Catalogo degli avvisi di integrità di Microsoft Entra Connect

  • Articolo

Il servizio Integrità Microsoft Entra Connect invia avvisi indica che l'infrastruttura di gestione delle identità non è integra. Questo articolo include titoli e descrizioni di avvisi e le procedure di correzione per ogni avviso.
Errore, Avviso e Preavviso sono tre fasi di avvisi generati dal servizio Connect Health. Si consiglia vivamente di eseguire azioni immediate relativamente agli avvisi attivati.
Gli avvisi di Microsoft Entra Connect Health vengono risolti in caso di esito positivo. Microsoft Entra Connect Health Agents rileva e segnala periodicamente le condizioni di esito positivo al servizio. Per alcuni avvisi, l'eliminazione è basata sul tempo. In altre parole, se la stessa condizione di errore non viene osservata entro 72 ore dalla generazione di avvisi, l'avviso viene risolto automaticamente.

Avvisi generali

Nome avviso Descrizione Correzione
I dati del servizio integrità non sono aggiornati Gli agenti di integrità in esecuzione in uno o più server non sono connessi al Servizio integrità e il Servizio integrità non riceve i dati più recenti da questo server. Gli ultimi dati elaborati dal Servizio integrità risalgono a più di 2 ore prima. Verificare che gli agenti integrità abbiano connettività in uscita verso gli endpoint servizio necessari. Altre informazioni

Avvisi per Microsoft Entra Connect (sincronizzazione)

Nome avviso Descrizione Correzione
Il servizio di sincronizzazione Microsoft Entra Connect non è in esecuzione Il servizio Windows Sincronizzazione ID Microsoft Entra non è in esecuzione o non è stato possibile avviare. Di conseguenza, gli oggetti non verranno sincronizzati con Microsoft Entra ID. Avviare Microsoft Entra ID Sync Services
  1. Fare clic su Avvia, fare clic su Esegui, digitare Services.msc, quindi fare clic su OK.
  2. Individuare il servizio Di sincronizzazione ID Microsoft Entra e quindi verificare se il servizio è stato avviato. Se il servizio non è avviato, fare clic con il pulsante destro del mouse su di esso, quindi fare clic su Avvia.
Importazione da Microsoft Entra ID non riuscita L'operazione di importazione da Microsoft Entra Connector non è riuscita. Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di importazione.
Connessione a Microsoft Entra ID non riuscita a causa di un errore di autenticazione Connessione a Microsoft Entra ID non riuscita a causa di un errore di autenticazione. Di conseguenza, gli oggetti non verranno sincronizzati con Microsoft Entra ID. Per altre informazioni, esaminare gli errori del log eventi.
L'esportazione in Active Directory non è riuscita L'operazione di esportazione in Active Directory Connector non è riuscita. Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di esportazione.
L'importazione da Active Directory non è riuscita L'importazione da Active Directory non è riuscita. Di conseguenza, gli oggetti da alcuni domini di questa foresta potrebbero non venire importati.
  • Verificare la connettività DC
  • Eseguire di nuovo l'importazione manualmente
  • Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di importazione.
    		•
    Esportazione a Microsoft Entra ID non riuscita L'operazione di esportazione in Microsoft Entra Connector non è riuscita. Di conseguenza, alcuni oggetti potrebbero non essere esportati correttamente in Microsoft Entra ID. Per altre informazioni, esaminare gli errori del log eventi relativi all'operazione di esportazione.
    L'heartbeat di sincronizzazione hash password non è stato rilevato negli ultimi 120 minuti La sincronizzazione dell'hash delle password non è connessa all'ID Microsoft Entra negli ultimi 120 minuti. Di conseguenza, le password non verranno sincronizzate con Microsoft Entra ID. Riavviare Microsoft Entra ID Sync Services:
    Qualsiasi operazione di sincronizzazione attualmente in esecuzione verrà interrotta. Quando non è in corso alcuna operazione di sincronizzazione è possibile scegliere di eseguire questa procedura.
    1. Fare clic su Start, fare clic su Esegui, digitare Services.msc, quindi fare clic su OK.
    2. Individuare Microsoft Entra ID Sync, fare clic con il pulsante destro del mouse su di esso e quindi fare clic su Riavvia.
    Rilevato uso elevato della CPU La percentuale di uso della CPU ha superato la soglia consigliata per questo server.
  • Potrebbe trattarsi di un picco temporaneo nell'uso della CPU. Controllare la tendenza di uso della CPU nella sezione di monitoraggio.
  • Controllare i processi principali che causano l'uso della CPU più elevato nel server.
    1. È possibile usare Gestione attività o eseguire il comando di PowerShell seguente:
      get-process | Sort-Object -Descending CPU | Select-Object -First 10
    2. Se sono presenti processi imprevisti che utilizzano un utilizzo elevato della CPU, arrestare i processi usando il comando di PowerShell seguente:
      stop-process -ProcessName [name of the process]
  • Se i processi visualizzati nell'elenco precedente sono i processi previsti in esecuzione nel server e l'utilizzo della CPU è costantemente vicino alla soglia, valutare nuovamente i requisiti di distribuzione di questo server.
  • Come opzione alternativa è possibile considerare il riavvio del server.
    		•
    Rilevato elevato uso di memoria La percentuale di uso della memoria del server è oltre la soglia consigliata in questo server. Controllare i processi principali che causano l'uso più elevato della memoria nel server. È possibile usare Gestione attività o eseguire questo comando PowerShell:
    get-process | Sort-Object -Descending WS | Select-Object -First 10
    Se sono presenti processi imprevisti che utilizzano memoria elevata, arrestare i processi usando il comando di PowerShell seguente:
    stop-process -ProcessName [name of the process]
  • Se i processi visualizzati nell'elenco precedente sono i processi previsti in esecuzione nel server, valutare nuovamente i requisiti di distribuzione di questo server.
  • Come opzione alternativa è possibile considerare il riavvio del server.
    		•
    La sincronizzazione hash password ha smesso di funzionare La sincronizzazione hash password si è arrestata. Di conseguenza, le password non verranno sincronizzate con Microsoft Entra ID. Riavviare Microsoft Entra ID Sync Services:
    Qualsiasi operazione di sincronizzazione attualmente in esecuzione verrà interrotta. Quando non è in corso alcuna operazione di sincronizzazione è possibile scegliere di eseguire questa procedura.
    1. Fare clic su Avvia, fare clic su Esegui, digitare Services.msc, quindi fare clic su OK.
    2. Individuare Microsoft Entra ID Sync, fare clic con il pulsante destro del mouse su di esso e quindi scegliere Riavvia.
    L’esportazione in Microsoft Entra ID è stata interrotta. È stato raggiunto il limite di eliminazione accidentale L'operazione di esportazione in Microsoft Entra ID non è riuscita. Erano presenti più oggetti da eliminare rispetto alla soglia configurata. Di conseguenza, non sono stati esportati oggetti.
  • Il numero di oggetti contrassegnato per l'eliminazione è superiore alla soglia impostata. Verificare che questo sia il risultato previsto.
  • Per consentire all'esportazione di continuare, seguire questa procedura:
    1. Disabilitare la soglia eseguendo Disable-ADSyncExportDeletionThreshold
    2. Avviare Synchronization Service Manager
    3. Eseguire l'esportazione nel connettore con tipo = MICROSOFT Entra ID
    4. Dopo avere esportato correttamente gli oggetti, abilitare la soglia eseguendo: Enable-ADSyncExportDeletionThreshold
    		•

