Catálogo de alertas de integridade do Microsoft Entra Connect

  • Artigo

Os alertas de envio do serviço Microsoft Entra Connect Health indicam que sua infraestrutura de identidade não está íntegra. Este artigo inclui títulos, descrições e etapas de correção de alertas para cada alerta.
Erro, Aviso e Pré-aviso são três estágios de alertas gerados a partir do serviço Connect Health. É altamente recomendável que você tome ações imediatas em alertas acionados.
Os alertas de integridade do Microsoft Entra Connect são resolvidos em uma condição de sucesso. Os Agentes de Saúde do Microsoft Entra Connect detetam e relatam as condições de sucesso para o serviço periodicamente. Para alguns alertas, a supressão é baseada no tempo. Em outras palavras, se a mesma condição de erro não for observada dentro de 72 horas após a geração do alerta, o alerta será resolvido automaticamente.

Geral Alertas

Nome do Alerta Description Remediação
Os dados dos serviços de saúde não estão atualizados O(s) Agente(s) de Integridade em execução em um ou mais servidores não está conectado ao Serviço de Integridade e o Serviço de Integridade não está recebendo os dados mais recentes desse servidor. Os últimos dados tratados pelo Serviço de Saúde têm mais de 2 horas. Certifique-se de que os agentes de saúde tenham conectividade de saída para os pontos finais de serviço necessários. Ler Mais

Alertas para o Microsoft Entra Connect (Sync)

Nome do Alerta Description Remediação
O Serviço de Sincronização do Microsoft Entra Connect não está em execução O serviço Microsoft Entra ID Sync Windows não está em execução ou não pôde ser iniciado. Como resultado, os objetos não serão sincronizados com o Microsoft Entra ID. Iniciar o Microsoft Entra ID Sync Services
  1. Clique em Iniciar , clique em Executar , digite Services.msc e, em seguida, clique em OK .
  2. Localize o serviço Microsoft Entra ID Sync e, em seguida, verifique se o serviço foi iniciado. Se o serviço não for iniciado, clique com o botão direito do rato no mesmo e, em seguida, clique em Iniciar.
Falha ao importar do Microsoft Entra ID A operação de importação do Microsoft Entra Connector falhou. Investigue os erros da operação de importação no registo de eventos para obter mais detalhes.
Falha na ligação com o Microsoft Entra ID devido a uma falha de autenticação Falha na ligação com o Microsoft Entra ID devido a uma falha de autenticação. Como resultado, os objetos não serão sincronizados com o Microsoft Entra ID. Investigue os erros do log de eventos para obter mais detalhes.
Falha na exportação para o Active Directory A operação de exportação para o Conector Active Directory falhou. Investigue os erros da operação de exportação no registo de eventos para obter mais detalhes.
Falha na importação do Ative Directory Falha ao importar do Ative Directory. Como resultado, objetos de alguns domínios dessa floresta podem não ser importados.
  • Verificar a conectividade DC
  • Executar novamente a importação manualmente
  • Investigue erros de log de eventos da operação de importação para obter mais detalhes.
    		•
    Falha ao exportar para o Microsoft Entra ID A operação de exportação para o Microsoft Entra Connector falhou. Como resultado, alguns objetos podem não ser exportados com êxito para o Microsoft Entra ID. Investigue os erros da operação de exportação no registo de eventos para obter mais detalhes.
    A pulsação da Sincronização de Hash de Senha foi ignorada nos últimos 120 minutos A Sincronização de Hash de Senha não se conectou com o ID do Microsoft Entra nos últimos 120 minutos. Como resultado, as senhas não serão sincronizadas com o Microsoft Entra ID. Reinicie o Microsoft Entra ID Sync Services:
    Todas as operações de sincronização que estão em execução no momento serão interrompidas. Você pode optar por executar as etapas abaixo quando nenhuma operação de sincronização estiver em andamento.
    1. Clique em Iniciar, clique em Executar, escreva Services.msc e, em seguida, clique em OK.
    2. Localize o Microsoft Entra ID Sync, clique com o botão direito do rato no mesmo e, em seguida, clique em Reiniciar.
    Alto uso da CPU detetado A percentagem de consumo de CPU ultrapassou o limite recomendado neste servidor.
  • Isso pode ser um pico temporário no consumo de CPU. Verifique a tendência de uso da CPU na seção Monitoramento.
  • Inspecione os principais processos que consomem o maior uso de CPU no servidor.
    1. Você pode usar o Gerenciador de Tarefas ou executar o seguinte Comando do PowerShell:
      get-process | Sort-Object -CPU descendente | Select-Object -Primeiro 10
    2. Se houver processos inesperados consumindo alto uso da CPU, pare os processos usando o seguinte comando do PowerShell:
      stop-process -ProcessName [nome do processo]
  • Se os processos vistos na lista acima forem os processos pretendidos em execução no servidor e o consumo de CPU estiver continuamente perto do limite, considere reavaliar os requisitos de implantação desse servidor.
  • Como uma opção à prova de falhas, você pode considerar reiniciar o servidor.
    		•
    Alto consumo de memória detetado A percentagem de consumo de memória do servidor está acima do limite recomendado neste servidor. Inspecione os principais processos que consomem a memória mais alta no servidor. Você pode usar o Gerenciador de Tarefas ou executar o seguinte Comando do PowerShell:
    get-process | Sort-Object -WS descendente | Select-Object -First 10
    Se houver processos inesperados consumindo muita memória, pare os processos usando o seguinte comando do PowerShell:
    stop-process -ProcessName [nome do processo]
  • Se os processos vistos na lista acima forem os processos pretendidos em execução no servidor, considere reavaliar os requisitos de implantação desse servidor.
  • Como uma opção à prova de falhas, você pode considerar reiniciar o servidor.
    		•
    A Sincronização de Hash de Palavra-passe deixou de funcionar A Sincronização de Hash de Palavra-passe parou. Como resultado, as senhas não serão sincronizadas com o Microsoft Entra ID. Reinicie o Microsoft Entra ID Sync Services:
    Todas as operações de sincronização que estão em execução no momento serão interrompidas. Você pode optar por executar as etapas abaixo quando nenhuma operação de sincronização estiver em andamento.
    1. Clique em Iniciar , clique em Executar , digite Services.msc e, em seguida, clique em OK .
    2. Localize o Microsoft Entra ID Sync, clique com o botão direito do rato no mesmo e, em seguida, clique em Reiniciar.
    A exportação para o Microsoft Entra ID foi interrompida. O limiar de eliminação acidental foi atingido A operação de exportação para o Microsoft Entra ID falhou. Havia mais objetos a serem excluídos do que o limite configurado. Como resultado, nenhum objeto foi exportado.
  • O número de objetos marcados para exclusão é maior do que o limite definido. Certifique-se de que este resultado é desejado.
  • Para permitir que a exportação continue, execute as seguintes etapas:
    1. Desative o Threshold executando Disable-ADSyncExportDeletionThreshold
    2. Iniciar o Gerenciador de Serviços de Sincronização
    3. Executar Exportar no Conector com tipo = ID do Microsoft Entra
    4. Depois de exportar com êxito os objetos, habilite Threshold executando: Enable-ADSyncExportDeletionThreshold
    		•

