Microsoft Entra 連線 健全狀況警示目錄

  • 文章

Microsoft Entra 連線 Health 服務傳送警示指出您的身分識別基礎結構狀況不良。 本文包含每個警示的警示標題、描述和補救步驟。
錯誤、警告和前置警示是三個階段,這些警示是從 連線 Health 服務產生的。 強烈建議您在觸發的警示上立即採取動作。
Microsoft Entra 連線 健康情況警示會在成功狀況下解決。 Microsoft Entra 連線 Health Agents 會定期偵測並回報服務的成功狀況。 針對一些警示,隱藏是以時間為基礎。 換句話說,如果在警示產生后的 72 小時內未觀察到相同的錯誤狀況,則會自動解決警示。

一般 警示

警示名稱 描述 補救
健全狀況服務數據不是最新的 在一或多部伺服器上執行的健全狀況代理程式未連線到 健全狀況服務,且 健全狀況服務 未從此伺服器接收最新數據。 健全狀況服務 所處理的最後一個數據早於 2 小時。 確定健康情況代理程式具有所需服務端點的輸出連線能力。 閱讀更多資訊

Microsoft Entra 連線 警示(同步處理)

警示名稱 描述 補救
Microsoft Entra 連線 Sync Service 未執行 Microsoft Entra ID Sync Windows 服務未執行或無法啟動。 因此,物件不會與 Microsoft Entra 識別符同步處理。 啟動 Microsoft Entra ID Sync Services
  1. 按兩下 [ 開始],按兩下 [執行],輸入 Services.msc,然後按兩下 [ 確定]。
  2. 找出 Microsoft Entra ID Sync 服務,然後檢查服務是否已啟動。 如果未啟動服務,請以滑鼠右鍵按兩下服務,然後按兩下 [ 啟動]。
從 Microsoft Entra ID 匯入失敗 來自 Microsoft Entra 連接器的匯入作業失敗。 請調查匯入作業的事件記錄檔錯誤,以取得進一步的詳細資料。
由於驗證失敗,對 Microsoft Entra ID 的連接失敗 由於驗證失敗,對 Microsoft Entra ID 的連接失敗。 因此,物件不會與 Microsoft Entra ID 同步處理。 調查事件記錄檔錯誤以取得進一步的詳細數據。
匯出至 Active Directory 失敗 匯出至 Active Directory 連接器的作業失敗。 請調查匯出作業的事件記錄檔錯誤,以取得進一步的詳細資料。
從 Active Directory 匯入失敗 從 Active Directory 匯入失敗。 因此,可能無法從這個樹系匯入來自某些網域的物件。
  • 確認DC連線能力
  • 手動重新執行匯入
  • 調查匯入作業的事件記錄錯誤,以取得進一步的詳細數據。
    		•
    匯出至 Microsoft Entra ID 失敗 匯出至 Microsoft Entra 連線 or 的作業失敗。 因此,某些物件可能無法成功匯出至 Microsoft Entra 識別碼。 請調查匯出作業的事件記錄檔錯誤,以取得進一步的詳細資料。
    過去 120 分鐘內略過密碼哈希同步處理活動訊號 過去 120 分鐘內,密碼哈希同步處理未與 Microsoft Entra ID 連線。 因此,密碼不會與 Microsoft Entra ID 同步。 重新啟動 Microsoft Entra ID Sync Services:
    目前正在執行的任何同步處理作業都會中斷。 當未進行同步處理作業時,您可以選擇執行下列步驟。
    1.按兩下 [開始],按兩下 [執行],輸入 Services.msc,然後按兩下 [ 確定]。
    2.找出 Microsoft Entra ID Sync,以滑鼠右鍵按兩下它,然後按兩下 [ 重新啟動]。
    偵測到高 CPU 使用量 CPU 耗用量的百分比已超過此伺服器上的建議閾值。
  • 這可能是 CPU 耗用量的暫時尖峰。 從 [監視] 區段檢查 CPU 使用量趨勢。
  • 檢查在伺服器上耗用最高CPU使用量的最上層進程。
    1. 您可以使用 Task Manager 或執行下列 PowerShell 命令:
      get-process |Sort-Object -Descending CPU |Select-Object -First 10
    2. 如果有非預期的進程耗用高 CPU 使用量,請使用下列 PowerShell 命令停止行程:
      stop-process -ProcessName [進程的名稱]
  • 如果上述清單中看到的進程是伺服器上執行的預定進程,且CPU耗用量持續接近臨界值,請考慮重新評估此伺服器的部署需求。
  • 作為安全失敗的選項,您可以考慮重新啟動伺服器。
    		•
    偵測到高記憶體耗用量 伺服器的記憶體耗用量百分比超出此伺服器的建議臨界值。 檢查在伺服器上耗用最高記憶體的最上層進程。 您可以使用 Task Manager 或執行下列 PowerShell 命令:
    get-process |Sort-Object -Descending WS |Select-Object -First 10
    如果有非預期的進程耗用高記憶體,請使用下列 PowerShell 命令停止進程:
    stop-process -ProcessName [進程的名稱]
  • 如果上述清單中看到的進程是伺服器上執行的預期進程,請考慮重新評估此伺服器的部署需求。
  • 作為失敗選項,您可以考慮重新啟動伺服器。
    		•
    密碼雜湊同步處理已停止運作 密碼雜湊同步處理已停止。 因此,密碼不會與 Microsoft Entra ID 同步處理。 重新啟動 Microsoft Entra ID Sync Services:
    目前正在執行的任何同步處理作業都會中斷。 當未進行同步處理作業時,您可以選擇執行下列步驟。
    1. 按兩下 [ 開始],按兩下 [執行],輸入 Services.msc,然後按兩下 [ 確定]。
    2. 找出 Microsoft Entra ID Sync,以滑鼠右鍵按鍵按兩下它,然後按兩下 [重新啟動]。
    匯出至 Microsoft Entra 識別碼已停止。 已達到意外刪除閾值 匯出至 Microsoft Entra 識別碼的作業失敗。 刪除的物件比設定的臨界值還多。 因此,不會匯出任何物件。
  • 標示要刪除的物件數目大於設定的臨界值。 請確定需要此結果。
  • 若要允許匯出繼續,請執行下列步驟:
    1. 執行 Disable-ADSyncExportDeletionThreshold 以停用臨界值
    2. 啟動 Synchronization Service Manager
    3. 在類型 = Microsoft Entra ID 的 連線 or 上執行匯出
    4. 成功匯出對象之後,請執行下列項目來啟用 Threshold:Enable-ADSyncExportDeletionThreshold
    		•

