Katalog alertów usługi Microsoft Entra Połączenie Health
Usługa Microsoft Entra Połączenie Health wysyła alerty wskazujące, że infrastruktura tożsamości nie jest w dobrej kondycji. Ten artykuł zawiera tytuły alertów, opisy i kroki korygowania dla każdego alertu.
Błędy, Ostrzeżenie i Wstępnewarowanie to trzy etapy alertów generowanych na podstawie usługi Połączenie Health. Zdecydowanie zalecamy natychmiastowe wykonywanie akcji dotyczących wyzwolonych alertów.
Alerty usługi Microsoft Entra Połączenie Health są rozwiązywane w warunku powodzenia. Firma Microsoft Entra Połączenie Health Agents wykrywa i okresowo zgłasza warunki powodzenia w usłudze. W przypadku kilku alertów pomijanie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.
Ogólne Alerty
Nazwa alertu | opis | Korekty |
---|---|---|
Dane usługi kondycji nie są aktualne | Agenty kondycji uruchomione na co najmniej jednym serwerze nie są połączone z Usługa kondycji, a Usługa kondycji nie odbiera najnowszych danych z tego serwera. Ostatnie dane przetwarzane przez Usługa kondycji są starsze niż 2 godziny. | Upewnij się, że agenci kondycji mają łączność wychodzącą z wymaganymi punktami końcowymi usługi. Przeczytaj więcej |
Alerty dotyczące Połączenie firmy Microsoft (synchronizacja)
Nazwa alertu | opis | Korekty |
---|---|---|
Usługa microsoft Entra Połączenie Sync nie jest uruchomiona | Usługa Microsoft Entra ID Sync systemu Windows nie jest uruchomiona lub nie można jej uruchomić. W związku z tym obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Uruchamianie usług synchronizacji identyfikatorów entra firmy Microsoft
|
Importowanie z usługi Microsoft Entra ID nie powiodło się | Operacja importowania z usługi Microsoft Entra Connector nie powiodła się. | Sprawdź błędy w dzienniku zdarzeń operacji importowania, aby uzyskać więcej szczegółów. |
Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania | Połączenie z usługą Microsoft Entra ID nie powiodło się z powodu niepowodzenia uwierzytelniania. W rezultacie obiekty nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Sprawdź błędy dziennika zdarzeń, aby uzyskać więcej szczegółów. |
Niepowodzenie eksportowania do usługi Active Directory | Operacja eksportowania do łącznika usługi Active Directory nie powiodła się. | Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów. |
Importowanie z usługi Active Directory nie powiodło się | Importowanie z usługi Active Directory nie powiodło się. W związku z tym obiekty z niektórych domen z tego lasu mogą nie być importowane. | |
Eksportowanie do usługi Microsoft Entra ID nie powiodło się | Operacja eksportowania do usługi Microsoft Entra Połączenie or nie powiodła się. W związku z tym niektóre obiekty mogą nie zostać pomyślnie wyeksportowane do identyfikatora Entra firmy Microsoft. | Sprawdź błędy w dzienniku zdarzeń operacji eksportowania, aby uzyskać więcej szczegółów. |
Puls synchronizacji skrótów haseł został pominięty w ciągu ostatnich 120 minut | Synchronizacja skrótów haseł nie nawiązała połączenia z identyfikatorem Entra firmy Microsoft w ciągu ostatnich 120 minut. W związku z tym hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft: Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku. 1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz Services.msc, a następnie kliknij przycisk OK. 2. Znajdź usługę Microsoft Entra ID Sync, kliknij ją prawym przyciskiem myszy, a następnie kliknij przycisk Uruchom ponownie. |
Wykryto wysokie użycie procesora CPU | Procent użycia procesora CPU przekroczył zalecany próg na tym serwerze. |
|
Wykryto wysokie użycie pamięci | Procent użycia pamięci serwera przekracza zalecany próg na tym serwerze. | Sprawdź najważniejsze procesy zużywające najwyższą pamięć na serwerze. Możesz użyć Menedżera zadań lub wykonać następujące polecenie programu PowerShell: get-process | Sort-Object -Descending WS | Select-Object -First 10 Jeśli istnieją nieoczekiwane procesy zużywające wysoką pamięć, zatrzymaj procesy przy użyciu następującego polecenia programu PowerShell: stop-process -ProcessName [nazwa procesu] |
Synchronizacja skrótów haseł przestała działać | Synchronizacja skrótów haseł została zatrzymana. W rezultacie hasła nie będą synchronizowane z identyfikatorem Entra firmy Microsoft. | Uruchom ponownie usługi synchronizacji identyfikatorów entra firmy Microsoft: Wszystkie aktualnie uruchomione operacje synchronizacji zostaną przerwane. Możesz wykonać poniższe kroki, gdy żadna operacja synchronizacji nie jest w toku.