    Alertas para os Serviços de Federação do Ative Directory

    Nome do Alerta Description Remediação
    Falha na solicitação de autenticação de teste (transação sintética) ao obter um token As solicitações de autenticação de teste (Transações Sintéticas) iniciadas a partir deste servidor não conseguiram obter um token após 5 tentativas. Isso pode ser causado devido a problemas transitórios de rede, disponibilidade do Controlador de Domínio AD DS ou um servidor AD FS mal configurado. Como resultado, as solicitações de autenticação processadas pelo serviço de federação podem falhar. O agente usa o contexto da Conta de Computador Local para obter um token do Serviço de Federação. Certifique-se de que as etapas a seguir sejam tomadas para validar a integridade do servidor.
    1. Valide se não há alertas adicionais não resolvidos para este ou outros servidores AD FS em seu farm.
    2. Valide se essa condição não é uma falha transitória fazendo logon com um usuário de teste na página de logon do AD FS disponível em https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Vá e https://testconnectivity.microsoft.com escolha a guia 'Office 365'. Execute o 'Teste de logon único do Office 365'.
    4. Verifique se o nome do serviço AD FS pode ser resolvido a partir deste servidor executando o seguinte comando a partir de uma linha de comandos neste servidor. nslookup your_adfs_server_name

    Se o nome do serviço não puder ser resolvido, consulte a seção Perguntas frequentes para obter instruções sobre como adicionar uma entrada de arquivo HOST do seu serviço AD FS com o endereço IP deste servidor. Isso permitirá que o módulo de transação sintética em execução neste servidor solicite um token
    O servidor proxy não pode alcançar o servidor de federação Este servidor proxy do AD FS não consegue contactar o serviço AD FS. Como resultado, as solicitações de autenticação processadas por este servidor falharão. Execute as etapas a seguir para validar a conectividade entre este servidor e o serviço AD FS.
    1. Verifique se o firewall entre este servidor e o serviço AD FS está configurado com precisão.
    2. Certifique-se de que a resolução DNS para o nome do serviço AD FS aponte adequadamente para o serviço AD FS que reside na rede corporativa. Isto pode ser conseguido através de um servidor DNS que serve este servidor na rede de perímetro ou através de entradas nos ficheiros HOSTS para o nome do serviço AD FS.
    3. Valide a conectividade de rede abrindo o navegador neste servidor e acessando o ponto de extremidade de metadados de federação, que está em https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    O Certificado SSL está prestes a expirar O certificado TLS/SSL usado pelos servidores de Federação está prestes a expirar dentro de 90 dias. Uma vez expirada, todas as solicitações que exigem uma conexão TLS válida falharão. Por exemplo, para clientes do Microsoft 365, os clientes de email não poderão se autenticar. Atualize o certificado TLS/SSL em cada servidor AD FS.
    1. Obtenha o certificado TLS/SSL com os seguintes requisitos.
      1. O Uso Avançado de Chaves é, pelo menos, a Autenticação do Servidor.
      2. O Assunto do Certificado ou o Nome Alternativo da Entidade (SAN) contém o nome DNS do Serviço de Federação ou o curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com
    2. Instale o novo certificado TLS/SSL em cada servidor no armazenamento de certificados da máquina local.
    3. Verifique se a Conta de Serviço do AD FS tem acesso de leitura à Chave Privada do certificado

    Para AD FS 2.0 no Windows Server 2008R2:

    • Associe o novo certificado TLS/SSL ao site no IIS, que hospeda o Serviço de Federação. Observe que você deve executar esta etapa em cada proxy do Servidor de Federação e do Servidor de Federação.

    Para AD FS no Windows Server 2012 R2 e versões posteriores:

  • Consulte Gerenciando certificados SSL no AD FS e WAP
    • O serviço AD FS não está em execução no servidor O Serviço de Federação do Ative Directory (Serviço do Windows) não está em execução neste servidor. Todas as solicitações direcionadas a este servidor falharão. Para iniciar o Serviço de Federação do Ative Directory (Serviço do Windows):
    1. Faça logon no servidor como administrador.
    2. Abrir services.msc
    3. Localizar "Serviços de Federação do Ative Directory"
    4. Clique com o botão direito do rato e selecione "Iniciar"
    DNS para o Serviço de Federação pode estar configurado incorretamente O servidor DNS pode ser configurado para usar um registro CNAME para o nome do farm do AD FS. É recomendável usar um registro A ou AAAA para AD FS para que a Autenticação Integrada do Windows funcione perfeitamente em sua rede corporativa. Verifique se o tipo de registro DNS do farm <Farm Name> do AD FS não é CNAME. Configure-o para ser um registro A ou AAAA.
    A Auditoria do AD FS está desativada A Auditoria do AD FS está desativada para o servidor. A secção Utilização do AD FS no portal não incluirá dados deste servidor. Se as Auditorias do AD FS não estiverem habilitadas, siga estas instruções:
    1. Conceda à conta de serviço do AD FS o direito "Gerar auditorias de segurança" no servidor AD FS.
    2. Abra a política de segurança local no servidor gpedit.msc.
    3. Navegue até "Configuração do Computador\Configurações do Windows\Políticas Locais\Atribuição de Direitos de Usuário"
    4. Adicione a Conta de Serviço do AD FS para ter o direito "Gerar auditorias de segurança".
    5. Execute o seguinte comando no prompt de comando:
      auditpol.exe /set /subcategory:"Aplicação gerada" /failure:enable /success:enable
    6. Atualize as Propriedades do Serviço de Federação para incluir Auditorias de Êxito e Falha.
    7. No console do AD FS, escolha "Editar Propriedades do Serviço de Federação"
    8. Na caixa de diálogo "Propriedades do Serviço de Federação", escolha a guia Eventos e selecione "Auditorias de sucesso" e "Auditorias de falha"

