次の方法で共有

ADConnectivityTool PowerShell モジュールを使用した Microsoft Entra 接続のトラブルシューティング

  • [アーティクル]

ADConnectivity ツールは、次のいずれかで使用される PowerShell モジュールです。

  • インストール中に、ネットワーク接続の問題によって Active Directory 資格情報の検証が正常に行えない場合。
  • PowerShell セッションから関数を呼び出すユーザーによるインストール後。

このツールは、C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1にあります。

インストール時の ADConnectivityTool

[ディレクトリの接続] ページの Microsoft Entra Connect ウィザードで、ネットワークの問題が発生した場合、ADConnectivityTool はその関数の 1 つを自動的に使用して何が起こっているかを判断します。 次の項目は、ネットワークの問題と見なすことができます。

  • ユーザーが指定したフォレストの名前が間違って入力されたか、フォレストが存在しない
  • UDP ポート 389 は、ユーザーが指定したフォレストに関連付けられているドメイン コントローラーで閉じられます
  • [AD フォレスト アカウント] ウィンドウで指定された資格情報には、ターゲット フォレストに関連付けられているドメイン コントローラーを取得する権限がありません
  • TCP ポート 53、88、または 389 のいずれかが、ユーザーが指定したフォレストに関連付けられているドメイン コントローラーで閉じられます
  • UDP 389 と TCP ポート (またはポート) の両方が閉じている
  • 指定されたフォレストとその関連するドメイン コントローラーに対して DNS を解決できませんでした

これらの問題が見つかるたびに、Microsoft Entra Connect ウィザードに関連するエラー メッセージが表示されます。

エラー

たとえば、[Connect your directories] 画面にディレクトリを追加しようとすると、Microsoft Entra Connect はこれを確認する必要があり、ポート 389 経由でドメイン コントローラーと通信できることを想定しています。 できない場合は、スクリーンショットに示されているエラーが表示されます。

実際にバックグラウンドで起こっているのは、Microsoft Entra Connect が Start-NetworkConnectivityDiagnosisTools 関数を呼び出しているということです。 この関数は、ネットワーク接続の問題が原因で資格情報の検証が失敗した場合に呼び出されます。

最後に、ウィザードからツールが呼び出されるたびに詳細なログ ファイルが生成されます。 ログは、C:\ProgramData\AADConnect\ADConnectivityTool-<日付>-<時刻>.log にあります

インストール後の ADConnectivityTools

Microsoft Entra Connect をインストールすると、ADConnectivityTools PowerShell モジュール内のすべての関数を使用できます。

関数に関する参照情報は、ADConnectivityTools リファレンス にあります。

Start-ConnectivityValidation

この関数を呼び出す理由は、ADConnectivityTool.psm1 を PowerShell にインポートした後では、この関数は手動でしか呼び出せないためです。

この関数は、指定された AD 資格情報を検証するために Microsoft Entra Connect ウィザードが実行するのと同じロジックを実行します。 ただし、問題に関するより詳細な説明と、推奨される解決策が提供されます。

接続の検証は、次の手順で構成されます。

  • ドメイン FQDN (完全修飾ドメイン名) オブジェクトを取得する
  • ユーザーが [Create new AD account]\(新しい AD アカウントの作成\) を選択した場合、これらの資格情報が Enterprise Administrators グループに属していることを検証します
  • フォレスト FQDN オブジェクトを取得する
  • 以前に取得したフォレスト FQDN オブジェクトに関連付けられている少なくとも 1 つのドメインに到達可能であることを確認します
  • フォレストの機能レベルが Windows Server 2003 以上であることを確認します。

これらのすべてのアクションが正常に実行された場合、ユーザーはディレクトリを追加できます。

ユーザーがこの関数を実行した場合、問題が解決された後 (または問題がまったく存在しない場合)、出力はユーザーが Microsoft Entra Connect ウィザードに戻って資格情報を挿入し直そうとすることを示します。

次の手順