项目
07/17/2023
症状虚拟机 (VM) 屏幕截图显示操作系统 (操作系统) 完全加载并等待凭据：
如果查看来宾 OS 日志，将看到 DNS 客户端服务未启动或无法启动。 这可能是由于挂起、此服务崩溃或之前要运行的任何所需服务。
Log Name:
System
Source:
Service Control Manager
Date:
12/16/2015 11:19:36 AM
Event ID:
7022
Task Category: None
Level:
Error
Keywords:
Classic
User:
N/A
Computer:
myvm.contoso.net
Description:
The Netlogon service hung on starting.
Log Name:
System
Source:
Service Control Manager
Date:
2/25/2016 11:59:08 AM
Event ID:
7001
Task Category: None
Level:
Error
Keywords:
Classic
User:
N/A
Computer:
myvm.contoso.net
Description:
The Netlogon service depends on the Workstation service which failed to start because of the following error:
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it.
Log Name:
System
Source:
Service Control Manager
Date:
12.08.2016 15:35:22
Event ID:
7023
Task Category: None
Level:
Error
Keywords:
Classic
User:
N/A
Computer:
myvm.contoso.net
Description:
The Netlogon service terminated with the following error:
%%14
使用串行控制台连接到 VM (排查原因) 如果无法成功将 RDP 连接到虚拟机 (VM) ，请使用 PowerShell 和 串行控制台 检查日志条目。在命令行上，通过运行 powershell.exe启动 PowerShell。
在 PowerShell 中，执行以下命令：
psCopy
remove-module psreadline
Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=(Get-Date).AddDays(-1); ProviderName='Service Control Manager'}
原因Netlogon 服务未在虚拟机上运行。 在以下情况下会出现此问题：Netlogon 服务设置为 “已禁用”。
Netlogon 未响应或崩溃。
另一个必需的服务未运行。
解决方案使用首选方法备份 VM OS 磁盘。可以使用的一种方法是 拍摄磁盘的快照。使用串行控制台 (解决方案) 连接到 VM使用 串行控制台 连接到 VM，尝试启动 Netlogon 服务。在串行控制台中，执行此命令：
sc query Netlogon
如果服务显示为：
已停止 – 尝试启动服务：
sc start Netlogon
如果服务启动时未出错，并且可以连接到 VM，请在此处停止。
启动/停止 - 尝试使用以下命令再次停止并启动服务：
sc stop NETLOGON
sc start NETLOGON
如果禁用 Netlogon 服务：
首先将服务设置为自动：
sc config NETLOGON start=auto
启动 Netlogon 服务：
sc start NETLOGON
检查 Netlogon 服务是否正在运行：
sc query NETLOGON
如果 Netlogon 服务因依赖项而失败，可以尝试对列出的依赖项执行上述过程。
运行 Netlogon 服务后，可以尝试通过 RDP 访问 VM。
如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 社区支持提交产品反馈。

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。
项目
05/05/2023
Azure AD Connect Health 服务发送警报指示标识基础结构运行不正常。 本文包括每个警报的警报标题、说明和修正步骤。 错误、警告和预警是 Connect Health 服务生成的三个警报阶段。 强烈建议立即对触发的警报采取措施。 在成功的情况下，将解除 Azure AD Connect Health 警报。 Azure AD Connect Health 代理将定期检测并向服务报告成功的情况。 某些警报的解除取决于时间。 换句话说，如果在警报生成后的 72 小时内未观察到相同的错误条件，则警报会自动解除。常规警报警报名称
说明
补救
运行状况服务数据不是最新的
在一台或多台服务器上运行的运行状况代理未连接到运行状况服务，且运行状况服务未收到来自此服务器的最新数据。 运行状况服务处理的最后数据已过去 2 小时。
请确保运行状况代理具有到所需服务和终结点的出站连接。 阅读详细信息
警报名称
说明
补救
Azure AD Connect 同步服务未运行
