Microsoft Entra 連線 健全狀況警示目錄
Microsoft Entra 連線 Health 服務傳送警示指出您的身分識別基礎結構狀況不良。 本文包含每個警示的警示標題、描述和補救步驟。
錯誤、警告和前置警示是三個階段,這些警示是從 連線 Health 服務產生的。 強烈建議您在觸發的警示上立即採取動作。
Microsoft Entra 連線 健康情況警示會在成功狀況下解決。 Microsoft Entra 連線 Health Agents 會定期偵測並回報服務的成功狀況。 針對一些警示,隱藏是以時間為基礎。 換句話說,如果在警示產生后的 72 小時內未觀察到相同的錯誤狀況,則會自動解決警示。
一般 警示
警示名稱 | 描述 | 補救 |
---|---|---|
健全狀況服務數據不是最新的 | 在一或多部伺服器上執行的健全狀況代理程式未連線到 健全狀況服務,且 健全狀況服務 未從此伺服器接收最新數據。 健全狀況服務 所處理的最後一個數據早於 2 小時。 | 確定健康情況代理程式具有所需服務端點的輸出連線能力。 閱讀更多資訊 |
Microsoft Entra 連線 警示(同步處理)
警示名稱 | 描述 | 補救 |
---|---|---|
Microsoft Entra 連線 Sync Service 未執行 | Microsoft Entra ID Sync Windows 服務未執行或無法啟動。 因此,物件不會與 Microsoft Entra 識別符同步處理。 | 啟動 Microsoft Entra ID Sync Services
|
從 Microsoft Entra ID 匯入失敗 | 來自 Microsoft Entra 連接器的匯入作業失敗。 | 請調查匯入作業的事件記錄檔錯誤,以取得進一步的詳細資料。 |
由於驗證失敗,對 Microsoft Entra ID 的連接失敗 | 由於驗證失敗,對 Microsoft Entra ID 的連接失敗。 因此,物件不會與 Microsoft Entra ID 同步處理。 | 調查事件記錄檔錯誤以取得進一步的詳細數據。 |
匯出至 Active Directory 失敗 | 匯出至 Active Directory 連接器的作業失敗。 | 請調查匯出作業的事件記錄檔錯誤,以取得進一步的詳細資料。 |
從 Active Directory 匯入失敗 | 從 Active Directory 匯入失敗。 因此,可能無法從這個樹系匯入來自某些網域的物件。 | |
匯出至 Microsoft Entra ID 失敗 | 匯出至 Microsoft Entra 連線 or 的作業失敗。 因此,某些物件可能無法成功匯出至 Microsoft Entra 識別碼。 | 請調查匯出作業的事件記錄檔錯誤,以取得進一步的詳細資料。 |
過去 120 分鐘內略過密碼哈希同步處理活動訊號 | 過去 120 分鐘內,密碼哈希同步處理未與 Microsoft Entra ID 連線。 因此,密碼不會與 Microsoft Entra ID 同步。 | 重新啟動 Microsoft Entra ID Sync Services: 目前正在執行的任何同步處理作業都會中斷。 當未進行同步處理作業時,您可以選擇執行下列步驟。 1.按兩下 [開始],按兩下 [執行],輸入 Services.msc,然後按兩下 [ 確定]。 2.找出 Microsoft Entra ID Sync,以滑鼠右鍵按兩下它,然後按兩下 [ 重新啟動]。 |
偵測到高 CPU 使用量 | CPU 耗用量的百分比已超過此伺服器上的建議閾值。 |
|
偵測到高記憶體耗用量 | 伺服器的記憶體耗用量百分比超出此伺服器的建議臨界值。 | 檢查在伺服器上耗用最高記憶體的最上層進程。 您可以使用 Task Manager 或執行下列 PowerShell 命令: get-process |Sort-Object -Descending WS |Select-Object -First 10 如果有非預期的進程耗用高記憶體,請使用下列 PowerShell 命令停止進程: stop-process -ProcessName [進程的名稱] |
密碼雜湊同步處理已停止運作 | 密碼雜湊同步處理已停止。 因此,密碼不會與 Microsoft Entra ID 同步處理。 | 重新啟動 Microsoft Entra ID Sync Services: 目前正在執行的任何同步處理作業都會中斷。 當未進行同步處理作業時,您可以選擇執行下列步驟。
|
