Behandeln von Microsoft Entra-Verbindungsproblemen mit dem PowerShell-Modul ADConnectivity-Tool
Das ADConnectivity-Tool ist ein PowerShell-Modul, das in einem der folgenden Komponenten verwendet wird:
- Bei der Installation verhindert ein Netzwerkkonnektivitätsproblem die erfolgreiche Überprüfung der Active Directory-Anmeldeinformationen.
- Nach der Installation durch einen Benutzer, der die Funktionen aus einer PowerShell-Sitzung aufruft.
Das Tool befindet sich in: C:\Programme\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool während der Installation
Auf der Seite Verzeichnisse verbinden im Microsoft Entra Connect-Assistenten verwendet das ADConnectivityTool, wenn ein Netzwerkproblem auftritt, automatisch eine seiner Funktionen, um zu bestimmen, was vor sich geht. Die folgenden Elemente können als Netzwerkprobleme betrachtet werden:
- Der Name des vom Benutzer angegebenen Waldes wurde falsch eingegeben, oder der Wald existiert nicht.
- UDP-Port 389 ist in den Domänencontrollern, die der vom Benutzer angegebenen Gesamtstruktur zugeordnet sind, geschlossen
- Die im Fenster „AD-Gesamtstrukturkonto“ angegebenen Anmeldeinformationen verfügen nicht über Berechtigungen zum Abrufen der Domänencontroller, die der Zielgesamtstruktur zugeordnet sind
- Jeder der TCP-Ports 53, 88 oder 389 ist in den Domänencontrollern, die der vom Benutzer angegebenen Gesamtstruktur zugeordnet sind, geschlossen
- Sowohl UDP 389 als auch ein TCP-Port (oder Ports) werden geschlossen.
- DNS konnte für die angegebene Gesamtstruktur und/oder deren zugeordnete Domänencontroller nicht aufgelöst werden
Wenn eines dieser Probleme gefunden wird, wird eine zugehörige Fehlermeldung im Microsoft Entra Connect-Assistenten angezeigt:
Wenn wir beispielsweise versuchen, ein Verzeichnis auf dem Bildschirm Verzeichnisse verbinden hinzuzufügen, muss Microsoft Entra Connect dies überprüfen und erwartet, dass es mit einem Domänencontroller über Port 389 kommunizieren kann. Ist dies nicht möglich, sehen wir den Fehler, der im Screenshot angezeigt wird.
Was eigentlich hinter den Kulissen passiert, ist, dass Microsoft Entra Connect die Funktion Start-NetworkConnectivityDiagnosisTools aufruft. Diese Funktion wird aufgerufen, wenn die Überprüfung von Anmeldeinformationen aufgrund eines Netzwerkkonnektivitätsproblems fehlschlägt.
Schließlich wird immer, wenn das Tool vom Assistenten aufgerufen wird, eine detaillierte Protokolldatei generiert. Das Protokoll befindet sich unter C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time>.log
ADConnectivityTools nach der Installation
Nachdem Microsoft Entra Connect installiert wurde, kann jede der Funktionen im PowerShell-Modul „ADConnectivityTools“ verwendet werden.
Referenzinformationen zu den Funktionen finden Sie in der Referenz zu ADConnectivityTools.
Start-ConnectivityValidation
Wir rufen diese Funktion auf, da sie nur manuell aufgerufen werden kann, nachdem ADConnectivityTool.psm1 in PowerShell importiert wurde.
Diese Funktion führt dieselbe Logik aus, die der Microsoft Entra Connect-Assistent ausführt, um die bereitgestellten AD-Anmeldeinformationen zu überprüfen. Sie bietet allerdings eine wesentlich ausführlichere Erläuterung des Problems sowie eine vorgeschlagene Lösung.
Die Konnektivitätsüberprüfung besteht aus den folgenden Schritten:
- Abrufen des Domänen-FQDN (vollqualifizierter Domänenname)
- Überprüfen Sie, dass, wenn der Benutzer "Neues AD-Konto erstellen" ausgewählt hat, diese Anmeldeinformationen zur Gruppe "Unternehmensadministratoren" gehören.
- Abrufen des Gesamtstruktur-FQDN-Objekts
- Bestätigen, dass mindestens eine Domäne, die dem zuvor abgerufenen Gesamtstruktur-FQDN-Objekt zugeordnet ist, erreichbar ist
- Überprüfen, ob die Funktionsebene der Gesamtstruktur Windows Server 2003 oder höher ist.
Der Benutzer kann ein Verzeichnis hinzufügen, wenn alle diese Aktionen erfolgreich ausgeführt wurden.
Wenn der Benutzer diese Funktion ausführt, wird nachdem ein Problem gelöst wurde (oder wenn überhaupt kein Problem vorliegt), angezeigt, dass der Benutzer zum Microsoft Entra Connect-Assistenten zurückkehren und versuchen sollte, die Anmeldeinformationen erneut einzugeben.