    Depois de seguir estes passos, os Eventos de Auditoria do AD FS devem estar visíveis a partir do Visualizador de Eventos. Para verificar:

    1. Vá para Visualizador de Eventos/ Logs do Windows / Segurança.
    2. Selecione Filtrar Logs Atuais e selecione Auditoria do AD FS na lista suspensa Fontes de eventos. Para um servidor AD FS ativo com a auditoria do AD FS habilitada, os eventos devem estar visíveis para a filtragem acima.

    Se você já seguiu estas instruções antes, mas ainda vê esse alerta, é possível que um Objeto de Diretiva de Grupo esteja desabilitando a auditoria do AD FS. A causa raiz pode ser uma das seguintes:

    1. A conta de serviço do AD FS está a ser removida do direito de Gerar Auditorias de Segurança.
    2. Um script personalizado no Objeto de Diretiva de Grupo está desabilitando auditorias de sucesso e falha com base em "Aplicativo gerado".
    3. A configuração do AD FS não está habilitada para gerar auditorias de Sucesso/Falha.
    O certificado AD FS SSL é autoassinado No momento, você está usando um certificado autoassinado como o certificado TLS/SSL em seu farm do AD FS. Como resultado, a autenticação do cliente de email para o Microsoft 365 falhará

    Atualize o certificado TLS/SSL em cada servidor AD FS.

    1. Obtenha um certificado TLS/SSL publicamente confiável com os seguintes requisitos.
    2. O arquivo de instalação do certificado contém sua chave privada.
    3. O Uso Avançado de Chaves é, pelo menos, a Autenticação do Servidor.
    4. O Assunto do Certificado ou o Nome Alternativo da Entidade (SAN) contém o nome DNS do Serviço de Federação ou o curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com

    Instale o novo certificado TLS/SSL em cada servidor no armazenamento de certificados da máquina local.

      Verifique se a Conta de Serviço do AD FS tem acesso de leitura à Chave Privada do certificado.
      Para AD FS 2.0 no Windows Server 2008R2:
    1. Associe o novo certificado TLS/SSL ao site no IIS, que hospeda o Serviço de Federação. Observe que você deve executar esta etapa em cada proxy do Servidor de Federação e do Servidor de Federação.

      2. Para AD FS no Windows Server 2012 R2 ou versões posteriores:
    2. Consulte Gerenciando certificados SSL no AD FS e WAP
    A confiança entre o servidor proxy e o servidor de federação não é válida Não foi possível estabelecer ou renovar a confiança entre o proxy do servidor de federação e o Serviço de Federação. Atualize o Certificado de Confiança de Proxy no servidor proxy. Execute novamente o Assistente de Configuração de Proxy.
    Proteção de bloqueio de extranet desativada para AD FS O recurso Proteção contra Bloqueio de Extranet está DESABILITADO em seu farm do AD FS. Esse recurso protege seus usuários contra ataques de senha de força bruta da Internet e impede ataques de negação de serviço contra seus usuários quando as políticas de bloqueio de conta do AD DS estiverem em vigor. Com este recurso habilitado, se o número de tentativas de login na extranet com falha para um usuário (tentativas de login feitas via servidor WAP e AD FS) exceder o 'ExtranetLockoutThreshold', os servidores AD FS pararão de processar novas tentativas de login para 'ExtranetObservationWindow' É altamente recomendável que você habilite esse recurso em seus servidores AD FS. Execute o seguinte comando para ativar a Proteção contra Bloqueio de Extranet do AD FS com valores padrão.
    Set-AdfsProperties -EnableExtranetLockout $true

    Se você tiver políticas de bloqueio do AD configuradas para seus usuários, verifique se a propriedade 'ExtranetLockoutThreshold' está definida como um valor abaixo do limite de bloqueio do AD DS. Isso garante que as solicitações que excederam o limite do AD FS sejam descartadas e nunca validadas em relação aos servidores AD DS.
    SPN (Nome da Entidade de Serviço) inválido para a conta de serviço do AD FS O Nome da Entidade de Serviço da conta do Serviço de Federação não está registado ou não é exclusivo. Como resultado, a Autenticação Integrada do Windows de clientes ingressados no domínio pode não ser perfeita. Use [SETSPN -L ServiceAccountName] para listar as Entidades de Serviço.
    Use [SETSPN -X] para verificar se há nomes de entidade de serviço duplicados.

    Se o SPN estiver duplicado para a conta de serviço do AD FS, remova o SPN da conta duplicada usando [SETSPN -d service/namehostname]

    Se o SPN não estiver definido, use [SETSPN -s {Desired-SPN} {domain_name}{service_account}] para definir o SPN desejado para a Conta do Serviço de Federação.
    O certificado de Desencriptação de Token do AD FS Principal está prestes a expirar O certificado de Desencriptação de Token do AD FS Principal está prestes a expirar em menos de 90 dias. O AD FS não pode descriptografar tokens de provedores de declarações confiáveis. O AD FS não pode desencriptar cookies SSO encriptados. Os usuários finais não poderão se autenticar para acessar recursos. Se a substituição automática de certificados estiver habilitada, o AD FS gerenciará o Certificado de Descriptografia de Token.

    Se você gerencia seu certificado manualmente, siga as instruções abaixo. Obtenha um novo Certificado de Desencriptação de Token.

