Aracılığıyla paylaş

Microsoft Entra Connect Sağlık Uyarı Kataloğu

Microsoft Entra Connect Health hizmeti, kimlik altyapınızın iyi durumda olmadığını belirten uyarılar gönderir. Bu makale, her uyarı için uyarı başlıkları, açıklamalar ve düzeltme adımlarını içerir.
Hata, Uyarı ve Önceden Uyarı, Connect Health hizmetinden oluşturulan uyarıların üç aşamasıdır. Tetiklenen uyarılarda anında işlem yapmanızı kesinlikle öneririz.
Microsoft Entra Connect Health uyarıları bir başarı koşuluyla çözülür. Microsoft Entra Connect Health Aracıları başarı koşullarını düzenli aralıklarla algılar ve hizmete bildirir. Birkaç uyarı için gizleme zamana bağlıdır. Başka bir deyişle, uyarı oluşturma işleminden itibaren 72 saat içinde aynı hata koşulu gözlemlenmezse uyarı otomatik olarak çözülür.

Genel Uyarılar

Uyarı Adı Açıklama Düzeltme
Sağlık hizmeti verileri güncel değil Bir veya daha fazla sunucuda çalışan bir veya daha fazla Sistem Durumu Aracısı Sistem Sağlığı Hizmeti'ne bağlı değil ve Sistem Sağlığı Hizmeti bu sunucudan en son verileri almıyor. Sistem Sağlığı Hizmeti tarafından işlenen son veriler 2 Saatten eskidir. Sağlık aracılarının gerekli hizmet uç noktalarına giden bağlantıya sahip olduğundan emin olun. Daha Fazla Bilgi

Microsoft Entra Connect (Eşitleme) uyarıları

Uyarı Adı Açıklama Düzeltme
Microsoft Entra Connect Eşitleme Hizmeti çalışmıyor Microsoft Entra ID Sync Windows hizmeti çalışmıyor veya başlatılamıyor. Sonuç olarak, nesneler Microsoft Entra Id ile eşitlenmez. Microsoft Entra ID Eşitleme Hizmetleri'ni başlatma
  1. Başlangıç seçin, Çalıştır'ı seçin, Services.mscyazın ve ardından Tamamseçin.
  2. Microsoft Entra ID Sync hizmetini bulun ve hizmetin başlatılıp başlatılmadığını denetleyin. Hizmet başlatılmamışsa sağ tıklayın ve ardından Başlatseçin.
Microsoft Entra ID'den aktarma işlemi başarısız oldu. Microsoft Entra Connector'dan içeri aktarma işlemi başarısız oldu. Daha fazla bilgi için içeri aktarma işleminin olay günlüğü hatalarını inceleyin.
Kimlik doğrulama hatası nedeniyle Microsoft Entra ID'ye bağlanamama Kimlik doğrulama hatası nedeniyle Microsoft Entra ID'ye bağlanamama. Sonuç olarak nesneler Microsoft Entra Id ile eşitlenmez. Diğer ayrıntılar için olay günlüğü hatalarını araştırın.
Active Directory'ye dışarı aktarma başarısız oldu Active Directory Bağlayıcısı'na dışarı aktarma işlemi başarısız oldu. Diğer ayrıntılar için dışarı aktarma işleminin olay günlüğü hatalarını inceleyin.
Active Directory'den içeri aktarma başarısız oldu Active Directory'den içeri aktarma başarısız oldu. Sonuç olarak, bu ormandaki bazı etki alanlarındaki nesneler içeri aktarılamayabilir.
  • DC bağlantısını doğrulama
  • İçeri aktarmayı el ile yeniden çalıştırma
  • Daha fazla ayrıntı için içeri aktarma işleminin olay günlüğü hatalarını araştırın.
    		•
    Microsoft Entra ID'ye aktarılamadı Microsoft Entra Connector'a dışarı aktarma işlemi başarısız oldu. Sonuç olarak, bazı nesneler Microsoft Entra Id'ye başarıyla aktarılamayabilir. Diğer ayrıntılar için dışarı aktarma işleminin olay günlüğü hatalarını inceleyin.
    Parola Karma Değeri Senkronizasyon Kalp Atışı son 120 dakikada atlandı. Parola Karması Eşitlemesi son 120 dakika içinde Microsoft Entra Id ile bağlantılı değildir. Sonuç olarak, parolalar Microsoft Entra Id ile eşitlenmez. Microsoft Entra ID Sync Services'i yeniden başlatın:
    Çalışmakta olan tüm eşitleme işlemleri kesintiye uğrar. Devam eden eşitleme işlemi olmadığında aşağıdaki adımları gerçekleştirmeyi seçebilirsiniz.
    1. Başlangıçseçin, Çalıştırseçin, Services.mscyazın ve ardından Tamamseçin.
    2. Microsoft Entra ID Sync bulun, sağ seçin ve ardından yeniden başlat seçin.
    Yüksek CPU Kullanımı Algılandı CPU tüketimi yüzdesi, bu sunucuda önerilen eşiği aştı.
  • Bu, CPU tüketiminde geçici bir ani artış olabilir. İzleme bölümünden CPU kullanım eğilimini denetleyin.
  • Sunucudaki en yüksek CPU kullanımını kullanan en iyi işlemleri inceleyin.
    1. Görev Yöneticisi'ni kullanabilir veya aşağıdaki PowerShell Komutunu yürütebilirsiniz:
      get-process | Sort-Object -Descending CPU | Nesne Seç -İlk 10
    2. Yüksek CPU kullanımı kullanan beklenmeyen işlemler varsa, aşağıdaki PowerShell komutunu kullanarak işlemleri durdurun:
      stop-process -ProcessName [işlemin adı]
  • Önceki listede görülen işlemler sunucuda çalışan hedeflenen işlemlerse ve CPU tüketimi sürekli eşiğin yakınındaysa, bu sunucunun dağıtım gereksinimlerini yeniden değerlendirmeyi göz önünde bulundurun.
  • Başarısızlığa karşı güvenli bir seçenek olarak sunucuyu yeniden başlatmayı düşünebilirsiniz.
    		•
    Yüksek Bellek Tüketimi Algılandı Sunucunun bellek tüketimi yüzdesi, bu sunucuda önerilen eşiğin ötesindedir. Sunucudaki en yüksek belleği kullanan en iyi işlemleri inceleyin. Görev Yöneticisi'ni kullanabilir veya aşağıdaki PowerShell Komutunu yürütebilirsiniz:
    get-process | Sort-Object -Descending WS | Select-Object -İlk 10
    Yüksek bellek kullanan beklenmeyen işlemler varsa, aşağıdaki PowerShell komutunu kullanarak işlemleri durdurun:
    stop-process -ProcessName [işlemin adı]
  • Önceki listede görülen işlemler sunucuda çalışan hedeflenen işlemlerse, bu sunucunun dağıtım gereksinimlerini yeniden değerlendirmeyi göz önünde bulundurun.
  • Emniyetli bir seçenek olarak sunucuyu yeniden başlatmayı düşünebilirsiniz.
    		•
    Parola Karması Eşitlemesi çalışmayı durdurdu Parola Karması Eşitleme durduruldu. Sonuç olarak parolalar Microsoft Entra Id ile eşitlenmez. Microsoft Entra ID Sync Services'i yeniden başlatın:
    Çalışmakta olan tüm eşitleme işlemleri kesintiye uğrar. Devam eden eşitleme işlemi olmadığında aşağıdaki adımları gerçekleştirmeyi seçebilirsiniz.
    1. Başlangıç seçin, Çalıştır'ı seçin, Services.mscyazın ve ardından Tamamseçin.
    2. Microsoft Entra ID Syncbulun, sağ tıklayın ve ardından Yeniden Başlatseçin.
    Microsoft Entra Kimliğine dışa aktarma durduruldu. Yanlışlıkla silme eşiğine ulaşıldı Microsoft Entra Id'ye dışarı aktarma işlemi başarısız oldu. Silinecek nesne sayısı, yapılandırılan eşikten daha fazlaydı. Sonuç olarak, hiçbir nesne aktarılmadı. Silinmek üzere işaretlenen nesne sayısı, ayarlanan en yüksek eşik değerinden fazladır. Silinmeyi bekleyen nesneleri değerlendirmek için bkz. yanlışlıkla silmeleri önleme.

