Sdílet prostřednictvím

Microsoft Entra Připojení Health Alert Catalog

  • Článek

Služba Microsoft Entra Připojení Health odesílá upozornění, že vaše infrastruktura identit není v pořádku. Tento článek obsahuje názvy výstrah, popisy a nápravné kroky pro každou výstrahu.
Chyba, upozornění a předběžné vytváření jsou tři fáze výstrah generovaných ze služby Připojení Health Service. Důrazně doporučujeme provést okamžité akce s aktivovanými výstrahami.
Výstrahy služby Microsoft Entra Připojení Health se vyřeší v podmínce úspěchu. Agenti služby Microsoft Entra Připojení Health pravidelně detekují a hlásí podmínky úspěchu služby. U několika upozornění je potlačení založené na čase. Jinými slovy, pokud se stejný chybový stav neodpozoruje do 72 hodin od generování upozornění, výstraha se automaticky vyřeší.

Obecné Upozornění

Název upozornění Popis Náprava
Data služby Health Service nejsou aktuální Agent stavu spuštěný na jednom nebo několika serverech není připojený ke službě Health Service a služba Health Service nepřijímá nejnovější data z tohoto serveru. Poslední data zpracovávaná službou Health Service jsou starší než 2 hodiny. Ujistěte se, že agenti stavu mají odchozí připojení k požadovaným koncovým bodům služby. Další informace

Upozornění pro Microsoft Entra Připojení (synchronizace)

Název upozornění Popis Náprava
Synchronizační služba Microsoft Entra Připojení není spuštěná Služba Microsoft Entra ID Sync pro Windows není spuštěná nebo se nepovedlo spustit. V důsledku toho se objekty nebudou synchronizovat s ID Microsoft Entra. Spuštění synchronizačních služeb Microsoft Entra ID
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte Services.msc a klepněte na tlačítko OK.
  2. Vyhledejte službu Synchronizace ID Microsoft Entra a zkontrolujte, jestli je služba spuštěná. Pokud služba není spuštěná, klikněte na ni pravým tlačítkem myši a potom klikněte na Tlačítko Start.
Import z Microsoft Entra ID se nezdařil Operace importu z konektoru Microsoft Entra se nezdařila. Další podrobnosti najdete v chybách operace importu v protokolu událostí.
Připojení k Microsoft Entra ID selhalo z důvodu selhání ověřování Připojení k Microsoft Entra ID selhalo z důvodu selhání ověřování. V důsledku toho se objekty nebudou synchronizovat s ID Microsoft Entra. Další podrobnosti najdete v protokolu událostí.
Export do Active Directory neproběhl úspěšně Operace exportu do konektoru Active Directory selhala. Další podrobnosti najdete v chybách operace exportu v protokolu událostí.
Import ze služby Active Directory se nezdařil. Import ze služby Active Directory se nezdařil. V důsledku toho nemusí být objekty z některých domén z této doménové struktury importovány.
  • Ověření připojení řadiče domény
  • Ruční spuštění importu
  • Další podrobnosti najdete v protokolu událostí operace importu.
    		•
    Export do Microsoft Entra ID se nezdařil Operace exportu do microsoft Entra Připojení or selhala. V důsledku toho nemusí být některé objekty úspěšně exportovány do Microsoft Entra ID. Další podrobnosti najdete v chybách operace exportu v protokolu událostí.
    Za posledních 120 minut se přeskočil prezentační signál synchronizace hodnot hash hesel. Synchronizace hodnot hash hesel se v posledních 120 minutách nepřipojila k ID Microsoft Entra. V důsledku toho se hesla nebudou synchronizovat s ID Microsoft Entra. Restartujte synchronizační služby Microsoft Entra ID:
    Všechny operace synchronizace, které jsou aktuálně spuštěné, budou přerušeny. Pokud neprobíhá žádná operace synchronizace, můžete provést následující kroky.
    1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte Services.msc a klepněte na tlačítko OK.
    2. Vyhledejte synchronizaci Microsoft Entra ID, klikněte na něj pravým tlačítkem myši a potom klepněte na tlačítko Restartovat.
    Zjistilo se vysoké využití procesoru Procento spotřeby procesoru překročilo doporučenou prahovou hodnotu na tomto serveru.
  • Může se jednat o dočasný nárůst spotřeby procesoru. Zkontrolujte trend využití procesoru v části Monitorování.
  • Prozkoumejte nejvyšší procesy, které spotřebovávají nejvyšší využití procesoru na serveru.
    1. Můžete použít Správce úloh nebo spustit následující příkaz PowerShellu:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Pokud dochází k neočekávaným procesům, které spotřebovávají vysoké využití procesoru, zastavte procesy pomocí následujícího příkazu PowerShellu:
      stop-process -ProcessName [název procesu]
  • Pokud jsou procesy uvedené v seznamu výše určené procesy spuštěné na serveru a spotřeba procesoru se nepřetržitě blíží prahové hodnotě, zvažte opětovné vyhodnocení požadavků na nasazení tohoto serveru.
  • Jako možnost, která je bezpečná pro selhání, můžete zvážit restartování serveru.
    		•
    Zjištěna vysoká spotřeba paměti Procento spotřeby paměti serveru přesahuje doporučenou prahovou hodnotu na tomto serveru. Prozkoumejte nejvyšší procesy, které spotřebovávají nejvyšší paměť na serveru. Můžete použít Správce úloh nebo spustit následující příkaz PowerShellu:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Pokud dochází k neočekávaným procesům, které spotřebovávají velkou paměť, zastavte procesy pomocí následujícího příkazu PowerShellu:
    stop-process -ProcessName [název procesu]
  • Pokud jsou procesy uvedené v seznamu výše určené procesy spuštěné na serveru, zvažte opětovné vyhodnocení požadavků na nasazení tohoto serveru.
  • Jako možnost, která je neúspěšná, můžete zvážit restartování serveru.
    		•
    Synchronizace hodnot hash hesel přestala fungovat Synchronizace hodnot hash hesel se zastavila. V důsledku toho se hesla nebudou synchronizovat s ID Microsoft Entra. Restartujte synchronizační služby Microsoft Entra ID:
    Všechny operace synchronizace, které jsou aktuálně spuštěné, budou přerušeny. Pokud neprobíhá žádná operace synchronizace, můžete provést následující kroky.
    1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte Services.msc a klepněte na tlačítko OK.
    2. Vyhledejte synchronizaci ID Microsoft Entra, klikněte na něj pravým tlačítkem myši a potom klikněte na tlačítko Restartovat.
    Export do ID Microsoft Entra byl zastaven. Došlo k dosažení prahové hodnoty náhodného odstranění Operace exportu do ID Microsoft Entra se nezdařila. Bylo potřeba odstranit více objektů, než je nakonfigurovaná prahová hodnota. V důsledku toho nebyly exportovány žádné objekty.
  • Počet objektů je označen k odstranění větší než nastavená prahová hodnota. Ujistěte se, že je tento výsledek žádoucí.
  • Pokud chcete povolit pokračování exportu, proveďte následující kroky:
    1. Zakázat prahovou hodnotu spuštěním disable-ADSyncExportDeletionThreshold
    2. Spuštění synchronizačního portálu Service Manager
    3. Spuštění exportu na Připojení oru s typem = Microsoft Entra ID
    4. Po úspěšném exportu objektů povolte prahovou hodnotu spuštěním příkazu Enable-ADSyncExportDeletionThreshold.
    		•

