Поделиться через

Каталог оповещений о работоспособности Microsoft Entra Connect

  • Статья

Служба microsoft Entra Connect Health отправляет оповещения о том, что инфраструктура удостоверений не работает. Эта статья содержит заголовки оповещений, описания и действия по устранению проблемы, связанные с каждым оповещением.
Три этапа оповещений, которые генерируются службой Connect Health, включают оповещение об ошибке, предупреждение и предварительное предупреждение. Мы настоятельно рекомендуем немедленно реагировать на полученные оповещения.
Оповещения о работоспособности Microsoft Entra Connect разрешаются при условии успешности. Агенты работоспособности Microsoft Entra Connect обнаруживают и сообщают о условиях успешности в службу периодически. Для нескольких оповещений подавление осуществляется на основе времени. Иными словами, если одно и то же условие ошибки не наблюдается в течение 72 часов с момента создания оповещения, оповещение разрешается автоматически.

Общие Оповещения

Имя оповещения Description Серверы
Данные службы работоспособности не актуальны Агенты работоспособности, работающие на одном или нескольких серверах, не подключены к служба работоспособности, и служба работоспособности не получает последние данные с этого сервера. Последние данные, обработанные службой работоспособности, были получены более 2 часов назад. Убедитесь, что агенты работоспособности могут устанавливать исходящие подключения к требуемым конечным точкам служб. Подробнее

Оповещения для Microsoft Entra Connect (синхронизация)

Имя оповещения Description Серверы
Служба синхронизации Microsoft Entra Connect не запущена Служба синхронизации идентификаторов Microsoft Entra ID Windows не запущена или не может запуститься. В результате объекты не будут синхронизироваться с идентификатором Microsoft Entra. Запуск служб синхронизации идентификаторов Microsoft Entra
  1. Щелкните Запустить, затем — Выполнить, введите Services.msc, а затем нажмите кнопку ОК.
  2. Найдите службу синхронизации идентификаторов Microsoft Entra ID, а затем проверьте, запущена ли служба. Если служба не запущена, щелкните ее правой кнопкой мыши, а затем щелкните Запустить.
Сбой импорта из Microsoft Entra ID Произошел сбой операции импорта из Microsoft Entra Connector. Дополнительные сведения см. в ошибках в журнале событий для операции импорта.
Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности Сбой подключения к Microsoft Entra ID из-за ошибки проверки подлинности. В результате объекты не будут синхронизированы с идентификатором Microsoft Entra. Дополнительные сведения см. в ошибках в журнале событий.
Export to Active Directory failed (Сбой экспорта в Active Directory) Произошел сбой операции экспорта в соединитель Active Directory. Дополнительные сведения см. в ошибках в журнале событий для операции экспорта.
Import from Active Directory failed (Сбой импорта из Active Directory) Произошел сбой импорта из Active Directory. В результате импорт объектов из некоторых доменов этого леса может завершиться сбоем.
  • Проверьте подключение к контроллеру домена.
  • Перезапустите операцию импорта вручную.
  • Дополнительные сведения см. в ошибках в журнале событий для операции импорта.
    		•
    Сбой экспорта в Microsoft Entra ID Сбой операции экспорта в Соединитель Microsoft Entra. В результате некоторые объекты могут быть успешно экспортированы в идентификатор Microsoft Entra. Дополнительные сведения см. в ошибках в журнале событий для операции экспорта.
    "Password Hash Synchronization heartbeat was skipped in last 120 minutes" (Проверка пульса синхронизации хэшей паролей была пропущена в течение последних 120 минут) Синхронизация хэша паролей не подключена к идентификатору Microsoft Entra за последние 120 минут. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. Перезапустите службы синхронизации идентификаторов Microsoft Entra:
    Все текущие операции синхронизации будут прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
    1. В меню Пуск выберите Выполнить, введите Services.msc и нажмите кнопку ОК.
    2. Найдите синхронизацию идентификаторов Microsoft Entra, щелкните ее правой кнопкой мыши и нажмите кнопку " Перезапустить".
    Слишком высокий коэффициент использования ЦП Процент использования ЦП превысил рекомендуемое пороговое значение для этого сервера.
  • Это может быть временным всплеском потребления ресурсов ЦП. Проверьте тренд использования ЦП в разделе мониторинга.
  • Изучите основные процессы, потребляющие наибольшее количество ресурсов ЦП на сервере.
    1. Вы можете использовать диспетчер задач или выполнить следующую команду PowerShell:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Если возникают непредвиденные процессы, использующие высокую загрузку ЦП, остановите процессы с помощью следующей команды PowerShell:
      stop-process -ProcessName [имя процесса]
  • Если процессы, описанные в приведенном выше списке, являются предполагаемыми процессами, выполняемыми на сервере, и потребление ЦП постоянно приближается к порогу, рассмотрите возможность повторной оценки требований к развертыванию этого сервера.
  • Для обеспечения отказоустойчивости можно перезапустить сервер.
    		•
    Обнаружено высокое потребление памяти Процент использования памяти сервера превышает рекомендуемое пороговое значение на этом сервере. Изучите основные процессы, потребляющие наибольший объем памяти на сервере. Вы можете использовать диспетчер задач или выполнить следующую команду PowerShell:
    get-process | Sort-Object -Убывание WS | Select-Object -First 10
    , если есть непредвиденные процессы, использующие высокую память, остановите процессы с помощью следующей команды PowerShell:
    stop-process -ProcessName [имя процесса]
  • Если процессы, описанные в приведенном выше списке, являются предполагаемыми процессами, выполняемыми на сервере, рассмотрите возможность повторной оценки требований к развертыванию этого сервера.
  • Для обеспечения отказоустойчивости можно перезапустить сервер.
    		•
    Password Hash Synchronization has stopped working (Служба синхронизации хэшей паролей остановила работу) Служба синхронизации хэшей паролей остановлена. В результате пароли не будут синхронизированы с идентификатором Microsoft Entra. Перезапустите службы синхронизации идентификаторов Microsoft Entra:
    Все текущие операции синхронизации будут прерваны. Если операция синхронизации не выполняется, можно выполнить шаги ниже.
    1. Щелкните Запустить, затем — Выполнить, введите Services.msc, а затем нажмите кнопку ОК.
    2. Найдите синхронизацию идентификаторов Microsoft Entra, щелкните ее правой кнопкой мыши и нажмите кнопку "Перезапустить".
    Экспорт в Microsoft Entra ID был остановлен. Accidental delete threshold was reached (Экспорт в Azure Active Directory был остановлен. Достигнуто пороговое значение случайных удалений) Сбой операции экспорта в идентификатор Microsoft Entra ID. Количество объектов для удаления превысило настроенное пороговое значение. В результате объекты не были экспортированы.
  • Количество объектов, отмеченных для удаления, превысило заданный порог. Если это количество верное,
  • Чтобы продолжить экспорт, выполните следующие действия.
    1. Отключите пороговое значение, запустив командлет Disable-ADSyncExportDeletionThreshold.
    2. Запустите Synchronization Service Manager.
    3. Запуск экспорта в соединителе с типом = идентификатор Microsoft Entra
    4. После успешного экспорта объектов включите пороговое значение, выполнив командлет Enable-ADSyncExportDeletionThreshold.
    		•