    1. Certifique-se de que o Uso Avançado de Chave (EKU) inclua "Codificação de chave"
    2. O nome alternativo do assunto ou do assunto (SAN) não tem restrições.
    3. Observe que seus Servidores de Federação e parceiros do Provedor de Declarações precisam ser capazes de encadear a uma autoridade de certificação raiz confiável ao validar seu certificado de Descriptografia de Token.
    Decida como seus parceiros do Provedor de Declarações confiarão no novo certificado de descriptografia de tokens
    1. Peça aos parceiros que extraiam os metadados de federação depois de atualizar o certificado.
    2. Partilhe a chave pública do novo certificado. (.cer dossiê) com os parceiros. No servidor AD FS do parceiro do Provedor de Declarações, inicie o Gerenciamento do AD FS no menu Ferramentas Administrativas. Em Relações de Confiança/Confianças de Terceira Parte Confiável, selecione a relação de confiança que foi criada para você. Em Propriedades/Encriptação, clique em "Procurar" para selecionar o novo certificado de desencriptação de tokens e clique em OK.
    Instale o certificado no armazenamento de certificados local em cada Servidor de Federação.
    • Verifique se o arquivo de instalação do certificado tem a Chave Privada do certificado em cada servidor.
    Verifique se a conta do serviço de federação tem acesso à chave privada do novo certificado.Adicione o novo certificado ao AD FS.
    1. Iniciar a Gestão do AD FS a partir do menu Ferramentas Administrativas
    2. Expanda Serviço e selecione Certificados
    3. No painel Ações, clique em Adicionar Certificado de Descriptografia de Token
    4. Ser-lhe-á apresentada uma lista de certificados que são válidos para a Desencriptação de Tokens. Se você achar que seu novo certificado não está sendo apresentado na lista, precisará voltar e certificar-se de que o certificado está no armazenamento pessoal do computador local com uma chave privada associada e o certificado tem a Codificação de Chave como Uso Estendido de Chave.
    5. Selecione seu novo certificado de descriptografia de token e clique em OK.
    Defina o novo certificado de descriptografia de token como primário.
    1. Com o nó Certificados no Gerenciamento do AD FS selecionado, agora você verá dois certificados listados em Descriptografia de token: o certificado existente e o novo.
    2. Selecione seu novo certificado de descriptografia de token, clique com o botão direito do mouse e selecione Definir como principal.
    3. Deixe o certificado antigo como secundário para fins de roll-over. Você deve planejar remover o certificado antigo quando tiver certeza de que ele não é mais necessário para a substituição ou quando o certificado expirar.
    O certificado de Assinatura de Token Principal do AD FS está prestes a expirar O certificado de assinatura de token do AD FS está prestes a expirar dentro de 90 dias. O AD FS não pode emitir tokens assinados quando este certificado não é válido. Obtenha um novo Certificado de Assinatura de Token.
    1. Certifique-se de que o Uso Avançado de Chave (EKU) inclua "Assinatura Digital"
    2. O nome alternativo do assunto ou do assunto (SAN) não tem restrições.
    3. Observe que os Servidores de Federação, os Servidores de Federação de Parceiros de Recursos e os servidores de Aplicativos de Terceira Parte Confiável precisam ser capazes de encadear a uma autoridade de certificação raiz confiável ao validar seu certificado de Assinatura de Token.
    Instale o certificado no armazenamento de certificados local em cada Servidor de Federação.
    • Verifique se o arquivo de instalação do certificado tem a Chave Privada do certificado em cada servidor.
    Verifique se a Conta do Serviço de Federação tem acesso à chave privada do novo certificado.Adicione o novo certificado ao AD FS.
    1. Inicie o Gerenciamento do AD FS no menu Ferramentas Administrativas.
    2. Expanda Serviço e selecione Certificados
    3. No painel Ações, clique em Adicionar Certificado de Assinatura de Token...
    4. Você receberá uma lista de certificados válidos para assinatura de token. Se você achar que seu novo certificado não está sendo apresentado na lista, você precisa voltar e certificar-se de que o certificado está no armazenamento pessoal do computador local com chave privada associada e o certificado tem a KU de assinatura digital.
    5. Selecione seu novo certificado de assinatura de token e clique em OK
    Informe todas as Partes Confiáveis sobre a alteração no Certificado de Assinatura de Token.
    1. As Partes Confiáveis que consomem metadados de federação do AD FS devem extrair os novos Metadados de Federação para começar a usar o novo certificado.
    2. As Partes Confiáveis que NÃO consomem metadados de federação do AD FS devem atualizar manualmente a chave pública do novo Certificado de Assinatura de Token. Partilhe o ficheiro .cer com as Partes Confiadoras.
      3. Defina o novo Certificado de Assinatura de Token como Principal.
      1. Com o nó Certificados no Gerenciamento do AD FS selecionado, você verá dois certificados listados em Assinatura de Token: o certificado existente e o novo.
      2. Selecione seu novo certificado de assinatura de token, clique com o botão direito do mouse e selecione Definir como principal
      3. Deixe o certificado antigo como secundário para fins de sobreposição. Você deve planejar remover o certificado antigo quando tiver certeza de que ele não é mais necessário para a substituição ou quando o certificado expirar. Observe que as sessões de SSO dos usuários atuais são assinadas. As relações atuais de Confiança de Proxy do AD FS utilizam tokens assinados e criptografados usando o certificado antigo.
    O certificado AD FS SSL não foi encontrado no armazenamento de certificados local O certificado com a impressão digital configurado como o certificado TLS/SSL no banco de dados do AD FS não foi encontrado no armazenamento de certificados local. Como resultado, qualquer solicitação de autenticação pelo TLS falhará. Por exemplo, a autenticação do cliente de email para o Microsoft 365 falhará. Instale o certificado com a impressão digital configurada no armazenamento de certificados local.
    O Certificado SSL expirou O certificado TLS/SSL para o serviço AD FS expirou. Como resultado, todas as solicitações de autenticação que exigem uma conexão TLS válida falharão. Por exemplo: a autenticação do cliente de email não poderá ser autenticada para o Microsoft 365. Atualize o certificado TLS/SSL em cada servidor AD FS.
    1. Obtenha o certificado TLS/SSL com os seguintes requisitos.
    2. O Uso Avançado de Chaves é, pelo menos, a Autenticação do Servidor.
    3. O Assunto do Certificado ou o Nome Alternativo da Entidade (SAN) contém o nome DNS do Serviço de Federação ou o curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com
    4. Instale o novo certificado TLS/SSL em cada servidor no armazenamento de certificados da máquina local.
    5. Verifique se a Conta de Serviço do AD FS tem acesso de leitura à Chave Privada do certificado

    Para AD FS 2.0 no Windows Server 2008R2:

    • Associe o novo certificado TLS/SSL ao site no IIS, que hospeda o Serviço de Federação. Observe que você deve executar esta etapa em cada proxy do Servidor de Federação e do Servidor de Federação.