    Výstrahy pro Active Directory Federation Services (AD FS)

    Název upozornění Popis Náprava
    Požadavek na ověření testu (syntetická transakce) se nepodařilo získat token. Po 5 opakováních se nepodařilo získat token testů žádostí o ověření (syntetické transakce) zahájené z tohoto serveru. Příčinou můžou být přechodné problémy se sítí, dostupnost řadiče domény služby AD DS nebo chybně nakonfigurovaný server služby AD FS. V důsledku toho můžou žádosti o ověření zpracovávané federační službou selhat. Agent používá kontext účtu místního počítače k získání tokenu ze služby FS (Federation Service). Ujistěte se, že jste provedli následující kroky k ověření stavu serveru.
    1. Ověřte, že ve vaší farmě neexistují žádná další nevyřešená upozornění na tento nebo jiné servery SLUŽBY AD FS.
    2. Ověřte, že tato podmínka není přechodná chyba. Přihlaste se pomocí testovacího uživatele na přihlašovací stránce služby AD FS, která je k dispozici na adrese https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Přejděte na https://testconnectivity.microsoft.com kartu Office 365 a zvolte ji. Proveďte test jednotného přihlašování k Office 365.
    4. Spuštěním následujícího příkazu z příkazového řádku na tomto serveru ověřte, jestli je možné název služby AD FS přeložit z tohoto serveru. nslookup your_adfs_server_name

    Pokud se název služby nedá přeložit, přečtěte si část Nejčastější dotazy s pokyny k přidání položky souboru HOSTITELE služby AD FS s IP adresou tohoto serveru. To umožní syntetickému transakčnímu modulu běžícímu na tomto serveru vyžádat token.
    Proxy server se nemůže spojit s federačním serverem Tento proxy server služby AD FS nemůže kontaktovat službu AD FS. V důsledku toho žádosti o ověření zpracovávané tímto serverem selžou. Pomocí následujících kroků ověřte připojení mezi tímto serverem a službou AD FS.
    1. Ujistěte se, že je správně nakonfigurovaná brána firewall mezi tímto serverem a službou AD FS.
    2. Ujistěte se, že překlad DNS pro název služby AD FS správně odkazuje na službu AD FS, která se nachází v podnikové síti. Toho lze dosáhnout prostřednictvím serveru DNS, který slouží tomuto serveru v hraniční síti nebo prostřednictvím položek v souborech HOSTS pro název služby AD FS.
    3. Ověřte síťové připojení otevřením prohlížeče na tomto serveru a přístupem ke koncovému bodu federačních metadat, který je v https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Platnost certifikátu SSL brzy vyprší. Platnost certifikátu TLS/SSL používaného federačními servery brzy vyprší do 90 dnů. Po vypršení platnosti se všechny požadavky, které vyžadují platné připojení TLS, nezdaří. Například pro zákazníky Microsoftu 365 se poštovní klienti nebudou moct ověřit. Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.
    1. Získejte certifikát TLS/SSL s následujícími požadavky.
      1. Použití rozšířeného klíče je alespoň ověření serveru.
      2. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com
    2. Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.
    3. Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.

    Pro službu AD FS 2.0 v systému Windows Server 2008R2:

    • Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

    Pro službu AD FS ve Windows Serveru 2012 R2 a novějších verzích:

  • Informace o správě certifikátů SSL ve službě AD FS a WAP
    • Služba AD FS není spuštěná na serveru Na tomto serveru není spuštěná služba Active Directory Federation Service (Windows Service). Všechny požadavky cílené na tento server selžou. Spuštění služby Ad FS (Active Directory Federation Service):
    1. Přihlaste se k serveru jako správce.
    2. Otevření services.msc
    3. Najít "Active Directory Federation Services (AD FS)"
    4. Klikněte pravým tlačítkem myši a vyberte Start.
    DNS pro službu FEDERATION Service může být chybně nakonfigurované. Server DNS může být nakonfigurovaný tak, aby používal záznam CNAME pro název farmy služby AD FS. Doporučuje se použít záznam A nebo AAAA pro službu AD FS, aby integrované ověřování systému Windows fungovalo bezproblémově v rámci podnikové sítě. Ujistěte se, že typ záznamu DNS farmy <Farm Name> služby AD FS není CNAME. Nakonfigurujte ho jako záznam A nebo AAAA.
    Auditování služby AD FS je zakázané. Auditování služby AD FS je pro server zakázané. Část Využití služby AD FS na portálu nebude obsahovat data z tohoto serveru. Pokud nejsou povolené audity služby AD FS, postupujte podle těchto pokynů:
    1. Udělte účtu služby AD FS právo Generovat audity zabezpečení na serveru SLUŽBY AD FS.
    2. Otevřete místní zásady zabezpečení na serveru gpedit.msc.
    3. Přejděte na Konfigurace počítače\Windows Nastavení\Místní zásady\Přiřazení uživatelských práv.
    4. Přidejte účet služby AD FS, aby měl právo Generovat audity zabezpečení.
    5. Z příkazového řádku spusťte následující příkaz:
      auditpol.exe /set /subcategory:"Aplikace vygenerovaná" /failure:enable /success:enable
    6. Aktualizujte vlastnosti federační služby tak, aby zahrnovaly audity úspěšnosti a selhání.
    7. V konzole služby AD FS zvolte Upravit vlastnosti federační služby.
    8. V dialogovém okně Vlastnosti služby FS zvolte kartu Události a vyberte Audity úspěchu a Audity selhání.