    Оповещения для служб федерации Active Directory

    Имя оповещения Description Серверы
    Test Authentication Request (Synthetic Transaction) failed to obtain a token (Тестовому запросу проверки подлинности (искусственной транзакции) не удалось получить маркер) Запросы тестовой проверки подлинности (искусственные транзакции), инициированные с этого сервера, не смогли получить маркер после 5 попыток. Это может быть вызвано временными проблемами в сети, недоступностью контроллера домена AD DS или неправильной конфигурацией сервера AD FS. В результате все запросы проверки подлинности, обрабатываемые службой федерации, могут завершаться ошибкой. Агент использует контекст учетной записи локального компьютера для получения маркера из службы федерации. Для проверки работоспособности сервера выполните шаги ниже.
    1. Проверьте отсутствие любых дополнительных неразрешенных оповещений для этого или других серверов AD FS в своей ферме.
    2. Убедитесь, что это условие не является временным сбоем путем входа с помощью тестового пользователя с страницы входа AD FS, доступной по адресу https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. https://testconnectivity.microsoft.com Перейдите на вкладку "Office 365" и выберите ее. Выполните проверку единого входа в Office 365.
    4. Посмотрите, можно ли разрешить имя службы AD FS с этого сервера, выполнив следующую команду в командной строке: nslookup имя_вашего_сервера_adfs

    Если имя службы не удается устранить, ознакомьтесь с разделом часто задаваемых вопросов о добавлении записи файла HOST службы AD FS с IP-адресом этого сервера. Это позволит модулю искусственных транзакций, запущенному на сервере, запросить маркер.
    Прокси-сервер не может связаться с сервером федерации Этот прокси-сервер AD FS не может связаться со службой AD FS. В результате все запросы проверки подлинности, обрабатываемые этим сервером, будут завершаться ошибкой. Выполните следующие действия, чтобы проверить подключение между этим сервером и службой AD FS.
    1. Убедитесь, что брандмауэр между этим сервером и службой AD FS настроен правильно.
    2. Убедитесь, что разрешение DNS для имени службы AD FS указывает на службу AD FS, которая расположена в корпоративной сети. Этого можно добиться с помощью DNS-сервера, который обслуживает этот сервер в сети периметра, или с помощью записей в файлах HOSTS для имени службы AD FS.
    3. Проверьте сетевое подключение: откройте браузер на этом сервере и перейдите в конечную точку метаданных федерации по адресу https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    The SSL Certificate is about to expire (Срок действия SSL-сертификата скоро истекает) Срок действия TLS/SSL-сертификата, используемого серверами федерации, истекает через 90 дней. После этого все запросы, для которых требуется допустимое TLS-подключение, будут завершаться ошибкой. Например, для клиентов Microsoft 365 почтовые клиенты не смогут пройти проверку подлинности. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите TLS/SSL-сертификат, выполнив перечисленные ниже требования.
      1. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
      2. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    2. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    3. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 и более поздних версиях:

  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    • Служба AD FS не запущена на сервере Служба федерации Active Directory (служба Windows) не работает на этом сервере. Все запросы, направленные на этот сервер, завершатся сбоем. Чтобы запустить службу федерации Active Directory (службу Windows), сделайте следующее:
    1. Войдите на сервер с учетной записью администратора.
    2. Откройте services.msc.
    3. Найти "службы федерации Active Directory (AD FS)"
    4. Щелкните правой кнопкой мыши и выберите "Пуск"
    DNS for the Federation Service may be misconfigured (Возможно, параметры DNS для службы федерации настроены неправильно) DNS-сервер можно настроить, чтобы использовать запись CNAME для имени фермы служб AD FS. Рекомендуется применять для служб AD FS запись A или AAAA, чтобы встроенная проверка подлинности Windows работала без проблем в вашей корпоративной сети. Убедитесь, что тип записи DNS фермы <Farm Name> AD FS не является CNAME. Настройте в этом случае использование записи A или AAAA.
    AD FS Auditing is disabled (Аудит AD FS отключен) Аудит AD FS для этого сервера отключен. Раздел "Использование AD FS" на портале не будет включать данные с этого сервера. Если аудиты AD FS не включены, выполните следующие инструкции:
    1. На сервере AD FS предоставьте учетной записи службы AD FS право "Создание аудитов безопасности".
    2. Откройте локальную политику безопасности на сервере gpedit.msc.
    3. Перейдите к разделу "Конфигурация компьютера\Параметры Windows\Локальные политики\Назначение прав пользователя"
    4. Добавьте учетную запись службы AD FS, чтобы предоставить ей право "Создание аудитов безопасности".
    5. В окне командной строки выполните следующую команду:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Обновите свойства службы федерации, чтобы включить аудит, завершившийся успешно и сбоем.
    7. В консоли AD FS выберите "Изменить свойства службы федерации"
    8. В диалоговом окне "Свойства службы федерации" выберите вкладку "События" и выберите "Аудит успешности" и "Аудит сбоев"