    Active Directory 同盟服務 警示

    警示名稱 描述 補救
    測試驗證要求 (綜合交易) 無法取得權杖 從此伺服器起始的測試驗證要求(綜合交易)在5次重試之後無法取得令牌。 這可能是因為暫時性網路問題、AD DS 域控制器可用性或設定錯誤的 AD FS 伺服器所造成。 因此,同盟服務處理的驗證要求可能會失敗。 代理程式會使用本機計算機帳戶內容,從同盟服務取得令牌。 請確定已採取下列步驟來驗證伺服器的健康情況。
    1. 驗證伺服器陣列中沒有此或其他AD FS 伺服器的其他未解決警示。
    2. 請從 https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx 的 AD FS 登入頁面,使用測試使用者登入來驗證此條件不是暫時性失敗
    3. 移至 https://testconnectivity.microsoft.com 並選擇 [Office 365] 索引標籤。執行 [Office 365 單一登錄測試]。
    4. 請從此伺服器上的命令提示字元執行下列命令,以確認您的 AD FS 服務名稱是否可以從此伺服器解析。 nslookup your_adfs_server_name

    如果無法解析服務名稱,請參閱常見問題一節,以取得使用此伺服器的IP位址新增AD FS服務的HOST檔案專案指示。 這可讓在此伺服器上執行的綜合交易模組要求令牌
    Proxy 伺服器無法連線到同盟伺服器 此 AD FS Proxy 伺服器無法連絡 AD FS 服務。 因此,此伺服器處理的驗證要求將會失敗。 執行下列步驟來驗證此伺服器與AD FS服務之間的連線。
    1. 請確定此伺服器與AD FS服務之間的防火牆已正確設定。
    2. 請確定AD FS 服務名稱的 DNS 解析會適當地指向位於公司網路內的AD FS服務。 這可透過在周邊網路中提供此伺服器的 DNS 伺服器,或透過 AD FS 服務名稱之 HOSTS 檔案中的項目來達成。
    3. 開啟此伺服器上的瀏覽器並存取位於 的同盟元數據端點,以驗證網路連線能力 https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    SSL 憑證即將到期 同盟伺服器所使用的 TLS/SSL 憑證即將在 90 天內到期。 到期后,任何需要有效 TLS 連線的要求都會失敗。 例如,對於 Microsoft 365 客戶,郵件客戶端將無法進行驗證。 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
    1. 使用下列需求取得 TLS/SSL 憑證。
      1. 增強金鑰使用方式至少是伺服器驗證。
      2. 憑證主體或主體別名 (SAN) 包含同盟服務的 DNS 名稱或適當的通配符。 例如:sso.contoso.com 或 *.contoso.com
    2. 在本機計算機證書存儲中的每個伺服器上安裝新的 TLS/SSL 憑證。
    3. 確定AD FS服務帳戶具有憑證私鑰的讀取許可權

    針對 Windows Server 2008R2 中的 AD FS 2.0:

    • 將新的 TLS/SSL 憑證系結至裝載同盟服務的 IIS 網站。 請注意,您必須在每個同盟伺服器和同盟伺服器 Proxy 上執行此步驟。

    針對 Windows Server 2012 R2 和更新版本中的 AD FS:

  • 請參閱 在 AD FS 和 WAP 中管理 SSL 憑證
    • AD FS 服務未在伺服器上執行 Active Directory 同盟服務 (Windows 服務) 未在此伺服器上執行。 以這個伺服器為目標的任何要求都會失敗。 若要啟動 Active Directory 同盟服務 (Windows 服務):
    1. 以系統管理員身分登入伺服器。
    2. 開啟 services.msc
    3. 尋找 “Active Directory 同盟服務”
    4. 以滑鼠右鍵按下並選取 [開始]
    同盟服務的 DNS 設定可能不正確 DNS 伺服器可以設定為使用AD FS 伺服器陣變數名稱的 CNAME 記錄。 建議使用AD FS的 A 或AAAA記錄,讓 Windows 整合式驗證在公司網路內順暢地運作。 請確定AD FS 伺服器陣列 <Farm Name> 的 DNS 記錄類型不是 CNAME。 將它設定為 A 或 AAAA 記錄。
    AD FS 稽核已停用 伺服器已停用AD FS稽核。 入口網站上AD FS使用量區段不會包含來自此伺服器的數據。 如果未啟用 AD FS 稽核,請遵循下列指示:
    1. 授與AD FS服務帳戶AD FS 伺服器上的「產生安全性稽核」許可權。
    2. 開啟伺服器 gpedit.msc 上的本機安全策略。
    3. 流覽至 [計算機設定\Windows 設定\本機原則\使用者權力指派]
    4. 新增AD FS服務帳戶以具有「產生安全性稽核」許可權。
    5. 在命令提示字元中執行下列命令:
      auditpol.exe /set /subcategory:“Application Generated” /failure:enable /success:enable
    6. 更新同盟服務屬性以包含成功和失敗稽核。
    7. 在 AD FS 控制台中,選擇 [編輯同盟服務屬性]
    8. 從 [同盟服務屬性] 對話框選擇 [事件] 索引標籤,然後選取 [成功稽核] 和 [失敗稽核]