匯出至 Microsoft Entra 識別碼已停止。 已達到意外刪除閾值 | 匯出至 Microsoft Entra 識別碼的作業失敗。 刪除的物件比設定的臨界值還多。 因此,不會匯出任何物件。 |
|
Active Directory 同盟服務 警示
警示名稱 | 描述 | 補救 |
---|---|---|
測試驗證要求 (綜合交易) 無法取得權杖 | 從此伺服器起始的測試驗證要求(綜合交易)在5次重試之後無法取得令牌。 這可能是因為暫時性網路問題、AD DS 域控制器可用性或設定錯誤的 AD FS 伺服器所造成。 因此,同盟服務處理的驗證要求可能會失敗。 代理程式會使用本機計算機帳戶內容,從同盟服務取得令牌。 | 請確定已採取下列步驟來驗證伺服器的健康情況。
如果無法解析服務名稱,請參閱常見問題一節,以取得使用此伺服器的IP位址新增AD FS服務的HOST檔案專案指示。 這可讓在此伺服器上執行的綜合交易模組要求令牌 |
Proxy 伺服器無法連線到同盟伺服器 | 此 AD FS Proxy 伺服器無法連絡 AD FS 服務。 因此,此伺服器處理的驗證要求將會失敗。 | 執行下列步驟來驗證此伺服器與AD FS服務之間的連線。
|
SSL 憑證即將到期 | 同盟伺服器所使用的 TLS/SSL 憑證即將在 90 天內到期。 到期后,任何需要有效 TLS 連線的要求都會失敗。 例如,對於 Microsoft 365 客戶,郵件客戶端將無法進行驗證。 | 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
針對 Windows Server 2008R2 中的 AD FS 2.0:
針對 Windows Server 2012 R2 和更新版本中的 AD FS: |
AD FS 服務未在伺服器上執行 | Active Directory 同盟服務 (Windows 服務) 未在此伺服器上執行。 以這個伺服器為目標的任何要求都會失敗。 | 若要啟動 Active Directory 同盟服務 (Windows 服務):
|
同盟服務的 DNS 設定可能不正確 | DNS 伺服器可以設定為使用AD FS 伺服器陣變數名稱的 CNAME 記錄。 建議使用AD FS的 A 或AAAA記錄,讓 Windows 整合式驗證在公司網路內順暢地運作。 | 請確定AD FS 伺服器陣列 <Farm Name> 的 DNS 記錄類型不是 CNAME。 將它設定為 A 或 AAAA 記錄。 |
AD FS 稽核已停用 | 伺服器已停用AD FS稽核。 入口網站上AD FS使用量區段不會包含來自此伺服器的數據。 | 如果未啟用 AD FS 稽核,請遵循下列指示:
遵循這些步驟之後,AD FS 稽核事件應該會顯示在 事件檢視器 中。 若要確認:
如果您先前已遵循這些指示,但仍看到此警示,則組策略物件可能會停用 AD FS 稽核。 根本原因可能是下列其中一項:
|
AD FS SSL 憑證已自我簽署 | 您目前使用自我簽署憑證作為AD FS 伺服器陣列中的TLS/SSL 憑證。 因此,Microsoft 365 的郵件客戶端驗證將會失敗 | 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
在本機計算機證書存儲中的每個伺服器上安裝新的 TLS/SSL 憑證。
針對 Windows Server 2008R2 中的 AD FS 2.0: 針對 Windows Server 2012 R2 或更新版本中的 AD FS: |
Proxy 伺服器與同盟伺服器之間的信任無效 | 無法建立或更新同盟伺服器 Proxy 與同盟服務之間的信任。 | 更新 Proxy 伺服器上的 Proxy 信任憑證。 重新執行 Proxy 設定精靈。 |
AD FS 已停用外部網路鎖定保護 | AD FS 伺服器陣列上的外部網路鎖定保護功能已停用。 這項功能可保護您的使用者免受來自因特網的暴力密碼破解攻擊,並在 AD DS 帳戶鎖定原則生效時防止對使用者的阻斷服務攻擊。 啟用此功能後,如果使用者的失敗外部網路登入嘗試次數(透過 WAP 伺服器和 AD FS 進行的登入嘗試次數超過 'ExtranetLockoutThreshold',AD FS 伺服器將會停止處理 'ExtranetObservationWindow' 的進一步登入嘗試,強烈建議您在 AD FS 伺服器上啟用此功能。 | 執行下列命令,以使用預設值啟用AD FS外部網路鎖定保護。 Set-AdfsProperties -EnableExtranetLockout $true 如果您已為用戶設定 AD 鎖定原則,請確定 'ExtranetLockoutThreshold' 屬性設定為低於 AD DS 鎖定閾值的值。 這可確保已卸除超過AD FS閾值的要求,且永遠不會針對您的AD DS 伺服器進行驗證。 |