    После этого из средства просмотра событий можно просмотреть события аудита AD FS. Чтобы выполнить проверку:

    1. Перейдите в средство просмотра событий, выберите "Журналы Windows", а затем щелкните "Безопасность".
    2. Выберите фильтрацию текущих журналов, а затем — аудит AD FS в раскрывающемся списке источников событий. Для активного сервера AD FS с включенным аудитом AD FS для вышеуказанной фильтрации должны отображаться события.

    Если вы следовали этим инструкциям, но по-прежнему видите это предупреждение, возможно, что объект групповой политики отключает аудит AD FS. Ниже перечислены возможные причины.

    1. Для учетной записи службы AD FS удаляется право "Создание аудитов безопасности".
    2. Настраиваемый сценарий в объекте групповой политики отключает аудиты, завершившиеся успешно и сбоем, на основе параметра "Создано приложением".
    3. Конфигурация AD FS не включена для создания аудита успешности и сбоя.
    AD FS SSL certificate is self-signed (SSL-сертификат служб AD FS является самозаверяющим) Вы используете самозаверяющий сертификат в качестве TLS/SSL-сертификата в ферме AD FS. Из-за этого проверка подлинности почтового клиента для Microsoft 365 будет завершаться ошибкой.

    Обновите TLS/SSL-сертификат для каждого сервера AD FS.

    1. Получите общедоступный доверенный TLS/SSL-сертификат, выполнив следующие требования.
    2. Файл установки сертификата содержит закрытый ключ.
    3. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
    4. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например: sso.contoso.com или *.contoso.com

    Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.

      Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.
      Для служб AD FS 2.0 в Windows Server 2008 R2:
    1. Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

      2. Для служб AD FS в Windows Server 2012 R2 или более поздних версиях:
    2. См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    Доверие между прокси-сервером и сервером федерации недопустимо Не удалось установить или продлить доверие между прокси-сервером федерации и службой федерации. Обновите сертификат доверия прокси-сервера. Повторно запустите мастер настройки прокси-сервера.
    Защита блокировки экстрасетей отключена для AD FS Функция защиты блокировки экстрасетей отключена для фермы AD FS. Эта функция защищает пользователей от атак методом перебора через Интернет и от атак типа "отказ в обслуживании", когда включены политики блокировки учетных записей AD DS. Если эта функция включена и количество неудачных попыток входа из экстрасети для пользователя (попытки входа в систему через сервер WAP и AD FS) превышает пороговое значение "ExtranetLockoutThreshold", то серверы AD FS перестанут обрабатывать дальнейшие попытки входа в течение периода времени "ExtranetObservationWindow". Настоятельно рекомендуется включить эту функцию для серверов AD FS. Выполните следующую команду, чтобы включить защиту блокировки экстрасетей для AD FS со значениями по умолчанию.
    Set-AdfsProperties -EnableExtranetLockout $true

    Если для пользователей настроены политики блокировки AD, убедитесь, что для свойства ExtranetLockoutThreshold задано значение ниже порогового значения блокировки AD DS. Так вы сможете гарантировать, что запросы, которые превысят пороговое значение AD FS, будут отброшены и не будут проверяться для серверов AD DS.
    Invalid Service Principal Name (SPN) for the AD FS service account (Недопустимое имя субъекта-службы (SPN) учетной записи служб AD FS) Имя субъекта-службы учетной записи службы федерации не зарегистрировано или не является уникальным. В результате встроенная проверка подлинности Windows для клиентов, присоединенных к домену, может работать не так, как ожидается. Используйте команду [SETSPN -L ServiceAccountName] для получения списка субъектов-служб.
    Используйте команду [SETSPN -X] для проверки на наличие повторяющихся имен субъектов-служб.

    Если SPN-имя повторяется для учетной записи службы AD FS, удалите его с помощью команды [SETSPN -d service/namehostname].

    Если имя субъекта-службы не задано, используйте [SETPN-s {Desired-SPN} {domain_name}{service_account}], чтобы задать требуемое имя субъекта-службы для учетной записи службы федерации.
    The Primary AD FS Token Decrypting certificate is about to expire (Срок действия основного сертификата расшифровки маркера AD FS скоро истекает) Срок действия основного сертификата расшифровки токенов AD FS скоро истекает менее чем через 90 дней. AD FS не может расшифровывать маркеры от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не смогут пройти проверку подлинности для доступа к ресурсам. Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже. Получите новый сертификат расшифровки маркера.