    Po provedení těchto kroků by se události auditu služby AD FS měly zobrazit z Prohlížeč událostí. Postup ověření:

    1. Přejděte na Prohlížeč událostí/ Protokoly Windows /Security.
    2. V rozevírací nabídce Zdroje událostí vyberte Filtrovat aktuální protokoly a v rozevírací nabídce Zdroje událostí vyberte Auditování služby AD FS. U aktivního serveru SLUŽBY AD FS s povoleným auditováním služby AD FS by měly být události viditelné pro výše uvedené filtrování.

    Pokud jste dříve postupovali podle těchto pokynů, ale přesto se tato výstraha zobrazuje, je možné, že objekt zásad skupiny zakazuje auditování služby AD FS. Původní příčinou může být jedna z následujících příčin:

    1. Účet služby AD FS se odebírá z práva generovat audity zabezpečení.
    2. Vlastní skript v objektu zásad skupiny zakazuje úspěšné a neúspěšné audity na základě "Vygenerované aplikace".
    3. Konfigurace služby AD FS není povolená pro generování auditů úspěšnosti nebo selhání.
    Certifikát SSL služby AD FS je podepsaný svým držitelem Aktuálně používáte certifikát podepsaný svým držitelem jako certifikát TLS/SSL ve farmě služby AD FS. V důsledku toho se ověření poštovního klienta pro Microsoft 365 nezdaří.

    Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.

    1. Získejte veřejně důvěryhodný certifikát TLS/SSL s následujícími požadavky.
    2. Instalační soubor certifikátu obsahuje jeho privátní klíč.
    3. Použití rozšířeného klíče je alespoň ověření serveru.
    4. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com

    Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.

      Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.
      Pro službu AD FS 2.0 v systému Windows Server 2008R2:
    1. Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

      2. Pro službu AD FS ve Windows Serveru 2012 R2 nebo novějších verzích:
    2. Informace o správě certifikátů SSL ve službě AD FS a WAP
    Vztah důvěryhodnosti mezi proxy serverem a federačním serverem není platný. Vztah důvěryhodnosti mezi proxy federačního serveru a federační službou se nepodařilo navázat ani obnovit. Aktualizujte certifikát důvěryhodnosti proxy serveru na proxy serveru. Znovu spusťte Průvodce konfigurací proxy serveru.
    Ochrana uzamčení extranetu zakázaná pro službu AD FS Funkce Ochrana uzamčení extranetu je ve farmě služby AD FS zakázaná. Tato funkce chrání uživatele před útoky hrubou silou na hesla z internetu a brání útokům na dostupnost služby vůči vašim uživatelům, když jsou zásady uzamčení účtu SLUŽBY AD DS platné. Pokud je tato funkce povolená, počet neúspěšných pokusů o přihlášení extranetu pro uživatele (pokusy o přihlášení provedené prostřednictvím serveru WAP a služby AD FS) překročí hodnotu ExtranetLockoutThreshold, servery SLUŽBY AD FS přestanou zpracovávat další pokusy o přihlášení pro extranetObservationWindow, důrazně doporučujeme povolit tuto funkci na serverech AD FS. Spuštěním následujícího příkazu povolte ochranu extranetového uzamčení služby AD FS s výchozími hodnotami.
    Set-AdfsProperties -EnableExtranetLockout $true

    Pokud jste pro uživatele nakonfigurovali zásady uzamčení AD, ujistěte se, že je vlastnost ExtranetLockoutThreshold nastavená na hodnotu pod prahovou hodnotou uzamčení služby AD DS. Tím se zajistí, že požadavky, které překročily prahovou hodnotu služby AD FS, se zahodí a nikdy se neověřují na serverech služby AD DS.
    Neplatný hlavní název služby (SPN) pro účet služby AD FS Hlavní název služby účtu služby FS není zaregistrovaný nebo není jedinečný. V důsledku toho nemusí být integrované ověřování systému Windows z klientů připojených k doméně bezproblémové. Pomocí příkazu [SETSPN -L ServiceAccountName] vypíšete instanční objekty.
    Pomocí příkazu [SETSPN -X] zkontrolujte duplicitní názvy instančních objektů.

    Pokud je hlavní název služby duplicitní pro účet služby AD FS, odeberte hlavní název služby (SPN) z duplicitního účtu pomocí služby [SETSPN -d service/namehostname]

    Pokud hlavní název služby není nastavený, nastavte požadovaný hlavní název služby (SPN) pro účet federační služby pomocí parametru [SETSPN -s {Desired-SPN} {domain_name}{service_account}].
    Platnost primárního certifikátu dešifrování tokenu služby AD FS brzy vyprší. Platnost primárního certifikátu dešifrování tokenu služby AD FS brzy vyprší za méně než 90 dnů. Služba AD FS nemůže dešifrovat tokeny od důvěryhodných zprostředkovatelů deklarací identity. Služba AD FS nemůže dešifrovat šifrované soubory cookie jednotného přihlašování. Koncoví uživatelé se nebudou moct ověřit pro přístup k prostředkům. Pokud je povolené vrácení automatického certifikátu, služba AD FS spravuje dešifrovací certifikát tokenu.

    Pokud certifikát spravujete ručně, postupujte podle následujících pokynů. Získejte nový certifikát dešifrování tokenu.

