Aracılığıyla paylaş

Microsoft Entra Connect Sistem Durumu Uyarı Kataloğu

  • Makale

Microsoft Entra Connect Health hizmeti, kimlik altyapınızın iyi durumda olmadığını belirten uyarılar gönderir. Bu makale, her uyarı için uyarı başlıkları, açıklamalar ve düzeltme adımlarını içerir.
Hata, Uyarı ve Önceden Uyarı, Connect Health hizmetinden oluşturulan uyarıların üç aşamasıdır. Tetiklenen uyarılarda anında işlem yapmanızı kesinlikle öneririz.
Microsoft Entra Connect Health uyarıları bir başarı koşuluyla çözülür. Microsoft Entra Connect Health Aracıları başarı koşullarını düzenli aralıklarla algılar ve hizmete bildirir. Birkaç uyarı için gizleme zamana bağlıdır. Başka bir deyişle, uyarı oluşturma işleminden itibaren 72 saat içinde aynı hata koşulu gözlemlenmezse uyarı otomatik olarak çözülür.

Genel Uyarılar

Uyarı Adı Açıklama Düzeltme
Sistem durumu hizmeti verileri güncel değil Bir veya daha fazla sunucuda çalışan Sistem Durumu Aracıları Sistem Sağlığı Hizmeti bağlı değil ve Sistem Sağlığı Hizmeti bu sunucudan en son verileri almıyor. Sistem Sağlığı Hizmeti tarafından işlenen son veriler 2 Saatten eskidir. Sistem durumu aracılarının gerekli hizmet uç noktalarına giden bağlantısı olduğundan emin olun. Daha Fazla Bilgi

Microsoft Entra Connect (Eşitleme) uyarıları

Uyarı Adı Açıklama Düzeltme
Microsoft Entra Connect Eşitleme Hizmeti çalışmıyor Microsoft Entra ID Sync Windows hizmeti çalışmıyor veya başlatılamıyor. Sonuç olarak, nesneler Microsoft Entra Id ile eşitlenmez. Microsoft Entra ID Eşitleme Hizmetleri'ni başlatma
  1. Başlat'a tıklayın, Çalıştır'a tıklayın, Services.msc yazın ve tamam'a tıklayın.
  2. Microsoft Entra ID Sync hizmetini bulun ve hizmetin başlatılıp başlatılmadığını denetleyin. Hizmet başlatılmadıysa sağ tıklayın ve ardından Başlat'a tıklayın.
Microsoft Entra ID'den içeri aktarılamadı Microsoft Entra Bağlayıcı'dan içeri aktarma işlemi başarısız oldu. Diğer ayrıntılar için içeri aktarma işleminin olay günlüğü hatalarını inceleyin.
Kimlik doğrulama hatası nedeniyle Microsoft Entra ID'ye bağlanamama Kimlik doğrulama hatası nedeniyle Microsoft Entra ID'ye bağlanamama. Sonuç olarak nesneler Microsoft Entra Id ile eşitlenmez. Diğer ayrıntılar için olay günlüğü hatalarını araştırın.
Active Directory'ye dışarı aktarma başarısız oldu Active Directory Bağlayıcısı'na dışarı aktarma işlemi başarısız oldu. Diğer ayrıntılar için dışarı aktarma işleminin olay günlüğü hatalarını inceleyin.
Active Directory'den içeri aktarma başarısız oldu Active Directory'den içeri aktarma başarısız oldu. Sonuç olarak, bu ormandaki bazı etki alanlarındaki nesneler içeri aktarılamayabilir.
  • DC bağlantısını doğrulama
  • İçeri aktarmayı el ile yeniden çalıştırma
  • Daha fazla ayrıntı için içeri aktarma işleminin olay günlüğü hatalarını araştırın.
    		•
    Microsoft Entra ID'ye dışarı aktarılamadı Microsoft Entra Connector'a dışarı aktarma işlemi başarısız oldu. Sonuç olarak, bazı nesneler Microsoft Entra Id'ye başarıyla aktarılamayabilir. Diğer ayrıntılar için dışarı aktarma işleminin olay günlüğü hatalarını inceleyin.
    Parola Karması Eşitleme sinyali son 120 dakikada atlandı Parola Karması Eşitlemesi son 120 dakika içinde Microsoft Entra Id ile bağlanmadı. Sonuç olarak, parolalar Microsoft Entra Id ile eşitlenmez. Microsoft Entra ID Sync Services'i yeniden başlatın:
    Çalışmakta olan tüm eşitleme işlemleri kesintiye uğrar. Devam eden eşitleme işlemi olmadığında aşağıdaki adımları gerçekleştirmeyi seçebilirsiniz.
    1. Başlat'a tıklayın, Çalıştır'a tıklayın, Services.msc yazın ve ardından Tamam'a tıklayın.
    2. Microsoft Entra ID Sync'i bulun, sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.
    Yüksek CPU Kullanımı Algılandı CPU tüketimi yüzdesi, bu sunucuda önerilen eşiği aştı.
  • Bu, CPU tüketiminde geçici bir ani artış olabilir. İzleme bölümünden CPU kullanım eğilimini denetleyin.
  • Sunucudaki en yüksek CPU kullanımını kullanan en iyi işlemleri inceleyin.
    1. Görev Yöneticisi'ni kullanabilir veya aşağıdaki PowerShell Komutunu yürütebilirsiniz:
      get-process | Sort-Object -Descending CPU | Nesne Seç -İlk 10
    2. Yüksek CPU kullanımı kullanan beklenmeyen işlemler varsa, aşağıdaki PowerShell komutunu kullanarak işlemleri durdurun:
      stop-process -ProcessName [işlemin adı]
  • Yukarıdaki listede görülen işlemler sunucuda çalışan hedeflenen işlemlerse ve CPU tüketimi sürekli eşiğin yakınındaysa, bu sunucunun dağıtım gereksinimlerini yeniden değerlendirmeyi göz önünde bulundurun.
  • Başarısızlığa karşı güvenli bir seçenek olarak sunucuyu yeniden başlatmayı düşünebilirsiniz.
    		•
    Yüksek Bellek Tüketimi Algılandı Sunucunun bellek tüketimi yüzdesi, bu sunucuda önerilen eşiğin ötesindedir. Sunucudaki en yüksek belleği kullanan en iyi işlemleri inceleyin. Görev Yöneticisi'ni kullanabilir veya aşağıdaki PowerShell Komutunu yürütebilirsiniz:
    get-process | Sort-Object -Descending WS | Select-Object -İlk 10
    Yüksek bellek kullanan beklenmeyen işlemler varsa, aşağıdaki PowerShell komutunu kullanarak işlemleri durdurun:
    stop-process -ProcessName [işlemin adı]
  • Yukarıdaki listede görülen işlemler sunucuda çalışan hedeflenen işlemlerse, bu sunucunun dağıtım gereksinimlerini yeniden değerlendirmeyi göz önünde bulundurun.
  • Bir failsafe seçeneği olarak sunucuyu yeniden başlatmayı düşünebilirsiniz.
    		•
    Parola Karması Eşitleme çalışmayı durdurdu Parola Karması Eşitleme durduruldu. Sonuç olarak parolalar Microsoft Entra Id ile eşitlenmez. Microsoft Entra ID Sync Services'i yeniden başlatın:
    Çalışmakta olan tüm eşitleme işlemleri kesintiye uğrar. Devam eden eşitleme işlemi olmadığında aşağıdaki adımları gerçekleştirmeyi seçebilirsiniz.
    1. Başlat'a tıklayın, Çalıştır'a tıklayın, Services.msc yazın ve tamam'a tıklayın.
    2. Microsoft Entra ID Sync'i bulun, sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.
    Microsoft Entra Kimliğine dışarı aktarma durduruldu. Yanlışlıkla silme eşiğine ulaşıldı Microsoft Entra Id'ye dışarı aktarma işlemi başarısız oldu. Silinecek nesne sayısı, yapılandırılan eşikten daha fazlaydı. Sonuç olarak, hiçbir nesne dışarı aktarıldı.
  • Silinmek üzere işaretlenen nesne sayısı ayarlanan eşikten büyüktür. Bu sonucun istendiğinden emin olun.
  • Dışarı aktarma işleminin devam etmesi için aşağıdaki adımları uygulayın:
    1. Disable-ADSyncExportDeletionThreshold komutunu çalıştırarak Eşiği Devre Dışı Bırak
    2. Eşitleme Hizmeti Yöneticisi'ni başlatma
    3. Bağlayıcıda Dışarı Aktarmayı türü = Microsoft Entra Id ile çalıştırın
    4. Nesneleri başarıyla dışarı aktardıktan sonra Şunu çalıştırarak Eşiği etkinleştirin: Enable-ADSyncExportDeletionThreshold
    		•

