Compartilhar via


Catálogo de Alertas do Microsoft Entra Connect Health

Os alertas de envio de serviço do Microsoft Entra Connect Health indicam que a infraestrutura de identidade não está íntegra. Este artigo inclui títulos de alertas, descrições e etapas de correção para cada alerta.
Erro, Aviso e Pré-aviso são três estágios de alertas gerados a partir do serviço Connect Health. É altamente recomendável tomar medidas imediatas em alertas disparados.
Os alertas do Microsoft Entra Connect Health são resolvidos em uma condição de êxito. Os agentes do Microsoft Entra Connect Health detectam e relatam as condições de sucesso para o serviço periodicamente. Para alguns alertas, a supressão é periódica. Em outras palavras, se a mesma condição de erro não for observada no período de 72 horas a partir da geração do alerta, este será resolvido automaticamente.

Alertas gerais

Nome do alerta Descrição Remediação
Os dados do serviço de integridade não estão atualizados O(s) Agente(s) de Integridade executando em um ou mais servidores não está conectado ao Serviço de Integridade e o Serviço de Integridade não está recebendo os dados mais recentes deste servidor. Os últimos dados processados pelo Serviço de Integridade têm mais de 2 horas. Assegure-se de que os agentes de integridade tenham conectividade de saída para os pontos de extremidade de serviço necessários. Leia mais

Alertas para o Microsoft Entra Connect (Sincronização)

Nome do alerta Descrição Remediação
O serviço de sincronização do Microsoft Entra Connect não está em execução O serviço Windows de Sincronização do Microsoft Entra ID não está em execução ou não pôde iniciar. Como resultado, os objetos não serão sincronizados com o Microsoft Entra ID. Inicie os serviços de sincronização do Microsoft Entra ID
  1. Clique em Iniciar, clique em Executar, tipo Services.msc e, em seguida, clique em OK.
  2. Localize o Serviço de Sincronização do Microsoft Entra ID e, em seguida, verifique se o serviço foi iniciado. Se o serviço não for iniciado, clique com o botão direito do mouse no serviço e em Iniciar.
A importação do Microsoft Entra ID falhou A operação de importação do Microsoft Entra Connector falhou. Investigue os erros do log de eventos da operação de importação para obter mais detalhes.
A conexão com o Microsoft Entra ID falhou devido a uma falha de autenticação A conexão com o Microsoft Entra ID falhou devido a uma falha de autenticação. Como resultado, os objetos não serão sincronizados com o Microsoft Entra ID. Investigue os erros do log de eventos para obter mais detalhes.
Falha ao exportar para o Active Directory A operação de exportação para o Active Directory Connector falhou. Investigue os erros do log de eventos da operação de exportação para obter mais detalhes.
Falha ao importar do Active Directory Falha ao importar do Active Directory. Como resultado, os objetos de alguns domínios dessa floresta podem não ser importados.
  • Verificar a conectividade do Controlador de Domínio
  • Executar novamente a importação manualmente
  • Investigue os erros do log de eventos da operação de importação para obter mais detalhes.
  • A exportação para o Microsoft Entra ID falhou A operação de exportação para o Microsoft Entra Connector falhou. Como resultado, alguns objetos podem não ser exportados com êxito para o Microsoft Entra ID. Investigue os erros do log de eventos da operação de exportação para obter mais detalhes.
    A pulsação da Sincronização de Hash de Senha foi ignorada nos últimos 120 minutos A Sincronização de Hash de Senha não conectou o Microsoft Entra ID nos últimos 120 minutos. Como resultado, as senhas não serão sincronizadas com o Microsoft Entra ID. Reinicie os serviços de sincronização do Microsoft Entra ID:
    Quaisquer operações de sincronização atualmente em execução serão interrompidas. Quando nenhuma operação de sincronização estiver em andamento, você poderá executar as etapas a seguir.
    1. Clique em Iniciar e em Executar, tipo Services.msc e, em seguida, clique em OK.
    2. Localize Sincronização do Microsoft Entra ID, clique com o botão direito do mouse e, em seguida, clique em Reiniciar.
    Uso elevado da CPU detectado A porcentagem de consumo da CPU ultrapassou o limite recomendado nesse servidor.
  • Isso pode ser um aumento temporário no consumo de CPU. Verifique a tendência de uso da CPU na seção Monitoramento.
  • Inspecione os principais processos que consomem maior uso da CPU no servidor.
    1. É possível utilizar o Gerenciador de Tarefas ou executar o comando a seguir do PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Se houver processos inesperados que consomem uso elevado da CPU, pare os processos usando o comando a seguir do PowerShell:
      stop-process -ProcessName [nome do processo]
  • Se os processos vistos na lista acima forem os processos pretendidos em execução no servidor e o consumo de CPU estiver continuamente próximo do limite, considere reavaliar os requisitos de implantação desse servidor.
  • Como uma opção à prova de falhas, você pode considerar reiniciar o servidor.
  • Consumo de memória alta detectado A porcentagem de consumo de memória do servidor está além do limite recomendado nesse servidor. Inspecione os principais processos que consomem maior memória do servidor. É possível utilizar o Gerenciador de Tarefas ou executar o comando a seguir do PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Se houver processos inesperados com alto consumo de memória, interrompa os processos usando o seguinte comando do PowerShell:
    stop-process -ProcessName [nome do processo]
  • Se os processos vistos na lista acima forem os processos pretendidos em execução no servidor, considere reavaliar os requisitos de implantação desse servidor.
  • Como uma opção à prova de falhas, você pode considerar reiniciar o servidor.
  • A Sincronização de Hash de Senha parou de funcionar A Sincronização de Hash de Senha foi interrompida. Como resultado, as senhas não serão sincronizadas com o Microsoft Entra ID. Reinicie os serviços de sincronização do Microsoft Entra ID:
    Quaisquer operações de sincronização atualmente em execução serão interrompidas. Quando nenhuma operação de sincronização estiver em andamento, você poderá executar as etapas a seguir.
    1. Clique em Iniciar, clique em Executar, tipo Services.msc e, em seguida, clique em OK.
    2. Localize a Sincronização do Microsoft Entra ID, clique com o botão direito do mouse e, em seguida, clique em Reiniciar.