    Active Directory Federasyon Hizmetleri için Uyarılar

    Uyarı Adı Açıklama Düzeltme
    Test Kimlik Doğrulama İsteği (Yapay İşlem) belirteç alamadı Bu sunucudan başlatılan test kimlik doğrulama istekleri (Yapay İşlemler) beş yeniden denemeden sonra belirteç alamadı. Bunun nedeni geçici ağ sorunları, AD DS Etki Alanı Denetleyicisi kullanılabilirliği veya yanlış yapılandırılmış bir AD FS sunucusu olabilir. Sonuç olarak, federasyon hizmeti tarafından işlenen kimlik doğrulama istekleri başarısız olabilir. Aracı, Federasyon Hizmeti'nden jeton almak için Yerel Bilgisayar Hesabı bağlamını kullanır. Sunucunun sistem durumunu doğrulamak için aşağıdaki adımların atıldığından emin olun.
    1. Bu veya grubunuzdaki diğer AD FS sunucuları için ek çözümlenmemiş uyarı olmadığını doğrulayın.
    2. https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx adresinde bulunan AD FS oturum açma sayfasından bir test kullanıcısı ile oturum açarak bu koşulun geçici bir hata olmadığını doğrulayın
    3. 'Office 365' sekmesine https://testconnectivity.microsoft.com gidin ve 'Office 365' sekmesini seçin. 'Office 365 çoklu oturum açma Testi' gerçekleştirin.
    4. Bu sunucudaki bir komut isteminden aşağıdaki komutu yürüterek AD FS hizmet adınızın bu sunucudan çözümlenip çözümlenemediğini doğrulayın. nslookup

    Hizmet adı çözümlenemiyorsa, bu sunucunun IP adresi ile AD FS hizmetiniz için bir HOST dosyası girişi ekleme talimatları için SSS bölümüne bakın. Bu, bu sunucuda çalışan yapay işlem modülünün belirteç istemesine olanak tanır
    Proxy sunucusu federasyon sunucusuna ulaşamıyor Bu AD FS proxy sunucusu AD FS hizmetine başvuramıyor. Sonuç olarak, bu sunucu tarafından işlenen kimlik doğrulama istekleri başarısız olur. Bu sunucu ile AD FS hizmeti arasındaki bağlantıyı doğrulamak için aşağıdaki adımları gerçekleştirin.
    1. Bu sunucu ile AD FS hizmeti arasındaki güvenlik duvarının doğru yapılandırıldığından emin olun.
    2. AD FS hizmet adı için DNS çözümlemesinin, şirket ağı içinde bulunan AD FS hizmetine uygun şekilde işaret olduğundan emin olun. Bu, bu sunucuya çevre ağında hizmet veren bir DNS sunucusu aracılığıyla veya AD FS hizmet adı için HOSTS dosyalarındaki girdiler aracılığıyla gerçekleştirilebilir.
    3. Bu sunucuda tarayıcıyı açarak ve şu konumdaki federasyon meta veri uç noktasına erişerek ağ bağlantısını doğrulayın: https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    SSL Sertifikasının süresi dolmak üzere Federasyon sunucuları tarafından kullanılan TLS/SSL sertifikasının süresi 90 gün içinde dolmak üzeredir. Süresi dolduktan sonra geçerli bir TLS bağlantısı gerektiren tüm istekler başarısız olur. Örneğin, Microsoft 365 müşterileri için posta istemcileri kimlik doğrulaması yapamaz. Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.
    1. Aşağıdaki gereksinimlerle TLS/SSL sertifikasını alın.
      1. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
      2. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com
    2. Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.
    3. AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun

    Windows Server 2008R2'de AD FS 2.0 için:

    • Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

    Windows Server 2012 R2 ve sonraki sürümlerde AD FS için:

  • Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme
    • AD FS hizmeti sunucuda çalışmıyor Active Directory Federasyon Hizmeti (Windows Hizmeti) bu sunucuda çalışmıyor. Bu sunucuyu hedefleyen tüm istekler başarısız olur. Active Directory Federasyon Hizmeti'ni (Windows Hizmeti) başlatmak için:
    1. Sunucuda yönetici olarak oturum açın.
    2. services.msc dosyasını açın
    3. "Active Directory Federasyon Hizmetleri'ni bulun"
    4. Sağ seçin ve "Başlat" seçeneğini belirleyin
    Federasyon Hizmeti için DNS yanlış yapılandırılmış olabilir DNS sunucusu, AD FS grup adı için bir CNAME kaydı kullanacak şekilde yapılandırılabilir. Windows Tümleşik Kimlik Doğrulaması'nın şirket ağınızda sorunsuz çalışması için AD FS için A veya AAAA kaydını kullanmanız önerilir. AD FS grubunun <Farm Name> DNS kayıt türünün CNAME olmadığından emin olun. A veya AAAA kaydı olacak şekilde yapılandırın.
    AD FS Denetimi devre dışı bırakıldı AD FS Denetimi sunucu için devre dışı bırakıldı. Portaldaki AD FS Kullanımı bölümünde bu sunucudan veriler yer almayacaktır. AD FS Denetimleri etkin değilse şu yönergeleri izleyin:
    1. AD FS hizmet hesabına AD FS sunucusunda "Güvenlik denetimleri oluştur" izni verin.
    2. gpedit.msc sunucusunda yerel güvenlik ilkesini açın.
    3. "Bilgisayar Yapılandırması\Windows Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması" bölümüne gidin
    4. "Güvenlik denetimleri oluşturma" hakkına sahip olmak için AD FS Hizmet Hesabını ekleyin.
    5. Komut isteminden aşağıdaki komutu çalıştırın:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Federasyon Hizmeti Özelliklerini Başarılı ve Başarısız Denetimlerini içerecek şekilde güncelleştirin.
    7. AD FS konsolunda "Federasyon Hizmeti Özelliklerini Düzenle" seçeneğini belirleyin
    8. "Federasyon Hizmeti Özellikleri" iletişim kutusunda Olaylar sekmesini seçin ve "Başarılı Denetimler" ve "Hata Denetimleri" öğesini seçin

    Bu adımların ardından AD FS Denetim Olayları Olay Görüntüleyicisi'nde görünmelidir. Doğrulamak için:

    1. Olay Görüntüleyicisi/ Windows Günlükleri /Güvenlik'e gidin.
    2. Geçerli Günlükleri Filtrele'yi seçin ve Olay kaynakları listesinde AD FS Denetimi'ni seçin. AD FS denetimi etkinleştirilmiş etkin bir AD FS sunucusu için, filtreleme için olaylar görünür olmalıdır.