AD FS 服務帳戶的服務主體名稱無效 | 同盟服務帳戶的服務主體名稱未註冊或不是唯一的。 因此,來自已加入網域的用戶端的 Windows 整合式驗證可能不是順暢的。 | 使用 [SETSPN -L ServiceAccountName] 列出服務主體。 使用 [SETSPN -X] 檢查是否有重複的服務主體名稱。 如果 AD FS 服務帳戶重複 SPN,請使用 [SETSPN -d service/namehostname] 從重複的帳戶中移除 SPN 如果未設定 SPN,請使用 [SETSPN -s {Desired-SPN} {domain_name}{service_account}] 來設定同盟服務帳戶所需的 SPN。 |
主要 AD FS 令牌解密憑證即將到期 | 主要 AD FS 令牌解密憑證即將在 90 天內到期。 AD FS 無法解密來自受信任宣告提供者的令牌。 AD FS 無法解密加密的 SSO Cookie。 使用者將無法驗證以存取資源。 | 如果已啟用自動憑證變換,AD FS 會管理令牌解密憑證。 如果您手動管理憑證,請遵循下列指示。 取得新的令牌解密憑證。
|
主要 AD FS 令牌簽署憑證即將到期 | AD FS 令牌簽署憑證即將在90天內到期。 當此憑證無效時,AD FS 無法發出已簽署的令牌。 | 取得新的令牌簽署憑證。
|
本機證書存儲中找不到AD FS SSL 憑證 | 在本機證書存儲中找不到設定為AD FS資料庫中TLS/SSL 憑證指紋的憑證。 因此,任何透過 TLS 的驗證要求都會失敗。 例如,Microsoft 365 的郵件客戶端驗證將會失敗。 | 在本機證書存儲中安裝具有已設定指紋的憑證。 |
SSL 憑證已過期 | AD FS 服務的 TLS/SSL 憑證已過期。 因此,任何需要有效 TLS 連線的驗證要求都會失敗。 例如:郵件客戶端驗證無法驗證 Microsoft 365。 | 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
針對 Windows Server 2008R2 中的 AD FS 2.0:
針對 Windows Server 2012 R2 或更新版本中的 AD FS: 請參閱: 在 AD FS 和 WAP 中管理 SSL 憑證 |
未啟用 Microsoft Entra ID 的必要端點(適用於 Microsoft 365) | 未針對同盟服務啟用 Exchange Online Services、Microsoft Entra ID 和 Microsoft 365 所需的下列一組端點: |
在您的同盟服務上啟用 Microsoft 雲端服務 所需的端點。 針對 Windows Server 2012R2 或更新版本中的 AD FS |
同盟伺服器無法連線到AD FS組態資料庫 | 線上到 AD FS 組態資料庫時,AD FS 服務帳戶發生問題。 因此,此電腦上的 AD FS 服務可能無法如預期般運作。 | |
遺漏或未設定必要的 SSL 系結 | 此同盟伺服器成功執行驗證所需的 TLS 系結設定不正確。 因此,AD FS 無法處理任何連入要求。 | 針對 Windows Server 2012 R2 開啟提升權限的系統管理員命令提示字元,然後執行下列命令:
|
主要 AD FS 令牌簽署憑證已過期 | AD FS 令牌簽署憑證已過期。 當此憑證無效時,AD FS 無法發出已簽署的令牌。 | 如果已啟用自動憑證變換,AD FS 將會管理更新令牌簽署憑證。 如果您手動管理憑證,請遵循下列指示。
|
Proxy 伺服器正在卸除壅塞控制的要求 | 此 Proxy 伺服器目前從外部網路卸除要求,因為此 Proxy 伺服器與同盟伺服器之間的延遲高於一般延遲。 因此,AD FS Proxy 伺服器所處理之驗證要求的某些部分可能會失敗。 | |
AD FS 服務帳戶拒絕存取其中一個憑證的私鑰。 | AD FS 服務帳戶無法存取此電腦上其中一個 AD FS 憑證的私鑰。 | 請確定AD FS服務帳戶能夠存取儲存在本機電腦證書存儲中的TLS、令牌簽署和令牌解密憑證。
開啟 Certificates(Local Computer)/Personal/Certificates。針對 AD FS 所使用的所有憑證:
|