    1. Убедитесь, что расширенное использование ключей (EKU) включает в себя "Шифрование ключей"
    2. К субъекту или альтернативному имени субъекта (SAN) не применяются какие-либо ограничения.
    3. Помните, что у серверов федерации и партнеров-поставщиков утверждений должна быть возможность создать цепочку с доверенным коренным центром сертификации при проверке сертификата расшифровки маркера.
    Определите, как партнеры-поставщики утверждений будут доверять новому сертификату расшифровки маркера.
    1. Попросите партнеров извлечь метаданные федерации после обновления сертификата.
    2. Передайте открытый ключ нового сертификата (CER-файл) партнерам. На сервере AD FS партнеров-поставщиков утверждений запустите оснастку управления AD FS из меню "Администрирование". В разделе отношений доверия или отношений доверия с проверяющей стороной выберите созданное для вас отношение доверия. В разделе свойств или шифрования щелкните "Обзор", чтобы выбрать новый сертификат расшифровки маркера, а затем нажмите кнопку "ОК".
    Установите сертификат в локальном хранилище сертификатов каждого сервера федерации.
    • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата. Добавьте новый сертификат в AD FS.
    1. Запустите оснастку управления AD FS в меню "Администрирование".
    2. Разверните узел "Служба" и выберите "Сертификаты".
    3. В области действий щелкните добавление сертификата расшифровки маркера.
    4. Вы увидите список сертификатов, допустимых для расшифровки токенов. Если вы обнаружите, что новый сертификат не представлен в списке, необходимо вернуться и убедиться, что сертификат находится в локальном личном хранилище компьютеров с закрытым ключом, связанным с ним, и сертификат имеет ключ расшифровки как расширенное использование ключей.
    5. Выберите новый сертификат расшифровки маркера и нажмите кнопку "ОК".
    Сделайте новый сертификат расшифровки маркера основным сертификатом.
    1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе расшифровки маркера: имеющийся и новый.
    2. Выберите новый сертификат расшифровки маркера, щелкните его правой кнопкой мыши и выберите "Использовать как основной".
    3. Оставьте старый сертификат для возможного отката. Вы должны спланировать удаление старого сертификата после того, как вы уверены, что он больше не нужен для отката или после истечения срока действия сертификата.
    The Primary AD FS Token Signing certificate is about to expire (Срок действия основного сертификата подписи маркера AD FS скоро истекает) Срок действия сертификата подписи маркера AD FS истекает через 90 дней. AD FS не может выдавать подписанные маркеры, если этот сертификат недействителен. Получите новый сертификат подписи маркера.
    1. Убедитесь, что расширенное использование ключей (EKU) содержит цифровую подпись.
    2. У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
    3. Помните, что вашим серверам федерации, серверам федерации партнеров и серверам приложений проверяющей стороны требуется возможность создания цепочки с доверенным корневым центром сертификации при проверке сертификата подписи маркера.
    Установите сертификат в локальном хранилище сертификатов на каждом сервере федерации.
    • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    Убедитесь, что учетная запись службы федерации имеет доступ к закрытому ключу нового сертификата. Добавьте новый сертификат в AD FS.
    1. Запустите оснастку управления AD FS в меню "Администрирование".
    2. Разверните узел "Служба" и выберите "Сертификаты".
    3. В области действий щелкните добавление сертификата подписи маркера.
    4. Вы увидите список сертификатов, допустимых для подписи токенов. Если вы обнаружите, что новый сертификат не представлен в списке, необходимо вернуться и убедиться, что сертификат находится в локальном хранилище персональных компьютеров с закрытым ключом, а сертификат имеет ku цифровой подписи.
    5. Выберите новый сертификат подписи маркера и нажмите кнопку "ОК".
    Сообщите всем проверяющим сторонам об изменении сертификата подписи маркера.
    1. Проверяющие стороны, использующие метаданные федерации служб AD FS, должны извлечь новые метаданные федерации, чтобы начать использовать новый сертификат.
    2. Проверяющие стороны, не использующие метаданные федерации служб AD FS, должны вручную обновить открытый ключ нового сертификата подписи маркера. Передайте CER-файл проверяющим сторонам.
      3. Сделайте новый сертификат подписи маркера основным.
      1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе подписи маркера: имеющийся и новый.
      2. Выберите новый сертификат подписи маркера, щелкните его правой кнопкой мыши и выберите "Использовать как основной".
      3. Оставьте старый сертификат для возможного отката. Вы должны спланировать удаление старого сертификата после того, как вы уверены, что он больше не нужен для отката или после истечения срока действия сертификата. Помните, что сеансы единого входа текущих пользователей подписаны. Текущие отношения доверия прокси-сервера AD FS используют маркеры, подписанные и зашифрованные с помощью старого сертификата.
    SSL-сертификат AD FS не найден в локальном хранилище сертификатов Сертификат с отпечатком, настроенный как TLS/SSL-сертификат в базе данных AD FS, не был найден в локальном хранилище сертификатов. В результате все запросы проверки подлинности по протоколу TLS, например запросы почтового клиента для Microsoft 365, будут завершаться ошибкой. Установите сертификат с настроенным отпечатком в локальное хранилище сертификатов.
    The SSL Certificate expired (Срок действия SSL-сертификата истек) Срок действия TLS/SSL-сертификата служб AD FS истек. В результате все запросы проверки подлинности, требующие действительного TLS-подключения, Например, проверка подлинности почтового клиента не сможет пройти проверку подлинности для Microsoft 365. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите TLS/SSL-сертификат, выполнив перечисленные ниже требования.
    2. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
    3. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    4. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    5. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 или более поздних версиях: См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).

    Обязательные конечные точки для идентификатора Microsoft Entra (для Microsoft 365) не включены Следующий набор конечных точек, необходимых для служб Exchange Online Services, идентификатора Microsoft Entra и Microsoft 365, не включен для службы федерации:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Включите требуемые конечные точки для облачных служб (Майкрософт) в своей службе федерации.
    Для AD FS в Windows Server 2012R2 или более поздних версиях
  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).