    遵循這些步驟之後,AD FS 稽核事件應該會顯示在 事件檢視器 中。 若要確認:

    1. 移至 事件檢視器/ Windows 記錄 /安全性。
    2. 選取 [篩選目前記錄],然後從 [事件來源] 下拉式清單中選取 [AD FS 稽核]。 針對已啟用AD FS稽核的作用中AD FS 伺服器,應該會顯示上述篩選的事件。

    如果您先前已遵循這些指示,但仍看到此警示,則組策略物件可能會停用 AD FS 稽核。 根本原因可能是下列其中一項:

    1. AD FS 服務帳戶正從有權產生安全性稽核中移除。
    2. 組策略物件中的自定義腳本會根據「應用程式產生」來停用成功和失敗稽核。
    3. AD FS 設定未啟用以產生成功/失敗稽核。
    AD FS SSL 憑證已自我簽署 您目前使用自我簽署憑證作為AD FS 伺服器陣列中的TLS/SSL 憑證。 因此,Microsoft 365 的郵件客戶端驗證將會失敗

    更新每個 AD FS 伺服器上的 TLS/SSL 憑證。

    1. 取得具有下列需求的公開信任 TLS/SSL 憑證。
    2. 憑證安裝檔案包含其私鑰。
    3. 增強金鑰使用方式至少是伺服器驗證。
    4. 憑證主體或主體別名 (SAN) 包含同盟服務的 DNS 名稱或適當的通配符。 例如:sso.contoso.com 或 *.contoso.com

    在本機計算機證書存儲中的每個伺服器上安裝新的 TLS/SSL 憑證。

      確定AD FS服務帳戶具有憑證私鑰的讀取許可權。
      針對 Windows Server 2008R2 中的 AD FS 2.0:
    1. 將新的 TLS/SSL 憑證系結至裝載同盟服務的 IIS 網站。 請注意,您必須在每個同盟伺服器和同盟伺服器 Proxy 上執行此步驟。

      2. 針對 Windows Server 2012 R2 或更新版本中的 AD FS:
    2. 請參閱 在 AD FS 和 WAP 中管理 SSL 憑證
    Proxy 伺服器與同盟伺服器之間的信任無效 無法建立或更新同盟伺服器 Proxy 與同盟服務之間的信任。 更新 Proxy 伺服器上的 Proxy 信任憑證。 重新執行 Proxy 設定精靈。
    AD FS 已停用外部網路鎖定保護 AD FS 伺服器陣列上的外部網路鎖定保護功能已停用。 這項功能可保護您的使用者免受來自因特網的暴力密碼破解攻擊,並在 AD DS 帳戶鎖定原則生效時防止對使用者的阻斷服務攻擊。 啟用此功能後,如果使用者的失敗外部網路登入嘗試次數(透過 WAP 伺服器和 AD FS 進行的登入嘗試次數超過 'ExtranetLockoutThreshold',AD FS 伺服器將會停止處理 'ExtranetObservationWindow' 的進一步登入嘗試,強烈建議您在 AD FS 伺服器上啟用此功能。 執行下列命令,以使用預設值啟用AD FS外部網路鎖定保護。
    Set-AdfsProperties -EnableExtranetLockout $true

    如果您已為用戶設定 AD 鎖定原則,請確定 'ExtranetLockoutThreshold' 屬性設定為低於 AD DS 鎖定閾值的值。 這可確保已卸除超過AD FS閾值的要求,且永遠不會針對您的AD DS 伺服器進行驗證。
    AD FS 服務帳戶的服務主體名稱無效 同盟服務帳戶的服務主體名稱未註冊或不是唯一的。 因此,來自已加入網域的用戶端的 Windows 整合式驗證可能不是順暢的。 使用 [SETSPN -L ServiceAccountName] 列出服務主體。
    使用 [SETSPN -X] 檢查是否有重複的服務主體名稱。

    如果 AD FS 服務帳戶重複 SPN,請使用 [SETSPN -d service/namehostname] 從重複的帳戶中移除 SPN

    如果未設定 SPN,請使用 [SETSPN -s {Desired-SPN} {domain_name}{service_account}] 來設定同盟服務帳戶所需的 SPN。
    主要 AD FS 令牌解密憑證即將到期 主要 AD FS 令牌解密憑證即將在 90 天內到期。 AD FS 無法解密來自受信任宣告提供者的令牌。 AD FS 無法解密加密的 SSO Cookie。 使用者將無法驗證以存取資源。 如果已啟用自動憑證變換,AD FS 會管理令牌解密憑證。

