Microsoft Entra Anslut Hälsoaviseringskatalog

  • Artikel

Microsoft Entra Anslut Health-tjänsten skickar aviseringar som anger att din identitetsinfrastruktur inte är felfri. Den här artikeln innehåller aviseringsrubriker, beskrivningar och reparationssteg för varje avisering.
Fel, varning och förvarning är tre faser av aviseringar som genereras från Anslut Health-tjänsten. Vi rekommenderar starkt att du vidtar omedelbara åtgärder för utlösta aviseringar.
Microsoft Entra Anslut Health-aviseringar löses på ett lyckat villkor. Microsoft Entra Anslut Hälsoagenter identifierar och rapporterar regelbundet framgångsvillkoren till tjänsten. För några aviseringar är undertryckningen tidsbaserad. Med andra ord, om samma feltillstånd inte observeras inom 72 timmar från aviseringsgenereringen löses aviseringen automatiskt.

Allmänna aviseringar

Aviseringsnamn beskrivning Åtgärder
Hälsotjänstdata är inte uppdaterade Hälsoagenterna som körs på en eller flera servrar är inte anslutna till Hälsotjänst och Hälsotjänst tar inte emot de senaste data från den här servern. De senaste data som bearbetas av Hälsotjänst är äldre än 2 timmar. Kontrollera att hälsoagenterna har utgående anslutning till de tjänstslutpunkter som krävs. Läs mer

Aviseringar för Microsoft Entra Anslut (synkronisering)

Aviseringsnamn beskrivning Åtgärder
Microsoft Entra Anslut Sync Service körs inte Microsoft Entra ID Sync Windows-tjänsten körs inte eller kunde inte starta. Därför synkroniseras inte objekt med Microsoft Entra-ID. Starta Microsoft Entra ID Sync Services
  1. Klicka på Start, klicka på Kör, skriv Services.msc och klicka sedan på OK.
  2. Leta upp Microsoft Entra ID Sync-tjänsten och kontrollera sedan om tjänsten har startats. Om tjänsten inte har startats högerklickar du på den och klickar sedan på Start.
Det gick inte att importera från Microsoft Entra ID Importåtgärden från Microsoft Entra Connector eller misslyckades. Mer information finns i importåtgärdens händelseloggfel.
Anslut till Microsoft Entra ID misslyckades på grund av autentiseringsfel Anslut till Microsoft Entra ID misslyckades på grund av autentiseringsfel. Därför synkroniseras inte objekt med Microsoft Entra-ID. Undersök händelseloggfelen för mer information.
Export till Active Directory misslyckades Exportåtgärden till Active Directory Connector har misslyckats. Mer information finns i exportåtgärdens händelseloggfel.
Det gick inte att importera från Active Directory Det gick inte att importera från Active Directory. Det innebär att objekt från vissa domäner från den här skogen kanske inte importeras.
  • Verifiera DC-anslutning
  • Kör importen igen manuellt
  • Undersök händelseloggfel för importåtgärden för mer information.
    		•
    Det gick inte att exportera till Microsoft Entra ID Exportåtgärden till Microsoft Entra Anslut or misslyckades. Därför kan det hända att vissa objekt inte exporteras till Microsoft Entra-ID. Mer information finns i exportåtgärdens händelseloggfel.
    Lösenordshashsynkroniserings pulsslag hoppades över under de senaste 120 minuterna Synkronisering av lösenordshash har inte anslutits till Microsoft Entra-ID under de senaste 120 minuterna. Därför synkroniseras inte lösenord med Microsoft Entra-ID. Starta om Microsoft Entra ID Sync Services:
    Alla synkroniseringsåtgärder som körs för närvarande avbryts. Du kan välja att utföra stegen nedan när ingen synkronisering pågår.
    1. Klicka på Start, klicka på Kör, skriv Services.msc och klicka sedan på OK.
    2. Leta upp Microsoft Entra ID Sync, högerklicka på det och klicka sedan på Starta om.
    Hög CPU-användning har identifierats Procentandelen cpu-förbrukning överspringade det rekommenderade tröskelvärdet på den här servern.
  • Detta kan vara en tillfällig topp i CPU-förbrukningen. Kontrollera cpu-användningstrenden från avsnittet Övervakning.
  • Granska de vanligaste processerna som förbrukar den högsta CPU-användningen på servern.
    1. Du kan använda Aktivitetshanteraren eller köra följande PowerShell-kommando:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Om det finns oväntade processer som förbrukar hög CPU-användning stoppar du processerna med följande PowerShell-kommando:
      stop-process -ProcessName [processens namn]
  • Om de processer som visas i listan ovan är de avsedda processerna som körs på servern och cpu-förbrukningen kontinuerligt ligger nära tröskelvärdet bör du överväga att utvärdera distributionskraven för den här servern igen.
  • Som ett felsäkert alternativ kan du överväga att starta om servern.
    		•
    Hög minnesförbrukning har identifierats Procentandelen minnesförbrukning för servern ligger över det rekommenderade tröskelvärdet på den här servern. Kontrollera de viktigaste processerna som förbrukar det högsta minnet på servern. Du kan använda Aktivitetshanteraren eller köra följande PowerShell-kommando:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Om det finns oväntade processer som förbrukar mycket minne stoppar du processerna med följande PowerShell-kommando:
    stop-process -ProcessName [processens namn]
  • Om de processer som visas i listan ovan är de avsedda processerna som körs på servern kan du överväga att utvärdera distributionskraven för den här servern igen.
  • Som ett felsäkert alternativ kan du överväga att starta om servern.
    		•
    Synkroniseringen av lösenordshashar har slutat fungera Synkroniseringen av lösenordshashar har slutat fungera. Därför synkroniseras inte lösenord med Microsoft Entra-ID. Starta om Microsoft Entra ID Sync Services:
    Alla synkroniseringsåtgärder som körs för närvarande avbryts. Du kan välja att utföra stegen nedan när ingen synkronisering pågår.
    1. Klicka på Start, klicka på Kör, skriv Services.msc och klicka sedan på OK.
    2. Leta upp Microsoft Entra ID Sync, högerklicka på den och klicka sedan på Starta om.
    Exporten till Microsoft Entra-ID stoppades. Tröskelvärdet för oavsiktlig borttagning uppnåddes Exportåtgärden till Microsoft Entra-ID:t misslyckades. Det fanns fler objekt att ta bort än det konfigurerade tröskelvärdet. Därför exporterades inga objekt.
  • Antalet objekt som har markerats för borttagning är större än det angivna tröskelvärdet. Se till att det här resultatet önskas.
  • Utför följande steg för att tillåta att exporten fortsätter:
    1. Inaktivera tröskelvärde genom att köra Disable-ADSyncExportDeletionThreshold
    2. Starta Synkroniseringstjänsthanteraren
    3. Kör Export på Anslut eller med typen = Microsoft Entra ID
    4. När objekten har exporterats aktiverar du Tröskelvärde genom att köra: Enable-ADSyncExportDeletionThreshold
    		•