    A exportação para o Microsoft Entra ID foi interrompida. O limite de exclusão acidental foi alcançado A operação de exportação para o Microsoft Entra ID falhou. Havia mais objetos a serem excluídos que o limite configurado. Como resultado, nenhum objeto foi exportado.
  • O número de objetos marcados para exclusão é maior que o limite definido. Assegure-se de que esse resultado é desejado.
  • Para permitir que a exportação continue, execute as seguintes etapas:
    1. Desabilite o Limite executando Disable-ADSyncExportDeletionThreshold
    2. Inicie o Synchronization Service Manager
    3. Executar Exportar no Conector com tipo = Microsoft Entra ID
    4. Depois de exportar os objetos com êxito, ative o Limite executando: Enable-ADSyncExportDeletionThreshold
  • Alertas para os Serviços de Federação do Active Directory (AD FS)

    Nome do alerta Descrição Remediação
    As Solicitações de Autenticação de Teste (Transações Sintéticas) falharam ao obter um token As solicitações de autenticação de teste (Transações Sintéticas) iniciadas neste servidor falharam ao obter um token após 5 novas tentativas. Isso pode ser causado devido a problemas de rede transitórios, disponibilidade do Controlador de Domínio do AD DS ou um servidor do AD FS configurado incorretamente. Como resultado, as solicitações de autenticação processadas pelo serviço de federação podem falhar. O agente usa o contexto de Conta de Computador Local para obter um token do Serviço de Federação. Assegure-se de que as etapas a seguir sejam executadas para validar a integridade do servidor.
    1. Valide se não há alertas adicionais não resolvidos para este ou outros servidores do AD FS no farm.
    2. Valide se essa condição não é uma falha temporária ao efetuar logon com um usuário de teste da página de logon do AD FS, disponível em https: // {your_adfs_server_name} /adfs/ls/idpinitiatedsignon.aspx
    3. Vá para https://testconnectivity.microsoft.com, escolha a guia ‘Office 365’ e escolha o ‘Teste de Logon Único do Office 365’.
    4. Verifique se o nome do serviço do AD FS pode ser resolvido a partir deste servidor, executando o seguinte comando em um prompt de comando deste servidor. nslookup your_adfs_server_name

    Se o nome do serviço não puder ser resolvido, consulte a seção de perguntas frequentes para obter instruções sobre como adicionar uma entrada de arquivo HOST do serviço do AD FS ao endereço IP deste servidor. Isso permitirá que o módulo de transação sintética executado neste servidor solicite um token

    O servidor proxy não pode acessar o servidor de federação Este servidor proxy do AD FS não consegue contatar o serviço do AD FS. Como resultado, as solicitações de autenticação processadas por este servidor falharão. Execute as etapas a seguir para validar a conectividade entre este servidor e o serviço do AD FS.
    1. Verifique se o firewall entre este servidor e o serviço do AD FS está configurado com precisão.
    2. Certifique-se de que a resolução DNS para o nome do serviço do AD FS aponte adequadamente para o serviço do AD FS que reside na rede corporativa. Isso pode ser obtido por meio de um servidor DNS que serve esse servidor na rede de perímetro ou por meio de entradas nos arquivos HOSTS para o nome do serviço do AD FS.
    3. Valide a conectividade de rede, abrindo o navegador neste servidor e acessando o ponto de extremidade de metadados de federação que está em https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    O Certificado SSL está prestes a expirar O certificado TLS/SSL usado pelos servidores de Federação está prestes a expirar dentro de 90 dias. Quando expirar, todas as solicitações que exigem uma conexão SSL válida falharão. Por exemplo, para clientes do Microsoft 365, os clientes de email não poderão se autenticar. Atualize o certificado TLS/SSL em cada servidor do AD FS.
    1. Obtenha o certificado TLS/SSL com os seguintes requisitos.
      1. O Uso Avançado de Chave é, pelo menos, Autenticação do Servidor.
      2. O Certificado do Requerente ou SAN (Nome Alternativo da Entidade) contém o nome DNS do Serviço de Federação ou curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com
    2. Instale o novo certificado TLS/SSL em cada servidor no repositório de certificados do computador local.
    3. Certifique-se de que a Conta de Serviço do AD FS tenha acesso de leitura à Chave Privada do certificado

    Para AD FS 2.0 no Windows Server 2008R2:

    • Associe o novo certificado TLS/SSL ao site no IIS, o qual hospeda o Serviço de Federação. Observe que é necessário executar essa etapa em cada Servidor de Federação e proxy do Servidor de Federação.

    Para AD FS no Windows Server 2012 R2 e versões posteriores:

  • Consulte Gerenciar Certificados SSL em AD FS e WAP
  • O serviço do AD FS não está em execução no servidor O Serviço de Federação do Active Directory (Serviço do Windows) não está em execução neste servidor. Quaisquer solicitações direcionadas para este servidor falharão. Para iniciar o Serviço de Federação do Active Directory (Serviço do Windows):
    1. Faça logon no servidor como um administrador.
    2. Abra services.msc
    3. Localizar "Serviços de Federação do Active Directory"
    4. Clique com o botão direito do mouse e selecione "Iniciar"
    DNS para o Serviço de Federação pode estar configurado incorretamente O servidor DNS pode ser configurado para usar um registro CNAME para o nome do farm do AD FS. É recomendável usar um registro AAAA ou A para o AD FS para que a Autenticação Integrada do Windows funcione perfeitamente na rede corporativa. Verifique se o tipo de registro DNS do farm do AD FS <Farm Name> não é CNAME. Configure-o para ser um registro AAAA ou A.
    A auditoria do AD FS está desabilitada A Auditoria do AD FS está desabilitada para o servidor. A seção Uso do AD FS no portal não incluirá dados desse servidor. Se as Auditorias do AD FS não estiverem habilitadas, siga estas instruções:
    1. Conceda à conta de serviço do AD FS as "Gerar auditorias de segurança" diretamente no servidor do AD FS.
    2. Abra a política de segurança local no servidor gpedit.msc.
    3. Navegar para "Computer Configuration\Windows Settings\Local Policies\User Rights Assignment"
    4. Adicione a conta de serviço do AD FS para ter o direito "Gerar auditorias de segurança".
    5. Execute o comando a seguir no prompt de comando:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Atualize as Propriedades do Serviço de Federação para incluir as Auditorias de Falhas e de Êxitos.
    7. No console do AD FS, escolha "Editar Propriedades do Serviço de Federação"
    8. Na caixa de diálogo "Propriedades do Serviço de Federação", escolha a guia Eventos e selecione "Auditorias de sucesso" e "Auditorias de falha"

    Depois de seguir essas etapas, os Eventos de Auditoria do AD FS devem estar visíveis no Visualizador de Eventos. Para verificar:

    1. Vá para Visualizador de Eventos/Logs do Windows/Segurança.
    2. Selecione Filtrar Logs Atuais e selecione Auditoria do AD FS no menu suspenso origens do Evento. Para um servidor AD FS ativo com auditoria de AD FS habilitada, os eventos devem estar visíveis para a filtragem acima.