    • The Federation server was unable to connect to the AD FS Configuration Database (Серверу федерации не удалось подключиться к базе данных конфигурации AD FS) У учетной записи службы AD FS возникли проблемы с подключением к базе данных конфигурации AD FS. Из-за этого служба AD FS может работать не так, как ожидается.
  • Убедитесь, что у учетной записи службы AD FS есть доступ к базе данных конфигурации.
  • Убедитесь, что служба базы данных конфигурации AD FS доступна.
    • Required SSL bindings are missing or not configured (Требуемые привязки SSL отсутствуют или неправильно настроены) Привязки TLS, необходимые этому серверу федерации для успешной проверки подлинности, настроены неправильно. В результате AD FS не может обрабатывать входящие запросы. Для Windows Server 2012 R2
    Откройте командную строку администратора с повышенными привилегиями и выполните следующие команды:
    1. Чтобы просмотреть текущую TLS-привязку: Get-AdfsSslCertificate.
    2. Чтобы добавить новые привязки: netsh http add sslcert hostnameport=<federation name name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-333cc444} certstorename=MY
    The Primary AD FS Token Signing certificate has expired (Срок действия основного сертификата подписи маркера AD FS истек) Срок действия сертификата подписи маркера AD FS истек. AD FS не может выдавать подписанные маркеры, если этот сертификат недействителен. Если включена автоматическая смена сертификатов, службы AD FS будут управлять обновлением сертификата для подписи маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже.

    1. Получите новый сертификат подписи маркера.
      1. Убедитесь, что расширенное использование ключей (EKU) содержит цифровую подпись.
      2. У субъекта или альтернативного имени субъекта (SAN) нет ограничений.
      3. Помните, что вашим серверам федерации, серверам федерации партнеров и серверам приложений проверяющей стороны требуется возможность создания цепочки с доверенным корневым центром сертификации при проверке сертификата подписи маркера.
    2. Установите сертификат в локальном хранилище сертификатов на каждом сервере федерации.
      • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    3. Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.
    4. Добавьте новый сертификат в службы AD FS.
      1. Запустите оснастку управления AD FS в меню "Администрирование".
      2. Разверните узел "Служба" и выберите "Сертификаты".
      3. В области действий щелкните добавление сертификата подписи маркера.
      4. Вы увидите список сертификатов, допустимых для подписи токенов. Если вы обнаружите, что новый сертификат не представлен в списке, необходимо вернуться и убедиться, что сертификат находится в локальном хранилище персональных компьютеров с закрытым ключом, а сертификат имеет ku цифровой подписи.
      5. Выберите новый сертификат подписи маркера и нажмите кнопку "ОК".
    5. Сообщите всем проверяющим сторонам об изменении сертификата подписи маркера.
      1. Проверяющие стороны, использующие метаданные федерации служб AD FS, должны извлечь новые метаданные федерации, чтобы начать использовать новый сертификат.
      2. Проверяющие стороны, не использующие метаданные федерации служб AD FS, должны вручную обновить открытый ключ нового сертификата подписи маркера. Передайте CER-файл проверяющим сторонам.
    6. Сделайте новый сертификат подписи маркера основным.
      1. Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе подписи маркера: имеющийся и новый.
      2. Выберите новый сертификат подписи маркера, щелкните его правой кнопкой мыши и выберите "Использовать как основной".
      3. Оставьте старый сертификат для возможного отката. Вы должны спланировать удаление старого сертификата после того, как вы уверены, что он больше не нужен для отката или после истечения срока действия сертификата. Помните, что сеансы единого входа текущих пользователей подписаны. Текущие отношения доверия прокси-сервера AD FS используют маркеры, подписанные и зашифрованные с помощью старого сертификата.
    Proxy server is dropping requests for congestion control (Прокси-сервер отклоняет запросы для предотвращения перегрузки) Этот прокси-сервер сейчас отклоняет запросы из экстрасети из-за более высокой, чем обычно, задержки между ним и сервером федерации. В результате определенная часть запросов проверки подлинности, обрабатываемых прокси-сервером AD FS, может завершиться ошибкой.
  • Убедитесь, что задержка сетевого подключения между прокси-сервером федерации и серверами федерации находится в допустимом диапазоне. См. раздел "Мониторинг" для значений тренда "Задержка запроса маркера". Задержка больше [1500 мс] должна рассматриваться как высокая задержка. Если наблюдается высокая задержка, убедитесь, что сеть между серверами прокси-сервера AD FS и AD FS не имеет проблем с подключением.
  • Убедитесь, что серверы федерации не перегружены запросами проверки подлинности. В разделе мониторинга представлены рекомендуемые представления запросов маркеров в секунду, использования ЦП и памяти.
  • Если после указанных выше проверок проблема не была устранена, измените параметр предотвращения перегрузки на каждом прокси-сервере федерации в соответствии с инструкциями из связанных ссылок.
    		•
    The AD FS service account is denied access to one of the certificate's private key (Учетной записи службы AD FS отказано в доступе к закрытому ключу одного из сертификатов) У учетной записи службы AD FS нет доступа к закрытому ключу одного из сертификатов AD FS на этом компьютере. Убедитесь, что у учетной записи службы AD FS есть доступ к TLS-сертификату, сертификату подписи маркера и сертификату расшифровки маркера, которые хранятся на локальном компьютере в хранилище сертификатов.
    1. В командной строке введите "MMC".
    2. Выберите пункт меню "Файл > Добавить или удалить оснастку".
    3. Выберите "Сертификаты" и щелкните "Добавить". -> Выберите учетную запись компьютера и нажмите кнопку "Далее". -> Выберите "Локальный компьютер" и нажмите кнопку "Готово". Щелкните OK.