    Aviseringar för Active Directory Federation Services (AD FS)

    Aviseringsnamn beskrivning Åtgärder
    Testautentiseringsbegäran (syntetisk transaktion) kunde inte hämta en token Testautentiseringsbegäranden (syntetiska transaktioner) som initierades från den här servern kunde inte hämta en token efter fem återförsök. Detta kan bero på tillfälliga nätverksproblem, tillgänglighet för AD DS-domänkontrollant eller en felkonfigurerad AD FS-server. Därför kan autentiseringsbegäranden som bearbetas av federationstjänsten misslyckas. Agenten använder kontexten Lokalt datorkonto för att hämta en token från federationstjänsten. Kontrollera att följande steg vidtas för att verifiera serverns hälsotillstånd.
    1. Kontrollera att det inte finns några ytterligare olösta aviseringar för den här eller andra AD FS-servrar i servergruppen.
    2. Kontrollera att det här villkoret inte är ett tillfälligt fel genom att logga in med en testanvändare från AD FS-inloggningssidan som är tillgänglig på https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Gå till https://testconnectivity.microsoft.com och välj fliken Office 365. Utför "Office 365-test för enkel inloggning".
    4. Kontrollera om ditt AD FS-tjänstnamn kan lösas från den här servern genom att köra följande kommando från en kommandotolk på den här servern. nslookup your_adfs_server_name

    Om tjänstnamnet inte kan matchas kan du läsa avsnittet Vanliga frågor och svar om hur du lägger till en VÄRDfilpost för AD FS-tjänsten med IP-adressen för den här servern. Detta gör att den syntetiska transaktionsmodulen som körs på den här servern kan begära en token
    Proxyservern kan inte nå federationsservern Den här AD FS-proxyservern kan inte kontakta AD FS-tjänsten. Därför misslyckas autentiseringsbegäranden som bearbetas av den här servern. Utför följande steg för att verifiera anslutningen mellan den här servern och AD FS-tjänsten.
    1. Kontrollera att brandväggen mellan den här servern och AD FS-tjänsten är korrekt konfigurerad.
    2. Se till att DNS-matchningen för AD FS-tjänstens namn pekar korrekt på AD FS-tjänsten som finns i företagsnätverket. Detta kan uppnås via en DNS-server som betjänar den här servern i perimeternätverket eller genom poster i HOSTS-filerna för AD FS-tjänstens namn.
    3. Verifiera nätverksanslutningen genom att öppna webbläsaren på den här servern och komma åt federationsmetadataslutpunkten, som är på https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    SSL-certifikatet håller på att upphöra att gälla TLS/SSL-certifikatet som används av federationsservrarna håller på att upphöra att gälla inom 90 dagar. När den har upphört att gälla misslyckas alla begäranden som kräver en giltig TLS-anslutning. För Microsoft 365-kunder kan e-postklienter till exempel inte autentiseras. Uppdatera TLS/SSL-certifikatet på varje AD FS-server.
    1. Hämta TLS/SSL-certifikatet med följande krav.
      1. Förbättrad nyckelanvändning är minst serverautentisering.
      2. Certifikatmottagare eller Alternativt namn på certifikatmottagare (SAN) innehåller DNS-namnet på federationstjänsten eller lämpligt jokertecken. Till exempel: sso.contoso.com eller *.contoso.com
    2. Installera det nya TLS/SSL-certifikatet på varje server i certifikatarkivet för den lokala datorn.
    3. Kontrollera att AD FS-tjänstkontot har läsbehörighet till certifikatets privata nyckel

    För AD FS 2.0 i Windows Server 2008R2:

    • Binda det nya TLS/SSL-certifikatet till webbplatsen i IIS, som är värd för federationstjänsten. Observera att du måste utföra det här steget på varje federationsserver och federationsserverproxy.

    För AD FS i Windows Server 2012 R2 och senare versioner:

  • Se Hantera SSL-certifikat i AD FS och WAP
    • AD FS-tjänsten körs inte på servern Active Directory Federation Service (Windows Service) körs inte på den här servern. Alla begäranden som riktas till den här servern misslyckas. Starta Active Directory Federation Service (Windows Service):
    1. Logga in på servern som administratör.
    2. Öppna services.msc
    3. Hitta "Active Directory Federation Services (AD FS)"
    4. Högerklicka och välj "Start"
    DNS för federationstjänsten kan vara felkonfigurerad DNS-servern kan konfigureras för att använda en CNAME-post för AD FS-servergruppens namn. Vi rekommenderar att du använder A- eller AAAA-post för AD FS för att Windows-integrerad autentisering ska fungera sömlöst i företagets nätverk. Kontrollera att DNS-posttypen för AD FS-servergruppen <Farm Name> inte är CNAME. Konfigurera den till en A- eller AAAA-post.
    AD FS-granskning är inaktiverat AD FS-granskning är inaktiverat för servern. Avsnittet AD FS-användning på portalen innehåller inte data från den här servern. Om AD FS-granskningar inte är aktiverade följer du dessa instruktioner:
    1. Bevilja AD FS-tjänstkontot "Generera säkerhetsgranskningar" direkt på AD FS-servern.
    2. Öppna den lokala säkerhetsprincipen på servern gpedit.msc.
    3. Gå till "Datorkonfiguration\Windows Inställningar\Lokala principer\Tilldelning av användarrättigheter"
    4. Lägg till AD FS-tjänstkontot för att ha rättigheten "Generera säkerhetsgranskningar".
    5. Kör följande kommando från kommandotolken:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Uppdatera federationstjänstens egenskaper så att de innehåller granskningar av lyckade och misslyckade.
    7. I AD FS-konsolen väljer du "Redigera federationstjänstegenskaper"
    8. I dialogrutan Egenskaper för federationstjänst väljer du fliken Händelser och väljer "Lyckade granskningar" och "Misslyckade granskningar"

    När du har följt de här stegen bör AD FS-granskningshändelser visas från Loggboken. Verifiera så här:

    1. Gå till Loggboken/Windows-loggar/Säkerhet.
    2. Välj Filtrera aktuella loggar och välj AD FS-granskning från listrutan Händelsekällor. För en aktiv AD FS-server med AD FS-granskning aktiverat bör händelser vara synliga för ovanstående filtrering.