AD FS SSL 憑證沒有私鑰 | 未安裝私鑰的 AD FS TLS/SSL 憑證。 因此,任何透過SSL的驗證要求都會失敗。 例如,Microsoft 365 的郵件客戶端驗證將會失敗。 | 更新每個 AD FS 伺服器上的 TLS/SSL 憑證。
針對 Windows Server 2008R2 中的 AD FS 2.0:
針對 Windows Server 2012 R2 或更新版本中的 AD FS: |
主要 AD FS 令牌解密憑證已過期 | 主要 AD FS 令牌解密憑證已過期。 AD FS 無法解密來自受信任宣告提供者的令牌。 AD FS 無法解密加密的 SSO Cookie。 使用者將無法驗證以存取資源。 | 如果已啟用自動憑證變換,AD FS 會管理令牌解密憑證。 如果您手動管理憑證,請遵循下列指示。
|
Active Directory 網域服務的警示
警示名稱 | 描述 | 補救 |
---|---|---|
域控制器無法透過LDAP Ping連線 | 域控制器無法透過LDAP Ping連線。 這可能是因為網路問題或計算機問題所造成。 因此,LDAP Ping 將會失敗。 | 受影響域控制器上的 netdom 查詢 fsmo 。 |
發生 Active Directory 複寫錯誤 | 此域控制器遇到複寫問題,可移至 [複寫狀態儀錶板] 來找到。 復寫錯誤可能是因為設定不正確或其他相關問題所造成。 未處理的復寫錯誤可能會導致數據不一致。 | 如需受影響來源和目的地 DC 的名稱,請參閱其他詳細數據。 流覽至 [復寫狀態] 儀錶板,並尋找受影響DC上的作用中錯誤。 按兩下錯誤以開啟刀鋒視窗,其中包含如何補救該特定錯誤的詳細數據。 |
域控制器找不到 PDC | 無法透過此域控制器連線到 PDC。 這會導致受影響的使用者登入、未套用的組策略變更,以及系統時間同步處理失敗。 | 受影響域控制器上的 netdom 查詢 fsmo 。 |
域控制器找不到全局編錄伺服器 | 無法從此域控制器連線到全域編錄伺服器。 這會導致透過此域控制器嘗試驗證失敗。 | 檢查任何 域控制器的警示清單不會公告 受影響的伺服器可能是 GC 的警示。 如果沒有廣告警示,請檢查 GCS 的 SRV 記錄。 您可以執行下列命令來檢查它們: nltest /dnsgetdc: [ForestName] /gc 它應該將 DC 廣告列為 GCS。 如果清單是空的,請檢查 DNS 設定,以確保 GC 已註冊 SRV 記錄。 DC 可以在 DNS 中尋找它們。 如需針對全域編錄進行疑難解答,請參閱 以全域編錄伺服器的形式發佈廣告。 |
域控制器無法連線到本機 sysvol 共用 | Sysvol 包含組策略對象和腳本中要散發在網域 DC 內的重要元素。 DC 不會將自己公告為 DC,且不會套用組策略。 | 請參閱 如何針對遺漏的 sysvol 和 Netlogon 共用進行疑難解答 |
域控制器時間未同步 | 此域控制器的時間超出一般時間扭曲範圍。 因此,Kerberos 驗證將會失敗。 | net stop w32time then 受影響域控制器上的 net start w32time 。 受影響域控制器上的 w32tm /resync 。 |
域控制器未公告 | 此域控制器未正確公告其能夠執行的角色。 這可能會因為復寫、DNS 設定錯誤、未執行的重要服務,或因為伺服器未完全初始化而造成。 因此,域控制器、網域成員和其他裝置將無法找到此域控制器。 此外,其他域控制器可能無法從此域控制器複寫。 | 檢查其他相關警示的警示清單,例如:複寫已中斷。 域控制器時間已不同步。Netlogon 服務未執行。 DFSR 和/或 NTFRS 服務未執行。 識別並針對相關的 DNS 問題進行疑難解答:登入受影響的域控制器。 開啟 [系統事件記錄檔]。 如果事件 5774、5775 或 5781 存在,請參閱 疑難解答域控制器定位器 DNS 記錄註冊失敗 識別和疑難解答相關的 Windows Time 服務問題:確定 Windows 時間服務正在執行:在受影響的域控制器上執行 'net start w32time'。 重新啟動 Windows Time 服務:在受影響的域控制器上執行 'net stop w32time',然後在受影響的域控制器上執行 'net start w32time'。 |
GPSVC 服務未執行 | 如果服務已停止或停用,系統管理員所設定的設定將不會套用,而且無法透過組策略管理應用程式和元件。 如果停用此服務,相依於群組原則元件的所有元件或應用程式可能都無法運作。 | 執行 受影響域控制器上的 net start gpsvc 。 |
DFSR 和/或 NTFRS 服務未執行 | 如果 DFSR 和 NTFRS 服務都停止,域控制器將無法復寫 sysvol 數據。 sysvol 數據將會不一致。 |