    Se você seguiu essas instruções antes, mas ainda está vendo esse alerta, é possível que um Objeto de Política de Grupo esteja desabilitando a auditoria do AD FS. A causa raiz pode ser uma das seguintes:

    1. Está sendo removido da conta de serviço do AD FS o direito de Gerar Auditorias de Segurança.
    2. Um script personalizado no Objeto de Política de Grupo está desabilitando as auditorias de falhas e de êxitos com base em "Aplicativo Gerado".
    3. A configuração do AD FS não está habilitada para gerar auditorias de falhas/êxitos.
    O certificado SSL do AD FS é autoassinado Está sendo usado um certificado autoassinado como o certificado TLS/SSL no farm do AD FS. Como resultado, a autenticação do cliente de email para o Microsoft 365 falhará

    Atualize o certificado TLS/SSL em cada servidor do AD FS.

    1. Obtenha um certificado TLS/SSL confiável publicamente com os seguintes requisitos.
    2. O arquivo de instalação do certificado contém sua chave privada.
    3. O Uso Avançado de Chave é, pelo menos, Autenticação do Servidor.
    4. O Certificado do Requerente ou SAN (Nome Alternativo da Entidade) contém o nome DNS do Serviço de Federação ou curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com

    Instale o novo certificado TLS/SSL em cada servidor no repositório de certificados do computador local.

      Certifique-se de que a Conta de Serviço do AD FS tenha acesso de leitura à Chave Privada do certificado.
      Para AD FS 2.0 no Windows Server 2008R2:
    1. Associe o novo certificado TLS/SSL ao site no IIS, o qual hospeda o Serviço de Federação. Observe que é necessário executar essa etapa em cada Servidor de Federação e proxy do Servidor de Federação.

    2. Para AD FS no Windows Server 2012 R2 ou versões posteriores:
    3. Consulte Gerenciar Certificados SSL em AD FS e WAP
    A confiança entre o servidor proxy e o servidor de federação não é válida A confiança entre o proxy do servidor de federação e o Serviço de Federação não pôde ser estabelecida ou renovada. Atualize o Certificado de Confiança Proxy no servidor proxy. Execute novamente o Assistente de Configuração de Proxy.
    Proteção de bloqueio de extranet desativada para o AD FS O Proteção de Bloqueio Extranet está DESABILITADO no farm do AD FS. Este recurso protege os usuários contra ataques de senha de força bruta na Internet e impede a negação de ataques de serviço contra os usuários quando as políticas de bloqueio de conta do AD DS estão em vigor. Com esse recurso habilitado, se o número de tentativas de logon de extranet com falha para um usuário (tentativas de logon feitas por meio do servidor WAP e AD FS) exceder o 'ExtranetLockoutThreshold', então, os servidores do AD FS interromperão o processamento de tentativas de logon adicionais para ‘ExtranetObservationWindow'. É altamente recomendável que habilitar esse recurso nos servidores do AD FS. Execute o comando a seguir para habilitar a Proteção de Bloqueio Extranet Desabilitada no AD FS com valores padrão.
    Set-AdfsProperties -EnableExtranetLockout $true

    Se houver políticas de bloqueio do AD configuradas para os usuários, verifique se a propriedade 'ExtranetLockoutThreshold' está definida com um valor abaixo do limite de bloqueio do AD DS. Isso garante que as solicitações que excederam o limite do AD FS sejam removidas e jamais validadas nos servidores do AD DS.
    SPN (Nome da Entidade de Serviço) inválido para a conta de serviço do AD FS O Nome da Entidade de Serviço da conta de Serviço de Federação não está registrado ou não é exclusivo. Como resultado, a Autenticação Integrada do Windows de clientes ingressados no domínio pode não ser perfeita. Utilize [SETSPN -L ServiceAccountName] para listar as Entidades de Serviço.
    Utilize [SETSPN -X] para verificar se há Nomes da Entidade de Serviço duplicados.

    Se o SPN for duplicado para a conta de serviço do AD FS, remova o SPN da conta duplicada, utilizando [SETSPN -d service/namehostname]

    Se o SPN não estiver definido, utilize [SETSPN -s {Desired-SPN} {domain_name}{service_account}] para definir o SPN desejado para a Conta de Serviço de Federação.

    O certificado de Descriptografia do Token do AD FS Primário está prestes a expirar O certificado de Descriptografia de Token do AD FS Primário está prestes a expirar em menos de 90 dias. O AD FS não pode descriptografar tokens de provedores de declarações confiáveis. O AD FS não pode descriptografar cookies de SSO criptografados. Os usuários finais não poderão autenticar para acessar recursos. Se a substituição automática do certificado estiver habilitada, o AD FS gerenciará o Certificado de Descriptografia do Token.

    Se você gerenciar o certificado manualmente, siga as instruções abaixo. Obter um novo Certificado de Descriptografia do Token.