    Active Directory Federasyon Hizmetleri (AD FS) uyarıları

    Uyarı Adı Açıklama Düzeltme
    Test Kimlik Doğrulama İsteği (Yapay İşlem) belirteç alamadı Bu sunucudan başlatılan test kimlik doğrulama istekleri (Yapay İşlemler) 5 yeniden denemeden sonra belirteç alamadı. Bunun nedeni geçici ağ sorunları, AD DS Etki Alanı Denetleyicisi kullanılabilirliği veya yanlış yapılandırılmış bir AD FS sunucusu olabilir. Sonuç olarak, federasyon hizmeti tarafından işlenen kimlik doğrulama istekleri başarısız olabilir. Aracı, Federasyon Hizmeti'nden belirteç almak için Yerel Bilgisayar Hesabı bağlamını kullanır. Sunucunun sistem durumunu doğrulamak için aşağıdaki adımların atıldığından emin olun.
    1. Bu veya grubunuzdaki diğer AD FS sunucuları için ek çözümlenmemiş uyarı olmadığını doğrulayın.
    2. https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx adresinde bulunan AD FS oturum açma sayfasından bir test kullanıcısı ile oturum açarak bu koşulun geçici bir hata olmadığını doğrulayın
    3. 'Office 365' sekmesine https://testconnectivity.microsoft.com gidin ve 'Office 365' sekmesini seçin. 'Office 365 çoklu oturum açma Testi' gerçekleştirin.
    4. Bu sunucudaki bir komut isteminden aşağıdaki komutu yürüterek AD FS hizmet adınızın bu sunucudan çözümlenip çözümlenemediğini doğrulayın. nslookup your_adfs_server_name

    Hizmet adı çözümlenemiyorsa, AD FS hizmetinizin BU sunucunun IP adresiyle bir HOST dosya girişi ekleme yönergeleri için SSS bölümüne bakın. Bu, bu sunucuda çalışan yapay işlem modülünün belirteç istemesine izin verir
    Proxy sunucusu federasyon sunucusuna ulaşamıyor Bu AD FS proxy sunucusu AD FS hizmetine başvuramıyor. Sonuç olarak, bu sunucu tarafından işlenen kimlik doğrulama istekleri başarısız olur. Bu sunucu ile AD FS hizmeti arasındaki bağlantıyı doğrulamak için aşağıdaki adımları gerçekleştirin.
    1. Bu sunucu ile AD FS hizmeti arasındaki güvenlik duvarının doğru yapılandırıldığından emin olun.
    2. AD FS hizmet adı için DNS çözümlemesinin, şirket ağı içinde bulunan AD FS hizmetine uygun şekilde işaret olduğundan emin olun. Bu, bu sunucuya çevre ağında hizmet veren bir DNS sunucusu aracılığıyla veya AD FS hizmet adı için HOSTS dosyalarındaki girdiler aracılığıyla gerçekleştirilebilir.
    3. Bu sunucuda tarayıcıyı açarak ve şu konumdaki federasyon meta veri uç noktasına erişerek ağ bağlantısını doğrulayın: https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    SSL Sertifikasının süresi dolmak üzere Federasyon sunucuları tarafından kullanılan TLS/SSL sertifikasının süresi 90 gün içinde dolmak üzeredir. Süresi dolduktan sonra geçerli bir TLS bağlantısı gerektiren istekler başarısız olur. Örneğin, Microsoft 365 müşterileri için posta istemcileri kimlik doğrulaması yapamaz. Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.
    1. Aşağıdaki gereksinimlerle TLS/SSL sertifikasını alın.
      1. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
      2. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com
    2. Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.
    3. AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun

    Windows Server 2008R2'de AD FS 2.0 için:

    • Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

    Windows Server 2012 R2 ve sonraki sürümlerde AD FS için:

  • Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme
    • AD FS hizmeti sunucuda çalışmıyor Active Directory Federasyon Hizmeti (Windows Hizmeti) bu sunucuda çalışmıyor. Bu sunucuyu hedefleyen tüm istekler başarısız olur. Active Directory Federasyon Hizmeti'ni (Windows Hizmeti) başlatmak için:
    1. Sunucuda yönetici olarak oturum açın.
    2. services.msc dosyasını açın
    3. "Active Directory Federasyon Hizmetleri (AD FS)" bulun
    4. Sağ tıklayın ve "Başlat" seçeneğini belirleyin
    Federasyon Hizmeti için DNS yanlış yapılandırılmış olabilir DNS sunucusu, AD FS grup adı için bir CNAME kaydı kullanacak şekilde yapılandırılabilir. Windows Tümleşik Kimlik Doğrulaması'nın şirket ağınızda sorunsuz çalışması için AD FS için A veya AAAA kaydını kullanmanız önerilir. AD FS grubunun <Farm Name> DNS kayıt türünün CNAME olmadığından emin olun. A veya AAAA kaydı olacak şekilde yapılandırın.
    AD FS Denetimi devre dışı bırakıldı AD FS Denetimi sunucu için devre dışı bırakıldı. Portaldaki AD FS Kullanımı bölümünde bu sunucudan veriler yer almayacaktır. AD FS Denetimleri etkin değilse şu yönergeleri izleyin:
    1. AD FS hizmet hesabına AD FS sunucusunda "Güvenlik denetimleri oluştur" izni verin.
    2. gpedit.msc sunucusunda yerel güvenlik ilkesini açın.
    3. "Bilgisayar Yapılandırması\Windows Ayarları\Yerel İlkeler\Kullanıcı Hakları Ataması" bölümüne gidin
    4. "Güvenlik denetimleri oluşturma" hakkına sahip olmak için AD FS Hizmet Hesabını ekleyin.
    5. Komut isteminden aşağıdaki komutu çalıştırın:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Federasyon Hizmeti Özelliklerini Başarılı ve Başarısız Denetimlerini içerecek şekilde güncelleştirin.
    7. AD FS konsolunda "Federasyon Hizmeti Özelliklerini Düzenle" seçeneğini belirleyin
    8. "Federasyon Hizmeti Özellikleri" iletişim kutusunda Olaylar sekmesini seçin ve "Başarılı Denetimler" ve "Hata Denetimleri" öğesini seçin