|
Netlogon 服務未執行 | 此 DC 將無法使用登入要求、註冊、驗證和尋找域控制器。 | 在受影響的域控制器上執行 'net start netlogon' |
W32Time 服務未執行 | 如果 Windows Time 服務停止,日期和時間同步處理將無法使用。 如果停用此服務,明確依存於此服務的所有服務都將無法啟動。 | 在受影響的域控制器上執行 'net start win32Time' |
ADWS 服務未執行 | 如果 Active Directory Web 服務服務已停止或停用,Active Directory PowerShell 之類的用戶端應用程式將無法存取或管理在此伺服器上本機執行的任何目錄服務實例。 | 在受影響的域控制器上執行 'net start adws' |
根 PDC 未從 NTP 伺服器同步處理 | 如果您未將 PDC 設定為從外部或內部時間來源同步處理時間,PDC 模擬器會使用其內部時鐘,而且本身是樹系的可靠時間來源。 如果 PDC 本身的時間不正確,則所有計算機都會有不正確的時間設定。 | 在受影響的域控制器上,開啟命令提示字元。 停止時間服務:net stop w32time w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes 注意:將 time.windows.com 取代為您所需的外部時間來源位址。 啟動時間服務: net start w32time |
域控制器已隔離 | 此域控制器未連線到任何其他運作中的域控制器。 這可能是因為設定不正確所造成。 因此,此 DC 不會使用,且不會從任何人複寫。 | 啟用輸入和輸出複寫:在受影響的域控制器上執行 『repadmin/options ServerName -DISABLE_INBOUND_REPL』。 在受影響的域控制器上執行 『repadmin /options ServerName -DISABLE_OUTBOUND_REPL』。 建立另一個域控制器的新複寫連線:
|
輸出複寫已停用 | 具有已停用輸出複寫的DC將無法散發源自本身的任何變更。 | 若要在受影響的域控制器上啟用輸出複寫,請遵循下列步驟:按兩下 [開始],按兩下 [執行],輸入 cmd,然後按兩下 [確定]。 輸入下列文字,然後按 ENTER: repadmin /options -DISABLE_OUTBOUND_REPL |
輸入複寫已停用 | 具有停用輸入複寫的DC將不會有最新資訊。 此條件可能會導致登入失敗。 | 若要在受影響的域控制器上啟用輸入複寫,請遵循下列步驟:按兩下 [開始],按兩下 [執行],輸入 cmd,然後按兩下 [確定]。 輸入下列文字,然後按 ENTER: repadmin /options -DISABLE_INBOUND_REPL |
LanmanServer 服務未執行 | 如果停用此服務,明確依存於此服務的所有服務都將無法啟動。 | 在受影響的域控制器上執行 『net start LanManServer』。 |
Kerberos 金鑰發佈中心服務未執行 | 如果 KDC 服務停止,使用者將無法使用 Kerberos v5 驗證通訊協定透過此 DC 進行驗證。 | 在受影響的域控制器上執行 『net start kdc』。 |
DNS 服務未執行 | 如果 DNS 服務停止,則使用該伺服器進行 DNS 用途的電腦和使用者將無法找到資源。 | 在受影響的域控制器上執行 『net start dns』。 |
DC 有 USN 復原 | 發生 USN 回復時,物件和屬性的修改不會由先前看過 USN 的目的地網域控制站進行輸入複寫。 因為這些目的地網域控制站認為他們是最新的,所以在目錄服務事件記錄中或從監視及診斷工具,不會回報任何複寫錯誤。 USN 回復可能會影響任何分割區中任何物件或屬性的複寫。 最常見的副作用是,在回復網域控制站上建立的使用者帳戶和電腦帳戶,在一或多個複寫協力電腦上不存在。 或者,在回復網域控制站上產生的密碼更新,不存在於複寫協力電腦上。 | 有兩種方法可從 USN 復原復原: 請遵循下列步驟,從網域移除域控制器:
評估此網域控制站是否有有效的系統狀態備份。 如果在回復的網域控制站未正確還原之前,有進行有效的系統狀態備份,而且備份包含網域控制站最近所做的變更,請從最新的備份還原系統狀態。 您也可以使用快照做為備份的來源。 或者,您可以使用本文<在不備份系統狀態數據 的情況下還原舊版虛擬域控制器 VHD>一節中的程式,設定資料庫給自己提供新的調用標識符 |