    1. Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje "Šifrování klíče"
    2. Alternativní název subjektu nebo subjektu (SAN) nemají žádná omezení.
    3. Mějte na paměti, že při ověřování certifikátu dešifrování tokenu musí být partneři federačních serverů a zprostředkovatelů deklarací identity schopní řetězit důvěryhodné kořenové certifikační autority.
    Rozhodněte se, jak budou partneři zprostředkovatele deklarací identity důvěřovat novému certifikátu pro dešifrování tokenů.
    1. Po aktualizaci certifikátu požádejte partnery, aby si stáhli federační metadata.
    2. Sdílejte veřejný klíč nového certifikátu. (.cer soubor) s partnery. Na serveru AD FS partnera poskytujícího deklarace identity spusťte službu AD FS Management z nabídky Správa istrativní nástroje. V části Vztahy důvěryhodnosti nebo vztahy důvěryhodnosti předávající strany vyberte vztah důvěryhodnosti, který jste vytvořili za vás. V části Vlastnosti/šifrování klikněte na Procházet a vyberte nový certifikát pro dešifrování tokenů a klikněte na OK.
    Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
    • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    Ujistěte se, že má účet federační služby přístup k privátnímu klíči nového certifikátu.Přidejte nový certifikát do služby AD FS.
    1. Spuštění správy služby AD FS z nabídky Správa istrativní nástroje
    2. Rozbalte službu a vyberte Certifikáty.
    3. V podokně Akce klikněte na Přidat certifikát pro dešifrování tokenů.
    4. Zobrazí se seznam certifikátů, které jsou platné pro dešifrování tokenů. Pokud zjistíte, že se váš nový certifikát v seznamu nezobrazuje, musíte se vrátit a ujistit se, že je certifikát v osobním úložišti místního počítače s přidruženým privátním klíčem a že certifikát obsahuje šifrování klíče jako rozšířené použití klíče.
    5. Vyberte nový certifikát pro dešifrování tokenů a klikněte na OK.
    Nastavte nový certifikát pro dešifrování tokenu jako primární.
    1. Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Dešifrování tokenů: existující a nový certifikát.
    2. Vyberte nový certifikát pro dešifrování tokenů, klikněte pravým tlačítkem myši a vyberte Nastavit jako primární.
    3. Pro účely vrácení původního certifikátu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile si budete jistí, že už ho nepotřebujete k vrácení zpět nebo když platnost certifikátu vypršela.
    Platnost primárního podpisového certifikátu tokenu služby AD FS brzy vyprší. Podpisový certifikát tokenu služby AD FS brzy vyprší do 90 dnů. Služba AD FS nemůže vydávat podepsané tokeny, pokud tento certifikát není platný. Získejte nový podpisový certifikát tokenu.
    1. Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje digitální podpis.
    2. Alternativní název subjektu nebo subjektu (SAN) nemá žádná omezení.
    3. Všimněte si, že vaše federační servery, federační servery partnera poskytujících prostředky a aplikační servery předávající strany musí být při ověřování certifikátu podpisového tokenu schopné řetězit důvěryhodné kořenové certifikační autority.
    Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
    • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    Ujistěte se, že účet služby FS má přístup k privátnímu klíči nového certifikátu.Přidejte nový certifikát do služby AD FS.
    1. Spusťte správu služby AD FS z nabídky Správa istrativní nástroje.
    2. Rozbalte službu a vyberte Certifikáty.
    3. V podokně Akce klikněte na Přidat podpisový certifikát tokenu...
    4. Zobrazí se seznam certifikátů, které jsou platné pro podepisování tokenů. Pokud zjistíte, že váš nový certifikát není uvedený v seznamu, musíte se vrátit a ujistit se, že certifikát je v osobním úložišti místního počítače s přidruženým privátním klíčem a certifikát má KU digitálního podpisu.
    5. Vyberte nový podpisový certifikát tokenu a klikněte na OK.
    Informujte všechny předávající strany o změně v podpisovém certifikátu tokenu.
    1. Předávající strany, které využívají federační metadata služby AD FS, musí vyžádat nová federační metadata, aby mohli začít používat nový certifikát.
    2. Předávající strany, které nespotřebovávají federační metadata služby AD FS, musí ručně aktualizovat veřejný klíč nového podpisového certifikátu tokenu. Nasdílejte .cer soubor s předávajícími stranami.
      3. Nastavte nový podpisový certifikát tokenu jako primární.
      1. Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Podepisování tokenů: existující a nový certifikát.
      2. Vyberte nový podpisový certifikát tokenu, klikněte pravým tlačítkem myši a vyberte Nastavit jako primární.
      3. Pro účely přechodu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile si budete jistí, že už není potřeba k přechodu nebo když platnost certifikátu vypršela. Všimněte si, že jsou podepsané relace jednotného přihlašování aktuálních uživatelů. Aktuální vztahy důvěryhodnosti proxy serveru služby AD FS využívají tokeny podepsané a šifrované pomocí starého certifikátu.
    V místním úložišti certifikátů se nenašel certifikát SSL služby AD FS. Certifikát s kryptografickým otiskem nakonfigurovaným jako certifikát TLS/SSL v databázi služby AD FS nebyl v místním úložišti certifikátů nalezen. V důsledku toho všechny požadavky na ověření přes protokol TLS selžou. Například ověřování poštovního klienta pro Microsoft 365 selže. Nainstalujte certifikát s nakonfigurovaným kryptografickým otiskem v místním úložišti certifikátů.
    Platnost certifikátu SSL vypršela. Platnost certifikátu TLS/SSL pro službu AD FS vypršela. V důsledku toho všechny požadavky na ověření, které vyžadují platné připojení TLS, selžou. Například: Ověřování poštovního klienta nebude možné ověřit pro Microsoft 365. Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.
    1. Získejte certifikát TLS/SSL s následujícími požadavky.
    2. Použití rozšířeného klíče je alespoň ověření serveru.
    3. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com
    4. Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.
    5. Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.

    Pro službu AD FS 2.0 v systému Windows Server 2008R2:

    • Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

    Informace o službě AD FS ve Windows Serveru 2012 R2 nebo novějších verzích: Přečtěte si článek: Správa certifikátů SSL ve službě AD FS a WAP

    Požadované koncové body pro ID Microsoft Entra (pro Microsoft 365) nejsou povolené. Následující sada koncových bodů vyžadovaných službami Exchange Online Services, MICROSOFT Entra ID a Microsoft 365 nejsou povoleny pro federační službu:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Povolte požadované koncové body pro cloudové služby Microsoftu ve vaší federační službě.
    Pro službu AD FS ve Windows Serveru 2012R2 nebo novějších verzích
  • Přečtěte si: Správa certifikátů SSL ve službě AD FS a WAP