    Avvisi per Active Directory Federation Services

    Nome avviso Descrizione Correzione
    La richiesta di autenticazione di test (transazione sintetica) non è riuscita a ottenere un token Le richieste di autenticazione di test (transazioni sintetiche) avviate da questo server non hanno ottenuto un token dopo 5 tentativi. Questo potrebbe essere causato da problemi di rete temporanei, la disponibilità di controller di dominio di Active Directory Domain Services o un server AD FS non configurato correttamente. Di conseguenza, le richieste di autenticazione elaborate dal servizio federativo potrebbero non riuscire. L'agente usa il contesto account computer locale per ottenere un token dal servizio federativo. Assicurarsi che venga eseguita la procedura seguente per convalidare l'integrità del server.
    1. Verificare che non siano presenti alti avvisi non risolti per questo o per altri server di AD FS nella farm.
    2. Verificare che questa condizione non sia un errore temporaneo effettuando l'accesso con un utente di test dalla pagina di accesso di AD FS disponibile in https://{your_adfs_server_name}/adfs/ls/idpinitiatedsignon.aspx
    3. Passare a https://testconnectivity.microsoft.com e scegliere la scheda "Office 365". Eseguire l'accesso Single Sign-On Test di Office 365.
    4. Verificare se il nome del servizio AD FS può essere risolto da questo server eseguendo questo comando da un prompt dei comandi in questo server. nslookup your_adfs_server_name

    Se il nome del servizio non può essere risolto, vedere la sezione Domande frequenti per istruzioni sull'aggiunta di una voce di file HOST del servizio AD FS con l'indirizzo IP del server. In questo modo il modulo di transazione sintetica in esecuzione su questo server potrà richiedere un token
    Il server proxy non riesce a raggiungere il server federativo Questo server proxy AD FS non è in grado di contattare il servizio AD FS. Di conseguenza, le richieste di autenticazione elaborate dal server non riusciranno. Eseguire questa procedura per convalidare la connettività tra il server e il servizio AD FS.
    1. Assicurarsi che il firewall tra il server e il servizio AD FS sia configurato in modo accurato.
    2. Verificare che la risoluzione DNS per il nome del servizio AD FS punti correttamente al servizio AD FS che risiede nella rete aziendale. È possibile eseguire questa operazione tramite un server DNS che risponde alle richieste del server nella rete perimetrale o tramite le voci nei file HOSTS per il nome del servizio AD FS.
    3. Convalidare la connettività di rete aprendo il browser in questo server e accedendo all'endpoint dei metadati federativo, che si trova in https://<your-adfs-service-name>/federationmetadata/2007-06/federationmetadata.xml
    Il certificato SSL sta per scadere Il certificato TLS/SSL usato dai server federativi sta per scadere entro 90 giorni. Una volta scadute, le richieste che richiedono una connessione TLS valida avranno esito negativo. Ad esempio, per i clienti di Microsoft 365, i client di posta elettronica non potranno eseguire l'autenticazione. Aggiornare il certificato TLS/SSL in ogni server AD FS.
    1. Ottenere il certificato TLS/SSL con i requisiti seguenti.
      1. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
      2. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com or *.contoso.com
    2. Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.
    3. Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.

    Per AD FS 2.0 in Windows Server 2008R2:

    • Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

    Per AD FS in Windows Server 2012 R2 e versioni successive:

  • Fare riferimento a Gestione di certificati SSL in AD FS e WAP
    • Il servizio AD FS non è in esecuzione nel server Active Directory Federation Service (Servizio Windows) non è in esecuzione in questo server. Le eventuali richieste indirizzate a questo server avranno esito negativo. Per avviare Active Directory Federation Services (servizio Windows):
    1. Accedere al server come amministratore.
    2. Aprire services.msc
    3. Trovare "Active Directory Federation Services"
    4. Fare clic con il pulsante destro del mouse e scegliere "Start"
    Il DNS per il servizio federativo potrebbe non essere configurato correttamente Il server DNS è stato configurato per usare un record CNAME per il nome della farm AD FS. È consigliabile usare record A o AAAA per AD FS affinché l'autenticazione integrata di Windows possa operare con facilità all'interno della rete aziendale. Assicurarsi che il tipo di record DNS della farm <Farm Name> AD FS non sia CNAME. Configurarlo in modo che sia un record A o AAAA.
    Il servizio di controllo AD FS è disabilitato Il servizio di controllo AD FS è disabilitato per il server. La sezione Utilizzo di AD FS nel portale non includerà i dati di questo server. Se i controlli di AD FS non sono abilitati, seguire queste istruzioni:
    1. Concedere all'account del servizio AD FS i diritti di "Generazione di controlli di sicurezza" sul server AD FS.
    2. Aprire il criterio di sicurezza locale nel server gpedit.msc.
    3. Passare a "Configurazione computer\Impostazioni di Windows\Criteri locali\Assegnazione diritti utente"
    4. Aggiungere l'account del servizio AD FS in modo che disponga dei diritti di "Generazione di controlli di sicurezza".
    5. Eseguire questo comando al prompt dei comandi:
      auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
    6. Aggiornare le proprietà del servizio federativo in modo da includere i controlli delle operazioni riuscite e non riuscite.
    7. Nella console di AD FS scegliere "Modifica proprietà servizio federativo"
    8. Nella finestra di dialogo "Proprietà servizio federativo" scegliere la scheda Eventi e selezionare "Controlli riusciti" e "Controlli errori"

