Устранение неполадок с подключением Microsoft Entra с помощью модуля ADConnectivityTool PowerShell
Средство ADConnectivity — это модуль PowerShell, который используется в одном из следующих элементов:
- При установке, когда проблема с сетевым подключением предотвращает успешную проверку учетных данных Active Directory.
- После выполнения установки пользователем, выполняющим вызов функций из сеанса PowerShell.
Средство находится в: C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool во время установки
На странице Подключение каталогов в мастере Microsoft Entra Connect, если возникает проблема с сетью, ADConnectivityTool автоматически будет использовать одну из своих функций для определения текущей ситуации. Следующие элементы можно рассматривать как проблемы с сетью:
- Имя леса, предоставленное пользователем, было введено неправильно, или сказал, что лес не существует
- Порт UDP 389 закрыт в контроллерах домена, связанных с лесом, указанным пользователем
- Учетные данные, предоставленные в окне "Учетная запись леса AD", не имеют привилегий для получения контроллеров домена, связанных с целевым лесом.
- Все TCP-порты 53, 88 или 389 закрыты в контроллерах домена, связанных с лесом, предоставленным пользователем.
- Закрыты как UDP 389, так и TCP-порт (или порты)
- Не удалось разрешить DNS для предоставленного леса и\или связанных с ним контроллеров домена.
При обнаружении любой из этих проблем в мастере Microsoft Entra Connect отображается связанное сообщение об ошибке:
Например, Microsoft Entra Connect, когда мы пытаемся добавить каталог в окне Подключить каталоги, должен проверить это и рассчитывает на возможность взаимодействовать с контроллером домена через порт 389. Если это не удается, мы увидим ошибку, показанную на снимке экрана.
То, что на самом деле происходит за кулисами, заключается в том, что Microsoft Entra Connect вызывает функцию Start-NetworkConnectivityDiagnosisTools. Эта функция вызывается, когда проверка учетных данных завершается ошибкой из-за проблемы с сетевым подключением.
Наконец, подробный файл журнала создается всякий раз, когда средство вызывается из мастера. Журнал находится в C:\ProgramData\AADConnect\ADConnectivityTool-<дата>-<время>.log
AdConnectivityTools после установки
После установки Microsoft Entra Connect можно использовать любые функции в модуле ADConnectivityTools PowerShell.
Справочные сведения о функциях см. в справочнике ADConnectivityTools
Start-ConnectivityValidation
Мы будем вызывать эту функцию, так как она может вызываться только вручную после импорта ADConnectivityTool.psm1 в PowerShell.
Эта функция выполняет ту же логику, что и мастер Microsoft Entra Connect для проверки предоставленных учетных данных AD. Однако он предоставляет гораздо более подробное объяснение проблемы и предлагаемого решения.
Проверка подключения состоит из следующих шагов:
- Получить объект полного доменного имени (полное доменное имя)
- Убедитесь, что, если пользователь выбрал "Создать учетную запись AD", эти учетные данные принадлежат группе "Администраторы предприятия"
- Получение объекта FQDN леса
- Убедитесь, что доступен хотя бы один домен, связанный с ранее полученным объектом полного доменного имени леса.
- Убедитесь, что функциональный уровень леса — Windows Server 2003 или выше.
Пользователь может добавить каталог, если все эти действия были выполнены успешно.
Если пользователь запускает эту функцию, после решения проблемы (или если проблема не существует вообще), выходные данные указывают, что пользователь вернется в мастер Microsoft Entra Connect и попытается вставить учетные данные еще раз.