使用 ADConnectivityTool PowerShell 模組針對 Microsoft Entra 連線進行疑難排解。
ADConnectivity 工具是一個 PowerShell 模組,用於下列其中一項:
- 在安裝期間,當網路連線問題阻止 Active Directory 認證成功驗證時。
- 完成安裝後,由從 PowerShell 會話呼叫功能的用戶進行進一步設置。
此工具位於:C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1。
安裝期間的ADConnectivityTool
在 [連線您的目錄 頁面上,於 [Microsoft Entra Connect 精靈] 中,如果發生網络問題,ADConnectivityTool 會自動使用其中一個函式來判斷發生了什麼事。 下列項目可視為網路問題:
- 使用者所提供的樹系名稱輸入錯誤,或表示樹系不存在
- 與使用者提供的樹系相關聯的網域控制站中,UDP 埠 389 已關閉。
- [AD 森林帳戶] 視窗中提供的認證沒有權限檢索與目標森林相關聯的網域控制站。
- 任何 TCP 連接埠 53、88 或 389 皆會在與使用者提供的樹系相關聯的域控制器中關閉
- UDP 389 和 TCP 連接埠 (或埠) 都會關閉
- 無法解析提供的樹系及其相關聯域控制器的 DNS
每當找到這些問題時,就會在 [Microsoft Entra Connect 精靈] 中顯示相關的錯誤訊息:
例如,當我們嘗試在 [連線您的目錄 畫面上新增目錄時,Microsoft Entra Connect 必須確認這一點,並預期能夠透過埠 389 與域控制器通訊。 如果無法,我們將會看到螢幕快照中顯示的錯誤。
實際上幕後發生的情況是,Microsoft Entra Connect 正在調用 Start-NetworkConnectivityDiagnosisTools 函式。 當驗證認證因為網路連線問題而失敗時,就會呼叫此函式。
最後,每當從精靈呼叫工具時,就會產生詳細的記錄檔。 記錄位於 C:\ProgramData\AADConnect\ADConnectivityTool-<日期>-<時間>.log
ADConnectivityTools 安裝後步驟
安裝Microsoft Entra Connect 之後,可以使用ADConnectivityTools PowerShell模組中的任何函式。
您可以在 ADConnectivityTools 參考 中找到功能的參考資訊
Start-ConnectivityValidation
我們將呼叫此函式,因為它 只能在ADConnectivityTool.psm1匯入PowerShell後手動呼叫。
此功能執行與 Microsoft Entra Connect 精靈相同的邏輯,以驗證所提供的 AD 認證。 不過,它提供更詳細的問題說明和建議的解決方案。
連接性驗證包含以下步驟:
- 取得網域 FQDN (完整功能變數名稱) 物件
- 驗證使用者選取 [建立新的 AD 帳戶] 時,這些認證屬於企業系統管理員群組
- 取得樹系 FQDN 物件
- 確認至少有一個與先前取得的樹系 FQDN 對象相關聯的網域可連線
- 確認樹系的功能等級為 Windows Server 2003 或更新版本。
如果使用者已順利執行所有這些動作,就可以新增 Directory。
如果使用者執行此函式,在解決問題之後(或完全沒有問題),輸出會指出使用者返回 Microsoft Entra Connect 精靈,並嘗試再次插入認證。