    Dopo aver completato questa procedura, gli eventi di controllo AD FS devono essere visibili dal Visualizzatore eventi. Da verificare:

    1. Passare a Visualizzatore eventi/ Registri di Windows /Sicurezza.
    2. Selezionare Filtra log correnti, quindi selezionare Controllo di AD FS dall'elenco a discesa Origini eventi. Verranno visualizzati gli eventi corrispondenti al filtro precedente per un server AD FS attivo con controllo abilitato.

    Se in precedenza sono state seguite queste istruzioni, ma viene comunque visualizzato questo avviso, è possibile che un oggetto Criteri di gruppo stia disabilitando il controllo di AD FS. Le cause possibili sono le seguenti:

    1. È in corso la rimozione del diritto "Generazione di controlli di sicurezza" per l'account del servizio AD FS.
    2. Uno script personalizzato nell'oggetto Criteri di gruppo disabilita i controlli di operazioni riuscite e operazioni non riuscite in base all'impostazione " Generato dall'applicazione".
    3. La configurazione di AD FS non è abilitata per generare controlli di esito positivo/negativo.
    Il certificato SSL di AD FS è autofirmato Attualmente si usa un certificato autofirmato come certificato TLS/SSL nella farm AD FS. Di conseguenza, l'autenticazione client di posta elettronica per Microsoft 365 avrà esito negativo

    Aggiornare il certificato TLS/SSL in ogni server AD FS.

    1. Ottenere un certificato TLS/SSL attendibile pubblicamente con i requisiti seguenti.
    2. Il file di installazione del certificato deve contenere la chiave privata.
    3. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
    4. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com o *.contoso.com

    Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.

      Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.
      Per AD FS 2.0 in Windows Server 2008R2:
    1. Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

      2. Per AD FS in Windows Server 2012 R2 o versioni successive:
    2. Fare riferimento a Gestione di certificati SSL in AD FS e WAP
    Il trust tra il server proxy e il server federativo non è valido Non è stato possibile stabilire o rinnovare il trust tra il proxy del server federativo e il servizio federativo. Aggiornare il certificato di trust del proxy nel server proxy. Eseguire nuovamente la Configurazione guidata del proxy.
    Protezione di blocco della Extranet disabilitata per AD FS La funzionalità di protezione di blocco Extranet è DISABILITATA nella farm AD FS. Questa funzionalità protegge gli utenti da attacchi di forza bruta conto le password da Internet e impedisce attacchi Denial of Service contro gli utenti quando sono applicati i criteri di blocco dell'account Active Directory Domain Services. Con questa funzionalità abilitata, se il numero di tentativi di accesso non riusciti alla Extranet per un utente, ovvero i tentativi di accesso tramite un server WAP e AD FS, superano il valore impostato in 'ExtranetLockoutThreshold', i server di AD FS interromperanno l'elaborazione di altri tentativi di accesso per 'ExtranetObservationWindow'. È consigliabile abilitare questa funzionalità nei server di AD FS. Eseguire questo comando per abilitare la Protezione di blocco della Extranet di AD FS con i valori predefiniti.
    Set-AdfsProperties -EnableExtranetLockout $true

    Se sono stati configurati criteri di blocco di Active Directory per gli utenti, assicurarsi che la proprietà "ExtranetLockoutThreshold" sia impostata su un valore inferiore alla soglia di blocco di Active Directory Domain Services. Ciò garantisce che le richieste che hanno superato la soglia per AD FS vengano eliminate e mai convalidate sui server Active Directory Domain Services.
    Il nome dell'entità servizio (SPN) non valido per l'account del servizio AD FS Il nome dell'entità servizio dell'account del servizio federativo non è registrato o non è univoco. Di conseguenza, l'autenticazione integrata di Windows dai client aggiunti a un dominio potrebbe presentare dei problemi. Usare [SETSPN -L ServiceAccountName] per elencare le entità servizio.
    Usare [SETSPN -X] per verificare la presenza di nomi dell'entità servizio duplicati.

    Se l'SPN viene duplicato per l'account del servizio AD FS, rimuoverlo dall'account duplicato tramite [SETSPN -d service/namehostname]

    Se SPN non è impostato, usare [SETSPN -s {Desired-SPN} {domain_name}{service_account}] per impostare il nome SPN desiderato per l'account del servizio federativo.
    Il certificato primario per la decrittografia di token di AD FS sta per scadere Il certificato primario per la decrittografia di token di AD FS scadrà tra meno di 90 giorni. AD FS non può decrittografare i token dai provider di attestazioni attendibili. AD FS non è in grado di decrittografare i cookie SSO crittografati. Gli utenti finali non potranno eseguire l'autenticazione per accedere alle risorse. Se il rollover automatico dei certificati è abilitato, AD FS gestisce il certificato per la decrittografia di token.

    Se si gestisce il certificato manualmente, seguire le istruzioni seguenti. Ottenere un nuovo certificato di decrittografia token.