    Para AD FS no Windows Server 2012 R2 ou versões posteriores: consulte: Gerenciando certificados SSL no AD FS e WAP

    Os pontos de extremidade necessários para o Microsoft Entra ID (para Microsoft 365) não estão habilitados O seguinte conjunto de pontos finais exigidos pelo Exchange Online Services, Microsoft Entra ID e Microsoft 365 não estão habilitados para o serviço de federação:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Habilite os pontos de extremidade necessários para os Serviços de Nuvem da Microsoft em seu serviço de federação.
    Para AD FS no Windows Server 2012R2 ou versões posteriores
  • Consulte: Gerenciando certificados SSL no AD FS e WAP

    • O servidor de Federação não pôde se conectar ao Banco de Dados de Configuração do AD FS A conta de serviço do AD FS está enfrentando problemas ao se conectar ao banco de dados de configuração do AD FS. Como resultado, o serviço AD FS neste computador pode não funcionar conforme o esperado.
  • Verifique se a conta de serviço do AD FS tem acesso ao banco de dados de configuração.
  • Verifique se o serviço Banco de Dados de Configuração do AD FS está disponível e acessível.
    • As ligações SSL necessárias estão ausentes ou não estão configuradas As ligações TLS necessárias para que este servidor de federação execute a autenticação com êxito estão configuradas incorretamente. Como resultado, o AD FS não pode processar nenhuma solicitação de entrada. Para Windows Server 2012 R2
    Abra um prompt de comando de administrador elevado e execute os seguintes comandos:
    1. Para exibir a associação TLS atual: Get-AdfsSslCertificate
    2. Para adicionar novas associações: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F1011121314 appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
    O certificado de Assinatura de Token do AD FS Principal expirou O certificado de Assinatura de Token do AD FS expirou. O AD FS não pode emitir tokens assinados quando este certificado não é válido. Se a substituição automática de certificados estiver habilitada, o AD FS gerenciará a atualização do Certificado de Assinatura de Token.

    Se você gerencia seu certificado manualmente, siga as instruções abaixo.

    1. Obtenha um novo Certificado de Assinatura de Token.
      1. Certifique-se de que o Uso Avançado de Chave (EKU) inclua "Assinatura Digital"
      2. O nome alternativo do assunto ou do assunto (SAN) não tem restrições.
      3. Lembre-se de que os Servidores de Federação, os Servidores de Federação de Parceiros de Recursos e os servidores de Aplicativos de Terceira Parte Confiável precisam ser capazes de encadear para uma autoridade de certificação raiz confiável ao validar seu certificado de Assinatura de Token.
    2. Instale o certificado no armazenamento de certificados local em cada Servidor de Federação.
      • Verifique se o arquivo de instalação do certificado tem a Chave Privada do certificado em cada servidor.
    3. Verifique se a Conta do Serviço de Federação tem acesso à chave privada do novo certificado.
    4. Adicione o novo certificado ao AD FS.
      1. Inicie o Gerenciamento do AD FS no menu Ferramentas Administrativas.
      2. Expanda Serviço e selecione Certificados
      3. No painel Ações, clique em Adicionar Certificado de Assinatura de Token...
      4. Você receberá uma lista de certificados válidos para assinatura de token. Se você achar que seu novo certificado não está sendo apresentado na lista, você precisa voltar e certificar-se de que o certificado está no armazenamento pessoal do computador local com chave privada associada e o certificado tem a KU de assinatura digital.
      5. Selecione seu novo certificado de assinatura de token e clique em OK
    5. Informe todas as Partes Confiáveis sobre a alteração no Certificado de Assinatura de Token.
      1. As Partes Confiáveis que consomem metadados de federação do AD FS devem extrair os novos Metadados de Federação para começar a usar o novo certificado.
      2. As Partes Confiáveis que NÃO consomem metadados de federação do AD FS devem atualizar manualmente a chave pública do novo Certificado de Assinatura de Token. Partilhe o ficheiro .cer com as Partes Confiadoras.
    6. Defina o novo Certificado de Assinatura de Token como Principal.
      1. Com o nó Certificados no Gerenciamento do AD FS selecionado, você verá dois certificados listados em Assinatura de Token: o certificado existente e o novo.
      2. Selecione seu novo certificado de assinatura de token, clique com o botão direito do mouse e selecione Definir como principal
      3. Deixe o certificado antigo como secundário para fins de sobreposição. Você deve planejar remover o certificado antigo quando tiver certeza de que ele não é mais necessário para a substituição ou quando o certificado expirar. Lembre-se de que as sessões de SSO dos usuários atuais são assinadas. As relações atuais de Confiança de Proxy do AD FS utilizam tokens assinados e criptografados usando o certificado antigo.
    O servidor proxy está descartando solicitações de controle de congestionamento Este servidor proxy está atualmente a eliminar pedidos da extranet devido a uma latência superior ao normal entre este servidor proxy e o servidor de federação. Como resultado, determinada parte das solicitações de autenticação processadas pelo servidor Proxy do AD FS pode falhar.
  • Verifique se a latência de rede entre o Servidor Proxy de Federação e os Servidores de Federação está dentro do intervalo aceitável. Consulte a seção Monitoramento para ver os valores de tendência da "Latência de solicitação de token". Uma latência superior a [1500 ms] deve ser considerada como latência elevada. Se for observada uma latência elevada, certifique-se de que a rede entre os servidores Proxy AD FS e AD FS não tem quaisquer problemas de conectividade.
  • Verifique se os Servidores de Federação não estão sobrecarregados com solicitações de autenticação. A Seção de Monitoramento fornece visualizações de tendências para solicitações de token por segundo, utilização da CPU e consumo de memória.
  • Se os itens acima tiverem sido verificados e esse problema ainda for visto, ajuste a configuração de prevenção de congestionamento em cada um dos Servidores Proxy de Federação de acordo com as orientações dos links relacionados.
    		•
    A conta de serviço do AD FS tem acesso negado a uma das chaves privadas do certificado. A conta de serviço do AD FS não tem acesso à chave privada de um dos certificados do AD FS neste computador. Verifique se a conta de serviço do AD FS tem acesso aos certificados TLS, assinatura de token e descriptografia de token armazenados no armazenamento de certificados do computador local.
    1. Na linha de comando, digite MMC.
    2. Ir para Ficheiro-Adicionar>/Remover Snap-In
    3. Selecione Certificados e clique em Adicionar. -> Selecione Conta de computador e clique em Avançar. -> Selecione Computador Local e clique em Concluir. Clique em OK.