|
Eksportowanie do identyfikatora Entra firmy Microsoft zostało zatrzymane. Osiągnięto próg przypadkowego usunięcia | Operacja eksportowania do identyfikatora Entra firmy Microsoft nie powiodła się. Było więcej obiektów do usunięcia niż skonfigurowany próg. W rezultacie nie wyeksportowano żadnych obiektów. |
|
Alerty dotyczące usług Active Directory Federation Services
Nazwa alertu | opis | Korekty |
---|---|---|
Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu | Żądania uwierzytelniania testowego (transakcje syntetyczne) zainicjowane na tym serwerze nie mogą uzyskać tokenu po 5 ponownych próbach. Może to być spowodowane przejściowymi problemami z siecią, dostępnością kontrolera domeny usług AD DS lub nieprawidłowo skonfigurowanym serwerem usług AD FS. W związku z tym żądania uwierzytelniania przetwarzane przez usługę federacyjną mogą zakończyć się niepowodzeniem. Agent używa kontekstu konta komputera lokalnego do uzyskania tokenu z usługi federacyjnej. | Upewnij się, że wykonano następujące kroki w celu zweryfikowania kondycji serwera.
Jeśli nie można rozpoznać nazwy usługi, zapoznaj się z sekcją Często zadawane pytania, aby uzyskać instrukcje dotyczące dodawania wpisu pliku HOSTA usługi AD FS z adresem IP tego serwera. Umożliwi to syntetyczny moduł transakcji uruchomiony na tym serwerze w celu zażądania tokenu |
Serwer proxy nie może nawiązać połączenia z serwerem federacyjnym | Ten serwer proxy usług AD FS nie może skontaktować się z usługą AD FS. W związku z tym żądania uwierzytelniania przetworzone przez ten serwer nie powiedzą się. | Wykonaj następujące kroki, aby zweryfikować łączność między tym serwerem a usługą AD FS.
|
Certyfikat SSL wkrótce wygaśnie | Certyfikat TLS/SSL używany przez serwery federacyjne wkrótce wygaśnie w ciągu 90 dni. Po wygaśnięciu wszystkie żądania wymagające prawidłowego połączenia TLS kończą się niepowodzeniem. Na przykład w przypadku klientów platformy Microsoft 365 klienci poczty nie będą mogli się uwierzytelniać. | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
W przypadku usług AD FS w systemie Windows Server 2012 R2 i nowszych wersjach: |
Usługa AD FS nie jest uruchomiona na serwerze | Usługa federacyjna Active Directory (usługa systemu Windows) nie jest uruchomiona na tym serwerze. Wszystkie żądania kierowane do tego serwera nie powiedzą się. | Aby uruchomić usługę federacyjną Active Directory (usługa systemu Windows):
|
System DNS dla usługi federacyjnej może być nieprawidłowo skonfigurowany | Serwer DNS można skonfigurować tak, aby używał rekordu CNAME dla nazwy farmy usług AD FS. Zaleca się używanie rekordu A lub AAAA dla usług AD FS w celu bezproblemowego działania zintegrowanego uwierzytelniania systemu Windows w sieci firmowej. | Upewnij się, że typ rekordu DNS farmy <Farm Name> usług AD FS nie jest CNAME. Skonfiguruj go tak, aby był rekordem A lub AAAA. |
Inspekcja usług AD FS jest wyłączona | Inspekcja usług AD FS jest wyłączona dla serwera. Sekcja Użycie usług AD FS w portalu nie będzie zawierać danych z tego serwera. | Jeśli inspekcje usług AD FS nie są włączone, wykonaj następujące instrukcje:
Po wykonaniu tych kroków zdarzenia inspekcji usług AD FS powinny być widoczne z Podgląd zdarzeń. Aby to sprawdzić:
Jeśli wcześniej wykonano te instrukcje, ale nadal widzisz ten alert, możliwe, że obiekt zasad grupy wyłącza inspekcję usług AD FS. Główną przyczyną może być jedna z następujących przyczyn:
|