    Om du har följt dessa instruktioner tidigare, men fortfarande ser den här aviseringen, är det möjligt att ett grupprincipobjekt inaktiverar AD FS-granskning. Rotorsaken kan vara något av följande:

    1. AD FS-tjänstkontot tas bort från att ha rätt att generera säkerhetsgranskningar.
    2. Ett anpassat skript i grupprincipobjektet inaktiverar lyckade och misslyckade granskningar baserat på "Programgenererad".
    3. AD FS-konfigurationen är inte aktiverad för att generera lyckade/misslyckade granskningar.
    AD FS SSL-certifikatet är självsignerat Du använder för närvarande ett självsignerat certifikat som TLS/SSL-certifikat i AD FS-servergruppen. Därför misslyckas e-postklientautentiseringen för Microsoft 365

    Uppdatera TLS/SSL-certifikatet på varje AD FS-server.

    1. Skaffa ett offentligt betrott TLS/SSL-certifikat med följande krav.
    2. Installationsfilen för certifikatet innehåller dess privata nyckel.
    3. Förbättrad nyckelanvändning är minst serverautentisering.
    4. Certifikatmottagare eller Alternativt namn på certifikatmottagare (SAN) innehåller DNS-namnet på federationstjänsten eller lämpligt jokertecken. Till exempel: sso.contoso.com eller *.contoso.com

    Installera det nya TLS/SSL-certifikatet på varje server i certifikatarkivet för den lokala datorn.

      Kontrollera att AD FS-tjänstkontot har läsbehörighet till certifikatets privata nyckel.
      För AD FS 2.0 i Windows Server 2008R2:
    1. Binda det nya TLS/SSL-certifikatet till webbplatsen i IIS, som är värd för federationstjänsten. Observera att du måste utföra det här steget på varje federationsserver och federationsserverproxy.

      2. För AD FS i Windows Server 2012 R2 eller senare versioner:
    2. Se Hantera SSL-certifikat i AD FS och WAP
    Förtroendet mellan proxyservern och federationsservern är inte giltigt Det gick inte att upprätta eller förnya förtroendet mellan federationsserverproxyn och federationstjänsten. Uppdatera proxyförtroendecertifikatet på proxyservern. Kör guiden Proxykonfiguration igen.
    Extranätsutelåsningsskydd inaktiverat för AD FS Funktionen Extranet Lockout Protection är inaktiverad i AD FS-servergruppen. Den här funktionen skyddar dina användare från brute force-lösenordsattacker från Internet och förhindrar överbelastningsattacker mot dina användare när principer för AD DS-kontoutelåsning tillämpas. Med den här funktionen aktiverad, om antalet misslyckade inloggningsförsök för extranät för en användare (inloggningsförsök som görs via WAP-servern och AD FS) överskrider "ExtranetLockoutThreshold" slutar AD FS-servrarna att bearbeta ytterligare inloggningsförsök för "ExtranetObservationWindow" Vi rekommenderar starkt att du aktiverar den här funktionen på dina AD FS-servrar. Kör följande kommando för att aktivera AD FS Extranet Lockout Protection med standardvärden.
    Set-AdfsProperties -EnableExtranetLockout $true

    Om du har konfigurerat AD-utelåsningsprinciper för dina användare kontrollerar du att egenskapen ExtranetLockoutThreshold är inställd på ett värde under tröskelvärdet för AD DS-utelåsning. Detta säkerställer att begäranden som har överskridit tröskelvärdet för AD FS tas bort och aldrig verifieras mot dina AD DS-servrar.
    Ogiltigt namn på tjänstens huvudnamn (SPN) för AD FS-tjänstkontot Tjänstens huvudnamn för federationstjänstkontot är inte registrerat eller är inte unikt. Därför kanske windowsintegrerad autentisering från domänanslutna klienter inte är sömlös. Använd [SETSPN -L ServiceAccountName] för att lista tjänstens huvudnamn.
    Använd [SETSPN -X] för att söka efter dubblettnamn för tjänstens huvudnamn.

    Om SPN dupliceras för AD FS-tjänstkontot tar du bort SPN från det duplicerade kontot med hjälp av [SETSPN -d service/namehostname]

    Om SPN inte har angetts använder du [SETSPN -s {Desired-SPN} {domain_name}{service_account}] för att ange önskat SPN för federationstjänstkontot.
    Certifikatet för primär AD FS-tokendekryptering håller på att upphöra att gälla Certifikatet för primär AD FS-tokendekryptering håller på att upphöra att gälla om mindre än 90 dagar. AD FS kan inte dekryptera token från betrodda anspråksproviders. AD FS kan inte dekryptera krypterade SSO-cookies. Slutanvändarna kommer inte att kunna autentisera sig för att komma åt resurser. Om automatisk överrullning av certifikat är aktiverat hanterar AD FS tokendekrypteringscertifikatet.

    Om du hanterar certifikatet manuellt följer du anvisningarna nedan. Hämta ett nytt tokendekrypteringscertifikat.

