使用 ADConnectivityTool PowerShell 模块排查Microsoft Entra 连接问题
ADConnectivity 工具是一个 PowerShell 模块,用于以下任一项:
- 在安装期间,当网络连接问题阻止成功验证 Active Directory 凭据时。
- 在 PowerShell 会话中调用函数的用户安装后。
该工具位于:C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1。
安装过程中的 ADConnectivityTool
在 Microsoft Entra Connect 向导中的“连接目录”页上,如果发生网络问题,ADConnectivityTool 将自动使用其函数之一来确定发生的情况。 以下项可以被视为网络问题:
- 用户提供的森林名称输入有误或该森林不存在。
- 与用户提供的林相关联的域控制器中已关闭 UDP 端口 389
- 在“AD 林帐户”窗口中提供的凭据无权检索与目标林关联的域控制器
- 与用户提供的 Forest 关联的域控制器中的任一 TCP 端口 53、88 或 389 被关闭。
- UDP 389 和 TCP 端口(或端口)均已关闭
- 无法为提供的林和/或其关联的域控制器解析 DNS
只要找到这些问题,Microsoft Entra Connect 向导中会显示相关的错误消息:
例如,当我们尝试在 连接目录 屏幕上添加目录时,Microsoft Entra Connect 需要验证这一点,并且希望能够通过端口 389 与域控制器通信。 如果无法,我们将看到屏幕截图中显示的错误。
幕后实际发生的情况是,Microsoft Entra Connect 调用 Start-NetworkConnectivityDiagnosisTools 函数。 当凭据验证由于网络连接问题而失败时,将调用此函数。
最后,每当从向导调用该工具时,都生成详细的日志文件。 该日志位于 C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time>.log 中
ADConnectivityTools 安装后
安装 Microsoft Entra Connect 后,可以使用 ADConnectivityTools PowerShell 模块中的任何函数。
可以在 ADConnectivityTools 参考文档 中找到函数相关的参考信息
Start-ConnectivityValidation
我们将调用此函数,因为将 ADConnectivityTool.psm1 导入到 PowerShell 之后,就只能手动调用该函数。
此函数执行Microsoft Entra Connect 向导运行的相同逻辑来验证提供的 AD 凭据。 但是,它为问题提供了一个更冗长的解释,并提出了一个建议的解决方案。
连接验证由以下步骤组成:
- 获取域 FQDN(完全限制的域名)对象
- 验证用户是否选择了“创建新 AD 帐户”,这些凭据属于企业管理员组
- 获取林 FQDN 对象
- 确认至少有一个与先前获取的林 FQDN 对象关联的域是可访问的
- 验证林函数级别是否是 Windows Server 2003 或更高版本。
如果用户成功执行了所有这些操作,则可以添加目录。
如果用户运行此函数,在问题解决后(或者根本不存在问题),输出将提示用户返回到 Microsoft Entra Connect 向导,然后再次尝试输入凭据。