    Bu yönergeleri daha önce izlediyseniz ancak yine de bu uyarıyı görüyorsanız, bir Grup İlkesi Nesnesi AD FS denetimini devre dışı bırakıyor olabilir. Kök neden aşağıdakilerden biri olabilir:

    1. AD FS hizmet hesabının Güvenlik Denetimleri Oluşturma hakkı kaldırılıyor.
    2. Grup İlkesi Nesnesi'ndeki özel bir betik, "Uygulama Oluşturuldu" temelinde başarı ve başarısızlık denetimlerini devre dışı bırakmaktadır.
    3. AD FS yapılandırması Başarılı/Başarısız denetimleri oluşturmak için etkinleştirilmedi.
    AD FS SSL sertifikası otomatik olarak imzalandı Şu anda AD FS grubunuzda TLS/SSL sertifikası olarak otomatik olarak imzalanan bir sertifika kullanıyorsunuz. Sonuç olarak, Microsoft 365 için posta istemcisi kimlik doğrulaması başarısız olur

    Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.

    1. Aşağıdaki gereksinimlere sahip genel olarak güvenilen bir TLS/SSL sertifikası alın.
    2. Sertifika yükleme dosyası özel anahtarını içerir.
    3. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
    4. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com

    Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.

      AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun.
      Windows Server 2008R2'de AD FS 2.0 için:
    1. Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

      2. Windows Server 2012 R2 veya sonraki sürümlerinde AD FS için:
    2. Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme
    Ara sunucu ile federasyon sunucusu arasındaki güven geçerli değil Federasyon sunucusu proxy'si ile Federasyon Hizmeti arasındaki güven oluşturulamadı veya yenilenemedi. Proxy sunucusunda Ara Sunucu Güven Sertifikası'nı güncelleştirin. Ara Sunucu Yapılandırma Sihirbazı'nı yeniden çalıştırın.
    AD FS için Extranet Kilitleme Koruması Devre Dışı Bırakıldı AD FS grubunuzda Extranet Kilitleme Koruma özelliği devre dışı. Bu özellik, kullanıcılarınızı İnternet'ten gelen deneme yanılma parola saldırılarına karşı korur ve AD DS hesabı kilitleme ilkeleri etkin olduğunda kullanıcılarınıza yönelik hizmet reddi saldırılarını önler. Bu özellik etkinleştirildiğinde, bir kullanıcı için başarısız extranet oturum açma girişimlerinin sayısı (WAP sunucusu ve AD FS aracılığıyla yapılan oturum açma girişimleri) 'ExtranetLockoutThreshold' değerini aşarsa, AD FS sunucuları 'ExtranetObservationWindow' için başka oturum açma girişimlerini işlemeyi durdurur Bu özelliği AD FS sunucularınızda etkinleştirmenizi kesinlikle öneririz. AD FS Extranet Kilitleme Koruması'nı varsayılan değerlerle etkinleştirmek için aşağıdaki komutu çalıştırın.
    Set-AdfsProperties -EnableExtranetLockout $true (Dış ağ kilitleme özelliğini etkinleştirir)

    Kullanıcılarınız için yapılandırılmış AD kilitleme ilkeleriniz varsa, 'ExtranetLockoutThreshold' özelliğinin AD DS kilitleme eşiğinizin altındaki bir değere ayarlandığından emin olun. Bu, AD FS eşiğini aşan isteklerin göz ardı edilmesini ve AD DS sunucularınızda hiçbir zaman doğrulanmaması sağlanır.
    AD FS hizmet hesabı için geçersiz Hizmet Asıl Adı (SPN) Federasyon Hizmeti hesabının Hizmet Asıl Adı kayıtlı değil veya benzersiz değil. Sonuç olarak, etki alanına katılmış istemcilerde Windows Entegre Kimlik Doğrulaması her zaman sorunsuz çalışmayabilir. Hizmet Sorumlularını listelemek için [SETSPN -L ServiceAccountName] kullanın.
    Yinelenen Hizmet Asıl Adlarını denetlemek için [SETSPN -X] kullanın.

    AD FS hizmet hesabı için SPN yineleniyorsa, [SETSPN -d service/namehostname] kullanarak yinelenen hesaptan SPN'yi kaldırın

    SPN ayarlanmamışsa Federasyon Hizmeti Hesabı için istenen SPN'yi ayarlamak için [SETSPN -s {Desired-SPN} {domain_name}{service_account}] kullanın.
    Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi dolmak üzere Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi 90 günden kısa bir süre içinde dolmak üzere. AD FS, güvenilir talep sağlayıcılarından gelen belirteçlerin şifresini çözemez. AD FS şifrelenmiş SSO tanımlama bilgilerinin şifresini çözemiyor. Son kullanıcılar kaynaklara erişmek için kimlik doğrulaması yapamaz. Otomatik sertifika dağıtımı etkinleştirilirse AD FS, Belirteç Şifre Çözme Sertifikası'nı yönetir.

    Sertifikanızı el ile yönetiyorsanız aşağıdaki yönergeleri izleyin. Yeni bir Jeton Şifre Çözme Sertifikası alın.