    1. Assicurarsi che l'utilizzo avanzato delle chiavi (EKU) includa "Crittografia chiavi"
    2. Il soggetto o il nome alternativo del soggetto (SAN) non presentano restrizioni.
    3. Si noti che i server federativi e i partner Provider di attestazioni devono essere in grado di concatenarsi a un'autorità di certificazione radice attendibile durante la convalida del certificato per la decrittografia di token.
    Decidere come i partner Provider di attestazioni considereranno attendibile il nuovo certificato per la decrittografia di token
    1. Chiedere ai partner di eseguire il pull dei metadati federativi dopo aver aggiornato il certificato.
    2. Condividere la chiave pubblica del nuovo certificato (file .cer) con i partner. Nel server AD FS del partner del provider di attestazioni avviare Gestione di AD FS dal menu Strumenti di amministrazione. In Relazioni di trust/Attendibilità componente selezionare il trust creato. In Proprietà/Crittografia fare clic su "Sfoglia" per selezionare il nuovo certificato per la decrittografia di token e scegliere OK.
    Installare il certificato nell'archivio certificati locale di ogni server federativo.
    • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    Assicurarsi che l'account del servizio federativo abbia accesso alla chiave privata del nuovo certificato. Aggiungere il nuovo certificato ad AD FS.
    1. Avviare Gestione di AD FS dal menu Strumenti di amministrazione
    2. Espandere Servizio e selezionare Certificati
    3. Nel riquadro Azioni fare clic su Aggiungi certificato per decrittografia di token
    4. Verrà visualizzato un elenco di certificati validi per la decrittografia dei token. Se si scopre che il nuovo certificato non viene presentato nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con una chiave privata associata e che il certificato abbia l'Encipherment chiave come Utilizzo chiavi esteso.
    5. Selezionare il nuovo certificato per la decrittografia di token e fare clic su OK.
    Impostare il nuovo certificato per la decrittografia di token come primario.
    1. Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati nell'elenco Decrittografia di token: il certificato esistente e quello nuovo.
    2. Selezionare il nuovo certificato per la decrittografia di token, fare clic con il pulsante destro del mouse e scegliere Set as primary (Imposta come primario).
    3. Lasciare il certificato precedente come secondario ai fini del rollover. È consigliabile rimuovere il certificato precedente dopo aver verificato che non sia più necessario per il rollover o quando il certificato è scaduto.
    Il certificato primario per la firma di token di AD FS sta per scadere Il certificato per la firma di token di AD FS scadrà entro 90 giorni. AD FS non può emettere token firmati quando questo certificato non è valido. Ottenere un nuovo certificato per la firma di token.
    1. Assicurarsi che l'utilizzo chiavi avanzato (EKU) includa "Firma digitale"
    2. Il soggetto o il nome alternativo del soggetto (SAN) non prevede alcuna restrizione.
    3. Tenere presente che i server federativi, i server federativi dei partner risorse e i server applicazioni relying party devono essere in grado di eseguire la concatenazione a un'autorità di certificazione radice attendibile durante la convalida del certificato per la firma di token.
    Installare il certificato nell'archivio certificati locale di ogni server federativo.
    • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    Assicurarsi che l'account del servizio federativo abbia accesso alla chiave privata del nuovo certificato. Aggiungere il nuovo certificato ad AD FS.
    1. Avviare Gestione di AD FS dal menu Strumenti di amministrazione.
    2. Espandere Servizio e selezionare Certificati
    3. Nel riquadro Azioni fare clic su Aggiungi certificato per la firma di token...
    4. Verrà visualizzato un elenco di certificati validi per la firma dei token. Se si scopre che il nuovo certificato non viene presentato nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con chiave privata associata e che il certificato abbia la firma digitale KU.
    5. Selezionare il nuovo certificato per la firma di token e fare clic su OK
    Comunicare a tutte le relying party la modifica nel certificato per la firma di token.
    1. Le relying party che usano i metadati federativi di AD FS devono eseguire il pull dei nuovi metadati federativi per iniziare a usare il nuovo certificato.
    2. Le relying party che NON usano i metadati federativi di AD FS devono aggiornare manualmente la chiave pubblica del nuovo certificato per la firma di token. Condividere il file .cer con le relying party.
      3. Impostare il nuovo certificato per la firma di token come primario.
      1. Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati in Firma di token: il certificato esistente e quello nuovo.
      2. Selezionare il nuovo certificato per la firma di token, fare clic con il pulsante destro del mouse e scegliere Set as primary (Imposta come primario)
      3. Lasciare il certificato precedente come secondario ai fini del rollover. È consigliabile rimuovere il certificato precedente dopo aver verificato che non sia più necessario per il rollover o quando il certificato è scaduto. Tenere presente che le sessioni SSO correnti degli utenti sono firmate. Le relazioni di trust del proxy AD FS correnti usano i token firmati e crittografati tramite il certificato precedente.
    Il certificato SSL di AD FS non viene trovato nell'archivio certificati locale Il certificato con l'identificazione personale configurata come certificato TLS/SSL nel database AD FS non è stato trovato nell'archivio certificati locale. Di conseguenza, qualsiasi richiesta di autenticazione tramite TLS avrà esito negativo. Ad esempio, l'autenticazione client di posta elettronica per Microsoft 365 avrà esito negativo. Installare il certificato con l'identificazione personale configurata nell'archivio certificati locale.
    Il certificato SSL è scaduto Il certificato TLS/SSL per il servizio AD FS è scaduto. Di conseguenza, tutte le richieste di autenticazione che richiedono una connessione TLS valida avranno esito negativo. Ad esempio, l'autenticazione client di posta elettronica non sarà in grado di eseguire l'autenticazione per Microsoft 365. Aggiornare il certificato TLS/SSL in ogni server AD FS.
    1. Ottenere il certificato TLS/SSL con i requisiti seguenti.
    2. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
    3. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com or *.contoso.com
    4. Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.
    5. Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.

    Per AD FS 2.0 in Windows Server 2008R2:

    • Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

    Per AD FS in Windows Server 2012 R2 o versioni successive: Refer to: Gestione di certificati SSL in AD FS e WAP

    Gli endpoint obbligatori per Microsoft Entra ID (per Microsoft 365) non sono abilitati Il set di endpoint seguente richiesto da Exchange Online Services, Microsoft Entra ID e Microsoft 365 non è abilitato per il servizio federativo:
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/ls/
    		•  Abilitare gli endpoint richiesti per i servizi Microsoft Cloud sul servizio federativo.
    Per AD FS in Windows Server 2012R2 o versioni successive
  • Fare riferimento a Gestione di certificati SSL in AD FS e WAP