    Bu adımların ardından AD FS Denetim Olayları Olay Görüntüleyicisi görünür olmalıdır. Doğrulamak için:

    1. Olay Görüntüleyicisi/ Windows Günlükleri /Güvenlik'e gidin.
    2. Geçerli Günlükleri Filtrele'yi seçin ve Olay kaynakları açılan listesinden AD FS Denetimi'ni seçin. AD FS denetiminin etkin olduğu etkin bir AD FS sunucusu için, yukarıdaki filtreleme için olaylar görünür olmalıdır.

    Bu yönergeleri daha önce izlediyseniz ancak yine de bu uyarıyı görüyorsanız, bir Grup İlkesi Nesnesi AD FS denetimini devre dışı bırakıyor olabilir. Kök neden aşağıdakilerden biri olabilir:

    1. AD FS hizmet hesabının Güvenlik Denetimleri Oluşturma hakkı kaldırılıyor.
    2. Grup İlkesi Nesnesi'ndeki özel bir betik, "Uygulama Oluşturuldu" temelinde başarı ve başarısızlık denetimlerini devre dışı bırakmaktadır.
    3. AD FS yapılandırması Başarılı/Başarısız denetimleri oluşturmak için etkinleştirilmedi.
    AD FS SSL sertifikası otomatik olarak imzalandı Şu anda AD FS grubunuzda TLS/SSL sertifikası olarak otomatik olarak imzalanan bir sertifika kullanıyorsunuz. Sonuç olarak, Microsoft 365 için posta istemcisi kimlik doğrulaması başarısız olur

    Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.

    1. Aşağıdaki gereksinimlere sahip genel olarak güvenilen bir TLS/SSL sertifikası alın.
    2. Sertifika yükleme dosyası özel anahtarını içerir.
    3. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
    4. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com

    Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.

      AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun.
      Windows Server 2008R2'de AD FS 2.0 için:
    1. Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

      2. Windows Server 2012 R2 veya sonraki sürümlerinde AD FS için:
    2. Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme
    Ara sunucu ile federasyon sunucusu arasındaki güven geçerli değil Federasyon sunucusu proxy'si ile Federasyon Hizmeti arasındaki güven oluşturulamadı veya yenilenemedi. Proxy sunucusunda Ara Sunucu Güven Sertifikası'nı güncelleştirin. Ara Sunucu Yapılandırma Sihirbazı'nı yeniden çalıştırın.
    AD FS için Extranet Kilitleme Koruması Devre Dışı Bırakıldı Extranet Kilitleme Koruması özelliği AD FS grubunuzda DEVRE DIŞIDIR. Bu özellik, kullanıcılarınızı İnternet'ten gelen deneme yanılma parola saldırılarına karşı korur ve AD DS hesabı kilitleme ilkeleri etkin olduğunda kullanıcılarınıza yönelik hizmet reddi saldırılarını önler. Bu özellik etkinleştirildiğinde, bir kullanıcı için başarısız extranet oturum açma girişimlerinin sayısı (WAP sunucusu ve AD FS aracılığıyla yapılan oturum açma girişimleri) 'ExtranetLockoutThreshold' değerini aşarsa, AD FS sunucuları 'ExtranetObservationWindow' için diğer oturum açma girişimlerini işlemeyi durdurur Bu özelliği AD FS sunucularınızda etkinleştirmenizi kesinlikle öneririz. AD FS Extranet Kilitleme Koruması'nı varsayılan değerlerle etkinleştirmek için aşağıdaki komutu çalıştırın.
    Set-AdfsProperties -EnableExtranetLockout $true

    Kullanıcılarınız için yapılandırılmış AD kilitleme ilkeleriniz varsa, 'ExtranetLockoutThreshold' özelliğinin AD DS kilitleme eşiğinizin altındaki bir değere ayarlandığından emin olun. Bu, AD FS eşiğini aşan isteklerin bırakılmasını ve AD DS sunucularınızda hiçbir zaman doğrulanmasını sağlar.
    AD FS hizmet hesabı için geçersiz Hizmet Asıl Adı (SPN) Federasyon Hizmeti hesabının Hizmet Asıl Adı kayıtlı değil veya benzersiz değil. Sonuç olarak, etki alanına katılmış istemcilerden Windows Tümleşik Kimlik Doğrulaması sorunsuz olmayabilir. Hizmet Sorumlularını listelemek için [SETSPN -L ServiceAccountName] kullanın.
    Yinelenen Hizmet Asıl Adlarını denetlemek için [SETSPN -X] kullanın.

    AD FS hizmet hesabı için SPN yineleniyorsa, [SETSPN -d service/namehostname] kullanarak yinelenen hesaptan SPN'yi kaldırın

    SPN ayarlanmamışsa Federasyon Hizmeti Hesabı için istenen SPN'yi ayarlamak için [SETSPN -s {Desired-SPN} {domain_name}{service_account}] kullanın.
    Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi dolmak üzere Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi 90 günden kısa bir süre içinde dolmak üzere. AD FS, güvenilen talep sağlayıcılarından gelen belirteçlerin şifresini çözemez. AD FS şifrelenmiş SSO tanımlama bilgilerinin şifresini çözemiyor. Son kullanıcılar kaynaklara erişmek için kimlik doğrulaması yapamaz. Otomatik sertifika dağıtımı etkinleştirilirse AD FS, Belirteç Şifre Çözme Sertifikası'nı yönetir.

    Sertifikanızı el ile yönetiyorsanız aşağıdaki yönergeleri izleyin. Yeni bir Belirteç Şifre Çözme Sertifikası alın.