Microsoft Azure AD 同步 Windows 服务未运行，或无法启动。 因此，对象不会与 Azure Active Directory 同步。
启动 Microsoft Azure Active Directory 同步服务 依次单击“开始”和“运行”，键入“Services.msc”，然后单击“确定”。 找到“Microsoft Azure AD 同步服务”，然后检查是否已启动该服务。 如果未启动该服务，请右键单击该服务，然后单击“启动”。
从 Azure Active Directory 导入失败
从 Azure Active Directory 连接器执行的导入操作失败。
请调查导入操作的事件日志错误，以获取更多详细信息。
由于身份验证失败，与 Azure Active Directory 的连接失败
由于身份验证失败，与 Azure Active Directory 的连接失败。 因此，对象不会与 Azure Active Directory 同步。
请调查事件日志错误，以获取更多详细信息。
导出到 Active Directory 失败
到 Active Directory 连接器的导出操作失败。
请调查导出操作的事件日志错误，以获取更多详细信息。
从 Active Directory 导入失败
从 Active Directory 导入失败。 因此，可能无法导入此林中某些域中的对象。
验证 DC 连接 手动重新运行导入
请调查导入操作的事件日志错误，以获取更多详细信息。
导出到 Azure Active Directory 失败
到 Azure Active Directory 连接器的导出操作失败。 因此，可能无法将某些对象成功导出到 Azure Active Directory。
请调查导出操作的事件日志错误，以获取更多详细信息。
在过去的 120 分钟内，密码哈希同步检测信号已跳过
在过去的 120 分钟内，密码哈希同步未与 Azure Active Directory 建立连接。 因此，密码不会与 Azure Active Directory 同步。
重启 Microsoft Azure Active Directory 同步服务：当前正在运行的任何同步操作都会中断。 如果没有正在进行的同步操作，可选择执行以下步骤。1. 依次单击“开始”和“运行”，键入“Services.msc”，然后单击“确定”。2. 找到“Microsoft Azure AD Sync”并右键单击，然后单击“重启”。
检测到高 CPU 使用率
CPU 消耗百分比超出此服务器上的建议阈值。
这可能是 CPU 消耗的临时峰值。 请在“监视”部分查看 CPU 使用情况趋势。检查服务器上 CPU 使用情况消耗最高的前几个进程。可使用任务管理器或执行以下 PowerShell 命令：get-process
Sort-Object -Descending CPU
Select-Object -First 10如果存在消耗高 CPU 使用情况的意外进程，请使用以下 PowerShell 命令停止这些进程：stop-process -ProcessName [name of the process]如果上述列表中所示的进程为预期在服务器上运行的进程，且 CPU 消耗持续接近阈值，请考虑重新评估此服务器的部署要求。作为自动防故障选项，可考虑重启服务器。
检测到高内存消耗
服务器的内存消耗百分比已超出此服务器的建议阈值。
检查服务器上消耗最高内存的前几个进程。 可使用任务管理器或执行以下 PowerShell 命令：get-process
Sort-Object -Descending WS
Select-Object -First 10 如果存在意外进程占用大量内存，请使用以下 PowerShell 命令停止这些进程：stop-process -ProcessName [name of the process] 如果上述列表中所示的进程为预期在服务器上运行的进程，请考虑重新评估此服务器的部署要求。作为自动防故障选项，可考虑重启服务器。
密码哈希同步已停止运行
密码哈希同步已停止。 因此，密码不会与 Azure Active Directory 同步。
重启 Microsoft Azure Active Directory 同步服务：当前正在运行的任何同步操作都会中断。 如果没有正在进行的同步操作，可选择执行以下步骤。 依次单击“开始”和“运行”，键入“Services.msc”，然后单击“确定”。 找到“Microsoft Azure AD Sync”并右键单击，然后单击“重启”。
导出到 Azure Active Directory 的操作已停止。 已达到意外删除阈值
到 Azure Active Directory 的导出操作失败。 要删除的对象数多于配置的阈值。 因此，未导出任何对象。
标记为要删除的对象数超出了设定的阈值。 请确保该结果是你所需要的。
若要继续导出，请执行以下步骤：通过运行 Disable-ADSyncExportDeletionThreshold 禁用阈值 启动 Synchronization Service Manager 在类型为 Azure Active Directory 的连接器上运行导出 成功导出对象后，通过运行以下命令启用阈值：Enable-ADSyncExportDeletionThreshold
Active Directory 联合身份验证服务的警报Azure Active Directory 域服务警报警报名称
说明
补救
无法通过 LDAP ping 访问域控制器