    • Il server federativo non è riuscito a connettersi al database di configurazione AD FS L'account del servizio AD FS sta riscontrando problemi durante la connessione al database di configurazione AD FS. Di conseguenza, il servizio AD FS in questo computer potrebbe non funzionare come previsto.
  • Verificare che l'account del servizio AD FS abbia accesso al database di configurazione.
  • Verificare che il servizio Database di configurazione AD FS sia disponibile e raggiungibile.
    • Le associazioni SSL necessarie sono mancanti o non sono configurate Le associazioni TLS necessarie per eseguire correttamente l'autenticazione del server federativo sono configurate in modo errato. Di conseguenza, AD FS non è in grado di elaborare richieste in ingresso. Per Windows Server 2012 R2
    Aprire un prompt dei comandi amministratore con privilegi elevati ed eseguire i comandi seguenti:
    1. Per visualizzare l'associazione TLS corrente: Get-AdfsSslCertificate
    2. Per aggiungere nuove associazioni: netsh http add sslcert hostnameport=<federation service name>:443 certhash=AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00 appid={00001111-aaaa-2222-bbbb-3333cc4444} certstorename=MY
    Il certificato primario per la firma di token di AD FS è scaduto Il certificato per la firma di token di AD FS è scaduto. AD FS non può emettere token firmati quando questo certificato non è valido. Se il rollover automatico dei certificati è abilitato, AD FS gestirà l'aggiornamento del certificato per la firma di token.

    Se si gestisce il certificato manualmente, seguire le istruzioni seguenti.

    1. Ottenere un nuovo certificato per la firma di token.
      1. Assicurarsi che l'utilizzo chiavi avanzato (EKU) includa "Firma digitale"
      2. Il soggetto o il nome alternativo del soggetto (SAN) non prevede alcuna restrizione.
      3. Ricordare che i server federativi, i server federativi dei partner risorse e i server applicazioni relying party devono essere in grado di eseguire la concatenazione a un'autorità di certificazione radice attendibile durante la convalida del certificato per la firma di token.
    2. Installare il certificato nell'archivio certificati locale di ogni server federativo.
      • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    3. Verificare che l'account del servizio federativo possa accedere alla nuova chiave privata del certificato.
    4. Aggiungere il nuovo certificato ad AD FS.
      1. Avviare Gestione di AD FS dal menu Strumenti di amministrazione.
      2. Espandere Servizio e selezionare Certificati
      3. Nel riquadro Azioni fare clic su Aggiungi certificato per la firma di token...
      4. Verrà visualizzato un elenco di certificati validi per la firma dei token. Se si scopre che il nuovo certificato non viene presentato nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con chiave privata associata e che il certificato abbia la firma digitale KU.
      5. Selezionare il nuovo certificato per la firma di token e fare clic su OK
    5. Comunicare a tutte le relying party la modifica nel certificato per la firma di token.
      1. Le relying party che usano i metadati federativi di AD FS devono eseguire il pull dei nuovi metadati federativi per iniziare a usare il nuovo certificato.
      2. Le relying party che NON usano i metadati federativi di AD FS devono aggiornare manualmente la chiave pubblica del nuovo certificato per la firma di token. Condividere il file .cer con le relying party.
    6. Impostare il nuovo certificato per la firma di token come primario.
      1. Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati in Firma di token: il certificato esistente e quello nuovo.
      2. Selezionare il nuovo certificato per la firma di token, fare clic con il pulsante destro del mouse e scegliere Set as primary (Imposta come primario)
      3. Lasciare il certificato precedente come secondario ai fini del rollover. È consigliabile rimuovere il certificato precedente dopo aver verificato che non sia più necessario per il rollover o quando il certificato è scaduto. Ricordare che le sessioni SSO correnti degli utenti sono firmate. Le relazioni di trust del proxy AD FS correnti usano i token firmati e crittografati tramite il certificato precedente.
    Il server proxy sta rilasciando le richieste per il controllo di congestione Questo server proxy sta rilasciando le richieste dalla Extranet a causa di una latenza più alta del normale tra questo server proxy e il server federativo. Di conseguenza, parte delle richieste di autenticazione elaborate dal server proxy AD FS potrebbe avere esito negativo.
  • Verificare se la latenza di rete tra il server proxy federativo e i server federativi è compresa nell'intervallo accettabile. Fare riferimento alla sezione Monitoraggio per i valori di tendenza della "Latenza richiesta token". Una latenza maggiore di [1500 ms] deve essere considerata come una latenza elevata. Se viene osservata una latenza elevata, verificare che la rete tra i server proxy AD FS e AD FS non presenti problemi di connettività.
  • Verificare che i server federativi non siano in overload con richieste di autenticazione. Nella sezione Monitoraggio vengono fornite le visualizzazioni relative ai valori di riferimento richieste di token al secondo e all'uso della CPU e della memoria.
  • Se questi elementi sono stati verificati e il problema persiste, modificare l'impostazione relativa alla prevenzione della congestione in ognuno dei server proxy federativi, come illustrato nelle indicazioni fornite nei collegamenti correlati.
    		•
    All'account del servizio AD FS è stato negato l'accesso a una delle chiavi private del certificato. L'account del servizio AD FS non ha accesso alla chiave privata di uno dei certificati AD FS in questo computer. Assicurarsi che all'account del servizio AD FS sia consentito l'accesso ai certificati TLS, firma del token e decrittografia dei token archiviati nell'archivio certificati del computer locale.
    1. Dalla riga di comando digitare MMC.
    2. Passare a Aggiungi/Rimuovi snap-in file>
    3. Selezionare Certificati e fare clic su Aggiungi. -> Selezionare Account computer e fare clic su Avanti. -> Selezionare Computer locale e fare clic su Fine. Fare clic su OK.