    1. Gelişmiş Anahtar Kullanımı'nın (EKU) "Anahtar Şifrelemesi" içerdiğinden emin olun
    2. Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
    3. Federasyon Sunucularınızın ve Talep Sağlayıcı iş ortaklarınızın Belirteç Şifre Çözme sertifikanızı doğrularken güvenilen bir kök sertifika yetkilisine zincirleme yapabilmesi gerektiğini unutmayın.
    Talep Sağlayıcısı iş ortaklarınızın yeni Belirteç Şifre Çözme sertifikasına nasıl güveneceğine karar verme
    1. İş ortaklarının sertifikayı güncelleştirdikten sonra Federasyon Meta Verilerini çekmesini isteyin.
    2. Yeni sertifikanın ortak anahtarını paylaşın. (.cer dosyası) iş ortaklarıyla birlikte. Talep Sağlayıcısı iş ortağının AD FS sunucusunda, Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın. Güven İlişkileri/Bağlı Olan Taraf Güvenleri'nin altında sizin için oluşturulan güveni seçin. Özellikler/Şifreleme'nin altında "Gözat" seçeneğine tıklayarak yeni Belirteç Şifre Çözme sertifikasını seçin ve Tamam'a tıklayın.
    Sertifikayı Federasyon Sunucunuzun her birine yerel sertifika deposuna yükleyin.
    • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    Federasyon hizmeti hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun. Yeni sertifikayı AD FS'ye ekleyin.
    1. Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatma
    2. Hizmet'i genişletin ve Sertifikalar'ı seçin
    3. Eylemler bölmesinde Belirteç Şifre Çözme Sertifikası Ekle'ye tıklayın
    4. Size Belirteç Şifre Çözme için geçerli sertifikaların bir listesi gösterilir. Yeni sertifikanızın listede sunulmadığını fark ederseniz, geri dönüp sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar kişisel deposunda olduğundan ve sertifikada Anahtar Şifrelemesinin Genişletilmiş Anahtar Kullanımı olduğundan emin olmanız gerekir.
    5. Yeni Token-Decrypting sertifikanızı seçin ve Tamam'a tıklayın.
    Yeni Belirteç Şifre Çözme Sertifikasını Birincil olarak ayarlayın.
    1. AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç Şifre Çözme altında iki sertifikanın listelendiğini görmeniz gerekir: mevcut ve yeni sertifika.
    2. Yeni Token-Decrypting sertifikanızı seçin, sağ tıklayın ve Birincil olarak ayarla'yı seçin.
    3. Dağıtım amacıyla eski sertifikayı ikincil olarak bırakın. Eski sertifikayı, artık dağıtım için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamanız gerekir.
    Birincil AD FS Belirteç İmzalama sertifikasının süresi dolmak üzere AD FS belirteci imzalama sertifikasının süresi 90 gün içinde dolmak üzere. Ad FS, bu sertifika geçerli olmadığında imzalı belirteçler veremez. Yeni bir Belirteç İmzalama Sertifikası alın.
    1. Gelişmiş Anahtar Kullanımı'nın (EKU) "Dijital İmza" içerdiğinden emin olun
    2. Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
    3. Federasyon Sunucularınızın, Kaynak Ortağı Federasyon Sunucularınızın ve Bağlı Olan Taraf Uygulama sunucularınızın Belirteç İmzalama sertifikanızı doğrularken güvenilen bir kök sertifika yetkilisine zincirleme yapabilmesi gerektiğini unutmayın.
    Sertifikayı her Federasyon Sunucusundaki yerel sertifika deposuna yükleyin.
    • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    Federasyon Hizmeti Hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun. Yeni sertifikayı AD FS'ye ekleyin.
    1. Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın.
    2. Hizmet'i genişletin ve Sertifikalar'ı seçin
    3. Eylemler bölmesinde Belirteç İmzalama Sertifikası Ekle... öğesine tıklayın.
    4. Size Belirteç İmzalama için geçerli sertifikaların listesi gösterilir. Yeni sertifikanızın listede sunulmadığını fark ederseniz, geri dönüp sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar Kişisel deposunda olduğundan ve sertifikanın Dijital İmza KU'sunun olduğundan emin olmanız gerekir.
    5. Yeni Belirteç İmzalama sertifikanızı seçin ve Tamam'a tıklayın
    Belirteç İmzalama Sertifikası'ndaki değişiklik hakkında tüm Bağlı Olan Tarafları bilgilendirin.
    1. AD FS federasyon meta verilerini kullanan Bağlı Taraflar, yeni sertifikayı kullanmaya başlamak için yeni Federasyon Meta Verilerini çekmelidir.
    2. AD FS federasyon meta verilerini kullanmayan Bağlı Taraflar, yeni Belirteç İmzalama Sertifikasının ortak anahtarını el ile güncelleştirmelidir. .cer dosyasını Bağlı Olan Taraflarla paylaşın.
      3. Yeni Belirteç İmzalama Sertifikasını Birincil olarak ayarlayın.
      1. AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç İmzalama altında listelenen iki sertifikayı görmeniz gerekir: mevcut ve yeni sertifika.
      2. Yeni Belirteç İmzalama sertifikanızı seçin, sağ tıklayın ve Birincil olarak ayarla'yı seçin
      3. Geçiş amacıyla eski sertifikayı ikincil olarak bırakın. Eski sertifikayı, artık geçiş için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamalısınız. Geçerli kullanıcıların SSO oturumlarının imzalandığını unutmayın. Geçerli AD FS Proxy Güveni ilişkileri, eski sertifika kullanılarak imzalanan ve şifrelenen belirteçleri kullanır.
    AD FS SSL sertifikası yerel sertifika deposunda bulunamadı AD FS veritabanında TLS/SSL sertifikası olarak yapılandırılmış parmak izine sahip sertifika yerel sertifika deposunda bulunamadı. Sonuç olarak, TLS üzerinden yapılan tüm kimlik doğrulama istekleri başarısız olur. Örneğin, Microsoft 365 için posta istemcisi kimlik doğrulaması başarısız olur. Yerel sertifika deposunda yapılandırılan parmak iziyle sertifikayı yükleyin.
    SSL Sertifikasının süresi doldu AD FS hizmetinin TLS/SSL sertifikasının süresi doldu. Sonuç olarak, geçerli bir TLS bağlantısı gerektiren tüm kimlik doğrulama istekleri başarısız olur. Örneğin: posta istemcisi kimlik doğrulaması Microsoft 365 için kimlik doğrulaması yapamaz. Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.
    1. Aşağıdaki gereksinimlerle TLS/SSL sertifikasını alın.
    2. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
    3. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com
    4. Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.
    5. AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun

    Windows Server 2008R2'de AD FS 2.0 için:

    • Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

    Windows Server 2012 R2 veya sonraki sürümlerinde AD FS için: Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme

    Microsoft Entra Id (Microsoft 365 için) için gerekli uç noktalar etkin değil Exchange Online Services, Microsoft Entra Id ve Microsoft 365 için gereken aşağıdaki uç noktalar kümesi federasyon hizmeti için etkinleştirilmez:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Federasyon hizmetinizde Microsoft Cloud Services için gerekli uç noktaları etkinleştirin.
    Windows Server 2012R2 veya sonraki sürümlerinde AD FS için
  • Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme

    • Federasyon sunucusu AD FS Yapılandırma Veritabanına bağlanamadı AD FS hizmet hesabı, AD FS yapılandırma veritabanına bağlanırken sorunlarla karşılaşıyor. Sonuç olarak, bu bilgisayardaki AD FS hizmeti beklendiği gibi çalışmayabilir.
  • AD FS hizmet hesabının yapılandırma veritabanına erişimi olduğundan emin olun.
  • AD FS Yapılandırma Veritabanı hizmetinin kullanılabilir ve erişilebilir olduğundan emin olun.
    • Gerekli SSL bağlamaları eksik veya yapılandırılmamış Bu federasyon sunucusunun kimlik doğrulamasını başarıyla gerçekleştirmesi için gereken TLS bağlamaları yanlış yapılandırılmış. Sonuç olarak, AD FS gelen istekleri işleyemez. Windows Server 2012 R2 için
    Yükseltilmiş bir yönetici komut istemi açın ve aşağıdaki komutları yürütür:
    1. Geçerli TLS bağlamasını görüntülemek için: Get-AdfsSslCertificate
    2. Yeni bağlamalar eklemek için: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={0000111-aaaa-2222-bbbb-3333cccccc4444} certstorename=MY
    Birincil AD FS Belirteci İmzalama sertifikasının süresi doldu AD FS Belirteç İmzalama sertifikasının süresi doldu. Ad FS, bu sertifika geçerli olmadığında imzalı belirteçler veremez. Otomatik sertifika geçişi etkinleştirilirse, AD FS Belirteç İmzalama Sertifikası'nın güncelleştirilmesini yönetir.

