Rozwiązywanie problemów z łącznością Microsoft Entra za pomocą modułu PowerShell ADConnectivityTool
Narzędzie ADConnectivity to moduł programu PowerShell, który jest używany w jednym z następujących elementów:
- Podczas instalacji, gdy problem z łącznością sieciową uniemożliwia pomyślne sprawdzenie poprawności poświadczeń usługi Active Directory.
- Opublikuj instalację przez użytkownika, który wywołuje funkcje z sesji programu PowerShell.
Narzędzie znajduje się w: C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
Narzędzie ADConnectivityTool podczas instalacji
Na stronie Połącz katalogi w Kreatorze Microsoft Entra Connect, jeśli wystąpi problem z siecią, narzędzie ADConnectivityTool automatycznie użyje jednej ze swoich funkcji, aby określić, co się dzieje. Następujące elementy można traktować jako problemy z siecią:
- Nazwa podanego lasu użytkownika została wpisana nieprawidłowo lub powiedział Forest nie istnieje
- Port UDP 389 jest zamknięty w kontrolerach domeny skojarzonych z lasem udostępnionym przez użytkownika
- Poświadczenia podane w oknie "konto lasu AD" nie mają uprawnień do uzyskiwania kontrolerów domeny skojarzonych z lasem docelowym
- Wszystkie porty TCP 53, 88 lub 389 są zamknięte w kontrolerach domeny skojarzonych z lasem udostępnionym przez użytkownika
- Protokół UDP 389 i port TCP (lub porty) są zamknięte
- Nie można rozpoznać systemu DNS dla podanego lasu i/lub skojarzonych z nim kontrolerów domeny
Za każdym razem, gdy wystąpi dowolny z tych problemów, w Kreatorze programu Microsoft Entra Connect zostanie wyświetlony powiązany komunikat o błędzie:
Na przykład, gdy próbujemy dodać katalog na ekranie Połącz katalogi, Microsoft Entra Connect musi to sprawdzić i oczekuje, że będzie mogło komunikować się z kontrolerem domeny za pośrednictwem portu 389. Jeśli nie jest to możliwe, zobaczymy błąd wyświetlany na ekranie.
To, co dzieje się za kulisami, jest to, że firma Microsoft Entra Connect wywołuje funkcję Start-NetworkConnectivityDiagnosisTools. Ta funkcja jest wywoływana, gdy walidacja poświadczeń nie powiedzie się z powodu problemu z łącznością sieciową.
Na koniec, za każdym razem gdy narzędzie jest wywoływane z kreatora, generowany jest szczegółowy plik dziennika. Dziennik znajduje się w C:\ProgramData\AADConnect\ADConnectivityTool-<data>—<godzina>.log
ADConnectivityTools po instalacji
Po zainstalowaniu programu Microsoft Entra Connect można użyć dowolnej funkcji w module ADConnectivityTools programu PowerShell.
Informacje referencyjne dotyczące funkcji można znaleźć w ADConnectivityTools Reference
Start-ConnectivityValidation
Wywołamy tę funkcję, ponieważ może ona tylko być wywoływana ręcznie po zaimportowaniu narzędzia ADConnectivityTool.psm1 do programu PowerShell.
Ta funkcja wykonuje tę samą logikę, którą uruchamia Kreator programu Microsoft Entra Connect w celu zweryfikowania podanych poświadczeń usługi AD. Zawiera on jednak znacznie bardziej szczegółowe wyjaśnienie problemu i sugerowane rozwiązanie.
Weryfikacja łączności składa się z następujących kroków:
- Pobierz obiekt FQDN (w pełni kwalifikowana nazwa domeny)
- Sprawdź, czy jeśli użytkownik wybrał pozycję "Utwórz nowe konto usługi AD", te poświadczenia należą do grupy Administratorzy przedsiębiorstwa
- Uzyskaj obiekt FQDN lasu
- Upewnij się, że co najmniej jedna domena skojarzona z wcześniej uzyskanym obiektem FQDN lasu jest osiągalna
- Sprawdź, czy poziom funkcjonalności lasu to Windows Server 2003 lub nowszy.
Użytkownik może dodać katalog, jeśli wszystkie te akcje zostały wykonane pomyślnie.
Jeśli użytkownik uruchomi tę funkcję, po rozwiązaniu problemu (lub jeśli w ogóle nie ma problemu), dane wyjściowe wskażą użytkownikowi, że powinien wrócić do Kreatora programu Microsoft Entra Connect i spróbować ponownie wprowadzić poświadczenia.