    Aprire Certificati(Computer locale)/Personale/Certificati. Per tutti i certificati usati da AD FS:
    1. Fare clic con il pulsante destro del mouse sul certificato.
    2. Selezionare Tutte le attività -> Gestisci chiavi private.
    3. Nella scheda Sicurezza in Utenti e gruppi verificare che sia presente l'account del servizio AD FS. In caso contrario, selezionare Aggiungi e aggiungere l'account del servizio AD FS.
    4. Selezionare l'account del servizio AD FS e in "Autorizzazioni per <il nome> dell'account del servizio AD FS" assicurarsi che l'autorizzazione Lettura sia consentita (segno di spunta).
    Il certificato SSL di AD FS non ha una chiave privata Il certificato TLS/SSL di AD FS è stato installato senza una chiave privata. Di conseguenza, eventuali richieste di autenticazione tramite SSL avranno esito negativo. Ad esempio, l'autenticazione client di posta elettronica per Microsoft 365 avrà esito negativo. Aggiornare il certificato TLS/SSL in ogni server AD FS.
    1. Ottenere un certificato TLS/SSL attendibile pubblicamente con i requisiti seguenti.
      1. Il file di installazione del certificato deve contenere la chiave privata.
      2. Utilizzo chiavi avanzato deve essere almeno Autenticazione server.
      3. Soggetto certificato o Nome alternativo del soggetto (SAN) deve contenere il nome DNS del servizio federativo o il carattere jolly appropriato. Ad esempio: sso.contoso.com or *.contoso.com
    2. Installare il nuovo certificato TLS/SSL in ogni server nell'archivio certificati del computer locale.
    3. Assicurarsi che l'account del servizio AD FS disponga dell'accesso in lettura alla chiave privata del certificato.

    Per AD FS 2.0 in Windows Server 2008R2:

    • Associare il nuovo certificato TLS/SSL al sito Web in IIS, che ospita il servizio federativo. Si noti che è necessario eseguire questo passaggio in ogni server federativo e ogni proxy server federativo.

    Per AD FS in Windows Server 2012 R2 o versioni successive:

  • Fare riferimento a Gestione di certificati SSL in AD FS e WAP
    • Il certificato primario per la decrittografia di token di AD FS è scaduto Il certificato primario per la decrittografia di token di AD FS è scaduto. AD FS non può decrittografare i token dai provider di attestazioni attendibili. AD FS non è in grado di decrittografare i cookie SSO crittografati. Gli utenti finali non potranno eseguire l'autenticazione per accedere alle risorse.

    Se il rollover automatico dei certificati è abilitato, AD FS gestisce il certificato per la decrittografia di token.

    Se si gestisce il certificato manualmente, seguire le istruzioni seguenti.

    1. Ottenere un nuovo certificato di decrittografia token.
      • Assicurarsi che l'utilizzo chiavi avanzato (EKU) includa "Crittografia chiave".
      • Il soggetto o il nome alternativo del soggetto (SAN) non presentano restrizioni.
      • Si noti che i server federativi e i partner Provider di attestazioni devono essere in grado di concatenarsi a un'autorità di certificazione radice attendibile durante la convalida del certificato per la decrittografia di token.
    2. Decidere come i partner Provider di attestazioni considereranno attendibile il nuovo certificato per la decrittografia di token
      • Chiedere ai partner di eseguire il pull dei metadati federativi dopo aver aggiornato il certificato.
      • Condividere la chiave pubblica del nuovo certificato (file .cer) con i partner. Nel server AD FS del partner del provider di attestazioni avviare Gestione di AD FS dal menu Strumenti di amministrazione. In Relazioni di trust/Attendibilità componente selezionare il trust creato. In Proprietà/Crittografia fare clic su "Sfoglia" per selezionare il nuovo certificato per la decrittografia di token e scegliere OK.
    3. Installare il certificato nell'archivio certificati locale di ogni server federativo.
      • Assicurarsi che il file di installazione del certificato contenga la chiave privata del certificato in ogni server.
    4. Verificare che l'account del servizio federativo possa accedere alla nuova chiave privata del certificato.
    5. Aggiungere il nuovo certificato ad AD FS.
      • Avviare Gestione di AD FS dal menu Strumenti di amministrazione
      • Espandere Servizio e selezionare Certificati
      • Nel riquadro Azioni fare clic su Aggiungi certificato per decrittografia di token
      • Verrà visualizzato un elenco di certificati validi per la decrittografia dei token. Se si scopre che il nuovo certificato non viene presentato nell'elenco, è necessario tornare indietro e assicurarsi che il certificato si trovi nell'archivio personale del computer locale con una chiave privata associata e che il certificato abbia l'Encipherment chiave come Utilizzo chiavi esteso.
      • Selezionare il nuovo certificato per la decrittografia di token e fare clic su OK.
    6. Impostare il nuovo certificato per la decrittografia di token come primario.
      • Dopo aver selezionato il nodo Certificati in Gestione di AD FS, dovrebbero essere visualizzati due certificati nell'elenco Decrittografia di token: il certificato esistente e quello nuovo.
      • Selezionare il nuovo certificato per la decrittografia di token, fare clic con il pulsante destro del mouse e scegliere Set as primary (Imposta come primario).
      • Lasciare il certificato precedente come secondario ai fini del rollover. È consigliabile rimuovere il certificato precedente dopo aver verificato che non sia più necessario per il rollover o quando il certificato è scaduto.