    Sertifikanızı el ile yönetiyorsanız aşağıdaki yönergeleri izleyin.

    1. Yeni bir Belirteç İmzalama Sertifikası alın.
      1. Gelişmiş Anahtar Kullanımı'nın (EKU) "Dijital İmza" içerdiğinden emin olun
      2. Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
      3. Belirteç İmzalama sertifikanızı doğrularken Federasyon Sunucularınızın, Kaynak Ortağı Federasyon Sunucularınızın ve Bağlı Taraf Uygulama sunucularınızın güvenilir bir kök sertifika yetkilisine zincirleme yapabilmesi gerektiğini unutmayın.
    2. Sertifikayı her Federasyon Sunucusundaki yerel sertifika deposuna yükleyin.
      • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    3. Federasyon Hizmeti Hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun.
    4. Yeni sertifikayı AD FS'ye ekleyin.
      1. Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın.
      2. Hizmet'i genişletin ve Sertifikalar'ı seçin
      3. Eylemler bölmesinde Belirteç İmzalama Sertifikası Ekle... öğesine tıklayın.
      4. Size Belirteç İmzalama için geçerli sertifikaların listesi gösterilir. Yeni sertifikanızın listede sunulmadığını fark ederseniz, geri dönüp sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar Kişisel deposunda olduğundan ve sertifikanın Dijital İmza KU'sunun olduğundan emin olmanız gerekir.
      5. Yeni Belirteç İmzalama sertifikanızı seçin ve Tamam'a tıklayın
    5. Belirteç İmzalama Sertifikası'ndaki değişiklik hakkında tüm Bağlı Olan Tarafları bilgilendirin.
      1. AD FS federasyon meta verilerini kullanan Bağlı Taraflar, yeni sertifikayı kullanmaya başlamak için yeni Federasyon Meta Verilerini çekmelidir.
      2. AD FS federasyon meta verilerini kullanmayan Bağlı Taraflar, yeni Belirteç İmzalama Sertifikasının ortak anahtarını el ile güncelleştirmelidir. .cer dosyasını Bağlı Olan Taraflarla paylaşın.
    6. Yeni Belirteç İmzalama Sertifikasını Birincil olarak ayarlayın.
      1. AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç İmzalama altında listelenen iki sertifikayı görmeniz gerekir: mevcut ve yeni sertifika.
      2. Yeni Belirteç İmzalama sertifikanızı seçin, sağ tıklayın ve Birincil olarak ayarla'yı seçin
      3. Geçiş amacıyla eski sertifikayı ikincil olarak bırakın. Eski sertifikayı, artık geçiş için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamalısınız. Geçerli kullanıcıların SSO oturumlarının imzalandığını unutmayın. Geçerli AD FS Proxy Güveni ilişkileri, eski sertifika kullanılarak imzalanan ve şifrelenen belirteçleri kullanır.
    Ara sunucu tıkanıklık denetimi isteklerini bırakıyor Bu ara sunucu şu anda bu ara sunucu ile federasyon sunucusu arasındaki normal gecikme süresinden daha yüksek olduğundan extranetten istekleri bırakıyor. Sonuç olarak, AD FS Proxy sunucusu tarafından işlenen kimlik doğrulama isteklerinin belirli bir bölümü başarısız olabilir.
  • Federasyon Proxy Sunucusu ile Federasyon Sunucuları arasındaki ağ gecikme süresinin kabul edilebilir aralık içinde olup olmadığını doğrulayın. "Belirteç İsteği Gecikme Süresi" eğilim değerleri için İzleme Bölümüne bakın. [1500 ms] değerinden büyük bir gecikme süresi yüksek gecikme süresi olarak değerlendirilmelidir. Yüksek gecikme süresi gözlemlenirse, AD FS ile AD FS Proxy sunucuları arasındaki ağda herhangi bir bağlantı sorunu olmadığından emin olun.
  • Federasyon Sunucularının kimlik doğrulama istekleriyle aşırı yüklenmediğinden emin olun. İzleme Bölümü saniye başına Belirteç İstekleri, CPU kullanımı ve Bellek tüketimi için eğilimli görünümler sağlar.
  • Yukarıdaki öğeler doğrulandıysa ve bu sorun hala görülüyorsa, ilgili bağlantılardan gelen yönergelere göre Federasyon Proxy Sunucularının her birinde tıkanıklık önleme ayarını ayarlayın.
    		•
    AD FS hizmet hesabının sertifikanın özel anahtarından birine erişimi reddedildi. AD FS hizmet hesabının bu bilgisayardaki AD FS sertifikalarından birinin özel anahtarına erişimi yoktur. AD FS hizmet hesabına yerel bilgisayar sertifika deposunda depolanan TLS, belirteç imzalama ve belirteç şifre çözme sertifikalarına erişim sağlandığından emin olun.
    1. Komut Satırı'ndan MMC yazın.
    2. Ek Bileşen> Ekle/Kaldır'a gidin
    3. Sertifikalar'ı seçin ve Ekle'ye tıklayın. -> Bilgisayar Hesabı'ni seçin ve İleri'ye tıklayın. -> Yerel Bilgisayar'ı seçin ve Son'a tıklayın. Tamam'a tıklayın.

    Sertifikalar(Yerel Bilgisayar)/Kişisel/Sertifikalar'ı açın.AD FS tarafından kullanılan tüm sertifikalar için:
    1. Sertifikaya sağ tıklayın.
    2. Tüm Görevler -> Özel Anahtarları Yönet'i seçin.
    3. Güvenlik Sekmesinde Grup veya kullanıcı adları altında AD FS hizmet hesabının mevcut olduğundan emin olun. Ekle'yi seçmezseniz AD FS hizmet hesabını ekleyin.
    4. AD FS hizmet hesabını seçin ve "AD FS Hizmet Hesabı Adı> İzinleri<" altında Okuma iznine (onay işareti) izin verildiğinden emin olun.
    AD FS SSL sertifikasının özel anahtarı yok AD FS TLS/SSL sertifikası özel anahtar olmadan yüklendi. Sonuç olarak SSL üzerinden yapılan tüm kimlik doğrulama istekleri başarısız olur. Örneğin, Microsoft 365 için posta istemcisi kimlik doğrulaması başarısız olur. Her AD FS sunucusunda TLS/SSL sertifikasını güncelleştirin.
    1. Aşağıdaki gereksinimlere sahip genel olarak güvenilen bir TLS/SSL sertifikası alın.
      1. Sertifika yükleme dosyası özel anahtarını içerir.
      2. Gelişmiş Anahtar Kullanımı en az Sunucu Kimlik Doğrulaması'dır.
      3. Sertifika Konusu veya Konu Alternatif Adı (SAN), Federasyon Hizmeti'nin DNS adını veya uygun joker karakteri içerir. Örneğin: sso.contoso.com veya *.contoso.com
    2. Yeni TLS/SSL sertifikasını yerel makine sertifika deposundaki her sunucuya yükleyin.
    3. AD FS Hizmet Hesabının sertifikanın Özel Anahtarına okuma erişimi olduğundan emin olun

    Windows Server 2008R2'de AD FS 2.0 için:

    • Yeni TLS/SSL sertifikasını, Federasyon Hizmeti'ni barındıran IIS'deki web sitesine bağlayın. Bu adımı her Federasyon Sunucusu ve Federasyon Sunucusu proxy'sinde gerçekleştirmeniz gerektiğini unutmayın.

