświetlany na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego z kluczem prywatnym skojarzonym, a certyfikat ma ku podpis cyfrowy.
      5. Wybierz nowy certyfikat podpisywania tokenów i kliknij przycisk OK
    5. Poinformuj wszystkie jednostki uzależnione o zmianie certyfikatu podpisywania tokenu.
      1. Jednostki uzależnione korzystające z metadanych federacji usług AD FS muszą ściągnąć nowe metadane federacji, aby rozpocząć korzystanie z nowego certyfikatu.
      2. Jednostki uzależnione, które nie używają metadanych federacji usług AD FS, muszą ręcznie zaktualizować klucz publiczny nowego certyfikatu podpisywania tokenu. Udostępnij plik .cer stronom uzależnionym.
    6. Ustaw nowy certyfikat podpisywania tokenu jako podstawowy.
      1. Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Podpisywanie tokenów: istniejący i nowy certyfikat.
      2. Wybierz nowy certyfikat podpisywania tokenu, kliknij prawym przyciskiem myszy i wybierz pozycję Ustaw jako podstawowy
      3. Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przerzucania lub gdy certyfikat wygasł. Pamiętaj, że sesje logowania jednokrotnego bieżącego użytkownika są podpisane. Bieżące relacje zaufania serwera proxy usług AD FS korzystają z tokenów podpisanych i zaszyfrowanych przy użyciu starego certyfikatu.
    Serwer proxy usuwa żądania kontroli przeciążenia Ten serwer proxy obecnie usuwa żądania z ekstranetu z powodu wyższego niż normalnego opóźnienia między tym serwerem proxy a serwerem federacyjnym. W związku z tym pewna część żądań uwierzytelniania przetworzonych przez serwer proxy usług AD FS może zakończyć się niepowodzeniem.
  • Sprawdź, czy opóźnienie sieci między federacyjnym serwerem proxy a serwerami federacyjnym mieści się w dopuszczalnym zakresie. Zapoznaj się z sekcją Monitorowanie, aby uzyskać informacje o popularnych wartościach "Opóźnienie żądania tokenu". Opóźnienie większe niż [1500 ms] należy uznać za duże opóźnienie. Jeśli występuje duże opóźnienie, upewnij się, że sieć między usługami AD FS i serwerami proxy usług AD FS nie ma żadnych problemów z łącznością.
  • Upewnij się, że serwery federacyjne nie są przeciążone żądaniami uwierzytelniania. Sekcja monitorowania zawiera popularne widoki żądań tokenów na sekundę, wykorzystanie procesora CPU i zużycie pamięci.
  • Jeśli powyższe elementy zostały zweryfikowane i ten problem jest nadal widoczny, dostosuj ustawienie unikania przeciążenia na każdym z serwerów federacyjnych serwerów proxy zgodnie ze wskazówkami z powiązanych linków.
    		•
    Konto usługi AD FS nie ma dostępu do jednego z kluczy prywatnych certyfikatu. Konto usługi AD FS nie ma dostępu do klucza prywatnego jednego z certyfikatów usług AD FS na tym komputerze. Upewnij się, że konto usługi AD FS zapewnia dostęp do certyfikatów TLS, podpisywania tokenu i odszyfrowywania tokenów przechowywanych w magazynie certyfikatów komputera lokalnego.
    1. W wierszu polecenia wpisz MMC.
    2. Przejdź do pozycji File-Add/Remove Snap-In (Dodaj/>Usuń przystawkę)
    3. Wybierz pozycję Certyfikaty i kliknij przycisk Dodaj. -> Wybierz konto komputera i kliknij przycisk Dalej. -> Wybierz komputer lokalny i kliknij przycisk Zakończ. Kliknij przycisk OK.