    1. Verifique se o uso avançado de chave (EKU) inclui "codificação de chave"
    2. Não há restrições de SAN (Nome Alternativo da Entidade) ou Entidade.
    3. Observe que os parceiros de Provedor de Declarações e Servidores de Federação precisam ser capazes de encadear a uma autoridade de certificação raiz confiável ao validar o Certificado de Descriptografia do Token.
    Decidir como os parceiros de Provedor de Declarações confiarão no novo Certificado de Descriptografia do Token
    1. Solicite que os parceiros efetuem pull dos Metadados de Federação após a atualização do certificado.
    2. Compartilhe a chave pública do novo certificado. (arquivo .cer) com os parceiros. No servidor do AD FS do parceiro Provedor de Declarações, inicialize o Gerenciamento do AD FS no menu Ferramentas Administrativas. Em Relações de Confiança/Objeto de Confiança de Terceira Parte Confiável, selecione a confiança que foi criada para você. Em Propriedades/Criptografia, clique em "Procurar" para selecionar o novo Certificado de Descriptografia do Token e clique em OK.
    Instale o certificado no repositório de certificados local em cada Servidor de Federação.
    • Assegure-se de que o arquivo de instalação do certificado tenha a Chave Privada do certificado em cada servidor.
    Assegure-se de que a conta de serviço de federação tem acesso à chave privada do novo certificado. Adicione o novo certificado para AD FS.
    1. Inicializar o Gerenciamento do AD FS no menu Ferramentas Administrativas
    2. Expandir o Serviço e selecionar Certificados
    3. No painel Ações, clique em Adicionar Certificado de Descriptografia do Token
    4. Uma lista de certificados válidos para Descriptografia do Token será exibida. Se o novo certificado não estiver sendo apresentado na lista, será necessário retornar e certificar-se de que o certificado está no repositório pessoal do computador local com a chave privada associada e que o certificado tem a Codificação de Chave como Uso Estendido de Chave.
    5. Selecione o novo certificado de Certificado de Descriptografia do Token e clique em OK.
    Defina o novo Certificado de Descriptografia do Token como Primário.
    1. Com o nó de Certificados no Gerenciamento do AD FS selecionado, você deverá ver dois certificados listados em Descriptografia do Token: existente e o novo certificado.
    2. Selecione o novo certificado de Descriptografia do Token, clique com o botão direito do mouse e selecione Definir como primário.
    3. Deixe o certificado antigo como secundário para finalidades de substituição. É necessário planejar a remoção do certificado antigo quando você estiver confiante de que ele não será mais necessário para substituição ou quando o certificado tiver expirado.
    O certificado de Autenticação de Tokens do AD FS Primário está prestes a expirar O certificado de Autenticação de Tokens do AD FS está prestes a expirar dentro de 90 dias. O AD FS não pode emitir tokens assinados quando este certificado não é válido. Obter um novo Certificado de Autenticação de Tokens.
    1. Verifique se o uso avançado de chave (EKU) inclui "Assinatura digital"
    2. Não há restrições de SAN (Nome Alternativo da Entidade) ou Entidade.
    3. Observe que os Servidores de Federação, Servidores de Federação de Parceiro de Recurso e servidores de Aplicativo de Terceira Parte Confiável precisam ser capazes de encadear para uma autoridade confiável de certificação raiz ao validar o Certificado de Autenticação de Tokens.
    Instale o certificado no repositório de certificados local em cada Servidor de Federação.
    • Assegure-se de que o arquivo de instalação do certificado tenha a Chave Privada do certificado em cada servidor.
    Assegure-se de que a conta de Serviço de Federação tem acesso à chave privada do novo certificado. Adicione o novo certificado para AD FS.
    1. Inicialize o Gerenciamento do AD FS no menu Ferramentas Administrativas.
    2. Expandir o Serviço e selecionar Certificados
    3. No painel Ações, clique em Adicionar Certificado de Autenticação de Tokens...
    4. Uma lista de certificados válidos para Autenticação de Tokens será exibida. Se o novo certificado não estiver sendo apresentado na lista, será necessário retornar e certificar-se de que o certificado está no repositório Pessoal do computador local com a chave privada associada e que o certificado tem KU de Assinatura Digital.
    5. Selecione o novo certificado de Autenticação de Tokens e clique em OK
    Informe todas as Terceiras Partes Confiáveis sobre a alteração no Certificado de Autenticação de Tokens.
    1. Terceiras Partes Confiáveis que consomem metadados de federação do AD FS devem efetuar pull dos novos Metadados de Federação para começar a usar o novo certificado.
    2. Terceiras Partes Confiáveis que NÃO consomem metadados de federação do AD FS devem atualizar manualmente a chave pública do novo Certificado de Autenticação de Tokens. Compartilhe o arquivo .cer com as Terceiras Partes Confiáveis.
    3. Defina o novo certificado de Autenticação de Tokens como Primário.
      1. Com o nó de Certificados no Gerenciamento do AD FS selecionado, você deverá ver dois certificados listados em Autenticação de Tokens: existente e o novo certificado.
      2. Selecione o novo certificado de Autenticação de Tokens, clique com o botão direito do mouse e selecione Definir como primário
      3. Deixe o certificado antigo como secundário para propósitos de rollover. Você deve planejar remover o certificado antigo quando tiver certeza de que ele não é mais necessário para a rolagem ou quando o certificado expirar. Observe que as sessões de SSO dos usuários atuais são assinadas. As relações de Confiança Proxy do AD FS usam tokens que são assinados e criptografados usando o certificado antigo.
    O certificado SSL do AD FS não foi localizado no repositório de certificados local O certificado com a impressão digital configurada como o certificado TLS/SSL no banco de dados do AD FS não foi localizado no repositório de certificados local. Como resultado, qualquer solicitação de autenticação sobre o TLS falhará. Por exemplo, a autenticação de cliente de email para o Microsoft 365 falhará. Instale o certificado com a impressão digital configurada no repositório de certificados local.
    O Certificado SSL expirou O certificado TLS/SSL para o serviço do AD FS expirou. Como resultado, quaisquer solicitações de autenticação que exijam uma conexão TLS válida falharão. Por exemplo: a autenticação de cliente de email não será capaz de autenticar para o Microsoft 365. Atualize o certificado TLS/SSL em cada servidor do AD FS.
    1. Obtenha o certificado TLS/SSL com os seguintes requisitos.
    2. O Uso Avançado de Chave é, pelo menos, Autenticação do Servidor.
    3. O Certificado do Requerente ou SAN (Nome Alternativo da Entidade) contém o nome DNS do Serviço de Federação ou curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com
    4. Instale o novo certificado TLS/SSL em cada servidor no repositório de certificados do computador local.
    5. Certifique-se de que a Conta de Serviço do AD FS tenha acesso de leitura à Chave Privada do certificado

    Para AD FS 2.0 no Windows Server 2008R2:

    • Associe o novo certificado TLS/SSL ao site no IIS, o qual hospeda o Serviço de Federação. Observe que é necessário executar essa etapa em cada Servidor de Federação e proxy do Servidor de Federação.