    Откройте раздел "Сертификаты (локальный компьютер)/Личные/Сертификаты". Для всех сертификатов, используемых службами AD FS, сделайте следующее:
    1. Щелкните сертификат правой кнопкой мыши.
    2. Выберите "Все задачи > Управление закрытыми ключами".
    3. На вкладке "Безопасность" убедитесь, что в разделе имен групп или пользователей есть учетная запись службы AD FS. В противном случае щелкните "Добавить" и добавьте учетную запись служб AD FS.
    4. Выберите учетную запись служб AD FS и в разделе "Разрешения для <Имя учетной записи служб AD FS>" убедитесь, что включено разрешение на чтение (должен быть установлен флажок).
    SSL-сертификат AD FS не имеет закрытого ключа TLS/SSL-сертификат AD FS установлен без закрытого ключа. В результате все запросы проверки подлинности по протоколу SSL, например запросы почтового клиента для Microsoft 365, будут завершаться ошибкой. Обновите TLS/SSL-сертификат для каждого сервера AD FS.
    1. Получите общедоступный доверенный TLS/SSL-сертификат, выполнив следующие требования.
      1. Файл установки сертификата содержит закрытый ключ.
      2. Для расширенного использования ключа по меньшей мере включена проверка подлинности сервера.
      3. Субъект или альтернативное имя субъекта (SAN) сертификата содержит DNS-имя службы федерации или соответствующий подстановочный знак. Например, sso.contoso.com или *.contoso.com.
    2. Установите новый TLS/SSL-сертификат на каждом сервере в локальное хранилище сертификатов.
    3. Убедитесь, что у учетной записи службы AD FS есть право на чтение закрытого ключа сертификата.

    Для служб AD FS 2.0 в Windows Server 2008 R2:

    • Привяжите новый TLS/SSL-сертификат к веб-сайту в службах IIS, на котором размещена служба федерации. Это необходимо сделать на каждом сервере федерации и прокси-сервере федерации.

    Для служб AD FS в Windows Server 2012 R2 или более поздних версиях:

  • См. статью Managing SSL Certificates in AD FS and WAP in Windows Server 2016 (Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016).
    • The Primary AD FS Token Decrypting certificate has expired (Срок действия основного сертификата расшифровки маркера AD FS истек) Срок действия основного сертификата расшифровки маркера AD FS истек. AD FS не может расшифровывать маркеры от доверенных поставщиков утверждений. AD FS не может расшифровать зашифрованные файлы cookie единого входа. Конечные пользователи не смогут пройти проверку подлинности для доступа к ресурсам.

    Если включена автоматическая смена сертификатов, службы AD FS управляют сертификатом расшифровки маркера.

    Если вы управляете сертификатом вручную, следуйте инструкциям ниже.

    1. Получите новый сертификат расшифровки маркера.
      • Убедитесь, что для расширенного использования ключа (EKU) включено шифрование ключа.
      • К субъекту или альтернативному имени субъекта (SAN) не применяются какие-либо ограничения.
      • Помните, что у серверов федерации и партнеров-поставщиков утверждений должна быть возможность создать цепочку с доверенным коренным центром сертификации при проверке сертификата расшифровки маркера.
    2. Определите, как партнеры-поставщики утверждений будут доверять новому сертификату расшифровки маркера.
      • Попросите партнеров извлечь метаданные федерации после обновления сертификата.
      • Передайте открытый ключ нового сертификата (CER-файл) партнерам. На сервере AD FS партнеров-поставщиков утверждений запустите оснастку управления AD FS из меню "Администрирование". В разделе отношений доверия или отношений доверия с проверяющей стороной выберите созданное для вас отношение доверия. В разделе свойств или шифрования щелкните "Обзор", чтобы выбрать новый сертификат расшифровки маркера, а затем нажмите кнопку "ОК".
    3. Установите сертификат в локальном хранилище сертификатов каждого сервера федерации.
      • Убедитесь, что файл установки сертификата содержит закрытый ключ сертификата на каждом сервере.
    4. Убедитесь, что у учетной записи службы федерации есть доступ к закрытому ключу нового сертификата.
    5. Добавьте новый сертификат в службы AD FS.
      • Запустите оснастку управления AD FS в меню "Администрирование".
      • Разверните узел "Служба" и выберите "Сертификаты".
      • В области действий щелкните добавление сертификата расшифровки маркера.
      • Вы увидите список сертификатов, допустимых для расшифровки токенов. Если вы обнаружите, что новый сертификат не представлен в списке, необходимо вернуться и убедиться, что сертификат находится в локальном личном хранилище компьютеров с закрытым ключом, связанным с ним, и сертификат имеет ключ расшифровки как расширенное использование ключей.
      • Выберите новый сертификат расшифровки маркера и нажмите кнопку "ОК".
    6. Сделайте новый сертификат расшифровки маркера основным сертификатом.
      • Выберите узел "Сертификаты" в оснастке управления AD FS, после чего вы увидите два сертификата в разделе расшифровки маркера: имеющийся и новый.
      • Выберите новый сертификат расшифровки маркера, щелкните его правой кнопкой мыши и выберите "Использовать как основной".
      • Оставьте старый сертификат для возможного отката. Вы должны спланировать удаление старого сертификата после того, как вы уверены, что он больше не нужен для отката или после истечения срока действия сертификата.