Certyfikat SSL usług AD FS jest z podpisem własnym | Obecnie używasz certyfikatu z podpisem własnym jako certyfikatu TLS/SSL w farmie usług AD FS. W związku z tym uwierzytelnianie klienta poczty dla platformy Microsoft 365 zakończy się niepowodzeniem | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
Zainstaluj nowy certyfikat TLS/SSL na każdym serwerze w magazynie certyfikatów komputera lokalnego.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2: W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: |
Relacja zaufania między serwerem proxy a serwerem federacyjnym jest nieprawidłowa | Nie można ustanowić ani odnowić relacji zaufania między serwerem proxy usługi federacyjnej a usługą federacyjną. | Zaktualizuj certyfikat zaufania serwera proxy na serwerze proxy. Uruchom ponownie Kreatora konfiguracji serwera proxy. |
Wyłączono ochronę blokady ekstranetu dla usług AD FS | Funkcja ochrony blokady ekstranetu jest wyłączona w farmie usług AD FS. Ta funkcja chroni użytkowników przed atakami siłowymi na hasła przed Internetem i uniemożliwia atakom typu "odmowa usługi" na użytkowników, gdy zasady blokady konta usług AD DS obowiązują. Po włączeniu tej funkcji, jeśli liczba nieudanych prób logowania ekstranetu dla użytkownika (próby logowania dokonane za pośrednictwem serwera WAP i usług AD FS) przekraczają wartość "ExtranetLockoutThreshold", serwery usług AD FS przestaną przetwarzać dalsze próby logowania dla "EkstranetObservationWindow" Zdecydowanie zalecamy włączenie tej funkcji na serwerach usług AD FS. | Uruchom następujące polecenie, aby włączyć ochronę przed blokadą ekstranetu usług AD FS z wartościami domyślnymi. Set-AdfsProperties -EnableExtranetLockout $true Jeśli masz skonfigurowane zasady blokady usługi AD dla użytkowników, upewnij się, że właściwość "ExtranetLockoutThreshold" jest ustawiona na wartość poniżej progu blokady usług AD DS. Dzięki temu żądania, które przekroczyły próg usług AD FS, są odrzucane i nigdy nie są weryfikowane względem serwerów usług AD DS. |
Nieprawidłowa nazwa główna usługi (SPN) dla konta usługi AD FS | Główna nazwa usługi konta usługi federacyjnej nie jest zarejestrowana lub nie jest unikatowa. W związku z tym zintegrowane uwierzytelnianie systemu Windows z klientów przyłączonych do domeny może nie być bezproblemowe. | Użyj polecenia [SETSPN -L ServiceAccountName], aby wyświetlić listę jednostek usługi. Użyj polecenia [SETSPN -X], aby sprawdzić zduplikowane nazwy główne usługi. Jeśli nazwa SPN jest duplikowana dla konta usługi AD FS, usuń nazwę SPN z zduplikowanego konta przy użyciu polecenia [SETSPN -d service/namehostname] Jeśli nie ustawiono nazwy SPN, użyj nazwy SPN [SETSPN -s {Desired-SPN} {domain_name}{service_account}], aby ustawić żądaną nazwę SPN dla konta usługi federacyjnej. |
Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wkrótce wygaśnie | Podstawowy certyfikat odszyfrowywania tokenu usług AD FS wkrótce wygaśnie za mniej niż 90 dni. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie będą mogli uwierzytelniać się w celu uzyskania dostępu do zasobów. | Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu. Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami. Uzyskaj nowy certyfikat odszyfrowywania tokenu.
|
Podstawowy certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie | Certyfikat podpisywania tokenu usług AD FS wkrótce wygaśnie w ciągu 90 dni. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. | Uzyskaj nowy certyfikat podpisywania tokenu.