    Para AD FS no Windows Server 2012 R2 ou versões posteriores: Consulte: Gerenciamento de Certificados SSL no AD FS e WAP

    Os pontos de extremidade necessários para o Microsoft Entra ID (para o Microsoft 365) não estão habilitados O seguinte conjunto de pontos de extremidade exigido pelos Serviços do Exchange Online, Microsoft Entra ID e Microsoft 365 não está habilitado para o serviço de federação:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
  • Ative os pontos de extremidade exigidos para os Serviços de Nuvem do Microsoft Azure no serviço de federação.
    Para AD FS no Windows Server 2012 2012R2 ou versões posteriores
  • Consulte: Gerenciar Certificados SSL em AD FS e WAP
  • Não foi possível conectar o servidor de Federação ao Banco de Dados de Configuração do AD FS A conta de serviço do AD FS está tendo problemas ao conectar-se ao banco de dados de configuração do AD FS. Como resultado, o serviço AD FS neste computador pode não funcionar conforme o esperado.
  • Assegure-se de que a conta de serviço do AD FS tenha acesso ao banco de dados de configuração.
  • Assegure se o serviço do Banco de Dados de Configuração do AD FS está disponível e acessível.
  • Associações SSL necessárias estão ausentes ou não configuradas As associações TLS necessárias para que esse servidor de federação execute a autenticação com êxito estão configuradas incorretamente. Como resultado, o AD FS não pode processar as solicitações recebidas. Para Windows Server 2012 R2
    Abra um prompt de comando administrativo elevado e execute os comandos a seguir:
    1. Para exibir a associação TLS atual: Get-AdfsSslCertificate
    2. Para adicionar novas associações: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    O Certificado de Autenticação de Tokens do AD FS Primário expirou O Certificado de Autenticação de Tokens do AD FS expirou. O AD FS não pode emitir tokens assinados quando este certificado não é válido. Se a substituição do certificado automático estiver habilitada, o AD FS gerenciará a atualizar o certificado de assinatura de Token.

    Se você gerenciar o certificado manualmente, siga as instruções abaixo.

    1. Obter um novo Certificado de Autenticação de Tokens.
      1. Verifique se o uso avançado de chave (EKU) inclui "Assinatura digital"
      2. Não há restrições de SAN (Nome Alternativo da Entidade) ou Entidade.
      3. Lembre-se de que os Servidores de Federação, Servidores de Federação de Parceiro de Recurso e servidores de Aplicativo de Terceira Parte Confiável precisam ser capazes de encadear para uma autoridade confiável de certificação raiz ao validar o Certificado de Autenticação de Tokens.
    2. Instale o certificado no repositório de certificados local em cada Servidor de Federação.
      • Assegure-se de que o arquivo de instalação do certificado tenha a Chave Privada do certificado em cada servidor.
    3. Assegure-se de que a conta de Serviço de Federação tem acesso à chave privada do novo certificado.
    4. Adicione o novo certificado para AD FS.
      1. Inicialize o Gerenciamento do AD FS no menu Ferramentas Administrativas.
      2. Expandir o Serviço e selecionar Certificados
      3. No painel Ações, clique em Adicionar Certificado de Autenticação de Tokens...
      4. Uma lista de certificados válidos para Autenticação de Tokens será exibida. Se o novo certificado não estiver sendo apresentado na lista, será necessário retornar e certificar-se de que o certificado está no repositório Pessoal do computador local com a chave privada associada e que o certificado tem KU de Assinatura Digital.
      5. Selecione o novo certificado de Autenticação de Tokens e clique em OK
    5. Informe todas as Terceiras Partes Confiáveis sobre a alteração no Certificado de Autenticação de Tokens.
      1. Terceiras Partes Confiáveis que consomem metadados de federação do AD FS devem efetuar pull dos novos Metadados de Federação para começar a usar o novo certificado.
      2. Terceiras Partes Confiáveis que NÃO consomem metadados de federação do AD FS devem atualizar manualmente a chave pública do novo Certificado de Autenticação de Tokens. Compartilhe o arquivo .cer com as Terceiras Partes Confiáveis.
    6. Defina o novo certificado de Autenticação de Tokens como Primário.
      1. Com o nó de Certificados no Gerenciamento do AD FS selecionado, você deverá ver dois certificados listados em Autenticação de Tokens: existente e o novo certificado.
      2. Selecione o novo certificado de Autenticação de Tokens, clique com o botão direito do mouse e selecione Definir como primário
      3. Deixe o certificado antigo como secundário para propósitos de rollover. Você deve planejar remover o certificado antigo quando tiver certeza de que ele não é mais necessário para a rolagem ou quando o certificado expirar. Lembre-se de que as sessões de SSO dos usuários atuais são assinadas. As relações de Confiança Proxy do AD FS usam tokens que são assinados e criptografados usando o certificado antigo.
    O servidor proxy está removendo solicitações para controle de congestionamento Esse servidor proxy está atualmente removendo solicitações da extranet devido a uma latência maior que o normal entre esse servidor proxy e o servidor de federação. Como resultado, determinada parte das solicitações de autenticação processadas pelo servidor proxy do AD FS pode falhar.
  • Verifique se a latência de rede entre o servidor proxy de federação e os servidores de federação está dentro do intervalo aceitável. Confira a seção Monitoramento para obter valores de tendência da "Latência de solicitação de token". Uma latência maior que [1500 ms] deve ser considerada como alta latência. Se houver alta latência, verifique se a rede entre os servidores AD FS e AD FS Proxy não apresenta problemas de conectividade.
  • Assegure-se de que os Servidores de Federação não estejam sobrecarregados com solicitações de autenticação. A Seção de Monitoramento fornece exibições de tendências para Solicitações de Token por segundo, utilização de CPU e consumo de Memória.
  • Se os itens acima tiverem sido verificados e esse problema ainda for observado, ajuste a configuração de prevenção de congestionamento em cada um dos Servidores Proxy da Federação conforme as orientações dos links relacionados.
  • A conta de serviço do AD FS tem acesso negado para uma das chaves privadas do certificado. A conta de serviço do AD FS não tem acesso à chave privada de um dos certificados do AD FS neste computador. Verifique se a conta de serviço de AD FS obtenha acesso aos certificados TLS, assinatura de token e descriptografia de token armazenados no repositório de certificados do computador local.
    1. Da Linha de Comando tipo MMC.
    2. Acesse o Arquivo- >Adicionar/Remover Snap-In
    3. Selecione Certificados e clique em Adicionar. -> Selecione Conta de Computador e clique em Avançar. -> Selecione Computador Local e clique em Concluir. Clique em OK.