    1. Se till att förbättrad nyckelanvändning (EKU) innehåller "Nyckelchiffrering"
    2. Alternativt namn på ämne eller ämne (SAN) har inga begränsningar.
    3. Observera att dina federationsservrar och anspråksproviderpartner måste kunna länka till en betrodd rotcertifikatutfärdare när du validerar ditt tokendekrypteringscertifikat.
    Bestäm hur dina anspråksproviderpartner ska lita på det nya tokendekrypteringscertifikatet
    1. Be partner att hämta federationsmetadata när de har uppdaterat certifikatet.
    2. Dela den offentliga nyckeln för det nya certifikatet. (.cer fil) med partnerna. På anspråksproviderpartnerns AD FS-server startar du AD FS Management från menyn Administrativa verktyg. Under Förtroenderelationer/förlitande partförtroenden väljer du det förtroende som skapades åt dig. Under Egenskaper/kryptering klickar du på "Bläddra" för att välja det nya tokendekrypteringscertifikatet och klicka på OK.
    Installera certifikatet i det lokala certifikatarkivet på var och en av federationsservern.
    • Kontrollera att certifikatinstallationsfilen har certifikatets privata nyckel på varje server.
    Kontrollera att federationstjänstkontot har åtkomst till det nya certifikatets privata nyckel.Lägg till det nya certifikatet i AD FS.
    1. Starta AD FS Management från menyn Administrativa verktyg
    2. Expandera Tjänsten och välj Certifikat
    3. I fönstret Åtgärder klickar du på Lägg till tokendekrypteringscertifikat
    4. Du får en lista över certifikat som är giltiga för tokendekryptering. Om du upptäcker att det nya certifikatet inte visas i listan måste du gå tillbaka och se till att certifikatet finns i den lokala datorns personliga arkiv med en privat nyckel associerad och att certifikatet har nyckelchiffreringen som utökad nyckelanvändning.
    5. Välj ditt nya tokendekrypteringscertifikat och klicka på OK.
    Ange det nya tokendekrypteringscertifikatet som primärt.
    1. Med noden Certifikat i AD FS Management vald bör du nu se två certifikat som visas under Tokendekryptering: befintlig och det nya certifikatet.
    2. Välj ditt nya tokendekrypteringscertifikat, högerklicka och välj Ange som primär.
    3. Lämna det gamla certifikatet som sekundärt i roll-over-syfte. Du bör planera att ta bort det gamla certifikatet när du är säker på att det inte längre behövs för överrullning eller när certifikatet har upphört att gälla.
    Signeringscertifikatet för primär AD FS-token håller på att upphöra att gälla Signeringscertifikatet för AD FS-token upphör snart att gälla inom 90 dagar. AD FS kan inte utfärda signerade token när det här certifikatet inte är giltigt. Skaffa ett nytt tokensigneringscertifikat.
    1. Se till att förbättrad nyckelanvändning (EKU) innehåller "digital signatur"
    2. Alternativt namn på ämne eller ämne (SAN) har inga begränsningar.
    3. Observera att dina federationsservrar, resurspartnerfederationsservrar och förlitande partprogramservrar måste kunna länka till en betrodd rotcertifikatutfärdare när du validerar ditt tokensigneringscertifikat.
    Installera certifikatet i det lokala certifikatarkivet på varje federationsserver.
    • Kontrollera att certifikatinstallationsfilen har certifikatets privata nyckel på varje server.
    Kontrollera att federationstjänstkontot har åtkomst till det nya certifikatets privata nyckel.Lägg till det nya certifikatet i AD FS.
    1. Starta AD FS Management från menyn Administrativa verktyg.
    2. Expandera Tjänsten och välj Certifikat
    3. I fönstret Åtgärder klickar du på Lägg till tokensigneringscertifikat...
    4. Du får en lista över certifikat som är giltiga för tokensignering. Om du upptäcker att det nya certifikatet inte visas i listan måste du gå tillbaka och se till att certifikatet finns i den lokala datorns personliga arkiv med den privata nyckeln associerad och att certifikatet har KU:n digital signatur.
    5. Välj ditt nya tokensigneringscertifikat och klicka på OK
    Informera alla förlitande parter om ändringen i tokensigneringscertifikatet.
    1. Förlitande parter som använder AD FS-federationsmetadata måste hämta de nya federationsmetadata för att börja använda det nya certifikatet.
    2. Förlitande parter som INTE använder AD FS-federationsmetadata måste manuellt uppdatera den offentliga nyckeln för det nya tokensigneringscertifikatet. Dela filen .cer med förlitande parter.
      3. Ange det nya tokensigneringscertifikatet som primärt.
      1. Med noden Certifikat i AD FS Management vald bör du nu se två certifikat som visas under Tokensignering: befintlig och det nya certifikatet.
      2. Välj ditt nya tokensigneringscertifikat, högerklicka och välj Ange som primär
      3. Lämna det gamla certifikatet som sekundärt i rollover-syfte. Du bör planera att ta bort det gamla certifikatet när du är säker på att det inte längre behövs för återställning eller när certifikatet har upphört att gälla. Observera att de aktuella användarnas SSO-sessioner är signerade. Aktuella AD FS Proxy Trust-relationer använder token som är signerade och krypterade med det gamla certifikatet.
    AD FS SSL-certifikat finns inte i det lokala certifikatarkivet Certifikatet med tumavtrycket som är konfigurerat som TLS/SSL-certifikatet i AD FS-databasen hittades inte i det lokala certifikatarkivet. Därför misslyckas alla autentiseringsbegäranden över TLS. E-postklientautentisering för Microsoft 365 misslyckas till exempel. Installera certifikatet med det konfigurerade tumavtrycket i det lokala certifikatarkivet.
    SSL-certifikatet har upphört att gälla TLS/SSL-certifikatet för AD FS-tjänsten har upphört att gälla. Därför misslyckas alla autentiseringsbegäranden som kräver en giltig TLS-anslutning. Till exempel: e-postklientautentisering kan inte autentisera för Microsoft 365. Uppdatera TLS/SSL-certifikatet på varje AD FS-server.
    1. Hämta TLS/SSL-certifikatet med följande krav.
    2. Förbättrad nyckelanvändning är minst serverautentisering.
    3. Certifikatmottagare eller Alternativt namn på certifikatmottagare (SAN) innehåller DNS-namnet på federationstjänsten eller lämpligt jokertecken. Till exempel: sso.contoso.com eller *.contoso.com
    4. Installera det nya TLS/SSL-certifikatet på varje server i certifikatarkivet för den lokala datorn.
    5. Kontrollera att AD FS-tjänstkontot har läsbehörighet till certifikatets privata nyckel

    För AD FS 2.0 i Windows Server 2008R2:

    • Binda det nya TLS/SSL-certifikatet till webbplatsen i IIS, som är värd för federationstjänsten. Observera att du måste utföra det här steget på varje federationsserver och federationsserverproxy.

