Solución de problemas de conectividad de Microsoft Entra con el módulo de PowerShell ADConnectivityTool
La herramienta ADConnectivity es un módulo de PowerShell que se usa en una de las siguientes opciones:
- Durante la instalación, cuando un problema de conectividad de red impide la validación correcta de las credenciales de Active Directory.
- Tras la instalación realizada por un usuario que invoca las funciones desde una sesión de PowerShell.
La herramienta se encuentra en: C:\Archivos de programa\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool durante la instalación
En la página Conectar los directorios, en el Asistente para Microsoft Entra Connect, si se produce un problema de red, ADConnectivityTool usará automáticamente una de sus funciones para determinar lo que ocurre. Los siguientes elementos se pueden considerar problemas de red:
- El nombre del bosque que proporcionó el usuario se escribió de forma incorrecta, o dicho Bosque no existe.
- El puerto UDP 389 está cerrado en los controladores de dominio asociados con el bosque que proporcionó el usuario.
- Las credenciales proporcionadas en la ventana "Cuenta de bosque de AD" no tienen privilegios para recuperar los controladores de dominio asociados al bosque de destino.
- Cualquiera de los puertos TCP 53, 88 o 389 está cerrado en los Controladores de Dominio asociados con el Bosque proporcionado por el usuario.
- Tanto UDP 389 como un puerto TCP (o puertos) están cerrados
- El DNS no se pudo resolver para el bosque especificado y/o sus controladores de dominio asociados.
Cada vez que se encuentre cualquiera de estos problemas, se muestra un mensaje de error relacionado en el Asistente para Microsoft Entra Connect:
Por ejemplo, cuando intentamos agregar un directorio en la pantalla Conectar tus directorios, Microsoft Entra Connect necesita verificar esto y espera poder comunicarse con un controlador de dominio a través del puerto 389. Si no es posible, veremos el error que se muestra en la captura de pantalla.
Lo que realmente sucede en segundo plano es que Microsoft Entra Connect llama a la función Start-NetworkConnectivityDiagnosisTools. Se llama a esta función cuando se produce un error en la validación de credenciales debido a un problema de conectividad de red.
Finalmente, se genera un archivo de registro detallado cada vez que se llama a la herramienta desde el asistente. El registro se encuentra en C:\ProgramData\AADConnect\ADConnectivityTool-<fecha><hora>.log
ADConnectivityTools después de la instalación
Una vez instalado Microsoft Entra Connect, se puede usar cualquiera de las funciones del módulo de PowerShell ADConnectivityTools.
Puede encontrar información de referencia sobre las funciones en la Referencia de ADConnectivityTools.
Start-ConnectivityValidation
Vamos a llamar a esta función porque solo se puede llamar manualmente una vez que ADConnectivityTool.psm1 se importa en PowerShell.
Esta función ejecuta la misma lógica que ejecuta el Asistente para Microsoft Entra Connect para validar las credenciales de AD proporcionadas. Sin embargo, proporciona una explicación mucho más detallada sobre el problema y una solución sugerida.
La validación de conectividad consta de los pasos siguientes:
- Obtener el objeto del nombre de dominio completo (FQDN).
- Compruebe que, si el usuario seleccionó "Crear nueva cuenta de AD", estas credenciales pertenecen al grupo Administradores de empresa.
- Obtener el objeto FQDN del bosque
- Confirmar que se puede alcanzar al menos un dominio asociado con el objeto FQDN del bosque obtenido anteriormente
- Compruebe que el nivel funcional del bosque sea Windows Server 2003 o superior.
El usuario puede agregar un directorio si todas estas acciones se ejecutaron correctamente.
Si el usuario ejecuta esta función, después de resolver un problema (o si no existe ningún problema), la salida indicará que el usuario vuelva al Asistente para Microsoft Entra Connect e intente volver a insertar las credenciales de nuevo.