    Windows Server 2012 R2 veya sonraki sürümlerinde AD FS için:

  • Bkz. AD FS ve WAP'de SSL Sertifikalarını Yönetme
    • Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi doldu Birincil AD FS Belirteci Şifre Çözme sertifikasının süresi doldu. AD FS, güvenilen talep sağlayıcılarından gelen belirteçlerin şifresini çözemez. AD FS şifrelenmiş SSO tanımlama bilgilerinin şifresini çözemiyor. Son kullanıcılar kaynaklara erişmek için kimlik doğrulaması yapamaz.

    Otomatik sertifika dağıtımı etkinleştirilirse AD FS, Belirteç Şifre Çözme Sertifikası'nı yönetir.

    Sertifikanızı el ile yönetiyorsanız aşağıdaki yönergeleri izleyin.

    1. Yeni bir Belirteç Şifre Çözme Sertifikası alın.
      • Gelişmiş Anahtar Kullanımı'nın (EKU) "Anahtar Şifrelemesi" içerdiğinden emin olun.
      • Konu veya Konu Alternatif Adı 'nın (SAN) herhangi bir kısıtlaması yoktur.
      • Federasyon Sunucularınızın ve Talep Sağlayıcı iş ortaklarınızın Belirteç Şifre Çözme sertifikanızı doğrularken güvenilen bir kök sertifika yetkilisine zincirleme yapabilmesi gerektiğini unutmayın.
    2. Talep Sağlayıcısı iş ortaklarınızın yeni Belirteç Şifre Çözme sertifikasına nasıl güveneceğine karar verme
      • İş ortaklarının sertifikayı güncelleştirdikten sonra Federasyon Meta Verilerini çekmesini isteyin.
      • Yeni sertifikanın ortak anahtarını paylaşın. (.cer dosyası) iş ortaklarıyla birlikte. Talep Sağlayıcısı iş ortağının AD FS sunucusunda, Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatın. Güven İlişkileri/Bağlı Olan Taraf Güvenleri'nin altında sizin için oluşturulan güveni seçin. Özellikler/Şifreleme'nin altında "Gözat" seçeneğine tıklayarak yeni Belirteç Şifre Çözme sertifikasını seçin ve Tamam'a tıklayın.
    3. Sertifikayı Federasyon Sunucunuzun her birine yerel sertifika deposuna yükleyin.
      • Sertifika yükleme dosyasının her sunucuda sertifikanın Özel Anahtarına sahip olduğundan emin olun.
    4. Federasyon hizmeti hesabının yeni sertifikanın özel anahtarına erişimi olduğundan emin olun.
    5. Yeni sertifikayı AD FS'ye ekleyin.
      • Yönetim Araçları menüsünden AD FS Yönetimi'ni başlatma
      • Hizmet'i genişletin ve Sertifikalar'ı seçin
      • Eylemler bölmesinde Belirteç Şifre Çözme Sertifikası Ekle'ye tıklayın
      • Size Belirteç Şifre Çözme için geçerli sertifikaların bir listesi gösterilir. Yeni sertifikanızın listede sunulmadığını fark ederseniz, geri dönüp sertifikanın özel anahtarla ilişkilendirilmiş yerel bilgisayar kişisel deposunda olduğundan ve sertifikada Anahtar Şifrelemesinin Genişletilmiş Anahtar Kullanımı olduğundan emin olmanız gerekir.
      • Yeni Token-Decrypting sertifikanızı seçin ve Tamam'a tıklayın.
    6. Yeni Belirteç Şifre Çözme Sertifikasını Birincil olarak ayarlayın.
      • AD FS Yönetimi'ndeki Sertifikalar düğümü seçili durumdayken, Belirteç Şifre Çözme altında iki sertifikanın listelendiğini görmeniz gerekir: mevcut ve yeni sertifika.
      • Yeni Token-Decrypting sertifikanızı seçin, sağ tıklayın ve Birincil olarak ayarla'yı seçin.
      • Dağıtım amacıyla eski sertifikayı ikincil olarak bırakın. Eski sertifikayı, artık dağıtım için gerekli olmadığından emin olduktan sonra veya sertifikanın süresi dolduğunda kaldırmayı planlamanız gerekir.