    Otwórz certyfikaty (komputer lokalny)/Osobiste/Certyfikaty.Dla wszystkich certyfikatów używanych przez usługi AD FS:
    1. Kliknij prawym przyciskiem myszy certyfikat.
    2. Wybierz pozycję Wszystkie zadania —> zarządzaj kluczami prywatnymi.
    3. Na karcie Zabezpieczenia w obszarze Grupy lub nazwy użytkowników upewnij się, że konto usługi AD FS jest obecne. Jeśli nie wybierze pozycji Dodaj i dodaj konto usługi AD FS.
    4. Wybierz konto usługi AD FS i w obszarze "Uprawnienia dla <nazwy> konta usługi AD FS" upewnij się, że uprawnienie do odczytu jest dozwolone (znacznik wyboru).
    Certyfikat SSL usług AD FS nie ma klucza prywatnego Certyfikat TLS/SSL usług AD FS został zainstalowany bez klucza prywatnego. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu SSL zakończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 zakończy się niepowodzeniem. Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
    1. Uzyskaj publicznie zaufany certyfikat TLS/SSL z następującymi wymaganiami.
      1. Plik instalacyjny certyfikatu zawiera jego klucz prywatny.
      2. Ulepszone użycie klucza jest co najmniej uwierzytelnianiem serwera.
      3. Podmiot certyfikatu lub alternatywna nazwa podmiotu (SAN) zawiera nazwę DNS usługi federacyjnej lub odpowiednią symbol wieloznaczny. Na przykład: sso.contoso.com lub *.contoso.com
    2. Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
    3. Upewnij się, że konto usługi AD FS ma dostęp do odczytu do klucza prywatnego certyfikatu

    W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:

    • Powiąż nowy certyfikat TLS/SSL z witryną sieci Web w usługach IIS, który hostuje usługę federacyjną. Należy pamiętać, że należy wykonać ten krok na każdym serwerze federacyjnym i serwerze proxy usługi federacyjnej.

    W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach:

  • Zapoznaj się z tematem: Zarządzanie certyfikatami SSL w usługach AD FS i WAP
    • Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie będą mogli uwierzytelniać się w celu uzyskania dostępu do zasobów.

    Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu.

    Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.

    1. Uzyskaj nowy certyfikat odszyfrowywania tokenu.
      • Upewnij się, że rozszerzone użycie klucza (EKU) obejmuje "Szyfrowanie klucza".
      • Alternatywna nazwa podmiotu lub podmiotu (SAN) nie ma żadnych ograniczeń.
      • Należy pamiętać, że partnerzy dostawcy usług federacyjnych i oświadczeń muszą mieć możliwość łączenia się z zaufanym głównym urzędem certyfikacji podczas weryfikowania certyfikatu odszyfrowywania tokenów.
    2. Zdecyduj, w jaki sposób partnerzy dostawcy oświadczeń będą ufać nowemu certyfikatowi odszyfrowywania tokenów
      • Poproś partnerów o ściągnięcie metadanych federacji po zaktualizowaniu certyfikatu.
      • Udostępnij klucz publiczny nowego certyfikatu. (.cer pliku) z partnerami. Na serwerze usług AD FS partnera dostawcy oświadczeń uruchom zarządzanie usługami AD FS z menu Administracja istrative Tools. W obszarze Relacje zaufania/Relacje jednostki uzależnionej wybierz zaufanie, które zostało utworzone dla Ciebie. W obszarze Właściwości/Szyfrowanie kliknij pozycję "Przeglądaj", aby wybrać nowy certyfikat odszyfrowywania tokenów, a następnie kliknij przycisk OK.
    3. Zainstaluj certyfikat w lokalnym magazynie certyfikatów na każdym serwerze federacyjnym.
      • Upewnij się, że plik instalacji certyfikatu ma klucz prywatny certyfikatu na każdym serwerze.
    4. Upewnij się, że konto usługi federacyjnej ma dostęp do klucza prywatnego nowego certyfikatu.
    5. Dodaj nowy certyfikat do usług AD FS.
      • Uruchom zarządzanie usługami AD FS z menu narzędzia Administracja istrative
      • Rozwiń węzeł Usługa i wybierz pozycję Certyfikaty
      • W okienku Akcje kliknij pozycję Dodaj certyfikat odszyfrowywania tokenów
      • Zostanie wyświetlona lista certyfikatów, które są prawidłowe dla odszyfrowywania tokenów. Jeśli okaże się, że nowy certyfikat nie jest wyświetlany na liście, należy wrócić i upewnić się, że certyfikat znajduje się w magazynie osobistym komputera lokalnego ze skojarzonym kluczem prywatnym, a certyfikat ma szyfrowanie klucza jako rozszerzone użycie klucza.
      • Wybierz nowy certyfikat odszyfrowywania tokenów i kliknij przycisk OK.
    6. Ustaw nowy certyfikat odszyfrowywania tokenów jako podstawowy.
      • Po wybraniu węzła Certyfikaty w obszarze Zarządzanie usługami AD FS powinny zostać wyświetlone dwa certyfikaty wymienione w obszarze Odszyfrowywanie tokenów: istniejący i nowy certyfikat.
      • Wybierz nowy certyfikat odszyfrowywania tokenów, kliknij prawym przyciskiem myszy i wybierz pozycję Ustaw jako podstawowy.
      • Pozostaw stary certyfikat jako pomocniczy do celów przerzucania. Należy zaplanować usunięcie starego certyfikatu, gdy masz pewność, że nie jest już potrzebny do przerzucania lub gdy certyfikat wygasł.