    För AD FS i Windows Server 2012 R2 eller senare versioner: Se: Hantera SSL-certifikat i AD FS och WAP

    Nödvändiga slutpunkter för Microsoft Entra-ID (för Microsoft 365) är inte aktiverade Följande uppsättning slutpunkter som krävs av Exchange Online Services, Microsoft Entra ID och Microsoft 365 är inte aktiverade för federationstjänsten:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Aktivera de nödvändiga slutpunkterna för Microsoft Cloud Services på din federationstjänst.
    För AD FS i Windows Server 2012R2 eller senare versioner
  • Se: Hantera SSL-certifikat i AD FS och WAP

    • Federationsservern kunde inte ansluta till AD FS-konfigurationsdatabasen AD FS-tjänstkontot har problem vid anslutning till AD FS-konfigurationsdatabasen. Därför kanske AD FS-tjänsten på den här datorn inte fungerar som förväntat.
  • Kontrollera att AD FS-tjänstkontot har åtkomst till konfigurationsdatabasen.
  • Kontrollera att AD FS Configuration Database-tjänsten är tillgänglig och kan nås.
    • Nödvändiga SSL-bindningar saknas eller är inte konfigurerade De TLS-bindningar som krävs för att federationsservern ska kunna utföra autentiseringen är felkonfigurerade. Därför kan AD FS inte bearbeta några inkommande begäranden. För Windows Server 2012 R2
    Öppna en upphöjd kommandotolk för administratör och kör följande kommandon:
    1. Så här visar du den aktuella TLS-bindningen: Get-AdfsSslCertificate
    2. Så här lägger du till nya bindningar: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F1011121314 appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
    Signeringscertifikatet för primär AD FS-token har upphört att gälla Certifikatet för AD FS-tokensignering har upphört att gälla. AD FS kan inte utfärda signerade token när det här certifikatet inte är giltigt. Om automatisk överrullning av certifikat är aktiverat hanterar AD FS uppdatering av tokensigneringscertifikatet.

    Om du hanterar certifikatet manuellt följer du anvisningarna nedan.

    1. Skaffa ett nytt tokensigneringscertifikat.
      1. Se till att förbättrad nyckelanvändning (EKU) innehåller "digital signatur"
      2. Alternativt namn på ämne eller ämne (SAN) har inga begränsningar.
      3. Kom ihåg att dina federationsservrar, resurspartnerfederationsservrar och förlitande partprogramservrar måste kunna länka till en betrodd rotcertifikatutfärdare när du validerar ditt tokensigneringscertifikat.
    2. Installera certifikatet i det lokala certifikatarkivet på varje federationsserver.
      • Kontrollera att certifikatinstallationsfilen har certifikatets privata nyckel på varje server.
    3. Kontrollera att federationstjänstkontot har åtkomst till det nya certifikatets privata nyckel.
    4. Lägg till det nya certifikatet i AD FS.
      1. Starta AD FS Management från menyn Administrativa verktyg.
      2. Expandera Tjänsten och välj Certifikat
      3. I fönstret Åtgärder klickar du på Lägg till tokensigneringscertifikat...
      4. Du får en lista över certifikat som är giltiga för tokensignering. Om du upptäcker att det nya certifikatet inte visas i listan måste du gå tillbaka och se till att certifikatet finns i den lokala datorns personliga arkiv med den privata nyckeln associerad och att certifikatet har KU:n digital signatur.
      5. Välj ditt nya tokensigneringscertifikat och klicka på OK
    5. Informera alla förlitande parter om ändringen i tokensigneringscertifikatet.
      1. Förlitande parter som använder AD FS-federationsmetadata måste hämta de nya federationsmetadata för att börja använda det nya certifikatet.
      2. Förlitande parter som INTE använder AD FS-federationsmetadata måste manuellt uppdatera den offentliga nyckeln för det nya tokensigneringscertifikatet. Dela filen .cer med förlitande parter.
    6. Ange det nya tokensigneringscertifikatet som primärt.
      1. Med noden Certifikat i AD FS Management vald bör du nu se två certifikat som visas under Tokensignering: befintlig och det nya certifikatet.
      2. Välj ditt nya tokensigneringscertifikat, högerklicka och välj Ange som primär
      3. Lämna det gamla certifikatet som sekundärt i rollover-syfte. Du bör planera att ta bort det gamla certifikatet när du är säker på att det inte längre behövs för återställning eller när certifikatet har upphört att gälla. Kom ihåg att de aktuella användarnas SSO-sessioner är signerade. Aktuella AD FS Proxy Trust-relationer använder token som är signerade och krypterade med det gamla certifikatet.
    Proxyservern släpper begäranden om överbelastningskontroll Den här proxyservern släpper för närvarande begäranden från extranätet på grund av en högre svarstid än normalt mellan den här proxyservern och federationsservern. Därför kan en viss del av de autentiseringsbegäranden som bearbetas av AD FS-proxyservern misslyckas.
  • Kontrollera om nätverksfördröjningen mellan federationsproxyservern och federationsservrarna ligger inom det godkända intervallet. Se avsnittet Övervakning för trendvärden för "Svarstid för tokenbegäran". En svarstid som är större än [1 500 ms] bör betraktas som hög svarstid. Om långa svarstider observeras kontrollerar du att nätverket mellan AD FS- och AD FS-proxyservrar inte har några anslutningsproblem.
  • Kontrollera att federationsservrar inte är överbelastade med autentiseringsbegäranden. Övervakningsavsnittet innehåller trendiga vyer för tokenbegäranden per sekund, CPU-användning och minnesförbrukning.
  • Om ovanstående objekt har verifierats och det här problemet fortfarande visas justerar du inställningen för undvikande av överbelastning på var och en av federationsproxyservrarna enligt vägledningen från de relaterade länkarna.
    		•
    AD FS-tjänstkontot nekas åtkomst till en av certifikatets privata nyckel. AD FS-tjänstkontot har inte åtkomst till den privata nyckeln för något av AD FS-certifikaten på den här datorn. Kontrollera att AD FS-tjänstkontot har åtkomst till de TLS-, tokensignerings- och tokendekrypteringscertifikat som lagras i det lokala datorcertifikatarkivet.
    1. Från kommandoradstypen MMC.
    2. Gå till Arkiv-Lägg> till/ta bort snapin-modul
    3. Välj Certifikat och klicka på Lägg till. –> Välj Datorkonto och klicka på Nästa. –> Välj Lokal dator och klicka på Slutför. Klicka på OK.

