Rozwiązywanie problemów z łącznością Microsoft Entra za pomocą modułu PowerShell ADConnectivityTool
Narzędzie ADConnectivity to moduł programu PowerShell, który jest używany w jednym z następujących elementów:
- Podczas instalacji, gdy problem z łącznością sieciową uniemożliwia pomyślne sprawdzenie poprawności poświadczeń usługi Active Directory.
- Opublikuj instalację przez użytkownika, który wywołuje funkcje z sesji programu PowerShell.
Narzędzie znajduje się w: C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
Narzędzie ADConnectivityTool podczas instalacji
Na stronie Połącz katalogi w Kreatorze Microsoft Entra Connect, jeśli wystąpi problem z siecią, narzędzie ADConnectivityTool automatycznie użyje jednej ze swoich funkcji, aby określić, co się dzieje. Następujące elementy można traktować jako problemy z siecią:
- Nazwa podanego lasu użytkownika została wpisana nieprawidłowo lub powiedział Forest nie istnieje
- Port UDP 389 jest zamknięty w kontrolerach domeny skojarzonych z lasem udostępnionym przez użytkownika
- Poświadczenia podane w oknie "konto lasu AD" nie mają uprawnień do uzyskiwania kontrolerów domeny skojarzonych z lasem docelowym
- Którykolwiek z portów TCP 53, 88 lub 389 jest zamknięty w kontrolerach domeny powiązanych z lasem udostępnionym przez użytkownika
- Protokół UDP 389 i port TCP (lub porty) są zamknięte
- Nie można rozpoznać systemu DNS dla podanego lasu i/lub skojarzonych z nim kontrolerów domeny
Za każdym razem, gdy wystąpi dowolny z tych problemów, w Kreatorze programu Microsoft Entra Connect zostanie wyświetlony powiązany komunikat o błędzie:
Na przykład, gdy próbujemy dodać katalog na ekranie Połącz katalogi, Microsoft Entra Connect musi to sprawdzić i oczekuje, że będzie mogło komunikować się z kontrolerem domeny za pośrednictwem portu 389. Jeśli nie jest to możliwe, zobaczymy błąd wyświetlany na ekranie.
To, co faktycznie dzieje się za kulisami, to fakt, że Microsoft Entra Connect wywołuje funkcję Start-NetworkConnectivityDiagnosisTools. Ta funkcja jest wywoływana, gdy walidacja poświadczeń nie powiedzie się z powodu problemu z łącznością sieciową.
Na koniec, za każdym razem gdy narzędzie jest wywoływane z kreatora, generowany jest szczegółowy plik dziennika. Dziennik znajduje się w C:\ProgramData\AADConnect\ADConnectivityTool-<data>-<godzina>.log
ADConnectivityTools po instalacji
Po zainstalowaniu programu Microsoft Entra Connect można użyć dowolnej funkcji w module ADConnectivityTools programu PowerShell.
Informacje referencyjne dotyczące funkcji można znaleźć w ADConnectivityTools Reference
Rozpocznij-Walidacj꣹czności
Wywołamy tę funkcję, ponieważ może ona tylko być wywoływana ręcznie po zaimportowaniu narzędzia ADConnectivityTool.psm1 do programu PowerShell.
Ta funkcja wykonuje tę samą logikę, którą uruchamia Kreator programu Microsoft Entra Connect w celu zweryfikowania podanych poświadczeń usługi AD. Zawiera on jednak znacznie bardziej szczegółowe wyjaśnienie problemu i sugerowane rozwiązanie.
Weryfikacja łączności składa się z następujących kroków:
- Pobierz obiekt FQDN (w pełni kwalifikowana nazwa domeny)
- Sprawdź, czy jeśli użytkownik wybrał opcję "Utwórz nowe konto Active Directory", te poświadczenia należą do grupy Administratorów Przedsiębiorstwa.
- Uzyskaj obiekt FQDN domeny
- Sprawdź, czy co najmniej jedna domena powiązana z wcześniej uzyskanym obiektem Forest FQDN jest osiągalna.
- Sprawdź, czy poziom funkcjonalności lasu to Windows Server 2003 lub nowszy.
Użytkownik może dodać katalog, jeśli wszystkie te akcje zostały wykonane pomyślnie.
Jeśli użytkownik uruchomi tę funkcję, po rozwiązaniu problemu (lub jeśli problem w ogóle nie istnieje), wynik wskaże użytkownikowi, że powinien wrócić do Kreatora Microsoft Entra Connect i spróbować ponownie wprowadzić poświadczenia.