无法通过 LDAP Ping 访问域控制器。 这可能是由于网络问题或计算机问题所致。 因此，LDAP Ping 将失败。
检查警报列表是否存在相关警报，例如：域控制器未在播发。 确保受影响的域控制器有足够的磁盘空间。 空间不足将阻止 DC 将其自身作为 LDAP 服务器来播发。
尝试查找 PDC：在受影响的域控制器上运行 netdom query fsmo 。
确保物理网络配置/连接正确。
发生了 Active Directory 复制错误
此域控制器发生的是复制问题，可转到“复制状态”仪表板找到该问题。 复制错误可能是由于配置不正确或其他相关问题所致。 未处理的复制错误可能会导致数据不一致。
有关受影响的源和目标 DC 的名称，请参阅其他详细信息。 导航到“复制状态”仪表板，并在受影响的 DC 上查找活动错误。 单击错误，以打开包含有关如何修复该特定错误的更多详细信息的边栏选项卡。
域控制器找不到 PDC
无法通过此域控制器访问 PDC。 这将导致用户登录受到影响、组策略更改得不到应用以及系统时间同步出现问题。
检查警报列表是否存在可能影响 PDC 的相关警报，例如：域控制器未在播发。
尝试查找 PDC：在受影响的域控制器上运行 netdom query fsmo 。确保网络正常运行。
域控制器找不到全局编录服务器
无法从此域控制器访问全局目录服务器。 它将导致通过此域控制器尝试的身份验证失败。
检查警报列表中是否存在任何“域控制器未在播发”警报，其中受影响的服务器可能为 GC。 如果不存在播发警报，请检查 SRV 记录中是否存在 GC。 可通过运行以下命令检查它们： nltest /dnsgetdc: [ForestName] /gc
它应将 DC 播发列出为 GC。 如果列表为空，请检查 DNS 配置，以确保 GC 已注册 SRV 记录。 DC 可以在 DNS 中找到它们。 有关全局编录疑难解答信息，请参阅作为全局编录服务器播发。
域控制器无法访问本地 sysvol 共享
Sysvol 包含组策略对象中的重要元素以及要在域中的 DC 内分发的脚本。 DC 不会播发自身，因为不会应用 DC 和组策略。
请参阅如何对缺失的 sysvol 和 Netlogon 共享进行故障排除
域控制器时间不同步
此域控制器的时间超出了正常的时间偏差范围。 因此，Kerberos 身份验证将失败。
重启 Windows 时间服务：运行 net stop w32time，然后在受影响的域控制器上运行 net start w32time。重新同步时间：在受影响的域控制器上运行 w32tm /resync 。
域控制器未播发
此域控制器未正确播发其可执行的角色。 这可能是由复制、DNS 错误配置、关键服务未运行或服务器未完成初始化等问题导致的。
因此，域控制器、域成员和其他设备将找不到此域控制器。 此外，其他域控制器可能无法从此域控制器进行复制。
检查警报列表是否存在其他相关警报的，例如：复制已中断。 域控制器的时间不同步。Netlogon 服务未运行。 DFSR 和/或 NTFRS 服务未运行。 确定并解决相关 DNS 问题：登录到受影响的域控制器。 打开系统事件日志。 如果存在事件 5774、5775 或 5781，请参阅排查域控制器定位程序 DNS 记录注册故障确定并排查相关 Windows 时间服务问题：确保 Windows 时间服务正在运行：在受影响的域控制器上运行“net start w32time”。 重启 Windows 时间服务：在受影响的域控制器上依次运行“net stop w32time”和“net start w32time”。
GPSVC 服务未运行
如果已停止或禁用服务，则将不会应用由管理员配置的设置，并且将无法通过组策略管理应用程序和组件。 如果该服务已禁用，依赖于组策略组件的组件或应用程序可能无法正常运行。
运行在受影响的域控制器上运行 net start gpsvc 。
DFSR 和/或 NTFRS 服务未运行
如果 DFSR 和 NTFRS 服务均停止，域控制器将无法复制 sysvol 数据。 sysvol 数据将不一致。
如果使用 DFSR： 在受影响的域控制器上，运行“net start dfsr”。 如果使用 NTFRS：在受影响的域控制器上，运行“net start ntfrs”。
Netlogon 服务未运行
无法在此 DC 上执行登录请求、注册、身份验证和查找域控制器。
在受影响的域控制器上，运行“net start netlogon”
W32Time 服务未运行
如果停止 Windows 时间服务，日期和时间同步将不可用。 如果此服务已禁用，显式依赖它的任何服务将无法启动。
在受影响的域控制器上，运行“net start win32Time”
ADWS 服务未运行
如果已停止或禁用 Active Directory Web Services 服务，Active Directory PowerShell 等客户端应用程序将无法访问或管理在此服务器上本地运行的任何目录服务实例。
在受影响的域控制器上，运行“net start adws”
根 PDC 当前未通过 NTP 服务器同步
如果未将 PDC 配置为与外部或内部时间源同步时间，PDC 仿真器使用其内部时钟，并且自身就是林的可靠时间源。 如果 PDC 自身的时间不准确，所有计算机的时间设置都不正确。
在受影响的域控制器上，打开命令提示符。 停止时间服务：net stop w32time 配置外部时间源：w32tm /config /manualpeerlist: time.windows.com /syncfromflags:manual /reliable:yes 注意：将 time.windows.com 替换为所需外部时间源的地址。 启动时间服务：net start w32time