    Abra Certificados(Computador Local)/Pessoal/Certificados.Para todos os certificados usados pelo AD FS:
    1. Clique com o botão direito do rato no certificado.
    2. Selecione Todas as tarefas -> Gerenciar chaves privadas.
    3. Na guia Segurança, em Nomes de grupo ou de usuário, verifique se a conta de serviço do AD FS está presente. Caso contrário, selecione Adicionar e adicionar a conta de serviço do AD FS.
    4. Selecione a conta de serviço do AD FS e, em "Permissões para <Nome> da Conta de Serviço do AD FS", verifique se permissão de Ler é permitido (marca de seleção).
    O certificado AD FS SSL não tem uma chave privada O certificado AD FS TLS/SSL foi instalado sem uma chave privada. Como resultado, qualquer solicitação de autenticação sobre o SSL falhará. Por exemplo, a autenticação do cliente de email para o Microsoft 365 falhará. Atualize o certificado TLS/SSL em cada servidor AD FS.
    1. Obtenha um certificado TLS/SSL publicamente confiável com os seguintes requisitos.
      1. O arquivo de instalação do certificado contém sua chave privada.
      2. O Uso Avançado de Chaves é, pelo menos, a Autenticação do Servidor.
      3. O Assunto do Certificado ou o Nome Alternativo da Entidade (SAN) contém o nome DNS do Serviço de Federação ou o curinga apropriado. Por exemplo: sso.contoso.com ou *.contoso.com
    2. Instale o novo certificado TLS/SSL em cada servidor no armazenamento de certificados da máquina local.
    3. Verifique se a Conta de Serviço do AD FS tem acesso de leitura à Chave Privada do certificado

    Para AD FS 2.0 no Windows Server 2008R2:

    • Associe o novo certificado TLS/SSL ao site no IIS, que hospeda o Serviço de Federação. Observe que você deve executar esta etapa em cada proxy do Servidor de Federação e do Servidor de Federação.

    Para AD FS no Windows Server 2012 R2 ou versões posteriores:

  • Consulte: Gerenciando certificados SSL no AD FS e WAP
    • O certificado de Desencriptação de Token do AD FS Principal expirou O certificado de Desencriptação de Token do AD FS Principal expirou. O AD FS não pode descriptografar tokens de provedores de declarações confiáveis. O AD FS não pode desencriptar cookies SSO encriptados. Os usuários finais não poderão se autenticar para acessar recursos.

    Se a substituição automática de certificados estiver habilitada, o AD FS gerenciará o Certificado de Descriptografia de Token.

    Se você gerencia seu certificado manualmente, siga as instruções abaixo.

    1. Obtenha um novo Certificado de Desencriptação de Token.
      • Certifique-se de que o Uso Avançado de Chave (EKU) inclua "Codificação de chave".
      • O nome alternativo do assunto ou do assunto (SAN) não tem restrições.
      • Observe que seus Servidores de Federação e parceiros do Provedor de Declarações precisam ser capazes de encadear a uma autoridade de certificação raiz confiável ao validar seu certificado de Descriptografia de Token.
    2. Decida como seus parceiros do Provedor de Declarações confiarão no novo certificado de descriptografia de tokens
      • Peça aos parceiros que extraiam os metadados de federação depois de atualizar o certificado.
      • Partilhe a chave pública do novo certificado. (.cer dossiê) com os parceiros. No servidor AD FS do parceiro do Provedor de Declarações, inicie o Gerenciamento do AD FS no menu Ferramentas Administrativas. Em Relações de Confiança/Confianças de Terceira Parte Confiável, selecione a relação de confiança que foi criada para você. Em Propriedades/Encriptação, clique em "Procurar" para selecionar o novo certificado de desencriptação de tokens e clique em OK.
    3. Instale o certificado no armazenamento de certificados local em cada Servidor de Federação.
      • Verifique se o arquivo de instalação do certificado tem a Chave Privada do certificado em cada servidor.
    4. Verifique se a conta do serviço de federação tem acesso à chave privada do novo certificado.
    5. Adicione o novo certificado ao AD FS.
      • Iniciar a Gestão do AD FS a partir do menu Ferramentas Administrativas
      • Expanda Serviço e selecione Certificados
      • No painel Ações, clique em Adicionar Certificado de Descriptografia de Token
      • Ser-lhe-á apresentada uma lista de certificados que são válidos para a Desencriptação de Tokens. Se você achar que seu novo certificado não está sendo apresentado na lista, precisará voltar e certificar-se de que o certificado está no armazenamento pessoal do computador local com uma chave privada associada e o certificado tem a Codificação de Chave como Uso Estendido de Chave.
      • Selecione seu novo certificado de descriptografia de token e clique em OK.
    6. Defina o novo certificado de descriptografia de token como primário.
      • Com o nó Certificados no Gerenciamento do AD FS selecionado, agora você verá dois certificados listados em Descriptografia de token: o certificado existente e o novo.
      • Selecione seu novo certificado de descriptografia de token, clique com o botão direito do mouse e selecione Definir como principal.
      • Deixe o certificado antigo como secundário para fins de roll-over. Você deve planejar remover o certificado antigo quando tiver certeza de que ele não é mais necessário para a substituição ou quando o certificado expirar.

