Risolvere i problemi di connettività di Microsoft Entra con il modulo PowerShell ADConnectivityTool
Lo strumento ADConnectivity è un modulo di PowerShell usato in uno dei modi seguenti:
- Durante l'installazione, quando un problema di connettività di rete impedisce la corretta convalida delle credenziali di Active Directory.
- Dopo l'installazione da parte di un utente che chiama le funzioni da una sessione di PowerShell.
Lo strumento si trova in: C:\Programmi\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool durante l'installazione
Nella pagina Connettere le directory, nella Procedura guidata di Microsoft Entra Connect, se si verifica un problema di rete, lo strumento ADConnectivityTool utilizzerà automaticamente una delle sue funzioni per determinare cosa sta succedendo. Gli elementi seguenti possono essere considerati problemi di rete:
- Il nome della foresta specificato dall'utente è stato digitato in modo errato o la foresta non esiste
- La porta UDP 389 viene chiusa nei controller di dominio associati alla foresta fornita dall'utente
- Le credenziali fornite nella finestra "account della foresta AD" non dispongono dei privilegi per recuperare i controller di dominio associati alla foresta di destinazione.
- Una qualsiasi delle porte TCP 53, 88 o 389 è chiusa nei controller di dominio associati alla foresta fornita dall'utente.
- Sia UDP 389 che una porta TCP (o porte) vengono chiuse
- Non è stato possibile risolvere il DNS per la foresta fornita o i controller di dominio associati.
Ogni volta che viene rilevato uno di questi problemi, viene visualizzato un messaggio di errore correlato nella Procedura guidata di Microsoft Entra Connect:
Ad esempio, quando si tenta di aggiungere una directory nella schermata Connettere le directory, Microsoft Entra Connect deve verificare questo aspetto e si aspetta di poter comunicare con un controller di dominio sulla porta 389. In caso contrario, verrà visualizzato l'errore visualizzato nello screenshot.
Ciò che accade in realtà dietro le quinte è che Microsoft Entra Connect chiama la funzione Start-NetworkConnectivityDiagnosisTools. Questa funzione viene chiamata quando la convalida delle credenziali non riesce a causa di un problema di connettività di rete.
Viene infine generato un file di log dettagliato ogni volta che lo strumento viene chiamato dalla procedura guidata. Il log si trova in C:\ProgramData\AADConnect\ADConnectivityTool-<data>- ora<>.log
ADConnectivityTools dopo l'installazione
Dopo l'installazione di Microsoft Entra Connect, è possibile usare una delle funzioni nel modulo PowerShell ADConnectivityTools.
È possibile trovare informazioni di riferimento sulle funzioni nel riferimento di ADConnectivityTools
Start-ConnectivityValidation
Questa funzione verrà chiamata perché può solo essere chiamata manualmente dopo l'importazione di ADConnectivityTool.psm1 in PowerShell.
Questa funzione esegue la stessa logica eseguita dalla procedura guidata di Microsoft Entra Connect per convalidare le credenziali di Active Directory fornite. Tuttavia, fornisce una spiegazione molto più dettagliata sul problema e una soluzione suggerita.
La convalida della connettività è costituita dai passaggi seguenti:
- Ottenere l'oggetto FQDN del dominio (nome di dominio completo)
- Verificare che, se l'utente ha selezionato 'Crea nuovo account AD', queste credenziali appartengono al gruppo Enterprise Administrators
- Ottieni l'oggetto Nome di Dominio Completo (FQDN) della foresta
- Verificare che almeno un dominio associato all'oggetto FQDN della foresta ottenuto in precedenza sia raggiungibile
- Verificare che il livello funzionale della foresta sia Windows Server 2003 o superiore.
L'utente è in grado di aggiungere una directory se tutte queste azioni sono state eseguite correttamente.
Se l'utente esegue questa funzione, dopo aver risolto un problema (o se non esiste alcun problema), l'output indicherà all'utente di tornare alla Procedura guidata microsoft Entra Connect e provare a inserire nuovamente le credenziali.