    1. Gelişmiş Anahtar Kullanımı'nın (EKU) "Anahtar Şifrelemesi" içerdiğinden emin olun
    2. Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
    3. Federasyon Sunucularınızın ve Talep Sağlayıcı iş ortaklarınızın, Belirteç Şifre Çözme sertifikanızı doğrularken güvenilen bir kök sertifika yetkilisine bağlanabilmesi gerektiğini unutmayın.
    Talep Sağlayıcı iş ortaklarınızın yeni Belirteç Şifre Çözme sertifikasına nasıl güveneceğine karar verin
    1. İş ortaklarının sertifikayı güncelleştirdikten sonra Federasyon Meta Verilerini çekmesini isteyin.
    2. Yeni sertifikanın ortak anahtarını paylaşın. (.cer dosyası) iş ortaklarıyla. Talep Sağlayıcısı iş ortağının AD FS sunucusunda, Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın. Güven İlişkileri/Bağlı Olan Taraf Güvenleri'nin altında sizin için oluşturulan güveni seçin. Özellikler/Şifreleme sekmesinde "Gözat"ı seçerek yeni Token-Decrypting sertifikasını seçin ve tamam'ı seçin.
    Sertifikayı Federasyon Sunucunuzun her birine yerel sertifika deposuna yükleyin.
    • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    Federasyon hizmeti hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun.Yeni sertifikayı AD FS'ye ekleyin.
    1. Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatma
    2. Hizmet'i genişletin ve Sertifikalar'ı seçin
    3. Eylemler bölmesinde Token-Decrypting Sertifikası Ekle'yi seçin
    4. Size Belirteç Şifre Çözme için geçerli sertifikaların bir listesi gösterilir. Yeni sertifikanızın listede olmadığını fark ederseniz, geri dönmeniz ve sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar kişisel deposunda olduğundan ve sertifikada Anahtar Şifrelemesinin Genişletilmiş Anahtar Kullanımı olduğundan emin olmanız gerekir.
    5. Yeni Token-Decrypting sertifikanızı seçin ve Tamam'ı seçin.
    Yeni Belirteç Şifre Çözme Sertifikasını Birincil Olarak Ayarlayın.
    1. AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç Şifre Çözme altında iki sertifikanın listelendiğini görmeniz gerekir: mevcut ve yeni sertifika.
    2. Yeni Token-Decrypting sertifikanızı seçin, sağ seçin ve Birincil olarak ayarla'yı seçin.
    3. Önceden yükleme amaçları için eski sertifikayı ikincil olarak bırakın. Eski sertifikayı, artık dağıtım için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamanız gerekir.
    Birincil AD FS Belirteç İmzalama sertifikasının süresi dolmak üzere AD FS belirteci imzalama sertifikasının süresi 90 gün içinde dolmak üzere. Ad FS, bu sertifika geçerli olmadığında imzalı belirteçler veremez. Yeni bir Belirteç İmzalama Sertifikası alın.
    1. Gelişmiş Anahtar Kullanımı'nın (EKU) "Dijital İmza" içerdiğinden emin olun
    2. Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
    3. Federasyon Sunucularınızın, Kaynak Ortağı Federasyon Sunucularınızın ve Bağlı Olan Taraf Uygulama sunucularınızın Belirteç İmzalama sertifikanızı doğrularken güvenilen bir kök sertifika yetkilisine zincirleme yapabilmesi gerektiğini unutmayın.
    Sertifikayı her Federasyon Sunucusundaki yerel sertifika deposuna yükleyin.
    • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    Federasyon Hizmeti Hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun.Yeni sertifikayı AD FS'ye ekleyin.
    1. Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın.
    2. Hizmet'i genişletin ve Sertifikalar'ı seçin
    3. Eylemler bölmesinde Token-Signing Sertifikası Ekle... öğesini seçin.
    4. Size Belirteç İmzalama için geçerli sertifikaların listesi gösterilir. Yeni sertifikanızın listede olmadığını fark ederseniz, geri dönüp sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar Kişisel deposunda olduğundan ve sertifikanın Dijital İmza KU'sunun olduğundan emin olmanız gerekir.
    5. Yeni Token-Signing sertifikanızı seçin ve Tamam'ı seçin
    Belirteç İmzalama Sertifikası'ndaki değişiklik hakkında tüm Bağlı Olan Tarafları bilgilendirin.
    1. AD FS federasyon meta verilerini kullanan Bağlı Taraflar, yeni sertifikayı kullanmaya başlamak için yeni Federasyon Meta Verilerini çekmelidir.
    2. AD FS federasyon meta verilerini kullanmayan Bağlı Taraflar, yeni Belirteç İmzalama Sertifikasının ortak anahtarını el ile güncelleştirmelidir. .cer dosyasını Bağlı Olan Taraflarla paylaşın.
      3. Yeni Belirteç İmzalama Sertifikasını Birincil olarak ayarlayın.
      1. AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç İmzalama altında listelenen iki sertifikayı görmeniz gerekir: mevcut ve yeni sertifika.
      2. Yeni Token-Signing sertifikanızı seçin, sağ tıklayın ve Birincil olarak ayarla'yı seçin
      3. Devir işlemleri için eski sertifikayı ikincil olarak kullanmaya devam edin. Eski sertifikayı, artık geçiş için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamalısınız. Geçerli kullanıcıların SSO oturumlarının imzalandığını unutmayın. Geçerli AD FS Proxy Güveni ilişkileri, eski sertifika kullanılarak imzalanan ve şifrelenen belirteçleri kullanır.
    AD FS SSL sertifikası yerel sertifika deposunda bulunamadı AD FS veritabanında TLS/SSL sertifikası olarak yapılandırılmış parmak izine sahip sertifika yerel sertifika deposunda bulunamadı. Sonuç olarak, TLS üzerinden yapılan tüm kimlik doğrulama istekleri başarısız olur. Örneğin, Microsoft 365 için posta istemcisi kimlik doğrulaması başarısız olur. Yerel sertifika deposunda yapılandırılan parmak iziyle sertifikayı yükleyin.
    SSL Sertifikasının süresi doldu AD FS hizmetinin TLS/SSL sertifikasının süresi doldu. Sonuç olarak, geçerli bir TLS bağlantısı gerektiren tüm kimlik doğrulama istekleri başarısız olur. Örneğin: Posta istemcisi kimlik doğrulaması Microsoft 365 için kimlik doğrulaması yapamaz. Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.
    1. Aşağıdaki gereksinimlerle TLS/SSL sertifikasını alın.
    2. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
    3. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com
    4. Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.
    5. AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun

    Windows Server 2008R2'de AD FS 2.0 için:

    • Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

    Windows Server 2012 R2 veya sonraki sürümlerinde AD FS için: Bkz.AD FS ve WAP'de SSL Sertifikalarını Yönetme

    Microsoft Entra ID (Microsoft 365 için) için gerekli uç noktalar etkinleştirilmedi. Exchange Online Services, Microsoft Entra Id ve Microsoft 365 için gereken aşağıdaki uç noktalar kümesi federasyon hizmeti için etkinleştirilmez:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Federasyon hizmetinizde Microsoft Cloud Services için gerekli uç noktaları etkinleştirin.
    Windows Server 2012R2 veya sonraki sürümlerinde AD FS için
  • Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme

    • Federasyon sunucusu AD FS Yapılandırma Veritabanına bağlanamadı AD FS hizmet hesabı, AD FS yapılandırma veritabanına bağlanırken sorunlarla karşılaşıyor. Sonuç olarak, bu bilgisayardaki AD FS hizmeti beklendiği gibi çalışmayabilir.
  • AD FS hizmet hesabının yapılandırma veritabanına erişimi olduğundan emin olun.
  • AD FS Yapılandırma Veritabanı hizmetinin kullanılabilir ve erişilebilir olduğundan emin olun.
    • Gerekli SSL bağlamaları eksik veya yapılandırılmamış Bu federasyon sunucusunun kimlik doğrulamasını başarıyla gerçekleştirmesi için gereken TLS bağlamaları yanlış yapılandırılmış. Sonuç olarak, AD FS gelen istekleri işleyemez. Windows Server 2012 R2 için
    Yükseltilmiş bir yönetici komut istemi açın ve aşağıdaki komutları yürütün:
    1. Geçerli TLS bağlamasını görüntülemek için: Get-AdfsSslCertificate
    2. Yeni bağlamalar eklemek için: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc4444} certstorename=MY
    Birincil AD FS Belirteç İmzalama sertifikasının süresi doldu AD FS Belirteç İmzalama sertifikasının süresi doldu. Ad FS, bu sertifika geçerli olmadığında imzalı belirteçler veremez. Otomatik sertifika geçişi etkinleştirilirse, AD FS Belirteç İmzalama Sertifikası'nın güncelleştirilmesini yönetir.

    Sertifikanızı el ile yönetiyorsanız aşağıdaki yönergeleri izleyin.

    1. Yeni bir Belirteç İmzalama Sertifikası alın.
      1. Gelişmiş Anahtar Kullanımı'nın (EKU) "Dijital İmza" içerdiğinden emin olun
      2. Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
      3. Belirteç İmzalama sertifikanızı doğrularken Federasyon Sunucularınızın, Kaynak Ortağı Federasyon Sunucularınızın ve Bağlı Taraf Uygulama sunucularınızın güvenilir bir kök sertifika yetkilisine zincirleme yapabilmesi gerektiğini unutmayın.
    2. Sertifikayı her Federasyon Sunucusundaki yerel sertifika deposuna yükleyin.
      • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    3. Federasyon Hizmeti Hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun.
    4. Yeni sertifikayı AD FS'ye ekleyin.
      1. Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın.
      2. Hizmet'i genişletin ve Sertifikalar'ı seçin
      3. Eylemler bölmesinde Token-Signing Sertifikası Ekle... öğesini seçin.
      4. Size Belirteç İmzalama için geçerli sertifikaların listesi gösterilir. Yeni sertifikanızın listede olmadığını fark ederseniz, geri dönüp sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar Kişisel deposunda olduğundan ve sertifikanın Dijital İmza KU'sunun olduğundan emin olmanız gerekir.
      5. Yeni Token-Signing sertifikanızı seçin ve Tamam'ı seçin
    5. Belirteç İmzalama Sertifikası'ndaki değişiklik hakkında tüm Bağlı Olan Tarafları bilgilendirin.
      1. AD FS federasyon meta verilerini kullanan Bağlı Taraflar, yeni sertifikayı kullanmaya başlamak için yeni Federasyon Meta Verilerini çekmelidir.
      2. AD FS federasyon meta verilerini kullanmayan Bağlı Taraflar, yeni Belirteç İmzalama Sertifikasının ortak anahtarını el ile güncelleştirmelidir. .cer dosyasını Bağlı Olan Taraflarla paylaşın.
    6. Yeni Belirteç İmzalama Sertifikasını Birincil olarak ayarlayın.
      1. AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç İmzalama altında listelenen iki sertifikayı görmeniz gerekir: mevcut ve yeni sertifika.
      2. Yeni Token-Signing sertifikanızı seçin, sağ tıklayın ve Birincil olarak ayarla'yı seçin
      3. Devir işlemleri için eski sertifikayı ikincil olarak kullanmaya devam edin. Eski sertifikayı, artık geçiş için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamalısınız. Geçerli kullanıcıların SSO oturumlarının imzalandığını unutmayın. Geçerli AD FS Proxy Güveni ilişkileri, eski sertifika kullanılarak imzalanan ve şifrelenen belirteçleri kullanır.
    Ara sunucu tıkanıklık denetimi isteklerini bırakıyor Şu anda bu proxy sunucusu, proxy sunucusu ile federasyon sunucusu arasındaki gecikme süresi normalden yüksek olduğu için extranetten gelen istekleri reddediyor. Sonuç olarak, AD FS Proxy sunucusu tarafından işlenen kimlik doğrulama isteklerinin belirli bir bölümü başarısız olabilir.
  • Federasyon Proxy Sunucusu ile Federasyon Sunucuları arasındaki ağ gecikme süresinin kabul edilebilir aralık içinde olup olmadığını doğrulayın. "Belirteç İsteği Gecikme Süresi" eğilim değerleri için İzleme Bölümüne bakın. [1500 ms] değerinden büyük bir gecikme süresi yüksek gecikme süresi olarak değerlendirilmelidir. Yüksek gecikme süresi gözlemlenirse, AD FS ile AD FS Proxy sunucuları arasındaki ağda herhangi bir bağlantı sorunu olmadığından emin olun.
  • Federasyon Sunucularının kimlik doğrulama istekleriyle aşırı yüklenmediğinden emin olun. İzleme Bölümü saniye başına Belirteç İstekleri, CPU kullanımı ve Bellek tüketimi için eğilimli görünümler sağlar.
  • Yukarıdaki öğeler doğrulandıysa ve bu sorun hala görülüyorsa, ilgili bağlantılardan gelen yönergelere göre Federasyon Proxy Sunucularının her birinde tıkanıklık önleme ayarını ayarlayın.
    		•
    AD FS hizmet hesabının sertifikanın özel anahtarlarından birine erişimi reddedildi. AD FS hizmet hesabının bu bilgisayardaki AD FS sertifikalarından birinin özel anahtarına erişimi yoktur. AD FS hizmet hesabına yerel bilgisayar sertifika deposunda depolanan TLS, belirteç imzalama ve belirteç şifre çözme sertifikalarına erişim sağlandığından emin olun.
    1. Komut Satırı'ndan MMC yazın.
    2. Dosya-> Ekle/Kaldır Snap-In'e gidin
    3. Sertifikalar'ı seçin ve Ekle'yi seçin. -> Bilgisayar Hesabı Seç'i ve İleri'yi seçin. -> Yerel Bilgisayarı seçin ve Son'u seçin. Tamam'ı seçin.