    Alerty dotyczące usług domena usługi Active Directory

    Nazwa alertu opis Korekty
    Kontroler domeny jest niemożliwy do osiągnięcia za pośrednictwem polecenia ping LDAP Kontroler domeny nie jest osiągalny za pośrednictwem polecenia ping LDAP. Może to być spowodowane problemami z siecią lub maszyną. W związku z tym polecenia ping LDAP zakończy się niepowodzeniem.
  • Sprawdź listę alertów dotyczących powiązanych alertów, takich jak: Kontroler domeny nie jest reklamą.
  • Upewnij się, że kontroler domeny, którego dotyczy problem, ma wystarczającą ilość miejsca na dysku. Brak miejsca uniemożliwi kontrolerowi domeny anonsowanie się jako serwer LDAP.
  • Próba znalezienia kontrolera PDC: Uruchom
    zapytanie netdom fsmo
    na kontrolerze domeny, którego dotyczy problem.
  • Upewnij się, że sieć fizyczna jest prawidłowo skonfigurowana/połączona.
    • Napotkano błąd replikacji usługi Active Directory Ten kontroler domeny ma problemy z replikacją, które można znaleźć, przechodząc do pulpitu nawigacyjnego stanu replikacji. Błędy replikacji mogą być spowodowane niewłaściwą konfiguracją lub innymi powiązanymi problemami. Nieleczone błędy replikacji mogą prowadzić do niespójności danych. Zobacz dodatkowe szczegóły dotyczące nazw źródłowych i docelowych kontrolerów domeny, których dotyczy problem. Przejdź do pulpitu nawigacyjnego Stan replikacji i poszukaj aktywnych błędów na kontrolerach domeny, których dotyczy problem. Kliknij błąd, aby otworzyć blok z bardziej szczegółowymi informacjami na temat korygowania tego konkretnego błędu.
    Kontroler domeny nie może odnaleźć kontrolera PDC Kontroler PDC nie jest osiągalny za pośrednictwem tego kontrolera domeny. Może to prowadzić do wylogowywanie użytkowników, niezastosowane zmiany zasad grupy i niepowodzenie synchronizacji czasu systemowego.
  • Zapoznaj się z listą alertów dotyczących powiązanych alertów, które mogą mieć wpływ na kontroler PDC, na przykład: Kontroler domeny nie jest reklamą.
  • Próba znalezienia kontrolera PDC: Uruchom
    zapytanie netdom fsmo
    na kontrolerze domeny, którego dotyczy problem.
  • Upewnij się, że sieć działa prawidłowo.
    • Kontroler domeny nie może odnaleźć serwera wykazu globalnego Serwer wykazu globalnego nie jest dostępny z tego kontrolera domeny. Spowoduje to nieudane uwierzytelnianie za pośrednictwem tego kontrolera domeny. Sprawdź listę alertów dla dowolnego kontrolera domeny nie jest anonsowanie alertów, w których serwer, którego dotyczy problem, może być GC. Jeśli nie ma żadnych alertów reklamowych, sprawdź rekordy SRV dla kontrolerów domeny. Możesz je sprawdzić, uruchamiając polecenie:
    nltest /dnsgetdc: [ForestName] /gc
    Powinien wyświetlić listę kontrolerów domeny jako GCs. Jeśli lista jest pusta, sprawdź konfigurację DNS, aby upewnić się, że kontroler domeny zarejestrował rekordy SRV. Kontroler domeny jest w stanie znaleźć je w systemie DNS.
    Aby uzyskać informacje na temat rozwiązywania problemów z wykazami globalnymi, zobacz Anonsowanie jako serwer wykazu globalnego.
    Kontroler domeny nie może nawiązać połączenia z lokalnym udziałem sysvol Sysvol zawiera ważne elementy z obiektów zasad grupy i skryptów, które mają być dystrybuowane w kontrolerach domeny. Kontroler domeny nie będzie anonsować się jako kontroler domeny i zasady grupy nie zostaną zastosowane. Zobacz Jak rozwiązywać problemy z brakującymi udziałami sysvol i Netlogon
    Czas kontrolera domeny nie jest zsynchronizowany Czas na tym kontrolerze domeny znajduje się poza normalnym zakresem niesymetryczności czasu. W związku z tym uwierzytelnianie Kerberos zakończy się niepowodzeniem.
  • Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie
    net stop w32time
    następnie
    net start w32time
    na kontrolerze domeny, którego dotyczy problem.
  • Czas ponownej synchronizacji: uruchamianie
    w32tm /resync
    na kontrolerze domeny, którego dotyczy problem.