|
Certyfikat SSL usług AD FS nie znajduje się w lokalnym magazynie certyfikatów | Nie można odnaleźć certyfikatu z odciskiem palca skonfigurowanym jako certyfikat TLS/SSL w bazie danych usług AD FS w lokalnym magazynie certyfikatów. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu TLS zakończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 zakończy się niepowodzeniem. | Zainstaluj certyfikat ze skonfigurowanym odciskiem palca w lokalnym magazynie certyfikatów. |
Certyfikat SSL wygasł | Certyfikat TLS/SSL dla usługi AD FS wygasł. W związku z tym wszystkie żądania uwierzytelniania, które wymagają prawidłowego połączenia TLS, nie powiedzą się. Na przykład: uwierzytelnianie klienta poczty nie będzie mogło uwierzytelniać się na platformie Microsoft 365. | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: Zobacz Zarządzanie certyfikatami SSL w usługach AD FS i WAP |
Wymagane punkty końcowe dla identyfikatora Entra firmy Microsoft (dla platformy Microsoft 365) nie są włączone | Następujący zestaw punktów końcowych wymaganych przez usługi Exchange Online Services, Microsoft Entra ID i Microsoft 365 nie są włączone dla usługi federacyjnej: |
Włącz wymagane punkty końcowe dla usług Microsoft Cloud Services w usłudze federacyjnej. W przypadku usług AD FS w systemie Windows Server 2012R2 lub nowszych wersjach |
Serwer federacyjny nie może nawiązać połączenia z bazą danych konfiguracji usług AD FS | Konto usługi AD FS ma problemy podczas nawiązywania połączenia z bazą danych konfiguracji usług AD FS. W związku z tym usługi AD FS na tym komputerze mogą nie działać zgodnie z oczekiwaniami. | |
Brak wymaganych powiązań SSL lub ich nie skonfigurowano | Powiązania TLS wymagane dla tego serwera federacyjnego do pomyślnego przeprowadzenia uwierzytelniania są błędnie skonfigurowane. W związku z tym usługi AD FS nie mogą przetwarzać żadnych żądań przychodzących. | Dla systemu Windows Server 2012 R2 Otwórz wiersz polecenia administratora z podwyższonym poziomem uprawnień i wykonaj następujące polecenia:
|
Certyfikat podpisywania tokenu podstawowego usług AD FS wygasł | Certyfikat podpisywania tokenu usług AD FS wygasł. Usługi AD FS nie mogą wystawiać podpisanych tokenów, gdy ten certyfikat jest nieprawidłowy. | Jeśli automatyczne przerzucanie certyfikatów jest włączone, usługi AD FS będą zarządzać aktualizowaniem certyfikatu podpisywania tokenu. Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.
|
Serwer proxy usuwa żądania kontroli przeciążenia | Ten serwer proxy obecnie usuwa żądania z ekstranetu z powodu wyższego niż normalnego opóźnienia między tym serwerem proxy a serwerem federacyjnym. W związku z tym pewna część żądań uwierzytelniania przetworzonych przez serwer proxy usług AD FS może zakończyć się niepowodzeniem. | |
Konto usługi AD FS nie ma dostępu do jednego z kluczy prywatnych certyfikatu. | Konto usługi AD FS nie ma dostępu do klucza prywatnego jednego z certyfikatów usług AD FS na tym komputerze. | Upewnij się, że konto usługi AD FS zapewnia dostęp do certyfikatów TLS, podpisywania tokenu i odszyfrowywania tokenów przechowywanych w magazynie certyfikatów komputera lokalnego.
Otwórz certyfikaty (komputer lokalny)/Osobiste/Certyfikaty.Dla wszystkich certyfikatów używanych przez usługi AD FS:
|
Certyfikat SSL usług AD FS nie ma klucza prywatnego | Certyfikat TLS/SSL usług AD FS został zainstalowany bez klucza prywatnego. W związku z tym każde żądanie uwierzytelniania za pośrednictwem protokołu SSL zakończy się niepowodzeniem. Na przykład uwierzytelnianie klienta poczty dla platformy Microsoft 365 zakończy się niepowodzeniem. | Zaktualizuj certyfikat TLS/SSL na każdym serwerze usług AD FS.