    Sertifikalar(Yerel Bilgisayar)/Kişisel/Sertifikalar'ı açın.AD FS tarafından kullanılan tüm sertifikalar için:
    1. Sertifikayı sağ seçin.
    2. Tüm Görevler -> Özel Anahtarları Yönet'i seçin.
    3. Güvenlik Sekmesinde Grup veya kullanıcı adları altında AD FS hizmet hesabının mevcut olduğundan emin olun. Ekle'yi seçmezseniz AD FS hizmet hesabını ekleyin.
    4. AD FS hizmet hesabını seçin ve "AD FS Hizmet Hesabı Adı< İzinleri>" altında Okuma iznine (onay işareti) izin verildiğinden emin olun.
    AD FS SSL sertifikasının özel anahtarı yok AD FS TLS/SSL sertifikası özel anahtar olmadan yüklendi. Sonuç olarak SSL üzerinden yapılan tüm kimlik doğrulama istekleri başarısız olur. Örneğin, Microsoft 365 için posta istemcisi kimlik doğrulaması başarısız olur. Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.
    1. Aşağıdaki gereksinimlere sahip genel olarak güvenilen bir TLS/SSL sertifikası alın.
      1. Sertifika yükleme dosyası özel anahtarını içerir.
      2. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
      3. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com
    2. Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.
    3. AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun

    Windows Server 2008R2'de AD FS 2.0 için:

    • Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

    Windows Server 2012 R2 veya sonraki sürümlerinde AD FS için:

  • Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme
    • Birincil AD FS Belirteç Şifre Çözme sertifikasının süresi doldu Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi doldu. AD FS, güvenilir talep sağlayıcılarından gelen belirteçlerin şifresini çözemez. AD FS şifrelenmiş SSO tanımlama bilgilerinin şifresini çözemiyor. Son kullanıcılar kaynaklara erişmek için kimlik doğrulaması yapamaz.

    Otomatik sertifika dağıtımı etkinleştirilirse AD FS, Belirteç Şifre Çözme Sertifikası'nı yönetir.

    Sertifikanızı el ile yönetiyorsanız aşağıdaki yönergeleri izleyin.

    1. Yeni bir Jeton Şifre Çözme Sertifikası alın.
      • Gelişmiş Anahtar Kullanımı'nın (EKU) "Anahtar Şifrelemesi" içerdiğinden emin olun.
      • Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
      • Federasyon Sunucularınızın ve Talep Sağlayıcı iş ortaklarınızın, Belirteç Şifre Çözme sertifikanızı doğrularken güvenilen bir kök sertifika yetkilisine bağlanabilmesi gerektiğini unutmayın.
    2. Talep Sağlayıcı iş ortaklarınızın yeni Belirteç Şifre Çözme sertifikasına nasıl güveneceğine karar verin
      • İş ortaklarının sertifikayı güncelleştirdikten sonra Federasyon Meta Verilerini çekmesini isteyin.
      • Yeni sertifikanın ortak anahtarını paylaşın. (.cer dosyası) iş ortaklarıyla. Talep Sağlayıcısı iş ortağının AD FS sunucusunda, Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın. Güven İlişkileri/Bağlı Olan Taraf Güvenleri'nin altında sizin için oluşturulan güveni seçin. Özellikler/Şifreleme sekmesinde "Gözat"ı seçerek yeni Token-Decrypting sertifikasını seçin ve tamam'ı seçin.
    3. Sertifikayı Federasyon Sunucunuzun her birine yerel sertifika deposuna yükleyin.
      • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    4. Federasyon hizmeti hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun.
    5. Yeni sertifikayı AD FS'ye ekleyin.
      • Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatma
      • Hizmet'i genişletin ve Sertifikalar'ı seçin
      • Eylemler bölmesinde Token-Decrypting Sertifikası Ekle'yi seçin
      • Size Belirteç Şifre Çözme için geçerli sertifikaların bir listesi gösterilir. Yeni sertifikanızın listede olmadığını fark ederseniz, geri dönmeniz ve sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar kişisel deposunda olduğundan ve sertifikada Anahtar Şifrelemesinin Genişletilmiş Anahtar Kullanımı olduğundan emin olmanız gerekir.
      • Yeni Token-Decrypting sertifikanızı seçin ve Tamam'ı seçin.
    6. Yeni Belirteç Şifre Çözme Sertifikasını Birincil Olarak Ayarlayın.
      • AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç Şifre Çözme altında iki sertifikanın listelendiğini görmeniz gerekir: mevcut ve yeni sertifika.
    7. Yeni Token-Decrypting sertifikanızı seçin, sağ seçin ve Birincil olarak ayarla'yı seçin.
    8. Önceden yükleme amaçları için eski sertifikayı ikincil olarak bırakın. Eski sertifikayı, artık dağıtım için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamanız gerekir.