    		•
    Kontroler domeny nie reklamuje Ten kontroler domeny nie jest prawidłowo reklamowane ról, które mogą wykonywać. Może to być spowodowane problemami z replikacją, błędną konfiguracją DNS, nieuruchomieniem krytycznych usług lub z powodu braku w pełni zainicjowanego serwera. W związku z tym kontrolery domeny, elementy członkowskie domeny i inne urządzenia nie będą mogły zlokalizować tego kontrolera domeny. Ponadto inne kontrolery domeny mogą nie być w stanie replikować z tego kontrolera domeny. Sprawdź listę alertów dla innych powiązanych alertów, takich jak: Replikacja jest uszkodzona. Czas kontrolera domeny nie jest zsynchronizowany. Usługa Netlogon nie jest uruchomiona. Usługi DFSR i/lub NTFRS nie są uruchomione. Identyfikowanie i rozwiązywanie powiązanych problemów z systemem DNS: logowanie do kontrolera domeny, którego dotyczy problem. Otwórz dziennik zdarzeń systemu. Jeśli występują zdarzenia 5774, 5775 lub 5781, zobacz Rozwiązywanie problemów z niepowodzeniem rejestracji rekordów DNS lokalizatora kontrolera domeny Identyfikowanie i rozwiązywanie powiązanych problemów z usługą Czas systemu Windows: Upewnij się, że usługa Czas systemu Windows jest uruchomiona: Uruchom polecenie "net start w32time" na kontrolerze domeny, którego dotyczy problem. Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie "net stop w32time", a następnie "net start w32time" na kontrolerze domeny, którego dotyczy problem.
    Usługa GPSVC nie jest uruchomiona Jeśli usługa zostanie zatrzymana lub wyłączona, ustawienia skonfigurowane przez administratora nie będą stosowane, a aplikacje i składniki nie będą możliwe do zarządzania za pomocą zasad grupy. Wszystkie składniki lub aplikacje, które zależą od składnika zasad grupy, mogą nie działać, jeśli usługa jest wyłączona. Uruchom polecenie
    net uruchom gpsvc
    na kontrolerze domeny, którego dotyczy problem.
    Usługi DFSR i/lub NTFRS nie są uruchomione Jeśli usługi DFSR i NTFRS zostaną zatrzymane, kontrolery domeny nie będą mogły replikować danych folderu sysvol. dane sysvol nie będą spójne.
  • W przypadku korzystania z usługi DFSR:
      Uruchom polecenie "net start dfsr" na kontrolerze domeny, którego dotyczy problem.
    1. W przypadku korzystania z ntFRS:
        Uruchom polecenie "net start ntfrs" na kontrolerze domeny, którego dotyczy problem.
    • Usługa Netlogon nie jest uruchomiona Żądania logowania, rejestracja, uwierzytelnianie i lokalizowanie kontrolerów domeny będą niedostępne na tym kontrolerze domeny. Uruchom polecenie "net start netlogon" na kontrolerze domeny, którego dotyczy problem
    Usługa W32Time nie jest uruchomiona Jeśli usługa czasowa systemu Windows zostanie zatrzymana, synchronizacja daty i godziny będzie niedostępna. Jeśli ta usługa zostanie wyłączona, nie będzie można uruchomić usług bezpośrednio od niej zależnych. Uruchom polecenie "net start win32Time" na kontrolerze domeny, którego dotyczy problem
    Usługa ADWS nie jest uruchomiona Jeśli usługa usług sieci Web Active Directory jest zatrzymana lub wyłączona, aplikacje klienckie, takie jak program PowerShell usługi Active Directory, nie będą mogły uzyskiwać dostępu do żadnych wystąpień usługi katalogowej uruchomionych lokalnie na tym serwerze ani zarządzać nimi. Uruchom polecenie "net start adws" na kontrolerze domeny, którego dotyczy problem
    Główny kontroler PDC nie jest synchronizowany z serwera NTP Jeśli nie skonfigurujesz podstawowego kontrolera domeny w celu zsynchronizowania czasu z zewnętrznego lub wewnętrznego źródła czasu, emulator kontrolera PDC używa wewnętrznego zegara i sam jest niezawodnym źródłem czasu lasu. Jeśli czas nie jest dokładny na samym kontrolerze PDC, wszystkie komputery będą miały nieprawidłowe ustawienia czasu. Na kontrolerze domeny, którego dotyczy problem, otwórz wiersz polecenia. Zatrzymaj usługę Czas: net stop w32time