    Avvisi per Active Directory Domain Services

    Nome avviso Descrizione Correzione
    Il controller di dominio non è raggiungibile tramite ping LDAP Il controller di dominio non è raggiungibile tramite ping LDAP. Questo può essere causato da problemi di rete o dei computer. Di conseguenza, i ping LDAP non riusciranno.
  • Esaminare l'elenco degli avvisi per gli avvisi correlati, ad esempio: Il controller di dominio non è pubblicitario.
  • Verificare che il controller di dominio interessato abbia sufficiente spazio su disco. In caso di esaurimento dello spazio, il controller di dominio non potrà annunciarsi come server LDAP.
  • Tentativo di trovare il PDC: Esegui
    netdom query fsmo
    sul controller di dominio interessato.
  • Assicurarsi che la rete fisica sia configurata/connessa correttamente.
    • Si è verificato un errore di replica di Active Directory In questo controller di dominio si stanno verificando problemi di replica che possono essere visualizzati nella Dashboard Stato replica. Gli errori di replica potrebbero essere dovuti alla configurazione non corretta o ad altri problemi correlati. Gli errori di replica non gestiti possono causare incoerenze dei dati. Visualizzare altri dettagli per i nomi di origine e di destinazione dei controller di dominio interessati. Passare alla Dashboard Stato replica e cercare errori attivi nei controller di dominio interessati. Fare clic sull'errore per aprire un pannello con altre informazioni su come correggere questo errore specifico.
    Il controller di dominio non riesce a trovare un PDC Un PDC non è raggiungibile tramite questo controller di dominio. Questo influirà sugli accessi utente, sulle modifiche dei criteri di gruppo non ancora applicati e causerà errori di sincronizzazione dell'ora di sistema.
  • Esaminare l'elenco degli avvisi per gli avvisi correlati che potrebbero influire sul PDC, ad esempio: Il controller di dominio non annuncia.
  • Tentativo di trovare il PDC: Esegui
    netdom query fsmo
    sul controller di dominio interessato.
  • Assicurarsi che la rete funzioni correttamente.
    • Il controller di dominio non riesce a trovare un server di catalogo globale Un server di catalogo globale non è raggiungibile da questo controller di dominio. Ciò comporterà tentativi non riusciti di autenticazione effettuati tramite questo controller di dominio. Esaminare l'elenco degli avvisi per qualsiasi controller di dominio che non annuncia gli avvisi in cui il server interessato potrebbe essere un GC. Se non sono presenti avvisi relativi agli annunci, vedere i record SRV per i cataloghi globali. È possibile controllarli eseguendo:
    nltest /dnsgetdc: [ForestName] /gc
    Deve elencare i controller di dominio pubblicitari come GCS. Se l'elenco è vuoto, controllare la configurazione di DNS per assicurare che il catalogo globale abbia registrato i record SRV. Il controller di dominio riesce a trovarli in DNS.
    Per la risoluzione dei problemi dei cataloghi globali, vedere Advertising as a Global Catalog Server. (Annuncio come server di catalogo globale)
    Controller di dominio non è in grado di raggiungere la condivisione sysvol locale SYSVOL contiene elementi importanti da oggetti Criteri di gruppo e script da distribuire nei controller di dominio di un dominio. Il controller di dominio non verrà annunciato come controller di dominio e i criteri di gruppo non verranno applicati. Vedere Come risolvere i problemi relativi alle condivisioni sysvol e Netlogon mancanti
    L'ora del controller di dominio non è sincronizzata L'ora sul controller di dominio è compresa nell'intervallo di sfasamento dell'ora normale. Di conseguenza, le autenticazioni Kerberos avranno esito negativo.
  • Riavviare il servizio Ora di Windows: Esegui
    net stop w32time
    allora
    net start w32time
    nel controller di dominio interessato.
  • Tempo di risincronizzazione: esecuzione
    w32tm /resync
    nel controller di dominio interessato.
    		•
    Il controller di dominio non annuncia Questo controller di dominio non annuncia correttamente i ruoli che è in grado di eseguire. Ciò può essere causato da problemi con la replica, errori nella configurazione DNS, servizi critici non in esecuzione o perché il server non è completamente inizializzato. Di conseguenza, i controller di dominio, i membri di dominio e altri dispositivi non saranno in grado di individuare questo controller di dominio. Inoltre, altri controller di dominio potrebbe non essere in grado eseguire repliche da questo controller di dominio. Esaminare l'elenco degli altri avvisi correlati, ad esempio: replica interrotta. Il tempo del controller di dominio non è sincronizzato. Il servizio Netlogon non è in esecuzione. I servizi DFSR e/o NTFRS non sono in esecuzione. Identificare e risolvere i problemi DNS correlati: accedere al controller di dominio interessato. Aprire il registro eventi di sistema. Se sono presenti eventi 5774, 5775 o 5781, vedere Troubleshooting Domain Controller Locator DNS Records Registration Failure (Risoluzione dei problemi relativi a errori di registrazione dei record DNS del localizzatore dei controller di dominio), identificare e risolvere i problemi relativi al Servizio Ora di Windows: verificare che Servizio Ora di Windows sia in esecuzione: eseguire "net start w32time" nel controller di dominio interessato. Riavviare Servizio Ora di Windows: eseguire "net stop w32time" quindi "net start w32time" nel controller di dominio interessato.
    Il servizio GPSVC non è in esecuzione Se il servizio viene arrestato o disabilitato, le impostazioni configurate dall'amministratore non verranno applicate e le applicazioni e i componenti non saranno gestibili tramite Criteri di gruppo. Se il servizio viene disabilitato, tutti i componenti o le applicazioni che dipendono dal componente Criteri di gruppo potrebbero non funzionare. Eseguire
    net start gpsvc
    sul controller di dominio interessato.
    I servizi DFSR e/o NTFRS non sono in esecuzione Se entrambi i servizi DFSR e NTFRS vengono arrestati, i controller di dominio non saranno in grado di replicare i dati sysvol. Sysvol Data non sarà coerente.
  • Se si usa DFSR:
      Eseguire 'net start dfsr' nel controller di dominio interessato.
    1. Se si usa NTFRS:
        Eseguire 'net start ntfrs' nel controller di dominio interessato.
    • Il servizio Netlogon non è in esecuzione Le richieste di accesso, la registrazione, l'autenticazione e l'individuazione dei controller di dominio non saranno disponibili in questo controller di dominio. Eseguire 'net start netlogon' nel controller di dominio interessato
    Il servizio W32Time non è in esecuzione Se il Servizio Ora di Windows viene arrestato, la sincronizzazione di data e ora non sarà disponibile. Se il servizio viene disabilitato, i servizi che dipendono esplicitamente da esso non potranno essere avviati. Eseguire 'net start win32Time' nel controller di dominio interessato
    Il servizio ADWS non è in esecuzione Se il servizio Servizi Web Active Directory viene arrestato o disabilitato, le applicazioni client, ad esempio Active Directory PowerShell, non potranno accedere o gestire istanze del servizio directory in esecuzione localmente in questo server. Eseguire 'net start adws' nel controller di dominio interessato
    Root PDC non esegue la sincronizzazione dal server NTP Se non si configura PDC per la sincronizzazione dell'ora da un'origine ora esterna o interna, l'emulatore PDC usa il clock interno e costituisce l'origine ora attendibile per la foresta. Se l'ora non è accurata nel PDC stesso, tutti i computer avranno impostazioni di ora non corrette. Nel controller di dominio interessato, aprire un prompt dei comandi. Arrestare il servizio Ora: net stop w32time
  • Configurare l'origine ora esterna:
    w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes

    Nota: sostituire time.windows.com con l'indirizzo dell'origine ora esterna desiderato. Avviare il servizio Ora:
    net start w32time
    • Il controller di dominio è in quarantena Questo controller di dominio non è connesso ad altri controller di dominio funzionanti. Questo potrebbe essere causato da una configurazione non corretta. Di conseguenza, questo controller di dominio non viene usato e non verrà replicato da/a nessuno. Abilitare la replica in ingresso e in uscita: eseguire 'repadmin /options ServerName -DISABLE_INBOUND_REPL' nel controller di dominio interessato. Eseguire 'repadmin /options ServerName -DISABLE_OUTBOUND_REPL' nel controller di dominio interessato. Creare una nuova connessione di replica in un altro controller di dominio:
    1. Aprire Siti e servizi di Active Directory: dal menu Avvio, selezionare Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
    2. Nell'albero della console espandere Siti, quindi espandere il sito al quale questo controller di dominio appartiene.
    3. Espandere il contenitore Server per visualizzare l'elenco dei server.
    4. Espandere l'oggetto server per questo controller di dominio.
    5. Fare clic con il pulsante destro del mouse sull'oggetto Impostazioni NTDS e scegliere Nuova connessione servizi Dominio di Active Directory...
    6. Selezionare un server dall'elenco e fare clic su OK.
    Come rimuovere domini orfani da Active Directory.
    La replica in uscita è disabilitata I controller di dominio con replica in uscita disabilitata non saranno in grado di distribuire le modifiche che hanno origine all'interno di sé. Per abilitare la replica in uscita nel controller di dominio interessato, eseguire questa procedura: fare clic su Start, scegliere Esegui, digitare cmd e quindi fare clic su OK. Digitare il testo seguente e quindi premere INVIO:
    repadmin /options -DISABLE_OUTBOUND_REPL
    La replica in ingresso è disabilitata I controller di dominio con replica in ingresso disabilitata non avranno le informazioni più recenti. Questa condizione può causare errori di accesso. Per abilitare la replica in ingresso nel controller di dominio interessato, eseguire questa procedura: fare clic su Start, scegliere Esegui, digitare cmd e quindi fare clic su OK. Digitare il testo seguente e quindi premere INVIO:
    repadmin /options -DISABLE_INBOUND_REPL
    Il servizio LanmanServer non è in esecuzione Se il servizio viene disabilitato, i servizi che dipendono esplicitamente da esso non potranno essere avviati. Eseguire 'net start LanManServer' nel controller di dominio interessato.
    Il servizio Centro distribuzione chiavi Kerberos non è in esecuzione Se il servizio KDC viene arrestato, gli utenti non potranno eseguire l'autenticazione tramite questo controller di dominio usando il protocollo di autenticazione Kerberos v5. Eseguire 'net start kdc' nel controller di dominio interessato.
    Il servizio DNS non è in esecuzione In caso di arresto del servizio DNS, i computer e gli utenti che usano il server per finalità DNS non riusciranno a trovare le risorse. Eseguire 'net start dns' nel controller di dominio interessato.
    Il controller di dominio ha eseguito il rollback degli USN Quando si verifica il rollback degli USN, le modifiche apportate agli oggetti e agli attributi non vengono replicate in ingresso dai controller di dominio di destinazione che hanno precedentemente rilevato l'USN. Poiché i controller di dominio di destinazione ritengono di essere aggiornati, non vengono segnalati errori di replica nei registri eventi di Directory Service o dagli strumenti di monitoraggio e diagnostica. Il rollback degli USN può influire sulla replica di qualsiasi oggetto o attributo in qualsiasi partizione. L'effetto collaterale osservato più di frequente è che gli account utente e gli account computer creati nel controller di dominio di rollback non sono presenti in uno o più partner di replica oppure gli aggiornamenti delle password originati nel controller di dominio di rollback non sono presenti nei partner di replica. Esistono due approcci per il ripristino da un rollback DEGLI USN:

    Rimuovere il controller di dominio dal dominio, seguendo questa procedura:

    1. Rimuovi Active Directory dal controller di dominio per forzarlo come server autonomo. Per altre informazioni, fare clic sul numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      332199 I controller di dominio non vengono abbassati normalmente di livello quando si usa l'Installazione guidata di Active Directory per forzare l'abbassamento di livello in Windows Server 2003 e in Windows 2000 Server.
    2. Arresta il server abbassato di livello.
    3. In un controller di dominio integro pulisci i metadati del controller di dominio abbassato di livello. Per altre informazioni, fare clic sul numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      216498 Come rimuovere dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
    4. Se il controller di dominio ripristinato in modo errato ospita i ruoli di master operazioni, trasferisci questi ruoli in un controller di dominio integro. Per altre informazioni, fare clic sul numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      255504 Uso di Ntdsutil.exe per trasferire o assegnare ruoli FSMO a un controller di dominio
    5. Riavvia il server abbassato di livello.
    6. Se necessario, installa di nuovo Active Directory nel server autonomo.
    7. Se in precedenza il controller di dominio era un catalogo globale, configuralo come catalogo globale. Per altre informazioni, fare clic sul numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      313994 Come creare o spostare un catalogo globale in Windows 2000
    8. Se in precedenza il controller di dominio ospitava ruoli di master operazioni, trasferisci di nuovo tali ruoli nel controller di dominio. Per altre informazioni, fare clic sul numero di articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
      255504 Usando Ntdsutil.exe per trasferire o assegnare ruoli FSMO a un controller di dominio ripristinare lo stato del sistema di un backup valido.

    Valuta se esistono backup dello stato del sistema validi per questo controller di dominio. Se è stato eseguito un backup dello stato del sistema valido prima del ripristino errato del controller di dominio di cui è stato eseguito il rollback e il backup contiene modifiche recenti apportate al controller di dominio, ripristina lo stato del sistema dal backup più recente.

    Come origine di un backup puoi anche usare lo snapshot. In alternativa, è possibile configurare il database in modo che assegni a se stesso un nuovo ID chiamata seguendo la procedura illustrata nella sezione "Per ripristinare una versione precedente di un VHD del controller di dominio virtuale senza un backup dei dati di stato del sistema" di questo articolo

    Passaggi successivi