    Alertas para os Serviços de Domínio Ative Directory

    Nome do Alerta Description Remediação
    O controlador de domínio está inacessível via ping LDAP O Controlador de Domínio não pode ser acessado via Ping LDAP. Isso pode ser causado devido a problemas de rede ou problemas de máquina. Como resultado, o LDAP Pings falhará.
  • Examine a lista de alertas em busca de alertas relacionados, como: O Controlador de Domínio não está anunciando.
  • Verifique se o Controlador de Domínio afetado tem espaço em disco suficiente. A falta de espaço impedirá que o DC se anuncie como um servidor LDAP.
  • Tente encontrar o PDC: Executar
    netdom query fsmo
    no Controlador de Domínio afetado.
  • Verifique se a rede física está configurada/conectada corretamente.
    • Erro de replicação do Ative Directory encontrado Este controlador de domínio está enfrentando problemas de replicação, que podem ser encontrados acessando o Painel de Status de Replicação. Os erros de replicação podem ser devidos a configuração incorreta ou outros problemas relacionados. Erros de replicação não tratados podem levar à inconsistência de dados. Consulte detalhes adicionais para obter os nomes dos DCs de origem e de destino afetados. Navegue até o painel Status da replicação e procure os erros ativos nos DCs afetados. Clique no erro para abrir uma lâmina com mais detalhes sobre como corrigir esse erro específico.
    O controlador de domínio não consegue encontrar um PDC Um PDC não é acessível através deste controlador de domínio. Isso levará a logons de usuário afetados, alterações de diretiva de grupo não aplicadas e falha na sincronização de tempo do sistema.
  • Examine a lista de alertas em busca de alertas relacionados que possam estar afetando seu PDC, como: O Controlador de Domínio não está anunciando.
  • Tente encontrar o PDC: Executar
    netdom query fsmo
    no Controlador de Domínio afetado.
  • Verifique se a rede está funcionando corretamente.
    • O controlador de domínio não consegue localizar um servidor de Catálogo Global Um servidor de catálogo global não pode ser acessado a partir deste controlador de domínio. Isso resultará em autenticações com falha tentadas através deste Controlador de Domínio. Examine a lista de alertas para verificar se o Controlador de Domínio não está anunciando alertas em que o servidor afetado pode ser um GC. Se não houver alertas de publicidade, verifique os registros SRV para os GCs. Você pode verificá-los correndo:
    nltest /dnsgetdc: [ForestName] /gc
    Ele deve listar os DCs anunciando como GCs. Se a lista estiver vazia, verifique a configuração do DNS para garantir que o GC registrou os registros SRV. O DC é capaz de encontrá-los no DNS.
    Para solucionar problemas de catálogos globais, consulte Publicidade como um servidor de catálogo global.
    O controlador de domínio não consegue aceder à partilha sysvol local Sysvol contém elementos importantes de Objetos de Diretiva de Grupo e scripts a serem distribuídos dentro de DCs de um domínio. O DC não se anunciará como DC e as Políticas de Grupo não serão aplicadas. Consulte Como solucionar problemas de compartilhamentos sysvol e Netlogon ausentes
    O tempo do controlador de domínio está fora de sincronia O tempo neste Controlador de Domínio está fora do intervalo normal de Distorção de Tempo. Como resultado, as autenticações Kerberos falharão.
  • Reinicie o Serviço de Tempo do Windows: Executar
    net stop w32time
    então
    net start w32time
    no Controlador de Domínio afetado.
  • Tempo de ressincronização: Executar
    w32tm /resync
    no Controlador de Domínio afetado.
    		•
    O controlador de domínio não está anunciando Este controlador de domínio não está a publicitar corretamente as funções que é capaz de desempenhar. Isso pode ser causado por problemas com a replicação, configuração incorreta de DNS, serviços críticos não em execução ou devido ao servidor não ser totalmente inicializado. Como resultado, os controladores de domínio, membros do domínio e outros dispositivos não poderão localizar este controlador de domínio. Além disso, outros controladores de domínio poderão não conseguir replicar a partir deste controlador de domínio. Examine a lista de alertas em busca de outros alertas relacionados, como: A replicação está interrompida. O tempo do controlador de domínio está fora de sincronia. O serviço Netlogon não está em execução. Os serviços DFSR e/ou NTFRS não estão em execução. Identificar e solucionar problemas de DNS relacionados: faça logon no controlador de domínio afetado. Abra o Registo de Eventos do Sistema. Se os eventos 5774, 5775 ou 5781 estiverem presentes, consulte Solução de problemas de falha de registro de registros DNS do localizador de controlador de domínio Identificar e solucionar problemas relacionados ao Serviço de Tempo do Windows: Verifique se o serviço de Tempo do Windows está em execução: Execute 'net start w32time' no controlador de domínio afetado. Reinicie o Serviço de Tempo do Windows: Execute 'net stop w32time' e depois 'net start w32time' no Controlador de Domínio afetado.
    O serviço GPSVC não está em execução Se o serviço for interrompido ou desativado, as configurações definidas pelo administrador não serão aplicadas e os aplicativos e componentes não poderão ser gerenciados por meio da Diretiva de Grupo. Quaisquer componentes ou aplicativos que dependem do componente Diretiva de Grupo podem não estar funcionais se o serviço estiver desabilitado. Executar
    net start gpsvc
    no Controlador de Domínio afetado.
    Os serviços DFSR e/ou NTFRS não estão em execução Se os serviços DFSR e NTFRS forem interrompidos, os Controladores de Domínio não poderão replicar dados sysvol. Os dados sysvol estarão fora de consistência.
  • Se estiver a utilizar DFSR:
      Execute 'net start dfsr' no controlador de domínio afetado.
    1. Se estiver usando NTFRS:
        Execute 'net start ntfrs' no controlador de domínio afetado.
    • O serviço Netlogon não está em execução Solicitações de logon, registro, autenticação e localização de controladores de domínio não estarão disponíveis neste DC. Execute 'net start netlogon' no controlador de domínio afetado
    O serviço W32Time não está em execução Se o Serviço de Tempo do Windows for interrompido, a sincronização de data e hora não estará disponível. Se este serviço for desativado, todos os serviços que dependem explicitamente dele não conseguirão arrancar. Execute 'net start win32Time' no controlador de domínio afetado
    O serviço ADWS não está em execução Se o serviço Serviços Web do Ative Directory for interrompido ou desabilitado, os aplicativos cliente, como o PowerShell do Ative Directory, não poderão acessar ou gerenciar nenhuma instância de serviço de diretório que esteja sendo executada localmente nesse servidor. Execute 'net start adws' no controlador de domínio afetado
    PDC raiz não está sincronizando do servidor NTP Se você não configurar o PDC para sincronizar o tempo de uma fonte de tempo externa ou interna, o emulador de PDC usará seu relógio interno e será ele próprio a fonte de tempo confiável para a floresta. Se a hora não for precisa no próprio PDC, todos os computadores terão configurações de hora incorretas. No Controlador de Domínio afetado, abra um prompt de comando. Pare o serviço de tempo: net stop w32time
  • Configure a fonte de tempo externa:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:sim