    Öppna Certifikat(lokal dator)/Personligt/Certifikat.För alla certifikat som används av AD FS:
    1. Högerklicka på certifikatet.
    2. Välj Alla uppgifter –> Hantera privata nycklar.
    3. På fliken Säkerhet under Grupp eller användarnamn kontrollerar du att AD FS-tjänstkontot finns. Om inte väljer du Lägg till och lägg till AD FS-tjänstkontot.
    4. Välj AD FS-tjänstkontot och under "Behörigheter för <AD FS-tjänstkontonamn>" kontrollerar du att läsbehörighet är tillåten (bockmarkering).
    AD FS SSL-certifikatet har ingen privat nyckel AD FS TLS/SSL-certifikatet installerades utan en privat nyckel. Därför misslyckas alla autentiseringsbegäranden över SSL. E-postklientautentisering för Microsoft 365 misslyckas till exempel. Uppdatera TLS/SSL-certifikatet på varje AD FS-server.
    1. Skaffa ett offentligt betrott TLS/SSL-certifikat med följande krav.
      1. Installationsfilen för certifikatet innehåller dess privata nyckel.
      2. Förbättrad nyckelanvändning är minst serverautentisering.
      3. Certifikatmottagare eller Alternativt namn på certifikatmottagare (SAN) innehåller DNS-namnet på federationstjänsten eller lämpligt jokertecken. Till exempel: sso.contoso.com eller *.contoso.com
    2. Installera det nya TLS/SSL-certifikatet på varje server i certifikatarkivet för den lokala datorn.
    3. Kontrollera att AD FS-tjänstkontot har läsbehörighet till certifikatets privata nyckel

    För AD FS 2.0 i Windows Server 2008R2:

    • Binda det nya TLS/SSL-certifikatet till webbplatsen i IIS, som är värd för federationstjänsten. Observera att du måste utföra det här steget på varje federationsserver och federationsserverproxy.

    För AD FS i Windows Server 2012 R2 eller senare versioner:

  • Se: Hantera SSL-certifikat i AD FS och WAP
    • Certifikatet för primär AD FS-tokendekryptering har upphört att gälla Certifikatet för primär AD FS-tokendekryptering har upphört att gälla. AD FS kan inte dekryptera token från betrodda anspråksproviders. AD FS kan inte dekryptera krypterade SSO-cookies. Slutanvändarna kommer inte att kunna autentisera sig för att komma åt resurser.

    Om automatisk överrullning av certifikat är aktiverat hanterar AD FS tokendekrypteringscertifikatet.

    Om du hanterar certifikatet manuellt följer du anvisningarna nedan.

    1. Hämta ett nytt tokendekrypteringscertifikat.
      • Se till att förbättrad nyckelanvändning (EKU) innehåller "Nyckelchiffrering".
      • Alternativt namn på ämne eller ämne (SAN) har inga begränsningar.
      • Observera att dina federationsservrar och anspråksproviderpartner måste kunna länka till en betrodd rotcertifikatutfärdare när du validerar ditt tokendekrypteringscertifikat.
    2. Bestäm hur dina anspråksproviderpartner ska lita på det nya tokendekrypteringscertifikatet
      • Be partner att hämta federationsmetadata när de har uppdaterat certifikatet.
      • Dela den offentliga nyckeln för det nya certifikatet. (.cer fil) med partnerna. På anspråksproviderpartnerns AD FS-server startar du AD FS Management från menyn Administrativa verktyg. Under Förtroenderelationer/förlitande partförtroenden väljer du det förtroende som skapades åt dig. Under Egenskaper/kryptering klickar du på "Bläddra" för att välja det nya tokendekrypteringscertifikatet och klicka på OK.
    3. Installera certifikatet i det lokala certifikatarkivet på var och en av federationsservern.
      • Kontrollera att certifikatinstallationsfilen har certifikatets privata nyckel på varje server.
    4. Kontrollera att federationstjänstkontot har åtkomst till det nya certifikatets privata nyckel.
    5. Lägg till det nya certifikatet i AD FS.
      • Starta AD FS Management från menyn Administrativa verktyg
      • Expandera Tjänsten och välj Certifikat
      • I fönstret Åtgärder klickar du på Lägg till tokendekrypteringscertifikat
      • Du får en lista över certifikat som är giltiga för tokendekryptering. Om du upptäcker att det nya certifikatet inte visas i listan måste du gå tillbaka och se till att certifikatet finns i den lokala datorns personliga arkiv med en privat nyckel associerad och att certifikatet har nyckelchiffreringen som utökad nyckelanvändning.
      • Välj ditt nya tokendekrypteringscertifikat och klicka på OK.
    6. Ange det nya tokendekrypteringscertifikatet som primärt.
      • Med noden Certifikat i AD FS Management vald bör du nu se två certifikat som visas under Tokendekryptering: befintlig och det nya certifikatet.
      • Välj ditt nya tokendekrypteringscertifikat, högerklicka och välj Ange som primär.
      • Lämna det gamla certifikatet som sekundärt i roll-over-syfte. Du bör planera att ta bort det gamla certifikatet när du är säker på att det inte längre behövs för överrullning eller när certifikatet har upphört att gälla.