    如果您手動管理憑證,請遵循下列指示。 取得新的令牌解密憑證。

    1. 確定增強金鑰使用方式 (EKU) 包含「金鑰加密」
    2. 主體或主體別名 (SAN) 沒有任何限制。
    3. 請注意,驗證令牌解密憑證時,同盟伺服器和宣告提供者合作夥伴必須能夠鏈結至受信任的跟證書授權單位。
    決定您的宣告提供者合作夥伴如何信任新的令牌解密憑證
    1. 更新憑證之後,要求合作夥伴提取同盟元數據。
    2. 共用新憑證的公鑰。 (.cer檔案)與合作夥伴。 在宣告提供者合作夥伴的AD FS 伺服器上,從 [管理員 工具] 選單啟動AD FS管理。 在 [信任關係/信賴憑證者信任] 下,選取為您建立的信任。 在 [屬性/加密] 下,按兩下 [流覽] 以選取新的令牌解密憑證,然後按兩下 [確定]。
    在每部同盟伺服器上的本機證書存儲中安裝憑證。
    • 確定憑證安裝檔案在每個伺服器上都有憑證的私鑰。
    確定同盟服務帳戶可以存取新憑證的私鑰。將新憑證新增至AD FS。
    1. 從 [管理員 工具] 功能表啟動 AD FS 管理
    2. 展開 [服務],然後選取 [憑證]
    3. 在 [動作] 窗格中,按兩下 [新增令牌解密憑證]
    4. 您會看到適用於令牌解密的憑證清單。 如果您發現新的憑證未顯示在清單中,您必須返回,並確定憑證位於本機計算機個人存放區中,且有相關聯的私鑰,且憑證具有密鑰加密為擴充密鑰使用方式。
    5. 選取新的令牌解密憑證,然後按兩下 [確定]。
    將新的令牌解密憑證設定為 [主要]。
    1. 選取 [AD FS 管理] 中的 [憑證] 節點后,您現在應該會看到兩個憑證列在 [令牌解密]底下:現有憑證和新憑證。
    2. 選取新的令牌解密憑證,以滑鼠右鍵按兩下,然後選取 [設定為主要憑證]。
    3. 將舊憑證保留為次要憑證以供變換之用。 當您確信不再需要變換或憑證過期時,您應該計劃移除舊的憑證。
    主要 AD FS 令牌簽署憑證即將到期 AD FS 令牌簽署憑證即將在90天內到期。 當此憑證無效時,AD FS 無法發出已簽署的令牌。 取得新的令牌簽署憑證。
    1. 確定增強金鑰使用方式 (EKU) 包含「數位簽名」
    2. 主體或主體別名 (SAN) 沒有任何限制。
    3. 請注意,您的同盟伺服器、您的資源夥伴同盟伺服器和信賴憑證者應用程式伺服器必須在驗證令牌簽署憑證時鏈結至受信任的跟證書授權單位。
    在每個同盟伺服器上,在本機證書存儲中安裝憑證。
    • 確定憑證安裝檔案在每個伺服器上都有憑證的私鑰。
    確定同盟服務帳戶可以存取新憑證的私鑰。將新憑證新增至AD FS。
    1. 從 [管理員 工具] 功能表啟動 AD FS 管理。
    2. 展開 [服務],然後選取 [憑證]
    3. 在 [動作] 窗格中,按兩下 [新增令牌簽署憑證...
    4. 您會看到適用於令牌簽署的憑證清單。 如果您發現新的憑證未顯示在清單中,您必須返回,並確定憑證位於與私鑰相關聯的本機計算機個人存放區中,且憑證具有數位簽名 KU。
    5. 選取新的令牌簽署憑證,然後按下 [確定]
    通知所有信賴憑證者令牌簽署憑證的變更。
    1. 取用AD FS同盟元數據的信賴憑證者必須提取新的同盟元數據,才能開始使用新的憑證。
    2. 不取用AD FS同盟元數據的信賴憑證者必須手動更新新令牌簽署憑證的公鑰。 與信賴憑證者共用.cer檔案。
      3. 將新的令牌簽署憑證設定為主要憑證。
      1. 選取 [AD FS 管理] 中的 [憑證] 節點后,您現在應該會看到兩個憑證列在 [令牌簽署]底下:現有和新的憑證。
      2. 選取新的令牌簽署憑證,以滑鼠右鍵按兩下,然後選取 [設定為 主要憑證]
      3. 將舊憑證保留為次要憑證以供變換之用。 當您確信不再需要變換或憑證過期時,您應該計劃移除舊的憑證。 請注意,目前的使用者的 SSO 工作階段已簽署。 目前的AD FS Proxy 信任關係會利用使用舊憑證簽署和加密的令牌。
    本機證書存儲中找不到AD FS SSL 憑證 在本機證書存儲中找不到設定為AD FS資料庫中TLS/SSL 憑證指紋的憑證。 因此,任何透過 TLS 的驗證要求都會失敗。 例如,Microsoft 365 的郵件客戶端驗證將會失敗。 在本機證書存儲中安裝具有已設定指紋的憑證。
    SSL 憑證已過期 AD FS 服務的 TLS/SSL 憑證已過期。 因此,任何需要有效 TLS 連線的驗證要求都會失敗。 例如:郵件客戶端驗證無法驗證 Microsoft 365。 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
    1. 使用下列需求取得 TLS/SSL 憑證。
    2. 增強金鑰使用方式至少是伺服器驗證。
    3. 憑證主體或主體別名 (SAN) 包含同盟服務的 DNS 名稱或適當的通配符。 例如:sso.contoso.com 或 *.contoso.com
    4. 在本機計算機證書存儲中的每個伺服器上安裝新的 TLS/SSL 憑證。
    5. 確定AD FS服務帳戶具有憑證私鑰的讀取許可權