W przypadku usług AD FS 2.0 w systemie Windows Server 2008R2:
W przypadku usług AD FS w systemie Windows Server 2012 R2 lub nowszych wersjach: |
Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł | Certyfikat odszyfrowywania podstawowego tokenu usług AD FS wygasł. Usługi AD FS nie mogą odszyfrować tokenów od zaufanych dostawców oświadczeń. Usługi AD FS nie mogą odszyfrować zaszyfrowanych plików cookie logowania jednokrotnego. Użytkownicy końcowi nie będą mogli uwierzytelniać się w celu uzyskania dostępu do zasobów. | Jeśli włączono przerzucanie automatycznego certyfikatu, usługi AD FS zarządzają certyfikatem odszyfrowywania tokenu. Jeśli zarządzasz certyfikatem ręcznie, postępuj zgodnie z poniższymi instrukcjami.
|
Alerty dotyczące usług domena usługi Active Directory
Nazwa alertu | opis | Korekty |
---|---|---|
Kontroler domeny jest niemożliwy do osiągnięcia za pośrednictwem polecenia ping LDAP | Kontroler domeny nie jest osiągalny za pośrednictwem polecenia ping LDAP. Może to być spowodowane problemami z siecią lub maszyną. W związku z tym polecenia ping LDAP zakończy się niepowodzeniem. | zapytanie netdom fsmo na kontrolerze domeny, którego dotyczy problem. |
Napotkano błąd replikacji usługi Active Directory | Ten kontroler domeny ma problemy z replikacją, które można znaleźć, przechodząc do pulpitu nawigacyjnego stanu replikacji. Błędy replikacji mogą być spowodowane niewłaściwą konfiguracją lub innymi powiązanymi problemami. Nieleczone błędy replikacji mogą prowadzić do niespójności danych. | Zobacz dodatkowe szczegóły dotyczące nazw źródłowych i docelowych kontrolerów domeny, których dotyczy problem. Przejdź do pulpitu nawigacyjnego Stan replikacji i poszukaj aktywnych błędów na kontrolerach domeny, których dotyczy problem. Kliknij błąd, aby otworzyć blok z bardziej szczegółowymi informacjami na temat korygowania tego konkretnego błędu. |
Kontroler domeny nie może odnaleźć kontrolera PDC | Kontroler PDC nie jest osiągalny za pośrednictwem tego kontrolera domeny. Może to prowadzić do wylogowywanie użytkowników, niezastosowane zmiany zasad grupy i niepowodzenie synchronizacji czasu systemowego. | zapytanie netdom fsmo na kontrolerze domeny, którego dotyczy problem. |
Kontroler domeny nie może odnaleźć serwera wykazu globalnego | Serwer wykazu globalnego nie jest dostępny z tego kontrolera domeny. Spowoduje to nieudane uwierzytelnianie za pośrednictwem tego kontrolera domeny. | Sprawdź listę alertów dla dowolnego kontrolera domeny nie jest anonsowanie alertów, w których serwer, którego dotyczy problem, może być GC. Jeśli nie ma żadnych alertów reklamowych, sprawdź rekordy SRV dla kontrolerów domeny. Możesz je sprawdzić, uruchamiając polecenie: nltest /dnsgetdc: [ForestName] /gc Powinien wyświetlić listę kontrolerów domeny jako GCs. Jeśli lista jest pusta, sprawdź konfigurację DNS, aby upewnić się, że kontroler domeny zarejestrował rekordy SRV. Kontroler domeny jest w stanie znaleźć je w systemie DNS. Aby uzyskać informacje na temat rozwiązywania problemów z wykazami globalnymi, zobacz Anonsowanie jako serwer wykazu globalnego. |
Kontroler domeny nie może nawiązać połączenia z lokalnym udziałem sysvol | Sysvol zawiera ważne elementy z obiektów zasad grupy i skryptów, które mają być dystrybuowane w kontrolerach domeny. Kontroler domeny nie będzie anonsować się jako kontroler domeny i zasady grupy nie zostaną zastosowane. | Zobacz Jak rozwiązywać problemy z brakującymi udziałami sysvol i Netlogon |
Czas kontrolera domeny nie jest zsynchronizowany | Czas na tym kontrolerze domeny znajduje się poza normalnym zakresem niesymetryczności czasu. W związku z tym uwierzytelnianie Kerberos zakończy się niepowodzeniem. | net stop w32time następnie net start w32time na kontrolerze domeny, którego dotyczy problem. w32tm /resync na kontrolerze domeny, którego dotyczy problem. |