    Aviseringar för Active Directory-domän Services

    Aviseringsnamn beskrivning Åtgärder
    Domänkontrollanten kan inte nås via LDAP-ping Domänkontrollanten kan inte nås via LDAP-ping. Detta kan orsakas på grund av nätverksproblem eller datorproblem. Därför misslyckas LDAP-ping.
  • Granska aviseringslistan för relaterade aviseringar, till exempel: Domänkontrollanten annonserar inte.
  • Se till att den berörda domänkontrollanten har tillräckligt med diskutrymme. Slut på utrymme hindrar domänkontrollanten från att annonsera sig själv som en LDAP-server.
  • Försök att hitta PDC: Kör
    netdom query fsmo
    på den berörda domänkontrollanten.
  • Kontrollera att det fysiska nätverket är korrekt konfigurerat/anslutet.
    • Active Directory-replikeringsfel påträffades Den här domänkontrollanten har problem med replikering, vilket kan hittas genom att gå till instrumentpanelen för replikeringsstatus. Replikeringsfel kan bero på felaktig konfiguration eller andra relaterade problem. Obehandlade replikeringsfel kan leda till datainkonsekvens. Se ytterligare information om namnen på de berörda käll- och mål-DC:erna. Gå till instrumentpanelen replikeringsstatus och leta efter de aktiva felen på de berörda domänkontrollanterna. Klicka på felet för att öppna ett blad med mer information om hur du åtgärdar det specifika felet.
    Domänkontrollanten kan inte hitta en PDC En PDC kan inte nås via den här domänkontrollanten. Detta leder till påverkade användarinloggningar, oanvända grupprincipändringar och systemtidssynkroniseringsfel.
  • Granska aviseringslistan för relaterade aviseringar som kan påverka din PDC, till exempel: Domänkontrollanten annonserar inte.
  • Försök att hitta PDC: Kör
    netdom query fsmo
    på den berörda domänkontrollanten.
  • Kontrollera att nätverket fungerar korrekt.
    • Domänkontrollanten kan inte hitta en global katalogserver En global katalogserver kan inte nås från den här domänkontrollanten. Det resulterar i misslyckade autentiseringar som görs via den här domänkontrollanten. Granska aviseringslistan för alla domänkontrollanter som inte annonserar aviseringar där den berörda servern kan vara en GC. Om det inte finns några reklamaviseringar kontrollerar du SRV-posterna för GCs. Du kan kontrollera dem genom att köra:
    nltest /dnsgetdc: [ForestName] /gc
    Det bör lista de domänkontrollanter som annonserar som GCs. Om listan är tom kontrollerar du DNS-konfigurationen för att säkerställa att GC har registrerat SRV-posterna. Domänkontrollanten kan hitta dem i DNS.
    Information om hur du felsöker globala kataloger finns i Annonsering som en global katalogserver.
    Domänkontrollanten kan inte nå den lokala sysvol-resursen Sysvol innehåller viktiga element från grupprincipobjekt och skript som ska distribueras inom domänens domänkontrollanter. Domänkontrollanten annonserar inte sig själv eftersom domänkontrollanter och grupprinciper inte tillämpas. Se Felsöka saknade sysvol- och Netlogon-resurser
    Domänkontrollantens tid är inte synkroniserad Tiden på den här domänkontrollanten ligger utanför det normala tidsförskjutningsintervallet. Därför misslyckas Kerberos-autentiseringar.
  • Starta om Windows Time Service: Kör
    net stop w32time
    sedan
    net start w32time
    på den berörda domänkontrollanten.
  • Omsynkronisera tid: Kör
    w32tm /resync
    på den berörda domänkontrollanten.
    		•
    Domänkontrollanten annonserar inte Den här domänkontrollanten annonserar inte de roller som den kan utföra korrekt. Detta kan orsakas av problem med replikering, DNS-felkonfiguration, kritiska tjänster som inte körs eller på grund av att servern inte är helt initierad. Därför kommer domänkontrollanter, domänmedlemmar och andra enheter inte att kunna hitta den här domänkontrollanten. Dessutom kanske andra domänkontrollanter inte kan replikera från den här domänkontrollanten. Granska aviseringslistan för andra relaterade aviseringar, till exempel: Replikeringen är bruten. Domänkontrollantens tid är inte synkroniserad. Netlogon-tjänsten körs inte. DFSR- och/eller NTFRS-tjänster körs inte. Identifiera och felsöka relaterade DNS-problem: Logga in på den berörda domänkontrollanten. Öppna systemhändelseloggen. Om händelser 5774, 5775 eller 5781 finns kan du läsa Felsöka dns-postregistreringsfel för domänkontrollant identifiera och felsöka relaterade problem med Windows-tidstjänsten: Kontrollera att Windows-tidstjänsten körs: Kör "net start w32time" på den berörda domänkontrollanten. Starta om Windows Time Service: Kör "net stop w32time" och sedan "net start w32time" på den berörda domänkontrollanten.
    GPSVC-tjänsten körs inte Om tjänsten stoppas eller inaktiveras tillämpas inte inställningar som konfigurerats av administratören och program och komponenter kan inte hanteras via grupprincip. Komponenter eller program som är beroende av grupprincipkomponenten kanske inte fungerar om tjänsten är inaktiverad. Kör
    net start gpsvc
    på den berörda domänkontrollanten.
    DFSR- och/eller NTFRS-tjänster körs inte Om både DFSR- och NTFRS-tjänster stoppas kan domänkontrollanter inte replikera sysvol-data. sysvol Data blir inte konsekventa.
  • Om du använder DFSR:
      Kör "net start dfsr" på den berörda domänkontrollanten.
    1. Om du använder NTFRS:
        Kör "net start ntfrs" på den berörda domänkontrollanten.
    • Netlogon-tjänsten körs inte Inloggningsbegäranden, registrering, autentisering och lokalisering av domänkontrollanter kommer inte att vara tillgängliga på den här domänkontrollanten. Kör net start netlogon på den berörda domänkontrollanten
    W32Time-tjänsten körs inte Om Windows-tidstjänsten stoppas är datum- och tidssynkronisering inte tillgänglig. Om den här tjänsten inaktiveras kommer alla tjänster som är explicit beroende av den inte att kunna starta. Kör "net start win32Time" på den berörda domänkontrollanten
    ADWS-tjänsten körs inte Om Active Directory Web Services-tjänsten stoppas eller inaktiveras kan klientprogram, till exempel Active Directory PowerShell, inte komma åt eller hantera katalogtjänstinstanser som körs lokalt på den här servern. Kör "net start adws" på den berörda domänkontrollanten
    Rot-PDC synkroniseras inte från NTP-server Om du inte konfigurerar PDC för att synkronisera tid från en extern eller intern tidskälla använder PDC-emulatorn sin interna klocka och är själv den tillförlitliga tidskällan för skogen. Om tiden inte är korrekt på själva PDC:en har alla datorer felaktiga tidsinställningar. Öppna en kommandotolk på den berörda domänkontrollanten. Stoppa tidstjänsten: net stop w32time
  • Konfigurera den externa tidskällan:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Obs! Ersätt time.windows.com med adressen till önskad extern tidskälla. Starta tidstjänsten:
    net start w32time
    • Domänkontrollanten har placerats i karantän Den här domänkontrollanten är inte ansluten till någon av de andra fungerande domänkontrollanterna. Detta kan bero på felaktig konfiguration. Det innebär att den här domänkontrollanten inte används och inte replikeras från/till någon. Aktivera inkommande och utgående replikering: Kör "repadmin /options ServerName -DISABLE_INBOUND_REPL" på den berörda domänkontrollanten. Kör "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" på den berörda domänkontrollanten. Skapa en ny replikeringsanslutning till en annan domänkontrollant:
    1. Öppna Active Directory-webbplatser och -tjänster: Start-menyn, peka på Administrationsverktyg och klicka sedan på Active Directory-webbplatser och -tjänster.
    2. I konsolträdet expanderar du Platser och expanderar sedan den plats som den här domänkontrollanten tillhör.
    3. Expandera containern Servrar för att visa listan över servrar.
    4. Expandera serverobjektet för den här domänkontrollanten.
    5. Högerklicka på objektet NTDS Inställningar och klicka på New Active Directory-domän Services Anslut ion...
    6. Välj en server i listan och klicka på Ok.
    Ta bort överblivna domäner från Active Directory.
    Utgående replikering är inaktiverad Domänkontrollanter med inaktiverad utgående replikering kan inte distribuera några ändringar som kommer från sig själv. Om du vill aktivera utgående replikering på den berörda domänkontrollanten följer du dessa steg: Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK. Skriv följande text och tryck sedan på RETUR:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Inkommande replikering är inaktiverad Domänkontrollanter med inaktiverad inkommande replikering har inte den senaste informationen. Det här villkoret kan leda till inloggningsfel. Om du vill aktivera inkommande replikering på den berörda domänkontrollanten följer du dessa steg: Klicka på Start, klicka på Kör, skriv cmd och klicka sedan på OK. Skriv följande text och tryck sedan på RETUR:
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer-tjänsten körs inte Om den här tjänsten inaktiveras kommer alla tjänster som är explicit beroende av den inte att kunna starta. Kör "net start LanManServer" på den berörda domänkontrollanten.
    Kerberos Key Distribution Center-tjänsten körs inte Om KDC-tjänsten stoppas kan användarna inte autentisering via den här domänkontrollanten med hjälp av Kerberos v5-autentiseringsprotokollet. Kör "net start kdc" på den berörda domänkontrollanten.
    DNS-tjänsten körs inte Om DNS-tjänsten stoppas kan datorer och användare som använder servern i DNS-syfte inte hitta resurser. Kör "net start dns" på den berörda domänkontrollanten.
    DC hade USN-återställning När USN-återställningar inträffar replikeras inte ändringar av objekt och attribut av måldomänkontrollanter som tidigare har sett USN. Eftersom dessa måldomänkontrollanter tror att de är uppdaterade rapporteras inga replikeringsfel i Directory Service-händelseloggar eller med övervaknings- och diagnostikverktyg. USN-återställning kan påverka replikeringen av alla objekt eller attribut i valfri partition. Den vanligaste sidoeffekten är att användarkonton och datorkonton som skapas på återställningsdomänkontrollanten inte finns på en eller flera replikeringspartner. Eller så finns inte de lösenordsuppdateringar som har sitt ursprung i återställningsdomänkontrollanten på replikeringspartner. Det finns två metoder för att återställa från en USN-återställning:

    Ta bort domänkontrollanten från domänen genom att följa dessa steg:

    1. Ta bort Active Directory från domänkontrollanten för att tvinga den att vara en fristående server. Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
      332199 domänkontrollanter degraderar inte korrekt när du använder Installationsguiden för Active Directory för att tvinga fram degradering i Windows Server 2003 och Windows 2000 Server.
    2. Stäng av den degraderade servern.
    3. Rensa metadata för den degraderade domänkontrollanten på en felfri domänkontrollant. Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
      216498 Så här tar du bort data i Active Directory efter en misslyckad degradering av domänkontrollanter
    4. Om den felaktigt återställde domänkontrollanten är värd för huvudroller för åtgärder överför du dessa roller till en felfri domänkontrollant. Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
      255504 Använda Ntdsutil.exe för att överföra eller beslagta FSMO-roller till en domänkontrollant
    5. Starta om den degraderade servern.
    6. Om du behöver installera Active Directory på den fristående servern igen.
    7. Om domänkontrollanten tidigare var en global katalog konfigurerar du domänkontrollanten till en global katalog. Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
      313994 Skapa eller flytta en global katalog i Windows 2000
    8. Om domänkontrollanten tidigare var värd för huvudroller för åtgärder överför du tillbaka driftens huvudroller till domänkontrollanten. Om du vill ha mer information klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
      255504 Använda Ntdsutil.exe för att överföra eller beslagta FSMO-roller till en domänkontrollant Återställ systemtillståndet för en bra säkerhetskopia.

    Utvärdera om det finns giltiga säkerhetskopieringar av systemtillstånd för den här domänkontrollanten. Om en giltig säkerhetskopiering av systemtillstånd gjordes innan den återställda domänkontrollanten återställdes felaktigt och säkerhetskopian innehåller de senaste ändringarna som gjorts på domänkontrollanten återställer du systemtillståndet från den senaste säkerhetskopian.

    Du kan också använda ögonblicksbilden som källa för en säkerhetskopia. Du kan också ange att databasen ska ge sig själv ett nytt anrops-ID med hjälp av proceduren i avsnittet "Återställa en tidigare version av en virtuell domänkontrollants virtuella hårddisk utan säkerhetskopiering av systemtillståndsdata" i den här artikeln

    Nästa steg