    針對 Windows Server 2008R2 中的 AD FS 2.0:

    • 將新的 TLS/SSL 憑證系結至裝載同盟服務的 IIS 網站。 請注意,您必須在每個同盟伺服器和同盟伺服器 Proxy 上執行此步驟。

    針對 Windows Server 2012 R2 或更新版本中的 AD FS: 請參閱: 在 AD FS 和 WAP 中管理 SSL 憑證

    未啟用 Microsoft Entra ID 的必要端點(適用於 Microsoft 365) 未針對同盟服務啟用 Exchange Online Services、Microsoft Entra ID 和 Microsoft 365 所需的下列一組端點:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  在您的同盟服務上啟用 Microsoft 雲端服務 所需的端點。
    針對 Windows Server 2012R2 或更新版本中的 AD FS
  • 請參閱: 在 AD FS 和 WAP 中管理 SSL 憑證

    • 同盟伺服器無法連線到AD FS組態資料庫 線上到 AD FS 組態資料庫時,AD FS 服務帳戶發生問題。 因此,此電腦上的 AD FS 服務可能無法如預期般運作。
  • 請確定AD FS服務帳戶可以存取組態資料庫。
  • 請確定AD FS組態資料庫服務可供使用且可連線。
    • 遺漏或未設定必要的 SSL 系結 此同盟伺服器成功執行驗證所需的 TLS 系結設定不正確。 因此,AD FS 無法處理任何連入要求。 針對 Windows Server 2012 R2
    開啟提升權限的系統管理員命令提示字元,然後執行下列命令:
    1. 若要檢視目前的 TLS 系結: Get-AdfsSslCertificate
    2. 若要新增系結: netsh http add sslcert hostnameport=<federation service name>:443 certhash=0102030405060708090A0B0C0D0E0F1011121314 appid={00112233-4455-6677-8899-AABBCCDDEEFF} certstorename=MY
    主要 AD FS 令牌簽署憑證已過期 AD FS 令牌簽署憑證已過期。 當此憑證無效時,AD FS 無法發出已簽署的令牌。 如果已啟用自動憑證變換,AD FS 將會管理更新令牌簽署憑證。

    如果您手動管理憑證,請遵循下列指示。

    1. 取得新的令牌簽署憑證。
      1. 確定增強金鑰使用方式 (EKU) 包含「數位簽名」
      2. 主體或主體別名 (SAN) 沒有任何限制。
      3. 請記住,驗證令牌簽署憑證時,您的同盟伺服器、資源夥伴同盟伺服器和信賴憑證者應用程式伺服器必須能夠鏈結至受信任的跟證書授權單位。
    2. 在每個同盟伺服器上,在本機證書存儲中安裝憑證。
      • 確定憑證安裝檔案在每個伺服器上都有憑證的私鑰。
    3. 確定同盟服務帳戶可以存取新憑證的私鑰。
    4. 將新憑證新增至AD FS。
      1. 從 [管理員 工具] 功能表啟動 AD FS 管理。
      2. 展開 [服務],然後選取 [憑證]
      3. 在 [動作] 窗格中,按兩下 [新增令牌簽署憑證...
      4. 您會看到適用於令牌簽署的憑證清單。 如果您發現新的憑證未顯示在清單中,您必須返回,並確定憑證位於與私鑰相關聯的本機計算機個人存放區中,且憑證具有數位簽名 KU。
      5. 選取新的令牌簽署憑證,然後按下 [確定]
    5. 通知所有信賴憑證者令牌簽署憑證的變更。
      1. 取用AD FS同盟元數據的信賴憑證者必須提取新的同盟元數據,才能開始使用新的憑證。
      2. 不取用AD FS同盟元數據的信賴憑證者必須手動更新新令牌簽署憑證的公鑰。 與信賴憑證者共用.cer檔案。
    6. 將新的令牌簽署憑證設定為主要憑證。
      1. 選取 [AD FS 管理] 中的 [憑證] 節點后,您現在應該會看到兩個憑證列在 [令牌簽署]底下:現有和新的憑證。
      2. 選取新的令牌簽署憑證,以滑鼠右鍵按兩下,然後選取 [設定為 主要憑證]
      3. 將舊憑證保留為次要憑證以供變換之用。 當您確信不再需要變換或憑證過期時,您應該計劃移除舊的憑證。 請記住,目前使用者的 SSO 工作階段已簽署。 目前的AD FS Proxy 信任關係會利用使用舊憑證簽署和加密的令牌。
    Proxy 伺服器正在卸除壅塞控制的要求 此 Proxy 伺服器目前從外部網路卸除要求,因為此 Proxy 伺服器與同盟伺服器之間的延遲高於一般延遲。 因此,AD FS Proxy 伺服器所處理之驗證要求的某些部分可能會失敗。
  • 確認同盟 Proxy 伺服器與同盟伺服器之間的網路等待時間是否在可接受的範圍內。 如需「令牌要求延遲」的趨勢值,請參閱監視區段。大於 [1500 毫秒] 的延遲應該視為高延遲。 如果觀察到高延遲,請確定AD FS與AD FS Proxy伺服器之間的網路沒有任何連線問題。
  • 請確定同盟伺服器不會以驗證要求多載。 監視區段提供每秒令牌要求、CPU 使用率和記憶體耗用量的趨勢檢視。
  • 如果已驗證上述專案,但仍看到此問題,請根據相關連結的指引,調整每個同盟 Proxy 伺服器上的壅塞避免設定。
    		•
    AD FS 服務帳戶拒絕存取其中一個憑證的私鑰。 AD FS 服務帳戶無法存取此電腦上其中一個 AD FS 憑證的私鑰。 請確定AD FS服務帳戶能夠存取儲存在本機電腦證書存儲中的TLS、令牌簽署和令牌解密憑證。
    1. 從命令行輸入 MMC。
    2. 移至檔案>新增/移除嵌入式管理單元
    3. 選取 [憑證],然後按兩下 [新增]。 -> 選取 [計算機帳戶],然後按 [下一步]。 -> 選取 [本機計算機],然後按兩下 [完成]。 按一下 [確定]。