Kontroler domeny nie reklamuje | Ten kontroler domeny nie jest prawidłowo reklamowane ról, które mogą wykonywać. Może to być spowodowane problemami z replikacją, błędną konfiguracją DNS, nieuruchomieniem krytycznych usług lub z powodu braku w pełni zainicjowanego serwera. W związku z tym kontrolery domeny, elementy członkowskie domeny i inne urządzenia nie będą mogły zlokalizować tego kontrolera domeny. Ponadto inne kontrolery domeny mogą nie być w stanie replikować z tego kontrolera domeny. | Sprawdź listę alertów dla innych powiązanych alertów, takich jak: Replikacja jest uszkodzona. Czas kontrolera domeny nie jest zsynchronizowany. Usługa Netlogon nie jest uruchomiona. Usługi DFSR i/lub NTFRS nie są uruchomione. Identyfikowanie i rozwiązywanie powiązanych problemów z systemem DNS: logowanie do kontrolera domeny, którego dotyczy problem. Otwórz dziennik zdarzeń systemu. Jeśli występują zdarzenia 5774, 5775 lub 5781, zobacz Rozwiązywanie problemów z niepowodzeniem rejestracji rekordów DNS lokalizatora kontrolera domeny Identyfikowanie i rozwiązywanie powiązanych problemów z usługą Czas systemu Windows: Upewnij się, że usługa Czas systemu Windows jest uruchomiona: Uruchom polecenie "net start w32time" na kontrolerze domeny, którego dotyczy problem. Uruchom ponownie usługę czasową systemu Windows: uruchom polecenie "net stop w32time", a następnie "net start w32time" na kontrolerze domeny, którego dotyczy problem. |
Usługa GPSVC nie jest uruchomiona | Jeśli usługa zostanie zatrzymana lub wyłączona, ustawienia skonfigurowane przez administratora nie będą stosowane, a aplikacje i składniki nie będą możliwe do zarządzania za pomocą zasad grupy. Wszystkie składniki lub aplikacje, które zależą od składnika zasad grupy, mogą nie działać, jeśli usługa jest wyłączona. | Uruchom polecenie net uruchom gpsvc na kontrolerze domeny, którego dotyczy problem. |
Usługi DFSR i/lub NTFRS nie są uruchomione | Jeśli usługi DFSR i NTFRS zostaną zatrzymane, kontrolery domeny nie będą mogły replikować danych folderu sysvol. dane sysvol nie będą spójne. |
|
Usługa Netlogon nie jest uruchomiona | Żądania logowania, rejestracja, uwierzytelnianie i lokalizowanie kontrolerów domeny będą niedostępne na tym kontrolerze domeny. | Uruchom polecenie "net start netlogon" na kontrolerze domeny, którego dotyczy problem |
Usługa W32Time nie jest uruchomiona | Jeśli usługa czasowa systemu Windows zostanie zatrzymana, synchronizacja daty i godziny będzie niedostępna. Jeśli ta usługa zostanie wyłączona, nie będzie można uruchomić usług bezpośrednio od niej zależnych. | Uruchom polecenie "net start win32Time" na kontrolerze domeny, którego dotyczy problem |
Usługa ADWS nie jest uruchomiona | Jeśli usługa usług sieci Web Active Directory jest zatrzymana lub wyłączona, aplikacje klienckie, takie jak program PowerShell usługi Active Directory, nie będą mogły uzyskiwać dostępu do żadnych wystąpień usługi katalogowej uruchomionych lokalnie na tym serwerze ani zarządzać nimi. | Uruchom polecenie "net start adws" na kontrolerze domeny, którego dotyczy problem |
Główny kontroler PDC nie jest synchronizowany z serwera NTP | Jeśli nie skonfigurujesz podstawowego kontrolera domeny w celu zsynchronizowania czasu z zewnętrznego lub wewnętrznego źródła czasu, emulator kontrolera PDC używa wewnętrznego zegara i sam jest niezawodnym źródłem czasu lasu. Jeśli czas nie jest dokładny na samym kontrolerze PDC, wszystkie komputery będą miały nieprawidłowe ustawienia czasu. | Na kontrolerze domeny, którego dotyczy problem, otwórz wiersz polecenia. Zatrzymaj usługę Czas: net stop w32time w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes Uwaga: zastąp time.windows.com adresem żądanego źródła czasu zewnętrznego. Uruchom usługę Czas: net start w32time |
