Solucionar problemas de conectividade do Microsoft Entra com o módulo PowerShell ADConnectivityTool
A ferramenta ADConnectivity é um módulo do PowerShell usado em um dos seguintes:
- Durante a instalação, quando um problema de conectividade de rede impede a validação bem-sucedida das credenciais do Ative Directory.
- Pós-instalação por um usuário que chama as funções de uma sessão do PowerShell.
A ferramenta está localizada em: C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool durante a instalação
Na página Conectar os seus diretórios, no Assistente do Microsoft Entra Connect, se ocorrer um problema de rede, o ADConnectivityTool usará automaticamente uma de suas funções para determinar o que está acontecendo. Os seguintes itens podem ser considerados problemas de rede:
- O nome da Floresta fornecida pelo usuário foi digitado incorretamente ou disse que a Floresta não existe
- A porta UDP 389 é fechada nos Controladores de Domínio associados à Floresta fornecida pelo usuário
- As credenciais fornecidas na janela 'Conta de floresta do AD' não têm privilégios para recuperar os Controladores de Domínio associados à Floresta de destino
- Qualquer uma das portas TCP 53, 88 ou 389 são fechadas nos controladores de domínio associados à floresta fornecida pelo usuário
- Tanto a UDP 389 como uma porta TCP (ou portas) estão fechadas
- Não foi possível resolver o DNS para a Floresta fornecida e\ou seus Controladores de Domínio associados
Sempre que qualquer um desses problemas são encontrados, uma mensagem de erro relacionada é exibida no Assistente do Microsoft Entra Connect:
Por exemplo, quando estamos a tentar adicionar um diretório no ecrã Conectar os seus diretórios, o Microsoft Entra Connect precisa verificar isso e espera poder comunicar-se com um controlador de domínio através da porta 389. Se não for possível, veremos o erro mostrado na captura de tela.
O que realmente está acontecendo nos bastidores, é que o Microsoft Entra Connect está chamando a função Start-NetworkConnectivityDiagnosisTools. Esta função é chamada quando a validação de credenciais falha devido a um problema de conectividade de rede.
Finalmente, um ficheiro de log detalhado é gerado sempre que a ferramenta é chamada a partir do assistente. O log está localizado em C:\ProgramData\AADConnect\ADConnectivityTool-<data>-<hora>.log
Ferramentas de Conectividade AD após instalação
Após a instalação do Microsoft Entra Connect, qualquer uma das funções no módulo PowerShell do ADConnectivityTools pode ser usada.
Pode encontrar informações de referência sobre as funções na Referência de ADConnectivityTools
Start-ConnectivityValidation
Vamos chamar essa função porque ela só pode ser chamada manualmente depois que o ADConnectivityTool.psm1 for importado para o PowerShell.
Esta função executa a mesma lógica que o Assistente do Microsoft Entra Connect executa para validar as credenciais do AD fornecidas. No entanto, fornece uma explicação muito mais detalhada sobre o problema e uma solução sugerida.
A validação da conectividade consiste nas seguintes etapas:
- Obter objeto FQDN de domínio (nome de domínio totalmente qualificado)
- Valide que, se o usuário selecionou 'Criar nova conta do AD', essas credenciais pertencem ao grupo Administradores Corporativos
- Obter objeto FQDN da floresta
- Confirme se pelo menos um domínio associado ao objeto Forest FQDN obtido anteriormente está acessível
- Verifique se o nível funcional da floresta é Windows Server 2003 ou superior.
O usuário é capaz de adicionar um diretório se todas essas ações foram executadas com êxito.
Se o usuário executar essa função, depois que um problema for resolvido (ou se nenhum problema existir), a saída indicará para o usuário voltar para o Assistente do Microsoft Entra Connect e tentar inserir as credenciais novamente.
Próximos passos
- Microsoft Entra Connect: Contas e permissões
- Instalação Express
- Instalação Personalizada
- Referência do ADConnectivityTools