    開啟 Certificates(Local Computer)/Personal/Certificates。針對 AD FS 所使用的所有憑證:
    1. 以滑鼠右鍵按兩下憑證。
    2. 選取 [所有工作 -> 管理私鑰]。
    3. 在 [群組或用戶名稱] 下的 [安全性] 索引標籤上,確定 AD FS 服務帳戶存在。 如果未選取 [新增] 並新增AD FS服務帳戶。
    4. 選取 AD FS 服務帳戶,然後在 [AD FS 服務帳戶名稱>的許可權<] 下,確定允許 [讀取] 許可權(複選標記)。
    AD FS SSL 憑證沒有私鑰 未安裝私鑰的 AD FS TLS/SSL 憑證。 因此,任何透過SSL的驗證要求都會失敗。 例如,Microsoft 365 的郵件客戶端驗證將會失敗。 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
    1. 取得具有下列需求的公開信任 TLS/SSL 憑證。
      1. 憑證安裝檔案包含其私鑰。
      2. 增強金鑰使用方式至少是伺服器驗證。
      3. 憑證主體或主體別名 (SAN) 包含同盟服務的 DNS 名稱或適當的通配符。 例如:sso.contoso.com 或 *.contoso.com
    2. 在本機計算機證書存儲中的每個伺服器上安裝新的 TLS/SSL 憑證。
    3. 確定AD FS服務帳戶具有憑證私鑰的讀取許可權

    針對 Windows Server 2008R2 中的 AD FS 2.0:

    • 將新的 TLS/SSL 憑證系結至裝載同盟服務的 IIS 網站。 請注意,您必須在每個同盟伺服器和同盟伺服器 Proxy 上執行此步驟。

    針對 Windows Server 2012 R2 或更新版本中的 AD FS:

  • 請參閱: 在 AD FS 和 WAP 中管理 SSL 憑證
    • 主要 AD FS 令牌解密憑證已過期 主要 AD FS 令牌解密憑證已過期。 AD FS 無法解密來自受信任宣告提供者的令牌。 AD FS 無法解密加密的 SSO Cookie。 使用者將無法驗證以存取資源。

    如果已啟用自動憑證變換,AD FS 會管理令牌解密憑證。

    如果您手動管理憑證,請遵循下列指示。

    1. 取得新的令牌解密憑證。
      • 確定增強金鑰使用方式 (EKU) 包含「金鑰加密」。
      • 主體或主體別名 (SAN) 沒有任何限制。
      • 請注意,驗證令牌解密憑證時,同盟伺服器和宣告提供者合作夥伴必須能夠鏈結至受信任的跟證書授權單位。
    2. 決定您的宣告提供者合作夥伴如何信任新的令牌解密憑證
      • 更新憑證之後,要求合作夥伴提取同盟元數據。
      • 共用新憑證的公鑰。 (.cer檔案)與合作夥伴。 在宣告提供者合作夥伴的AD FS 伺服器上,從 [管理員 工具] 選單啟動AD FS管理。 在 [信任關係/信賴憑證者信任] 下,選取為您建立的信任。 在 [屬性/加密] 下,按兩下 [流覽] 以選取新的令牌解密憑證,然後按兩下 [確定]。
    3. 在每部同盟伺服器上的本機證書存儲中安裝憑證。
      • 確定憑證安裝檔案在每個伺服器上都有憑證的私鑰。
    4. 確定同盟服務帳戶可以存取新憑證的私鑰。
    5. 將新憑證新增至AD FS。
      • 從 [管理員 工具] 功能表啟動 AD FS 管理
      • 展開 [服務],然後選取 [憑證]
      • 在 [動作] 窗格中,按兩下 [新增令牌解密憑證]
      • 您會看到適用於令牌解密的憑證清單。 如果您發現新的憑證未顯示在清單中,您必須返回,並確定憑證位於本機計算機個人存放區中,且有相關聯的私鑰,且憑證具有密鑰加密為擴充密鑰使用方式。
      • 選取新的令牌解密憑證,然後按兩下 [確定]。
    6. 將新的令牌解密憑證設定為 [主要]。
      • 選取 [AD FS 管理] 中的 [憑證] 節點后,您現在應該會看到兩個憑證列在 [令牌解密]底下:現有憑證和新憑證。
      • 選取新的令牌解密憑證,以滑鼠右鍵按兩下,然後選取 [設定為主要憑證]。
      • 將舊憑證保留為次要憑證以供變換之用。 當您確信不再需要變換或憑證過期時,您應該計劃移除舊的憑證。