  • Skonfiguruj źródło czasu zewnętrznego:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Uwaga: zastąp time.windows.com adresem żądanego źródła czasu zewnętrznego. Uruchom usługę Czas:
    net start w32time
    • Kontroler domeny jest poddawany kwarantannie Ten kontroler domeny nie jest połączony z żadnym z innych działających kontrolerów domeny. Może to być spowodowane niewłaściwą konfiguracją. W związku z tym ten kontroler domeny nie jest używany i nie będzie replikowany z/do nikogo. Włącz replikację ruchu przychodzącego i wychodzącego: uruchom polecenie "repadmin /options ServerName -DISABLE_INBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Uruchom polecenie "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Utwórz nowe połączenie replikacji z innym kontrolerem domeny:
    1. Otwórz przystawkę Lokacje i usługi Active Directory: menu Start, wskaż pozycję narzędzia Administracja istracyjne, a następnie kliknij pozycję Lokacje i usługi Active Directory.
    2. W drzewie konsoli rozwiń węzeł Lokacje, a następnie rozwiń lokację, do której należy ten kontroler domeny.
    3. Rozwiń kontener Serwery, aby wyświetlić listę serwerów.
    4. Rozwiń obiekt serwera dla tego kontrolera domeny.
    5. Kliknij prawym przyciskiem myszy obiekt Ustawienia NTDS, a następnie kliknij polecenie New domena usługi Active Directory Services Połączenie ion...
    6. Wybierz serwer z listy, a następnie kliknij przycisk OK.
    Jak usunąć oddzielone domeny z usługi Active Directory.
    Replikacja wychodząca jest wyłączona Kontrolery domeny z wyłączoną replikacją wychodzącą nie będą mogły dystrybuować żadnych zmian pochodzących z samej siebie. Aby włączyć replikację wychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK. Wpisz następujący tekst, a następnie naciśnij klawisz ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Replikacja przychodząca jest wyłączona Kontrolery domeny z wyłączoną replikacją przychodzącą nie będą miały najnowszych informacji. Ten warunek może prowadzić do niepowodzeń logowania. Aby włączyć replikację przychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK. Wpisz następujący tekst, a następnie naciśnij klawisz ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    Usługa LanmanServer nie jest uruchomiona Jeśli ta usługa zostanie wyłączona, nie będzie można uruchomić usług bezpośrednio od niej zależnych. Uruchom polecenie "net start LanManServer" na kontrolerze domeny, którego dotyczy problem.
    Usługa Centrum dystrybucji kluczy Kerberos nie jest uruchomiona Jeśli usługa KDC zostanie zatrzymana, użytkownicy nie będą mogli uwierzytelniać się za pośrednictwem tego kontrolera domeny przy użyciu protokołu uwierzytelniania Kerberos v5. Uruchom polecenie "net start kdc" na kontrolerze domeny, którego dotyczy problem.
    Usługa DNS nie jest uruchomiona Jeśli usługa DNS zostanie zatrzymana, komputery i użytkownicy korzystający z tego serwera do celów DNS nie znajdą zasobów. Uruchom polecenie "net start dns" na kontrolerze domeny, którego dotyczy problem.
    Kontroler domeny miał wycofywanie numerów USN Po wycofaniu numerów USN modyfikacje obiektów i atrybutów nie są replikowane przez docelowe kontrolery domeny, które wcześniej widziały numer USN. Ponieważ te docelowe kontrolery domeny uważają, że są aktualne, w dziennikach zdarzeń usługi katalogowej nie są zgłaszane żadne błędy replikacji ani narzędzia do monitorowania i diagnostyki. Wycofywanie numerów USN może mieć wpływ na replikację dowolnego obiektu lub atrybutu w dowolnej partycji. Najczęściej obserwowanym skutkiem ubocznym jest to, że konta użytkowników i konta komputerów utworzone na kontrolerze domeny wycofywania nie istnieją dla co najmniej jednego partnera replikacji. Lub aktualizacje haseł pochodzące z kontrolera domeny wycofywania nie istnieją dla partnerów replikacji. Istnieją dwa podejścia do odzyskania po wycofaniu numerów USN:

    Usuń kontroler domeny z domeny, wykonując następujące kroki:

    1. Usuń usługę Active Directory z kontrolera domeny, aby wymusić, że będzie ona serwerem autonomicznym. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      332199 kontrolery domeny nie są bezpiecznie obniżane w przypadku korzystania z Kreatora instalacji usługi Active Directory, aby wymusić degradację w systemie Windows Server 2003 i Windows 2000 Server.
    2. Zamknij zdegradowany serwer.
    3. Na kontrolerze domeny w dobrej kondycji wyczyść metadane zdegradowanego kontrolera domeny. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      216498 Jak usunąć dane w usłudze Active Directory po nieudanej degradacji kontrolera domeny
    4. Jeśli niepoprawnie przywrócony kontroler domeny hostuje role główne operacji, przenieś te role do kontrolera domeny w dobrej kondycji. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      255504 używanie Ntdsutil.exe do przenoszenia lub przejmowania ról FSMO do kontrolera domeny
    5. Uruchom ponownie zdegradowany serwer.
    6. Jeśli jest to wymagane, zainstaluj ponownie usługę Active Directory na serwerze autonomicznym.
    7. Jeśli kontroler domeny był wcześniej wykazem globalnym, skonfiguruj kontroler domeny jako wykaz globalny. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      313994 Jak utworzyć lub przenieść wykaz globalny w systemie Windows 2000
    8. Jeśli wcześniej hostowane role wzorca operacji kontrolera domeny, przenieś role wzorca operacji z powrotem do kontrolera domeny. Aby uzyskać więcej informacji, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
      255504 Używanie Ntdsutil.exe do przenoszenia lub przejmowania ról FSMO do kontrolera domeny Przywróć stan systemu dobrej kopii zapasowej.

    Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli utworzono prawidłową kopię zapasową stanu systemu przed nieprawidłowym przywróceniem kontrolera domeny, a kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej.

    Migawkę można również użyć jako źródła kopii zapasowej. Możesz też ustawić bazę danych, aby nadać sobie nowy identyfikator wywołania przy użyciu procedury w sekcji "Aby przywrócić poprzednią wersję wirtualnego dysku twardego kontrolera domeny bez kopii zapasowej danych stanu systemu" w tym artykule

    Następne kroki