    Abra Certificados (Computador Local)/Pessoal/Certificados. Para todos os certificados usados pelo AD FS:
    1. Clique com botão direito no certificado.
    2. Selecione Todas as Tarefas -> Gerenciar Chaves Privadas.
    3. Na guia Segurança, em Nomes de grupos ou usuários, verifique se a conta de serviço do AD FS está presente. Se não, selecione Adicionar e adicione a conta de serviço do AD FS.
    4. Selecione a conta de serviço do AD FS e, em "Permissões para <Nome de Conta de Serviço AD FS>", verifique se a permissão de Leitura está habilitada (marca de seleção).
    O certificado SSL do AD FS não tem uma chave privada AD FS certificado TLS/SSL foi instalado sem uma chave privada. Como resultado, qualquer solicitação de autenticação sobre o SSL falhará. Por exemplo, a autenticação de cliente de email para o Microsoft 365 falhará. Atualize o certificado TLS/SSL em cada servidor do AD FS.
    1. Obtenha um certificado TLS/SSL confiável publicamente com os seguintes requisitos.
      1. O arquivo de instalação do certificado contém sua chave privada.
      2. O Uso Avançado de Chave é, pelo menos, Autenticação do Servidor.
      3. O Certificado do Requerente ou SAN (Nome Alternativo da Entidade) contém o nome DNS do Serviço de Federação ou curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com
    2. Instale o novo certificado TLS/SSL em cada servidor no repositório de certificados do computador local.
    3. Certifique-se de que a Conta de Serviço do AD FS tenha acesso de leitura à Chave Privada do certificado

    Para AD FS 2.0 no Windows Server 2008R2:

    • Associe o novo certificado TLS/SSL ao site no IIS, o qual hospeda o Serviço de Federação. Observe que é necessário executar essa etapa em cada Servidor de Federação e proxy do Servidor de Federação.

    Para AD FS no Windows Server 2012 R2 ou versões posteriores:

  • Consulte: Gerenciar Certificados SSL em AD FS e WAP
  • O certificado de Descriptografia de Token do AD FS Primário expirou O certificado de Descriptografia de Token do AD FS Primário expirou. O AD FS não pode descriptografar tokens de provedores de declarações confiáveis. O AD FS não pode descriptografar cookies de SSO criptografados. Os usuários finais não poderão autenticar para acessar recursos.

    Se a substituição automática do certificado estiver habilitada, o AD FS gerenciará o Certificado de Descriptografia do Token.

    Se você gerenciar o certificado manualmente, siga as instruções abaixo.

    1. Obter um novo Certificado de Descriptografia do Token.
      • Assegure-se de que o EKU (Uso Avançado de Chave) inclui "Codificação de Chave".
      • Não há restrições de SAN (Nome Alternativo da Entidade) ou Entidade.
      • Observe que os parceiros de Provedor de Declarações e Servidores de Federação precisam ser capazes de encadear a uma autoridade de certificação raiz confiável ao validar o Certificado de Descriptografia do Token.
    2. Decidir como os parceiros de Provedor de Declarações confiarão no novo Certificado de Descriptografia do Token
      • Solicite que os parceiros efetuem pull dos Metadados de Federação após a atualização do certificado.
      • Compartilhe a chave pública do novo certificado. (arquivo .cer) com os parceiros. No servidor do AD FS do parceiro Provedor de Declarações, inicialize o Gerenciamento do AD FS no menu Ferramentas Administrativas. Em Relações de Confiança/Objeto de Confiança de Terceira Parte Confiável, selecione a confiança que foi criada para você. Em Propriedades/Criptografia, clique em "Procurar" para selecionar o novo Certificado de Descriptografia do Token e clique em OK.
    3. Instale o certificado no repositório de certificados local em cada Servidor de Federação.
      • Assegure-se de que o arquivo de instalação do certificado tenha a Chave Privada do certificado em cada servidor.
    4. Assegure-se de que a conta de serviço de federação tem acesso à chave privada do novo certificado.
    5. Adicione o novo certificado para AD FS.
      • Inicializar o Gerenciamento do AD FS no menu Ferramentas Administrativas
      • Expandir o Serviço e selecionar Certificados
      • No painel Ações, clique em Adicionar Certificado de Descriptografia do Token
      • Uma lista de certificados válidos para Descriptografia do Token será exibida. Se o novo certificado não estiver sendo apresentado na lista, será necessário retornar e certificar-se de que o certificado está no repositório pessoal do computador local com a chave privada associada e que o certificado tem a Codificação de Chave como Uso Estendido de Chave.
      • Selecione o novo certificado de Certificado de Descriptografia do Token e clique em OK.
    6. Defina o novo Certificado de Descriptografia do Token como Primário.
      • Com o nó de Certificados no Gerenciamento do AD FS selecionado, você deverá ver dois certificados listados em Descriptografia do Token: existente e o novo certificado.
      • Selecione o novo certificado de Descriptografia do Token, clique com o botão direito do mouse e selecione Definir como primário.
      • Deixe o certificado antigo como secundário para finalidades de substituição. É necessário planejar a remoção do certificado antigo quando você estiver confiante de que ele não será mais necessário para substituição ou quando o certificado tiver expirado.