    • Federační server se nemohl připojit ke konfigurační databázi služby AD FS. U účtu služby AD FS dochází k problémům při připojování ke konfigurační databázi služby AD FS. V důsledku toho nemusí služba AD FS na tomto počítači fungovat podle očekávání.
  • Ujistěte se, že účet služby AD FS má přístup ke konfigurační databázi.
  • Ujistěte se, že je služba konfigurační databáze služby AD FS dostupná a dostupná.
    • Požadované vazby SSL chybí nebo nejsou nakonfigurované Chybně nakonfigurované jsou vazby TLS potřebné k úspěšnému provedení ověřování tohoto federačního serveru. Služba AD FS proto nemůže zpracovat žádné příchozí požadavky. Pro Windows Server 2012 R2
    Otevřete příkazový řádek správce se zvýšenými oprávněními a spusťte následující příkazy:
    1. Zobrazení aktuální vazby TLS: Get-AdfsSslCertificate
    2. Přidání nových vazeb: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cccc444} certstorename=MY
    Platnost primárního podpisového certifikátu tokenu služby AD FS vypršela. Platnost podpisového certifikátu tokenu služby AD FS vypršela. Služba AD FS nemůže vydávat podepsané tokeny, pokud tento certifikát není platný. Pokud je povolená změna automatického certifikátu, služba AD FS bude spravovat aktualizaci podpisového certifikátu tokenu.

    Pokud certifikát spravujete ručně, postupujte podle následujících pokynů.

    1. Získejte nový podpisový certifikát tokenu.
      1. Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje digitální podpis.
      2. Alternativní název subjektu nebo subjektu (SAN) nemá žádná omezení.
      3. Nezapomeňte, že vaše federační servery, federační servery partnera poskytující prostředky a aplikační servery předávající strany musí být při ověřování certifikátu podpisového tokenu schopné řetězit důvěryhodné kořenové certifikační autority.
    2. Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
      • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    3. Ujistěte se, že účet služby FS má přístup k privátnímu klíči nového certifikátu.
    4. Přidejte nový certifikát do služby AD FS.
      1. Spusťte správu služby AD FS z nabídky Správa istrativní nástroje.
      2. Rozbalte službu a vyberte Certifikáty.
      3. V podokně Akce klikněte na Přidat podpisový certifikát tokenu...
      4. Zobrazí se seznam certifikátů, které jsou platné pro podepisování tokenů. Pokud zjistíte, že váš nový certifikát není uvedený v seznamu, musíte se vrátit a ujistit se, že certifikát je v osobním úložišti místního počítače s přidruženým privátním klíčem a certifikát má KU digitálního podpisu.
      5. Vyberte nový podpisový certifikát tokenu a klikněte na OK.
    5. Informujte všechny předávající strany o změně v podpisovém certifikátu tokenu.
      1. Předávající strany, které využívají federační metadata služby AD FS, musí vyžádat nová federační metadata, aby mohli začít používat nový certifikát.
      2. Předávající strany, které nespotřebovávají federační metadata služby AD FS, musí ručně aktualizovat veřejný klíč nového podpisového certifikátu tokenu. Nasdílejte .cer soubor s předávajícími stranami.
    6. Nastavte nový podpisový certifikát tokenu jako primární.
      1. Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Podepisování tokenů: existující a nový certifikát.
      2. Vyberte nový podpisový certifikát tokenu, klikněte pravým tlačítkem myši a vyberte Nastavit jako primární.
      3. Pro účely přechodu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile si budete jistí, že už není potřeba k přechodu nebo když platnost certifikátu vypršela. Mějte na paměti, že jsou podepsané relace jednotného přihlašování aktuálních uživatelů. Aktuální vztahy důvěryhodnosti proxy serveru služby AD FS využívají tokeny podepsané a šifrované pomocí starého certifikátu.
    Proxy server zahazuje požadavky na řízení zahlcení Tento proxy server v současné době zahazuje požadavky z extranetu kvůli vyšší než normální latenci mezi tímto proxy serverem a federačním serverem. V důsledku toho může selhat určitá část žádostí o ověření zpracovávaných proxy serverem služby AD FS.
  • Ověřte, jestli latence sítě mezi federačním proxy serverem a federačními servery spadá do přijatelného rozsahu. Informace o trendových hodnotách žádosti o token najdete v části Monitorování. Latence větší než [1500 ms] by se měla považovat za vysokou latenci. Pokud se zjistí vysoká latence, ujistěte se, že síť mezi službami AD FS a proxy servery služby AD FS nemá žádné problémy s připojením.
  • Ujistěte se, že federační servery nejsou přetížené požadavky na ověřování. Oddíl monitorování poskytuje populární zobrazení žádostí o tokeny za sekundu, využití procesoru a využití paměti.
  • Pokud byly výše uvedené položky ověřeny a tento problém se stále zobrazuje, upravte nastavení zahlcení na všech federačních proxy serverech podle pokynů souvisejících odkazů.
    		•
    Účet služby AD FS je odepřen přístup k jednomu privátnímu klíči certifikátu. Účet služby AD FS nemá přístup k privátnímu klíči jednoho z certifikátů služby AD FS na tomto počítači. Ujistěte se, že má účet služby AD FS přístup k certifikátům TLS, podepisování tokenů a dešifrování tokenů uloženým v úložišti certifikátů místního počítače.
    1. Z příkazového řádku zadejte konzolu MMC.
    2. Přechod na doplněk k souboru> nebo odebrání modulu snap-in
    3. Vyberte Certifikáty a klikněte na Přidat. -> Vyberte účet počítače a klikněte na Další. -> Vyberte místní počítač a klepněte na tlačítko Dokončit. Klikněte na OK.