    Nota: Substitua time.windows.com pelo endereço da fonte de tempo externa desejada. Inicie o serviço Time:
    net start w32time
    • O controlador de domínio está em quarentena Este Controlador de Domínio não está ligado a nenhum dos outros Controladores de Domínio em funcionamento. Isso pode ser causado devido à configuração incorreta. Como resultado, este DC não está sendo usado e não será replicado de/para ninguém. Ativar replicação de entrada e saída: execute 'repadmin /options ServerName -DISABLE_INBOUND_REPL' no Controlador de Domínio afetado. Execute 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' no controlador de domínio afetado. Crie uma nova conexão de replicação com outro controlador de domínio:
    1. Abra Sites e Serviços do Ative Directory: menu Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Ative Directory.
    2. Na árvore da consola, expanda Sites e, em seguida, expanda o site, ao qual este DC pertence.
    3. Expanda o contêiner Servidores para exibir a lista de servidores.
    4. Expanda o objeto de servidor para este DC.
    5. Clique com o botão direito do mouse no objeto Configurações NTDS e clique em Nova Conexão dos Serviços de Domínio Ative Directory...
    6. Selecione um servidor na lista e clique em Ok.
    Como remover domínios órfãos do Ative Directory.
    A replicação de saída está desabilitada Os DCs com a Replicação de Saída desabilitada não poderão distribuir as alterações originadas em si mesmas. Para ativar a replicação de saída no controlador de domínio afetado, siga estes passos: Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK. Digite o seguinte texto e pressione ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    A replicação de entrada está desabilitada Os DCs com a Replicação de Entrada desabilitada não terão as informações mais recentes. Essa condição pode levar a falhas de logon. Para ativar a replicação de entrada no controlador de domínio afetado, siga estes passos: Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK . Digite o seguinte texto e pressione ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    O serviço LanmanServer não está em execução Se este serviço for desativado, todos os serviços que dependem explicitamente dele não conseguirão arrancar. Execute 'net start LanManServer' no controlador de domínio afetado.
    O serviço Centro de Distribuição de Chaves Kerberos não está em execução Se o Serviço KDC for interrompido, os usuários não poderão autenticar por meio desse DC usando o protocolo de autenticação Kerberos v5. Execute 'net start kdc' no Controlador de Domínio afetado.
    O serviço DNS não está em execução Se o Serviço DNS for interrompido, os computadores e usuários que usam esse servidor para fins de DNS não conseguirão encontrar recursos. Execute 'net start dns' no Controlador de Domínio afetado.
    DC teve USN Rollback Quando ocorrem reversões de USN, as modificações em objetos e atributos não são replicadas de entrada pelos controladores de domínio de destino que já viram o USN. Como esses controladores de domínio de destino acreditam estar atualizados, nenhum erro de replicação é relatado nos logs de eventos do Serviço de Diretório ou pelas ferramentas de monitoramento e diagnóstico. A reversão de USN pode afetar a replicação de qualquer objeto ou atributo em qualquer partição. O efeito colateral observado com mais freqüência é que as contas de usuário e as contas de computador criadas no controlador de domínio de reversão não existem em um ou mais parceiros de replicação. Ou, as atualizações de senha originadas no controlador de domínio de reversão não existem em parceiros de replicação. Há duas abordagens para recuperar de uma reversão USN:

    Remova o controlador de domínio do domínio, seguindo estas etapas:

    1. Remova o Ative Directory do controlador de domínio para forçá-lo a ser um servidor autônomo. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      332199 controladores de domínio não rebaixam normalmente quando você usa o Assistente de instalação do Ative Directory para forçar o rebaixamento no Windows Server 2003 e no Windows 2000 Server.
    2. Desligue o servidor rebaixado.
    3. Em um controlador de domínio íntegro, limpe os metadados do controlador de domínio rebaixado. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      216498 Como remover dados no Ative Directory após um rebaixamento malsucedido do controlador de domínio
    4. Se o controlador de domínio restaurado incorretamente hospedar funções de mestre de operações, transfira essas funções para um controlador de domínio íntegro. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      255504 Usando Ntdsutil.exe para transferir ou apreender funções FSMO para um controlador de domínio
    5. Reinicie o servidor rebaixado.
    6. Se for necessário, instale o Ative Directory no servidor autônomo novamente.
    7. Se o controlador de domínio era anteriormente um catálogo global, configure o controlador de domínio para ser um catálogo global. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      313994 Como criar ou mover um catálogo global no Windows 2000
    8. Se o controlador de domínio hospedou anteriormente funções de mestre de operações, transfira as funções de mestre de operações de volta para o controlador de domínio. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
      255504 Usando Ntdsutil.exe para transferir ou apreender funções FSMO para um controlador de domínio Restaure o estado do sistema de um bom backup.

    Avalie se existem backups de estado do sistema válidos para este controlador de domínio. Se um backup de estado do sistema válido foi feito antes que o controlador de domínio revertido fosse restaurado incorretamente e o backup contiver alterações recentes feitas no controlador de domínio, restaure o estado do sistema a partir do backup mais recente.

    Você também pode usar o instantâneo como fonte de backup. Ou você pode definir o banco de dados para fornecer a si mesmo uma nova ID de invocação usando o procedimento na seção "Para restaurar uma versão anterior de um VHD do controlador de domínio virtual sem backup de dados do estado do sistema" neste artigo

    Próximos passos