    Active Directory Etki Alanı Hizmetleri için uyarılar

    Uyarı Adı Açıklama Düzeltme
    Etki alanı denetleyicisine LDAP ping ile ulaşılamıyor Etki Alanı Denetleyicisine LDAP Ping ile ulaşılamıyor. Bunun nedeni Ağ sorunları veya makine sorunları olabilir. Sonuç olarak LDAP Ping'leri başarısız olur.
  • İlgili uyarılar için uyarı listesini inceleyin, örneğin: Etki Alanı Denetleyicisi kendini duyurmuyor.
  • Etkilenen Etki Alanı Denetleyicisi'nin yeterli disk alanına sahip olduğundan emin olun. Yetersiz alan, DC'nin kendisini LDAP sunucusu olarak tanıtmasını durdurur.
  • PDC'yi bulmaya çalışma: Çalıştır
    etkilenen Etki Alanı Denetleyicisi'nde netdom query fsmo
    .
  • Fiziksel ağın düzgün yapılandırıldığından/bağlandığından emin olun.
    • Active Directory çoğaltma hatasıyla karşılaşıldı Bu etki alanı denetleyicisi, Çoğaltma Durumu Paneli'ne gidilerek tespit edilebilecek çoğaltma sorunları yaşıyor. Çoğaltma hataları yanlış yapılandırma veya diğer ilgili sorunlara bağlı olabilir. İşlenmemiş çoğaltma hataları veri tutarsızlığına neden olabilir. Etkilenen kaynak ve hedef DC'lerin adları için ek ayrıntılara bakın. Çoğaltma Durumu gösterge panosuna gidin ve etkilenen DC'lerdeki aktif hataları arayın. Bir hatanın nasıl düzeltileceği hakkında daha fazla ayrıntı içeren bir açılır pencere açmak için hata üzerine tıklayın.
    Etki alanı denetleyicisi PDC'yi bulamıyor PdC'ye bu etki alanı denetleyicisi aracılığıyla erişilemez. Bu, etkilenen kullanıcı oturum açma işlemlerine, uygulanmamış grup ilkesi değişikliklerine ve sistem zamanı eşitleme hatasına yol açar.
  • PDC'nizi etkileyebilecek ilgili uyarıların uyarı listesini inceleyin; örneğin: Etki Alanı Denetleyicisi reklam vermiyor.
  • PDC'yi bulmaya çalışma: Çalıştır
    etkilenen Etki Alanı Denetleyicisi'nde netdom query fsmo
    .
  • Ağın düzgün çalıştığından emin olun.
    • Etki alanı denetleyicisi Genel Katalog sunucusunu bulamıyor Genel katalog sunucusuna bu etki alanı denetleyicisinden ulaşılamıyor. Bu, bu Etki Alanı Denetleyicisi aracılığıyla denenen kimlik doğrulamalarının başarısız olmasıyla sonuçlanır. Etki Alanı Denetleyicisi için uyarı listesini inceleyin ve etkilenen sunucunun GC (Küresel Katalog) olabileceği durumlarda herhangi bir "etki alanı denetleyicisi reklam vermiyor" uyarısı olup olmadığını kontrol edin. Reklam bildirimleri yoksa, GC'ler için SRV kayıtlarını denetleyin. Aşağıdakileri çalıştırarak bunları de kontrol edebilirsiniz:
    nltest /dnsgetdc: [ForestName] /gc
    Global Catalog olarak tanıtılan DC'leri listelemelidir. Liste boşsa, GC'nin SRV kayıtlarını kaydettiğinden emin olmak için DNS yapılandırmasını denetleyin. DC bunları DNS'de bulabilir.
    Genel Kataloglarla ilgili sorunları gidermek için bkz . Genel Katalog Sunucusu Olarak Reklam Verme.
    Etki alanı denetleyicisi yerel sysvol paylaşımına erişemiyor Sysvol, bir etki alanının DC'leri içinde dağıtılacak Grup İlkesi Nesneleri ve betiklerinden önemli öğeler içerir. DC kendisini DC olarak tanıtmayacak ve Grup İlkeleri uygulanmayacaktır. Bkz. Eksik sysvol ve Netlogon paylaşımlarının sorunlarını giderme
    Etki Alanı Denetleyicisinin zamanı senkronize değil Bu Etki Alanı Denetleyicisi'nin saati normal Zaman Sapması aralığının dışında. Sonuç olarak Kerberos kimlik doğrulamaları başarısız olur.
  • Windows Saat Hizmetini Yeniden Başlat: Çalıştır
    net stop w32time
    sonra
    net start w32time komutunu etkilenen Etki Alanı Denetleyicisi üzerinde çalıştırın.
  • Yeniden Eşitleme Zamanı: Çalıştır
    Etkilenen Etki Alanı Denetleyicisinde w32tm /resync
    komutunu çalıştırın.
    		•
    Etki alanı denetleyicisi reklam vermiyor Bu etki alanı denetleyicisi, gerçekleştirebilecekleri rolleri düzgün şekilde tanıtmıyor. Bunun nedeni çoğaltma, DNS yanlış yapılandırması, kritik hizmetlerin çalışmaması veya sunucunun tam olarak başlatılmaması olabilir. Sonuç olarak, etki alanı denetleyicileri, etki alanı üyeleri ve diğer cihazlar bu etki alanı denetleyicisini bulamaz. Ayrıca, diğer etki alanı denetleyicileri bu etki alanı denetleyicisinden veri çoğaltamayabilirler. Diğer ilgili uyarılar için uyarı listesini inceleyin; örneğin: Çoğaltma işlemi bozuldu. Etki alanı denetleyicisinin zamanı uyumsuz. Netlogon servisi çalışmıyor. DFSR ve/veya NTFRS hizmetleri çalışmıyor. İlgili DNS sorunlarını belirleyin ve giderin: Etkilenen Etki Alanı denetleyicisinde oturum açın. Sistem Olay Günlüğü'nü açın. 5774, 5775 veya 5781 olayları varsa, Etki Alanı Denetleyicisi Bulucu DNS Kayıtları Kayıt Hatası Sorunlarını Giderme konusuna bakın. İlgili Windows Saat Hizmeti sorunlarını belirleyin ve giderin: Windows Saat hizmetinin çalıştığından emin olun: Etkilenen Etki Alanı Denetleyicisinde 'net start w32time' komutunu çalıştırın. Windows Saat Hizmeti'ni yeniden başlatın: Etkilenen Etki Alanı Denetleyicisinde 'net stop w32time' komutunu ve ardından 'net start w32time' komutunu çalıştırın.
    GPSVC hizmeti çalışmıyor Hizmet durdurulur veya devre dışı bırakılırsa, yönetici tarafından yapılandırılan ayarlar uygulanmaz ve uygulamalar ve bileşenler Grup İlkesi aracılığıyla yönetilemez. Hizmet devre dışı bırakılırsa, Grup İlkesi bileşenine bağımlı olan bileşenler veya uygulamalar işlevsel olmayabilir. komutunu çalıştırın
    Etkilenen Etki Alanı Denetleyicisinde 'net start gpsvc' komutunu çalıştırın
    .
    DFSR ve/veya NTFRS hizmetleri çalışmıyor Hem DFSR hem de NTFRS hizmetleri durdurulursa, Etki Alanı Denetleyicileri sysvol verilerini çoğaltamaz. sysvol Verilerinin tutarlılığı bozulacak.
  • DFSR kullanıyorsanız:
      Etkilenen Etki Alanı Denetleyicisinde 'net start dfsr' komutunu çalıştırın.
    1. NTFRS kullanılıyorsa:
        Etkilenen Etki Alanı Denetleyicisi'nde 'net start ntfrs' komutunu çalıştırın.
    • Netlogon hizmeti çalışmıyor Bu DC'de oturum açma talepleri, kayıt, kimlik doğrulaması ve etki alanı denetleyicilerinin yerinin belirlenmesi kullanılamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start netlogon' komutunu çalıştırın
    W32Time hizmeti çalışmıyor Windows Saat Hizmeti durdurulursa, tarih ve saat eşitlemesi kullanılamaz. Bu hizmet devre dışı bırakılırsa, açıkça bağımlı olan hizmetler başlatılamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start win32Time' komutunu çalıştırın
    ADWS hizmeti çalışmıyor Active Directory Web Hizmetleri hizmeti durdurulur veya devre dışı bırakılırsa, Active Directory PowerShell gibi istemci uygulamaları bu sunucuda yerel olarak çalışan dizin hizmeti örneklerine erişemez veya bunları yönetemez. Etkilenen Etki Alanı Denetleyicisinde 'net start adws' komutunu çalıştırın
    Kök PDC NTP Sunucusundan Eşitlenmiyor PDC'yi bir dış veya iç zaman kaynağından saati eşitlemek üzere yapılandırmazsanız, PDC öykünücüsü iç saatini kullanır ve orman için güvenilir bir zaman kaynağı haline gelir. PDC'nin kendisinde zaman doğru değilse, tüm bilgisayarların zaman ayarları yanlış olur. Etkilenen Etki Alanı Denetleyicisinde bir komut istemi açın. Zaman servisinin durdurulması: net stop w32time
  • Dış zaman kaynağını yapılandırın:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Not: Time.windows.com'u istediğiniz dış zaman kaynağının adresiyle değiştirin. Time hizmetini başlatın:
    net start w32time
    • Etki alanı denetleyicisi karantinaya alındı Bu Etki Alanı Denetleyicisi, çalışan diğer Etki Alanı Denetleyicilerinin hiçbirine bağlı değil. Bunun nedeni yanlış yapılandırma olabilir. Sonuç olarak, bu DC kullanılmaz ve kimseyle çoğaltma yapmaz. Gelen ve giden çoğaltmayı etkinleştir: Etkilenen Etki Alanı Denetleyicisinde 'repadmin /options ServerName -DISABLE_INBOUND_REPL' komutunu çalıştırın. Etkilenen Etki Alanı Denetleyicisinde 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' komutunu çalıştırın. Başka bir Etki Alanı Denetleyicisine yeni bir çoğaltma bağlantısı oluşturun:
    1. Active Directory Siteleri ve Hizmetleri: Başlat menüsünü açın, Yönetim Araçları'nın üzerine gelin ve Active Directory Siteleri ve Hizmetleri'ni seçin.
    2. Konsol ağacında Siteler'i genişletin ve ardından bu DC'nin ait olduğu siteyi genişletin.
    3. Sunucuların listesini görüntülemek için Sunucular kapsayıcısını genişletin.
    4. Bu DC için sunucu nesnesini genişletin.
    5. NTDS Ayarları nesnesini sağ seçin ve Yeni Active Directory Etki Alanı Hizmetleri Bağlantısı... seçeneğini belirleyin.
    6. Listeden bir Sunucu seçin ve Tamam'ı seçin.
    Yalnız bırakılmış etki alanlarını Active Directory'den kaldırma.
    Giden Replikasyon Devre Dışı Bırakıldı Giden Çoğaltma devre dışı bırakılmış olan DC'ler, kendi içinde ortaya çıkan hiçbir değişikliği dağıtamaz. Etkilenen Etki Alanı Denetleyicisi'nde giden çoğaltmayı etkinleştirmek için şu adımları izleyin: Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve ardından Tamam'ı seçin. Aşağıdaki metni yazın ve ENTER tuşuna basın:
    repadmin /options -DISABLE_OUTBOUND_REPL komutu, dışa doğru çoğaltmayı devre dışı bırakır.
    Gelen Replikasyon Devre Dışı Gelen çoğaltması devre dışı olan DC'ler en son bilgilere sahip olmaz. Bu koşul oturum açma hatalarına yol açabilir. Etkilenen Etki Alanı Denetleyicisi'nde gelen çoğaltmayı etkinleştirmek için şu adımları izleyin: Başlat'ı seçin, Çalıştır'ı seçin, cmd yazın ve ardından Tamam'ı seçin. Aşağıdaki metni yazın ve ENTER tuşuna basın:
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer hizmeti çalışmıyor Bu hizmet devre dışı bırakılırsa, açıkça bağımlı olan hizmetler başlatılamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start LanManServer' komutunu çalıştırın.
    Kerberos Anahtar Dağıtım Merkezi hizmeti çalışmıyor KDC Hizmeti durdurulursa, kullanıcılar Kerberos v5 kimlik doğrulama protokolunu kullanarak bu DC üzerinden kimlik doğrulaması yapamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start kdc' komutunu çalıştırın.
    DNS hizmeti çalışmıyor DNS Hizmeti durdurulursa, DNS amacıyla bu sunucuyu kullanan bilgisayarlar ve kullanıcılar kaynakları bulamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start dns' komutunu çalıştırın.
    DC'de USN Geri Alma işlemi gerçekleştirildi. USN geri alma işlemleri gerçekleştiğinde, daha önce USN'yi görmüş olan hedef etki alanı denetleyicileri tarafından nesnelerde ve özniteliklerde yapılan değişiklikler içe doğru çoğaltılamaz. Bu hedef etki alanı denetleyicileri güncel olduklarına inandığından, Dizin Hizmeti olay günlüklerinde veya izleme ve tanılama araçları tarafından hiçbir çoğaltma hatası bildirilmemiştir. USN geri alma işlemi, herhangi bir bölümdeki herhangi bir nesnenin veya özniteliğin çoğaltımını etkileyebilir. En sık gözlemlenen yan etki, geri alma etki alanı denetleyicisinde oluşturulan kullanıcı hesaplarının ve bilgisayar hesaplarının bir veya daha fazla çoğaltma ortağında mevcut olmadığıdır. Ya da, rollback etki alanı denetleyicisinden kaynaklanan parola güncellemeleri çoğaltma iş ortaklarında mevcut değildir. USN geriye dönme durumundan kurtulmak için iki yaklaşım vardır.