    Otevřít certifikáty(místní počítač)/Osobní/Certifikáty.Pro všechny certifikáty používané službou AD FS:
    1. Klikněte pravým tlačítkem myši na certifikát.
    2. Vyberte Všechny úkoly –> Správa privátních klíčů.
    3. Na kartě Zabezpečení v části Skupina nebo uživatelská jména se ujistěte, že je k dispozici účet služby AD FS. Pokud ne, vyberte Přidat a přidat účet služby AD FS.
    4. Vyberte účet služby AD FS a v části Oprávnění pro <název> účtu služby AD FS se ujistěte, že je povolené oprávnění ke čtení (značka zaškrtnutí).
    Certifikát SSL služby AD FS nemá privátní klíč. Certifikát TLS/SSL služby AD FS byl nainstalován bez privátního klíče. V důsledku toho všechny požadavky na ověření přes SSL selžou. Například ověření poštovního klienta pro Microsoft 365 selže. Aktualizujte certifikát TLS/SSL na každém serveru SLUŽBY AD FS.
    1. Získejte veřejně důvěryhodný certifikát TLS/SSL s následujícími požadavky.
      1. Instalační soubor certifikátu obsahuje jeho privátní klíč.
      2. Použití rozšířeného klíče je alespoň ověření serveru.
      3. Alternativní název subjektu certifikátu nebo alternativní název subjektu (SAN) obsahuje název DNS služby FS (Federation Service) nebo odpovídající zástupný znak. Příklad: sso.contoso.com nebo *.contoso.com
    2. Nainstalujte nový certifikát TLS/SSL na každý server v úložišti certifikátů místního počítače.
    3. Ujistěte se, že účet služby AD FS má přístup pro čtení k privátnímu klíči certifikátu.

    Pro službu AD FS 2.0 v systému Windows Server 2008R2:

    • Vytvořte vazbu nového certifikátu TLS/SSL na web ve službě IIS, který je hostitelem federační služby. Všimněte si, že tento krok musíte provést na každém federačním serveru a proxy federačního serveru.

    Pro službu AD FS ve Windows Serveru 2012 R2 nebo novějších verzích:

  • Přečtěte si: Správa certifikátů SSL ve službě AD FS a WAP
    • Platnost primárního certifikátu pro dešifrování tokenu služby AD FS vypršela. Platnost primárního certifikátu dešifrování tokenu služby AD FS vypršela. Služba AD FS nemůže dešifrovat tokeny od důvěryhodných zprostředkovatelů deklarací identity. Služba AD FS nemůže dešifrovat šifrované soubory cookie jednotného přihlašování. Koncoví uživatelé se nebudou moct ověřit pro přístup k prostředkům.

    Pokud je povolené vrácení automatického certifikátu, služba AD FS spravuje dešifrovací certifikát tokenu.

    Pokud certifikát spravujete ručně, postupujte podle následujících pokynů.

    1. Získejte nový certifikát dešifrování tokenu.
      • Ujistěte se, že použití rozšířeného klíče (EKU) obsahuje "Šifrování klíče".
      • Alternativní název subjektu nebo subjektu (SAN) nemají žádná omezení.
      • Mějte na paměti, že při ověřování certifikátu dešifrování tokenu musí být partneři federačních serverů a zprostředkovatelů deklarací identity schopní řetězit důvěryhodné kořenové certifikační autority.
    2. Rozhodněte se, jak budou partneři zprostředkovatele deklarací identity důvěřovat novému certifikátu pro dešifrování tokenů.
      • Po aktualizaci certifikátu požádejte partnery, aby si stáhli federační metadata.
      • Sdílejte veřejný klíč nového certifikátu. (.cer soubor) s partnery. Na serveru AD FS partnera poskytujícího deklarace identity spusťte službu AD FS Management z nabídky Správa istrativní nástroje. V části Vztahy důvěryhodnosti nebo vztahy důvěryhodnosti předávající strany vyberte vztah důvěryhodnosti, který jste vytvořili za vás. V části Vlastnosti/šifrování klikněte na Procházet a vyberte nový certifikát pro dešifrování tokenů a klikněte na OK.
    3. Nainstalujte certifikát do místního úložiště certifikátů na každý federační server.
      • Ujistěte se, že instalační soubor certifikátu má na každém serveru privátní klíč certifikátu.
    4. Ujistěte se, že má účet federační služby přístup k privátnímu klíči nového certifikátu.
    5. Přidejte nový certifikát do služby AD FS.
      • Spuštění správy služby AD FS z nabídky Správa istrativní nástroje
      • Rozbalte službu a vyberte Certifikáty.
      • V podokně Akce klikněte na Přidat certifikát pro dešifrování tokenů.
      • Zobrazí se seznam certifikátů, které jsou platné pro dešifrování tokenů. Pokud zjistíte, že se váš nový certifikát v seznamu nezobrazuje, musíte se vrátit a ujistit se, že je certifikát v osobním úložišti místního počítače s přidruženým privátním klíčem a že certifikát obsahuje šifrování klíče jako rozšířené použití klíče.
      • Vyberte nový certifikát pro dešifrování tokenů a klikněte na OK.
    6. Nastavte nový certifikát pro dešifrování tokenu jako primární.
      • Po výběru uzlu Certifikáty ve správě služby AD FS byste teď měli vidět dva certifikáty uvedené v části Dešifrování tokenů: existující a nový certifikát.
      • Vyberte nový certifikát pro dešifrování tokenů, klikněte pravým tlačítkem myši a vyberte Nastavit jako primární.
      • Pro účely vrácení původního certifikátu ponechte starý certifikát jako sekundární. Starý certifikát byste měli chtít odebrat, jakmile si budete jistí, že už ho nepotřebujete k vrácení zpět nebo když platnost certifikátu vypršela.