    Active Directory 網域服務的警示

    警示名稱 描述 補救
    域控制器無法透過LDAP Ping連線 域控制器無法透過LDAP Ping連線。 這可能是因為網路問題或計算機問題所造成。 因此,LDAP Ping 將會失敗。
  • 檢查相關警示的警示清單,例如:域控制器未發佈廣告。
  • 請確定受影響的域控制器有足夠的磁碟空間。 用盡空間會阻止 DC 將自己公告為 LDAP 伺服器。
  • 嘗試尋找 PDC:執行
    受影響域控制器上的 netdom 查詢 fsmo
  • 確定已正確設定/連線實體網路。
    • 發生 Active Directory 複寫錯誤 此域控制器遇到複寫問題,可移至 [複寫狀態儀錶板] 來找到。 復寫錯誤可能是因為設定不正確或其他相關問題所造成。 未處理的復寫錯誤可能會導致數據不一致。 如需受影響來源和目的地 DC 的名稱,請參閱其他詳細數據。 流覽至 [復寫狀態] 儀錶板,並尋找受影響DC上的作用中錯誤。 按兩下錯誤以開啟刀鋒視窗,其中包含如何補救該特定錯誤的詳細數據。
    域控制器找不到 PDC 無法透過此域控制器連線到 PDC。 這會導致受影響的使用者登入、未套用的組策略變更,以及系統時間同步處理失敗。
  • 檢查警示清單,以取得可能影響 PDC 的相關警示,例如:域控制器未發佈廣告。
  • 嘗試尋找 PDC:執行
    受影響域控制器上的 netdom 查詢 fsmo
  • 請確定網路正常運作。
    • 域控制器找不到全局編錄伺服器 無法從此域控制器連線到全域編錄伺服器。 這會導致透過此域控制器嘗試驗證失敗。 檢查任何 域控制器的警示清單不會公告 受影響的伺服器可能是 GC 的警示。 如果沒有廣告警示,請檢查 GCS 的 SRV 記錄。 您可以執行下列命令來檢查它們:
    nltest /dnsgetdc: [ForestName] /gc
    它應該將 DC 廣告列為 GCS。 如果清單是空的,請檢查 DNS 設定,以確保 GC 已註冊 SRV 記錄。 DC 可以在 DNS 中尋找它們。
    如需針對全域編錄進行疑難解答,請參閱 以全域編錄伺服器的形式發佈廣告。
    域控制器無法連線到本機 sysvol 共用 Sysvol 包含組策略對象和腳本中要散發在網域 DC 內的重要元素。 DC 不會將自己公告為 DC,且不會套用組策略。 請參閱 如何針對遺漏的 sysvol 和 Netlogon 共用進行疑難解答
    域控制器時間未同步 此域控制器的時間超出一般時間扭曲範圍。 因此,Kerberos 驗證將會失敗。
  • 重新啟動 Windows 時間服務:執行
    net stop w32time
    then
    受影響域控制器上的 net start w32time
  • 重新同步處理時間:執行
    受影響域控制器上的 w32tm /resync
    • 域控制器未公告 此域控制器未正確公告其能夠執行的角色。 這可能會因為復寫、DNS 設定錯誤、未執行的重要服務,或因為伺服器未完全初始化而造成。 因此,域控制器、網域成員和其他裝置將無法找到此域控制器。 此外,其他域控制器可能無法從此域控制器複寫。 檢查其他相關警示的警示清單,例如:複寫已中斷。 域控制器時間已不同步。Netlogon 服務未執行。 DFSR 和/或 NTFRS 服務未執行。 識別並針對相關的 DNS 問題進行疑難解答:登入受影響的域控制器。 開啟 [系統事件記錄檔]。 如果事件 5774、5775 或 5781 存在,請參閱 疑難解答域控制器定位器 DNS 記錄註冊失敗 識別和疑難解答相關的 Windows Time 服務問題:確定 Windows 時間服務正在執行:在受影響的域控制器上執行 'net start w32time'。 重新啟動 Windows Time 服務:在受影響的域控制器上執行 'net stop w32time',然後在受影響的域控制器上執行 'net start w32time'。
    GPSVC 服務未執行 如果服務已停止或停用,系統管理員所設定的設定將不會套用,而且無法透過組策略管理應用程式和元件。 如果停用此服務,相依於群組原則元件的所有元件或應用程式可能都無法運作。 執行
    受影響域控制器上的 net start gpsvc
    DFSR 和/或 NTFRS 服務未執行 如果 DFSR 和 NTFRS 服務都停止,域控制器將無法復寫 sysvol 數據。 sysvol 數據將會不一致。
  • 如果使用 DFSR:
      在受影響的域控制器上執行 『net start dfsr』。
    1. 如果使用NTFRS:
        在受影響的域控制器上執行 『net start ntfrs』。
    • Netlogon 服務未執行 此 DC 將無法使用登入要求、註冊、驗證和尋找域控制器。 在受影響的域控制器上執行 'net start netlogon'
    W32Time 服務未執行 如果 Windows Time 服務停止,日期和時間同步處理將無法使用。 如果停用此服務,明確依存於此服務的所有服務都將無法啟動。 在受影響的域控制器上執行 'net start win32Time'
    ADWS 服務未執行 如果 Active Directory Web 服務服務已停止或停用,Active Directory PowerShell 之類的用戶端應用程式將無法存取或管理在此伺服器上本機執行的任何目錄服務實例。 在受影響的域控制器上執行 'net start adws'
    根 PDC 未從 NTP 伺服器同步處理 如果您未將 PDC 設定為從外部或內部時間來源同步處理時間,PDC 模擬器會使用其內部時鐘,而且本身是樹系的可靠時間來源。 如果 PDC 本身的時間不正確,則所有計算機都會有不正確的時間設定。 在受影響的域控制器上,開啟命令提示字元。 停止時間服務:net stop w32time
  • 設定外部時間來源:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    注意:將 time.windows.com 取代為您所需的外部時間來源位址。 啟動時間服務:
    net start w32time
    • 域控制器已隔離 此域控制器未連線到任何其他運作中的域控制器。 這可能是因為設定不正確所造成。 因此,此 DC 不會使用,且不會從任何人複寫。 啟用輸入和輸出複寫:在受影響的域控制器上執行 『repadmin/options ServerName -DISABLE_INBOUND_REPL』。 在受影響的域控制器上執行 『repadmin /options ServerName -DISABLE_OUTBOUND_REPL』。 建立另一個域控制器的新複寫連線:
    1. 開啟 Active Directory 月臺和服務:[開始] 功能表,指向 [管理員 工具],然後按兩下 [Active Directory 月臺和服務]。
    2. 在主控台樹中,展開 [月臺],然後展開此DC所屬的月臺。
    3. 展開 [伺服器] 容器以顯示伺服器清單。
    4. 展開這個 DC 的伺服器物件。
    5. 以滑鼠右鍵按兩下 NTDS 設定 物件,然後按下 [新增 Active Directory 網域服務 連線...
    6. 從清單中選取伺服器,然後按下 [確定]。
    如何從 Active Directory 移除孤立的網域。
    輸出複寫已停用 具有已停用輸出複寫的DC將無法散發源自本身的任何變更。 若要在受影響的域控制器上啟用輸出複寫,請遵循下列步驟:按兩下 [開始],按兩下 [執行],輸入 cmd,然後按兩下 [確定]。 輸入下列文字,然後按 ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    輸入複寫已停用 具有停用輸入複寫的DC將不會有最新資訊。 此條件可能會導致登入失敗。 若要在受影響的域控制器上啟用輸入複寫,請遵循下列步驟:按兩下 [開始],按兩下 [執行],輸入 cmd,然後按兩下 [確定]。 輸入下列文字,然後按 ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer 服務未執行 如果停用此服務,明確依存於此服務的所有服務都將無法啟動。 在受影響的域控制器上執行 『net start LanManServer』。
    Kerberos 金鑰發佈中心服務未執行 如果 KDC 服務停止,使用者將無法使用 Kerberos v5 驗證通訊協定透過此 DC 進行驗證。 在受影響的域控制器上執行 『net start kdc』。
    DNS 服務未執行 如果 DNS 服務停止,則使用該伺服器進行 DNS 用途的電腦和使用者將無法找到資源。 在受影響的域控制器上執行 『net start dns』。
    DC 有 USN 復原 發生 USN 回復時,物件和屬性的修改不會由先前看過 USN 的目的地網域控制站進行輸入複寫。 因為這些目的地網域控制站認為他們是最新的,所以在目錄服務事件記錄中或從監視及診斷工具,不會回報任何複寫錯誤。 USN 回復可能會影響任何分割區中任何物件或屬性的複寫。 最常見的副作用是,在回復網域控制站上建立的使用者帳戶和電腦帳戶,在一或多個複寫協力電腦上不存在。 或者,在回復網域控制站上產生的密碼更新,不存在於複寫協力電腦上。 有兩種方法可從 USN 復原復原:

    請遵循下列步驟,從網域移除域控制器:

    1. 從網域控制站中移除 Active Directory,強制它成為獨立伺服器。 如需詳細資訊,請按下列文章編號,以檢視 Microsoft 知識庫中的文章:
      當您使用 Active Directory 安裝精靈強制降級 Windows Server 2003 和 Windows 2000 Server 時,332199域控制器不會正常降級。
    2. 關閉被降級的伺服器。
    3. 在狀況良好的網域控制站上,清除降級網域控制站的中繼資料。 如需詳細資訊,請按下列文章編號,以檢視 Microsoft 知識庫中的文章:
      216498如何在域控制器降級失敗后移除 Active Directory 中的數據
    4. 如果未正確還原的網域控制站裝載了操作主機角色,請將這些角色轉移至狀況良好的網域控制站。 如需詳細資訊,請按下列文章編號,以檢視 Microsoft 知識庫中的文章:
      255504 使用Ntdsutil.exe將 FSMO 角色轉移或扣押到域控制器
    5. 重新啟動降級的伺服器。
    6. 如有需要,可在獨立伺服器上再次安裝 Active Directory。
    7. 如果網域控制站之前是通用目錄,請將網域控制站設定為通用目錄。 如需詳細資訊,請按下列文章編號,以檢視 Microsoft 知識庫中的文章:
      313994如何在 Windows 2000 中建立或移動全域編錄
    8. 如果網域控制站之前有裝載操作主機角色,請將操作主機角色轉移回網域控制站。 如需詳細資訊,請按下列文章編號,以檢視 Microsoft 知識庫中的文章:
      255504 使用Ntdsutil.exe將 FSMO 角色傳輸或擷取到域控制器 還原良好備份的系統狀態。

    評估此網域控制站是否有有效的系統狀態備份。 如果在回復的網域控制站未正確還原之前,有進行有效的系統狀態備份,而且備份包含網域控制站最近所做的變更,請從最新的備份還原系統狀態。

    您也可以使用快照做為備份的來源。 或者,您可以使用本文<在不備份系統狀態數據 的情況下還原舊版虛擬域控制器 VHD>一節中的程式,設定資料庫給自己提供新的調用標識符

    下一步