    Active Directory Etki Alanı Hizmetleri için uyarılar

    Uyarı Adı Açıklama Düzeltme
    Etki alanı denetleyicisine LDAP ping ile ulaşılamıyor Etki Alanı Denetleyicisine LDAP Ping ile ulaşılamıyor. Bunun nedeni Ağ sorunları veya makine sorunları olabilir. Sonuç olarak LDAP Ping'leri başarısız olur.
  • İlgili uyarılar için uyarı listesini inceleyin, örneğin: Etki Alanı Denetleyicisi reklam değildir.
  • Etkilenen Etki Alanı Denetleyicisi'nin yeterli disk alanına sahip olduğundan emin olun. Yetersiz alan, DC'nin kendisini LDAP sunucusu olarak tanıtmasını durdurur.
  • PDC'yi bulmaya çalışma: Çalıştır
    etkilenen Etki Alanı Denetleyicisi'nde netdom sorgusu fsmo
    .
  • Fiziksel ağın düzgün yapılandırıldığından/bağlandığından emin olun.
    • Active Directory çoğaltma hatasıyla karşılaşıldı Bu etki alanı denetleyicisi, Çoğaltma Durumu Panosu'na giderek bulunabilen çoğaltma sorunlarıyla karşılaşıyor. Çoğaltma hataları yanlış yapılandırma veya diğer ilgili sorunlara bağlı olabilir. İşlenmemiş çoğaltma hataları veri tutarsızlığına neden olabilir. Etkilenen kaynak ve hedef DC'lerin adları için ek ayrıntılara bakın. Çoğaltma Durumu panosuna gidin ve etkilenen DC'lerde etkin hataları arayın. Bu hatayı düzeltme hakkında daha fazla ayrıntı içeren bir dikey pencere açmak için hataya tıklayın.
    Etki alanı denetleyicisi PDC'yi bulamıyor PdC'ye bu etki alanı denetleyicisi aracılığıyla erişilemez. Bu, etkilenen kullanıcı oturum açma işlemlerine, uygulanmamış grup ilkesi değişikliklerine ve sistem zamanı eşitleme hatasına yol açar.
  • PDC'nizi etkileyebilecek ilgili uyarıların uyarı listesini inceleyin; örneğin: Etki Alanı Denetleyicisi reklam vermiyor.
  • PDC'yi bulmaya çalışma: Çalıştır
    etkilenen Etki Alanı Denetleyicisi'nde netdom sorgusu fsmo
    .
  • Ağın düzgün çalıştığından emin olun.
    • Etki alanı denetleyicisi Genel Katalog sunucusunu bulamıyor Genel katalog sunucusuna bu etki alanı denetleyicisinden ulaşılamıyor. Bu, bu Etki Alanı Denetleyicisi aracılığıyla denenen kimlik doğrulamalarının başarısız olmasıyla sonuçlanır. Etki Alanı Denetleyicisi uyarı listesini inceleyin, etkilenen sunucunun GC olabileceği uyarıların reklamını yapmıyor. Reklam uyarısı yoksa, GC'ler için SRV kayıtlarını denetleyin. Aşağıdakileri çalıştırarak bunları de kontrol edebilirsiniz:
    nltest /dnsgetdc: [ForestName] /gc
    Reklamını GC olarak listelemelidir. Liste boşsa, GC'nin SRV kayıtlarını kaydettiğinden emin olmak için DNS yapılandırmasını denetleyin. DC bunları DNS'de bulabilir.
    Genel Kataloglarla ilgili sorunları gidermek için bkz . Genel Katalog Sunucusu Olarak Reklam Verme.
    Etki alanı denetleyicisi yerel sysvol paylaşımına erişemiyor Sysvol, bir etki alanının DC'leri içinde dağıtılacak Grup İlkesi Nesneleri ve betiklerinden önemli öğeler içerir. DC kendisini DC olarak tanıtmayacak ve Grup İlkeleri uygulanmayacaktır. Bkz. Eksik sysvol ve Netlogon paylaşımlarının sorunlarını giderme
    Etki Alanı Denetleyicisi süresi eşitlenmemiş Bu Etki Alanı Denetleyicisi'nin saati normal Zaman Dengesizliği aralığının dışında. Sonuç olarak Kerberos kimlik doğrulamaları başarısız olur.
  • Windows Saat Hizmetini Yeniden Başlat: Çalıştır
    net stop w32time
    then
    etkilenen Etki Alanı Denetleyicisinde net start w32time
    .
  • Yeniden Eşitleme Zamanı: Çalıştırma
    etkilenen Etki Alanı Denetleyicisinde w32tm /resync
    .
    		•
    Etki alanı denetleyicisi reklam vermiyor Bu etki alanı denetleyicisi, gerçekleştirebilecekleri rolleri düzgün şekilde tanıtmıyor. Bunun nedeni çoğaltma, DNS yanlış yapılandırması, kritik hizmetlerin çalışmaması veya sunucunun tam olarak başlatılmaması olabilir. Sonuç olarak, etki alanı denetleyicileri, etki alanı üyeleri ve diğer cihazlar bu etki alanı denetleyicisini bulamaz. Ayrıca, diğer etki alanı denetleyicileri bu etki alanı denetleyicisinden çoğaltamayabilir. Aşağıdakiler gibi diğer ilgili uyarılar için uyarı listesini inceleyin: Çoğaltma bozuk. Etki alanı denetleyicisi süresi eşitlenmemiş. Netlogon hizmeti çalışmıyor. DFSR ve/veya NTFRS hizmetleri çalışmıyor. İlgili DNS sorunlarını belirleyin ve giderin: Etkilenen Etki Alanı denetleyicisinde oturum açma. Sistem Olay Günlüğü'nü açın. 5774, 5775 veya 5781 olayları varsa, bkz . Etki Alanı Denetleyicisi Bulucu DNS Kayıtları Kayıt Hatası Sorunlarını Giderme İlgili Windows Saat Hizmeti Sorunlarını Belirleme ve giderme: Windows Saat hizmetinin çalıştığından emin olun: Etkilenen Etki Alanı Denetleyicisinde 'net start w32time' komutunu çalıştırın. Windows Saat Hizmeti'ni yeniden başlatın: Etkilenen Etki Alanı Denetleyicisinde 'net stop w32time' komutunu ve ardından 'net start w32time' komutunu çalıştırın.
    GPSVC hizmeti çalışmıyor Hizmet durdurulur veya devre dışı bırakılırsa, yönetici tarafından yapılandırılan ayarlar uygulanmaz ve uygulamalar ve bileşenler Grup İlkesi aracılığıyla yönetilemez. Hizmet devre dışı bırakılırsa, Grup İlkesi bileşenine bağımlı olan bileşenler veya uygulamalar işlevsel olmayabilir. komutunu çalıştırın
    etkilenen Etki Alanı Denetleyicisinde net start gpsvc
    .
    DFSR ve/veya NTFRS hizmetleri çalışmıyor Hem DFSR hem de NTFRS hizmetleri durdurulursa, Etki Alanı Denetleyicileri sysvol verilerini çoğaltamaz. sysvol Verileri tutarlılığı tükenecek.
  • DFSR kullanıyorsanız:
      Etkilenen Etki Alanı Denetleyicisinde 'net start dfsr' komutunu çalıştırın.
    1. NTFRS kullanılıyorsa:
        Etkilenen Etki Alanı Denetleyicisi'nde 'net start ntfrs' komutunu çalıştırın.
    • Netlogon hizmeti çalışmıyor Bu DC'de oturum açma istekleri, kayıt, kimlik doğrulaması ve etki alanı denetleyicilerinin bulunması kullanılamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start netlogon' komutunu çalıştırın
    W32Time hizmeti çalışmıyor Windows Saat Hizmeti durdurulursa, tarih ve saat eşitlemesi kullanılamaz. Bu hizmet devre dışı bırakılırsa, bu hizmete açıkça bağımlı olan hizmetler başlatılamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start win32Time' komutunu çalıştırın
    ADWS hizmeti çalışmıyor Active Directory Web Hizmetleri hizmeti durdurulur veya devre dışı bırakılırsa, Active Directory PowerShell gibi istemci uygulamaları bu sunucuda yerel olarak çalışan dizin hizmeti örneklerine erişemez veya bunları yönetemez. Etkilenen Etki Alanı Denetleyicisinde 'net start adws' komutunu çalıştırın
    Kök PDC NTP Sunucusundan Eşitlenmiyor PDC'yi bir dış veya iç zaman kaynağından saati eşitlemek üzere yapılandırmazsanız, PDC öykünücüsü iç saatini kullanır ve kendisi ormanın güvenilir zaman kaynağıdır. PDC'nin kendisinde zaman doğru değilse, tüm bilgisayarların zaman ayarları yanlış olur. Etkilenen Etki Alanı Denetleyicisinde bir komut istemi açın. Zaman hizmetini durdurma: net stop w32time
  • Dış zaman kaynağını yapılandırın:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Not: time.windows.com istediğiniz dış zaman kaynağının adresiyle değiştirin. Time hizmetini başlatın:
    net start w32time
    • Etki alanı denetleyicisi karantinaya alındı Bu Etki Alanı Denetleyicisi, çalışan diğer Etki Alanı Denetleyicilerinin hiçbirine bağlı değil. Bunun nedeni yanlış yapılandırma olabilir. Sonuç olarak, bu DC kullanılmaz ve herhangi bir dc'den/hiç kimseye çoğaltılamaz. Gelen ve giden çoğaltmayı etkinleştir: Etkilenen Etki Alanı Denetleyicisinde 'repadmin /options ServerName -DISABLE_INBOUND_REPL' komutunu çalıştırın. Etkilenen Etki Alanı Denetleyicisinde 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' komutunu çalıştırın. Başka bir Etki Alanı Denetleyicisine yeni bir çoğaltma bağlantısı oluşturun:
    1. Active Directory Siteleri ve Hizmetleri'ne tıklayın: Başlat menüsü, Yönetim Araçları'nın üzerine gelin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
    2. Konsol ağacında Siteler'i genişletin ve ardından bu DC'nin ait olduğu siteyi genişletin.
    3. Sunucuların listesini görüntülemek için Sunucular kapsayıcısını genişletin.
    4. Bu DC için sunucu nesnesini genişletin.
    5. NTDS Ayarları nesnesine sağ tıklayın ve Yeni Active Directory Etki Alanı Hizmetleri Bağlantısı... öğesine tıklayın.
    6. Listeden bir Sunucu seçin ve Tamam'a tıklayın.
    Yalnız bırakılmış etki alanlarını Active Directory'den kaldırma.
    Giden Çoğaltma Devre Dışı Bırakıldı Giden Çoğaltması devre dışı bırakılmış DC'ler kendi içinden kaynaklanan hiçbir değişikliği dağıtamaz. Etkilenen Etki Alanı Denetleyicisi'nde giden çoğaltmayı etkinleştirmek için şu adımları izleyin: Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve tamam'a tıklayın. Aşağıdaki metni yazın ve ENTER tuşuna basın:
    repadmin /options -DISABLE_OUTBOUND_REPL
    Gelen Çoğaltma Devre Dışı Bırakıldı Gelen Çoğaltması devre dışı bırakılmış DC'ler en son bilgilere sahip olmaz. Bu koşul oturum açma hatalarına yol açabilir. Etkilenen Etki Alanı Denetleyicisi'nde gelen çoğaltmayı etkinleştirmek için şu adımları izleyin: Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve tamam'a tıklayın. Aşağıdaki metni yazın ve ENTER tuşuna basın:
    repadmin /options -DISABLE_INBOUND_REPL
    LanmanServer hizmeti çalışmıyor Bu hizmet devre dışı bırakılırsa, bu hizmete açıkça bağımlı olan hizmetler başlatılamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start LanManServer' komutunu çalıştırın.
    Kerberos Anahtar Dağıtım Merkezi hizmeti çalışmıyor KDC Hizmeti durdurulursa, kullanıcılar Kerberos v5 kimlik doğrulama protokolunu kullanarak bu DC üzerinden kimlik doğrulaması yapamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start kdc' komutunu çalıştırın.
    DNS hizmeti çalışmıyor DNS Hizmeti durdurulursa, DNS amacıyla bu sunucuyu kullanan bilgisayarlar ve kullanıcılar kaynakları bulamaz. Etkilenen Etki Alanı Denetleyicisinde 'net start dns' komutunu çalıştırın.
    DC'de USN Geri Alma işlemi vardı USN geri alma işlemleri gerçekleştiğinde, nesnelerde ve özniteliklerde yapılan değişiklikler, daha önce USN'yi görmüş olan hedef etki alanı denetleyicileri tarafından gelen olarak çoğaltılamaz. Bu hedef etki alanı denetleyicileri güncel olduklarına inandığından, Dizin Hizmeti olay günlüklerinde veya izleme ve tanılama araçları tarafından hiçbir çoğaltma hatası bildirilmemiştir. USN geri alma işlemi, herhangi bir bölümdeki herhangi bir nesnenin veya özniteliğin çoğaltmasını etkileyebilir. En sık gözlemlenen yan etki, geri alma etki alanı denetleyicisinde oluşturulan kullanıcı hesaplarının ve bilgisayar hesaplarının bir veya daha fazla çoğaltma ortağında mevcut olmamasıdır. Alternatif olarak, geri alma etki alanı denetleyicisinden kaynaklanan parola güncelleştirmeleri çoğaltma iş ortaklarında mevcut değildir. USN geri alma işlemini kurtarmak için iki yaklaşım vardır:

    Aşağıdaki adımları izleyerek Etki Alanı Denetleyicisi'ni etki alanından kaldırın:

    1. Active Directory'yi tek başına sunucu olmaya zorlamak için etki alanı denetleyicisinden kaldırın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
      332199 Etki Alanı denetleyicileri, Windows Server 2003 ve Windows 2000 Server'da indirgemeye zorlamak için Active Directory Yükleme Sihirbazı'nı kullandığınızda düzgün bir şekilde indirgemez.
    2. İndirgenmiş sunucuyu kapatın.
    3. İyi durumdaki bir etki alanı denetleyicisinde, indirgenmiş etki alanı denetleyicisinin meta verilerini temizleyin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
      216498 Başarısız bir etki alanı denetleyicisi indirgeme sonrasında Active Directory'de verileri kaldırma
    4. Yanlış geri yüklenen etki alanı denetleyicisi işlem yöneticisi rollerini barındırıyorsa, bu rolleri iyi durumdaki bir etki alanı denetleyicisine aktarın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
      255504 FSMO rollerini etki alanı denetleyicisine aktarmak veya almak için Ntdsutil.exe kullanma
    5. İndirgeyen sunucuyu yeniden başlatın.
    6. Gerekirse, Active Directory'yi tek başına sunucuya yeniden yükleyin.
    7. Etki alanı denetleyicisi daha önce genel katalogsa, etki alanı denetleyicisini genel katalog olacak şekilde yapılandırın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
      313994 Windows 2000'de genel katalog oluşturma veya taşıma
    8. Etki alanı denetleyicisi daha önce operations master rollerini barındırdıysa, işlem yöneticisi rollerini etki alanı denetleyicisine geri aktarın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
      255504 FSMO rollerini bir etki alanı denetleyicisine aktarmak veya almak için Ntdsutil.exe kullanma İyi bir yedeklemenin sistem durumunu geri yükleyin.

    Bu etki alanı denetleyicisi için geçerli sistem durumu yedeklemelerinin mevcut olup olmadığını değerlendirin. Geri alınan etki alanı denetleyicisi yanlış geri yüklenmeden önce geçerli bir sistem durumu yedeklemesi yapıldıysa ve yedekleme etki alanı denetleyicisinde yapılan son değişiklikleri içeriyorsa, sistem durumunu en son yedeklemeden geri yükleyin.

    Anlık görüntüyü yedekleme kaynağı olarak da kullanabilirsiniz. Ya da bu makaledeki "Sistem durumu veri yedeklemesi olmadan sanal etki alanı denetleyicisi VHD'sinin önceki bir sürümünü geri yüklemek için" bölümündeki yordamı kullanarak veritabanını kendisine yeni bir çağırma kimliği verecek şekilde ayarlayabilirsiniz

    Sonraki adımlar