域控制器已隔离
此域控制器未连接到其他任何正在运行的域控制器。 这可能是由于配置错误所致。 因此，此 DC 不会被使用，并且不会从/向任何一端复制。
启用入站和出站复制：在受影响的域控制器上，运行“repadmin /options ServerName -DISABLE_INBOUND_REPL”。 在受影响的域控制器上，运行“repadmin /options ServerName -DISABLE_OUTBOUND_REPL”。 创建与其他域控制器的新复制连接：打开“Active Directory 站点和服务”：单击“开始”菜单，指向“管理工具”，然后单击“Active Directory 站点和服务”。 在控制台树中，依次展开“站点”和此 DC 所属的站点。 展开“服务器”容器以显示服务器列表。 展开此 DC 的服务器对象。 右键单击“NTDS 设置”对象，然后单击“新建 Active Directory 域服务连接...”从列表中选择一个服务器，然后单击“确定”。How to remove orphaned domains from Active Directory（如何从 Active Directory 删除孤立域）。
已禁用出站复制
禁用出站复制的 DC 将无法分发任何源于其内部的更改。
若要在受影响的域控制器上启用出站复制，请按以下步骤操作：依次单击“开始”和“运行”，键入 cmd，然后单击“确定”。 键入以下文本，然后按 Enter：repadmin /options -DISABLE_OUTBOUND_REPL
已禁用入站复制
禁用入站复制的 DC 将不具有最新信息。 此状态可能会导致登录失败。
若要在受影响的域控制器上启用入站复制，请按以下步骤操作：依次单击“开始”和“运行”，键入 cmd，然后单击“确定”。 键入以下文本，然后按 Enter：repadmin /options -DISABLE_INBOUND_REPL
LanmanServer 服务未运行
如果此服务已禁用，显式依赖它的任何服务将无法启动。
在受影响的域控制器上，运行“net start LanManServer”。
Kerberos 密钥分发中心服务未运行
如果 KDC 服务停止，用户将无法使用 Kerberos v5 身份验证协议通过此 DC 进行身份验证。
在受影响的域控制器上，运行“net start kdc”。
DNS 服务未运行
如果 DNS 服务停止，将相应服务器用作 DNS 用途的计算机和用户将找不到资源。
在受影响的域控制器上，运行“net start dns”。
DC 执行了 USN 回退
发生 USN 回退时，之前查看过 USN 的目标域控制器不会入站复制对对象和属性所做的修改。 因为这些目标域控制器认为它们是最新的，因此不会在目录服务事件日志中或通过监视和诊断工具报告复制错误。 USN 回滚可能会影响任何分区中的任何对象或属性的复制。 最常见的副作用是在回滚域控制器上创建的用户帐户和计算机帐户在一个或多个复制合作伙伴上不存在。 或者，在回滚域控制器上发起的密码更新在复制合作伙伴上不存在。
可以采用两种方法通过 USN 回滚进行恢复：从域中删除域控制器，步骤如下：从域控制器中删除 Active Directory，以强制使其成为独立服务器。 有关详细信息，请单击下面的文章编号，查看相应的 Microsoft 知识库文章：332199 使用 Active Directory 安装向导在 Windows Server 2003 和 Windows Server 2000 中强制降级时，域控制器无法正常降级。
关闭已降级的服务器。 在运行状况良好的域控制器上，清除降级的域控制器的元数据。 有关详细信息，请单击下面的文章编号，查看相应的 Microsoft 知识库文章：216498 域控制器降级失败后如何删除 Active Directory 中的数据 如果错误还原的域控制器承载着操作主机角色，请将这些角色转移到正常的域控制器。 有关详细信息，请单击下面的文章编号，查看相应的 Microsoft 知识库文章：255504 使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器 重启已降级的服务器。 如果需要，在独立的服务器上重新安装 Active Directory。 如果域控制器以前是全局编录，请将域控制器配置为全局编录。 有关详细信息，请单击下面的文章编号，查看相应的 Microsoft 知识库文章：313994 如何在 Windows 2000 中创建或移动全局编录 如果域控制器以前承载着操作主机角色，请将操作主机角色转移回域控制器。 有关详细信息，请单击下面的文章编号，查看相应的 Microsoft 知识库文章：255504 使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器 还原正常备份的系统状态。评估此域控制器是否存在有效的系统状态备份。 如果在错误还原回滚域控制器之前创建了有效的系统状态备份，并且备份包含域控制器上所做的最新更改，请从最新备份还原系统状态。 还可以使用快照作为备份来源。 或者，可以按照下面这篇文章中的“在无系统状态数据备份情况下还原以前版本的虚拟域控制器 VHD”部分中的步骤操作，将数据库设置为向自己提供新的调用 ID
后续步骤Azure AD Connect Health 常见问题