    Alertas para o Active Directory Domain Services

    Nome do alerta Descrição Remediação
    Controlador de domínio inacessível via ping LDAP O Controlador de Domínio não está acessível via Ping LDAP. Isso pode ser causado devido a problemas de Rede ou de computador. Como resultado, os Pings LDAP falharão.
  • Examine a lista de alertas para alertas relacionados, como: Controlador de Domínio não está anunciando.
  • Assegure-se de que o Controlador de Domínio afetado tem espaço em disco suficiente. A falta de espaço impedirá que o DC seja anunciado como um servidor LDAP.
  • Tente localizar o PDC: executar
    netdom query fsmo
    no Controlador de Domínio afetado.
  • Assegure-se de que a rede física esteja adequadamente configurada/conectada.
  • Erro de replicação do Active Directory encontrado Esse controlador de domínio está passando por problemas de replicação, que podem ser localizados acessando o Painel Status de Replicação. Erros de replicação podem ser causados por configuração incorreta ou outros problemas relacionados. Erros de replicação não tratados podem levar a inconsistência de dados. Consulte os detalhes adicionais para os nomes dos DCs de origem e de destino afetados. Navegue até o painel Status de Replicação e procure os erros ativos nos DCs afetados. Clique no erro para abrir uma folha com mais detalhes sobre como corrigir esse erro específico.
    O controlador de domínio não consegue localizar um controlador de domínio primário Um controlador de domínio primário não é acessível através desse controlador de domínio. Isso levará a logons de usuários impactados, alterações de política de grupo não aplicadas e falha na sincronização de hora do sistema.
  • Examine a lista de alertas para alertas relacionados que possam afetar o controlador de domínio padrão como: Controlador de Domínio não está anunciando.
  • Tente localizar o PDC: executar
    netdom query fsmo
    no Controlador de Domínio afetado.
  • Assegure-se de que a rede está funcionando corretamente.
  • O Controlador de Domínio não consegue encontrar um servidor de Catálogo Global Um servidor de catálogo global não está acessível a partir desse controlador de domínio. Isso resultará em autenticações com falha tentadas por meio desse Controlador de Domínio. Examine a lista de alertas para qualquer alerta de Controlador de Domínio não está anunciando em que o servidor afetado pode ser uma GC. Se não houver alertas de anúncio, verifique os registros SRV para GCs. É possível verificá-los executando:
    nltest /dnsgetdc: [ForestName] /gc
    Deve listar os DCs anunciados como GCs. Se a lista estiver vazia, verifique a configuração de DNS para garantir que a GC registrou os registros SRV. O Controlador de Domínio é capaz de localizá-los no DNS.
    Para solucionar problemas de Catálogos Globais, consulte Anunciando como um Servidor de Catálogo Global.
    Controlador de domínio incapaz de alcançar o compartilhamento sysvol local O Sysvol contém elementos importantes dos Objetos de Política de Grupo e scripts a serem distribuídos nos DCs de um domínio. O Controlador de Domínio não anunciará como o Controlador de Domínio e as Políticas de Grupo não serão aplicadas. Consulte Como solucionar problemas de compartilhamentos sysvol e Netlogon ausentes
    A hora do Controlador de Domínio está fora de sincronização A hora neste Controlador de Domínio está fora do intervalo de Distorção de Hora normal. Como resultado, as autenticações Kerberos falharão.
  • Reinicie o Serviço de Tempo do Windows: executar
    net stop w32time
    em seguida
    net start w32time
    no Controlador de Domínio afetado.
  • Hora de ressincronização: executar
    w32tm /resync
    no Controlador de Domínio afetado.
  • Controlador de domínio não está anunciando Esse controlador de domínio não está anunciando adequadamente as funções que é capaz de executar. Isso pode ser causado por problemas com replicação, configuração incorreta de DNS, serviços críticos que não estão em execução ou porque o servidor não está sendo inicializado completamente. Como resultado, controladores de domínio, membros do domínio e outros dispositivos não poderão localizar esse controlador de domínio. Além disso, outros controladores de domínio podem não ser capazes de replicar a partir desse controlador de domínio. Examine a lista de alertas para outros alertas relacionados como: A replicação está interrompida. A hora do controlador de domínio está fora de sincronia. O serviço Netlogon não está em execução. Os serviços DFSR e/ou NTFRS não estão em execução. Identificar e solucionar problemas de DNS relacionados: Logon no controlador de domínio afetado. Abra o Log de Eventos do Sistema. Se eventos 5774, 5775 ou 5781 estiverem presentes, consulte solução de problemas de domínio controlador localizador DNS registros de falha no registro identificar e solucionar problemas do serviço de tempo de Windows relacionados: Certifique-se de tempo do Windows serviço está em execução: executar 'net start w32time-' no controlador de domínio afetado. Reinicie o Serviço de Tempo do Windows: Execute 'net stop w32time' e 'net start w32time' no Controlador de Domínio afetado.
    O serviço GPSVC não está em execução Se o serviço for interrompido ou desabilitado, as configurações definidas pelo administrador não serão aplicadas e os aplicativos e componentes não poderão ser gerenciados por meio da Política de Grupo. Os componentes ou os aplicativos que dependem do componente de Política de Grupo poderão não funcionar se o serviço for desabilitado. Execute
    net start gpsvc
    no Controlador de Domínio afetado.
    Os serviços DFSR e/ou NTFRS não estão em execução Se ambos os serviços DFSR e NTFRS forem interrompidos, os Controladores de Domínio não poderão replicar dados de sysvol. Os dados de sysvol estarão fora de consistência.
  • Se estiver usando DFSR:
      Execute 'net start dfsr' no Controlador de Domínio afetado.
    1. Se estiver usand NTFRS:
        Execute 'net start ntfrs' no Controlador de Domínio afetado.
  • O serviço Netlogon não está em execução Solicitações de logon, registro, autenticação e localização de controladores de domínio estarão indisponíveis nesse controlador de domínio. Execute 'net start netlogon' no Controlador de Domínio afetado
    O serviço W32Time não está em execução Se o Serviço de Tempo do Windows for interrompido, a sincronização de data e hora ficará indisponível. Se esse serviço for desabilitado, os serviços que dependem explicitamente dele não serão iniciados. Execute 'net start win32Time' no Controlador de Domínio afetado
    O serviço ADWS não está em execução Se o serviço Serviços Web do Active Directory for interrompido ou desabilitado, os aplicativos clientes, como o PowerShell do Active Directory, não poderão acessar ou gerenciar nenhuma instância de serviço de diretório em execução localmente nesse servidor. Execute 'net start adws' no Controlador de Domínio afetado
    O controlador de domínio primário raiz não está sincronizando a partir do servidor NTP Se você não configurar o controlador de domínio primário para sincronizar a hora de uma fonte de tempo externa ou interna, o emulador PDC usará o relógio interno e será a fonte de tempo confiável da floresta. Se a hora não estiver correta no próprio controlador de domínio primário, todos os computadores terão configurações de horário incorretas. No Controlador de Domínio afetado, abra um prompt de comando. Pare o serviço de Tempo: net stop w32time
  • Configure a fonte de tempo externa:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Observação: substitua time.windows.com pelo endereço da sua fonte de tempo externa desejada. Inicie o serviço de Tempo:
    net start w32time
  • O controlador de domínio é colocado em quarentena Este Controlador de Domínio não está conectado a nenhum dos outros Controladores de Domínio em funcionamento. Isso pode ser causado devido à configuração incorreta. Como resultado, esse controlador de domínio não está sendo utilizado e não será replicado de/para ninguém. Habilitar replicação de entrada e saída: execute 'repadmin /options ServerName -DISABLE_INBOUND_REPL' no Controlador de Domínio afetado. Execute 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' no Controlador de Domínio afetado. Crie uma nova conexão de replicação para outro Controlador de Domínio:
    1. Abra Sites e Serviços do Active Directory: menu Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
    2. Na árvore de console, expanda Sites e, em seguida, expanda o site ao qual esse Controlador de Domínio pertence.
    3. Expanda o contêiner de Servidores para exibir a lista de servidores.
    4. Expanda o objeto de servidor para esse controlador de domínio.
    5. Clique com o botão direito do mouse no objeto NTDS Settings e clique em New Active Directory Domain Services Connection ...
    6. Selecione um Servidor na lista e clique em OK.
    Como remover domínios órfãos do Active Directory.
    A Replicação de Saída está desabilitada Os controladores de domínio com replicação de saída desabilitada não poderão distribuir as alterações originadas dentro de si. Para habilitar a replicação de saída no controlador de domínio afetado, execute estas etapas: Clique em Iniciar, clique em Executar, digite cmd e, em seguida, clique em OK. Digite o seguinte texto e pressione ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    A Replicação de Entrada está desabilitada Os controladores de domínio com replicação de entrada desabilitada não terão as informações mais recentes. Essa condição pode levar a falhas de logon. Para habilitar a replicação de entrada no controlador de domínio afetado, siga estas etapas: clique em Iniciar, clique em Executar, digite cmd e, em seguida, clique em Ok. Digite o seguinte texto e pressione ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    O serviço LanmanServer não está em execução Se esse serviço for desabilitado, os serviços que dependem explicitamente dele não serão iniciados. Execute 'net start LanManServer' no Controlador de Domínio afetado.
    O serviço Centro de Distribuição de Chaves Kerberos não está em execução Se o serviço KDC for interrompido, os usuários não poderão fazer a autenticação por meio desse Controlador de Domínio usando o protocolo de autenticação Kerberos v5. Execute 'net start kdc' no Controlador de Domínio afetado.
    O serviço DNS não está em execução Se o serviço DNS for interrompido, os computadores e usuários usando esse servidor para fins de DNS não conseguirão localizar recursos. Execute 'net start dns' no Controlador de Domínio afetado.
    O DC possui Reversão de USN Quando ocorrem reversões de USN, modificações em objetos e atributos não são replicados de entrada por controladores de domínio de destino que tenham visto anteriormente o USN. Como esses controladores de domínio de destino acreditam estar atualizados, nenhum erro de replicação é relatado nos logs de eventos do Serviço de Diretório ou por ferramentas de monitoramento e diagnóstico. A reversão de USN pode afetar a replicação de qualquer objeto ou atributo em qualquer partição. O efeito colateral observado com mais frequência é que contas de usuário e de computador criadas no controlador de domínio de reversão não existem em um ou mais parceiros de replicação. Ou, as atualizações de senha originadas no controlador de domínio de reversão não existem nos parceiros de replicação. Há duas abordagens para recuperar de uma reversão de USN:

    Remova o Controlador de Domínio do domínio, seguindo estas etapas:

    1. Remova o Active Directory do controlador de domínio para forçá-lo a ser um servidor autônomo. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
      332199 Os controladores de domínio não são rebaixados quando você usa o Assistente de Instalação do Active Directory para forçar o rebaixamento no Windows Server 2003 e no Windows 2000 Server.
    2. Desligue o servidor rebaixado.
    3. Em um controlador de domínio íntegro, limpe os metadados do controlador de domínio rebaixado. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
      216498 Como remover dados no Active Directory após um rebaixamento do controlador de domínio sem êxito
    4. Se o controlador de domínio restaurado incorretamente hospeda funções de mestre de operações, transfira essas funções para um controlador de domínio íntegro. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
      255504 Como usar o Ntdsutil.exe para transferir ou dimensionar funções FSMO para um controlador de domínio
    5. Reinicie o servidor rebaixado.
    6. Caso seja solicitado, instale o Active Directory no servidor autônomo novamente.
    7. Se o controlador de domínio anteriormente era um catálogo global, configure o controlador de domínio para ser um catálogo global. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
      313994 Como criar ou mover um catálogo global no Windows 2000
    8. Se o controlador de domínio anteriormente hospedou funções de mestre de operações, transfira as funções de mestre de operações de volta para o controlador de domínio. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
      255504 Como usar o Ntdsutil.exe para transferir ou dimensionar as funções FSMO para um controlador de domínio. Restaure o estado de sistema de um bom backup.

    Avalie se existem backups de estado do sistema válidos para esse controlador de domínio. Se um backup de estado do sistema válido tiver sido feito antes de o controlador de domínio revertido ter sido restaurado incorretamente e o backup contiver alterações recentes feitas no controlador de domínio, restaure o estado do sistema com base no backup mais recente.

    Você também pode usar o instantâneo como uma origem de um backup. Ou você pode definir o banco de dados para fornecer a nova ID de invocação usando o procedimento da seção "Para restaurar uma versão anterior de um VHD de controlador de domínio virtual sem o backup de dados do estado do sistema" neste artigo

    Próximas etapas