    Aşağıdaki adımları izleyerek Etki Alanı Denetleyicisi'ni etki alanından kaldırın:

    1. Active Directory'yi tek başına sunucu olmaya zorlamak için etki alanı denetleyicisinden kaldırın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını seçin:
      332199 Etki Alanı denetleyicileri, Windows Server 2003 ve Windows 2000 Server'da indirgemeye zorlamak için Active Directory Yükleme Sihirbazı'nı kullandığınızda düzgün bir şekilde indirgemiyor.
    2. Düşürülen sunucuyu kapatın.
    3. Sağlam bir etki alanı denetleyicisinde, düşürülen etki alanı denetleyicisinin meta verilerini temizleyin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını seçin:
      216498 Başarısız bir etki alanı denetleyicisi indirgeme işlemi sonrasında Active Directory'deki verileri nasıl kaldırılır?
    4. Yanlış geri yüklenen etki alanı denetleyicisi işlem yöneticisi rollerini barındırıyorsa, bu rolleri iyi durumdaki bir etki alanı denetleyicisine aktarın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını seçin:
      255504 FSMO rollerini etki alanı denetleyicisine aktarmak veya almak için Ntdsutil.exe kullanma
    5. Düşürülen sunucuyu yeniden başlatın.
    6. Gerekirse, Active Directory'yi tek başına sunucuya yeniden yükleyin.
    7. Etki alanı denetleyicisi daha önce genel katalogsa, etki alanı denetleyicisini genel katalog olacak şekilde yapılandırın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını seçin:
      313994 Windows 2000'de genel katalog oluşturma veya taşıma
    8. Etki alanı denetleyicisi daha önce operations master rollerini barındırdıysa, işlem yöneticisi rollerini etki alanı denetleyicisine geri aktarın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını seçin:
      255504 FSMO rollerini bir etki alanı denetleyicisine aktarmak veya el koymak için Ntdsutil.exe kullanma. İyi bir yedeklemenin sistem durumunu geri yüklemek.

    Bu etki alanı denetleyicisi için geçerli sistem durumu yedeklemelerinin mevcut olup olmadığını değerlendirin. Geri alınan etki alanı denetleyicisi yanlış geri yüklenmeden önce geçerli bir sistem durumu yedeklemesi yapıldıysa ve yedekleme etki alanı denetleyicisinde yapılan son değişiklikleri içeriyorsa, sistem durumunu en son yedeklemeden geri yükleyin.

    Anlık görüntüyü yedekleme kaynağı olarak da kullanabilirsiniz. Ya da bu makaledeki "Sistem durumu veri yedeklemesi olmadan sanal etki alanı denetleyicisi VHD'sinin önceki bir sürümünü geri yüklemek için" bölümündeki yordamı kullanarak veritabanını kendisine yeni bir çağırma kimliği verecek şekilde ayarlayabilirsiniz

    Sonraki adımlar