    Оповещения для доменных служб Active Directory

    Имя оповещения Description Серверы
    Domain controller is unreachable via LDAP ping (Контроллер домена недостижим для проверки связи LDAP) Контроллер домена недоступен через протокол LDAP Ping. Это может быть вызвано проблемами с сетью или компьютером. В результате проверка связи LDAP будет завершаться сбоем.
  • Просмотрите список оповещений для связанных оповещений, например: контроллер домена не рекламирует.
  • Убедитесь, что на затронутом контроллере домена достаточно места. Когда место закончится, контроллер домена перестанет объявлять себя как сервер LDAP.
  • Попытка найти PDC: Запуск
    netdom query fsmo
    на затронутом контроллере домена.
  • Убедитесь, что физическая сеть правильно настроена и подключена.
    • Обнаружена ошибка репликации Active Directory На этом контроллере домена произошли ошибки репликации. Ознакомиться с ними можно на панели мониторинга состояния репликации. Ошибки репликации могут возникнуть из-за неправильной конфигурации или других связанных проблем. Необработанные ошибки репликации могут привести к несогласованности данных. Ознакомьтесь с дополнительными сведениями об именах затронутых исходных и конечных контроллеров домена. Перейдите на панель мониторинга состояния репликации и найдите активные ошибки в затронутых контроллерах домена. Щелкните ошибку, чтобы открыть колонку с дополнительными сведениями о том, как устранить ее.
    Domain controller is unable to find a PDC (Контроллеру домена не удалось найти основной контроллер домена) PDC недоступен через этот контроллер домена. Это повлияет на вход пользователей в систему и приведет к сбою применения изменений групповой политики и синхронизации системного времени.
  • Просмотрите список оповещений для связанных оповещений, которые могут повлиять на ваш PDC, например: контроллер домена не рекламирует.
  • Попытка найти PDC: Запуск
    netdom query fsmo
    на затронутом контроллере домена.
  • Убедитесь, что сеть работает правильно.
    • Domain controller is unable to find a Global Catalog server (Контроллеру домена не удалось найти сервер глобального каталога) Глобальный сервер каталога недоступен из этого контроллера домена. В результате попытки выполнить проверку подлинности через этот контроллер домена будут завершаться сбоем. Проверьте список оповещений для любого контроллера домена не рекламируют оповещения, в которых затронутый сервер может быть сборкой мусора. Если нет оповещений об объявлениях, проверьте наличие глобальных каталогов в записях SRV. Их можно проверить, выполнив следующие действия:
    nltest /dnsgetdc: [ForestName] /gc
    Он должен содержать список контроллеров домена как GCs. Если список пуст, проверьте конфигурацию DNS, чтобы убедиться, что в глобальном каталоге зарегистрированы записи SRV. Контроллер домена может найти их в DNS.
    Сведения об устранении неполадок с глобальными каталогами см. в статье об объявлении глобального сервера каталогов.
    Контроллер домена не может получить доступ к локальной общей папке sysvol SYSVOL содержит важные элементы из объектов групповой политики и скриптов, распространяемых на контроллерах домена в домене. Контроллер домена не будет объявлять себя как контроллер домена и групповые политики не будут применяться. Узнайте , как устранять неполадки с отсутствующими общими папками sysvol и Netlogon
    Domain Controller time is out of sync (Время контроллера домена не синхронизировано) Время на этом контроллере домена выходит за пределы нормального диапазона сдвига по времени. В результате попытки проверки подлинности Kerberos будут завершаться сбоем.
  • Перезапуск службы времени Windows: запуск
    net stop w32time
    затем
    net start w32time
    на затронутом контроллере домена.
  • Время повторной синхронизации: запуск
    w32tm /resync
    на затронутом контроллере домена.
    		•
    Контроллер домена не является рекламой Этот контроллер домена не является правильной рекламой ролей, которые он может выполнять. Это может быть вызвано проблемами репликации, неправильной настройкой DNS, неработающими важными службами или неполной инициализацией сервера. В результате контроллеры домена, члены домена и другие устройства не смогут найти этот контроллер домена. Кроме того, другие контроллеры домена не смогут выполнять репликацию из этого контроллера домена. Проверьте, нет ли в списке оповещений других связанных оповещений, например "Репликация не работает". Время контроллера домена не синхронизируется. Служба Netlogon не запущена. Службы DFSR и(или) NTFRS не выполняются. Определите и устраните неполадки, связанные с DNS. Войдите в систему затронутого контроллера домена. Откройте журнал системных событий. Если в журнале есть события 5774, 5775 или 5781, ознакомьтесь со сведениями об устранении неполадок при сбое регистрации DNS-записей для указателя контроллера домена. Определите и устраните неполадки, связанные со службой времени Windows. Убедитесь, что служба времени Windows работает: выполните команду net start w32time на затронутом контроллере домена. Перезапустите службу времени Windows: выполните команду net stop w32time, а затем — net start w32time на затронутом контроллере домена.
    Служба GPSVC не работает Если служба остановлена или отключена, параметры, настроенные администратором, не будут применяться, а приложения и компоненты не будут управляться с помощью групповой политики. Если служба отключена, могут не работать компоненты и приложения, зависящие от компонента групповых политик. Выполнить
    net start gpsvc
    на затронутом контроллере домена.
    Службы DFSR и (или) NTFRS не выполняются Если службы DFSR и NTFRS остановлены, контроллеры домена не смогут реплицировать данные sysvol. Sysvol Data будет вне согласованности.
  • Если используется DFSR, сделайте следующее:
      Запустите net start dfsr на затронутом контроллере домена.
    1. Если используется NTFRS, сделайте следующее:
        Запустите net start ntfrs на затронутом контроллере домена.
    • Служба Netlogon не запущена На этом контроллере домена невозможно будет выполнить запросы на вход, регистрацию, проверку подлинности и поиск контроллеров домена. Запустите net start netlogon на затронутом контроллере домена.
    Служба W32Time не запущена Если служба времени Windows остановлена, синхронизация даты и времени будет недоступна. Если служба отключена, все явно зависящие от нее службы запустить не удастся. Запустите net start win32Time на затронутом контроллере домена.
    Служба ADWS не запущена Если служба веб-служб Active Directory остановлена или отключена, клиентские приложения, такие как Active Directory PowerShell, не смогут получить доступ к экземплярам службы каталогов, работающим локально на этом сервере, или управлять ими. Запустите net start adws на затронутом контроллере домена.
    Корневой PDC не синхронизируется с NTP-сервера Если вы не настроите на основном контроллере домена синхронизацию времени со временем во внешнем или внутреннем источнике, в эмуляторе основного контроллера домена будут использоваться внутренние часы. Сам эмулятор будет считаться надежным источником времени для леса. Если время не является точным в самом PDC, все компьютеры будут иметь неправильные параметры времени. На затронутом контроллере домена откройте командную строку. Остановите службу времени: net stop w32time
  • Настройте внешний источник времени:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Примечание. Замените time.windows.com на адрес нужного внешнего источника времени. Запустите службу времени:
    net start w32time
    • Domain controller is quarantined (Контроллер домена помещен в карантин) Этот контроллер домена не подключен к другим рабочим контроллерам домена. Это может быть вызвано неправильной настройкой. В результате этот контроллер домена не используется и не будет реплицироваться от кого-либо. Включите входящую и исходящую репликацию: запустите repadmin /options ServerName -DISABLE_INBOUND_REPL на затронутом контроллере домена. Запустите repadmin /options ServerName -DISABLE_OUTBOUND_REPL на затронутом контроллере домена. Создайте подключение репликации к другому контроллеру домена.
    1. Откройте сайты и службы Active Directory: в меню "Пуск" выберите "Администрирование", а затем щелкните "Active Directory — сайты и службы".
    2. В дереве консоли разверните "Сайты", а затем откройте сайт, к которому принадлежит этот контроллер домена.
    3. Разверните контейнер серверов, чтобы открыть список серверов.
    4. Разверните объект сервера для этого контроллера домена.
    5. Щелкните правой кнопкой мыши объект "Параметры NTDS" и щелкните "Создать подключение служб домен Active Directory".
    6. Выберите сервер в списке и нажмите кнопку "ОК".
    Удаление потерянных доменов из Active Directory
    Outbound Replication is Disabled (Исходящая репликация отключена) Контроллеры домена с отключенной исходящей репликацией не смогут распространять какие-либо изменения, возникающие внутри себя. Чтобы включить исходящую репликацию на затронутом контроллере домена, сделайте следующее: нажмите кнопку "Пуск", щелкните пункт "Выполнить", введите команду и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Inbound Replication is Disabled (Входящая репликация отключена) У контроллеров домена с отключенной входящей репликацией нет последних сведений. Это может привести к сбоям при входе. Чтобы включить входящую репликацию на затронутом контроллере домена, сделайте следующее: нажмите кнопку "Пуск", щелкните "Выполнить", введите команду и нажмите кнопку "ОК". Введите следующий текст и нажмите клавишу ВВОД:
    repadmin /options -DISABLE_INBOUND_REPL
    Служба LanmanServer не запущена Если служба отключена, все явно зависящие от нее службы запустить не удастся. Запустите net start LanManServer на затронутом контроллере домена.
    Служба Центра распространения ключей Kerberos не запущена Если служба KDC остановлена, пользователи не смогут выполнять проверку подлинности с помощью этого контроллера домена с помощью протокола проверки подлинности Kerberos версии 5. Запустите net start kdc на затронутом контроллере домена.
    Служба DNS не запущена Если служба DNS остановлена, компьютеры и пользователи, использующие эту службу для работы с DNS, не смогут находить ресурсы. Запустите net start dns на затронутом контроллере домена.
    DC had USN Rollback (Откат номера последовательного обновления контроллера домена) При откате USN изменения объектов и атрибутов не реплицируются контроллерами домена назначения, которые ранее видели USN. Так как конечные контроллеры домена считаются обновленными, в журналах событий службы каталогов, при мониторинге и в средствах диагностики неполадок ошибки репликации не фиксируются. Откат номера последовательного обновления может затронуть репликацию любого объекта или атрибута в любом разделе. Очень часто при этом учетные записи пользователей и компьютеров, созданные в контроллере домена с выполненным откатом, отсутствуют на одном партнере репликации или нескольких. Возможно также, что обновления паролей, полученные в контроллере домена с выполненным откатом, отсутствуют у партнеров репликации. Существует два подхода для восстановления после отката USN:

    Удалите контроллер домена из домена, выполнив следующие действия.

    1. Удалите Active Directory из контроллера домена, чтобы он стал автономным сервером. Дополнительные сведения см. в следующем номере статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      332199. Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно.
    2. Завершите работу сервера с пониженной ролью.
    3. На работоспособном контроллере домена очистите метаданные контроллера домена с пониженной ролью. Дополнительные сведения см. в следующем номере статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      216498. Удаление данных из Active Directory после неудачного понижения роли контроллера домена.
    4. Если на неверно восстановленном контроллере домена размещены роли хозяина операций, переместите эти роли на работоспособный контроллер домена. Дополнительные сведения см. в следующем номере статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      255504. Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена.
    5. Перезапустите сервер с пониженной ролью.
    6. Если вам нужно, установите Active Directory на автономном сервере еще раз.
    7. Если контроллер домена раньше был глобальным каталогом, настройте его как глобальный каталог. Дополнительные сведения см. в следующем номере статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      313994. Как создать или переместить глобальный каталог в Windows 2000.
    8. Если на контроллере домена раньше размещались роли хозяина операций, переместите их обратно на контроллер домена. Дополнительные сведения см. в следующем номере статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
      255504. Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена. Восстановление состояния системы из действительной резервной копии.

    Определите, есть ли действительные резервные копии состояния системы для этого контроллера домена. Если действительная резервная копия состояния системы была создана до неправильного восстановления контроллера домена с выполненным откатом и содержит последние изменения, внесенные на контроллере домена, восстановите состояние системы по самой актуальной резервной копии.

    Вы также можете использовать моментальный снимок в качестве источника резервной копии. Кроме того, можно настроить в базе данных выдачу нового идентификатора вызова с помощью процедуры, описанной в разделе о восстановлении предыдущей версии виртуального жесткого диска контроллера домена без резервной копии состояния системы этой статьи.

    Следующие шаги