    Výstrahy pro služby Doména služby Active Directory

    Název upozornění Popis Náprava
    Řadič domény je nedostupný přes příkaz ping protokolu LDAP. Řadič domény není dostupný přes příkaz Ping protokolu LDAP. Příčinou můžou být problémy se sítí nebo počítače. V důsledku toho příkazy Ping protokolu LDAP selžou.
  • Zkontrolujte seznam výstrah, ve které najdete související výstrahy, například: Řadič domény není inzerovaný.
  • Ujistěte se, že ovlivněný řadič domény má dostatek místa na disku. Nedostatek místa zastaví, aby řadič domény inzerovala jako server LDAP.
  • Pokus o vyhledání primárního řadiče domény: Spuštění
    netdom query fsmo
    na ovlivněném řadiči domény.
  • Ujistěte se, že je fyzická síť správně nakonfigurovaná nebo připojená.
    • Došlo k chybě replikace služby Active Directory U tohoto řadiče domény dochází k problémům s replikací, které najdete na řídicím panelu stavu replikace. Příčinou chyb replikace může být nesprávná konfigurace nebo jiné související problémy. Neléčené chyby replikace můžou vést k nekonzistence dat. Další podrobnosti o názvech ovlivněných zdrojových a cílových řadičů domény Přejděte na řídicí panel Stavu replikace a vyhledejte aktivní chyby na ovlivněných řadičích domény. Kliknutím na tuto chybu otevřete okno s dalšími podrobnostmi o tom, jak tuto konkrétní chybu napravit.
    Řadič domény nemůže najít primární řadič domény Primární řadič domény není dostupný prostřednictvím tohoto řadiče domény. To povede k ovlivněným přihlášením uživatelů, změnám zásad skupiny bez použití a selhání synchronizace systémového času.
  • Projděte si seznam upozornění, kde najdete související výstrahy, které můžou mít vliv na primární řadič domény, například: Řadič domény není inzerovaný.
  • Pokus o vyhledání primárního řadiče domény: Spuštění
    netdom query fsmo
    na ovlivněném řadiči domény.
  • Ujistěte se, že síť funguje správně.
    • Řadič domény nemůže najít server globálního katalogu Server globálního katalogu není dostupný z tohoto řadiče domény. Výsledkem bude neúspěšné ověření, které se prostřednictvím tohoto řadiče domény pokusilo. Projděte si seznam upozornění pro jakýkoli řadič domény, který nezervuje výstrahy, kde ovlivněný server může být GC. Pokud neexistují žádná reklamní upozornění, zkontrolujte záznamy SRV pro GCS. Můžete je zkontrolovat spuštěním příkazu:
    nltest /dnsgetdc: [ForestName] /gc
    By měl vypsat řadiče domény inzerované jako GCS. Pokud je seznam prázdný, zkontrolujte konfiguraci DNS a ujistěte se, že GC zaregistroval záznamy SRV. Řadič domény je schopen najít v DNS.
    Informace o řešení potíží s globálními katalogy najdete v tématu Reklama jako server globálního katalogu.
    Řadič domény se nemůže spojit s místní sdílenou složkou sysvol Sysvol obsahuje důležité prvky z objektů zásad skupiny a skriptů, které se mají distribuovat v řadičích domény. Řadič domény se nebude inzerovat jako řadič domény a zásady skupiny nebudou použity. Informace o řešení potíží s chybějícími sdílenými složkami sysvol a Netlogon
    Čas řadiče domény je mimo synchronizaci Čas na tomto řadiči domény je mimo normální rozsah nerovnoměrné distribuce času. V důsledku toho ověřování Kerberos selže.
  • Restartování služby Windows Time Service: Spusťte
    net stop w32time
    then
    net start w32time
    na ovlivněném řadiči domény.
  • Čas opětovné synchronizace: Spuštění
    w32tm /resync
    na ovlivněném řadiči domény.
    		•
    Řadič domény není inzerce Tento řadič domény není správně inzerovat role, které dokáže provádět. Příčinou můžou být problémy s replikací, chybnou konfigurací DNS, nespusenými důležitými službami nebo kvůli tomu, že server není plně inicializován. V důsledku toho řadiče domény, členy domény a další zařízení nebudou moct tento řadič domény najít. Další řadiče domény navíc nemusí být schopny replikovat z tohoto řadiče domény. Zkontrolujte seznam výstrah pro další související výstrahy, například: Replikace je přerušená. Čas řadiče domény není synchronizovaný. Služba Netlogon není spuštěná. Služby DFSR a/nebo NTFRS nejsou spuštěné. Identifikace a řešení souvisejících problémů s DNS: Přihlášení k ovlivněném řadiči domény Otevřete protokol událostí systému. Pokud jsou k dispozici události 5774, 5775 nebo 5781, přečtěte si téma Řešení potíží se selháním registrace záznamů DNS lokátoru řadiče domény a řešením souvisejících problémů se službou Windows Time Service: Ujistěte se, že je spuštěná služba Windows Time: Spusťte na ovlivněném řadiči domény příkaz net start w32time. Restartujte službu Windows Time Service: Spusťte příkaz net stop w32time a pak na ovlivněném řadiči domény spusťte příkaz net start w32time.
    Služba GPSVC není spuštěná Pokud je služba zastavená nebo zakázaná, nastavení nakonfigurovaná správcem se nepoužijí a aplikace a komponenty se nedají spravovat prostřednictvím zásad skupiny. Pokud je služba zakázaná, nemusí být všechny komponenty nebo aplikace závislé na komponentě Zásad skupiny funkční. Spusťte příkaz .
    net start gpsvc
    na ovlivněném řadiči domény.
    Služby DFSR nebo NTFRS nejsou spuštěné Pokud jsou zastaveny služby DFSR i NTFRS, řadiče domény nebudou moct replikovat data sysvol. Data sysvol nebudou konzistentní.
  • Pokud používáte DFSR:
      Na ovlivněném řadiči domény spusťte příkaz net start dfsr.
    1. Pokud používáte protokol NTFRS:
        Na ovlivněném řadiči domény spusťte příkaz net start ntfrs.
    • Služba Netlogon není spuštěná Žádosti o přihlášení, registrace, ověřování a vyhledání řadičů domény nebudou v tomto řadiči domény k dispozici. Na ovlivněném řadiči domény spusťte netlogon.
    Služba W32Time není spuštěná Pokud je služba Windows Time Service zastavena, synchronizace data a času nebude k dispozici. Pokud je tato služba zakázaná, nespustí se žádné služby, které jsou na ní explicitně závislé. Na ovlivněném řadiči domény spusťte příkaz net start win32Time.
    Služba ADWS není spuštěná Pokud je služba Active Directory Web Services zastavená nebo zakázaná, klientské aplikace, jako je například Active Directory PowerShell, nebudou mít přístup k žádným instancím adresářové služby, které jsou spuštěné místně na tomto serveru, ani nebudou moct spravovat žádné instance adresářové služby. Na ovlivněném řadiči domény spusťte příkaz net start adws.
    Kořenový primární řadič domény se nesynchronizuje ze serveru NTP Pokud primární řadič domény nenakonfigurujete tak, aby synchronizoval čas z externího nebo interního časového zdroje, emulátor primárního řadiče domény používá své interní hodiny a je sám spolehlivým zdrojem času pro doménovou strukturu. Pokud čas na samotném primárním řadiči domény není přesný, budou mít všechny počítače nesprávné nastavení času. Na ovlivněném řadiči domény otevřete příkazový řádek. Zastavení služby Time: net stop w32time
  • Konfigurace externího zdroje času:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Poznámka: Nahraďte time.windows.com adresou požadovaného externího zdroje času. Spusťte službu Time ( Čas):
    net start w32time
    • Řadič domény je v karanténě Tento řadič domény není připojený k žádnému z ostatních funkčních řadičů domény. Příčinou může být nesprávná konfigurace. V důsledku toho se tento řadič domény nepoužívá a nereplikuje se z/do někoho. Povolte příchozí a odchozí replikaci: Na ovlivněném řadiči domény spusťte příkaz repadmin /options ServerName -DISABLE_INBOUND_REPL. Na ovlivněném řadiči domény spusťte příkaz repadmin /options ServerName -DISABLE_OUTBOUND_REPL. Vytvořte nové připojení replikace k jinému řadiči domény:
    1. Otevřete weby a služby služby Active Directory: nabídka Start, přejděte na Správa istrativní nástroje a potom klikněte na položku Lokality a služby služby Active Directory.
    2. Ve stromu konzoly rozbalte weby a potom rozbalte lokalitu, do které tento řadič domény patří.
    3. Rozbalte kontejner Servery a zobrazte seznam serverů.
    4. Rozbalte objekt serveru pro tento řadič domény.
    5. Klikněte pravým tlačítkem myši na objekt Nastavení NTDS a klikněte na příkaz New Doména služby Active Directory Services Připojení ion...
    6. Ze seznamu vyberte server a klikněte na ok.
    Odebrání osamocených domén ze služby Active Directory
    Odchozí replikace je zakázaná. Řadiče domény s zakázanou odchozí replikací nebudou moct distribuovat žádné změny pocházející ze sebe. Chcete-li povolit odchozí replikaci na ovlivněném řadiči domény, postupujte takto: Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz cmd a klepněte na tlačítko OK. Zadejte následující text a stiskněte klávesu ENTER:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Příchozí replikace je zakázaná. Řadiče domény se zakázaným příchozí replikací nebudou mít nejnovější informace. Tato podmínka může vést k chybám přihlášení. Chcete-li povolit příchozí replikaci na ovlivněném řadiči domény, postupujte takto: Klepněte na tlačítko Start, klepněte na tlačítko Spustit, zadejte příkaz cmd a klepněte na tlačítko OK. Zadejte následující text a stiskněte klávesu ENTER:
    repadmin /options -DISABLE_INBOUND_REPL
    Služba LanmanServer není spuštěná Pokud je tato služba zakázaná, nespustí se žádné služby, které jsou na ní explicitně závislé. Na ovlivněném řadiči domény spusťte příkaz net start LanManServer.
    Služba Kerberos Key Distribution Center není spuštěná Pokud je služba KDC zastavená, uživatelé nebudou moct ověřování prostřednictvím tohoto řadiče domény pomocí ověřovacího protokolu Kerberos v5. Na ovlivněném řadiči domény spusťte příkaz net start kdc.
    Služba DNS není spuštěná Pokud je služba DNS zastavená, počítače a uživatelé, kteří tento server používají pro účely DNS, nebudou nalezeny prostředky. Na ovlivněném řadiči domény spusťte příkaz net start dns.
    Řadič domény měl vrácení USN zpět Když dojde ke zpětnému vrácení hodnoty USN, změny objektů a atributů se nereplikují cílovými řadiči domény, které dříve viděly hlavní název uživatele (USN). Vzhledem k tomu, že se tyto cílové řadiče domény domnívají, že jsou aktuální, nejsou v protokolech událostí adresářové služby nebo pomocí monitorovacích a diagnostických nástrojů hlášeny žádné chyby replikace. Vrácení hodnoty USN může mít vliv na replikaci jakéhokoli objektu nebo atributu v libovolném oddílu. Nejčastěji pozorovaným vedlejším účinkem je, že uživatelské účty a účty počítačů vytvořené na řadiči domény vrácení zpět neexistují u jednoho nebo více partnerů replikace. Nebo aktualizace hesel, které pocházejí ze zpětného řadiče domény, neexistují u partnerů replikace. Existují dva přístupy k zotavení ze zpětného vrácení USN:

    Odeberte řadič domény z domény následujícím postupem:

    1. Odeberte službu Active Directory z řadiče domény, aby se vynutil, aby byla samostatným serverem. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
      332199 řadičů domény se při použití Průvodce instalací služby Active Directory k vynucení degradace v systému Windows Server 2003 a v systému Windows 2000 Server nestrhá.
    2. Ukončete degradovaný server.
    3. Na řadiči domény, který je v pořádku, vyčistěte metadata degradovaného řadiče domény. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
      216498 Odebrání dat ve službě Active Directory po neúspěšném snížení úrovně řadiče domény
    4. Pokud nesprávně obnovený řadič domény hostuje role hlavního operačního serveru, přeneste tyto role do řadiče domény, který je v pořádku. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
      255504 použití Ntdsutil.exe k přenosu nebo odebrání rolí FSMO na řadič domény
    5. Restartujte degradovaný server.
    6. Pokud je to potřeba, nainstalujte službu Active Directory na samostatný server znovu.
    7. Pokud byl řadič domény dříve globálním katalogem, nakonfigurujte řadič domény tak, aby byl globálním katalogem. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
      313994 Vytvoření nebo přesunutí globálního katalogu v systému Windows 2000
    8. Pokud dříve hostovaný řadič domény role hlavního operačního serveru přeneste role hlavního operačního serveru zpět do řadiče domény. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
      255504 Použití Ntdsutil.exe k přenosu nebo zahodování rolí FSMO do řadiče domény Obnovit stav systému dobré zálohy.

    Vyhodnoťte, jestli pro tento řadič domény existují platné zálohy stavu systému. Pokud byla provedena platná záloha stavu systému před nesprávným obnovením řadiče domény vrácenou zpět a záloha obsahuje nedávné změny provedené na řadiči domény, obnovte stav systému z nejnovější zálohy.

    Snímek můžete použít také jako zdroj zálohy. Nebo můžete databázi nastavit tak, aby se pomocí postupu v části "Obnovení předchozí verze virtuálního pevného disku virtuálního řadiče domény bez zálohování dat o stavu systému" v tomto článku použilo nové ID vyvolání.

    Další kroky