Kontroler domeny jest poddawany kwarantannie | Ten kontroler domeny nie jest połączony z żadnym z innych działających kontrolerów domeny. Może to być spowodowane niewłaściwą konfiguracją. W związku z tym ten kontroler domeny nie jest używany i nie będzie replikowany z/do nikogo. | Włącz replikację ruchu przychodzącego i wychodzącego: uruchom polecenie "repadmin /options ServerName -DISABLE_INBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Uruchom polecenie "repadmin /options ServerName -DISABLE_OUTBOUND_REPL" na kontrolerze domeny, którego dotyczy problem. Utwórz nowe połączenie replikacji z innym kontrolerem domeny:
|
Replikacja wychodząca jest wyłączona | Kontrolery domeny z wyłączoną replikacją wychodzącą nie będą mogły dystrybuować żadnych zmian pochodzących z samej siebie. | Aby włączyć replikację wychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK. Wpisz następujący tekst, a następnie naciśnij klawisz ENTER: repadmin /options -DISABLE_OUTBOUND_REPL |
Replikacja przychodząca jest wyłączona | Kontrolery domeny z wyłączoną replikacją przychodzącą nie będą miały najnowszych informacji. Ten warunek może prowadzić do niepowodzeń logowania. | Aby włączyć replikację przychodzącą na kontrolerze domeny, której dotyczy problem, wykonaj następujące kroki: kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK. Wpisz następujący tekst, a następnie naciśnij klawisz ENTER: repadmin /options -DISABLE_INBOUND_REPL |
Usługa LanmanServer nie jest uruchomiona | Jeśli ta usługa zostanie wyłączona, nie będzie można uruchomić usług bezpośrednio od niej zależnych. | Uruchom polecenie "net start LanManServer" na kontrolerze domeny, którego dotyczy problem. |
Usługa Centrum dystrybucji kluczy Kerberos nie jest uruchomiona | Jeśli usługa KDC zostanie zatrzymana, użytkownicy nie będą mogli uwierzytelniać się za pośrednictwem tego kontrolera domeny przy użyciu protokołu uwierzytelniania Kerberos v5. | Uruchom polecenie "net start kdc" na kontrolerze domeny, którego dotyczy problem. |
Usługa DNS nie jest uruchomiona | Jeśli usługa DNS zostanie zatrzymana, komputery i użytkownicy korzystający z tego serwera do celów DNS nie znajdą zasobów. | Uruchom polecenie "net start dns" na kontrolerze domeny, którego dotyczy problem. |
Kontroler domeny miał wycofywanie numerów USN | Po wycofaniu numerów USN modyfikacje obiektów i atrybutów nie są replikowane przez docelowe kontrolery domeny, które wcześniej widziały numer USN. Ponieważ te docelowe kontrolery domeny uważają, że są aktualne, w dziennikach zdarzeń usługi katalogowej nie są zgłaszane żadne błędy replikacji ani narzędzia do monitorowania i diagnostyki. Wycofywanie numerów USN może mieć wpływ na replikację dowolnego obiektu lub atrybutu w dowolnej partycji. Najczęściej obserwowanym skutkiem ubocznym jest to, że konta użytkowników i konta komputerów utworzone na kontrolerze domeny wycofywania nie istnieją dla co najmniej jednego partnera replikacji. Lub aktualizacje haseł pochodzące z kontrolera domeny wycofywania nie istnieją dla partnerów replikacji. | Istnieją dwa podejścia do odzyskania po wycofaniu numerów USN: Usuń kontroler domeny z domeny, wykonując następujące kroki:
Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli utworzono prawidłową kopię zapasową stanu systemu przed nieprawidłowym przywróceniem kontrolera domeny, a kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej. Migawkę można również użyć jako źródła kopii zapasowej. Możesz też ustawić bazę danych, aby nadać sobie nowy identyfikator wywołania przy użyciu procedury w sekcji "Aby przywrócić poprzednią wersję wirtualnego dysku twardego kontrolera domeny bez kopii zapasowej danych stanu systemu" w tym artykule |